concours interne d’ingÉnieur territorial - projet... · sujet élaboré par une cellule...
TRANSCRIPT
Sujet élaboré par une cellule pédagogique nationale
CONCOURS INTERNE D’INGÉNIEUR TERRITORIAL
SESSION 2019
ÉPREUVE DE PROJET OU ÉTUDE
ÉPREUVE D’ADMISSIBILITÉ :
L’établissement d’un projet ou étude portant sur l’une des options, choisie par le candidat lors de son inscription, au sein de la spécialité dans laquelle il concourt.
Durée : 8 heures Coefficient : 7
SPÉCIALITÉ : INFORMATIQUE ET SYSTÈMES D’INFORMATION
OPTION : RÉSEAUX ET TÉLÉCOMMUNICATIONS
À LIRE ATTENTIVEMENT AVANT DE TRAITER LE SUJET :
Vous ne devez faire apparaître aucun signe distinctif dans votre copie, ni votre nom ou un nom fictif, ni initiales, ni votre numéro de convocation, ni le nom de votre collectivité employeur, de la commune où vous résidez ou du lieu de la salle d’examen où vous composez, ni nom de collectivité fictif non indiqué dans le sujet, ni signature ou paraphe.
Sauf consignes particulières figurant dans le sujet, vous devez impérativement utiliser une seule et même couleur non effaçable pour écrire et/ou souligner. Seule l’encre noire ou l’encre bleue est autorisée. L’utilisation de plus d’une couleur, d’une couleur non autorisée, d’un surligneur pourra être considérée comme un signe distinctif.
L’utilisation d’une calculatrice de fonctionnement autonome et sans imprimante est autorisée.
Le non-respect des règles ci-dessus peut entraîner l’annulation de la copie par le jury.
Les feuilles de brouillon ne seront en aucun cas prises en compte.
Ce sujet comprend 80 pages dont 2 annexes.
Il appartient au candidat de vérifier que le document comprend le nombre de pages indiqué.
S’il est incomplet, en avertir le surveillant.
Vous répondrez aux questions suivantes dans l’ordre qui vous convient, en indiquant impérativement leur numéro. Vous répondrez aux questions à l’aide des documents et de vos connaissances. Des réponses rédigées sont attendues et peuvent être accompagnées si besoin de tableaux, graphiques, schémas …
Vous êtes ingénieur territorial au sein de la Direction des Systèmes d’Information (DSI) du
département d’INGEDEP (2 500 agents) dont le Système d’Information (SI) a été victime
récemment d’une cyber-attaque de type « Ransomware » de gravité moyenne et sans
conséquence majeure.
Conscient de l’évolution des menaces en matière de cybersécurité, le Directeur des
Systèmes d’Information (DSI) s’engage dans un projet global d’audit et de renforcement du
niveau de sécurité du SI. Par ailleurs, la direction générale s’interroge sur les nombreux
investissements réalisés dans le domaine de la sécurité du SI et sur la continuité d’activité
de la collectivité en cas de sinistre.
À l’aide des annexes, vous répondrez aux questions suivantes :
Question 1 (5 points)
Différentes solutions de sécurité ont été mises en place et le DSI s’interroge sur l’empilement
de ces solutions techniques et leur capacité de réponse à l’ensemble des menaces qui
peuvent toucher le SI d’INGEDEP. En ce sens, le DSI vous confie le projet d’audit et de
renforcement de la sécurité du SI et vous demande :
a) d’établir un état des lieux de la sécurité du SI d’INGEDEP, en en soulignant les faiblesses
mais aussi les atouts. (3 points)
b) d’identifier les menaces émergentes et les solutions à déployer en matière de virus.
(2 points)
Question 2 (6 points)
INGEDEP a souhaité auditer sa chaîne de protection antivirale. Sur la base des conclusions
de cet audit (annexe 2), de votre état des lieux (question 1a) et des solutions existantes pour
répondre aux nouveaux risques (question 1b), vous présenterez :
a) l’architecture et l’organisation cible permettant de répondre aux problèmes recensés.
(3 points)
b) la démarche projet préconisée permettant de mettre en œuvre cette nouvelle architecture
cible. (3 points)
Question 3 (3 points)
L’analyse de la récente cyber-attaque démontre que le facteur humain est au centre de la
sécurité et doit être pris en compte dans la gestion des risques du SI.
Vous présenterez un plan de mesures de responsabilisation et de sensibilisation permettant
de mieux communiquer sur les bonnes pratiques informatiques et d’améliorer les réflexes
des utilisateurs du SI face à des actions malveillantes.
Question 4 (3 points)
L’étude des risques sur les architectures techniques du SI d’INGEDEP a mis en évidence la
complexité et la vulnérabilité de la plate-forme de sauvegarde ainsi que sa capacité à
2/80
satisfaire à l’évolution croissante des données de la collectivité. Les objectifs pour la
direction des systèmes d’information sont la recherche d’une solution fonctionnelle plus
efficace et garantissant la sécurité des données et la maîtrise des coûts d’exploitation.
Dans ce cadre, une migration totale ou partielle vers une solution de sauvegarde « cloud »
est envisagée notamment pour les environnements et données de test.
Vous présenterez les avantages et inconvénients d’une telle solution dans le « cloud » ainsi
que les enjeux juridiques, techniques et financiers.
Question 5 (3 points)
Le DSI doit présenter le projet aux élus et vous demande de préparer une note de synthèse
reprenant l’ensemble des éléments permettant de valider les propositions de renforcement
de son niveau de sécurité.
Liste des documents :
Document 1 : « Comment se prémunir de ces menaces ? » - ANSSI - ssi.gouv.fr -
consulté le 5 avril 2019 - 1 page
Document 2 : « Les 10 chapitres du guide d’hygiène informatique de l’ANSSI » -
Pierre-Alexandre Conte - lagazettedescommunes.com -
23 février 2017 - 2 pages
Document 3 : « Cybersécurité : les collectivités territoriales, des cibles potentielles
sous surveillance » - Pierre-Alexandre Conte -
lagazettedescommunes.com - 23 février 2017 - 4 pages
Document 4 : « Cybersécurité : attaques informatiques en cours et bonnes
pratiques » (extrait) - lyon-metropole.cci.fr - consulté le 10 mai 2019 - 4
pages
Document 5 : « Les collectivités territoriales cibles des pirates informatiques » -
Pierre-Alexandre Conte - lenetexpert.fr - 27 février 2017 - 3 pages
Document 6 : « Mathieu Vigneron, Atos : éviter les empilements de solutions de
sécurité et de favoriser les solutions orchestrables » - Marc Jacob -
Global Security Mag - octobre 2018 - 3 pages
Document 7 : « Comment appliquer le principe du Privacy by Design ? » (extrait) -
Livre Blanc - ageris-consulting.com - 2 avril 2016 - 12 pages
Document 8 : « Méthode et outils à l’usage des équipes projet : Agilité & sécurité
numériques » (extrait) - ANSSI - octobre 2018 - 30 pages
Document 9 : « Former et sensibiliser les agents à la sécurité informatique pour
réduire les risques » - Pierre-Alexandre Conte -
lagazettedescommunes.com - mis à jour le 23 février 2017 - 2 pages
Document 10 : « Prendre en compte et maîtriser le facteur humain dans la SSI » -
Fiche SSI PRATIC N°9 - assuris.fr - janvier 2010 - 3 pages
Document 11 : « "Cloud" et souveraineté numérique : le débat fait rage » - Pierre-
Alexandre Conte - lagazettedescommunes.com - 27 février 2017 -
2 pages
3/80
Document 12 : « Le PRA et le PCA revisités par le Cloud » - Olivier Bouzereau -
Solutions Numériques N°20 - 11 juin 2018 - 5 pages
Liste des annexes :
Annexe 1 : « Présentation générale des infrastructures » - INGEDEP - février 2019
- 3 pages
Annexe 2 : « Rapport d'audit de sécurité du Système d'Information (SI) » -
INGEDEP - février 2019 - 2 pages
Documents reproduits avec l’autorisation du C.F.C.
Certains documents peuvent comporter des renvois à des notes ou à des documents
non fournis car non indispensables à la compréhension du sujet.
4/80
ADMINISTRATION > PRINCIPALES MENACES > COMMENT SE PRÉMUNIR DE CES MENACES ?
COMMENT SE PRÉMUNIR DE CES MENACES ?
L’application des mesures d ’hygiène préconisées par l ’ANSSI, auxquelles le Centre de cyberdéfense a contribuéen apportant son expérience opérationnelle, permettrait d ’éviter plus de 80 % des attaques informatiquesrencontrées.
La quasi-totalité des autres pourraient être évitées en exploitant de façon plus approfondie les guides et recommandations de l’agence.
Au quotidien, les principales lacunes de sécurité constatées par le Centre de cyberdéfense sont :
des systèmes et des applications, dont les sites Web, qui ne sont pas à jour de leurs correctifs de sécurité
une politique de gestion des mots de passe insuffisante (mots de passe par défaut ou trop simples et non renouvelés régulièrement…)
une absence de séparation des usages entre utilisateur et administrateur des réseaux
un laxisme manifeste dans la gestion des droits d’accès
une absence de surveillance des systèmes d’information (analyse des journaux réseaux et de sécurité)
un cloisonnement insuffisant des systèmes qui permet à une attaque de se propager au sein des réseaux
une absence de restrictions d’accès aux périphériques (supports USB…)
une ouverture excessive d’accès externes incontrôlés au système d’information (nomadisme, télétravail ou télé administration des systèmes)
une sensibilisation et une maturité insuffisantes des utilisateurs et des dirigeants face à la menace dont ils ne perçoivent pas les risques.
ANSSIAgence nationale de lasécurité des systèmesd'information
DOCUMENT 1
ssi.gouv.fr - consulté le 5 avril 2019
5/80
DOSSIER : Sécurité informatique : comment se protéger ?www.lagazettedescommunes.com
SÉCURITÉ INFORMATIQUE
Les 10 chapitres du guide d’hygiène informatique de l’AnssiPierre-Alexandre Conte | Dossiers d'actualité | France | Publié le 23/02/2017
L’Agence nationale de la sécurité des systèmes d'information a publié un Guide d’hygiène informatique, dont les mesures « sont la transposition dans le monde numérique de règles élémentaires de sécurité sanitaire ».
01 – Sensibiliser et former.L’Agence nationale de la sécurité des systèmes d’information (Anssi) recommande de sensibiliser les utilisateurs aux bonnes pratiques en termes de sécurité informatique, mais aussi de former les équipes opérationnelles pour éviter les erreurs générant des failles. Maîtriser les risques de l’infogérance en se posant les bonnes questions en amont est également important.
02 – Connaître le système d’information (SI).Protéger efficacement les données sensibles nécessite de les identifier. Cela permet ensuite de localiser les postes à risque. Il faut aussi disposer d’un inventaire complet des comptes bénéficiant de droits étendus, veiller aux départs, aux arrivées et aux changements de fonctions. Enfin, les équipements qui s’y connectent doivent être maîtrisés.
03 – Authentifier et contrôler les accès.L’Anssi incite à prêter attention au rôle de chaque personne, à attribuer les bons droits sur les ressources sensibles. Concernant l’accès au SI, les mots de passe doivent être correctement dimensionnés et, si besoin, stockés dans un endroit sécurisé. Lorsque cela est possible, l’authentification la plus forte doit être privilégiée.
04 – Sécuriser les postes.Cette mesure implique de mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique, de configurer un pare-feu avec précaution, de chiffrer les données sensibles transmises par internet, de proscrire l’utilisation de supports amovibles tels que les clés USB et d’homogénéiser les politiques de sécurité.
DOCUMENT 2
6/80
Outre le fait de protéger l’accès physique aux serveurs et aux locaux techniques, l’Anssi recommande de veiller à segmenter et à cloisonner le réseau pour éviter que toutes les machines soient liées entre elles. Utiliser des protocoles réseaux sécurisés, protéger la messagerie professionnelle, font partie des autres conseils.
06 – Sécuriser l’administration.La navigation sur internet comporte de nombreux risques. Il convient donc d’interdire l’accès au web depuis les postes ou serveurs utilisés pour l’administration du SI. L’utilisation d’un réseau dédié et cloisonné est encouragée. Par ailleurs, il faut limiter au strict besoin opérationnel les droits d’administration.
07 – Gérer le nomadisme.
Il faut prendre des mesures de sécurisation physique, mais aussi chiffrer les données sensibles en cas de perte dumatériel nomade. S’assurer de la sécurisation de la connexion de l’appareil au réseau du SI est aussi crucial. Plusglobalement, adopter des politiques de sécurité dédiées aux terminaux mobiles apparaît indispensable.
08 – Maintenir le système d’information à jour.Les failles contenues dans les logiciels sont particulièrement dangereuses. Mais elles sont progressivement corrigées. Aussi, il est important de s’équiper des versions les plus récentes des différents outils pour minimiser les risques. Anticiper la fin de leur maintenance est également essentiel.
09 – Superviser, auditer, réagir.L’Anssi préconise, si possible, de désigner un RSSI, mais aussi de procéder régulièrement à des contrôles et audits de sécurité. Il convient également de mettre en place une politique de sauvegarde des composants critiques. En cas d’incident, disposer d’une procédure de gestion s’avère essentiel pour éviter de commettre des erreurs.
10 – Privilégier l’usage des produits et services qualifiés par l’Anssi.L’agence propose une liste de produits et de prestataires qualifiés par ses soins. Elle encourage l’utilisation de ces derniers pour toute entité, car elle estime qu’il s’agit du seul gage d’une étude sérieuse et approfondie du fonctionnement technique de la solution et de son écosystème.
REFERENCES
Guide d'homologation des systèmes d'information (Anssi)Référentiel général de sécurité (RGS)Guide d'hygiène informatique
05 – Sécuriser le réseau.
7/80
DOSSIER : Sécurité informatique : comment se protéger ?www.lagazettedescommunes.com
SÉCURITÉ INFORMATIQUE
Cybersécurité : les collectivités territoriales, des cibles potentielles sous surveillancePierre-Alexandre Conte | Dossiers d'actualité | France | Publié le 23/02/2017
Si elles n’en ont pas toujours conscience, les collectivités territoriales peuvent bel et bien être victimes de cyberattaques. Et ce, pour de multiples raisons. En cas de faute avérée, les sanctions encourues peuvent devenir particulièrement difficiles à assumer.
Une République numérique. C’est ainsi qu’a été baptisée la loi portée par l’actuelle secrétaire d’Etat chargée du numérique, Axelle Lemaire, parue le 8 octobre 2016 au « Journal officiel ». Un nom ô combien symbolique et révélateur de la profondeur de la transformation vécue par l’ensemble de la société.Celle-ci touche naturellement les collectivités territoriales, qui bénéficient des multiples avantages qu’elle génère, mais qui doivent, dans le même temps, composer avec de nouvelles obligations. Parmi elles, figure en tête de liste la sécurisation de leur système d’information.
En préambule de son rapport d’activité annuel paru en 2016, l’Agence nationale de la sécurité des systèmes d’information (Anssi) introduisait le sujet comme suit : « Les technologies numériques procurent des gains de productivité et sont donc source de richesse et de compétitivité pour notre pays, mais elles induisent également des vulnérabilités nouvelles. La cybersécurité est devenue, de ce fait, une condition structurante, non seulement de la sauvegarde de notre patrimoine économique et intellectuel, mais aussi de la protection physique de nos concitoyens. » Des propos signés Louis Gautier, secrétaire général de la défense et de la sécurité nationale.
50 %
Dans son rapport d’activité concernant l’année 2015, l’Anssi explique avoir reçu 4 000 signalements, soit 50 % de plus qu’en
2014. L’Agence a aussi dû traiter une vingtaine d’incidents de sécurité majeurs.
Les sites web en première ligne
La première erreur en matière de sécurité informatique consiste à penser qu’une collectivité, quelle que soit sanature, n’a aucune raison d’être la cible d’une attaque. C’est pourtant un raisonnement fréquemment rencontréau sein des petites et moyennes communes, qui considèrent parfois qu’elles ne détiennent rien qui puisse
DOCUMENT 3
8/80
intéresser d’hypothétiques assaillants. « Comme tout un chacun qui dispose d’une visibilité sur internet, les collectivités territoriales peuvent faire partie des victimes d’une vague d’attaques, précise Guy Flament, référent de l’Anssi au sein de la région Nouvelle Aquitaine.
Leur présence sur internet, notamment par le biais de leurs sites web, offre des surfaces pour les attaquants, qui peuvent leur permettre d’afficher des messages de revendication ou de propagande. Ensuite, les collectivités subissent des attaques par des « rançongiciels » qui prennent en otage leur système d’information et offrent de le libérer contre une rançon. En ce qui concerne les autres menaces informatiques que peuvent être le sabotage ou l’espionnage, elles ne sont pas, pour le moment, particulièrement visées. Mais elles pourraient le devenir, notamment à cause du nombre de données à caractère personnel qu’elles hébergent. »
Plusieurs milliers de sites Internet de communes mal sécurisés
Les collectivités territoriales brassent en effet de plus en plus de données, dont certaines s’avèrent particulièrement sensibles. Elles sont au cœur de toutes les préoccupations, comme en témoignent les nombreux articles qui leur sont consacrés au sein de la loi pour une République numérique. Il convient donc de les protéger. « Les collectivités détiennent notamment l’état civil. Il ne faudrait pas qu’un jour ces fichiers puissent être modifiés par des attaquants. Les comptes de la commune intéressent aussi les gens et tout ce qui touche aux dossiers de consultation publique », lance Guy Flament.
Sanctions pénalesLa protection des données du citoyen est garantie par la loi « informatique et libertés ». C’est évidemment la Commission nationale de l’informatique et des libertés (Cnil) qui veille au respect de cette dernière. Ses compétences ont été élargies par la loi pour une République numérique.
Sur le plan financier, les collectivités encourent une amende pouvant s’élever jusqu’à 3 millions d’euros ; ce n’est pas rien ! La Cnil peut aussi ordonner que l’organisme sanctionné informe à ses frais les victimes. La loi prévoit par ailleurs la possibilité de sanctionner pénalement les maires, les présidents de conseils régionaux et de conseils généraux en cas de manquement grave, comme le fait de ne pas prendre les mesures nécessaires pour garantir la confidentialité des informations ou l’utilisation de ces dernières à d’autres fins.
A partir du mois de mai 2018, les collectivités devront appliquer le règlement européen sur le sujet. Concernant ce dernier, selon Pierre Deprez, avocat du cabinet DS avocats dans le département « droit de la propriété intellectuelle, technologies numériques et data », on parle d’un « changement de paradigme ». Cela signifie le passage « d’un régime de déclaration et d’autorisation des traitements à un régime d’accountability, d’autoresponsabilité ».
Les communes devront conserver « une trace des moyens techniques et organisationnels qu’elles auront mis en œuvre pour assurer la sécurité des données », dans le but de montrer patte blanche en cas de contrôle.
Mais les données ne sont pas l’unique préoccupation des collectivités. D’autres domaines requièrent leur attention, à l’image des objets connectés. Ce sont de formidables outils, mais ils peuvent aussi se retourner contre ceux qui les utilisent.
« Les objets connectés, comme les smartphones il y a quelques années, représentent une augmentation de la surface d’attaque puisqu’ils sont, par nature, connectés à internet. Si ces objets ne sont pas correctement configurés et sécurisés, ils offrent une porte d’entrée à d’éventuels attaquants », précise Guy Flament.
9/80
« L’émergence des outils connectés implique de prendre ses précautions, déclare de son côté Olivier Fouqueau, directeur général des services d’Infocom94, syndicat intercommunal informatique du Val-de-Marne. Quand une direction générale des services techniques, voire un élu, décide que c’est super d’équiper toutes les places de parking d’un capteur pour permettre de savoir, à distance, par le biais de son téléphone portable, s’il y a une place pour se garer, mais qu’il n’y a pas de sécurité autour, cela peut très vite devenir difficile à gérer. »
Les rapports affirmant que la cybercriminalité est en constante augmentation sont rendus publics de manière quasi quotidienne. Pour autant, il n’est pas si évident de trouver une collectivité territoriale qui accepte de faire part d’une mauvaise expérience. La raison est simple : elle relève de la peur de voir son image se détériorer. C’est là l’un des principaux risques encourus, notamment par les villes.
« Il ne se passe pas une journée sans qu’il y ait un site internet défiguré dans la région », déplore le référent de l’Anssi en Nouvelle Aquitaine. En cas de pertes de données et de responsabilité avérée, le règlement européen demandera également aux collectivités, en 2018, d’informer le public quant à ses failles de sécurité. Si les communes sont concernées par leur image, elles doivent en plus composer avec l’inaccessibilité de leur site. Ce qui peut altérer de manière plus ou moins grave la mission de service public.
La perte peut aussi être financière, notamment s’il y a demande de rançon, les sommes demandées étant, la plupart du temps, élevées.
« Le sujet de la sécurité est souvent diabolisé, regrette Frank Mosser, expert dans le domaine de la cybersécurité et président de MGDIS, société éditrice de services logiciels de pilotage et de valorisation de l’action publique, basée à Vannes. Quand ça fait trop peur, on a tendance à mettre la tête dans le sac et à faire l’autruche. Il y a quelques années, ce n’était pas si grave que cela. Là, ça le devient un peu plus. »
Le « rançongiciel », fléau international en pleine expansionExtorsion Tout le monde ou presque a entendu parler de Locky. Ce « ransomware » – « rançongiciel » en
français – s’est rendu populaire en faisant de nombreuses victimes au cours de l’année passée. Une fois activé
sur l’ordinateur de la personne visée, ce dernier chiffre les données et demande une somme d’argent en
échange de leur restitution. S’il reste l’exemple le plus connu, Locky n’est pas un cas unique. Loin de là.
290 millions de dollars – Le FBI estime que durant le premier trimestre de l’année 2016, environ 209 millions de
dollars ont été extorqués par le biais de « rançongiciels ». Aux Etats-Unis, le Hollywood Presbyterian Medical
Center a fait partie des victimes au mois de février 2016. Paralysé pendant plus d’une semaine, il avait fini par
débourser la somme de 17 000 dollars pour reprendre une activité normale. Et ce, après avoir dû envoyer de
nombreux patients vers d’autres établissements.
Une mésaventure similaire est arrivée trois mois plus tard au Kansas Heart Hospital. Mais cette fois, après avoir
payé la rançon, l’hôpital n’a pas pu récupérer ses fichiers. Pire, une seconde somme d’argent lui a été demandée.
Fin janvier, c’est la police de Washington qui s’est aperçue que le réseau de vidéosurveillance de la ville ne
fonctionnait plus correctement. Avant de prendre connaissance du problème : depuis le 12 janvier, un «
ransomware » avait commencé à faire son œuvre, paralysant 123 des 187 caméras utilisées. En cherchant la
source du dysfonctionnement, des enquêteurs sont tombés un peu plus tard sur un message les invitant à payer
une somme. Ce qui n’a pas été fait. Le réseau a été réinstallé dans l’urgence.
Des risques divers
10/80
Chaque jour ou presque, des collectivités découvrent qu’elles ont été victimes d’une attaque informatique.
Mais difficile de témoigner à visage découvert. Voici ce qu’une victime raconte, sous couvert d’anonymat : «
Nous sommes arrivés un matin et nos postes informatiques étaient bloqués, explique cette directrice générale
des services. Impossible de travailler dans ces conditions. Sur les écrans était affiché un message
énigmatique et surtout, une demande de rançon. »
Si la police a rapidement été prévenue, la commune a dû se résoudre à trouver une solution au plus vite pour
reprendre une activité normale. « Nous ne pouvions pas payer la somme, explique-t-elle. Nous avons appelé
notre prestataire informatique qui a fait le déplacement et nous a indiqué qu’une grande partie de nos
données, notamment les plus récentes, étaient perdues.
Personne n’avait anticipé le problème. Cela a créé beaucoup de remous au sein de la collectivité, dans la
mesure où nous ne savons pas qui est responsable de l’attaque. L’enquête est toujours en cours. Plusieurs
pistes ont été évoquées, dont des personnes hostiles à certaines décisions locales. C’est une expérience qui
reste encore assez traumatisante pour nous. »
Si le prestataire informatique a fourni une solution d’appoint pour que les données soient plus fréquemment
sauvegardées, aucun changement en profondeur, en termes de sécurité, n’a été apporté à ce jour.
REFERENCESGuide d'homologation des systèmes d'information (Anssi)Référentiel général de sécurité (RGS)Guide d'hygiène informatique
CHIFFRES CLES
Date clé
4 mai 2018 C'est la date à laquelle le règlement européen sur la protection des données personnelles entrera enapplication. Ses objectifs ? Renforcer les droits des personnes, responsabiliser les acteurs traitant des donnéeset crédibiliser la régulation. Les sanctions seront renforcées en cas de manquement à la loi. Les amendespourront, par exemple, s'élever à 20 millions d'euros pour les collectivités.
L’expérience traumatisante d’une commune piratée
11/80
Conseils sécurité
Cybersécurité : attaques informatiques en cours et bonnes pratiques
Se protéger contre la cybercriminalité est essentiel pour l'activité de votre entreprise. Quelques conseils pour vous prémunir contre les différentes cyber-attaques. 80 % des entreprises ayant subi un sinistre informatique majeur avec perte de données informatiques (mauvaise manipulation, virus, vol de données ou de matériel, fraude interne, déni de service...) déposent le bilan dans les 2 années qui suivent. Vous trouverez ci-dessous quelques conseils sur les cyberattaques en cours et des conseils de bonnes pratiques. Site Cybermalveillance.gouv.fr : le site national d'assistance et de prévention du risque numérique propose un kit de sensibilisation à la cybermalveillance , il traite des questions de sécurité du numérique, partage les bonnes pratiques dans les usages personnels, et vise à améliorer les usages dans le cadre professionnel.
Cyber-attaques en cours Retrouvez ici les alertes de la Gendarmerie du Rhône et de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sur les attaques informatiques constatées dernièrement. Un nouveau site d'aide aux victimes Le gouvernement a lancé Cybermalveillance.gouv.fr: le dispositif national d’assistance aux victimes d’actes de cybermalveillance. Ce service vise notamment à accueillir les victimes (particuliers, entreprises et collectivités territoriales) par le biais d’une plateforme numérique, et à les diriger vers les prestataires de proximité susceptibles de les assister techniquement. Un espace de sensibilisation informe également le public sur les risques des cyber-attaques. Les prestataires souhaitant proposer leurs services peuvent s’enregistrer sur la plate-forme.
Cyber-attaques de type ransomware ou rançongiciel Qu'est-ce-qu'un "virus rançon" ? Un ransomware (appelé également rançongiciel, crypto-virus ou virus rançon) est un logiciel malveillant pouvant entraîner soit le blocage d'un ordinateur, soit le chiffrement de données qu'il renferme, ou encore, la récupération des informations sensibles. Il ordonne ensuite le paiement d'une rançon (souvent en monnaie virtuelle, bitcoin) pour en restaurer l'accès.
ODIN : un virus ransomware , déclinaison de cryptohost ODIN serait apparu pour la première fois le 29 septembre 2016. Il s’agit de la dernière déclinaison du ransomware LOCKY. Il utilise un système de cryptographie identique aux versions précédentes (Locky, Zepto, ...) mais chiffre les fichiers en leur ajoutant désormais une extension en « .odin ». La clé ayant été modifiée, le déchiffreur « Autolocky », qui permettait depuis quelques temps de décrypter les fichiers en « .locky » est inefficace. A l’instar de ses prédécesseurs, ce nouveau ransomware change l’image de fonds d’écran et laisse apparaître une fenêtre contenant les instructions de paiement, lequel sera effectué via le réseau TOR. Alors que pour Locky, les cybercriminels exigeaient la somme de 360 euros (soit environ un bitcoin), la rançon désormais demandée s’élève à 2000 euros (toujours payable en bitcoins).
DOCUMENT 4
12/80
CRYPTOHOST : le virus qui verrouille vos données dans une archive RAR Il se fait passer généralement pour le logiciel P2P uTorrent et se télécharge souvent sous le nom de uTorrent.exe pour tromper les utilisateurs. Un simple clic sur l'exécutable suffit pour l'activer. CryptoHost, connu également sous le nom de Manamecrypt, ne chiffre pas directement vos fichiers. Il opère tout simplement en déplaçant vos fichiers dans une archive au format RAR protégée par un mot de passe. Il affichera par la suite trois messages différents sur votre bureau en vous précisant de régler la somme de 0.33 Bitcoins (environ 120 euros) pour récupérer vos données. Récupérer les fichiers verrouillés par CryptoHost : Une équipe de recherche composée de Michael Gillepsie, MalwareForMe, MalwareHunterTeam et enfin Bleeping Computer a découvert le moyen de récupérer ses données en déverrouillant l’archive sans payer cette fameuse rançon. L’équipe révèle que le ransomware combine le numéro d’identification du processeur, le numéro de série de carte mère ainsi que celui du disque « C:\ » pour générer un algorithme de cryptographie. C’est cet algorithme qui est utilisé pour nommer l’archive RAR verrouillée. Par conséquent personne nepossède le même mot de passe... en fait il correspond tout simplement au nom de l’archive combiné à votre nom d’utilisateur. Exemple : Si votre archive se nomme "9876543210FEDCBA01234" et que votre nom d’utilisateur c’est « Michel », votre mot de passe est le suivant : 9876543210FEDCBA01234Michel. Avant de rentrer votre mot de passe, pensez à stopper le processus de CryptoHost en passant par votre gestionnaire de tâche (accessible en faisant CTRL + ALT + Suppr). Dans la liste des processus vous trouverez « CryptoHost.exe », il vous suffira de faire un clic-droit sur le processus et de choisir l’option « arrêter le processus ». Il faudra bien évidemment procéder à la suppression de CryptoHost par la suite en supprimant le fichier suivant : C:\Users\Nom d’utilisateur\AppData\Roaming folder\cryptohost.exe. Vous pouvez également supprimer la clé de registre correspondante en passant par votre éditeur de registre : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software%AppData%\cryptohost.exe Source : Logithèque
JIGSAW : le ransomware qui lance un compte à rebours et menace de détruire vos fichiers Il laisse une heure à sa victime pour payer la rançon, puis commence à détruire les fichiers de l'ordinateur en accélérant son rythme toutes les heures. Si aucun paiement n’est effectué dans un délai de 72 heures, tous les fichiers restants disparaissent. Inactiver Jigsaw puis déchiffrer les fichiers à l'aide d'un utilitaire. La première chose à faire, c’est d’ouvrir le gestionnaire de tâches de Windows et de terminer tous les processus appelés firefox.exe oudrpbx.exe qui ont été créés par le ransomware, indique Lawrence Abrams. Puis, il faut lancer l’utilitaire Windows MSConfig et supprimer l’entrée de démarrage pointant vers %UserProfile%\AppData\Roaming\Frfx\firefox.exe. Cela arrêtera le processus de destruction des fichiers et empêchera le malware de se relancer au redémarrage du système. Les utilisateurs pourront alors télécharger l’utilitaire "Jigsaw Decrypter" hébergé par BleepingComputer.com afin de déchiffrer leurs fichiers. Lorsque ce sera fait, il est hautement recommandé de télécharger un logiciel anti-malware à jour et de lancer un scan complet de son ordinateur pour désinstaller entièrement le ransomware. Source : le Monde Informatique
PETYA Petya est un ransomware qui chiffre l’ensemble du disque dur. Les cibles identifiées actuellement sont les entreprises : de faux emails de candidature menant vers des liens de téléchargement Dropbox sont utilisés.
13/80
Le G DATA Security Labs a détecté les premiers fichiers jeudi 24 mars en Allemagne. La campagne actuellement en cours vise les entreprises. Dans un email au service des ressources humaines, il y a une référence à un CV se trouvant dans Dropbox. Le fichier stocké dans le partage Dropbox est un exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est possible. Le message est clair : le disque est chiffré et la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables. Les experts du G DATA SecurityLabs travaillent à l’analyse de ce nouveau type de ransomware. G DATA recommande aux entreprises et particuliers de redoubler de vigilance quant aux emails reçus. Dans les entreprises, le blocage des partages en ligne de type Dropbox est à étudier, ces systèmes permettant de passer à travers les filtrages des passerelles emails. Nouveau : en utilisant un algorithme, il s’avère désormais possible de casser la clé de chiffrement interdisant l’accès aux données et de restaurer le Master Boot Record (MBR), la partition de démarrage qui permet à l’ordinateur d’initier le lancement de son système d’exploitation.
CTB LOKER La nouvelle version du virus « CTB Locker » réussit à passer outre les firewalls et antivirus les plus sophistiqués,si ceux-ci sont mal configurés. « CTB Locker » se propage essentiellement via des courriels d'apparence anodine , personnalisés au maximum (notamment grâce à des informations recueillies par le biais des techniques dites de social engineering) en vue de ne pas éveiller les soupçons des utilisateurs ciblés. Un document, identifié comme étant une facture, une plainte de client, un bon de commande, …, comportant l'extension « .cab » (format de fichier Microsoft compressé) contient l’exécutable malveillant, lequel s'installe une fois le document ouvert puis crypte les données à l'insu de l'utilisateur. Peu de temps après, une fenêtre « pop -p » apparaît et informe le salarié de l'attaque dont il vient d'être victime et de la nécessité de payer une rançon avant l'échéance d'un compte à rebours affiché à l'écran pour obtenir un retour à la normale. Payer se révèle souvent sans aucun effet car une fois la rançon réglée, le cybercriminel disparaît sans transmettre la clé de déchiffrement nécessaire au déblocage.
Autres ransomwares : LOCKY et CRYSIS (Crysis venant du fait que ce dernier modifie les extensions des documents chiffrés en ".Crysis"). Il cible les entreprises et semble être installé par des attaques "bruteforce RDP". Si le groupe à l'origine de ce ransomware est le même que pour les autres attaques, il y a probablement peu de chances de récupérer les documents chiffrés, même après paiement de la somme exigée. Comme dans les cas précédents, le fond d'écran est modifié avec les instructions de paiement adresse de contact [email protected] par exemple.
Des règles de bon sens : La première règle élémentaire de sécurité est la suivante : "On réfléchit puis on clique et non pas l'inverse". Seule une vigilance de tous les instants peut éviter les désagréments causés par un ransomware. La seconde règle de sécurité à appliquer par tous (particuliers, administrations et entreprises privées) est de réaliser des sauvegardes très régulières et d'en vérifier la viabilité. En cas de problème, cette action est la seule à permettre un retour à la normale (plus ou moins rapide) après avoir subi une
14/80
atteinte de ce type. Comment se protéger contre le virus rançon ?
• Sensibiliser régulièrement les salariés et ce quel que soit le niveau de responsabilité exercé.Tout personnel connecté au réseau de l'entreprise est susceptible d'être rendu destinataire de mails piégés pouvant infecter au mieux son ordinateur et au pire l'intégralité du système d'information de l'entreprise.
• Effectuer des sauvegardes régulières de l'ensemble du système informatique et des donnéescontenues. S'assurer régulièrement de leur viabilité.
• Installer et mettre à jour régulièrement antivirus et firewall.• Bloquer les extensions .cab dans les applications messagerie• Effectuer une veille régulière qui permettra d'anticiper et de s'adapter aux nouvelles
menaces.Que faire en cas de problème ?
• Prendre en photo tous les écrans (mail frauduleux et ses pièces-jointes) ou réaliser des copiesd'écran et noter toutes les actions réalisées ainsi que les heures,
• Isoler les serveurs et lancer un scan antivirus,• Identifier l'adresse IP émettrice du mail,• Supprimer le profil utilisateur problématique sur les serveurs,• Supprimer l'ensemble des fichiers cryptés,• Restaurer l'ensemble des dossiers et fichiers depuis des sauvegardes ou des points de
restauration système réalisés antérieurement à l'attaque,• Communiquer immédiatement sur l'attaque auprès de tous les utilisateurs,• Analyser en vue de comprendre les raisons pour lesquelles le mail n'a pas été filtré par les
systèmes sécurité.Procéder avec minutie au risque de perdre vos fichiers.
• Dans tous les cas, déposer rapidement plainte auprès du service de police ou degendarmerie territorialement compétent en cas de problème avéré ou de simple tentative.
Première tentative réussie de ransomware sur MAC Ke.Ranger ou KeyRanger est un malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets devraient se faire ressentir à compter du 07 mars 2016. Et ces effets risquent d'être dévastateurs, si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur. Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon s'il veut recouvrer ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9). Une fois ce délai de grâce de 3 jours achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés. Les utilisateurs ayant installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès aujourd'hui, d'être les victimes de Ke.Ranger. Apple aurait réagi en supprimant le certificat du développeur permettant d'installer le malware. Les ransomwares sont de plus en plus courants sur Windows, et jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas. […]
15/80
Les collectivités territoriales cibles des pirates informatiques
27 février 2017 - Par Pierre-Alexandre Conte
Si elles n’en ont pas toujours conscience, les collectivités territoriales peuvent bel et bien être victimes de cyberattaques. Et ce, pour de multiples raisons. En cas de faute avérée, les sanctions encourues peuvent devenir particulièrement difficiles à assumer. Une République numérique. C’est ainsi qu’a été baptisée la loi portée par l’actuelle secrétaire d’Etat chargée du numérique, Axelle Lemaire, parue le 8 octobre 2016 au « Journal officiel ». Un nom ô combien symbolique et révélateur de la profondeur de la transformation vécue par l’ensemble de la société. Celle-ci touche naturellement les collectivités territoriales, qui bénéficient des multiples avantages qu’elle génère, mais qui doivent, dans le même temps, composer avec de nouvelles obligations. Parmi elles, figure en tête de liste la sécurisation de leur système d’information. En préambule de son rapport d’activité annuel paru en 2016, l’Agence nationale de la sécurité des systèmes d’information (Anssi) introduisait le sujet comme suit : « Les technologies numériques procurent des gains de productivité et sont donc source de richesse et de compétitivité pour notre pays, mais elles induisent également des vulnérabilités nouvelles. La cybersécurité est devenue, de ce fait, une condition structurante, non seulement de la sauvegarde de notre patrimoine économique et intellectuel, mais aussi de la protection physique de nos concitoyens. » Des propos signés Louis Gautier, secrétaire général de la défense et de la sécurité nationale.
FOCUS Dans son rapport d’activité concernant l’année 2015, l’Anssi explique avoir reçu 4 000 signalements, soit 50 % de plus qu’en 2014. L’Agence a aussi dû traiter une vingtaine d’incidents de sécurité majeurs. Les sites web en première ligne La première erreur en matière de sécurité informatique consiste à penser qu’une collectivité, quelle que soit sa nature, n’a aucune raison d’être la cible d’une attaque. C’est pourtant un raisonnement fréquemment rencontré au sein des petites et moyennes communes, qui considèrent parfois qu’elles ne détiennent rien qui puisse intéresser d’hypothétiques assaillants. « Comme tout un chacun qui dispose d’une visibilité sur internet, les collectivités territoriales peuvent faire partie des victimes d’une vague d’attaques, précise Guy Flament, référent de l’Anssi au sein de la région Nouvelle Aquitaine. Leur présence sur internet, notamment par le biais de leurs sites web, offre des surfaces pour les attaquants, qui peuvent leur permettre d’afficher des messages de revendication ou de propagande. Ensuite, les collectivités subissent des attaques par des « rançongiciels » qui prennent en otage leur système d’information et offrent de le libérer contre une rançon. En ce qui concerne les autres menaces informatiques que peuvent être le sabotage ou l’espionnage, elles ne sont pas, pour le moment, particulièrement visées. Mais elles pourraient le devenir, notamment à cause du nombre de données à caractère personnel qu’elles hébergent. » Les collectivités territoriales brassent en effet de plus en plus de données, dont certaines s’avèrent
DOCUMENT 5
16/80
particulièrement sensibles. Elles sont au cœur de toutes les préoccupations, comme en témoignent les nombreux articles qui leur sont consacrés au sein de la loi pour une République numérique. Il convient donc de les protéger. « Les collectivités détiennent notamment l’état civil. Il ne faudrait pas qu’un jour ces fichiers puissent être modifiés par des attaquants. Les comptes de la commune intéressent aussi les gens et tout ce qui touche aux dossiers de consultation publique », lance Guy Flament.
Sanctions pénales La protection des données du citoyen est garantie par la loi « informatique et libertés ». C’est évidemment la Commission nationale de l’informatique et des libertés (Cnil) qui veille au respect de cette dernière. Ses compétences ont été élargies par la loi pour une République numérique. Sur le plan financier, les collectivités encourent une amende pouvant s’élever jusqu’à 3 millions d’euros ; ce n’est pas rien ! La Cnil peut aussi ordonner que l’organisme sanctionné informe à ses frais les victimes. La loi prévoit par ailleurs la possibilité de sanctionner pénalement les maires, les présidents de conseils régionaux et de conseils généraux en cas de manquement grave, comme le fait de ne pas prendre les mesures nécessaires pour garantir la confidentialité des informations ou l’utilisation de ces dernières à d’autres fins. A partir du mois de mai 2018, les collectivités devront appliquer le règlement européen sur le sujet. Concernant ce dernier, selon Pierre Deprez, avocat du cabinet DS avocats dans le département « droit de la propriété intellectuelle, technologies numériques et data », on parle d’un « changement de paradigme ». Cela signifie le passage « d’un régime de déclaration et d’autorisation des traitements à un régime d’accountability, d’autoresponsabilité ». Les communes devront conserver « une trace des moyens techniques et organisationnels qu’elles auront mis en œuvre pour assurer la sécurité des données », dans le but de montrer patte blanche en cas de contrôle. Mais les données ne sont pas l’unique préoccupation des collectivités. D’autres domaines requièrent leur attention, à l’image des objets connectés. Ce sont de formidables outils, mais ils peuvent aussi se retourner contre ceux qui les utilisent. « Les objets connectés, comme les smartphones il y a quelques années, représentent une augmentation de la surface d’attaque puisqu’ils sont, par nature, connectés à internet. Si ces objets ne sont pas correctement configurés et sécurisés, ils offrent une porte d’entrée à d’éventuels attaquants », précise Guy Flament.
Des risques divers « L’émergence des outils connectés implique de prendre ses précautions, déclare de son côté Olivier Fouqueau, directeur général des services d’Infocom94, syndicat intercommunal informatique du Val-de-Marne. Quand une direction générale des services techniques, voire un élu, décide que c’est super d’équiper toutes les places de parking d’un capteur pour permettre de savoir, à distance, par le biais de son téléphone portable, s’il y a une place pour se garer, mais qu’il n’y a pas de sécurité autour, cela peut très vite devenir difficile à gérer. » Les rapports affirmant que la cybercriminalité est en constante augmentation sont rendus publics de manière quasi quotidienne. Pour autant, il n’est pas si évident de trouver une collectivité territoriale qui accepte de faire part d’une mauvaise expérience. La raison est simple : elle relève de la peur de voir son image se détériorer. C’est là l’un des principaux risques encourus, notamment par les villes. « Il ne se passe pas une journée sans qu’il y ait un site internet défiguré dans la région », déplore le référent de l’Anssi en Nouvelle Aquitaine. En cas de pertes de données et de responsabilité avérée, le règlement européen demandera également aux collectivités, en 2018, d’informer le public quant à ses failles de sécurité. Si les communes sont concernées par leur image, elles doivent en plus composer
17/80
avec l’inaccessibilité de leur site. Ce qui peut altérer de manière plus ou moins grave la mission de service public. La perte peut aussi être financière, notamment s’il y a demande de rançon, les sommes demandées étant, la plupart du temps, élevées. « Le sujet de la sécurité est souvent diabolisé, regrette Frank Mosser, expert dans le domaine de la cybersécurité et président de MGDIS, société éditrice de services logiciels de pilotage et de valorisation de l’action publique, basée à Vannes. Quand ça fait trop peur, on a tendance à mettre la tête dans le sac et à faire l’autruche. Il y a quelques années, ce n’était pas si grave que cela. Là, ça le devient un peu plus. »
FOCUS - Le « rançongiciel », fléau international en pleine expansion Extorsion Tout le monde ou presque a entendu parler de Locky. Ce « ransomware » – « rançongiciel » en français – s’est rendu populaire en faisant de nombreuses victimes au cours de l’année passée. Une fois activé sur l’ordinateur de la personne visée, ce dernier chiffre les données et demande une somme d’argent en échange de leur restitution. S’il reste l’exemple le plus connu, Locky n’est pas un cas unique. Loin de là. 290 millions de dollars – Le FBI estime que durant le premier trimestre de l’année 2016, environ 209 millions de dollars ont été extorqués par le biais de « rançongiciels ». Aux Etats-Unis, le Hollywood Presbyterian Medical Center a fait partie des victimes au mois de février 2016. Paralysé pendant plus d’une semaine, il avait fini par débourser la somme de 17 000 dollars pour reprendre une activité normale. Et ce, après avoir dû envoyer de nombreux patients vers d’autres établissements. Une mésaventure similaire est arrivée trois mois plus tard au Kansas Heart Hospital. Mais cette fois, après avoir payé la rançon, l’hôpital n’a pas pu récupérer ses fichiers. Pire, une seconde somme d’argent lui a été demandée. Fin janvier, c’est la police de Washington qui s’est aperçue que le réseau de vidéosurveillance de la ville ne fonctionnait plus correctement. Avant de prendre connaissance du problème : depuis le 12 janvier, un « ransomware » avait commencé à faire son œuvre, paralysant 123 des 187 caméras utilisées. En cherchant la source du dysfonctionnement, des enquêteurs sont tombés un peu plus tard sur un message les invitant à payer une somme. Ce qui n’a pas été fait. Le réseau a été réinstallé dans l’urgence.
FOCUS - L’expérience traumatisante d’une commune piratée Chaque jour ou presque, des collectivités découvrent qu’elles ont été victimes d’une attaque informatique. Mais difficile de témoigner à visage découvert. Voici ce qu’une victime raconte, sous couvert d’anonymat : « Nous sommes arrivés un matin et nos postes informatiques étaient bloqués, explique cette directrice générale des services. Impossible de travailler dans ces conditions. Sur les écrans était affiché un message énigmatique et surtout, une demande de rançon. » Si la police a rapidement été prévenue, la commune a dû se résoudre à trouver une solution au plus vite pour reprendre une activité normale. « Nous ne pouvions pas payer la somme, explique-t-elle. Nous avons appelé notre prestataire informatique qui a fait le déplacement et nous a indiqué qu’une grande partie de nos données, notamment les plus récentes, étaient perdues. Personne n’avait anticipé le problème. Cela a créé beaucoup de remous au sein de la collectivité, dans la mesure où nous ne savons pas qui est responsable de l’attaque. L’enquête est toujours en cours. Plusieurs pistes ont été évoquées, dont des personnes hostiles à certaines décisions locales. C’est une expérience qui reste encore assez traumatisante pour nous. » Si le prestataire informatique a fourni une solution d’appoint pour que les données soient plus fréquemment sauvegardées, aucun changement en profondeur, en termes de sécurité, n’a été apporté à ce jour.
18/80
Mathieu Vigneron, Atos : éviter les empilements de solutions de sécurité et favoriser les solutions orchestrables
Octobre 2018 par Marc Jacob
Pour sa nouvelle participation aux Assises de la Sécurité, Atos présentera sa gamme de solutions de cybersécurité avec en particulier ses offres de Gestion des identités et des accès, de protection des données, de communications mobiles sécurisées et ses servicesen sécurité. Mathieu Vigneron, Directeur commercial cybersécurité France chez Atos conseille entre autre d’éviter les empilements de solutions de sécurité et de favoriser les solutions orchestrables.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Mathieu Vigneron : Atos présentera une large gamme de solutions de cybersécurité, et mettra notamment en avant les points suivants : La Gestion des Identités et des Accès (IAM, E-SSO…) au sein des organisations lors du recours à des ressources et services externalisés et partagés, avec nos solutions Evidian. La protection des données et les produits de chiffrement Trustway. La mise en place d’une infrastructure sécurisée via des identités de confiance et la sécurité de l’Internet des Objets avec les solutions Horus. Les services en sécurité gérés depuis nos Security Operations Centers (SOCs), pour combattre les menaces – ainsi que la sécurité des applications et données d’entreprise dans le Cloud à l’heure de la mobilité. Les communications mobiles ultra-sécurisées avec notre smartphone Hoox.
GS Mag : Quel sera le thème de votre conférence cette année ?
Mathieu Vigneron : Nous organisons un atelier le jeudi 11 octobre à 10h au sujet de la mutualisation des solutions de gestion des accès et des identités entre les différentes filiales de l’entreprise Orange, grâce à notre solution Evidian IAM. Opérée centralement, la solution Evidian IAM facilite et harmonise les processus du Groupe, tout en respectant les spécificités fonctionnelles de chaque filiale.
Nous participerons également à l’atelier ‘Transformez votre IT vers le Cloud en toute confiance’ par McAfee, mercredi 10 octobre à 15h.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?
Mathieu Vigneron : Les principales menaces observées en 2018 sont directement liées aux grands chantiers digitaux engagés par nos clients. Les environnements techniques et métiers évoluent. Les risques aussi. Atos accompagne ses clients dans la gestion des menaces liées : • Aux environnements hybrides (cloud public/privés – iaas, paas, saas) qui induisent ladensification des flux est/ouest, les larges fédérations d’identités, la conteneurisation et les démarches devOps, à l’accroissement de la surface exposée via la multiplication des APIs et de leurs usages ;
• A l’avènement de l’intelligence artificielle et des algorithmes de machine-learning quiconsomment et produisent de plus en plus de données avec plus ou moins de considérations quant à leur confidentialité et sensibilité ;
DOCUMENT 6
19/80
• A l’accélération de la convergence des environnements IT/OT qui expose brutalement dessystèmes jusqu’à présent isolés et aux besoins de disponibilité et d’intégrité sans commune mesure avec la plupart des systèmes corporate.
GS Mag : Quid des besoins des entreprises ?
Mathieu Vigneron : La transformation digitale au cœur des préoccupations des entreprises. Il est nécessaire de comprendre les nouvelles menaces liées au changement de périmètre (Cloud, on-premises, IoT), de comprendre le niveau de maturité de l’entreprise en termes de sécurité pour définir comment faire évoluer la stratégie de l’entreprise.
Les enjeux de mise en conformité (GDPR, LPM, NIS) sont toujours aussi nombreux. Les approches « théoriques » ne répondent pas au besoin. Nos clients recherchent des compromis acceptables entre business et sécurité/conformité.
L’opération de la sécurité et les SOC sont au cœur de nombreuses réflexions chez nos clients. Beaucoup de demandes mais peu de projets qui voient effectivement le jour. Toutefois, le niveau de maturité évolue rapidement et nous observons une transition progressive des besoins de sécurité orientés « infrastructures » vers des besoins orienté « métiers » et construits sur des cas d’usage.
S’outiller pour détecter des menaces toujours plus fines et discrètes dans des environnements très dynamiques et hétérogènes (cloud, mobilité, OT). L’approche « antivirus & signatures » ne suffit plus. Les besoins concernent la détection des comportements déviants, les capacité de sandoxing, les bases de réputation et les capacités de réaction et de quarantaine lorsqu’il y a un doute.
Protéger les données (quelle que soit leur localisation). Comment décliner l’approche data-centric dans des contextes de migration vers le Cloud. Comment identifier les données sensibles (savoir-faire, propriété intellectuelles, données stratégiques, données personnelles, …). Evaluer les risques induits par le CloudAct/PatriotAct et construire une réponse adaptée (sans freiner la transformation digitale).
De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Mathieu Vigneron : Atos, en tant qu’ESN, accompagne ses clients dans leur transformation digitale et se positionne comme un partenaire de confiance. La division cybersécurité du groupe Atos a donc développé des solutions adaptées à ces nouveaux enjeux. Notre stratégie est aujourd’hui déclinée sur les piliers :
Digitalisation du poste et de l’environnement de travail
Hybridation des infrastructure dans le Cloud
Intelligence Artificielle et Big Data
Atos fonde sa stratégie sur les compétences de ses propres collaborateurs et experts mais aussi en sélectionnant ses partenaires technologiques pour leur interopérabilité et pour leur capacité d’automatisation et d’orchestration (spécifiquement dans ces nouveaux contexte). Atos engage notamment ses efforts autour de :
Nouvelles techniques d’authentification dans les environnements virtualisés
Enclaves souveraines dans des environnements Cloud publics
Outillage et méthode DevSecOPS
20/80
SOC prescriptif
Convergence des processus IT/OT et Ops/SSI
Nous accompagnons également les entreprises dans leur ‘cybersecurity journey’ autour des problématiques de sécurisation du cloud, du digital workplace, des identités de confiance, de la supervision des infrastructures, de sécurisation et de gouvernance des données, la sécurisation des milieux industriels.
GS Mag : Avec l’entrée en vigueur du RGPD, la « security & privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?
Mathieu Vigneron : Atos est acteur de la cybersécurité, en conseil, en intégration, en opérateur mais aussi en tant qu’éditeur de produits du domaine. La prise en compte de la cybersécurité est au cœur des processus mis en œuvre par les équipes cybersécurité depuis des années (et donc bien avant la mise en place du nouveau règlement européen).
La protection de nos systèmes et l’organisation de nos services/prestations est pilotée par les risques en termes d’atteinte à la confidentialité et à l’intégrité de nos données et de celles de nos clients.
Nous engageons aujourd’hui des efforts :
de communication autour de ces systèmes de management pour expliquer les choixd’architectures qui ont été fait et qui sont fait quotidiennement avec nos clients.
de protection des environnements/prestations DevOPS avec l’outillage sécurité adéquat(offre DevSecOPS) pour compléter les plateformes CICD existantes.
de protection des architectures big-data et analytiques peu compatible, par nature, avecles principes du règlement européen.
Nous avons pour objectif accompagner et aider les entreprises depuis l’identification de leurs données personnelles avec le DPIA (data protection impact assessment) jusqu’à la mise en place des solutions adéquates pour les contrôler, les protéger et les superviser.
GS Mag : Quel est votre message aux RSSI ?
Mathieu Vigneron : J’en aurais deux :
1. Prenez de la hauteur. Construisez votre stratégie cybersécurité. Evitez les empilements ou lesjuxtapositions d’outils et favorisez les solutions orchestrables. Acceptez et accompagnez les transformations en profondeur des architectures et cherchez à rationnaliser votre modèle de défense en l’associant le plus possible aux cas d’usage de vos métiers. Le ROI n’en sera que plus facile à produire. Pour cela il faudra nécessairement identifier, qualifier et quantifier les risques, ainsi que se focaliser sur l’opération des technologies afin de pouvoir faire face aux menaces en perpétuelles évolutions.
2. Soyez au cœur, en tant qu’acteur, de la convergence des processus IT (opérations) et desprocessus sécurité. Œuvrez pour que la sécurité soit la plus intégrée possible au SI et accompagnez la transformation digitale (Cloud, IA, Digital workplace), de votre entreprise enproposant des solutions/réponses innovantes et orchestrées aux nouveaux enjeux. La stratégie sécurité de votre entreprise doit être alignée avec sa stratégie globale.
21/80
COMMENT APPLIQUER LE PRINCIPE DU PRIVACY BY DESIGN?
Livre Blanc
TOUT D’ABORD, UN CONSTAT
Force est de constater que la prise en compte de la protection des données à caractère personnel (DCP) dès les phases amont d’un nouveau projet informatique n’est pas encore entrée dans les mœurs, ni des éditeurs de solutions, ni des donneurs d’ordre ou acheteurs.
Les contrôles de conformité de nature juridique réalisés par le CIL ou les audits de sécurité réalisés par le RSSI montrent que des efforts sont encore à consentir dans ce domaine.
Voici quelques exemples de sujets faiblement pris en compte voire totalement oubliés dans les démarches projets :
• L’application informatique déployée récemment ne prévoitpas de purge automatique des données des DCP dont le traitement n’est plus nécessaire.
• Les DCP restent stockées dans la base de données activepour une durée illimitée alors qu’elles devraient basculer dans une base de données intermédiaire, voire dans une base d’archivage en fonction de la finalité du traitement et du cadre légal applicable aux DCP concernées.
• L’application informatique ne prévoit pas de chiffrement desDCP permettant de limiter leur lisibilité aux seuls professionnels habilités à y accéder.
• Les DCP échangées en pièce jointe de courriel ne sont paschiffrées ou protégées contre une lecture illicite notamment lors de l’usage de la messagerie sur internet.
• Les traces embarquées dans les applications informatiquessont difficilement exploitables (si elles existent) pour identifier l’origine d’une violation1 sur les DCP.
• Les supports amovibles (exemple : clé USB) utilisés par lesutilisateurs contiennent des DCP et ne sont pas protégés en cas de perte ou de vol.
1 violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données [source : article 4 du projet de règlement européen]
DOCUMENT 7
- ageris-consulting.com - 2 avril 2016
22/80
• L’application informatique ne permet pas la mise en œuvre de solutions d’authentificationforte (carte à puce par exemple) sans un développement complémentaire du fournisseur (sicela est possible) entrainant un surcoût non budgété.
• Les systèmes de surveillance et d’alarme ne sont pas programmés pour traiter les violationsde DCP et les procédures de gestion des incidents ne prévoient pas la notification auresponsable des traitements et/ou aux personnes concernées, des incidents sur les DCP lesplus sensibles dans la limite de 72h00 après leur identification.
• Le cahier des charges ne contient pas de clauses spécifiques de sécurité des DCP imposantau fournisseur le respect de la politique de protection des DCP de l’organisme et des règlesqui en découlent.
• Le fournisseur n’a pas suffisamment mis l’accent sur la sécurité des DCP dans les réponsesau cahier des charges et n’a pas joint un plan d’assurance sécurité (PAS) à son dossier.
Les exemples sont malheureusement nombreux, et les failles de sécurité qui sont identifiées dans les démarches d’audit ou de contrôle sont parfois difficiles à colmater, voire impossibles à traiter.
L’ORIGINE DE CE CONSTAT
Il est difficile de pouvoir affirmer que l’origine de ce constat est unique. Cela dépend bien évidemment de l’organisme concerné, de sa maturité et des pratiques internes en matière de protection des données et des systèmes d’information. Cependant, il est généralement admis qu’une absence de prise en compte ou une méconnaissance de ces sujets au plus haut niveau de l’organisme est souvent à l’origine d’une politique de protection des DCP insuffisamment adaptée aux enjeux, aux risques liés à l’usage des systèmes d’information et aux risques de nature juridique.
Il est à rappeler que la loi « informatique et libertés » (n° 78-17 du 6 janvier 1978 modifiée en 2004) précise en son article 34 : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ». Le responsable des traitements doit donc être informé de la nature des risques résiduels identifiés dans le cadre de contrôles ou mis en évidence lors d’un nouveau projet afin qu’il puisse décider des mesures de protection qui en découlent et assumer pleinement sa responsabilité de nature juridique. De nombreuses questions restent encore trop souvent sans réponse positive :
• Le responsable des traitements est-il informé des risques numériques résiduels du nouveauprojet informatique avant sa mise en production ?
• Le responsable des traitements a-t-il acté la prise en compte de mesures spécifiques de sécuritépermettant de traiter les risques identifiés dans le cadre du nouveau projet avant sa mise enproduction ?
• Le responsable des traitements a-t-il homologué la sécurité informatique du nouveau projet etaccepté les risques résiduels ?
23/80
COMMENT PROCEDER POUR AMELIORER LA SITUATION ?
Le prérequis à l’amélioration de la situation est la mise en place d’une gouvernance adaptée aux nouveaux enjeux réglementaires et aux nouveaux risques qui doit s’appuyer sur les éléments suivants :
• La création d’une filière fonctionnelle « SSI2 » adaptée à l’organisme et prévoyant ladésignation d’un RSSI (fonctionnellement rattaché à la Direction Générale) et la mise en placede référents SSI dans les directions métiers. Au niveau des maitrises d’œuvre (DSI, Moyensgénéraux), il convient également de désigner des responsables en charge de la mise en œuvredes politiques de sécurité ;
• La création d’une filière fonctionnelle « Informatique et libertés » s’appuyant sur le CIL et lamise en place de référents « Informatique et Libertés » dans les directions métiers (selon la taillede l’organisme bien évidement).
• La mise en place d’une instance de décision, placée sous la responsabilité du responsabledes traitements et/ou dirigeant de l’organisme dont la mission sera de piloter, d’arbitrer etd’homologuer la sécurité des systèmes d’information. Il convient bien évidemment de rappeleraux dirigeants de l’organisme leurs rôles et responsabilités en matière de protection des DCPet des SI au travers de réunions de sensibilisation et d’ateliers d’échange afin qu’ils adhérentpleinement à la démarche.
Il est rappelé que l’ANSSI3 impose la mise en place d’une gouvernance de la SSI au travers de différents référentiels et directives tels que la PSSI-E (Politique de Sécurité des Systèmes d’Information de l’Etat) ou le RGS 2.0 (Référentiel Général de Sécurité).
Une fois les prérequis mis en œuvre, il convient ensuite que les équipes en charge de la mise en œuvre de nouveaux projets informatiques (Chefs de projets Informatique (CPI) et Utilisateur (CPU)) soient formés et outillés pour intégrer la protection des DCP dès les phases amont des projets.
Le CIL et le RSSI sont des acteurs importants dans la mise en place de cette démarche et doivent réussir à faire adhérer pleinement à la démarche l’ensemble des acteurs impliqués (CPI, CPU, Chefs de Service, etc.).
L’équipe projet devra alors formaliser un dossier de sécurité du nouveau projet en vue d’une homologation de la SSI par le responsable des traitements et/ou le dirigeant de l’organisme en complément d’un dossier d’évaluation d’impact sur la vie privée si des données sensibles ou perçues comme sensibles sont traitées.
Le RSSI coordonne les actions relatives au dossier de sécurité, le CIL celles relatives à l’EIVP.
2 SSI : Sécurité des Systèmes d’Information 3 ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (créée par le décret du 7 juillet 2009)
24/80
Le croquis ci-dessous donne un exemple de la gouvernance basée sur les recommandations de l’ANSSI que les organismes peuvent mettre en oeuvre :
AQSSI = Autorité Qualifiée en SSI RT = Responsable des Traitements
AH : Autorité d’Homologation
QUE DOIT CONTENIR LE DOSSIER DE SECURITE PERMETTANT L’HOMOLOGATION DE LA SSI ? Dans son « guide d’homologation de la SSI en 9 étapes4 », l’ANSSI recommande la constitution d’un dossier SSI comprenant les documents suivants :
1. La stratégie d’homologation2. L’analyse de risques3. La politique de sécurité du système d’information (PSSI)4. Le journal de bord de l’homologation
5. Les référentiels de sécurité6. Le tableau de bord de l’application des règles d’hygiène informatique
7. La cartographie des systèmes d’information de l’organisme8. Les schémas détaillés des architectures du système
9. Le document présentant les risques identifiés et les objectifs de sécurité
4 Source : www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples - 20/03/2016
25/80
10. Les procédures d’exploitation du système11. Les exigences de sécurité à destination des systèmes interconnectés
12. Les décisions d’homologation des systèmes interconnectés13. Les certificats de sécurité des produits utilisés
14. Les attestations de qualification des produits ou prestataires15. Les plans de tests et d’audits
16. Les rapports de tests et d’audits et les plans d’action associés17. Le dossier des risques résiduels
18. Les éventuelles décisions d’homologation antérieures19. Le tableau de bord des incidents et de leur résolution20. Le journal des évolutions
La liste de documents à produire (20) parait exhaustive et lourde à appliquer mais elle permet au responsable des traitements de prendre pleinement connaissance de la situation, de pouvoir prendre les décisions qui s’imposent et d’assurer pleinement ses responsabilités de nature juridique.
Ne pas lui fournir les éléments recommandés par l’ANSSI, l’expose (le responsable des traitements) à une mauvaise prise de décision et expose l’équipe projet à des reproches quant à l’absence d’informations fournies pour la prise de décision notamment si une violation de DCP est constatée après la mise en production du projet.
2 APPROCHES, CELLE DE L’ANSSI ET CELLE DE LA CNIL : QUELLE DEMARCHE ADOPTER ? L’ANSSI a fourni des recommandations concernant la démarche d’homologation à adopter notamment dans le RGS 2.05 et dans la PSSI-E6 dont voici quelques extraits :
Extrait du RGS 2. 0 : [Chapitre 1. Mise en conformité avec les exigences du « décret RGS »] « Afin de mettre leur système d’information en conformité avec le RGS, les autorités administratives doivent adopter une démarche en cinq étapes, prévue par le décret n° 2010-112 du 2 février 2010 (décret RGS) : 1. Réalisation d’une analyse des risques (art. 3 al. 1) ;2. Définition des objectifs de sécurité (art. 3 al. 2) ;3. Choix et mise en oeuvre des mesures appropriées de protection et de défense du SI (art. 3 al. 3) ;4. Homologation de sécurité du système d’information (art. 5) ;5. Suivi opérationnel de la sécurité du SI.»
Extrait de la PSSI-E : [Deuxième Partie : objectifs et règles - Gestion des risques et homologation de sécurité] « INT-HOMOLOG-SSI : Homologation de sécurité des systèmes d’information. Tout système d’information doit faire l’objet d’une décision d’homologation de sa sécurité avant sa mise en exploitation dans les conditions d’emploi définies. L’homologation est l’acte selon lequel l’autorité atteste formellement auprès des utilisateurs que le système d’information est protégé conformément aux objectifs de sécurité fixés. La décision d’homologation est prise par l’autorité d’homologation (désignée par l’autorité qualifiée), le cas échéant après avis de la commission d’homologation. Cette décision s’appuie sur une analyse de risques adaptée aux enjeux du système considéré, et précise les conditions d’emploi. »
5 RGS : Référentiel Général de Sécurité 6 PSSI-E : Politique de Sécurité des Systèmes d’Information de l’Etat
26/80
La démarche imposée par l’ANSSI prévoit la réalisation d’une analyse des risques systématique et la définition des objectifs de sécurité comme point d’entrée permettant ensuite d’adapter les mesures de sécurité aux enjeux identifiés. Par ailleurs, la CNIL a défini une méthodologie permettant d’évaluer l’impact sur la vie privée (EIVP)7 qui prévoit :
1. De décrire le (s) traitement(s) considéré(s), les données à caractère personnel concernées etleur usage ;
2. D’identifier les mesures existantes ou prévues pour respecter les exigences légales et traiterles risques sur la vie privée des personnes concernées par le(s) traitement(s) ;
3. D’apprécier les situations à risques pour vérifier qu’ils sont convenablement traités au seinde l’organisme ;
4. De valider la manière dont il est prévu de respecter les principes de protection de la vie privéeet de valider les risques résiduels.
Force est de constater que les 2 approches de l’ANSSI et de la CNIL sont proches et qu’elles introduisent les mêmes concepts :
1. Le périmètre doit être décrit pour bien délimiter la cible de la démarche.2. Une appréciation des risques doit être réalisée par l’équipe projet. A noter que la CNIL
s’appuie sur la méthode EBIOS de l’ANSSI pour identifier les risques sur les DCP.
3. La décision finale revient au dirigeant / responsable des traitements (homologation,acceptation de l’EIVP).
La matrice suivante décrit quelle démarche adopter en fonction de la nature du projet et des données traitées :
Type de projet Démarche de l’ANSSI8
Démarche de la CNIL9
Nouveau projet informatique avec données à caractère personnel non sensibles au sens de la loi « informatique et libertés »
X
Nouveau projet informatique avec données à caractère personnel sensibles au sens de la loi « informatique et libertés » ou perçues comme sensibles par la CNIL
X X
Nouveau projet informatique sans donnée à caractère personnel X
Traitement déjà opérationnel avec données à caractère personnel non sensibles au sens de la loi « informatique et libertés »
X
Traitement déjà opérationnel avec données à caractère personnel sensibles au sens de la loi « informatique et libertés » ou perçues comme sensibles par la CNIL
X X
Traitement déjà opérationnel sans donnée à caractère personnel X
7 Le livre Blanc d’AGERIS Priv@cy décrit la démarche EIVP : www.slideshare.net/ThierryRAMARD/ageris-privcy-livre-blanc-sur-lvaluation-dimpact-sur-la-vie-prive-eivp 8 Guide d’homologation en 9 étapes 9 Guide d’évaluation d’impact sur la vie privée (EIVP)
27/80
METHODOLOGIE A APPLIQUER LORSQU’IL EST PREVU DE TRAITER DES DCP SENSIBLES OU PERÇUES COMME SENSIBLES DANS LE CADRE DU NOUVEAU PROJET La démarche méthodologique, basée sur les recommandations des autorités compétentes (CNIL et ANSSI) pourrait être la suivante :
La démarche Les actions Outillages ou référentiels disponibles
Décrire le périmètre du projet
1. Identifier le contexte et les contraintes éventuellesdu projet
Guide d’homologation en 9 étapes
2. Décrire le(s) traitement(s) considéré(s), les donnéesà caractère personnel concernées et leur usage
Guide EIVP de la CNIL
Identifier les mesures existantes ou prévues
3. Décrire les mesures existantes ou prévues pourrespecter les exigences légales
Guide EIVP de la CNIL
4. Décrire les mesures pour traiter les risques sur la vieprivée des personnes concernées par le(s)traitement(s)
Guide EIVP de la CNIL Guide d’hygiène informatique de l’ANSSI Norme ISO 27002
Identifier les besoins de sécurité du SI
5. Faire une estimation rapide des besoins SSI duprojet / Classification des informations et des actifsen support
Guide d’homologation en 9 étapes
Analyser les risques sur les DCP
6. Identifier les sources de risques Guide EIVP de la CNIL
7. Analyser l’impact des évènements redoutés pour lespersonnes concernées
Guide EIVP de la CNIL
8. Analyser la vraisemblance de scénarios demenaces
Guide EIVP de la CNIL
9. Dresser la cartographie des risques résiduels
Valider l’EIVP & homologuer la SSI
10. Mettre en évidence les non-conformités de naturejuridique
Guide EIVP de la CNIL
11. Décider de la stratégie de traitement des risquesrésiduels
Guide EIVP de la CNIL
12. Définir le plan d’actions de réduction des risques Guide EIVP de la CNIL Guide d’hygiène informatique de l’ANSSI
13. Faire auditer la SSI du projet par un tiersindépendant
Guide d’homologation en 9 étapes
14. Formaliser le dossier de sécurité du projet Guide d’homologation en 9 étapes
15. Homologuer la SSI du projet Guide d’homologation en 9 étapes
16. Formaliser une attestation formelle d’homologationet de validation de l’EIVP
Guide EIVP de la CNIL Guide d’homologation en 9 étapes
Ces étapes peuvent bien évidemment être plus ou moins importantes et complexes en fonction de la nature du projet.
28/80
QU’ELLE EST LA DUREE DE VALIDITE D’UNE HOMOLOGATION DE LA SSI10 ? L’homologation de la SSI d’un projet doit être décidée pour une durée maximale. Cette durée doit prendre en compte l’exposition du système d’information aux nouvelles menaces, ainsi que les enjeux de sécurité du système, c’est-à-dire le degré de criticité des informations et des processus du système. Pour un système bien maîtrisé, avec peu de risques résiduels et ne présentant pas de difficultés particulières, il est recommandé de prononcer une homologation d’une durée maximale de cinq (5) ans, avec revue annuelle. Cette durée maximale doit être réduite à trois (3) ans pour un système avec de nombreux risques résiduels ou à un (1) an pour un système présentant de nombreux risques résiduels.
L’homologation peut être retirée dans le cas où les circonstances l’imposent. Ainsi, l’ANSSI identifie, dans son guide d’homologation en 9 étapes, les évènements suivants pouvant impliquer un réexamen du dossier, pouvant conduire à une nouvelle décision d’homologation ou pouvant conduire à un retrait de la décision :
• Raccordement d’un nouveau site sur le système d’information ;
• Ajout d’une fonctionnalité majeure ;
• Succession de modifications mineures ;
• Réduction de l’effectif affecté à une tâche impactant la sécurité ;
• Changement d’un ou de plusieurs prestataires ;
• Prise de fonction d’une nouvelle autorité d’homologation ;
• Non-respect d’au moins une des conditions de l’homologation ;
• Changement du niveau de sensibilité des informations traitées et, plus généralement, du niveaudu risque ;
• Evolution du statut de l’homologation des systèmes interconnectés ;
• Publication d’incidents de nature à remettre en cause les garanties recueillies dans le dossierde sécurité ;
• Décision de l’autorité d’homologation.À ce titre, il est recommandé que l’instance de décision (la commission d’homologation) soit réunie annuellement par l’autorité d’homologation (AH), afin de procéder à une revue du respect des conditions de l’homologation.
10 Source : Source : www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples - 20/03/2016
29/80
QUELLES SONT LES MESURES DE SECURITE QUI PEUVENT ETRE MISE EN ŒUVRE DANS LE CADRE D’UN NOUVEAU PROJET ?
La CNIL a diffusé en 2012 un guide des «mesures pour traiter les risques sur les libertés et la vie privée»11. Ce guide identifie 34 mesures dans 5 domaines dont voici la liste :
Domaines Mesures proposées par la CNIL
01 -Minimiser les Données à Caractère Personnel
01-Agir sur les éléments à protéger 02 -Gérer les durées de conservation des Données à Caractère Personnel 03 -Informer les personnes concernées 04 -Obtenir le consentement des personnes concernées 05-Permettre l’exercice du droit d’opposition 06-Permettre l’exercice du droit d’accès direct 07-Permettre l’exercice du droit de rectification 08-Cloisonner les Données à Caractère Personnel 09-Chiffrer les Données à Caractère Personnel 10-Anonymiser les Données à Caractère Personnel
2-Agir sur les impacts 11-Sauvegarder les Données à Caractère Personnel 12-Protéger les archives des Données à Caractère Personnel 13-Contrôler l’intégrité des Données à Caractère Personnel 14-Tracer l’activité sur le système informatique 15-Gérer les violations sur les Données à Caractère Personnel
3-Agir sur les sources de risque
16-S’éloigner des sources de risques 17-Marquer les documents contenant des Données à Caractère Personnel 18-Gérer les personnes internes qui ont un accès légitime 19-Contrôler l’accès logique des personnes 20-Gérer les tiers qui ont un accès légitime aux Données à Caractère Personnel 21-Lutter contre les codes malveillants 22-Contrôler l’accès physique des personnes 23-Se protéger contre les sources de risques non humaines
4-Agir sur les supports 24-Réduire les vulnérabilités des logiciels 25-Réduire les vulnérabilités des matériels 26-Réduire les vulnérabilités des canaux informatiques 27-Réduire les vulnérabilités des personnes 28-Réduire les vulnérabilités des documents papier 29-Réduire les vulnérabilités des canaux papier
5-Actions transverses 30-Gérer l’organisation de protection de la vie privée 31-Gérer les risques sur la vie privée 32-Gérer la politique de protection de la vie privée 33-Intégrer la protection de la vie privée dans les projets 34 -Superviser la protection de la vie privée
11 Source : www.cnil.fr/sites/default/files/typo/document/CNIL-Guide_securite_avance_Mesures.pdf - 20/03/2016
30/80
Il ne s’agit bien évidemment pas d’appliquer systématiquement l’ensemble de ces mesures ; elles doivent être sélectionnées et dimensionnées en fonction des risques identifiés sur la vie privée des personnes concernées.
L’ensemble de ces mesures fait l’objet d’explications et d’aides à la mise en œuvre ce qui représente aux alentours de 400 préconisations formulées par la CNIL. Ce guide permet donc de prendre en compte la plupart des cas spécifiques relatifs aux traitements de DCP et permet d’élaborer un plan d’action précis pour réduire les risques à un niveau acceptable pour les personnes concernées et pour l’organisme en charge de la mise en œuvre des traitements.
D’autres référentiels bien connus des RSSI peuvent également servir de documents de travail tels que les bonnes pratiques énoncées dans la norme ISO 27002 : 2013 ou les 40 règles d’hygiène informatique proposées par l’ANSSI.
Enfin, dans le cas où l’organisme dispose d’une PSSI validée par la Direction Générale, les règles fonctionnelles et/ou techniques y figurant doivent bien évidemment servir de base de travail pour les équipes projets. Dans tous les cas contraires, il est recommandé de formaliser une politique interne de protection des DCP et une politique de sécurité des SI (PSSI) qui servira de référentiel interne pour tout nouveau projet.
LES MESURES DE NATURE JURIDIQUE QUI DOIVENT IMPERATIVEMENT ETRE APPLIQUEES
Des principes et droits fondamentaux «non négociables», qui sont fixés par la loi, doivent être respectés et ne peuvent faire l’objet d’aucune modulation, quels que soient la nature, la gravité et la vraisemblance des risques encourus12.
Ainsi les 11 principes et droits fondamentaux suivants doivent être systématiquement appliqués dans tout nouveau projet informatique :
1. Finalité : les DCP doivent être collectées pour des finalités déterminées, explicites et légitimesconformément à l’article 6 de la [Loi-I&L] et de la [Directive-95-46].
2. Minimisation : Les DCP doivent être adéquates, pertinentes et non excessives au regard desfinalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs conformément àl’article 6 de la [Loi-I&L] et de la [Directive-95-46]).
3. Qualité : les DCP doivent être exactes, complètes et, si nécessaire, mises à jourconformément à l’article 6 de la [Loi-I&L] et de la [Directive-95-46]). L’exigence de qualité porteégalement sur le lien entre les données qui identifient les personnes et les données qui lesconcernent.
4. Durées de conservation : Les DCP doivent être conservées pendant une durée qui n’excèdepas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitéesconformément à l’article 6 de la [Loi-I&L] et de la [Directive-95-46], à défaut d’une autreobligation légale imposant une conservation plus longue.
5. Information : Le respect du droit à l’information des personnes concernées doit être appliquéconformément à l’article 32 de la [Loi-I&L] et aux articles 10 et 11 de la [Directive-95-46]).
6. Consentement : L’obtention du consentement des personnes concernées ou existence d’unautre fondement légal justifiant le traitement doit être respecté conformément à l’article 7 de la[Loi-I&L].
12 Source : www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf
31/80
7. Droit d’opposition : Le droit d’opposition des personnes concernées doit être respectéconformément à l’article 38 de la [Loi-I&L] et article 14 de la [Directive-95-46].
8. Droit d’accès : Le droit des personnes concernées d’accéder à leurs données doit être respectéconformément à l’article 39 de la [Loi-I&L] et article 12 de la [Directive-95-46].
9. Droit de rectification : Le droit des personnes concernées de corriger leurs données et de leseffacer doit être appliqué ; La personne concernée peut demander que les «données inexactes,incomplètes, équivoques, périmées» ou dont «la collecte, l’utilisation, la communication ou laconservation est interdite» soient supprimées conformément à l’article 40 de la [Loi-I&L] et article12 de la [Directive-95-46]).
10. Transferts : Les obligations en matière de transfert de données en dehors de l’Unioneuropéenne doivent être respectées en conformité avec les articles 68 et 69 de la [Loi-I&L] et les articles 25 et 26 de la [Directive-95-46]).
11. Formalités : définition et accomplissement des formalités préalables applicables au traitement.
Il convient donc que le cahier des charges technique formalisé dans le cadre du nouveau projet impose des directives aux développeurs internes ou aux sous-traitants / partenaires externes pour que les applications informatiques intègrent, intrinsèquement et dès que cela est possible, des mécanismes automatiques pour traiter les 11 fondamentaux évoqués.
Toute impossibilité de mise en œuvre doit être justifiée et des solutions de contournement doivent être proposées par le tiers ou le développeur pour traiter les obligations légales.
RECOMMANDATIONS POUR METTRE EN ŒUVRE LA DEMARCHE « PRIVACY BY DESIGN »
La mise en place d’une démarche de prise en compte la protection des DCP dans les nouveaux projets implique les éléments suivants :
1. La Direction générale de l’organisme doit être impliquée dans le processus notamment pourl’imposer à tous les acteurs et pour prendre les décisions qui s’imposent (homologation ou nonde la SSI, validation ou non de l’EIVP, choix des mesures de protection, ….). Des actions desensibilisation à la démarche sont nécessaires pour que la bonne compréhension des rôles etdes responsabilités des uns et des autres.
2. La démarche projet de l’organisme doit être adaptée pour intégrer la prise en compte duprocessus à chacune des étapes du projet. A noter que l’ANSSI a diffusé un guide d’intégrationde la SSI dans les projets13 qui décrit les livrables à prévoir par le chef de projet à chaque étapede celui-ci.
3. Les chefs de service en charge de la mise en œuvre d’un nouveau traitement doivent êtreimpliqués dans la démarche afin de participer à l’évaluation d’impact sur la vie privée au mêmetitre que les chefs de projet (CPI et CPU) qui auront un rôle plus spécifique dans la formalisationdu dossier de sécurité du projet.
13 www.ssi.gouv.fr/guide/40-gissip-guide-dintegration-de-la-securite-des-systemes-dinformation-dans-les-projets
32/80
4. Les RSSI et les CIL sont incontournables dans la démarche et constituent un binôme « socle »de la démarche. Dans un premier temps, ils accompagnent au changement les équipesconcernées, ensuite ils contribuent à donner un avis au dirigeant de l’organisme sur la décisionà prendre concernant l’homologation de la SSI et la validation de l’EIVP.
5. Les sous-traitants ou les partenaires doivent également être impliqués dans le processus lorsde la mise en œuvre des mesures de sécurité et dans l’élaboration du plan d’assurance SSI.
6. Une phase pilote doit probablement être mise en œuvre avant d’envisager une généralisationdu processus pour tous les nouveaux traitements de DCP et tous les nouveaux projetsinformatiques notamment si la maturité de l’organisme sur le sujet est faible.
7. Des actions de formation et de sensibilisation sont indispensables au démarrage de ladémarche afin que chacun s’approprie le processus et son rôle dans la démarche.
8. Un outillage adapté peut s’avérer nécessaire pour faciliter la réalisation des différentesétapes notamment pour apprécier les risques et définir les plans d’action.
9. Une aide externe pour la mise en œuvre de la démarche pourrait s’avérer utile pour éviter leserreurs dans la réalisation des étapes et capitaliser sur des expériences acquises.
10. La gouvernance SSI et « Informatique et Libertés » et la mise en place des filièresfonctionnelles est le prérequis indispensable à la réussite de la démarche. Le RSSI et le CILdoivent agir pour que l’organisation, les rôles et les responsabilités soient établis avant de mettreen œuvre le processus complet.
[...]
33/80
/ PRÉ
FACE
1/ À
QUI
S’AD
RESS
E CE
GUI
DE ?
2/ L
A PR
ISE
EN C
OMPT
E IN
CRÉM
ENTA
LE D
U RI
SQUE
3/ L’
ATEL
IER
D’AN
ALYS
E DE
RIS
QUE
4/ L
E PR
EMIE
R AT
ELIE
R
5/ L’
APPR
ÉCIAT
ION
DES
RISQ
UES
: LES
BAS
ES À
CON
NAÎTR
E ET
À TR
ANSM
ETTR
E
6/ Q
UE FA
IRE
APRÈ
S CH
AQUE
ATEL
IER ?
7/ LE
S AT
ELIE
RS S
UIVA
NTS,
ITÉRA
TION
APR
ÈS IT
ÉRAT
ION
8/ S
E PR
ÉPAR
ER À
UNE
DÉM
ARCH
E D’
HOMO
LOGA
TION
9/ F
ICHE
S MÉ
MO•S
tructu
rer sa
politi
que d
e séc
urité
• Les
clés p
our id
entifi
er les
risqu
es nu
mériq
ues c
ritiqu
es• L
e can
evas d
e l’an
alyse
de ris
que
• Un e
xemp
le co
mplet
/ ANN
EXES
• Glos
saire
• Bibl
iograp
hie
/ CON
TRIB
UER
À CE
GUI
DE
SOM
MAI
RE
AN
SS
I - O
ctob
re 2
018
Agi
lité
& s
écur
ité n
umér
ique
s
Mét
hode
et o
utils
à l'
usag
e de
s éq
uipe
s pr
ojet
DOCUMENT 8
34/80
La m
aîtr
ise
plei
ne e
t ent
ière
du
num
ériq
ue –
de
ses p
rogr
amm
es, d
e se
s ou
tils,
de s
es m
étho
des
et m
ême
de s
es c
odes
– e
st a
ujou
rd’h
ui
une
dim
ensi
on e
ssen
tielle
de
la sé
curi
té e
t de
la so
uver
aine
té. L
’Éta
t, au
mêm
e tit
re q
ue le
s en
trep
rise
s, ne
peu
t se
con
tent
er d
’êtr
e le
con
som
-m
ateu
r pas
sif d
e so
lutio
ns d
ével
oppé
es p
ar d
’aut
res,
pas p
lus q
u’il
ne p
eut
se sa
tisfa
ire
d’an
cien
nes m
étho
des e
t de
prot
ocol
es fi
gés.
C’es
t po
urqu
oi l’
agili
té e
t la
séc
urité
doi
vent
dés
orm
ais
être
inté
grée
s, au
pl
us tô
t et e
n pe
rman
ence
, dan
s la
cond
uite
de
proj
ets e
t ain
si n
ourr
ir e
ffi-
cace
men
t la
prév
entio
n de
s ris
ques
num
ériq
ues e
t la
déte
ctio
n de
s cyb
erat
-ta
ques
. Si l
’idée
fait
son
chem
in, s
a m
ise
en œ
uvre
tard
e en
core
à se
gén
é-ra
liser
.
C’es
t do
nc a
vec
beau
coup
d’e
ntho
usia
sme
que
l’AN
SSI
et la
DIN
SIC
ont
dé
cidé
de
conj
ugue
r le
urs
expe
rtis
es r
espe
ctiv
es e
n m
atiè
re d
e sé
curi
té
num
ériq
ue e
t de
gest
ion
de p
roje
t agi
le p
our
prop
oser
une
mét
hodo
logi
e co
mm
une
réso
lum
ent p
ratiq
ue e
t con
crèt
e.
Pour
la D
INSI
C, la
sécu
rité
des
serv
ices
dém
atér
ialis
és q
u’el
le d
ével
oppe
est
un
e va
leur
card
inal
e qu
i con
ditio
nne
l’effi
caci
té d
e to
ut p
roje
t, la
sûre
té d
e l’É
tat
et, b
ien
souv
ent,
la p
rote
ctio
n de
la
vie
priv
ée d
es c
itoy
ens.
Pour
l’A
NSS
I, l’a
gilit
é es
t un
impé
ratif
face
à u
n ét
at d
e la
men
ace
en m
ou-
vem
ent p
erm
anen
t.
Gui
llaum
e Po
upar
dD
irec
teur
gén
éral
de
l’Age
nce
natio
nale
de
la sé
curi
té d
es sy
stèm
es d
’info
rmat
ion
(AN
SSI)
Hen
ri V
erdi
erD
irec
teur
inte
rmin
isté
riel
du
num
ériq
ue e
t du
syst
ème
d’in
form
atio
n et
de
com
mun
icat
ion
de l’
État
(DIN
SIC)
La m
étho
de q
ue p
ropo
se c
e do
cum
ent
repo
se d
onc
avan
t to
ut s
ur l’
expé
-ri
ence
de
celle
s et
ceu
x qu
i, co
nsci
ents
de
la v
aleu
r de
cet
te a
llian
ce, l
a m
ette
nt e
n œ
uvre
et l
a fo
nt é
volu
er à
cha
que
nouv
eau
proj
et. P
our p
reuv
e,
le c
œur
de
la d
émar
che
repo
se s
ur l’
orga
nisa
tion
d’at
elie
rs d
’app
réci
atio
n de
s risq
ues e
t pré
pare
effi
cace
men
t à l’
hom
olog
atio
n de
s ser
vice
s num
ériq
ues
et a
pplic
atio
ns.
Nou
s ten
ons à
rem
erci
er n
os é
quip
es q
ui o
nt su
par
tage
r et
enr
ichi
r le
urs
conv
ictio
ns e
t pri
orité
s res
pect
ives
ain
si q
ue to
us ce
ux q
ui, p
ar le
ur p
artic
i-pa
tion
à l’a
ppel
à co
mm
enta
ires
, ont
fait
de ce
gui
de u
n ou
til q
ui sa
ura
fair
e éc
ho à
la ré
alité
des
équ
ipes
pro
jet !
PRÉF
ACE
AGIL
ITÉ &
SÉC
URIT
É NU
MÉR
IQUE
SMé
thode
et ou
tils à
l’usag
e des
équip
es pro
jet
35/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESÀ QUI S’ADRESSE CE GUIDE ?
À
QUI S
’ADR
ESSE
CE G
UIDE
?
Intitu
lé «
Agi
lité &
sécu
rité
num
ériq
ues –
Mét
hode
et o
utils
à l’
usag
e de
s éq
uipe
s pro
jet »
, ce
guid
e ex
pliq
ue d
e m
aniè
re p
ratiq
ue e
t con
crèt
e au
x éq
uipe
s d’e
ntité
s pub
lique
s et p
rivé
es c
omm
ent c
ondu
ire
un d
ével
op-
pem
ent n
umér
ique
dan
s le
cadr
e d’
une
équi
pe a
gile
tout
en
cons
idér
ant l
e vo
let s
écur
ité.
De
l’ana
lyse
au
trai
tem
ent d
es ri
sque
s num
ériq
ues,
des fi
ches
mém
o, ex
empl
es
et r
esso
urce
s do
cum
enta
ires
vou
s ac
com
pagn
ent p
as à
pas
dan
s le
dév
e-lo
ppem
ent s
écur
isé
de v
os se
rvic
es o
u pr
odui
ts.
Plus
pré
cisé
men
t, so
nt c
once
rnée
s par
ce
docu
men
t les
équ
ipes
don
t : le
pri
ncip
al o
bjec
tif
est
de li
vrer
rap
idem
ent
et f
réqu
emm
ent
un
prod
uit o
u un
serv
ice
à se
s usa
gers
, pou
r rés
oudr
e un
pro
blèm
e au
quel
ce
ux-c
i son
t con
fron
tés ;
les
mem
bres
son
t do
tés
de c
ompé
tenc
es d
iver
ses
– te
chni
ques
ou
non
– et
trav
aille
nt e
nsem
ble
au q
uotid
ien
;
les
mem
bres
son
t su
ffisa
mm
ent
auto
nom
es p
our
déci
der
ense
mbl
e de
l’or
gani
satio
n de
leur
pro
pre
trav
ail ;
l’at
tent
ion
est
prio
rita
irem
ent
tour
née
vers
la q
ualit
é de
ce
qu’e
lles
prod
uise
nt e
t qui
s’ou
tille
nt e
n co
nséq
uenc
e da
ns u
n so
uci p
erm
anen
t d’
amél
iora
tion.
Gén
éral
emen
t, ce
s car
acté
rist
ique
s – sa
ns ê
tre
indi
vidu
elle
men
t ess
entie
lles
à «
l’agi
lité »
– s’o
bser
vent
dan
s des
équ
ipes
plu
tôt r
édui
tes d
e ci
nq à
dix
per
-so
nnes
et s
’acc
ompa
gnen
t de
prat
ique
s tel
les q
ue le
man
agem
ent v
isuel
(tas
k bo
ard,
etc
.), l’
utili
satio
n sy
stém
atiq
ue d
e te
sts a
utom
atis
és, l
e dé
ploi
emen
t co
ntin
u, le
s out
ils D
evO
ps e
t le
cade
ncem
ent d
u tr
avai
l en
itéra
tions
. Nou
s dé
signo
ns l’e
nsem
ble
des i
nter
vena
nts d
’une
telle
équ
ipe
par l
e te
rme
équi
pe
prod
uit.
À QUI
S’AD
RESS
E CE G
UIDE
?
36/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUESÀ QUI S’ADRESSE CE GUIDE ?
À QUI S’ADRESSE CE GUIDE ?
NOTE
SLa
sécu
rité nu
mériq
ue co
ncern
e tou
te org
anisa
tion e
t tous
type
s de p
rojets
. La m
éthod
e d’id
entifi
cation
et de
traite
ment
des r
isque
s décr
ite da
ns ce
guide
perm
et de
mett
re en
évide
nce
quels
sont,
parm
i ces
risqu
es nu
mériq
ues, l
es plu
s con
séque
nts da
ns le
conte
xte d’
usag
e du
servic
e ou d
u prod
uit. L
a natu
re de
s risq
ues à
cons
idérer
est v
ariée
.
Citon
s, pa
r exe
mple,
les ac
tions
de sa
botag
e par
déni
de se
rvice
distr
ibué,
le vol
de do
nnée
s éc
onom
iques
ou à
carac
tère p
erson
nel, l
a frau
de ou
le dé
tourne
ment
d’usag
e à de
s fins
luc
rative
s, l’u
surpa
tion d
’iden
tité ou
enco
re les
actio
ns de
désta
bilisa
tion e
t d’at
teinte
à la
réputa
tion.
37/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESLA PRISE EN COMPTE INCRÉMENTALE DU RISQUE
LA P
RISE
EN
COM
PTE
INCR
ÉMEN
TALE
DU
RIS
QUE
Dan
s une
dém
arch
e sé
curi
taire
clas
sique
, l’é
quip
e dé
finit
les b
esoi
ns
de sé
curi
té e
t les
faço
ns d
’y ré
pond
re d
ès la
pha
se d
e co
ncep
tion
d’un
pro
jet,
les m
esur
es d
e sé
curi
té é
tant
très
souv
ent d
éfini
es e
t m
ises
en
œuv
re p
our
le p
érim
ètre
fina
l et s
on c
as d
’usa
ge à
la c
ible
. Dan
s un
e dé
mar
che
agile
, l’é
quip
e ch
erch
e à
livre
r trè
s tôt
de
la v
aleu
r à u
n pu
blic
do
nné
avec
un
prod
uit
inco
mpl
et, t
out
en c
herc
hant
à s
usci
ter
l’adh
ésio
n d’
autr
es p
ublic
s en
étoff
ant c
e pr
odui
t.
Voic
i, ill
ustr
ées,
deux
con
cept
ions
opp
osée
s : c
e qu
e pe
ut ê
tre
la c
ourb
e de
di
ffusi
on d
’un
prod
uit,
com
paré
e à
celle
résu
ltant
de
la li
vrai
son
d’un
pro
jet.
% du
publi
c visé
Prod
uit in
créme
ntal
Proje
t clas
sique
Temp
s
Diffus
ion d’
un pr
oduit
vs liv
raiso
n d’un
proje
t
LA P
RISE
EN
COM
PTE
IN
CRÉM
ENTA
LE D
U RI
SQUE
:
LA C
LÉ D
E LA
COM
PATI
BILI
TÉ A
GILE
Pour
une
équ
ipe
dont
l’ob
ject
if es
t de
livre
r ra
pide
men
t de
la v
aleu
r à
ses
utili
sate
urs,
une
éval
uatio
n pe
rtin
ente
du
risq
ue e
st d
onc
obte
nue
en co
nsi-
déra
nt si
mul
tané
men
t le
nom
bre
d’us
ager
s et l
e ri
sque
enc
ouru
par
chac
un,
pour
dét
erm
iner
une
exp
ositi
on g
loba
le a
u ri
sque
.
38/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
LA PRISE EN COMPTE INCRÉMENTALE DU RISQUE
LA PRISE EN COMPTE INCRÉMENTALE DU RISQUE
Expo
sition
au ris
que r
ésidu
el d’u
n prod
uit
Ain
si, l
a pr
ise
en co
mpt
e de
s enj
eux
de sé
curi
té p
ar u
ne é
quip
e ag
ile se
veu
t co
ntin
ue (t
out a
u lo
ng d
e la
cons
truc
tion
et d
e l’a
mél
iora
tion
du se
rvic
e) e
t pr
agm
atiq
ue p
uisq
u’el
le p
rior
ise
les
effor
ts e
n fo
nctio
n du
ris
que
réel
et
assu
me
l’exi
sten
ce d
e ri
sque
s rés
idue
ls. C
e pr
inci
pe d
e m
anag
emen
t de
la
sécu
rité
num
ériq
ue p
ar le
s ri
sque
s es
t cel
ui q
ui g
uide
la d
émar
che
pro-
posé
e.
La fi
gure
ci-d
esso
us su
perp
ose
à la
cour
be d
e di
ffusi
on u
ne co
urbe
hyp
othé
-tiq
ue r
epré
sent
ant
le r
isqu
e ré
sidu
el a
uque
l un
seul
usa
ger
sera
it ex
posé
. In
itial
emen
t, le
ris
que
par
usag
er e
st s
ubst
antie
l, m
ais
avec
une
poi
gnée
d’
utili
sate
urs,
il re
ste
glob
alem
ent a
ccep
tabl
e. E
n re
vanc
he, l
orsq
ue le
pro
duit
devi
ent
un s
uccè
s, l’é
quip
e do
it al
ors
renf
orce
r le
tra
item
ent
des
risq
ues
rési
duel
s.
L’im
port
ant
est
donc
de
s’ass
urer
d’a
rriv
er a
u po
int
d’in
flexi
on e
n ay
ant
couv
ert l
es ri
sque
s num
ériq
ues l
es p
lus i
mpo
rtan
ts, l
a re
cher
che
de l’
exha
us-
tivité
n’é
tant
pas
forc
émen
t pri
orita
ire,
sou
s pe
ine
d’al
loue
r de
s re
ssou
rces
co
nséq
uent
es p
our
un r
ésul
tat
miti
gé a
lors
que
ces
der
nièr
es a
urai
ent
pu
être
inve
stie
s dan
s une
mei
lleur
e co
mpr
éhen
sion
du
beso
in.
NOTE
S
% du
publi
c visé
Expo
sition
total
e au r
isque
Risqu
e rés
iduel
par u
sage
rTe
mps
% du
publi
c visé
Ris
que r
ésidu
el pa
r usa
ger
Expo
sition
total
e au r
isque
39/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESL’ATELIER D’ANALYSE DE RISQUE
L’A
TELI
ER D
’ANA
LYSE
DE R
ISQU
E
Nos
reco
mm
anda
tions
conc
rète
s env
ers l
es é
quip
es a
gile
s peu
vent
se
résu
mer
ain
si : l
’équ
ipe
se ré
unit,
à in
terv
alle
s rég
ulie
rs, p
our
disc
uter
des
ris
ques
num
ériq
ues
qui p
euve
nt im
pact
er le
s us
ager
s de
son
serv
ice
ou p
rodu
it e
t déc
ider
de
la m
eille
ure
man
ière
de
trai
ter
ces
risq
ues.
Un
atel
ier t
ype
d’an
alys
e de
risq
ue se
dér
oule
dan
s les
con
ditio
ns su
ivan
tes :
pré
senc
e de
tout
e l’é
quip
e et
seul
emen
t de
l’équ
ipe ;
dur
ée fi
xe e
t lim
itée
(une
à t
rois
heu
res)
, mie
ux v
aut
priv
ilégi
er la
pr
ogra
mm
atio
n de
plu
sieu
rs a
telie
rs.
Le su
ppor
t d’a
nim
atio
n de
l’at
elie
r peu
t rep
oser
sur l
’util
isat
ion
d’un
pap
er
boar
d ou
de
Post
-it p
our a
ccom
pagn
er la
dis
cuss
ion
et a
nim
er le
s élé
men
ts
d’an
alys
e de
risq
ue q
ui a
uron
t été
con
sign
és su
r des
feui
llets
.
L’ATE
LIER
D’A
NALY
SE D
E RI
SQUE
: LE
CŒ
UR D
E LA
DÉM
ARCH
E
40/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
L’ATELIER D’ANALYSE DE RISQUE
L’ATELIER D’ANALYSE DE RISQUE
Les co
nditi
ons d
u su
ccès
d’u
n at
elie
r d’a
naly
se d
e ris
que
sont
à ra
ppro
cher
de ce
lles d
’aut
res «
ritu
els »
agi
les,
com
me
par e
xem
ple
la ré
tros
pect
ive.
Vé
rita
ble
faci
litat
eur,
l’ani
mat
eur d
e ce
s ate
liers
ass
ume
un rô
le p
arti
cu-
lière
men
t im
port
ant d
ont v
oici
que
lque
s-un
es d
es p
rinc
ipal
es r
espo
nsa-
bilit
és : s’
assu
rer q
ue la
pri
se d
e pa
role
est
répa
rtie
de
faço
n éq
uilib
rée
entr
e le
s diff
éren
ts p
artic
ipan
ts à
l’at
elie
r ;
vei
ller à
ce
que
le g
roup
e ne
dév
ie p
as d
u su
jet à
trai
ter ;
mai
nten
ir u
n cl
imat
bie
nvei
llant
;
surv
eille
r l’h
orlo
ge…
Un
bon
atel
ier n
e dé
bord
e pa
s (tr
op) d
u te
mps
im
part
i.
Une
ani
mat
ion
effica
ce s
uppo
se é
gale
men
t de
bie
n m
aîtr
iser
le c
anev
as
d’an
alys
e de
risq
ue ; c
elui
-ci e
st p
rése
nté
sché
mat
ique
men
t plu
s loi
n (s
ectio
n «
L’app
réci
atio
n de
s risq
ues :
les b
ases
à co
nnaî
tre
et à
tran
smet
tre »
pag
e 20
) et
de
faço
n pl
us d
étai
llée
et a
naly
tique
en
fiche
mém
o pa
ge 42
.
La p
rése
nce
d’un
exp
ert e
n sé
curi
té n
umér
ique
n’e
st p
as in
disp
ensa
ble
à la
ré
ussi
te d
e la
dém
arch
e. Q
uelle
s que
soie
nt le
s con
clus
ions
de
l’ana
lyse
de
risq
ue, c
’est
à l’
équi
pe d
ans
son
ense
mbl
e qu
’il in
com
bera
de
met
tre
en
œuv
re le
s act
ions
qui
s’en
dég
agen
t et c
’est
not
amm
ent e
n ce
la q
ue s’
illus
tre
l’agi
lité
d’un
e éq
uipe
.
Un
atel
ier
de t
rava
il n’
est
pas
une
réun
ion.
L’e
ffica
cité
d’u
n at
elie
r es
t co
nditi
onné
e pa
r un
e pr
ise
de p
arol
e et
d’in
itiat
ive
équi
libré
e en
tre
part
i-ci
pant
s. El
le r
isqu
e d’
être
dim
inué
e pa
r la
pré
senc
e d’
obse
rvat
eurs
ou
de
pers
onne
s no
n im
pliq
uées
(ou
trè
s in
dire
ctem
ent)
dan
s la
réa
lisat
ion
du
prod
uit.
Le n
ivea
u de
mat
urité
et d
e co
mpé
tenc
e au
sein
de
l’équ
ipe
en m
atiè
re d
e sé
curi
té n
umér
ique
pès
era
lui a
ussi
de
faço
n dé
term
inan
te su
r les
résu
ltats
de
la d
émar
che.
Si l
’équ
ipe
ne m
aîtr
ise
pas s
uffisa
mm
ent c
es c
ompé
tenc
es
au d
émar
rage
, il l
ui fa
udra
don
c le
s ac
quér
ir. L
a pr
ésen
ce d
’un
expe
rt e
n sé
curi
té n
umér
ique
, dan
s une
pos
ture
de
serv
ice
et d
’acc
ompa
gnem
ent,
peut
do
nc ê
tre
un fa
cteu
r de
réus
site
. Il o
u el
le p
ourr
a jo
uer u
n rô
le d
’ani
mat
ion
ou d
e fa
cilit
atio
n, m
ais
égal
emen
t fai
re b
énéfi
cier
de
son
expe
rtise
lors
que
c’est
opp
ortu
n.
/ COM
MEN
T ANI
MER
L’ATE
LIER ?
/ FAU
T-IL
SE FA
IRE A
CCOM
PAGN
ER ?
L’ad
age
est b
ien
conn
u : «
Le m
eille
ur m
omen
t pou
r pla
nter
un
arbr
e, c’é
tait
il y
a 20
ans
; le
deu
xièm
e m
eille
ur m
omen
t, c’e
st m
aint
enan
t. » Il
n’e
st
jam
ais t
rop
tard
pou
r par
ler d
e sé
curit
é nu
mér
ique
et é
valu
er le
s risq
ues i
n-hé
rent
s à
la c
ondu
ite d
’un
proj
et d
onné
, idé
alem
ent a
vant
mêm
e le
déb
ut
des
trav
aux
de r
éalis
atio
n, v
oire
d’in
vest
igat
ion.
Néa
nmoi
ns, l
e fa
it qu
e l’é
quip
e ai
t déj
à ré
alisé
un
ou p
lusie
urs
incr
émen
ts d
e fo
nctio
nnal
ité, v
oire
qu
e so
n pr
odui
t soi
t déj
à ac
cess
ible
à d
e pr
emie
rs u
sage
rs, n
e sa
urai
t con
stitu
er
une
raiso
n va
labl
e de
ne
pas s
e liv
rer à
l’ex
erci
ce.
/ QUA
ND FA
UT-IL
TENI
R CE
S AT
ELIE
RS ?
41/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESLE PREMIER ATELIER
LE P
REM
IER
ATEL
IER
En
amon
t du
prem
ier a
telie
r voi
re e
n dé
but d
e sé
ance
, il e
st im
port
ant
de d
éfini
r le
péri
mèt
re d
e l’a
naly
se.
Y e
st in
clus
: ce
qui
eng
age
la re
spon
sabi
lité
de l’
équi
pe e
t de
sa h
ié-
rarc
hie.
E
n es
t exc
lu :
ce q
ui re
lève
éve
ntue
llem
ent d
’aut
res a
cteu
rs.
Pour
lanc
er c
e pr
emie
r ate
lier,
vous
pou
vez
prop
oser
le ca
drag
e su
ivan
t :
Un
moi
s apr
ès le
lanc
emen
t du
prod
uit,
vous
déc
ouvr
ez a
vec h
orre
ur u
n ar
ticle
dan
s la
pres
se n
atio
nale
qui
fait
état
d’u
ne é
norm
e fa
ille
de sé
cu-
rité
exp
loité
e av
ec s
uccè
s. Q
uels
scén
ario
s de
men
aces
pos
sible
s vo
us
vien
nent
à l’
espr
it ?
Cet e
xerc
ice
perm
ettr
a de
con
cent
rer l
’att
enti
on d
es p
arti
cipa
nts s
ur le
s en
jeux
et
beso
ins
de s
écur
ité
les
plus
impo
rtan
ts t
out
en a
mor
çant
la
disc
ussi
on. L
orsq
ue c
elle
-ci c
esse
de
fair
e ém
erge
r de
nou
velle
s id
ées,
pro-
pose
z au
x pa
rtic
ipan
ts d
e fo
rmal
iser
ce q
ui re
ssor
t de
l’ate
lier e
n co
nsul
tant
la
sect
ion
suiv
ante
.
N’h
ésite
z pa
s à
ordo
nnan
cer
dès
ce p
rem
ier
atel
ier
les
gran
des
étap
es q
ui
guid
eron
t vo
tre
dém
arch
e de
séc
urité
num
ériq
ue. S
i cel
le-c
i s’in
scri
t da
ns
une
hom
olog
atio
n de
sécu
rité
, con
sulte
z la
sect
ion
« Se
pré
pare
r à u
ne d
é-m
arch
e d’
hom
olog
atio
n »
page
31.
LE P
REM
IER
ATEL
IER
Premi
er ate
lier
Cadr
er le
pér
imèt
re
et fa
ire u
ne an
alyse
de
risq
ue g
lobale
Les at
eliers
sui
vants
Analy
ser p
lus
finem
ent l
es ri
sque
s et
les t
raite
r
Après
un
ateli
er Fo
rmali
ser
les ré
sulta
ts
Et si
besoi
n Pr
épar
er
l’hom
ologa
tion
42/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
LE PREMIER ATELIER
LE PREMIER ATELIER
Afin d
’illustr
er co
ncrèt
emen
t la dé
march
e prop
osée
, nou
s avon
s cho
isi de
rend
re co
mpte
du
premi
er ca
s rée
l dan
s leq
uel e
lle a é
té uti
lisée.
Il s’ag
it de l
a plat
eform
e nati
onale
Le.Ta
xi do
nt la
missi
on es
t d’in
forme
r sur
la dis
ponib
ilité e
t la gé
oloca
lisatio
n des
véhicu
les de
s opé
rateu
rs de
taxi
partic
ipants
.
Pour
ce sy
stème
d’inf
ormati
on, n
ous a
vons s
ouha
ité re
trace
r dan
s ce g
uide l
’ensem
ble de
la
déma
rche,
du pr
emier
atelie
r à la
cons
titutio
n du d
ossier
d’ho
molog
ation
. L’an
alyse
de ris
que
comp
lète e
st dis
ponib
le en
fiche
mém
o pa
ge 49
et le
s exe
mples
à su
ivre s
ont is
sus d
e ces
atelier
s et d
e leu
rs livr
ables
.
/ Un e
xemp
le su
ivi pa
s à pa
s : Le
.Taxi
NOTE
S
/ Res
sourc
es ut
iles
Référ
entie
ls rég
lemen
taires
et
norm
atifs
Guide
s d’h
ygièn
e inf
ormati
que
Bases
de
conn
aissan
ces
d’ana
lyse d
e risq
ue
Straté
gie
d’hom
ologa
tion
visée
43/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESL’APPRÉCIATION DES RISQUES : LES BASES À CONNAÎTRE ET À TRANSMETTRE
L’APP
RÉCI
ATIO
N DE
S RI
SQUE
S
La va
leur
mét
ier
corr
espo
nd à
la v
aleu
r liv
rée
aux
utili
sate
urs
et
s’art
icul
e en
use
r sto
ries
. Les
use
r sto
ries
au
nive
au le
plu
s mac
ros-
copi
que
(par
fois
app
elée
s ep
ics)
rev
êten
t gé
néra
lem
ent
un e
njeu
de
sécu
rité
sign
ifica
tif v
is-à
-vis
de
l’un
ou l’
autr
e de
s cri
tère
s ci-d
esso
us.
[D]
Dis
poni
bilit
é : l
a fo
nctio
nnal
ité p
eut
être
util
isée
au
mom
ent
voul
u ;
[I] I
ntég
rité
: le
s don
nées
sont
exa
ctes
et c
ompl
ètes
;
[C] C
onfid
enti
alit
é : l
es in
form
atio
ns n
e so
nt d
ivul
guée
s qu’
aux
per-
sonn
es a
utor
isée
s ;
[P] P
reuv
e : le
s tra
ces d
e l’a
ctiv
ité d
u sy
stèm
e so
nt o
ppos
able
s en
cas
de c
onte
stat
ion.
De
par
leur
crit
icité
vis
-à-v
is de
s en
jeux
opé
ratio
nnel
s et
rég
lem
enta
ires
de
l’org
anism
e, ce
s qua
lités
doi
vent
êtr
e pr
otég
ées f
ace
aux
men
aces
jugé
es v
rai-
sem
blab
les (
atta
ques
info
rmat
ique
s, ac
tes d
e fr
aude
, err
eurs
, déf
ailla
nces
, etc
.).
L’APP
RÉCI
ATIO
N DE
S RI
SQUE
S :
LES
BASE
S À C
ONNA
ÎTRE
ET À
TRAN
SMET
TRE
/ Exe
mple
: Le.T
axi
User
storie
s[D
][I]
[C]
[P]
Un cl
ient tr
ansm
et son
iden
tifian
t, sa p
ositio
n et
son nu
méro
de té
lépho
neUn
clien
t peu
t éme
ttre un
e dem
ande
(«
héler
virtue
llemen
t » un
taxi)
Un cl
ient p
eut é
value
r une
cours
e effe
ctuée
ou
décla
rer un
incid
ent
Un ad
minis
trateu
r peu
t enre
gistre
r ou r
adier
un ta
xi
Besoi
n imp
ortan
tBe
soin t
rès im
porta
nt
44/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
L’APPRÉCIATION DES RISQUES : LES BASES À CONNAÎTRE ET À TRANSMETTRE
L’APPRÉCIATION DES RISQUES : LES BASES À CONNAÎTRE ET À TRANSMETTRE
Com
men
cez
par c
es q
uatr
e ca
tégo
ries
qui
ont
tend
ance
à co
nstit
uer «
l’ang
le
mor
t » p
our
beau
coup
d’é
quip
es. R
éser
vez
une
coul
eur
plus
cla
ssiq
ue,
le ja
une
par e
xem
ple,
pou
r lis
ter s
épar
émen
t à la
fin
de l’
exer
cice
:
Les s
céna
rios
de
risq
ues p
euve
nt ê
tre
nom
més
abu
ser s
tori
es ca
r ils
corr
es-
pond
ent
au r
ever
s né
fast
e d’
une
user
sto
ry e
t en
gend
rent
une
per
te d
e va
leur
.
Cha
que
beso
in d
e sé
curi
té id
entifi
é co
nstit
ue le
poi
nt d
e dé
part
pou
rdé
crire
un
ou p
lusie
urs
évén
emen
ts r
edou
tés
susc
eptib
les
de c
ompr
o-m
ettr
e la
val
eur d
’usa
ge.
Un
risq
ue d
écri
t la
réal
isat
ion
d’un
scén
ario
de
men
ace
inte
ntio
nnel
ou
acci
dent
el :
1/ u
ne so
urce
de
risq
ue (u
n cy
berc
rim
inel
ou
un fr
aude
ur, p
ar e
xem
ple)
2/ p
ar le
bia
is d
’un
com
posa
nt v
ulné
rabl
e du
pro
duit
ou se
rvic
e
3/ p
rovo
que
un é
véne
men
t red
outé
4/ o
ccas
ionn
ant
des
impa
cts
sur
la v
aleu
r m
étie
r, di
rect
s et
indi
rect
s (h
umai
ns, o
péra
tionn
els,
juri
diqu
es, e
tc.).
On
lui a
ssoc
ie u
ne c
ritic
ité b
asée
sur l
’est
imat
ion
conj
oint
e de
la g
ravi
té d
es
impa
cts e
t de
la v
rais
embl
ance
du
scén
ario
de
men
ace
cond
uisa
nt à
l’év
éne-
men
t red
outé
.
/ DES
BES
OINS
DE S
ÉCUR
ITÉ A
UX ÉV
ÉNEM
ENTS
RED
OUTÉ
S
/ LES
RIS
QUES
RÉS
ULTE
NT D
E LA C
OMBI
NAIS
ON D
ES É
LÉM
ENTS
DE
L’ANA
LYSE
/ Exe
mple
: Le.T
axi
Évén
emen
ts red
outés
Impa
cts m
étier
Gravi
té
Le sys
tème n
e rép
ond p
asEx
périe
nce u
tilisat
eur d
égrad
ée
Perte
de cl
ients
Un op
érateu
r de t
axis é
met d
e fau
sses
posit
ions
Qualit
é de s
ervice
dégra
dée
Perte
de cl
ients
Un ta
xi fai
t une
cours
e d’ap
proch
e en
pure
perte
Perte
de co
nfian
ce et
d’ad
hésio
n de
s tax
is
Désen
gage
ment
abou
tissan
t à u
ne ré
ducti
on de
l’offre
de ta
xis
Modé
réeTrè
s élev
ée
Cha
cune
des
qua
tre
caté
gori
es p
ré-c
itées
cor
resp
ondr
a à
une
coul
eur
de
Post
-it. V
oici
une
sugg
estio
n po
ur la
cor
resp
onda
nce
entr
e le
s cou
leur
s :
En ta
nt qu
’ <a
ttaqu
ant>
lorsq
u’ <u
n com
posan
t>
est vu
lnérab
le
je sou
haite
dé
clenc
her u
n <é
vénem
ent re
douté
>
afin d
e pro
voque
r un
<imp
act né
gatif>
les m
esures
de sé
curité
déjà
mises
en pl
ace ;
les m
esures
de sé
curité
à pre
ndre,
déjà
conn
ues o
u qui
ont é
mergé
de la
discu
ssion
.
45/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESQUE FAIRE APRÈS CHAQUE ATELIER ?
L’ate
lier i
nitia
l ne
suffi
ra p
eut-ê
tre
pas à
pla
cer l
’équ
ipe
en si
tuat
ion
de c
onfia
nce
vis-à
-vis
du
trai
tem
ent d
es r
isqu
es n
umér
ique
s, pa
rti-
culiè
rem
ent
s’il
s’agi
t de
la p
rem
ière
mis
e en
œuv
re d
’une
tel
le
dém
arch
e ou
d’u
n su
jet p
artic
uliè
rem
ent s
ensi
ble.
Pour
favo
rise
r la
cont
inui
té d
e ce
trav
ail d
’un
atel
ier à
l’au
tre,
il e
st u
tile
d’en
fo
rmal
iser
les r
ésul
tats
de
man
ière
cohé
rent
e av
ec la
dém
arch
e ag
ile ch
oisi
e pa
r l’é
quip
e. L
es d
étai
ls d
épen
dron
t, bi
en e
nten
du, d
e ch
aque
équ
ipe
et d
e se
s pra
tique
s d’o
rgan
isat
ion
et d
’ingé
nier
ie, m
ais v
oici
que
lque
s pis
tes :
l’an
alys
e de
ris
que
peut
êtr
e co
nsig
née
dans
un
Wik
i ou
tout
aut
re
espa
ce d
ocum
enta
ire,
pou
rvu
qu’il
soit
faci
lem
ent a
cces
sibl
e pa
r tou
s le
s mem
bres
de
l’équ
ipe ;
les
abus
er s
tori
es p
ourr
ont
être
tra
itées
com
me
les
user
sto
ries
et
ajou
tées
au
back
log ;
si l’
équi
pe le
fait
pour
les u
ser s
tori
es, e
lles p
euve
nt ê
tre
prio
risé
es,
anno
tées
par
leu
rs d
éfin
itio
ns d
e «
fait
» e
t év
entu
elle
men
t «
prêt
» ;
la d
émon
stra
tion
de la
pri
se e
n co
mpt
e de
s ri
sque
s as
soci
és à
une
ab
user
stor
y pe
ut ê
tre
faite
par
le b
iais
de
test
s aut
omat
isés
, com
me
c’est
le c
as p
our
les
user
sto
ries
: au
lieu
de
dém
ontr
er p
ar u
n te
st
qu’u
n sc
énar
io fo
nctio
nnel
abo
utit,
on
cher
cher
a à
dém
ontr
er, a
u co
ntra
ire,
qu’
un v
ecte
ur d
’att
aque
n’a
bout
it pa
s.
QUE F
AIRE
AP
RÈS
CHAQ
UE AT
ELIE
R ?
QUE
FAIR
E AP
RÈS
CHAQ
UE A
TELI
ER ?
46/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESLES ATELIERS SUIVANTS, ITÉRATION APRÈS ITÉRATION
Au
fil d
es it
érat
ions
, il d
evie
ndra
pér
iodi
quem
ent n
éces
sair
e d’
ac-
tual
iser
ou
d’affi
ner
le r
ésul
tat
du p
rem
ier
atel
ier,
par
exem
ple
lors
des
évé
nem
ents
suiv
ants
:
la r
éalis
atio
n d’
une
user
sto
ry in
duit
des
évol
utio
ns d
’arc
hite
ctur
e te
lles
que
l’ajo
ut o
u la
mod
ifica
tion
d’un
com
posa
nt te
chni
que ;
la r
éalis
atio
n d’
une
user
stor
y am
ène
à ex
pose
r de
s do
nnée
s d’
une
autr
e na
ture
que
cel
les
préc
édem
men
t tr
aité
es (d
es d
onné
es p
erso
nnel
les
par
exem
ple,
alo
rs q
ue c
e n’
étai
t pas
le c
as a
upar
avan
t) ;
l’éq
uipe
réal
ise u
n at
elie
r déd
ié à
une
fonc
tionn
alité
spéc
ifiqu
e du
pro
duit,
qu
i adr
esse
une
ou
plus
ieur
s us
er st
orie
s plu
s pa
rtic
uliè
rem
ent s
ensi
bles
en
term
es d
e sé
curi
té ;
les r
etou
rs d
es u
sage
rs a
mèn
ent à
éva
luer
diff
érem
men
t la
vale
ur m
étie
r de
s diff
éren
tes u
ser s
torie
s ou
les b
esoi
ns d
e sé
curi
té q
ui le
ur so
nt a
ssoc
iés ;
le n
ombr
e d’
usag
ers o
u le
vol
ume
de tr
ansa
ctio
ns m
étie
r a se
nsib
lem
ent
évol
ué, d
e te
lle so
rte
que
l’exp
ositi
on to
tale
au
risq
ue a
, elle
aus
si, é
volu
é.
À l’
imag
e de
s aut
res a
ctiv
ités m
enée
s par
les é
quip
es a
gile
s, le
trav
ail à
réa-
liser
est
alo
rs p
resq
ue id
entiq
ue à
celu
i du
prem
ier a
telie
r. A
u fil
des
itér
atio
ns,
l’équ
ipe
appr
endr
a ai
nsi à
teni
r com
pte,
dan
s son
pla
n de
cha
rge,
du
tem
ps
cons
omm
é pa
r les
act
ivité
s lié
es à
la sé
curi
té a
fin d
e lis
ser c
e tr
avai
l dan
s le
tem
ps, c
omm
e el
le le
fait
pour
les a
ctiv
ités l
iées
à la
qua
lité.
LES
ATEL
IERS
SUI
VANT
S,
ITÉRA
TION
APRÈ
S ITÉ
RATIO
N
LES
ATEL
IERS
SU
IVAN
TS
On
appe
lle «
det
te te
chni
que
» le
choi
x qu
e fa
it un
e éq
uipe
de
priv
ilégi
erte
mpo
raire
men
t la
livra
ison
de n
ouve
lles f
onct
ionn
alité
s, au
dét
rimen
t de
pra
tique
s de
conc
eptio
n te
lles q
ue le
refa
ctor
ing,
l’au
tom
atisa
tion
en so
u-tie
n du
test
ou
la m
ise e
n co
mm
un d
es c
onna
issan
ces.
Cett
e st
raté
gie
peut
s’a
vére
r pa
yant
e m
ais d
oit r
ésul
ter
d’un
cho
ix d
élib
éré
et n
on d
’un
man
que
/ DET
TE S
ÉCUR
ITAIR
E
47/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
LES ATELIERS SUIVANTS, ITÉRATION APRÈS ITÉRATION
LES ATELIERS SUIVANTS, ITÉRATION APRÈS ITÉRATION
NOTE
Sde
com
péte
nces
dan
s ces
dom
aine
s. L’
inte
ntio
n es
t de
met
tre
plus
rapi
dem
ent
de n
ouve
lles v
ersio
ns d
u pr
odui
t ou
du se
rvic
e en
tre
les m
ains
des
usa
gers
et
d’ob
teni
r de
s ret
ours
de
ces d
erni
ers,
avan
t de
« re
mbo
urse
r »
la d
ette
dan
s un
seco
nd te
mps
.
Par a
nalo
gie,
on
peut
par
ler d
e «
dett
e sé
curit
aire
» lo
rsqu
e l’é
quip
e es
t am
e-né
e à
diffé
rer l
e tr
aite
men
t de
cert
ains
risq
ues d
ans l
e bu
t de
met
tre
plus
ra-
pide
men
t le
prod
uit à
l’ép
reuv
e de
ses p
rem
iers
usa
gers
. De
la m
ême
faço
n,
cette
stra
tégi
e do
it ré
sulte
r d’u
n ch
oix d
élib
éré
et n
on d
’un
man
que
d’at
tent
ion
port
ée à
l’an
alys
e de
risq
ues o
u de
com
péte
nces
en
la m
atiè
re.
Dan
s le
s de
ux c
as, u
n at
elie
r d’
anal
yse
de r
isque
tel q
ue n
ous
l’avo
ns d
écri
t ci
-des
sus p
eut a
men
er l’é
quip
e à
rése
rver
une
par
t im
port
ante
de
sa ca
paci
té,
ou c
onsa
crer
une
itér
atio
n en
tière
, à la
pris
e en
com
pte
de la
sécu
rité
du sy
s-tè
me.
48/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESSE PRÉPARER À UNE DÉMARCHE D’HOMOLOGATION
L’hom
olog
atio
n de
sécu
rité
est
un
acte
form
el p
ar le
quel
l’au
tori
-té
resp
onsa
ble
d’un
syst
ème
enga
ge sa
resp
onsa
bilit
é en
mat
ière
de
ges
tion
du
risq
ue. E
lle e
st re
ndue
obl
igat
oire
, pou
r les
adm
inis
-tr
atio
ns, p
ar le
déc
ret
n°20
10-1
12 d
u 2
févr
ier
2010
, sel
on d
es m
odal
ités
préc
isée
s pa
r le
Réf
éren
tiel g
énér
al d
e sé
curi
té (
RG
S). D
e m
ême,
elle
est
ob
ligat
oire
pou
r tou
t pro
duit
trai
tant
d’in
form
atio
ns re
leva
nt d
u se
cret
de
la D
éfen
se n
atio
nale
, com
me
préc
isé
dans
l’In
stru
ctio
n gé
néra
le in
term
inis
-té
riel
le 1
300
(IG
I 130
0). C
itons
éga
lem
ent l
a lo
i de
prog
ram
mat
ion
mili
taire
, do
nt le
vol
et cy
ber (
loi n
° 20
13-1
168
du 1
8 dé
cem
bre
2013
- art
icle
22)
, im
pose
au
x op
érat
eurs
d’im
port
ance
vita
le le
ren
forc
emen
t de
la s
écur
ité d
es sy
s-tè
mes
d’in
form
atio
n cr
itiqu
es q
u’ils
exp
loite
nt, m
ené
dans
le c
adre
d’u
ne
dém
arch
e d’
hom
olog
atio
n.
Lors
qu’e
lle n
’est
pas
régl
emen
tair
emen
t im
posé
e, la
dém
arch
e d’
hom
olo-
gati
on r
este
tou
tefo
is u
ne e
xcel
lent
e fa
çon
de t
émoi
gner
, vis
-à-v
is d
es
usag
ers,
de la
vol
onté
de
pren
dre
en c
ompt
e la
séc
urit
é nu
mér
ique
des
se
rvic
es p
ropo
sés e
t de
valo
rise
r le
nive
au d
e m
aîtr
ise
des r
isqu
es a
ttei
nt
(la m
étho
de p
rése
ntée
peu
t éga
lem
ent s
ervi
r de
poin
t de
dépa
rt à
une
dé-
mar
che
de c
ertifi
catio
n ou
de
qual
ifica
tion
de so
lutio
ns d
e sé
curi
té).
Com
me
le r
appe
lle le
gui
de «
L’ho
mol
ogat
ion
de s
écur
ité e
n ne
uf é
tape
s sim
ples
» :
Les
livra
bles
de
l’ate
lier
d’an
alys
e de
ris
que,
tel
que
nou
s l’a
vons
pré
sent
é da
ns c
es p
ages
, con
stitu
ent u
n en
tran
t néc
essa
ire
mai
s gén
éral
emen
t ins
uf-
fisan
t dan
s le
cadr
e d’
une
dém
arch
e d’
hom
olog
atio
n. P
ar c
onsé
quen
t, no
us
reco
mm
ando
ns d
e dé
dier
un
atel
ier
à la
pré
para
tion
de
la c
omm
issi
on
d’ho
mol
ogat
ion
(form
alisa
tion
du d
ossie
r de
sécu
rité,
bila
n de
s tes
ts e
t aud
its
de sé
curi
té, c
onso
lidat
ion
des r
isqu
es ré
sidu
els,
suiv
i des
mes
ures
de
sécu
ri-
té e
t du
plan
d’a
ctio
n co
rrec
tif).
SE P
RÉPA
RER
À UNE
DÉM
ARCH
E D’H
OMOL
OGAT
ION
L’obje
ctif d
e la dé
march
e d’ho
molog
ation
[...] e
st de t
rouver
un éq
uilibre
entre
le ris
que a
ccepta
ble
et les
coûts
de sé
curis
ation
, puis
de fa
ire ar
bitrer
cet é
quilib
re, de
man
ière f
ormelle
, par
un
respo
nsab
le qu
i a au
torité
pour
le fai
re.
SE P
RÉPA
RER
À UN
E DÉ
MAR
CHE
D’HO
MOL
OGAT
ION
49/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
SE PRÉPARER À UNE DÉMARCHE D’HOMOLOGATION
SE PRÉPARER À UNE DÉMARCHE D’HOMOLOGATION
Une
déc
ision
d’h
omol
ogat
ion
ferm
e po
urra
êtr
e pr
onon
cée
dès l
ors q
u’un
pr
odui
t ou
un s
ervi
ce a
ura
atte
int s
on «
régi
me
de c
roisi
ère »
. Elle
est
gé
néra
lem
ent a
ssor
tie d
’une
pér
iode
de
valid
ité p
lus l
ongu
e (t
rois
ans é
tant
un
e va
leur
typi
que)
et v
ise le
cont
exte
d’ex
ploi
tatio
n no
rmal
emen
t pré
vu, s
ans
rest
rictio
ns p
artic
uliè
res d
’usa
ge.
Le gu
ide
L’ho
mol
ogat
ion
de s
écur
ité e
n ne
ufét
apes
sim
ples
dét
aille
les é
tape
s de
la c
onst
i-tu
tion
du d
ossie
r de
sécu
rité
en v
ue d
’une
com
mis
-si
on d
’hom
olog
atio
n. S
impl
e, p
ratiq
ue e
t co
ncis,
l’e
xpér
ienc
e pro
uve q
u’il
sera
un
com
pagn
on p
réci
eux
pour
tout
es le
s équ
ipes
agi
les q
ui so
uhai
tent
abo
u-tir
à u
ne d
écisi
on d
’hom
olog
atio
n.
Par
hyp
othè
se, l
’équ
ipe
à la
quel
le s
’adr
esse
le p
rése
nt g
uide
che
rche
àm
ettr
e ra
pide
men
t en
serv
ice
une
prem
ière
ver
sion
inco
mpl
ète
du p
ro-
duit,
pui
s à l’
étoff
er p
ar in
crém
ents
fonc
tionn
els.
Dan
s ce
cont
exte
, l’é
quip
e se
diri
gera
don
c na
ture
llem
ent v
ers u
ne d
écis
ion
d’ho
mol
ogat
ion
prov
isoi
re, a
fin d
’ada
pter
le n
ivea
u de
ris
que
rési
duel
ac
cept
é à
un co
ntex
te d
onné
. Sa
valid
ité se
ra li
mité
e da
ns le
tem
ps e
t con
di-
tionn
ée p
ar d
es cr
itère
s lié
s au
volu
me
ou à
l’in
tens
ité d
’expl
oita
tion,
dan
s une
un
ité a
ppro
prié
e : e
n no
mbr
e d’
usag
ers,
en v
olum
e de
tran
sact
ions
, etc
.
Ces c
ritè
res
de v
alid
ité d
oive
nt p
ouvo
ir êt
re m
esur
és e
t sur
veill
és a
fin d
’ob-
ject
iver
que
l’on
resp
ecte
enc
ore
les c
ondi
tions
de
valid
ité d
e l’h
omol
ogat
ion
prov
isoi
re. L
’équ
ipe
pour
ra m
odul
er la
dur
ée e
t les
cri
tère
s de
val
idité
des
ho
mol
ogat
ions
pro
viso
ires s
ucce
ssiv
es e
n fo
nctio
n de
la d
iffus
ion
réel
lem
ent
cons
taté
e du
serv
ice.
Une
str
atég
ie d
’hom
olog
atio
n po
ur la
pla
tefo
rme
Le.T
axi p
ourr
ait a
insi
se
décl
iner
en
troi
s jal
ons :
un ja
lon
« au
toris
atio
n de
test
s » d
’une
dur
ée d
’un
à tr
ois m
ois,
men
ée
excl
usiv
emen
t aup
rès d
’usa
gers
vol
onta
ires s
ur co
nsen
tem
ent e
xplic
ite ;
un
jalo
n « a
utor
isatio
n pr
oviso
ire d
’expl
oita
tion »
, d’u
ne d
urée
max
imal
e de
12
moi
s et u
n pl
afon
d de
1 00
0 co
urse
s cum
ulée
s ;
un ja
lon
« m
ise e
n se
rvic
e fe
rme »
tel q
ue d
écrit
ci-a
près
.
/ HOM
OLOG
ATIO
N PR
OVIS
OIRE
/ HOM
OLOG
ATIO
N FE
RME
/ FOR
MAL
ISER
LE D
OSSI
ER D
’HOM
OLOG
ATIO
N
Si l’
équi
pe n
’a p
as e
u re
cour
s aux
serv
ices
d’u
n ex
pert
en
sécu
rité
num
ériq
ue
lors
des
ate
liers
d’a
naly
se d
e ris
que,
ni à
l’in
terv
entio
n d’
un a
udite
ur e
xter
ne
pour
réal
iser,
par e
xem
ple,
des
test
s d’in
trus
ion
ou u
ne re
vue
de co
de a
xée
sur
les b
esoi
ns d
e sé
curit
é, c
es v
érifi
catio
ns e
xtér
ieur
es s’
impo
sent
gén
éral
emen
t co
mm
e pr
éala
bles
à u
ne d
écisi
on fe
rme.
La m
ise e
n pl
ace
d’un
pla
n d’
amél
iora
tion
cont
inue
de
la sé
curi
té p
our l
es
vers
ions
succ
essiv
es à
ven
ir du
pro
duit
ou d
u se
rvic
e es
t éga
lem
ent u
n él
émen
t im
port
ant d
e la
déc
ision
d’h
omol
ogat
ion.
Ce
plan
gar
antit
la m
onté
e en
pui
s-sa
nce
et e
n m
atur
ité d
e la
sécu
rité
du p
rodu
it et
per
met
une
ges
tion
prio
risée
de
s ris
ques
rési
duel
s sel
on le
ur c
ritic
ité.
Not
ez e
nfin
que
l’on
pren
d so
in d
e ne
pas
par
ler d
’hom
olog
atio
n « d
éfini
tive »
. En
effe
t, le
car
actè
re é
volu
tif d
’un
prod
uit d
oté
d’un
e fo
rte
com
posa
nte
logi
-ci
elle
impo
se d
e ré
éval
uer
pério
diqu
emen
t les
risq
ues,
quan
d bi
en m
ême
le
prod
uit s
erai
t res
té in
chan
gé. C
hose
qui
n’ar
rive,
en p
ratiq
ue, q
ue tr
ès ra
rem
ent.
L’hom
oLog
atio
n de
séc
urit
éen
neuf
étape
s sim
ples
À retr
ouver
sur :
www.s
si.gou
v.fr
50/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESFICHES MÉMO
La po
litiq
ue d
e sé
curi
té d
’un
syst
ème
d’in
form
atio
n (P
SSI)
s’a
rtic
ule
auto
ur d
e tr
ois n
ivea
ux d
e m
esur
es d
e sé
curi
té :
Les
mes
ures
d’h
ygiè
ne in
form
atiq
ue c
ouvr
ent
dive
rs d
omai
nes :
se
nsib
ilisa
tion
et fo
rmat
ion,
aut
hent
ifica
tion,
sécu
risa
tion
des p
oste
s et
rése
aux,
adm
inist
ratio
n, n
omad
isme,
etc.
Elle
s con
stitu
ent u
n « s
ocle
de
bon
nes p
ratiq
ues »
app
licab
les d
e fa
çon
syst
émat
ique
et c
onfé
rant
un
niv
eau
de p
rote
ctio
n ca
pabl
e de
rés
iste
r au
x m
enac
es le
s pl
us
cour
ante
s.
Les
mes
ures
rég
lem
enta
ires
et
norm
ativ
es c
ompl
èten
t ce
soc
le
d’hy
gièn
e pa
r des
exig
ence
s sec
torie
lles a
pplic
able
s dan
s des
dom
aine
s pr
écis,
selo
n le
s enj
eux
de sé
curi
té id
entifi
és (d
ispo
nibi
lité,
inté
grité
, co
nfide
ntia
lité,
preu
ve).
Ain
si, la
loi d
e pr
ogra
mm
atio
n m
ilita
ire (L
PM)
dict
e-t-
elle
des
obl
igat
ions
aux
opé
rate
urs
d’im
port
ance
vit
ale,
le
réfé
rent
iel g
énér
al d
e sé
curi
té (R
GS)
s’ap
pliq
ue a
ux sy
stèm
es d
’in-
form
atio
n de
l’adm
inist
ratio
n, le
s règ
lem
ents
de
la C
NIL
et l
e rè
glem
ent
géné
ral s
ur la
pro
tect
ion
des d
onné
es (R
GPD
) eur
opée
n s’a
ppliq
uent
à
tout
opé
rate
ur tr
aita
nt d
e do
nnée
s à c
arac
tère
per
sonn
el, l
’inst
ruc-
tion
géné
rale
inte
rmin
isté
riel
le 1
300
(IG
I 130
0) d
éfini
t les
règ
les
re-
lativ
es à
la p
rote
ctio
n du
secr
et d
e la
Déf
ense
nat
iona
le, e
tc.
Les
mes
ures
issu
es d
es a
telie
rs d
’ana
lyse
de
risq
ue c
ompl
èten
t ce
so
cle
par
des
mes
ures
con
text
uelle
s, sp
écifi
ques
aux
cas
d’u
sage
du
prod
uit o
u du
serv
ice
dans
son
écos
ystè
me
(exe
mpl
es : m
ise
en p
lace
d’
une
liste
bla
nche
pou
r sé
curi
ser
un p
roce
ssus
de
trai
tem
ent a
uto-
mat
isé,
dur
ciss
emen
t d’
une
mes
ure
d’hy
gièn
e, a
dapt
atio
n d’
une
mes
ure
régl
emen
tair
e, e
tc.).
Ces
mes
ures
conf
èren
t au
prod
uit r
obus
-te
sse
et ré
silie
nce
face
aux
men
aces
cibl
ées e
t/ou
soph
istiq
uées
jugé
es
vrai
sem
blab
les.
STRU
CTUR
ER S
A PO
LITIQ
UE
DE S
ÉCUR
ITÉFI
CHE
MÉM
O 1
FICH
ES
MÉM
O
51/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
L’ana
lyse
de
risq
ue n
’a d
onc
pas v
ocat
ion
à pr
océd
er à
une
nou
velle
iden
ti-fic
atio
n de
s mes
ures
de
sécu
rité
con
nues
ou
impo
sées
, qui
relè
vent
resp
ec-
tivem
ent d
e l’h
ygiè
ne e
t de
la rè
glem
enta
tion.
Les a
ctiv
ités d
e sé
curit
é vi
sent
à id
entifi
er le
s scé
nario
s de
risqu
es cr
itiqu
es
et le
s m
esur
es d
e sé
curi
té p
erm
etta
nt d
e le
s tr
aite
r. L’o
bjec
tif e
st d
’at-
tein
dre
un n
ivea
u de
sécu
rité
corr
espo
ndan
t aux
enj
eux
et b
esoi
ns sé
curit
aire
s da
ns u
ne d
émar
che
agile
, un
scén
ario
de
risq
ue e
st d
écri
t sou
s la
form
e d’
une
abus
er st
ory
de n
atur
e in
tent
ionn
elle
ou
d’un
scén
ario
d’o
rigin
e ac
cide
ntel
le.
Cett
e fic
he m
émo
rece
nse
les
aspe
cts
mét
hodo
logi
ques
à c
onsi
dére
r en
pr
iori
té lo
rs d
es a
telie
rs d
’ana
lyse
de
risq
ue.
LES
CLÉS
POU
R ID
ENTIF
IER
LE
S RI
SQUE
S NU
MÉR
IQUE
S CR
ITIQU
ES
User
story,
abus
er sto
ry et
scén
ario a
ccide
ntel
User
stor
y : «
En ta
nt qu
’utilis
ateur,
je ré
serve
en lig
ne m
on bi
llet de
spec
tacle.
»
Abus
er s
tory
(scé
nario
inten
tionn
el) :
« En t
ant q
u’hac
ktivis
te, j’e
mpêch
e les
clients
de
réserv
er en
ligne
leur
billet
de sp
ectac
le en
satur
ant le
serve
ur ap
plicati
f par
une a
ttaqu
e en
déni
de se
rvice.
Cec
i con
duit
à un
impa
ct pré
judicia
ble su
r l’im
age
et la
crédib
ilité d
u ge
stion
naire
du se
rvice,
voire
une p
erte d
e clien
ts. »
Scén
ario
accid
ente
l : «
Le ser
vice d
e rése
rvation
en lig
ne est
rend
u indis
ponib
le en r
aison
d’u
ne err
eur de
mise
à jou
r du s
erveur
applic
atif pa
r le pr
estata
ire en
charg
e de la
main
tenanc
e du
systè
me. C
eci co
nduit
à un im
pact p
réjud
iciable
sur l’i
mage
et la c
rédibil
ité du
gestio
nnair
e du
servic
e, voir
e une
perte
de clie
nts. »
L’ana
lyse
de
risqu
e do
it s’a
ttach
er à
iden
tifier
les a
buse
r sto
ries s
péci
fique
s, c’e
st-à
-dire
sign
ifica
tives
en
term
es d
’impa
ct e
t qui
relè
vent
de
men
aces
– i
nten
tionn
elle
s ou
acci
dent
elle
s – n
on c
ouve
rtes
par
les m
esur
es d
’hyg
iène
info
rmat
ique
ou
régl
emen
taire
s. Ce
s abu
ser s
torie
s per
met
tent
de
com
plét
er,
d’or
ient
er e
t de
cons
olid
er la
pol
itiqu
e de
sécu
rité
du p
rodu
it ou
du
serv
ice.
/ SE C
ONCE
NTRE
R SU
R LE
S RI
SQUE
S NU
MÉR
IQUE
S LIÉ
S AU
X CA
S D’U
SAGE
DU
PROD
UIT
FICHE
MÉM
O 1 /
STRU
CTUR
ER SA
POLIT
IQUE D
E SÉC
URITÉ
ATEL
IER
D’ANA
LYSE
DE
RIS
QUE
CADR
E RÉG
LEME
NTAI
RE ET
NOR
MATIF
PRIN
CIPE
S DE B
ASE E
T D’HY
GIÈN
E INF
ORMA
TIQUE
Stru
cturat
ion de
s mes
ures d
e séc
urité
d’un
prod
uit
FICH
E M
ÉMO
2
52/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
En te
rmes
de
volu
mét
rie, l
’iden
tifica
tion
et le
trai
tem
ent d
e ci
nq à
dix
abu
ser
stor
ies c
onst
ituen
t une
pre
miè
re b
ase
solid
e po
ur d
éfini
r les
mes
ures
de
sécu
-rit
é st
ruct
uran
tes l
iées
aux
cas d
’usa
ge c
oura
nts d
u pr
odui
t.
Parm
i les
scén
ario
s de
risq
ues à
pre
ndre
en
com
pte
dans
une
ana
lyse
de
risq
ue, c
eux
de n
atur
e in
tent
ionn
elle
peu
vent
s’av
érer
par
ticul
ière
men
t re
dout
able
s lor
sque
l’at
taqu
e es
t men
ée a
vec l
a vo
lont
é d’
atte
indr
e l’o
bjec
tif
visé
en
enga
gean
t de
s m
oyen
s pa
rtic
uliè
rem
ent
impo
rtan
ts. L
es é
lém
ents
co
nstit
utifs
clas
siqu
es à
pre
ndre
en
com
pte
dans
une
abu
ser s
tory
inte
ntio
n-ne
lle so
nt le
s sui
vant
s :
/ PRI
VILÉ
GIER
LES A
BUSE
R ST
ORIE
S (SC
ÉNAR
IOS I
NTEN
TIONN
ELS)
L’ana
lyse
de
risqu
e n’
a pa
s voc
atio
n à
iden
tifier
de
nouv
elle
s mes
ures
de
trai
-te
men
t con
nues
ou
impo
sées
, qui
relè
vent
resp
ectiv
emen
t de
l’hyg
iène
info
r-m
atiq
ue e
t de
la ré
glem
enta
tion,
et q
ui so
nt c
onsid
érée
s com
me
nativ
emen
t in
tégr
ées d
ans l
a po
litiq
ue d
e sé
curit
é du
pro
duit
(voi
r fich
e m
émo
page
35 ).
En re
vanc
he, e
lle a
voc
atio
n à :
val
ider
ou
non
les d
érog
atio
ns é
vent
uelle
s à c
e so
cle
de sé
curit
é ;
iden
tifier
le b
esoi
n de
dur
cir c
e so
cle ;
iden
tifier
des
mes
ures
com
plém
enta
ires
ad h
oc li
ées
aux
cond
ition
s d’
empl
oi d
u pr
odui
t, à
ses p
roce
ssus
mét
ier,
à so
n éc
osys
tèm
e, e
tc.
La ré
ussi
te d
’une
att
aque
sur u
n sy
stèm
e d’
info
rmat
ion
ne re
lève
que
rare
-m
ent d
e l’e
xplo
itatio
n d’
une
seul
e fa
ille.
Les
atta
ques
inte
ntio
nnel
les s
uive
nt
géné
rale
men
t un
e dé
mar
che
séqu
encé
e ex
ploi
tant
de
faço
n co
ordo
nnée
pl
usie
urs v
ulné
rabi
lités
de
natu
re in
form
atiq
ue o
u or
gani
satio
nnel
le.
C’es
t en
rai
son
de te
lles
séqu
ence
s qu
e de
s fa
illes
d’a
ppar
ence
ano
dine
peu
vent
de
veni
r lou
rdes
. Plu
sieur
s mod
èles
exist
ent e
t peu
vent
êtr
e ut
ilisé
s (ex
empl
e :
cybe
r ki
ll ch
ain
de L
ockh
eed
Mar
tin).
L’équ
ipe
pour
ra e
xplo
iter
le m
odèl
e su
ivan
t, do
nné
à tit
re d
’info
rmat
ion.
FICHE
MÉM
O 2 /
LES C
LÉS P
OUR I
DENT
IFIER
LES R
ISQUE
S NUM
ÉRIQU
ES CR
ITIQU
ES
Un ou
plus
ieurs
attaq
uant(
s)Un
e cibl
eUn
e ou p
lusieu
rs fin
alité(
s)Un
chem
in d’a
ttaqu
e exp
loitan
t gén
éralem
ent
plusie
urs ve
cteurs
et/
ou vu
lnérab
ilités
1 2 3 4 5
Reco
nnais
sanc
e exte
rne
Intrus
ion
Reco
nnais
sanc
e inte
rne
Latér
alisa
tion e
t élév
ation
de pr
ivilèg
es
Pilota
ge et
explo
itatio
n de l
’attaq
ue
L’atta
quan
t recu
eille d
es inf
ormati
ons s
ur la
cible
par to
us le
s moye
ns po
ssible
s :
source
s ouve
rtes (
résea
ux so
ciaux
) ou n
on (o
fficine
s).
L’atta
quan
t s’in
trodu
it via
un co
urriel
piégé
, un m
aliciel,
des d
roits
usurp
és,
une i
njecti
on SQ
L, un
e faill
e non
corrig
ée, u
n zero
-day,
etc.
L’atta
quan
t mèn
e des
activi
tés de
reco
nnais
sance
inter
ne lu
i perm
ettan
t de c
artog
raphie
r l’ar
chite
cture
résea
u, ide
ntifie
r les m
écan
ismes
de sé
curité
mis
en pl
ace,
recen
ser le
s vul
nérab
ilités
explo
itable
s et lo
calise
r les s
ervice
s, inf
ormati
ons e
t com
posan
ts str
atégiq
ues.
À part
ir de s
on po
int d’
accè
s init
ial, l’a
ttaqu
ant v
a prog
resser
dans
le sy
stème
d’i
nform
ation
et ac
quéri
r des
droits
lui p
ermett
ant d
e se d
éplac
er « n
’impo
rte où
»
dans
le ré
seau,
de pr
opag
er les
outils
malv
eillan
ts et
de m
ainten
ir son
accè
s en t
oute
discré
tion.
Selon
les o
bjecti
fs de
l’atta
quan
t : sab
otage
, alté
ration
de se
rvice
, vol d
e don
nées,
fraud
e, fal
sifica
tion,
détou
rneme
nt d’u
sage,
usurp
ation
d’ide
ntité,
défig
uratio
n de s
ite, e
tc.
53/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
/ CON
SIDÉ
RER
L’ÉCO
SYST
ÈME C
OMM
E UNE
SOU
RCE
DE R
ISQU
E POT
ENTIE
L
On
ente
nd p
ar é
cosy
stèm
e l’e
nsem
ble
des p
artie
s pre
nant
es q
ui g
ravi
tent
auto
ur d
u pr
odui
t ou
du se
rvic
e et
qui
sont
gén
éral
emen
t néc
essa
ires
à
son
fonc
tionn
emen
t. U
n no
mbr
e cr
oiss
ant d
e m
odes
opé
rato
ires d
’atta
ques
ex
ploi
te le
s vu
lnér
abili
tés
d’un
éco
syst
ème
pour
att
eind
re le
ur c
ible
. C’e
st
ains
i qu’
aux
État
s-Uni
s, un
cas
ino
a fa
it le
s fra
is d
’une
att
aque
men
ée p
ar le
bi
ais…
d’u
n aq
uari
um c
onne
cté !
L’a
naly
se d
e ri
sque
doi
t alo
rs p
rend
re e
n co
mpt
e ce
s élé
men
ts d
e l’é
cosy
stèm
e, su
scep
tible
s de
rend
re p
ossi
ble
ou d
e fa
cilit
er la
réal
isat
ion
d’ab
user
stor
ies.
Les p
artie
s pre
nant
es c
ritiq
ues d
’un
écos
ystè
me,
à p
rend
re e
n co
mpt
e da
ns
l’ana
lyse
de
risq
ue, p
euve
nt p
ar e
xem
ple
être
iden
tifiée
s en
vous
pos
ant l
es
ques
tions
suiv
ante
s : L
a re
latio
n av
ec c
ette
par
tie p
rena
nte
est-e
lle e
ssen
tielle
pou
r m
on
activ
ité ?
Suis
-je d
épen
dant
de
serv
ices
ou
de b
ases
de
donn
ées h
éber
-gé
s ou
expl
oité
s par
la p
artie
pre
nant
e ?
Jusq
u’à
quel
poi
nt la
par
tie p
rena
nte
accè
de-t-
elle
à m
es r
esso
urce
s in
tern
es (m
es lo
caux
, mes
rése
aux
info
rmat
ique
s, m
on o
rgan
isatio
n) ?
Ses
ser
vice
s et
rés
eaux
info
rmat
ique
s so
nt-il
s ex
posé
s su
r In
tern
et ?
So
nt-il
s suffi
sam
men
t séc
uris
és ?
Pui
s-je
cons
idér
er q
ue se
s int
entio
ns so
nt fa
vora
bles
à m
on é
gard
?
Une
mét
hode
sim
ple
et p
ragm
atiq
ue d
’éval
uatio
n de
la m
enac
e d’
un é
cosy
s-tè
me
est p
ropo
sée
dans
le g
uide
EBI
OS
de l’
AN
SSI.
L’id
enti
ficat
ion
des
scén
ario
s de
ris
que,
par
ticu
lière
men
t ce
ux d
e na
ture
in
tent
ionn
elle
, néc
essi
te u
ne ce
rtai
ne e
xper
tise
en sé
curi
té n
umér
ique
. Un
cons
tat d
’aut
ant p
lus v
rai p
our l
es ca
s d’a
ttaq
ues s
ophi
stiq
uées
, met
tant
en
œuv
re u
n sé
quen
cem
ent p
lani
fié d
e m
odes
d’a
ctio
n su
r plu
sieu
rs c
ompo
-sa
nts –
tech
niqu
es e
t hum
ains
gén
éral
emen
t – d
u pr
odui
t et d
e so
n éc
osys
-tè
me.
Com
me
nous
l’av
ons p
réci
sé p
lus h
aut,
l’acc
ompa
gnem
ent d
e l’é
quip
e pa
r un
expe
rt d
ans c
e do
mai
ne p
eut d
onc
être
un
atou
t pou
r la
réus
site
de
l’ate
lier,
en p
ropo
rtio
n av
ec le
deg
ré d
e co
mpl
exité
du
prod
uit e
t de
l’éco
-sy
stèm
e.
Injec
tion d
e cod
e malv
eillan
t par
rebon
d via
un pa
rtena
ire tie
rs co
nnec
té fac
ilitan
t l’ex
filtrat
ion
de do
nnée
s sen
sibles
, etc.
/ Exe
mple
FICHE
MÉM
O 2 /
LES C
LÉS P
OUR I
DENT
IFIER
LES R
ISQUE
S NUM
ÉRIQU
ES CR
ITIQU
ES
Nou
s vo
us r
ecom
man
dons
d’a
dopt
er u
ne v
isio
n gl
obal
e de
s sé
quen
ces
d’at
taqu
es p
ossi
bles
dan
s vos
ate
liers
de
sécu
rité
, afin
de
ne p
as m
inim
iser
à
tort
un
scén
ario
don
t la
vrai
sem
blan
ce e
t l’im
pact
pou
rrai
ent s
e ré
véle
r di
spro
port
ionn
és. C
ette
app
roch
e do
it vo
us p
erm
ettr
e d’
iden
tifier
faci
le-
men
t les
com
posa
nts
criti
ques
sus
cept
ible
s de
ser
vir
de v
ecte
urs
d’en
trée
ou
d’e
xplo
itatio
n, d
e re
lais
de
prop
agat
ion,
etc
. Ces
com
posa
nts –
de
natu
re
tech
niqu
e, h
umai
ne o
u or
gani
satio
nnel
le –
fero
nt a
lors
l’ob
jet d
e m
esur
es
ad h
oc o
u d’
un d
urci
ssem
ent d
u so
cle
exis
tant
54/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
LE C
ANEV
AS
DE L’A
NALY
SE D
E RIS
QUE
Dan
s ce
tte
rubr
ique
, il s
’agi
t de
rec
ense
r le
s pr
inci
paux
élé
men
ts d
eva
leur
d’u
sage
mis
en
œuv
re p
ar le
pro
duit,
et d
’est
imer
leur
s bes
oins
de
sécu
rité
(DIC
P : d
ispo
nibi
lité,
inté
grité
, con
fiden
tialit
é, p
reuv
e). C
es é
lé-
men
ts se
ront
gén
éral
emen
t exp
rim
és so
us fo
rme
de u
sers
stor
ies.
L’obj
ectif
est
d’id
entifi
er, p
our
chaq
ue u
ser
stor
y, q
uels
son
t les
bes
oins
de
sécu
rité
les
plus
impo
rtan
ts a
fin d
’ori
ente
r pa
r la
sui
te le
trav
ail d
’iden
tifi-
catio
n de
s scé
nari
os d
e ri
sque
s per
tinen
ts. L
e de
gré
d’im
port
ance
peu
t êtr
e po
ndér
é pa
r un
indi
ce si
mpl
e. P
ar e
xem
ple,
• po
ur u
n be
soin
impo
rtan
t et
• • p
our u
n be
soin
très
impo
rtan
t. U
n sc
hém
a si
mila
ire
pour
ra ê
tre
adop
té
pour
les
autr
es é
lém
ents
de
l’ana
lyse
. L’é
valu
atio
n de
l’im
port
ance
d’u
n be
soin
de
sécu
rité
est
souv
ent i
téra
tive
et o
bten
ue p
ar c
ompa
rais
on a
u fu
r et
à m
esur
e de
l’at
elie
r ; u
n be
soin
iden
tifié
com
me
« tr
ès im
port
ant »
trad
uit
le fa
it qu
’il e
st e
ssen
tiel p
our l
e pr
odui
t.
Le p
oint
de
dépa
rt d
e l’a
telie
r – le
s use
r sto
ries –
est
ess
entie
l. En
com
men
çant
pa
r là
, l’é
quip
e an
cre
dans
le r
este
de
l’ate
lier
l’idé
e qu
e le
s m
esur
es d
e sé
-cu
rité
serv
ent l
a va
leur
livr
ée a
ux u
sage
rs. E
n eff
et, p
our
chaq
ue b
esoi
n de
sé
curi
té im
port
ant r
elat
if à
une
user
stor
y, il
y a
un
ou p
lusi
eurs
évé
nem
ents
re
dout
és e
t au
moi
ns u
n sc
énar
io d
e ri
sque
susc
eptib
le d
e co
mpr
omet
tre
la
prop
ositi
on d
e va
leur
.
1 / L
ES U
SER
STOR
IES E
T LEU
RS B
ESOI
NS D
E SÉC
URITÉ
Un cl
ient p
eut é
mettre
une d
eman
de («
héler
virtu
elleme
nt un
taxi
»), év
aluer
une c
ourse
eff
ectué
e ou d
éclar
er un
incid
ent.
12
34
5
Les u
ser s
tories
et
leurs
beso
ins de
sécu
rité
Les s
ource
s de r
isque
s et
leurs
inten
tions
Les é
véne
ments
redo
utés
et leu
rs im
pacts
L’éco
systèm
e et
les co
mpos
ants
vulné
rables
Les s
céna
rios d
e risq
ues
et les
mes
ures d
e trai
temen
t
/ Exe
mple
FICH
E M
ÉMO
3
55/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
Il s’a
git d
e re
cens
er le
s sou
rces
de
risqu
es –
acci
dent
elle
s ou
inte
ntio
nnel
les,
exte
rnes
ou
inte
rnes
– su
scep
tible
s d’
impa
cter
la v
aleu
r d’
usag
e : q
ui o
u qu
oi p
ourr
ait p
orte
r at
tein
te a
ux b
esoi
ns d
e sé
curi
té. L
e sc
hém
a ci
-des
sous
ré
sum
e qu
elqu
es-u
nes d
es m
otiv
atio
ns à
l’or
igin
e d’
atta
ques
inte
ntio
nnel
les,
et p
eut c
onst
ituer
un
poin
t de
dépa
rt in
tére
ssan
t à la
disc
ussio
n lo
rs d
e l’a
telie
r.
Un
évén
emen
t red
outé
(ER
) cor
resp
ond
au n
on-re
spec
t d’u
n be
soin
de
sécu
rité
: ch
aque
bes
oin
de s
écur
ité
asso
cié
à un
e us
er s
tory
de
l’éta
pe 1
se
décl
ine
donc
sel
on u
n ou
plu
sieu
rs é
véne
men
ts r
edou
tés.
Il co
nvie
nt d
e pr
écis
er le
s im
pact
s (s
ur le
s m
issi
ons
ou la
séc
urité
des
per
-so
nnes
, fina
ncie
rs, j
urid
ique
s, d’
imag
e, e
nvir
onne
men
taux
, etc
.) ai
nsi q
ue le
ni
veau
de
grav
ité e
stim
é, l’o
bjec
tif é
tant
d’id
entifi
er e
n pr
iorit
é le
s évé
nem
ents
re
dout
és d
ont l
es c
onsé
quen
ces s
erai
ent d
iffici
lem
ent s
urm
onta
bles
.
En p
rem
ière
app
roch
e, l’
éche
lle d
e co
tatio
n ad
opté
e pe
ut s
e lim
iter
à un
in
dice
de
prio
rité
(P),
par e
xem
ple
: P1
– ER
à re
teni
r, P2
– E
R à
con
sidé
rer
dans
un
seco
nd t
emps
. De
faço
n pl
us é
labo
rée,
une
éch
elle
de
cota
tion
à tr
ois
nive
aux
ou p
lus
pour
ra ê
tre
adop
tée
: • g
ravi
té fa
ible
, • •
moy
enne
, • •
• él
evée
.
Un
évén
emen
t red
outé
est
exp
rim
é so
us la
form
e d’
une
expr
essi
on c
ourt
e qu
i per
met
de
com
pren
dre
faci
lem
ent l
e pr
éjud
ice
lié à
la u
ser s
tory
conc
er-
née.
Il e
st r
ecom
man
dé d
e m
entio
nner
dan
s l’i
ntitu
lé d
e l’E
R la
sou
rce
de
risq
ue la
plu
s vra
isem
blab
le su
scep
tible
d’e
n êt
re à
l’or
igin
e. E
nfin,
dan
s un
souc
i d’e
ffica
cité
, l’é
quip
e s’i
ntér
esse
en
prem
ière
app
roch
e au
x év
énem
ents
re
dout
és a
ssoc
iés a
ux b
esoi
ns d
e sé
curi
té «
très
impo
rtan
ts »
.
2 / L
ES S
OURC
ES D
E RIS
QUES
ET LE
URS
INTE
NTIO
NS
3 / L
ES ÉV
ÉNEM
ENTS
RED
OUTÉ
S ET
LEUR
S IM
PACT
S
Il es
t rec
omm
andé
de
rece
nser
des
sour
ces d
e ris
ques
de
natu
res e
t de
mot
iva-
tions
var
iées
pou
r di
spos
er d
’un
écha
ntill
on d
e ris
ques
repr
ésen
tatif
à p
artir
du
quel
bât
ir de
s scé
nario
s don
t les
men
aces
et m
odes
opé
rato
ires d
iffèr
ent.
Opéra
teur c
oncu
rrent
cherc
hant
à disc
rédite
r, voir
e sab
oter le
servi
ce Le
.Taxi
(malv
eillan
ce).
Mafi
a che
rchan
t à co
llecter
des d
onné
es à c
aractè
re pe
rsonn
el po
ur les
mon
nayer
(ap
pât d
u gain
).
Un op
érateu
r con
curre
nt, se
faisa
nt pa
sser p
our u
n clien
t, hèle
un ta
xi qu
i réalis
e une
cours
e d’a
pproc
he en
pure
perte
.
FICHE
MÉM
O 3 /
LE CA
NEVA
S DE L
’ANAL
YSE D
E RISQ
UE
/ Iden
tifica
tion d
es so
urces
de ris
ques
Espion
nage
- Ren
seign
emen
t - Int
ellige
nce éc
onom
ique
Idéolo
gie -
Agita
tion -
Pro
paga
nde
Neutr
alisa
tion -
Sa
botag
e - De
struc
tion
Malve
illanc
e - Ve
ngea
nce
Ludiq
ue -
Explo
it
Fraud
e -
Lucra
tif
Prépo
sition
neme
nt str
atégiq
ue (i
nvasio
n)
Unité
s spé
cialisé
es Ag
ence
s de r
ensei
gnem
ent
Officin
es sp
éciali
sées
Hackt
ivistes
Cy
berte
rroris
tes
Cybe
rpatrio
tes
Unité
s spé
cialisé
es Ag
ence
s de r
ensei
gnem
ent
Officin
es sp
éciali
sées
Veng
eurs
; Sala
riés m
écon
tents
; Con
curre
nts dé
loyau
x
Adole
scents
désœ
uvrés
Hacke
rs ch
evron
nés
Mafia
s Ga
ngs
Officin
es
Unité
s spé
cialisé
es Ag
ence
s de r
ensei
gnem
ent
Officin
es sp
éciali
sées
/ Exe
mple
/ Exe
mple
56/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
Il s’a
git d
’iden
tifier
par
mi l
es c
ompo
sant
s du
pro
duit
ceux
con
trib
uant
àla
réa
lisat
ion
des
user
sto
ries
iden
tifiée
s da
ns l’
étap
e 1
et
susc
eptib
les
d’êt
re c
once
rnés
ou
cibl
és p
ar le
s so
urce
s de
ris
ques
de
l’éta
pe 2
. Il e
st r
e-co
mm
andé
de
préc
iser
, pou
r cha
que
com
posa
nt, q
uelle
s son
t les
vul
néra
bi-
lités
que
ces
sour
ces d
e ri
sque
s pou
rrai
ent e
xplo
iter.
4 / L
’ÉCOS
YSTÈ
ME E
T LES
COM
POSA
NTS
VULN
ÉRAB
LES
5 / L
ES S
CÉNA
RIOS
DE R
ISQU
ES (A
BUSE
R ST
ORIE
S)
ET LE
S M
ESUR
ES D
E TRA
ITEM
ENT
/ Exe
mple
Base
de d
onné
es Le.
Taxi (
vulné
rabilit
és ex
ploita
bles
: acc
ès en
lectu
re/éc
riture
depu
is Int
ernet,
mod
ificati
on fré
quen
te).
Un at
taqua
nt ex
terne
accè
de au
x info
rmati
ons à
carac
tère p
erson
nel d
e clien
ts en
usurp
ant
l’iden
tité du
serve
ur Le.
Taxi o
u en e
xploit
ant u
ne vu
lnérab
ilité n
on co
rrigée
. Un
clien
t de m
auvai
se foi
attrib
ue ab
usive
ment
une m
auvai
se no
te à u
n tax
i.
Prest
ataire
infor
matiq
ue as
suran
t la t
éléma
inten
ance
du
serveu
r qui
hébe
rge la
base
de
donn
ées L
e.Tax
i.
L’id
entifi
catio
n de
s com
posa
nts p
eut ê
tre
stru
ctur
ée c
omm
e su
it :
infr
astr
uctu
res
phys
ique
s : b
âtim
ents
, loc
aux,
esp
aces
phy
siqu
es
perm
etta
nt l’
activ
ité e
t les
éch
ange
s de
flux
; o
rgan
isat
ions
: st
ruct
ures
org
anis
atio
nnel
les,
proc
essu
s m
étie
rs e
t su
ppor
ts, r
esso
urce
s hum
aine
s ;
syst
èmes
num
ériq
ues m
atér
iels
et l
ogic
iels
: sys
tèm
es in
form
atiq
ues
et d
e té
léph
onie
, rés
eaux
de
com
mun
icat
ion.
Le d
egré
de
gran
ular
ité d
ans l
a de
scri
ptio
n de
s com
posa
nts s
era
adap
té a
u ni
veau
de
conn
aiss
ance
du
prod
uit
lors
de
l’ate
lier.
Enfin
, les
com
posa
nts
prio
rita
ires
à r
ecen
ser
sont
ceu
x qu
i con
trib
uent
(de
faço
n di
rect
e ou
indi
-re
cte)
aux
use
r sto
ries
aya
nt d
es b
esoi
ns d
e sé
curi
té «
impo
rtan
ts »
.
Afin
d’é
tend
re le
pér
imèt
re d
e l’a
ppré
ciat
ion
des r
isqu
es, v
ous p
ouve
z co
m-
plét
er c
ette
éta
pe e
n id
entifi
ant
quel
les
part
ies
pren
ante
s de
l’éc
osys
tèm
e se
raie
nt s
usce
ptib
les
d’êt
re e
xplo
itée
s po
ur fa
cilit
er u
ne a
ttaq
ue s
ur u
n co
mpo
sant
du
prod
uit
(rep
orte
z-vo
us à
la fi
che
mém
o pr
écéd
ente
). Le
s pa
rtie
s pr
enan
tes
criti
ques
à c
onsi
dére
r en
pri
orité
son
t ce
lles
qui o
nt u
n lie
n av
ec u
n de
s com
posa
nts r
ecen
sés.
La fin
alité
de
l’ate
lier e
st d
’iden
tifier
les r
isqu
es n
umér
ique
s de
réfé
renc
e à
pren
dre
en c
ompt
e po
ur b
âtir
ou
com
plét
er la
pol
itiqu
e de
séc
urité
du
pro
duit.
L’équ
ipe
com
men
ce p
ar d
ress
er u
ne li
ste
de s
céna
rios
de
risq
ues
– abu
ser
stor
ies –
en
conf
ront
ant l
es so
urce
s de
risqu
es 2
, les
évé
nem
ents
redo
utés
3
et le
s co
mpo
sant
s vu
lnér
able
s 4
. Con
crèt
emen
t, il
s’agi
t de
voir
de
quel
le
faço
n ch
aque
sou
rce
de r
isqu
e re
tenu
e pe
ut im
pact
er d
es c
ompo
sant
s du
pr
odui
t, pa
r exp
loita
tion
nota
mm
ent d
e le
urs v
ulné
rabi
lités
ou
d’un
fact
eur
exte
rne
aggr
avan
t, po
ur g
énér
er u
n év
énem
ent
redo
uté.
Cha
que
abus
er
stor
y pe
ut e
nsui
te ê
tre
éval
uée
en te
rmes
de
vrai
sem
blan
ce p
uis d
e cr
itici
té
à pa
rtir
de
la g
ravi
té d
e l’é
véne
men
t red
outé
ass
ocié
.
Pour
chaq
ue a
buse
r sto
ry ré
pert
orié
e, l’
équi
pe p
eut d
éfini
r si b
esoi
n l’o
ptio
n de
tra
item
ent
du r
isqu
e la
plu
s ap
prop
riée
(évi
ter,
rédu
ire,
tran
sfér
er, a
c-ce
pter
). D
ans l
e ca
s où
le ri
sque
doi
t êtr
e ré
duit,
les p
artic
ipan
ts id
entifi
ent
les m
esur
es d
e sé
curi
té c
ompl
émen
tair
es q
u’il
faud
ra m
ettr
e en
œuv
re, e
n pl
us d
es m
esur
es e
xist
ante
s ou
déjà
pré
vues
. Leu
r ré
alis
atio
n es
t con
sign
ée
par l
’équ
ipe
au m
ême
titre
que
les a
utre
s use
r sto
ries
.
/ Exe
mple
/ Exe
mple
FICHE
MÉM
O 3 /
LE CA
NEVA
S DE L
’ANAL
YSE D
E RISQ
UE
57/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
Enfin
, l’é
quip
e pe
ut c
lore
l’at
elie
r en
iden
tifia
nt le
s ri
sque
s ré
sidu
els.
Ces d
erni
ers c
once
rnen
t :
les
abus
er s
tori
es n
on t
rait
ées
(acc
epté
es e
n l’é
tat)
ou
seul
emen
t pa
rtie
llem
ent (
mes
ures
de
sécu
rité
mis
es e
n pl
ace,
mai
s ne
rédu
isan
t pa
s com
plèt
emen
t ou
suffi
sam
men
t le
risq
ue) ;
les
abus
er s
tori
es fa
isan
t l’o
bjet
d’u
n tr
ansf
ert
du r
isqu
e, le
quel
ne
couv
re g
énér
alem
ent p
as l’e
nsem
ble
des i
mpa
cts (
exem
ple :
l’ass
uran
ce
ne c
ouvr
e pa
s l’a
ttei
nte
à l’i
mag
e) ;
pou
r affi
ner,
dans
un
deux
ièm
e te
mps
: le
s be
soin
s de
séc
urit
é de
l’é
tape
1 e
t le
s év
énem
ents
red
outé
s de
l’ét
ape
3 n
on d
éclin
és e
n ab
user
stor
ies.
Un
cert
ain
trav
ail (
souv
ent s
ubje
ctif
) de
cons
olid
atio
n de
s ris
ques
rési
duel
s es
t à e
ffect
uer p
ar l’
équi
pe a
fin d
e di
spos
er d
’un
bila
n à
jour
et r
eflét
ant l
’éta
t de
maî
tris
e du
ris
que
num
ériq
ue d
u pr
odui
t. Le
s ri
sque
s ré
sidu
els
les
plus
si
gnifi
cati
fs s
eron
t en
pri
orit
é re
cens
és e
t m
is e
n év
iden
ce. P
ar e
xem
ple,
l’u
sage
d’é
chel
les d
e gr
avité
, vra
isem
blan
ce e
t cri
ticité
, ass
ocié
es à
des
seui
ls
d’ac
cept
ion
du r
isqu
e, c
onst
ituer
a un
e ai
de p
réci
euse
pou
r hi
érar
chis
er le
s ri
sque
s ré
sidu
els
avec
obj
ectiv
ité e
t co
hére
nce.
Not
ons
enfin
que
ce
bila
n,
enri
chi a
u fil
des
ate
liers
d’a
naly
se d
e ri
sque
, ser
a co
mpl
été
par d
’éven
tuel
les
vuln
érab
ilité
s rés
idue
lles i
dent
ifiée
s à l’
issu
e de
s aud
its d
e sé
curi
té.
De
faço
n al
tern
ativ
e, l’
équi
pe p
eut
choi
sir
de d
iffér
er l’
iden
tifica
tion
et la
co
nsol
idat
ion
des
risq
ues
rési
duel
s lo
rs d
’un
atel
ier
de s
ynth
èse
dédi
é, n
o-ta
mm
ent p
our l
a pr
épar
atio
n d’
une
com
mis
sion
d’h
omol
ogat
ion.
La s
ecti
on s
uiva
nte
prés
ente
l’in
tégr
alit
é de
l’an
alys
e de
ris
que
pour
la
plat
efor
me
Le.T
axi e
t vou
s per
met
tra
d’ob
serv
er l’
artic
ulat
ion
des d
iffér
ents
él
émen
ts p
rése
ntés
ici s
ur u
n ca
s pra
tique
.
UN EX
EMPL
E COM
PLET
Voic
i, à
titre
d’il
lust
ratio
n, l’
exem
ple
déta
illé
du s
ervi
ce L
e.Tax
i dév
elop
pé
par l
’incu
bate
ur d
e se
rvic
es n
umér
ique
s de
la D
INSI
C.
Les t
able
aux
que
nous
livr
ons c
i-des
sous
cor
resp
onde
nt à
la re
stitu
tion
for-
mel
le d
’un
des
atel
iers
d’a
naly
se d
e ri
sque
, san
s aj
out
ni r
etou
ches
aut
res
que
des é
volu
tions
de
term
inol
ogie
en
cour
s de
réda
ctio
n.
User
storie
sBe
soins
de sé
curit
é
Un ta
xi pe
ut rem
onter
sa po
sition
via l’i
nterfa
ce
de pr
ogram
matio
n app
licative
(API)
Dispo
nibilit
é : un
e posi
tion d
oit re
monte
r sou
s cin
q minu
tes
Intég
rité : a
ltérat
ions d
étecta
bles
Un cl
ient e
t un t
axi co
nvienn
ent d’u
ne cou
rse (s
cénari
o glo
bal d
écomp
osé en
sous-
scéna
rios c
i-dess
ous)
: U
n clien
t peu
t con
naître
les ta
xis à
proxim
ité
(ou su
ivre un
taxi e
n app
roche
) U
n clien
t peu
t éme
ttre un
e dem
ande
(«
héler
virtue
llemen
t » un
taxi)
Le ta
xi, pu
is le c
lient, p
euven
t con
firmer
la prise
en
charg
e Le
taxi o
u le c
lient p
eut a
nnule
r la co
urse
Dispo
nibilit
é : so
us ci
nq m
inutes
Int
égrité
: alté
ration
s déte
ctable
s et c
orrige
ables
Co
nfide
ntiali
té : l’
inform
ation
sur le
s cou
rses e
st à
diffus
ion lim
itée
Un cl
ient p
eut é
value
r une
cours
e effe
ctuée
ou
décla
rer un
incid
ent
Dispo
nibilit
é : so
us 72
h
Un ta
xi pe
ut sig
naler
un pr
oblèm
e lié
à une
cours
eDis
ponib
ilité :
sous
72 h
Un pa
rtena
ire pe
ut en
regist
rer un
véhic
uleDis
ponib
ilité :
sous
72 h
Int
égrité
: alté
ration
s déte
ctable
s
Un ad
minis
trateu
r peu
t enre
gistre
r ou r
adier
un
parte
naire
Dispo
nibilit
é : so
us 72
h
Intég
rité : a
ltérat
ions d
étecta
bles
Un ad
minis
trateu
r peu
t con
sulte
r les s
tatist
iques
parte
naire
sCo
nfide
ntiali
té : le
s stat
istiqu
es son
t à di
ffusio
n lim
itée
FICHE
MÉM
O 3 /
LE CA
NEVA
S DE L
’ANAL
YSE D
E RISQ
UEFI
CHE
MÉM
O 4
58/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
Sour
ces d
e risq
ues
Mode
s opé
ratoir
esVra
isemb
lance
Attaq
uants
exter
nes (
clients
, hac
kers)
Un at
taqua
nt ex
terne
accè
de à
la ba
se de
donn
ées
Un at
taqua
nt ex
terne
surch
arge l
e sys
tème
Acteu
rs ag
réés d
e mau
vaise
foi
(taxis
, opé
rateu
rs)
Un pa
rtena
ire su
rcharg
e le s
ystèm
e
Un pa
rtena
ire te
nte de
faus
ser la
co
ncurr
ence
en en
voyan
t de f
ausse
s po
sition
s
Évén
emen
ts red
outés
Impa
cts m
étier
Grav
ité
Le sys
tème n
e rép
ond p
asExp
érien
ce uti
lisate
urs dé
gradé
e pe
rte de
clien
ts
Un op
érateu
r de t
axis é
met d
e fau
sses
positi
ons
Quali
té de
servi
ce dé
gradé
e pe
rte de
clien
ts
Un ta
xi fai
t une
cours
e d’ap
proch
e en
pure
perte
Perte
de co
nfian
ce et
d’adh
ésion
de
s taxi
s dé
senga
geme
nt ab
outis
sant
à une
rédu
ction
de l’o
ffre de
taxis
Un ta
xi s’e
nregis
tre av
ec de
faus
ses
inform
ation
sCa
ptatio
n abu
sive d
e cou
rses
perte
de co
nfian
ce, ris
que j
uridiq
ue
Comp
osan
ts du
systè
me
API Ta
xi Ex
chan
ge Po
int (T
XP)
Serve
urs (1
serve
ur ac
tuellem
ent)
Donn
ées s
tocké
es
Admi
nistra
teurs
Parte
naire
s
Risqu
esMe
sures
exist
antes
ou pr
évue
s
Un pa
rtena
ire te
nte de
faus
ser la
conc
urren
ce
en en
voyan
t de f
ausse
s posi
tions
Signa
ture c
ryptog
raphiq
ue de
s rem
ontée
s de
posit
ions p
ar les
parte
naire
s
Un at
taqua
nt ext
erne a
ccède
à de
s infor
matio
ns con
fiden
tielles
en ex
ploitan
t une
faille
Ferm
eture
des p
orts a
utres
que H
TTP/
HTTP
S au
trafic
issu
d’ad
resses
IP in
conn
ues
Un at
taqua
nt ex
terne
accè
de à
des i
nform
ation
s co
nfide
ntielle
s en u
surpa
nt l’id
entité
du se
rveur
Écha
nges
sécuri
sés pa
r HTT
PS
Un cl
ient d
e mau
vaise
foi co
mman
de un
taxi
sans
inten
tion d
’hono
rer sa
comm
ande
Trans
actio
n en d
eux é
tapes,
bann
issem
ent
tempo
raire
des c
lients
abus
ifs
Un ta
xi fou
rnit d
es co
urses
ne re
spec
tant p
as la
qualit
é de s
ervice
atten
due
Enreg
istrem
ent d
’une n
otatio
n attri
buée
par le
clien
t au
taxi
Un cl
ient d
e mau
vaise
foi at
tribue
abus
iveme
nt un
e ma
uvaise
note
au ta
xiLes
notat
ions s
ont a
ssocié
es à u
ne co
urse r
éelle
spéc
ifique
FICHE
MÉM
O 4 /
UN EX
EMPL
E COM
PLET
59/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
FICHES MÉMO
FICHES MÉMO
Les r
isque
s rés
idue
ls su
ivan
ts so
nt p
rovi
soire
men
t acc
epté
s mai
s doi
vent
êtr
e tr
aité
s par
les m
esur
es c
itées
en
rega
rd :
Risqu
es ré
sidue
ls ma
jeurs
Mesu
res à
pren
dre
Le sys
tème e
st ind
ispon
ible s
uite à
un dé
ni
de se
rvice
Redo
nder
les se
rveurs
Un ta
xi usur
pe l’id
entité
d’un
véhic
ule lég
itime
À ins
truire
lors
de la
mon
tée en
puiss
ance
NOTE
SFIC
HE M
ÉMO 4
/ UN
EXEM
PLE C
OMPL
ET
60/80
AGILITÉ & SÉCURITÉ NUMÉRIQUESANNEXES
GLOS
SAIR
E
ANNE
XES
Term
esDé
finitio
ns
Abus
er sto
ryBrè
ve de
script
ion d’
un sc
énari
o de r
isque
(sou
s une
form
e ana
logue
à ce
lle d’u
ne us
er sto
ry) qu
i sera
utilis
é pou
r déte
rmine
r les m
esures
de sé
curité
à im
pléme
nter e
t réalis
er les
tests
de co
uvertu
re du
risqu
e.
Analy
se de
risq
ueSo
us-pr
ocess
us de
gesti
on de
s risq
ues v
isant
à ide
ntifie
r, ana
lyser
et éva
luer
les ris
ques.
Back
logLis
te de
fonc
tionn
alités
ou de
tâch
es (cf
. user
stori
es) ju
gées
néce
ssaire
s à la
bo
nne r
éalisa
tion d
u prod
uit.
Beso
in de
sécu
rité
Défin
ition p
récise
et no
n amb
iguë d
u nive
au d’
exige
nces
opéra
tionn
elles
relati
ves à
une v
aleur
métie
r pou
r un c
ritère
de sé
curité
donn
é (dis
ponib
ilité,
confi
denti
alité,
intég
rité, p
reuve,
etc.)
.
Comp
osan
t du s
ystèm
e d’i
nform
ation
(bien
su
pport
)
Resso
urce s
ur laq
uelle
repose
nt de
s fon
ction
nalité
s et q
u’il c
onvie
nt de
séc
uriser
en fo
nctio
n de s
a criti
cité.
On di
sting
ue no
tamme
nt : le
s syst
èmes
numé
rique
s, les
orga
nisati
ons e
t resso
urces
huma
ines,
les lo
caux
et
infras
tructu
res ph
ysiqu
es.
DevO
ps
Désig
ne un
e com
muna
uté ré
unie
autou
r de p
ratiqu
es vis
ant à
rédu
ire l’é
cart
entre
les p
erson
nes q
ui dé
velop
pent
un pr
oduit
ou un
servi
ce, e
t celle
s qui
sont c
hargé
es de
l’héb
erger,
l’opé
rer, le
surve
iller, e
tc. Pa
r exe
mple,
les
équip
es de
dével
oppe
ment
sont a
lertée
s et m
obilis
ées s
ur tou
s les
incide
nts
de pr
oduc
tion.
DICP
Acron
yme d
ésign
ant le
s diffé
rentes
catég
ories
de be
soins
de sé
curité
qu’il
convi
ent u
suelle
ment
de pr
endre
en co
mpte
lors d
’une a
nalys
e des
risqu
es nu
mériq
ues :
disp
onibi
lité, in
tégrité
, con
fiden
tialité
, preu
ve.
Écos
ystèm
e
Partie
s pren
antes
qui g
ravite
nt au
tour d
u syst
ème d
’infor
matio
n (SI)
et
intera
gissen
t au t
ravers
d’int
erfac
es log
iques
ou ph
ysiqu
es. Il
peut
s’agir
des
clients
ou us
agers
d’un
servi
ce, d
e part
enair
es, de
cotra
itants
, etc.
L’é
cosys
tème i
nclut
égale
ment
l’ensem
ble de
s serv
ices e
t résea
ux su
pport
s ind
ispen
sables
au bo
n fon
ction
neme
nt du
SI.
Évén
emen
t red
outé
Situa
tion c
rainte
par l’
organ
isme.
Il s’ex
prime
par la
comb
inaiso
n des
source
s de
men
aces
susce
ptible
s d’en
être
à l’or
igine
, d’un
e user
story
, du b
esoin
de
sécuri
té co
ncern
é et d
es im
pacts
poten
tiels.
Un év
énem
ent re
douté
co
rresp
ond à
une v
iolatio
n d’un
besoi
n de s
écuri
té d’u
ne us
er sto
ry.
61/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
ANNEXES
ANNEXES
Term
esDé
finitio
ns
Homo
logati
on
de sé
curit
é
Attest
ation
, par
une a
utorité
resp
onsab
le, qu
e le n
iveau
de sé
curité
est
confo
rme a
ux at
tentes
et qu
e les
risqu
es rés
iduels
sont
acce
ptable
s dan
s un
conte
xte d’
emplo
i don
né.
Impa
ctCo
nséq
uenc
e dire
cte ou
indir
ecte
de l’i
nsati
sfacti
on de
s beso
ins de
sécu
rité
sur l’
organ
isme o
u sur
son en
viron
neme
nt.
Mesu
re de
sécu
rité
Moyen
de tra
iter u
n risq
ue de
sécu
rité. U
ne m
esure
peut
être d
e natu
re tec
hniqu
e, ph
ysiqu
e ou o
rganis
ation
nelle.
Objec
tif de
sécu
rité
Dans
le pr
ésent
guide
, un o
bjecti
f de s
écuri
té co
rresp
ond à
l’opti
on de
tra
iteme
nt dé
cidée
pour
un sc
énari
o de r
isque
. Typiq
ueme
nt : é
viter, r
éduir
e, tra
nsfér
er, ac
cepte
r.
Refac
toring
Pratiq
ue te
chniq
ue co
nsist
ant à
amélio
rer la
conc
eptio
n (lisi
bilité
, mod
ularité
, etc
.) d’un
code
sourc
e exis
tant s
ans e
n mod
ifier la
fonc
tionn
alité,
et plu
s lar
geme
nt à p
rendre
en co
mpte
la co
ncep
tion t
out a
u lon
g du d
évelop
peme
nt d’u
n log
iciel, p
lutôt
que l
ors d’
une p
hase
distin
cte au
débu
t.
Risqu
e rés
iduel
Risqu
e sub
sistan
t aprè
s le t
raitem
ent d
u risq
ue et
la m
ise en
œuvr
e des
mesu
res de
sécu
rité. Il
peut
être p
résen
t dès
la co
ncep
tion (
l’équip
e a
acce
pté la
prése
nce d
u risq
ue) o
u ide
ntifié
a po
sterio
ri (pa
r exe
mple
lors d
’un
audit
exter
ne).
Scén
ario d
e risq
ue
Scén
ario d
écriv
ant la
surve
nue d
’un év
énem
ent re
douté
. Il co
mbine
les
source
s de r
isque
s sus
cepti
bles d
’en êt
re à l
’origi
ne, le
s com
posan
ts du
SI
visés,
des m
odes
d’acti
on op
érés s
ur ce
s com
posan
ts et
les vu
lnérab
ilités
explo
itable
s pou
r qu’i
ls se
réalise
nt. Da
ns le
prése
nt gu
ide, u
n scé
nario
de
risqu
e est
égale
ment
désig
né so
us l’a
ppella
tion «
abuse
r stor
y ».
Sourc
e de r
isque
Entité
ou pe
rsonn
e à l’o
rigine
de sc
énari
os de
risqu
e.
User
story
Au lie
u de f
aire l
’objet
d’un
cahie
r des
charg
es, la
réalis
ation
d’un
prod
uit pa
r un
e équ
ipe ag
ile su
ppose
de dé
coup
er le
travai
l à ré
aliser
en in
créme
nts de
val
eur m
étier
appe
lés «
user s
tories
».
Valeu
r méti
erInf
ormati
on ou
proc
essus
jugé
impo
rtant
pour
l’orga
nisme
et qu
’il co
nvien
t do
nc de
proté
ger. O
n app
récier
a ses
besoi
ns de
sécu
rité. E
n dém
arche
agile,
la
valeu
r méti
er est
géné
ralem
ent e
xprim
ée so
us la
form
e d’un
e user
story
.
Vulné
rabilit
éCa
ractér
istiqu
e d’un
comp
osant
du SI
qui p
eut c
onsti
tuer u
ne fa
ibless
e ou
une f
aille a
u reg
ard de
la sé
curité
numé
rique
.
BIBL
IOGR
APHI
E
Les so
urce
s ci-a
près
con
stitu
ent u
n bo
n po
int d
e dé
part
pou
r to
ut o
rga-
nism
e so
uhai
tant
app
rofo
ndir
ses
con
nais
sanc
es o
u bâ
tir s
on p
ropr
e ré
fére
ntie
l en
mat
ière
de
dém
arch
e ag
ile, d
e dé
velo
ppem
ent s
écur
isé
ou d
e pr
atiq
ues d
’hom
olog
atio
n. C
ette
bib
liogr
aphi
e ne
se v
eut p
as e
xhau
stiv
e.
/ DÉM
ARCH
E AGI
LE
Le
man
ifest
e ag
ile e
st le
doc
umen
t « h
istor
ique
» e
t de
fait
inco
ntou
r-na
ble
pour
qui
souh
aite
maî
tris
er le
suje
t. To
ute
la li
ttér
atur
e qu
i sui
t se
répa
rtit
en d
eux
caté
gorie
s, de
s glo
ses s
ur le
Man
ifest
e et
des
reto
urs
d’ex
péri
ence
s du
terr
ain.
w
ww
.agi
lem
anife
sto.
org/
iso/
fr/m
anife
sto
Le
réfé
rent
iel d
es p
ratiq
ues a
gile
s de
l’Ins
titut
Agi
le, a
vec
le so
utie
n de
l’as
soci
atio
n A
gile
Alli
ance
, vis
e un
rece
nsem
ent d
es p
ratiq
ues l
es
plus
répa
ndue
s dan
s la
com
mun
auté
. On
l’util
isera
ave
c pro
fit co
mm
e un
glo
ssai
re é
tend
u pe
rmet
tant
d’é
vite
r de
s in
com
préh
ensi
ons :
la
litté
ratu
re su
r le
suje
t est
en
effet
rich
e en
jarg
on, s
ouve
nt a
nglo
phon
e,
qui d
érou
te p
arfo
is le
s néo
phyt
es.
ww
w.re
fere
ntie
l.ins
titut
-agi
le.fr
Ges
tion
de p
roje
t agi
le, a
vec
Scru
m, L
ean,
eXt
rem
e Pr
ogra
mm
ing…
de
Vér
oniq
ue M
essa
ger,
prop
ose
aux
pers
onne
s aya
nt le
rôle
– fo
rmel
ou
info
rmel
– de
che
f de
proj
et u
n to
ur d
’hor
izon
, ten
ant c
ompt
e de
s sp
écifi
cité
s du
cont
exte
fran
çais,
de
l’his
tori
que
des d
émar
ches
agi
les
et d
es p
rinc
ipal
es r
uptu
res a
vec
les d
octr
ines
ant
érie
ures
de
gest
ion
de p
roje
t. Il
s’app
uie
sur
les t
émoi
gnag
es d
e no
mbr
eux
expe
rts i
ssus
de
la c
omm
unau
té a
gile
fran
coph
one.
The
Pho
enix
Pro
ject
, de
Gen
e Ki
m, K
evin
Beh
r et
Geo
rge
Spaff
ord
est u
ne b
onne
intr
oduc
tion
à l’u
n de
s dom
aine
s les
plu
s réc
emm
ent
déve
lopp
és p
ar la
com
mun
auté
agi
le :
les
prin
cipe
s et
pra
tique
s re
-gr
oupé
es s
ous
l’étiq
uett
e D
evO
ps. S
ous
une
form
e in
édite
(c’e
st u
n ro
man
), il
cons
titue
une
ent
rée
en m
atiè
re a
cces
sibl
e et
effi
cace
.
62/80
AGILITÉ & SÉCURITÉ NUMÉRIQUES
AGILITÉ & SÉCURITÉ NUMÉRIQUES
ANNEXES
ANNEXES
/ P
RATIQ
UES
D’HOM
OLOG
ATIO
N ET
D’AN
ALYS
E DE R
ISQU
E
/ RÉG
LEM
ENTA
TION
(DE S
ÉCUR
ITÉ)
Gui
de A
NSS
I L’h
omol
ogat
ion
de sé
curi
té e
n ne
uf é
tape
s sim
ples
: w
ww
.ssi.g
ouv.
fr/g
uide
-hom
olog
atio
n-se
curi
te
Bas
e de
con
nais
sanc
es E
BIO
S de
l’A
NSS
I :
ww
w.ss
i.gou
v.fr
/adm
inis
trat
ion/
man
agem
ent-d
u-ri
sque
/ la
-met
hode
-ebi
os-ri
sk-m
anag
er
Vou
s tro
uver
ez é
gale
men
t sur
le si
te d
e l’A
NSS
I d’a
utre
s gui
des v
ous p
er-
met
tant
d’a
ppro
fond
ir v
os p
ratiq
ues
en m
atiè
re p
ar e
xem
ple
de d
éfen
se
en p
rofo
ndeu
r, d’
élab
orat
ion
d’un
e PS
SI o
u d’
un p
lan
de m
onté
e en
ma-
turi
té S
SI :
w
ww
.ssi.g
ouv.
fr/e
ntre
pris
e/bo
nnes
-pra
tique
s/met
hodo
logi
e
Le
lect
eur p
ourr
a se
repo
rter
au
site
de l’A
NSS
I qui
pré
sent
e un
pan
oram
a de
s te
xtes
rég
lem
enta
ires
en
mat
ière
de
sécu
rité
num
ériq
ue r
elat
ifs à
la
prot
ectio
n de
s sys
tèm
es d
’info
rmat
ion,
à la
confi
ance
num
ériq
ue, a
insi
que
plus
spé
cifiq
uem
ent
à la
cry
ptog
raph
ie o
u à
d’au
tres
rég
lem
enta
tion
s te
chni
ques
: w
ww
.ssi.g
ouv.
fr/e
ntre
pris
e/re
glem
enta
tion
Con
cern
ant l
a sé
curit
é nu
mér
ique
des
syst
èmes
d’in
form
atio
n d’
impo
rtan
ce
vita
le (
SIIV
), ré
gie
par
l’art
icle
22
de la
loi d
e pr
ogra
mm
atio
n m
ilita
ire,
le
lect
eur p
ourr
a co
nsul
ter l
e lie
n su
ivan
t :
ww
w.s
si.g
ouv.
fr/e
ntre
pris
e/pr
otec
tion
-des
-oiv
/pro
tect
ion-
des-
oi
v-en
-fran
ce
Out
ils p
ratiq
ues p
our l
’iden
tifica
tion
et l’
éval
uatio
n de
scén
ario
s de
risq
ue
num
ériq
ue (e
xem
ples
) :
Tac
tical
Thr
eat M
odel
ing
de S
AFE
Code
: w
ww
.safe
code
.org
/pub
licat
ions
STR
IDE
Thre
at M
odel
de
Mic
roso
ft :
ww
w.o
was
p.or
g/in
dex.
php/
Thre
at_R
isk_
Mod
elin
g#ST
RID
E
DR
EAD
Risk
Rat
ing
Secu
rity
Thr
eats
: w
ww
.wik
i.ope
nsta
ck.o
rg/w
iki/S
ecur
ity/O
SSA
-Met
rics
#DR
EAD
ou
w
ww
.ow
asp.
org/
inde
x.ph
p/Th
reat
_Ris
k_M
odel
ing#
DR
EAD
/ DÉV
ELOP
PEM
ENT S
ÉCUR
ISÉ
Vou
s tro
uver
ez su
r le
site
de
l’AN
SSI u
n en
sem
ble
de g
uide
s, re
com
man
-da
tions
et b
onne
s pra
tique
s (cr
ypto
grap
hie,
pos
tes d
e tr
avai
l et s
erve
urs,
liais
ons
sans
fil e
t mob
ilité
, rés
eaux
, app
licat
ions
Web
, ext
erna
lisat
ion,
sys-
tèm
es in
dust
riel
s, te
chno
logi
es sa
ns c
onta
ct, a
rchi
vage
éle
ctro
niqu
e, e
tc.)
: w
ww
.ssi.g
ouv.
fr/e
ntre
pris
e/bo
nnes
-pra
tique
s
OW
ASP
Pro
activ
e Co
ntro
ls (O
pen
Web
App
licat
ion
Secu
rity
Proj
ect)
pro
pose
un
e lis
te d
e di
x co
ntrô
les
de s
écur
ité p
réve
ntifs
déd
iés
au d
ével
oppe
men
t lo
gici
el. C
es t
echn
ique
s so
nt c
lass
ées
par
ordr
e d’
impo
rtan
ce d
écro
issa
nt.
Ce d
ocum
ent a
été
écr
it pa
r des
dév
elop
peur
s pou
r des
dév
elop
peur
s :
ww
w.o
was
p.or
g/in
dex.
php/
OW
ASP
_Pro
activ
e_Co
ntro
ls
SAFE
Code
– S
ecur
ity G
uida
nce
for
Agi
le P
ract
ition
ers –
pro
pose
des
re-
com
man
datio
ns p
ratiq
ues s
ous f
orm
e de
use
r sto
ries
cen
trée
s sur
la sé
curi
-té
et
les
tâch
es d
e sé
curi
té q
u’ils
peu
vent
faci
lem
ent
inté
grer
dan
s le
urs
envi
ronn
emen
ts d
e dé
velo
ppem
ent a
gile
: w
ww
.safe
code
.org
/pub
licat
ions
[...]
63/80
DOSSIER : Sécurité informatique : comment se protéger ?www.lagazettedescommunes.com/461392/former-et-sensibiliser-les-agents-a-la-securite-informatique-pour-reduire-les-risques
NUMÉRIQUE
Former et sensibiliser les agents à la sécurité informatique pour réduire les risquesPierre-Alexandre Conte | Actu experts prévention sécurité | Dossiers d'actualité | Publié le 20/09/2016 | Mis à jour le 23/02/2017
Lorsque le sujet de la sécurité numérique est mis sur la table, les agents, qui adoptent encore tropsouvent des comportements à risque, ont tendance à être exclus de l'équation. A tort, comme l'ontrappelé la plupart des intervenants du colloque organisé par la Mission Ecoter le 15 septembre, quiinvitent les collectivités territoriales à former et sensibiliser leur personnel sur cette question.
Les acteurs du monde de la sécurité informatique s’accordent à le dire : une grande partie des incidents sont liés à une faille humaine. Une étude de l’Université Friedrich-Alexander d’Erlangen-Nuremberg menée par le
professeur Zinaida Benenson et publiée mi-août a d’ailleurs révélé que 56% des personnes cliquent sur des liens présents dans des mails envoyés par des inconnus. Et ce, même si celles-ci ont conscience du danger qu’elles encourent. La curiosité est la principale raison de cette prise de risque.
Ce test effectué auprès de 1700 étudiants, Laurent Charveriat l’a relayé au cours d’un colloque organisé le 15 septembre à Puteaux par la Mission Ecoter. Le thème de celui-ci : « Sécurité des lieux, sécurité des usagers. » Le directeur d’I-Tracing, une société notamment spécialisée dans la sécurité des systèmes d’information, souhaitait par ce biais faire comprendre aux collectivités territoriales qu’elles sont d’abord rendues vulnérables par le comportement de leurs agents.
Les agents en première ligneContrairement à ce que beaucoup d’entre elles pensent encore, comme l’a révélé en 2015 une étude de Primo
France, les collectivités territoriales sont des cibles, à l’instar des particuliers ou des entreprises. Et elles le
seront d’autant plus à l’avenir avec la place croissante prise par le numérique.
De l’atteinte à la vie privée au vol de données sensibles en passant par l’altération de la réputation ou les pertes financières, les conséquences d’un piratage peuvent être multiples, comme l’a rappelé Jean-Philippe Collignon, directeur de développement chez Engie Ineo Cybersécurité.
Pour diminuer le risque, la seule véritable réponse à apporter, c’est la formation. Il est devenu indispensable de sensibiliser les agents à ces questions pour les pousser à adopter un comportement responsable tout en leur
DOCUMENT 9
64/80
faisant prendre conscience des pratiques frauduleuses existantes. Car ces derniers sont plus que jamais en première ligne.
Début juin, la société PhishMe a publié un rapport établissant que 93% des attaques via phishing contenaient des ransomwares, soit des logiciels malveillants visant à prendre en otage des données en les cryptant et réclamer une rançon en échange de leur restitution. Un simple clic peut ainsi conduire un système d’information à être paralysé. C’est ce qui est arrivé à un hôpital de Los Angeles, en février 2016. Pour retrouver au plus vite un fonctionnement normal, la direction de ce dernier a dû débourser 17000 dollars. L’idée reçue veut que les hackers visent des cibles qui auraient des moyens financiers importants. Mais Laurent Charveriat rappelle qu’ils n’adoptent généralement pas cette stratégie-là : « Le maire a tendance à se dire que sa commune n’est la cible de rien, de personne. Mais la logique des hackers, c’est d’inonder partout. Statistiquement, il y a un nombre d’utilisateurs qui vont cliquer. »
De l’importance de connaître son système d’informationSi la faille humaine ne doit pas être négligée, il ne faut pour autant pas mettre de côté les autres portes d’entrée vers les systèmes d’information des collectivités territoriales. A commencer les lieux en eux-mêmes, dont la sécurité physique doit être assurée. Veiller à ce que les sous-traitants respectent les règles fixées est également indispensable.
Concernant le volet numérique, « cela ne sert à rien de tout sécuriser, cela n’a pas de sens », affirme le directeur général d’I-Tracing. Avant de préciser sa pensée : « On met des agents de police devant les écoles, pas partout. Et on ne commence pas par la technique. Il faut faire un ‘Connais-toi toi-même’. Quelles sont les données sensibles et qui sont les consommateurs de ces données ? Uniquement des personnes en interne ou la population y a-t-elle accès ? Derrière, il faut les mesures qui s’imposent. »
Ces mesures dépendent donc essentiellement de ce qui est menacé. Certaine solutions permettent un retour rapide à un fonctionnement normal tandis que d’autres garantissent une perte minimale de données en cas de panne. Reste à savoir si l’outil met en cause le fonctionnement de la collectivité territoriale ou non. Par ailleurs, Audrey Paris, expert SSI chez Engie Ineo a pris soin de préciser qu’un « simple bilan ponctuel de la sécurité ne suffisait pas » mais qu’il fallait un « suivi en continu ».
Évidemment, cette sécurité a un coût. Mais elle est aujourd’hui devenue un enjeu central. Pour ceux qui se refusent encore à penser dans ce sens, le nouveau règlement européen sur la protection des données
personnelles qui entrera en application en 2018 devrait achever de les convaincre. Les sanctions seront ainsi renforcées.
Certes, une marge de manœuvre est laissée aux États par rapport au secteur privé mais les amendes encourues par les entreprises – jusqu’à 20 millions d’euros ou de 2 à 4% du chiffre d’affaire – en cas de non respect des règles donnent un ordre d’idée des sanctions envisageables. Avant d’en arriver là, mieux vaut donc anticiper. Et
appliquer dans un premier temps ce que préconise l’ANSSI dans son référentiel général de sécurité.
65/80
Prendre en compte et
maîtriser le facteur humain dans la SSI
Même avec les meilleurs outils existants en matière de
sécurité informatique, le système d’information d’une
entreprise peut devenir perméable si l’entreprise ne
maîtrise pas le facteur humain.
En effet, le personnel fait partie intégrante du SI. Il en
est même un maillon essentiel. Chaque salarié ayant
accès à tout ou partie du patrimoine informationnel, il
est important qu’il ait conscience de la sensibilité et de
la vulnérabilité des informations et qu’il respecte quoti-
diennement les règles internes de sécurité.
Cette fiche pratique vous explique comment sensibili-
ser le personnel à la sécurité informatique et pourquoi
nommer un responsable dans ce domaine.
Voici les points clés à retenir :
Intégrer la protection de l’information dans la com- Ü
munication globale de l’entreprise.
Sensibiliser, former, impliquer et responsabiliser le Ü
personnel à tous les niveaux.
Communiquer sur la stratégie et les actions prévues Ü
en matière de sécurité, en insistant largement sur les
bénéfices d’une telle démarche afin d’éviter les po-
tentielles résistances aux changements.
Assurer le responsable sécurité du soutien indispen- Ü
sable de la hiérarchie.
Eviter que l’entreprise attende les problèmes pour Ü
agir, il est souvent déjà trop tard.
Mettre en place des solutions réalistes et adaptées Ü
en fonction des risques encourus par l’entreprise.
Pour plus de sécurité, nous avions choisi de
changer le mot de passe des utilisateurs tous les 6 mois.
Mais cela n’a pas duré longtemps car les collaborateurs
écrivaient leur code sur un papier qu’ils cachaient dans
leur tiroir ou sous leur clavier.
Finalement cette mesure a créé des risques supplémen-
taires au lieu de mieux protéger notre système d’infor-
mation.
Sommaire
1 - Nommer un responsable « Sécurité du système d’information »
2 - Sensibiliser et former le personnel à la SSI
Avertissement : cette fiche est le fruit d’un travail de vul-
garisation et comporte par conséquent une information
générale et non exhaustive. Elle ne saurait engager la
responsabilité de l’éditeur (Direccte, ENE) et de ses dif-
fuseurs.
DOCUMENT 10assuris.fr - janvier 2010
66/80
1. Nommer un responsable« Sécurité du système d’information »
Le responsable SSI a pour mission de garantir l’inté-
grité, la confidentialité, la disponibilité et la traçabilité
des données de l’ensemble des systèmes d’information
de l’entreprise. Il définit les orientations, élabore et met
en œuvre une politique de sécurité.
Il est aussi celui sur qui repose la maîtrise du facteur
humain dans la sécurité du système d’information.
Il n’existe pas de profil type. Le responsable SSI doit réu-
nir plusieurs compétences :
Une bonne connaissance dans le domaine de la Ü
sécurité, sans pour autant connaître en détail le
fonctionnement des technologies. Il doit acqué-
rir et mettre à jour un minimum de connaissances
à la fois pour être crédible vis-à-vis des techni-
ciens en sécurité informatique et pour savoir ap-
précier les risques liés à l´utilisation du système
d´information.
Une vision transversale de l’activité de l’entreprise. Ü
Des aptitudes en communication pour mener des Ü
missions de sensibilisation.
Des aptitudes en organisation car il sera le chef d’or- Ü
chestre de la gestion d’éventuels sinistres.
Dans les PMI PME, cette fonction est très souvent assu-
rée par le responsable informatique lui-même ou encore
le responsable qualité.
2. Sensibiliser et former lepersonnel à la SSI
2.1. Comment ?
Il s’agit de mener régulièrement des actions d’informa-
tion et de sensibilisation auprès du personnel pour lui
faire comprendre les enjeux de la SSI. Ces actions facili-
tent l’acceptation et l’application de règles qui peuvent
parfois paraître contraignantes.
L’objectif est de transmettre un premier niveau de
connaissance et de diffuser les bonnes pratiques concer-
nant la sécurité informatique.
Tout utilisateur doit :
Avoir eu connaissance de la charte informatique et Ü
l’appliquer.
Connaître la démarche à suivre en cas de problème Ü
de sécurité informatique (personne à contacter).
Etre en mesure de juger de la sensibilité d’une infor- Ü
mation.
Connaître son périmètre d’accès à l’information. Ü
Les actions de sensibilisation peuvent se faire à travers :
Des discussions informelles entre employés et res- Ü
ponsables SSI.
Des notes d’information (emails courts et prati- Ü
ques).
De l’affichage dans les zones sensibles (photoco- Ü
pieurs, bureau de recherche et développement).
Des réunions thématiques régulières. Ü
Des séances de formation. Ü
67/80
DRIRE
2.2. Les facteurs clés de succès
Les supports utilisés dans le cadre d’actions de sensibili-
sation à la SSI doivent être simples, ludiques et interac-
tifs afin d’assurer l’efficacité des messages et de susciter
l’intérêt du plus grand nombre.
L’introduction de nouvelles pratiques peut générer
certaines résistances aux changements. Il est alors
conseillé d’axer le discours de sensibilisation sur les
avantages qu’apporte la SSI pour garantir l’activité de
l’entreprise.
Par ailleurs, il convient de contrôler régulièrement le
respect par le personnel des règles et sa connaissance
des dispositions pratiques inscrites dans le règlement
intérieur. Des mesures incitatives peuvent aussi être en-
visagées.Généralement, les actions de sensibilisation se
font en complément d’une démarche de diffusion de la
charte informatique interne1.
Enfin, les règles seront d’autant plus prises au sérieux si
les responsables les respectent eux-mêmes de manière
exemplaire.
1 Pour en savoir plus sur la charte informatique, se référer à la fiche n°6 « Les droits et obligations du chef d’entreprise en matière de SSI ».
68/80
DOSSIER : Sécurité informatique : comment se protéger ?www.lagazettedescommunes.com
Pierre-Alexandre Conte | Dossiers d'actualité | France | Publié le 27/02/2017
NUMÉRIQUE
« Cloud » et souveraineté numérique : le débat fait rageUne note ministérielle du 5 avril 2016 affirme l'obligation pour les collectivités d'avoir recours à un « cloud souverain ». Mais l'offre répondant à cette injonction ne donne pas satisfaction à toutes les collectivités, qui se trouvent dans une position inconfortable.
Le « cloud » est une solution adoptée ou envisagée par un nombre important de collectivités. Elles voient dans ce système de stockage « dans le nuage », une solution adaptée à leurs besoins de modernisation. Le 5 avril 2016, une note informative émanant du ministère de l’Intérieur et du ministère de la Culture et de la communication est toutefois venue jeter le trouble.
Celle-ci explique que les collectivités doivent impérativement souscrire une offre de « cloud souverain ». La démarche inverse est qualifiée « d’illégale, pour toute institution produisant des archives publiques » du fait de la nécessité de s’assurer que les données sont stockées et traitées sur le territoire national.
Les Américains dans le viseurA l’évidence, la note, qui a été signée par le directeur général des collectivités locales, Bruno Delsol, et par le directeur chargé des archives de France, Hervé Lemoine, vise les offres provenant de sociétés américaines.
De Microsoft à Google, en passant par Amazon, les entreprises proposant leurs services sont nombreuses. Elles disposent en effet de moyens colossaux et ont investi depuis longtemps dans ce système de stockage. A ce jour, ces acteurs sont nettement en avance sur leurs concurrents français et se taillent la part du lion sur le marché international et hexagonal.
Pour autant, adopter une solution émanant d’entreprises américaines comporte un risque. Et pas des moindres. Car ces dernières ont l’habitude de conserver des « backdoors », c’est-à-dire des portes dérobées dont les utilisateurs n’ont pas connaissance, qui leur permettent d’avoir un accès au logiciel.
DOCUMENT 11
Or en vertu des lois en vigueur aux Etats-Unis, le gouvernement peut avoir accès aux données personnelles
hébergées sur le sol américain ou détenues par une société américaine à tout moment, sans autorisation
judiciaire. Ce qui pose un problème évident pour les collectivités.
69/80
Offre étrangèreSi la note informative du 5 avril 2016 donne des consignes assez fermes, elle n’est, pour autant, pas un texte de loi. Aussi, malgré les risques encourus, les collectivités peuvent encore se tourner vers une offre de « cloud » étrangère. D’autant que plusieurs sociétés américaines, à l’instar d’Amazon et de Microsoft, ont annoncé qu’elles allaient ouvrir des « data centers » en France.
Leurs systèmes de stockage « en nuage » deviendront alors, de fait, souverains. Mais rien ne permet d’affirmer pour autant que les données détenues par ces entreprises ne tomberont jamais dans les mains de l’administration du pays dans lequel est établie leur maison mère. Les collectivités territoriales qui abordent la question du « cloud » se doivent donc d’être conscientes des conséquences induites par le choix de leur prestataire. Certaines d’entre elles vont ainsi privilégier l’efficacité du service en veillant à ne pas stocker de données sensibles, tandis que d’autres vont choisir la solution la plus sécurisée… Cette question n’a, de toute évidence, pas fini de faire parler.
Communauté urbaine de Dunkerque (Nord) 21 communes – 201 400 hab.
Une orientation vers une offre de Microsoft pour remplacer lamessagerie actuelleLa cybersécurité fait partie des préoccupations principales de la communauté urbaine et de la ville de Dunkerque. Pour autant, en dépit de la note informative du 5 avril 2016, elle s’oriente vers une offre « cloud » de Microsoft pour remplacer sa messagerie actuelle sous Lotus notes.Un choix assumé par son directeur des systèmes d’information, René-Yves Labranche : « Une annonce de Microsoft nous a signalé que la société implanterait des data centers en France dès 2017. Et Office 365 semble être la solution adaptée à notre besoin, tout en respectant au maximum la sécurité », lance-t-il.
Avant d’expliquer en profondeur la démarche : « Il y a une antinomie entre la notion de cloud souverain et la nécessité de transformation et de modernisation des systèmes d’information dans les collectivités. Si on applique cette note à la lettre, on fait marche arrière sur la totalité de la transformation qu’on a déjà opérée et pour laquelle nous sommes en conformité avec le référentiel général de sécurité. Nous avons un RSSI et avons
beaucoup investi en termes humains et financiers pour améliorer la sécurité de notre système d’information. »
REFERENCES
Note d’information relative à l’informatique en nuage, 5 avril 2016
70/80
Le PRA et le PCA revisités par le Cloud
Dans toutes les branches d’activités, la continuité de la production informatique
devient critique. Les plans de reprise se démocratisent autour des fibres noires,
de la virtualisation et du Cloud.
« Sans plan de reprise ou de continuité informatique, l’organisation se ferme de nombreux
marchés car désormais les appels d’offres réclament aux soumissionnaires qu’ils précisent
11 juin 2018
DOCUMENT 12
71/80
> Bruno Hamon
> Didier Lavoine
leurs moyens de secours informatiques mis en place. La technologie pousse dans le bon
sens, vers la démocratisation des solutions. Les prix d’acquisition et d’exploitation chutent à
travers les offres Cloud, la location de fibre noire ou encore les postes de travail en mode
VDI », observe Bruno Hamon, fondateur et directeur associé du cabinet Mirca et chargé de
mission à l’Afnor.
Le spécialiste préconise de définir avec les métiers les exigences de
continuité d’activité, par rapport à la notion de “promesse client”.
Pour cela, il prend en compte trois sinistres principaux dans
l’élaboration d’un PCA : des locaux inaccessibles, de façon durable
ou non, une perte totale ou partielle du système d’information et un
absentéisme important du facteur humain. Un tel plan doit « se
construire avec les métiers en y ajoutant la prévention contre les
fuites de données et la nécessité d’être en conformité avec le
Règlement sur la protection des données personnelles ou RGPD
dans l’objectif de bien maîtriser son patrimoine informationnel. Cela
inclut les données à caractères personnelles au-delà de son système
d’information, dans le Cloud comme chez les hébergeurs. »
Plusieurs risques à anticiper
Les technologies et prestataires de services Cloud relèvent le défi d’une production IT
ininterrompue, autour d’offres DRaaS (Disaster Recovery as a Service) notamment : «
Depuis deux ans, les CSP (Cloud Service Providers) développent leur propre réseau
d’interconnexion entre datacenters, sans passer par les opérateurs. La fibre noire
multiplexée facilite ainsi la bascule rapide entre les sites de Paris et Francfort, en cas de
sinistre », précise Didier Lavoine, directeur technique, Développement et Innovation de
Digora.
On distingue trois types de pannes majeures intervenant au niveau des
bâtiments, des équipements logiques ou physiques. Sur site, les
incidents météorologiques (orage, grêle ou tempête) peuvent
provoquer une coupure d’alimentation électrique, une inondation, un
incendie, voire la destruction du datacenter. Un acte de vandalisme, de
terrorisme ou une attaque militaire auront des conséquences
semblables.
Les pannes de serveurs ou d’équipements réseau sont le plus souvent liées à un
composant défectueux (processeur, mémoire, disque, carte réseau). Enfin les pannes
72/80
logiques ont diverses causes possibles : la cyberattaque, l’effacement maladroit de fichier,
un bug dans une application ou la corruption de données numériques.
Face à cette variété de sinistres, l’organisation retient souvent plusieurs protections pour
limiter l’impact des défaillances. Ce faisant, elle multiplie les interfaces d’administration à
prendre en main en situation d’urgence. Le PRA détaille les procédures pour remettre en
production les systèmes critiques, pas à pas. Il précise les étapes clés à suivre en cas de
crash. Pour le préparer, on place trois repères clés sur une échelle de temps, à commencer
par l’heure supposée du sinistre au centre de cette ligne. Deux jalons sont répartis de part
et d’autre : à gauche, la PDMA (perte de données maximale admissible) et à droite du
sinistre, la DMIA (durée maximale d’interruption admissible) ou DIMA (durée
d’indisponibilité autorisée). Ces deux repères peuvent glisser dans le temps, selon la
criticité de l’application. Ils s’expriment en minutes, en heures ou en jours, plus rarement
en secondes.
Des objectifs propres à chaque plan
Chaque plan de reprise d’activités gagne à établir ses propres objectifs, réalistes, par
application. Cette approche fournit la séquence de restauration des applications et données
à remettre en production, suivant leur priorité. Dès qu’une nouvelle application apparaît,
l’évaluation de son couple PDMA/ DMIA devient nécessaire. De même, tout nouvel
équipement actif à peine connecté, un serveur, un firewall ou un routeur rejoindra la liste
des matériels à remplacer dans un délai convenu, par une ou plusieurs voies planifiées
d’avance (acquisition, échange ou stock).
Un nouveau socle tangible à définir
Lorsqu’un sinistre survient, le temps de réaction de l’organisation conditionne la reprise des
activités métiers, donc la poursuite des affaires. « Le PRA n’est pas un simple effet de
mode. La dépendance des entreprises au digital est de plus en plus forte, souligne Anwar
Saliba, directeur général adjoint d’Euclyde. Le coût de mise en œuvre du plan ne serait pas
son principal obstacle : « Les technologies Cloud allègent le coût du PRA, lorsqu’on réserve
des ressources sur un site distant, on ne paye qu’en cas de besoin. Nos clients consacrent
de 5 % à 10 % de leur budget IT annuel à leur PRA. C’est peu, comparé aux 50 %
nécessaires pour un PCA, bâti sur deux datacenters distincts. »
La mutualisation des moyens techniques et le modèle de
facturation du Cloud, à l’usage, expliquent la démocratisation du
PRA, assuré par une bonne gestion du capacity planning par le
prestataire. En effet, la probabilité que tous ses clients73/80
déclenchent leur PRA en même temps reste proche de zéro.
L’investissement se transforme donc en charges : « Tant que le
client ne démarre pas son PRA, il n’y pas de licence à payer aux
fournisseurs ; seules des ressources matérielles sont mises à
disposition ».
En résumé, la définition du PRA dépend des objectifs de sécurité
que l’organisation se fixe : « Lorsqu’une reprise sous un à cinq
jours convient, une simple sauvegarde suffit. Mais si on doit > Anwar Saliba
assurer une restauration complète sous 4 heures, il faut ajouter
des mécanismes de réplication synchrone et quelques zéros à la
facture », reconnaît-il. Pour reconstruire certaines transactions critiques, on peut aussi
repartir de snapshots ou rejouer les dernières étapes des journaux systèmes.
Plus que des recettes de virtualisation ou d’automatisation, le socle d’infrastructure doit
devenir tangible et résilient.
Le mécanisme de reprise d’activitésPDMA Perte de données maximale admissible
RPO Recovery point objective, objectif quantitatif de données perdues
DMIA Durée maximale d’interruption admissible
RTO Recovery time objective, objectif de reprise après incident
74/80
AVIS D’EXPERT
Francis Brisedoux,
manager IT d’ASL Airlines France.
ASL Airlines France retient Rubrik pour ses restaurations instantanées
« Ceinture, bretelles et parachute », qualifie Francis Brisedoux, le manager IT d’ASL
Airlines France. La compagnie aérienne, héritière de l’Aéropostale, protège efficacement le
socle informatique de ses activités de fret et de transport de passagers, assurées par la
rotation de 17 Boeing 737.
Elle a choisi le soutien de l’éditeur Rubrik pour mener les sauvegardes compressées,
dédupliquées et chiffrées de machines virtuelles (VM) sur plusieurs sites, en Cloud privé,
sur un site de PRA, chez OVH, puis Amazon Web Services au-delà d’un mois. Pour garantir
les niveaux de services des VM, quatre fréquences de sauvegarde sont retenues avec leur
propre règle de rétention.
« L’assurance tous risques d’une DSI, c’est d’avoir des sauvegardes fiables et performantes
», souligne le manager. Son équipe IT, composée de 6 personnes pour 250 serveurs, épaule
450 salariés dans la filiale française. Dès 2009, elle met le cap sur l’industrialisation de
l’infrastructure avec la virtualisation des serveurs sous VMware, puis celle des postes VDI en
2011, l’hyperconvergence avec Nutanix en 2013, la ToIP dans le Cloud en 2014, et le
nouveau PRA avec Rubrik en 2017.
Olivier Bouzereau
Dossier publié dans Solutions Numériques N°20
75/80
Conseil départemental d’INGEDEP Février 2019
Présentation générale des infrastructures
1. PRESENTATION
INGEDEP est doté d’un réseau étendu de 130 sites interconnectés. On recense aujourd’hui 400 serveurs physiques et/ou virtuels au sein du Datacenter de la collectivité. Les 47 collèges du département sont interconnectés avec le réseau d’INGEDEP et font partie des 130 sites. On recense 2 000 postes qui se répartissent ainsi :
• 1 150 postes sur des liens haut-débit• 650 postes sur des liaisons bas débit de type Wan connectés sur une infrastructure de
postes virtuels• 200 portables en situation de mobilité
2. ARCHITECTURE RESEAU
L’architecture réseau est organisée autour d’un cœur à 40 gigabits gérant des vlans de niveau 2 et de niveau 3 sécurisés par le protocole VRRP. La sécurisation des équipements de distribution est réalisée grâce au protocole Spanning-Tree. Les supports intersites sont divers : filaire, fibre optique monomode, faisceaux hertziens, liaison radio 5GHz. Un Wan MPLS raccorde l’ensemble des sites distants du département.
2.1 Le bouclage optique
Les principaux sites métropolitains sont raccordés via une boucle optique qui permet d’assurer une sécurité accrue au niveau de l’acheminement des flux via la boucle.
2.2 Architecture WAN
L’ensemble des 130 sites « éloignés » du département d’INGEDEP sont raccordés grâce à un MPLS opérateur. Les liens sont dimensionnés avec des liaisons SDSL de 1Mbs, 2Mbs et 4Mbs selon la taille des sites et de leur parc informatique. Le management du réseau Wan est assuré par l’opérateur. L’interconnexion avec le Lan est basée sur un Vlan d’interconnexion. Lors de la perte d’un routeur, l’ensemble du trafic bascule sur le second routeur.
2.3 Architecture Internet
Un accès internet d'un débit de 40 Mb est mutualisé pour l’ensemble du personnel d’INGEDEP. L’ensemble des éléments de l’infrastructure de sécurité : firewall, proxy, Reverse-proxy, relais de messagerie sont installés au sein du Datacenter.
ANNEXE 1
76/80
2.4 Architecture Téléphonique
L’installation téléphonique d’INGEDEP est une solution constructeur et full IP dans la majorité des sites.
3. STOCKAGE
INGEDEP dispose d’une infrastructure de stockage centralisée qui intègre les technologies SAN & NAS. L’architecture actuelle est constituée de 2 baies située au sein du Datacenter.
4. ARCHITECTURE DE VIRTUALISATION
Une infrastructure de virtualisation des serveurs a été mise en œuvre sur la base de la solution VMWARE Vsphere. Cette solution fonctionne sur une plate-forme matérielle à base de châssis de type blade et de lames à processeurs Intel, ainsi que des serveurs physiques dédiés faisant office d’hyperviseur. Elle compte environ 400 serveurs virtuels qui reposent sur 20 serveurs physiques (ESX et ESXi). Dans le cadre d'un PRA/PCA, une étude globale est en cours afin d'exploiter pleinement cette infrastructure de virtualisation pour un basculement rapide en cas de problème majeur au sein du Datacenter.
5. ARCHITECTURE DE MESSAGERIE
INGEDEP est équipé d’une solution de messagerie d’entreprise basée sur la solution Zimbra. Cette solution permet d’offrir les services suivants :
• Envoi / réception de messages en interne et en externe• Messagerie en client web• Accès à la messagerie (et agenda) pour les utilisateurs en interne et en externe pour une
population d’agents (directeurs, chefs …)• Synchronisation de la messagerie (et agenda) avec des appareils mobiles (IPhone
77/80
principalement) pour une population d’agents « VIP »
6. ARCHITECTURE DE SAUVEGARDE
L’architecture de sauvegarde d’INGEDEP est installée au sein du Datacenter et repose sur les solutions suivantes : - l’outil de backup TINA-Time Navigator pour la sauvegarde des serveurs de fichiers - le logiciel de sauvegarde VEAM pour la sauvegarde des environnements virtuels - une baie disque dédiée au sein du Datacenter - une librairie LTO6
7. SECURITE DU SYSTEME D’INFORMATION ET PROTECTION DES DONNEES
INGEDEP ne dispose pas de Politique de Sécurité du Système d’Information (PSSI). Une charte informatique a cependant été rédigée en l’année 2002, elle est présente sur l’Intranet. La démarche de nomination d'un Délégué à la Protection des Données (DPD/DPO) est initiée avec la Direction des Systèmes d'Information (DSI) et la Direction des Affaires Juridiques (DAF) afin d'engager les actions de conformité et notamment l'élaboration d'une démarche projet respectant les principes du RGPD.
78/80
Conseil départemental d’INGEDEP Février 2019
Rapport d'audit de sécurité du Système d'Information (SI)
Un premier audit des architectures a permis d'évaluer l'exposition du Système d'Information (SI) d'INGEDEP aux menaces externes. Il a été mené selon une approche globale composé de 3 types d'audit :
• audit macroscopique d'architecture ;• audit macroscopique des composants antiviraux ;• audit macroscopique des processus.
1. Audit macroscopique d'architecture
• Le composant proxy « W..... » assure la sécurité des échanges avec internet et le filtragedes URL dans le cadre de la navigation des utilisateurs ;
• La passerelle mails est équipée du logiciel « T............" » qui assurent la sécurité et lefiltrage des mails échangés sur le réseau local et ceux en provenance d’internet ;
• Les postes utilisateurs sont protégés par la solution antivirale « S..........Suite » ;• En termes de segmentation réseau, le LAN est bien découpé en VLANs mais sans
étanchéité entre les segments ;• Le routage est activé entre les VLANs, il n’existe aucune composante de type « Firewall »
pour sécuriser les flux entre les différents segments ;• En cas d’infection virale sur le VLAN utilisateurs, l’infection pourrait se propager aux
infrastructures serveurs ;• La distribution des mises à jour des systèmes d’exploitation sur les postes comme sur les
serveurs n’est pas systématique. Les systèmes restent vulnérables aux attaques viralesutilisant ces failles comme vecteur de propagation (faille RDP, netbios …) ;
• Certains postes connectés au SI utilisent un mode de connexion particulier (postes « NATé ») ce qui les autorise à naviguer vers l’extérieur ;
• L’architecture mise en place permet la mise à jour des composants et la récupération desdernières bases virales des postes de travail comme des serveurs ;
• L'architecture existante ne permet pas la mise en place de PCA et de PRA.
2. Audit macroscopique des composants antiviraux
• les bases virales sont mises à jour régulièrement (1 fois/jour) pour tous les composants ;• Le composant "passerelle mails " T............." est en version X et présente un retard d'une
version majeure ; • Le rapport de protection antivirale fait apparaître 2 % des postes de travail dont le statut de
protection représente un point d’attention (antivirus périmé ou désactivé).
3. Audit macroscopique des processus
• Le processus de gestion des alertes n’est pas clairement identifié et non outillé :◦ aucun document ne décrit le processus de traitement des alertes ;◦ les alertes sont reçues par mail (liste de diffusion, pas d’acteur fixe identifié pour le
traitement), sans possibilité de synthèse ou de mise en avant d’évènements importantsou d’un niveau de gravité élevé ;
ANNEXE 2
79/80
◦ les alertes ne sont pas corrélées ;◦ les alertes ne donnent pas lieux à la formalisation de plans d’actions.
• Les actions et processus liés à la gestion de la plateforme antivirale mettent en évidencedes problématiques de niveau de sécurité :◦ absence de comptes nominatifs, certaines tâches d’administration sont effectuées avec
des comptes génériques ;
◦ il est difficile d’assurer la traçabilité des actions (ajout d’exception sur la passerelle mail,ajout de règles de firewall) ;
◦ les alertes ne sont pas corrélées (détection de comportement suspect par corrélation deplusieurs alertes venant de plusieurs composants), ni différenciées (analyse etclassification des alertes selon leurs types/priorité) ;
◦ les alertes ne donnent pas lieux à la formalisation de plans d’actions ;
◦ il n’existe pas de « revue de sécurité » pour le traitement des exceptions et desdemandes de modification.
80/80