mehari 2010meharipedia.x10host.com/wp/wp-content/uploads/2016/12/mehari-20… · recommandés par...

MEHARI 2010 Manuel de référence des Services de Sécurité

Mai 2010

Espace Méthodes

Posez vos questions et remarques sur le forum : http://mehari.info/

CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS

30, rue Pierre Sémard, 75009 PARIS

Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 – e-mail : [email protected] Web : http://www.clusif.asso.fr

MEHARI est une marque déposée par le CLUSIF.

La loi du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alinéa 1er de l'article 40)

Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal

MEHARI 2010 3/308 © CLUSIF 2010

Remerciements

Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement :

Jean-Philippe Jouas Responsable de l’Espace Méthodes

Responsable du Groupe de Travail Principes, Mécanismes et Ba-ses de connaissances de MEHARI

Jean-Louis Roule Responsable du Groupe de Travail Documentation de MEHARI

Dominique Buc BUC S.A.

Olivier Corbier Docapost

Louise Doucet Ministère des Services gouvernementaux du Québec

Martine Gagné HydroQuébec

Moïse Hazzan Ministère des Services gouvernementaux du Québec

Gérard Molines Molines Consultants

Chantale Pineault AGRM

Luc Poulin CRIM

Pierre Sasseville Ministère des Services gouvernementaux du Québec

Claude Taillon Ministère de l'Éducation, du Loisir et du Sport du Québec

Marc Touboul BULL SA

CLUSIF Espace Méthodes MEHARI Manuel de référence des

Services de sécurité

Version 2010

Mai 2010

MEHARI 2010 4/308 © CLUSIF 2010

Le CLUSIF rappelle que MEHARI est destiné à des professionnels de la sécurité de l’information et vous invite à prendre connaissance de la licence d’utilisation et de redistribu-tion ci-dessous :

Contrat de Licence Publique MEHARI1

Version 2010 : Décembre 2009 MEHARI est une méthode de management des risques liés à la sécurité de l’information, conçue et mise au

point par le CLUSIF.

La distribution initiale de MEHARI, émanant du CLUSIF, est constituée de trois éléments :

- Le fichier “base de connaissance”, au format accessible par un tableur,

- Le manuel de référence des services de sécurité,

- Le manuel de référence des scénarios (ou situations) de risque.

Le présent contrat a pour objet la concession par le CLUSIF au Licencié d’une licence non exclusive, cessi-ble et mondiale de MEHARI telle que définie ci-après.

La redistribution et l’utilisation de cette base de connaissance et des manuels associés ("MEHARI"), avec ou sans modification, sont autorisées à condition que les deux conditions suivantes soient remplies:

1. Les redistributions, quelque en soit la forme, doivent reproduire les formulations de copyright et les noti-ces applicables, dont cette liste de conditions, ainsi que la renonciation ci-dessous, dans chacun des éléments constituant la distribution initiale,

2. Les redistributions doivent contenir une copie conforme de ce texte.

Le CLUSIF se réserve le droit de réviser cette licence, par exemple afin de prendre en compte de nouvelles problématiques rencontrées par les logiciels libres.

Chaque mise à jour possédera un numéro de version distinct.

Toute redistribution de MEHARI obtenue sous une version donnée de la licence ne pourra faire l’objet d’une diffusion ultérieure que sous la même version de la licence ou une version postérieure.

MEHARI est distribué “en l’état” par le CLUSIF, il s’agit d’un outil destiné à être utilisé par des spécialis-tes en informatique et en sécurité et le contenu et les résultats produits par l'utilisation de la Base de Données MEHARI le sont à titre purement indicatif, et ne sauraient se substituer à une analyse humaine par un homme de l'art compétent et il appartient à l'Utilisateur de mettre en œuvre ses compétences et son discernement, ou de se faire assister par un professionnel compétent.

Le CLUSIF n'est aucunement responsable de la fourniture ou du bon fonctionnement de Logiciels de Consultation.

Le CLUSIF ne pourra être reconnu responsable de quelque dommage direct ou indirect causé à l’utilisateur ou causé à un tiers du fait de la base de données MEHARI, de son support, de sa documentation ou résultant de la fourniture de prestations éventuelles.

MEHARI est une marque déposée par le CLUSIF.

Copyright 1997-2007 CLUSIF, PARIS, France.

http://www.clusif.asso.fr/

Tous droits réservés.

La permission de copier et de distribuer des copies conformes de ce document est accordée.

1 Cette licence est compatible avec les règles de GNU GPL. http://www.gnu.org/



Version 2010

Mai 2010

MEHARI 2010 5/308 © CLUSIF 2010

Introduction

Le présent manuel de référence a pour objectif de présenter et de définir les services de sé-curité à considérer pour sécuriser l’information et les éléments d’actif utilisés pour traiter l’information.

Il accompagne la base de connaissance utilisée lors de la phase d’analyse des vulnérabili-tés de MEHARI et facilite celle-ci de plusieurs façons :

- par le rappel de l’objectif de chaque élément (service, sous-service et contrôle élémen-taire) des questionnaires de la base,

- par l’indication des résultats attendus au niveau des services et des sous-services,

- par la description des mécanismes et solutions associés à chaque sous-service, y com-pris la distinction entre mesures organisationnelles et mesures techniques,

- par la clarification des éléments permettant d’établir la qualité de chaque sous-service selon trois critères d’analyse : l’efficacité, la robustesse et la mise sous contrôle.

Pour un auditeur junior, souvent dérouté par la forme, souvent aride, d’un questionnaire d’audit, ce manuel apporte des éléments d’explication utilisables soit pour lui même soit vis à vis de la personne auditée lors des entretiens.

Ce manuel fournit par ailleurs des apports directement utilisables pour proposer des amé-liorations de sécurité « ponctuelles » ou à apporter à la politique de sécurité, sinon pour rédi-ger un tel document. Cette prestation de MEHARI permet d’obtenir directement plusieurs types d’indicateurs de sécurité globaux : associés à des services ou domaines de sécurité ou à des thèmes transversaux (contrôles d’accès, plans de continuité d’activité, etc.) ou aux contrôles recommandés par la norme ISO/IEC 27002 :2005.

Rappelons que MEHARI est une méthode d’évaluation et de traitement des risques qui fournit aussi un ensemble d’outils répondant aux exigences d’un système de gestion de la sé-curité de l’information (ou SMSI) et s’intègre donc dans une démarche de mise en conformité à la normalisation ISO/IEC 27001 ou de certification, ce manuel fournit des éléments d’explication pour les bénéfices qui en résultent.

Organisation générale des services de sécurité

L’organisation de ces services2 en groupes de services et en domaines a été faite dans l’optique d’un diagnostic de la qualité des services pouvant être utilisé pour une analyse de risques MEHARI.

L’objectif de l’analyse de risques conduit à distinguer des fonctions semblables, voire identiques, quand elles portent sur des objets administrés et/ou utilisés par des personnes dif-férentes donc devant être contrôlés lors d’entretiens spécifiques. Ainsi distingue-t-on, par exemple, des fonctions de sécurité portant sur des équipements de réseau de celles portant sur des systèmes informatiques.

2 Dans la suite de cette introduction, le terme « service » est utilisé pour désigner des « sous-services ».



Version 2010

Mai 2010

MEHARI 2010 6/308 © CLUSIF 2010

Cette distinction, si elle peut paraître alourdir les questionnaires d’audit des services de sécurité, facilite à la fois la charge d’audit et l’analyse des vulnérabilités qui en résulte, car les solutions organisationnelles et techniques apportées dans chaque domaine d’application sont souvent différentes.

De même, il est ainsi aisé de réaliser des entretiens bien ciblés auprès de chaque personne responsable pour chaque variante d’audit définie par le schéma d’audit (par exemple pour des types de systèmes ou des applications ou des environnements de travail spécifiques).

Objectif des services de sécurité

L’objectif recherché par chaque service est indiqué par une phrase en tête de celui-ci. Cette formulation peut être rapprochée du terme “objective” fourni dans l’annexe A de la norme ISO/IEC 27001 mais à un niveau plus fin, pouvant correspondre au champ du terme ”control” utilisé par ailleurs dans la norme.

Mécanismes et solutions (Mesures organisationnelles et mesures techniques)

Pour MEHARI, les questions d’audit sont autant de points de contrôle de l’existant (techni-que ou organisationnel) répondant au besoin d’assurer l’objectif du service tel qu’il est décrit. Ces contrôles correspondent à un certain niveau de « finesse » nécessaire pour faire l’évaluation des mesures en place, sachant qu’il serait toujours possible de rechercher un ni-veau plus fin, au risque d’alourdir l’audit.

Quelques services sont constitués uniquement de mesures générales organisationnelles, les autres services – dits techniques – combinent des mesures techniques et des mesures or-ganisationnelles les accompagnant.

MEHARI considère que dans le premier cas, ces services sont utiles, voire nécessaires, à la sécurité des systèmes d’information, mais dont l’effet se situe davantage au plan de l’organisation, du pilotage de la sécurité ou de la sensibilisation, sans influence directe et me-surable sur la potentialité ou l’impact de scénarios précis. C’est le cas de plusieurs services du domaine 01 (Organisation).

Les services techniques, la majorité, sont normalement3 associés à la réduction des risques au travers de scénarios. Au sein de ces services :

— Les mesures techniques ont un rôle précis, une finalité directe et ont un effet immé-diat sur certains scénarios qu’il est possible de préciser. Il faut ajouter que les mesu-res techniques doivent être soutenues par des pratiques et des processus organisa-tionnels adaptés, d’accompagnement de leur mise en œuvre,

— Les mesures organisationnelles ainsi définies constituent le socle sans lequel les me-sures techniques ne peuvent être valablement efficaces (par exemple, les processus de gestion des droits et des comptes pour les contrôles d’accès ou de gestion des clés de chiffrement pour la confidentialité des données).

Qualité des services de sécurité

La différence entre les services ne contenant que des mesures générales et les services techniques se traduit par des approches différentes pour l’évaluation de leur « qualité de ser-

3 Il arrive que ce ne soit pas le cas et alors la base de scénarios de risques peut être étendue lors de l’audit ou de

versions à venir.



Version 2010

Mai 2010

MEHARI 2010 7/308 © CLUSIF 2010

vice ».

Qualité des services de mesures générales

Pour évaluer la qualité des services de mesures générales, deux paramètres doivent être pris en compte :

— Leur efficacité qui, dans ce cas sera vue comme leur capacité à générer des plans d’action ou des changements significatifs de comportement

— Leur mise sous contrôle qui représente d’une part leur aptitude à être mesurés en termes de mise en œuvre ou d’effet, et d’autre part la mise en place effective d’indicateurs et de systèmes de contrôle.

Qualité des services techniques

Pour évaluer la qualité des services techniques, trois paramètres doivent être pris en compte :

— Leur efficacité qui représente leur capacité à accomplir pleinement leur finalité, face aux menaces et aux agressions plus ou moins fortes

— Leur robustesse qui représente leur aptitude à résister à des attaques directes visant à les inhiber ou à les contourner, attaques menées par des agresseurs de niveau plus ou moins élevé.

— Leur mise sous contrôle qui représente la surveillance et le contrôle des mécanismes de sécurité eux-mêmes impliqués dans l’accomplissement de la finalité.

Les fiches établies dans la suite du document pour présenter chaque service de sécurité in-diquent :

— La finalité du service — Les résultats attendus de la mise en œuvre du service — Les mécanismes et solutions supportant le service — Les éléments à prendre en compte pour évaluer la qualité du service

Domaines de regroupement des services de sécurité Les services de sécurité sont regroupés en 14 domaines :

— Domaine 1 : Organisation de la sécurité — Domaine 2 : Sécurité des sites et bâtiments — Domaine 3 : Sécurité des locaux — Domaine 4 : Réseau étendu intersites — Domaine 5 : Réseau local — Domaine 6 : Exploitation des réseaux — Domaine 7 : Sécurité des systèmes et de leur architecture — Domaine 8 : Production informatique — Domaine 9 : Sécurité applicative — Domaine 10 : Sécurité des projets et développements applicatifs — Domaine 11 : Postes de travail utilisateurs — Domaine 12 : Exploitation des télécommunications — Domaine 13 : Processus de management — Domaine 14 : Management de la sécurité de l’information (Les services de sécurité corres-

pondant à ce dernier domaine ne sont pas traités dans ce manuel de référence)



Version 2010

Mai 2010

MEHARI 2010 8/308 © CLUSIF 2010

Les indicateurs de sécurité de M EHARI

MEHARI a toujours incorporé la possibilité de réunir les résultats de l’analyse des services au sein d’indicateurs globaux établis par groupe de services et par domaine mais aussi par thème (comme la gestion des incidents ou les plans de secours).

En ce qui concerne les « thèmes », un onglet de la base fournit les moyens de constituer ces indicateurs au nombre de 16.

Aussi, suite à l’adoption de la norme ISO/IEC 27002 :2005, il a été décidé de fournir un indicateur par sous-chapitre de cette norme et la formulation permettant de les établir est inté-grée dans un onglet de la base de connaissances.

MEHARI et les normes ISO 27000

Depuis plusieurs versions, MEHARI, fournit des indicateurs de conformité de l’organisation selon le découpage par ”control” de la norme ISO/IEC 27002:2005 (reprise dans l’annexe A de ISO/IEC 27001:2005) et constitués de moyennes des résultats des réponses (Oui/Non) aux points de contrôle de l’audit qui correspondent aux “implementation guidance” de la norme.

Ainsi, suite à une analyse des vulnérabilités effectuée conformément aux préconisations de MEHARI, il est possible d’obtenir une suite de valeurs alignées sur le découpage de la norme et constituant un ensemble d’indicateurs de conformité de l’organisation, ceci devant permettre de répondre à la recommandation figurant dans la norme ISO/IEC 27001 (§4.2.1 c) de sélectionner une méthodologie d’analyse de risque produisant des résultats « comparables et reproductibles ».

Par ailleurs, le CLUSIF a effectué un important effort de comparaison avec les deux nor-mes et intégré plusieurs nouveaux points de contrôle destinés à fournir des indicateurs aussi précis que possible, tout en tirant bénéfice de la richesse de MEHARI et sans en changer les ob-jectifs.

CLUSIF Espace Méthodes MEHARI

Manuel de référence des Services de sécurité

Version 2010

mai 2010

Domaine 1 : Organisation de la sécurité

MEHARI 2010 9/308 © CLUSIF 2010


01A Rôles et structures de la sécurité

Objectif : Mettre en place les structures organisationnelles de sorte que la sécurité de l’information et des

systèmes qui la traitent puisse être prise en charge à tous les niveaux nécessaires de l’entreprise.

Résultats globaux attendus : Piloter la sécurité pour atteindre un niveau de risque résiduel en ligne avec les objectifs de

l’organisation.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à cinq types de mesures complémentaires :

— 01A01 : Organisation et pilotage de la sécurité générale — 01A02 : Organisation et pilotage de la sécurité des systèmes d'information — 01A03 : Système général de reporting et de suivi des incidents — 01A04 : Organisation des audits et du plan d'audit — 01A05 : Gestion de crise liée à la sécurité de l’information

01B Référentiel de sécurité

Objectif : Définir les principes de management (de la sécurité) de sorte que la sécurité des systèmes

d’information puisse être prise en charge à tous les niveaux de management et de conduite des opérations, dans l’entreprise.

Résultats globaux attendus : Assurer la cohérence dans les décisions prises relatives à la sécurité des systèmes

d’information

Services de sécurité : Les services de sécurité correspondants sont relatifs à quatre types de mesures complémentai-

res : — 01B01 : Devoirs et responsabilités du personnel et du management — 01B02 : Directives générales relatives à la protection de l’information — 01B03 : Classification des ressources — 01B04 : Gestion des actifs — 01B05 : Protection des actifs ayant valeur de preuve

01C Gestion des ressources humaines

Objectif : Mettre en place les principes de management et l’organisation de moyens de gestion du per-

sonnel de sorte que celui-ci soit placé dans les conditions adéquates pour prendre correctement en charge les aspects liés à la sécurité de l’information.



Version 2010

mai 2010


MEHARI 2010 10/308 © CLUSIF 2010

Résultats globaux attendus : Prise en compte de la sécurité par le personnel

Services de sécurité : Les services de sécurité correspondants sont relatifs à quatre types de mesures :

— 01C01 : Engagements du personnel – clauses contractuelles — 01C02 : Gestion du personnel et des partenaires ou prestataires stratégiques — 01C03 : Procédure d’habilitation du personnel — 01C04 : Programme de sensibilisation et de formation à la sécurité — 01C05 : Gestion des tierces parties — 01C06 : Enregistrement des personnes

01D Assurances

Objectif : Réduire le coût de certains sinistres en se couvrant par des assurances adaptées.

Résultats attendus : Limiter la perte finale du sinistre à un montant maximum en mutualisant les pertes au dessus

d’un certain seuil.

Services de sécurité : Les services de sécurité correspondants sont relatifs à quatre types d’assurances :

— 01D01 : Assurance des dommages matériels — 01D02 : Assurance des dommages immatériels — 01D03 : Assurance Responsabilité Civile — 01D04 : Assurance « Perte de personnages clés » — 01D05 : Gestion des contrats d’assurance

01E Continuité de l’activité

Objectif : Réduire le coût de certains sinistres en analysant au préalable les besoins fondamentaux de

l’activité en termes de continuité et en mettant en place les plans correspondants.

Résultats attendus : Définir et mettre en place les plans de continuité de l’activité adaptés aux besoins de

l’entreprise.

Services de sécurité : Les services de sécurité correspondants sont relatifs à quatre types d’assurances :

— 01E01 : Prise en compte des besoins de continuité de l’activité — 01E02 : Plans de continuité de l’activité — 01E03 : Plans de reprise de l’environnement de travail



Version 2010

mai 2010


MEHARI 2010 11/308 © CLUSIF 2010

01A Rôles et structures de la sécurité

01A01 Organisation et pilotage de la sécurité géné rale

Objectif : S’assurer que tous les domaines de sécurité ont un responsable et qu’il existe une structure de

coordination, à même de prendre toute décision transverse.

Résultats attendus : Éviter des trous et des domaines non couverts qui pourraient représenter un risque pour

l’information et des incohérences entre domaines qui pourraient avoir un impact négatif sur la sensi-bilisation des responsables et des utilisateurs.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels.

Mesures organisationnelles — Identifier, en fonction de l’organisation, les domaines de sécurité devant être couverts :

� sécurité physique des sites et bâtiments � sécurité de l’information courante non supportée par les systèmes d’information (courrier, téléphone,

documents imprimés, etc.) � sécurité informatique et des réseaux � etc.

— Attribuer chaque domaine à un responsable et définir les rôles et responsabilités de chaque inter-venant dans ce domaine

— Mettre en place une structure de coordination et de mise en cohérence

Qualité de service — L’efficacité du service est directement liée à l’implication réelle de l’organisation, ainsi qu’à la préci-

sion et à l’actualisation des définitions de fonction : � Raison d’être de chaque fonction ayant un impact sur la sécurité � Finalités, rôles et responsabilités � Activités � Liaisons et relations avec les autres fonctions

— La mise sous contrôle est directement liée à l’existence d’indicateurs de performance et de ta-bleaux de bord ainsi qu’à la mise en place d’un système de reporting et de pilotage se traduisant par des plans d’action et un suivi de ces plans.



Version 2010

mai 2010


MEHARI 2010 12/308 © CLUSIF 2010

01A02 Organisation et pilotage de la sécurité des Systèmes d’Information

Objectif : Organiser le management et le pilotage de la sécurité des systèmes d’information

Résultats attendus : Mettre en place des processus de prise de décision concernant la sécurité des SI et de contrôle

des actions menées en conséquence


Mesures organisationnelles — Définir la Politique de sécurité de l’information — Définir les principes généraux de management et de pilotage de sécurité des SI :

� Rôles et responsabilités � Schéma de décision et d’arbitrage

— Définir les modes de management de la sécurité : � Méthodologie, outils et acteurs � Processus détaillé de décision et d’arbitrage et rôles respectifs de la fonction sécurité, de la fonction in-

formatique, des responsables opérationnels et des responsables fonctionnels d’un domaine d’activité (propriétaires d’informations, etc.)

— Définir les procédures de pilotage : � Tableau de bord � Plans d’action � Système de reporting et de monitoring

— Définir les centres de compétence et de conseil et leur management — Mettre en place une veille technologique (participation à des associations spécialisées) afin que

l’organisation reste adaptée aux évolutions technologiques (par exemple impact de l’émergence des réseaux WiFi sur l’organisation)

Qualité de service — L’efficacité du service est directement liée à la prise en compte de l’ensemble des points ci-dessus

et à la précision des directives qui ont pu être établies (principes généraux, organisation détaillée, procédures exécutoires, …). Dans les grandes organisations, elle est aussi liée au périmètre d’application (filiales, etc.).

— La mise sous contrôle est directement liée à plusieurs facteurs : � L’existence d’indicateurs de performance et de tableaux de bord relatifs à la mise en place de

l’organisation de la sécurité, ainsi qu’à la mise en place d’un système de reporting et de pilotage (rela-tif à ce point précis) se traduisant par des plans d’action et un suivi de ces plans.

� La mise en place d’une veille technologique (participation à des associations spécialisées) afin que l’organisation reste adaptée aux évolutions technologiques (par exemple impact de l’émergence des réseaux WiFi sur l’organisation)

� Des procédures de mise à jour de l’organisation et des définitions de fonction en fonction des évolutions structurelles de l’entreprise



Version 2010

mai 2010


MEHARI 2010 13/308 © CLUSIF 2010

01A03 Système général de reporting et de gestion d es incidents

Objectif : Avoir une vue globale, et une mise en perspective dans le temps, des incidents, que ces inci-

dents soient réels ou soupçonnés, que les tentatives aient abouti ou non.

Résultats attendus : Les résultats attendus sont multiples :

— Détecter les évolutions lentes et permettre une meilleure anticipation des mesures nécessaires — Favoriser une mise en commun et une capitalisation des connaissances acquises à l’occasion de

la gestion des incidents et diffuser cette connaissance aux personnes intéressées — Participer à la formation et à la sensibilisation des opérationnels et des utilisateurs

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais des mesures

techniques de support peuvent être nécessaires.

Mesures organisationnelles — Définir une typologie des incidents à prendre en compte :

� Typologie générale de classement � Domaine de survenance (exploitation, utilisateur, attaque de tiers, etc.) � Gravité � Réels ou soupçonnés � Tentative aboutie ou non

— Définir ce que l’on souhaite conserver comme information : � Description � Anonymat ou non des acteurs � Personnes à contacter � Impact réel

— Définir le mode de collecte et de consolidation (et de validation) — Définir les processus d’enrichissement, de mise à jour et de consultation — Définir les droits d’accès (création, mise à jour, consultation, etc.)

Mesures techniques Les mesures techniques d‘accompagnement comprennent :

— Le support d’un SGBD et d’un serveur accessible par tous les intéressés — Des processus éventuels de contrôle et de validation de l’information (Workflow) — Des processus (automatisés ou non) d’exploitation (sauvegardes, etc.)

Qualité de service — L’efficacité du service est directement liée :

� à la prise en compte de l’ensemble des points ci-dessus et à la précision des directives qui ont pu être établies (principes généraux, organisation détaillée, procédures exécutoires, …),

� à l’étendue de sa mise en œuvre (filiales, etc.), � aux moyens supports permettant un enrichissement progressif et un accès facile et sélectif à

l’information — La mise sous contrôle est directement liée à l’existence d’indicateurs de performance et de ta-

bleaux de bord relatifs à la mise en place du système de gestion des incidents, ainsi qu’à la mise en place d’un système de reporting et de pilotage (relatif à ce point précis) se traduisant par des plans d’action et un suivi de ces plans.



Version 2010

mai 2010


MEHARI 2010 14/308 © CLUSIF 2010

01A04 Organisation des audits et du programme d’au dit

Objectif : Exprimer les besoins d’audit de sécurité des systèmes d’information et faire prendre en compte

ces besoins par une structure d’audit (interne ou externe).

Résultats attendus : Éviter que les recommandations ou directives exprimées ne soient pas suivies et que les com-

portements se dégradent au fil du temps. La fonction sécurité de l’information est souvent placée en position de conseil et de diagnostic. Il

lui est donc difficile d’assumer simultanément une fonction véritable d’audit : il est alors souhaitable que cette fonction soit prise en charge par une structure dont c’est le métier et d’assurer les liaisons nécessaires avec elle.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont exclusivement organisationnels.

Mesures organisationnelles Les mesures nécessaires sont de plusieurs types :

— Définir un référentiel d’audit sur lequel la fonction pourra se baser : � Définitions des termes et obligations du personnel � Directives incontournables et recommandations � Procédure de dérogation et supports de cette procédure

— Définir les liaisons avec l’organisation de l’audit interne (ou externe) : � Mise au point du programme d’audit annuel � Communication des résultats et travail sur les recommandations résultant des audits � Communication à la fonction sécurité des systèmes d’information des résultats des audits autres que

SSI

Qualité de service — L’efficacité du service est directement liée à

� La précision du référentiel et des définitions des termes de base et des obligations du personnel en dé-coulant

� la fréquence des contacts entre fonction sécurité et audit interne — La mise sous contrôle est directement liée à l’existence :

� d’indicateurs de suivi des audits et de leur fréquence � du suivi des recommandations qui en sont issues



Version 2010

mai 2010


MEHARI 2010 15/308 © CLUSIF 2010

01A05 Gestion de crise liée à la sécurité de l’inf ormation

Objectif : Faire en sorte qu’en cas d’accident ou de crise grave touchant les systèmes d’information, une

cellule de crise puisse être réunie rapidement avec les personnes concernées, compétentes et habi-litées à prendre et à faire appliquer les décisions nécessaires.

Résultats attendus : Éviter qu’en cas d’accident grave touchant les systèmes d’information, on perde un temps pré-

cieux pour réunir les personnes concernées par les décisions à prendre.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent

quelques mesures techniques d’accompagnement.

Mesures organisationnelles Les mesures organisationnelles nécessaires sont de plusieurs types :

— Identifier les principaux types d’accident ou crises pouvant toucher les systèmes d’information et définir pour chacun d’entre eux :

� Les personnes concernées à réunir en cellule de crise � L’endroit où cette cellule devrait se réunir � La ou les personnes à contacter en premier pour qu’elles fassent éventuellement un premier diagnostic

et réunissent la cellule de crise — Identifier les moyens logistiques nécessaires à chaque cellule de crise :

� Locaux et moyens techniques � Moyens de communication � Moyens d’information

— Mettre en place les moyens primaires nécessaires au déclenchement de la période de crise : � Premiers symptômes pouvant être constatés par les gardiens, les services généraux ou tout membre

du personnel � Définir, diffuser et rendre disponible à tous les premières consignes : appeler un service d’astreinte uni-

que dont le numéro est simple à mémoriser � Mettre à disposition de ce service un document décrivant les divers cas de crise, les personnes à

contacter dans chaque cas (au moins 3) avec leurs coordonnées (bureau, domicile, mobile, lieu de vacances, etc.) et tenir à jour ce document

— Incorporer le plan de crise Système d’Information au plan de crise général s’il existe

Mesures techniques Les mesures techniques d’accompagnement sont de plusieurs types :

— La mise à disposition d’un outil de suivi et de mise à jour du plan de crise — La mise à disposition des moyens logistiques nécessaires à la cellule de crise


� La précision des symptômes décrits � La pertinence du schéma de déclenchement de crise (confirmation du diagnostic, bonnes personnes

présentes, etc.) — La mise sous contrôle est directement liée à :

� L’existence d’outils de mise à jour du plan de crise � L’audit de cette mise à jour



Version 2010

mai 2010


MEHARI 2010 16/308 © CLUSIF 2010

01B Référentiel de sécurité

01B01 Devoirs et responsabilités du personnel et d u management

Objectif : Expliciter et porter à la connaissance du management les comportements souhaités, admis et

interdits, tant de la part du personnel que du management.

Résultats attendus : Faire en sorte que le management sache ce qu’il doit faire personnellement et ce qu’il doit exi-

ger de son personnel, en termes de comportement. La cible visée est donc bien le management, la communication au personnel de ce qu’il doit

faire étant prise en charge par le service traitant des engagements du personnel. Certaines parties de cette charte, parfois appelée charte de management, peuvent ne pas être

communiquées au personnel. Il ne s’agit pas des directives précises et techniques de ce qu’il convient de faire en telle ou telle

circonstance (point traité dans le service suivant) mais bien des types de comportements autorisés ou non (comme par exemple la lecture du courrier électronique du personnel, la gestion des conflits d’intérêts, etc.)



Mesures organisationnelles Les mesures organisationnelles nécessaires consistent ainsi à identifier les principaux types de

comportement, tant du personnel que du management et à décider pour chacun d’eux : — S’il est recommandé, autorisé, toléré ou interdit — Si ce caractère sera officiellement communiqué ou non — La conduite à tenir face à de tels comportements de la part d’un collaborateur ou de la part d’un

collègue


— Communiquer au management et rendre disponible cette charte — La protéger contre une altération qui pourrait conduire à tolérer ou à avoir soi-même des compor-

tements interdits (protection particulièrement nécessaire si la communication a lieu sur un Intranet)


� La précision des comportements décrits � La pertinence de la description de la conduite à tenir en cas de manquement

— La mise sous contrôle est directement liée à : � L’existence d’une procédure de revue de cette charte � L’audit de l’authenticité de la charte publiée � L’application réelle de la charte



Version 2010

mai 2010


MEHARI 2010 17/308 © CLUSIF 2010

01B02 Directives générales relatives à la protecti on de l’information

Objectif : Expliciter et porter à la connaissance de l’ensemble du personnel les directives et mesures à

prendre concernant la protection de l’information.


ger de son personnel, en termes de mesures de protection. Éviter donc des défauts de protection par négligence ou méconnaissance et dissuader les ac-

tions volontaires nuisibles en ayant bien averti qu’elles étaient interdites.



Mesures organisationnelles Les mesures organisationnelles nécessaires consistent ainsi à identifier les différents secteurs

nécessitant des directives précises et éditer ces directives. Les domaines possibles à traiter sont : — La protection des accès aux réseaux, les cloisonnements internes et les conditions d’accès aux ré-

seaux externes — La protection des accès aux ressources internes et les conditions de gestion des autorisations

d’accès — L’exploitation des ressources informatiques et télécom — Les développements informatiques et les projets — La gestion de l’environnement de travail et sa protection


— Communiquer à tout le personnel l’ensemble de ces directives et les rendre disponibles et consul-tables facilement en cas de besoin

— Les protéger contre une altération qui pourrait conduire à indiquer des mesures qui ne seraient pas pertinentes ou suffisantes (protection particulièrement nécessaire si la communication a lieu sur un Intranet)

Des mesures techniques essentielles ne doivent pas être oubliées et consistent à rendre dispo-nibles les solutions techniques exigées par les directives.


� La précision des directives et cas traités � L’existence de moyens et de solutions techniques (disponibles en interne) en relation avec les exigen-

ces de sécurité — La mise sous contrôle est directement liée à :

� L’existence d’une procédure de revue des directives � L’audit de l’authenticité des directives publiées � L’application réelle des directives � L’audit de la pertinence de l’offre disponible en interne vis-à-vis des directives



Version 2010

mai 2010


MEHARI 2010 18/308 © CLUSIF 2010

01B03 Classification des ressources

Objectif : Expliciter et porter à la connaissance de l’ensemble du personnel concerné le degré de sensibi-

lité des supports d’information ou de communication et des ressources du système d’information (données, applications, ressources de traitement et de communication) qu’ils gèrent et utilisent.

Résultats attendus : Permettre que le degré de protection apporté à chaque ressource soit proportionné au degré de

sensibilité de cette ressource.



Mesures organisationnelles Les mesures organisationnelles consistent :

— dans un premier temps, à identifier les principaux types de dysfonctionnements et à en évaluer la gravité

— dans un deuxième temps, à évaluer selon 3 ou 4 critères (D, I, C, P) si une ressource peut être à l’origine d’un tel dysfonctionnement ou y participer et, dans ce cas, à évaluer la sensibilité de la res-source pour ce critère en fonction directe de la gravité du dysfonctionnement considéré.

Les mesures organisationnelles préalables à la classification proprement dite ont pour objet de préciser les classes d’objets considérés comme équivalents et qui recevront donc une classification identique.


— Communiquer à tout le personnel l’ensemble de ces classifications et les rendre disponibles et consultables facilement en cas de besoin

— Les protéger contre une altération qui pourrait conduire à indiquer une classification erronée, et en particulier insuffisante.


� La globalité du processus de classification et l’exhaustivité des domaines traités � Le niveau de décision et de consensus obtenu sur la classification

— La mise sous contrôle est directement liée à : � L’existence d’une procédure de revue périodique de la classification � L’audit de la mise en œuvre de cette procédure



Version 2010

mai 2010


MEHARI 2010 19/308 © CLUSIF 2010

01B04 Gestion des actifs (assets)

Objectif : Assurer une gestion des actifs matériels ou immatériels telle que le niveau de protection ap-

porté à chacun soit décidé et contrôlé par la personne la mieux à même de le faire.

Résultats attendus : Permettre que chaque actif reçoive le niveau de protection approprié.


Mesures organisationnelles Les mesures organisationnelles consistent :

— à définir les principaux types devant être identifiés et inventoriés : � informations (bases de données, fichiers, contrats et accords, documentation, manuels, procédures,

plans, archives, etc.), � logiciels (applications, firmware, middleware, outils et utilitaires, etc.), � équipements matériels (ordinateurs, équipements de réseau, media, etc.), � services et servitudes (énergie, chauffage, climatisation, etc.), � personnes ou savoir-faire, � actifs intangibles tels que la réputation ou l'image.

— à inventorier lesdits actifs. — à définir et attribuer les responsabilités concernant la gestion des actifs (définition d’un propriétaire,

responsabilités à prendre, contrôles à effectuer, etc.) — à faire établir (par les propriétaires) les règles de sécurité concernant les actifs dont ils sont respon-

sables : règles d’utilisation, de protection, de gestion (entrée et sortie d’actifs), de modification ou de destruction, etc..


� L’exhaustivité des domaines d’actifs traités � La nomination effective de propriétaires d’actifs � La précision des règles édictées

— La mise sous contrôle est directement liée à : � L’existence d’une procédure de revue périodique de la nomination de propriétaires et des attributions de

responsabilité aux propriétaires � L’audit de la rédaction effective de règles de protection et d’utilisation par les propriétaires



Version 2010

mai 2010


MEHARI 2010 20/308 © CLUSIF 2010

01B05 Protection des actifs ayant valeur de preuve

Objectif : Assurer une gestion des actifs susceptibles d’être utilisés comme éléments de preuve telle

que le niveau de protection apporté à chacun soit adapté au but poursuivi.

Résultats attendus :

Les actifs considérés ici sont des éléments pouvant contribuer à convaincre une tierce par-tie de la véracité d’une proclamation que l’on pourrait être amené à faire. Ces éléments sont indissociables du processus de vérification de la proclamation qui pourra être employé pour convaincre.

Dans ce contexte, les résultats attendus sont d’éviter qu’un défaut de protection puisse faire échouer le processus de vérification ou diminuer la confiance que la tierce partie pourrait avoir dans ce processus.


Mesures organisationnelles Les mesures organisationnelles consistent à:

— inventorier les actifs susceptibles d’être utilisés comme élément de preuve, — identifier, pour chacun de ces actifs, les proclamations qu’ils permettraient de vérifier et le proces-

sus de vérification correspondant, — analyser, pour chaque processus de vérification, ce qui pourrait le faire échouer ou affaiblir le ni-

veau de confiance qu’aurait la partie à convaincre dans ce processus, — définir en conséquence les mesures nécessaires, — mettre sous contrôle la mise en place de ces mesures.


� L’exhaustivité de la recherche et de l’identification des actifs pouvant être utilisés comme élément de preuve

� La précision et la profondeur des analyses des proclamations qu’ils permettraient de vérifier et des pro-cessus de vérification correspondants

� La pertinence des mesures décidées en conséquence de ces analyses — La robustesses du service est directement liée à :

� La revue périodique de la pertinence des analyses précédentes — La mise sous contrôle est directement liée à :

� L’audit de la mise en place effective des mesures décidées.



Version 2010

mai 2010


MEHARI 2010 21/308 © CLUSIF 2010

01C Gestion des ressources humaines

01C01 Engagements du personnel – clauses contractu elles

Objectif : Réduire l’occurrence d’actions néfastes ou potentiellement dangereuses en les interdisant.

Résultats attendus : Limiter l'exposition à des erreurs, accidents ou malveillances en interdisant, éventuellement en

fonction de certaines circonstances, certaines pratiques ou actions à un certain nombre de person-nes.

La faculté éventuellement laissée aux personnes en situation d’agir de juger de la situation per-met d’apporter une souplesse à la mesure d’interdiction, ce que ne permettrait pas une mesure pu-rement préventive.

Mécanismes et solutions : On ne devrait jamais perdre de vue que parmi les solutions possibles pour empêcher une action

potentiellement néfaste ou nuisible, il y a tout simplement l’interdiction de cette action. Le méca-nisme sous-jacent réside dans le fait que nombre de personnes respecteront cette interdiction par éthique et que d’autres la respecteront par crainte de sanction en cas de violation délibérée.

Il s’agit ici de mesures essentiellement organisationnelles, pouvant s’appuyer, occasionnelle-ment, sur des mesures techniques.

Mesures organisationnelles — Les mesures de base consistent en des clauses signées ou acceptées par le personnel :

� Règlement intérieur s’imposant à tous � Clauses contractuelles, générales ou spécifiques � Notes de procédures notifiées et s’imposant à une partie du personnel

— Les mesures complémentaires sont la mise en place de points de contrôle : � Enregistrement des actions menées � Audit des comportements

Mesures techniques — Des mesures techniques d’accompagnement peuvent être nécessaires pour enregistrer certaines

actions et permettre un audit ultérieur

Efficacité des mesures — L’efficacité du service est liée à 3 facteurs :

� La précision des directives imposées et des domaines d’application, pour éviter toute ambiguïté derrière laquelle les utilisateurs pourraient se réfugier.

� La communication à l’ensemble des personnes intéressées, qui peut aller jusqu’à la mise en place d’un processus formel de reconnaissance de réception de l’information et d’acceptation des directives

� Le contrôle, par le management, du suivi des règles ou clauses édictées. — La mise sous contrôle consiste en une vérification périodique de l’adéquation des directives au

contexte et aux évolutions d’organisation ou technologiques.



Version 2010

mai 2010


MEHARI 2010 22/308 © CLUSIF 2010

01C02 Gestion du personnel et des partenaires ou p restataires straté-giques

Objectif : A revoir Limiter, si possible les causes de départ ou d’absence de personnel stratégique. Limiter les conséquences de tels départ ou absences, le cas échéant.

Résultats attendus : Réduire les risques liés à une indisponibilité ou à une absence de personnel stratégique.

Mécanismes et solutions : Les mesures sont exclusivement organisationnelles

Mesures organisationnelles La première mesure consiste à identifier le personnel stratégique essentiel, éventuellement à

l’occasion de la classification des informations et des ressources du système d’information. Il convient ensuite, comme pour toute ressource dont la disponibilité est critique, à préparer un

plan de secours pour le cas où ces personnes viendraient à être absentes, pour quelque cause que ce soit. On notera que la capitalisation de leur savoir faire fait partie du plan de secours : une docu-mentation écrite ne remplacera jamais un expert, mais elle facilitera quand même son remplace-ment par un non expert.

Les mesures complémentaires visent à fidéliser le personnel stratégique par une gestion de car-rière adaptée et « spécialisée »

Qualité de service — Comme pour tout plan de secours, l’efficacité du plan dépend du soin apporté à sa préparation. Si

l’on peut prévoir à l’avance qui remplacerait une personne dans un poste stratégique, il vaut mieux l’y préparer, voire le former dans ce sens.

— La mise sous contrôle de la gestion du personnel stratégique consiste en des audits régulier : � De l’existence d’une liste des personnels stratégiques � De l’existence de plans de remplacement pour les personnels stratégiques � De la pertinence de ces plans



Version 2010

mai 2010


MEHARI 2010 23/308 © CLUSIF 2010

01C03 Procédures d’habilitation du personnel

Objectif : Vérifier, avant d’affecter une personne dans un poste sensible, que cela ne risque pas de le

mettre dans une situation de conflit d’intérêt ou dans une position où il pourrait subir des pressions inacceptables

Résultats attendus : Éviter que du personnel placé dans une position de conflit difficile à gérer réagisse au détriment

des intérêts de l’entreprise. Les situations que l’on cherche à éviter sont des situations dans lesquelles, de par sa famille di-

recte ou proche, un salarié pourrait subir des demandes le mettant en difficulté vis-à-vis de son de-voir de loyauté envers l’entreprise (comme par exemple donner des renseignements confidentiels, influer sur une décision dans un sens favorable à l’une des parties en cause, favoriser l’avancement d’une personne, etc.)

Mécanismes et solutions : Les mesures sont exclusivement organisationnelles

Mesures organisationnelles Les mesures préliminaires consistent à identifier les postes sensibles pour lesquels une habilita-

tion semble nécessaire. Les mesures de base consistent à faire remplir au personnel, puis actualiser, une fiche de ren-

seignement assez complète décrivant ses liens familiaux directs et indirects et les activités de ses proches pour détecter assez tôt les difficultés éventuelles futures et éviter de le placer dans une po-sition difficile.

Les mesures d’accompagnement sont de la communication pour bien faire comprendre aux per-sonnes concernées qu’il est de l’intérêt de toutes les parties d’éviter des situations de conflit d’intérêt.

Enfin, dans certaines entreprises, il est possible de faire faire une enquête par des services gouvernementaux (DST, Défense, CEA, etc.)

Qualité du service — L’efficacité du service dépend de la précision et de l’exhaustivité de la procédure d’entretien pré-

alable et de renseignement sur le titulaire (plus ces renseignements seront précis, plus le titulaire pourra penser à une difficulté éventuelle et moins il pourra passer sous silence un point délicat).

— La mise sous contrôle du service consiste à auditer : � La liste les postes sensibles � Les fiches d’habilitation remplies pour ces postes



Version 2010

mai 2010


MEHARI 2010 24/308 © CLUSIF 2010

01C04 Sensibilisation et formation à la sécurité

Objectif : Faire en sorte que tous les personnels (utilisateurs, managers et informaticiens) comprennent

les enjeux de la sécurité et sachent quelle conduite tenir vis-à-vis de l'information ou des ressources spécifiques qu’ils gèrent ou utilisent.

Résultats attendus : Limiter l'exposition à des erreurs ou accidents par manque d'attention, par inadvertance ou par

méconnaissance des mesures adéquates.


Mesures organisationnelles Les programmes sont de deux types : sensibilisation et formation :

— La sensibilisation a pour objectif de convaincre chacun, d’une part de l’existence de risques réels et de leur impact sur le fonctionnement de l’entreprise, d’autre part qu’il est concerné par la réduction du risque et que ce n’est pas « le problème des autres ».

— La formation a pour objectif, en complément, d’apprendre à chacun les bonnes pratiques qui sont nécessaires pour réduire les risques.

Il s’agit donc de mesures complémentaires, la formation sans sensibilisation étant sans effet de même que la sensibilisation sans formation.

Il n’existe pas de programmes standards et l’adaptation au contexte et à la culture de l’entreprise est la règle. On peut, néanmoins faire deux constats :

— Une réflexion sur les enjeux de la sécurité, en particulier par une classification des informations sensibilise particulièrement les utilisateurs

— Une analyse des risques avec recherche de solutions pour les risques inacceptables, est une ex-cellente façon de former les utilisateurs et chefs de projet.

Qualité de service — L’efficacité de la sensibilisation et/ou de la formation est impossible à mesurer. Les seuls aspects

quantifiables sont : � l’étendue des programmes de sensibilisation : ont-ils touché l’ensemble des collaborateurs � l’étendue des programmes de formation : ont-ils touché l’ensemble des métiers � la facilité d’accès aux outils de formation et aux solutions face à chaque problème (documentation, FAQ,

Intranet, etc.) � La répétition ou la fréquence des messages et des sensibilisations, étant entendu qu’avec l’usage et

l’habitude, les utilisateurs amenés à traiter des informations sensibles ou à utiliser ou administrer des ressources sensibles font progressivement moins attention qu’au tout début et que le renouvellement des campagnes de sensibilisation est la seule garantie de leur efficacité.

— La mise sous contrôle des plans de sensibilisation consiste en des audits réguliers : � De la conformité aux plans proposés des actions menées � Des indices de satisfaction, s’ils ont été recueillis



Version 2010

mai 2010


MEHARI 2010 25/308 © CLUSIF 2010

01C05 Gestion des tierces parties (partenaires, pr estataires, clients, public, etc.)

Objectif : Faire en sorte que les tierces parties pouvant avoir accès au système d’information sachent

quelle conduite tenir vis-à-vis de l'information ou des ressources spécifiques auxquelles elles ont accès et s’engagent à respecter les règles de sécurité correspondantes.

Résultats attendus : Limiter l'exposition à des erreurs ou accidents par manque d'attention, par inadvertance ou par

méconnaissance des mesures adéquates, de la part de tierces parties.


Mesures organisationnelles Le premier aspect est de recenser de manière exhaustive les diverses tierces parties pouvant

avoir accès à tout ou partie du système d’information, au sens le plus large du terme : — Prestataires (exploitation, maintenance, fournisseurs d’accès, fournisseurs de services, etc.) — Partenaires (prestations de services, développeurs de logiciels, etc.) — Clients — Public

Le deuxième aspect est une analyse précise des risques spécifiques à chaque cas. Le dernier aspect est la définition des règles de sécurité nécessaires pour limiter les risques et

leur incorporation dans des clauses ou engagements à faire signer par chaque tierce partie.

Qualité de service — L’efficacité de la gestion des tierces parties dépend de plusieurs facteurs :

� L’exhaustivité de l’analyse des accès par des tiers au système d’information � La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité � La rigueur dans l’application des règles à tous les cas de figure

— La mise sous contrôle de la gestion des tierces parties comprend : � L’audit des clauses et engagements signés � Le contrôle du maintien de la pertinence des actions et mesures décidées



Version 2010

mai 2010


MEHARI 2010 26/308 © CLUSIF 2010

01C06 Enregistrement des personnes

Objectif : Gérer les utilisateurs du système d’information de manière à pouvoir tracer toute action et

l’imputer à une personne physique

Résultats attendus : Faire en sorte que tout utilisateur du système d’information puisse être identifié de manière

sûre et sans ambiguïté et cela dès l’attribution de droits généraux..


Mesures organisationnelles Le premier point consiste en une procédure unique et centralisée de l’enregistrement de tout

nouvel utilisateur avec attribution d’un identifiant unique et sans doublon. Le deuxième point, corollaire du précédent, est la suppression de tout identifiant générique des

systèmes et applications Le dernier point est le contrôle des droits généralement accordés dès l’enregistrement et hors

procédure particulière d’accès à tel système ou telles données : accès au réseau interne, à la mes-sagerie, à des services communs (intranet, etc.) :

— Accord (général) des propriétaires concernés — Information des utilisateurs des droits et devoirs correspondants

Qualité de service — L’efficacité de l’enregistrement des personnes et de la gestion des identités dépend de :

� L’exhaustivité des domaines couverts par la gestion centralisée des identifiants � La gestion des doublons potentiels � La procédure de vérification et de suppression des identifiants génériques dans les systèmes et applica-

tions — La mise sous contrôle de l’enregistrement des personnes comprend:

� L’audit des identifiants attribués aux personnes � L’audit des systèmes et applications pour l’inexistence de login génériques



Version 2010

mai 2010


MEHARI 2010 27/308 © CLUSIF 2010

01D Assurances

01D01 Assurance des dommages matériels




Mesures, mécanismes et solutions : On ne devrait jamais perdre de vue que le but de l’assurance est de mutualiser les pertes entre

un grand nombre d’entreprises et de faire ainsi jouer la loi des grands nombres, alors que le coût maximal d’un sinistre pourrait être inacceptable pour une seule entreprise. L’assurance n’a donc de sens que pour couvrir des événements à probabilité d’occurrence faible (assurer de petits sinistres à coût unitaire faible et relativement fréquents, comme des vols de portables, revient à faire supporter à l’entreprise non seulement le coût direct de ces sinistres, mais, en supplément les charges de l’assureur).

Les mesures à prendre sont exclusivement organisationnelles.

Mesures organisationnelles Les mesures organisationnelles de base consistent à :

— Bien analyser les sinistres matériels à couvrir et les causes primaires de ces sinistres, afin que tant les conséquences primaires que leurs causes soient bien indiquées dans la police :

� Sinistres matériels survenant sur les systèmes informatiques et de télécommunication ainsi que sur leurs périphériques, le câblage et les installations de servitudes associées

� Sinistres survenant accidentellement (incendie, dégâts des eau, foudre, etc.), par erreur humaine, par sabotage, vandalisme (y compris par le personnel de l’entreprise, ou préposé à son opération ou son entretien)

— Bien analyser toutes les conséquences de ces sinistres et toutes les actions qu’il conviendrait de lancer et de financer pour y faire face et d’inclure la couverture de ces frais dans les garanties :

� Frais réels de réinitialisation des systèmes touchés par le sinistre (frais d’installation, de redémarrage et de test des systèmes de remplacement, frais de reconstitution des données et des supports

� Tous les frais supplémentaires d’exploitation et de fonctionnement supportés sur un exercice (ou plus) � Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires � Perte d’exploitation engendrée par le sinistre

— Bien analyser toutes les exclusions pour s’assurer qu’elle correspondent bien à des événements tout à fait improbables que l’on est bien décidé à auto assurer.

La finalisation du contrat consiste ensuite à déterminer le plafond des garanties et le montant des franchises pour différents types de sinistres, en tenant compte de ce qui a été dit en introduction afin de vérifier, selon la politique retenue, que l’assurance permettra effectivement de rendre un si-nistre tolérable (il reste grave mais l’entreprise peut survivre) ou facilement acceptable (ce qui reste à la charge de l’entreprise peut être facilement supporté sur une exercice, ce qui représente le maximum que l’on puisse attendre de ce service).

Qualité de service — L’efficacité de l’assurance réside dans

� La bonne définition des plafonds de garantie et des franchises � la bonne définition des sinistres à couvrir, en termes de conséquences primaires et de leurs causes

possibles. — La robustesse de l’assurance réside dans l’analyse détaillée des clauses d’exclusion et dans

l’élimination des clauses d’exclusion inacceptables — La mise sous contrôle du service consiste à auditer régulièrement :



Version 2010

mai 2010


MEHARI 2010 28/308 © CLUSIF 2010

� l’adéquation des clauses du sinistre et de la franchise aux évolutions éventuelles du système d’information

� les plafonds de garantie et notamment les montants d’investissements unitaires éventuellement décla-rés



Version 2010

mai 2010


MEHARI 2010 29/308 © CLUSIF 2010

01D02 Assurance des dommages immatériels




Mesures, mécanismes et solutions : On ne devrait jamais perdre de vue que le but de l’assurance est de mutualiser les pertes entre

un grand nombre d’entreprises et de faire ainsi jouer la loi des grands nombres, alors que le coût maximal d’un sinistre pourrait être inacceptable pour une seule entreprise. L’assurance n’a donc de sens que pour couvrir des événements à probabilité d’occurrence faible (assurer de petits sinistres à coût unitaire faible et relativement fréquents, comme des vols de portables, revient à faire supporter à l’entreprise non seulement le coût direct de ces sinistres, mais, en supplément les charges de l’assureur).

Les mesures à prendre sont exclusivement organisationnelles.


— Bien analyser les sinistres immatériels à couvrir et les causes primaires de ces sinistres, afin que tant les conséquences primaires que leurs causes soient bien indiquées dans la police :

� Sinistres immatériels survenant sur tous les systèmes informatiques et de télécommunication (systè-mes internes, Intranet, Extranet, sites Web, etc.)

� Sinistres survenant accidentellement (pannes, bugs), par erreur humaine (de programmation, de mani-pulation), par malveillance (fraudes, intrusions, dénis de service, y compris par le personnel de l’entreprise, ou préposé à son opération ou son entretien)


� Frais de recherche et d’investigation des causes et conséquences du sinistre � Frais de réinitialisation des systèmes touchés par le sinistre (frais d’installation, de redémarrage et de

test des systèmes de remplacement, frais de reconstitution des données et des supports) � Tous les frais supplémentaires d’exploitation et de fonctionnement supportés sur un exercice (ou plus) � Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires � Perte d’exploitation engendrée par le sinistre


La finalisation du contrat consiste ensuite à déterminer le plafond des garanties et le montant des franchises pour différents types de sinistres, en tenant compte de ce qui a été dit en introduction afin de vérifier, selon la politique retenue, que l’assurance permettra effectivement de rendre un si-nistre tolérable (il reste grave mais l’entreprise peut survivre) ou facilement acceptable (ce qui reste à la charge de l’entreprise peut être facilement supporté sur un exercice, ce qui représente le maxi-mum que l’on puisse attendre de ce service).





� l’adéquation des clauses du sinistre et de la franchise aux évolutions éventuelles du système



Version 2010

mai 2010


MEHARI 2010 30/308 © CLUSIF 2010

d’information � les plafonds de garantie et notamment les montants d’investissements unitaires éventuellement décla-

rés



Version 2010

mai 2010


MEHARI 2010 31/308 © CLUSIF 2010

01D03 Assurance Responsabilité Civile (RC)

Objectif : Réduire le coût de la responsabilité engagée du fait des systèmes d’information ou de l’activité

liée aux systèmes d’information, vis-à-vis de tiers.

Résultats attendus : Limiter le montant de la Responsabilité Civile à un montant maximum en mutualisant les pertes

au dessus d’un certain seuil.

Mesures, mécanismes et solutions : Les mesures à prendre sont exclusivement organisationnelles.


— Bien analyser les sinistres en Responsabilité Civile à couvrir et les causes primaires de ces sinis-tres, afin que tant les conséquences primaires que leurs causes soient bien indiquées dans la po-lice :

� Sinistres causés par tous les systèmes informatiques et de télécommunication (équipements de travail, systèmes internes, Intranet, Extranet, sites Web, etc.), par leurs programmes ou leurs données, par les opérations menées par l’entreprise dans le cadre de l’exploitation de son système d’information ou de celui de tiers ou dans le cadre d’opérations de spécification ou de développements de systèmes informatiques

� Sinistres survenant accidentellement (pannes, bugs), par erreur humaine (de programmation, de mani-pulation), par malveillance (fraudes, intrusions, dénis de service, y compris par le personnel de l’entreprise, ou préposé à son opération ou son entretien)


� Couverture totale des torts causés aux tiers � Frais de recherche et d’investigation des causes et conséquences internes du sinistre � Tous les frais supplémentaires d’exploitation et de fonctionnement engagés temporairement pour limiter

les torts causés aux clients ou éviter que le sinistre se reproduise � Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires � Perte d’exploitation engendrée par le sinistre







� l’adéquation des clauses du sinistre aux évolutions éventuelles du système d’information et des systè-mes clients connectés

� les plafonds de garantie et montants de franchise en fonction des risques potentiels engendrés



Version 2010

mai 2010


MEHARI 2010 32/308 © CLUSIF 2010

01D04 Assurance Perte de Personnages clés

Objectif : Réduire le coût de la disparition de personnages clés par des assurances adaptées.

Résultats attendus : Limiter le montant de l’impact de la disparition de personnages clés à un montant maximum en

mutualisant les pertes au dessus d’un certain seuil.



— Bien analyser les sinistres de perte de Personnage clé à couvrir et les causes primaires de ces si-nistres, afin que tant les conséquences primaires que leurs causes soient bien indiquées dans la police :

� Sinistres causés par la disparition de personnages clés, seuls ou en groupe � Sinistres survenant accidentellement (voyages, maladie) ou par départ volontaire


� Couverture totale des torts causés aux tiers � Résiliation éventuelle de contrats et perte d’exploitation engendrée par le sinistre � Frais de recherche de personnel de remplacement et frais de formation � Frais supplémentaires d’exploitation et de fonctionnement engagés temporairement pour limiter les torts

causés aux clients et pour assurer le fonctionnement normal de l’entreprise � Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires







� l’adéquation des clauses du sinistre aux évolutions éventuelles du système d’information et des systè-mes clients connectés

� les plafonds de garantie et montants de franchise en fonction des risques potentiels engendrés � les personnages clés éventuellement déclarés



Version 2010

mai 2010


MEHARI 2010 33/308 © CLUSIF 2010

01D05 Gestion des contrats d’assurance

Objectif : S’assurer que les assurances pourront réduire le coût de certains sinistres.

Résultats attendus : S’assurer que les assurances pourront limiter la perte finale du sinistre à un montant maximum

par une gestion efficace des contrats.



— Nommer un responsable de la gestion des contrats d’assurances — Choisir les garanties en matière d’informatique en procédant à des études spécifiques condui-

tes avec les Responsables de l’informatique — S’assurer que les besoins en matière de garanties découlent d’analyses de risque récentes

(moins de 3 ans) — Vérifier de façon périodique (>1/ an) les contrats d'assurances et ajuster, après consultation

des responsables des secteurs concernés, les garanties et les limites de garanties (exclusion, franchise, plafond, etc.) figurant dans les contrats souscrits

— Procéder périodiquement, s’il y a lieu, à une étude pour analyser les transferts de risque en in-formatique distribuée

Qualité de service — L’efficacité de l’assurance réside dans :

� La formalisation du processus de gestion des contrats d’assurance � La nomination d’un responsable � L’établissement des contrats suite à des analyses de risque récentes (moins de 3 ans) � La vérification périodique des contrats d’assurance avec les responsables des secteurs concern

notamment le responsable informatique � Une visite régulière par un inspecteur de la compagnie d'assurances apéritrice, donnant lieu à un

rapport écrit et communiqué aux responsables des secteurs concernés � Une analyse des transferts de risque en informatique distribuée



Version 2010

mai 2010


MEHARI 2010 34/308 © CLUSIF 2010

01E Continuité de l’activité

01E01 Prise en compte des besoins de continuité de l’activité

Objectif : Réduire le coût de certains sinistres en analysant au préalable les besoins fondamentaux de

l’activité en termes de continuité.

Résultats attendus : Permettre la définition et la mise en place de plans de continuité de l’activité adaptés aux be-

soins de l’entreprise.

Mesures, mécanismes et solutions : Les mesures, à ce niveau, sont uniquement organisationnelles.


— Analyser chaque activité du point de vue de la criticité d’une interruption (en fonction de la durée de cette interruption)

— Définir les services minima à fournir en accord avec les propriétaires d’information et de ressources ou les responsables d’activité

— En déduire les besoins en termes de plans de continuité Les mesures d’accompagnement consistent à :

— Définir les responsabilités pour les points cités ci-dessus — Définir le cadre général à respecter pour l’établissement des analyses et des plans de continuité :

Qualité de service — L’efficacité du service est essentiellement liée à la rigueur des analyses préliminaires :

� Exhaustivité des activités analysées � Processus d’évaluation de la criticité des activités

— La robustesse du service est liée au contrôle du maintien de la pertinence des analyses malgré les évolutions d’activité ou de technologies

— La mise sous contrôle est réalisée par des audits réguliers : � De activités analysées � Des procédures d’analyse



Version 2010

mai 2010


MEHARI 2010 35/308 © CLUSIF 2010

01E02 Plans de Continuité de l’activité

Objectif : Assurer la continuité de l’activité en cas d’accident grave.

Résultats attendus : Faire en sorte que la reprise des activités soit possible, après un accident grave, avec des per-

formances et dans des délais acceptables par les utilisateurs et les clients. Il s’agit ici des secours manuels ou des solutions d’attente avant que les systèmes eux-mêmes

soient restaurés (voir les PRA dans les chapitres 4, 5 et 8) et que les applications aient pu être re-lancées (voir les PCU au chapitre 9). Ce sont ainsi des solutions prises au niveau de l’activité et non à celui de l’architecture informatique. Ils doivent néanmoins être cohérents avec les solutions tech-niques de secours.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.

Mesures organisationnelles La première mesure est de faire comprendre aux utilisateurs que les plans de secours techni-

ques (PRA et PCU) ne suffisent pas et qu’ils doivent, à leur niveau, se préparer à des actions ex-ceptionnelles pour que l’activité continue en attendant que les services applicatifs puissent repren-dre après la remise en place de moyens de traitement. Ces actions sont :

— La gestion de la relation avec les clients de l’activité — La mise en place de solutions provisoires assurant un service minimal — La préparation du passage du service minimal à une solution de secours plus complète.

Mesures techniques Les mesures techniques de base visent à supporter la cellule de crise qui devra de toutes fa-

çons être mise en place. Il s’agit donc des moyens logistiques correspondants (communication, ac-cès aux informations nécessaires, gestion de la cellule de crise, etc.)

Les mesures techniques d’accompagnement résultent éventuellement de l’analyse des solutions à mettre en place, si des moyens techniques sont apparus souhaitables pour supporter la continuité de l’activité.

Qualité de service — L’efficacité du service est essentiellement liée à la rigueur de la préparation aux situations de crise :

� Nombre d’activités étudiées en détail � Procédures détaillées pour les actions à mener et rigueur dans le détail de description de ces actions � Tests en vraie grandeur

— La robustesse du service est liée à la protection des moyens nécessaires en cas de crise contre toute destruction ou inhibition

— La mise sous contrôle est réalisée par des audits réguliers : � De l’adéquation des solutions prévues aux impératifs du business � Des procédures détaillées � Des tests effectués



Version 2010

mai 2010


MEHARI 2010 36/308 © CLUSIF 2010

01E03 Plans de reprise de l’environnement de trava il

Objectif : Assurer la mise à disposition d’un environnement de travail acceptable en cas d’accident grave

Résultats attendus : Permettre aux utilisateurs de retrouver un environnement de travail acceptable, en cas

d’accident grave survenant sur une partie importante du site où ils travaillent en temps normal, acci-dent rendant leur environnement indisponible, et ceci dans un délai compatible avec les besoins des utilisateurs.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques

Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque type de population, compte

tenu des fonctions à assurer en priorité, les conséquences d’un accident grave rendant indisponible l’environnement de travail et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et le fonctionnement en mode secours, éventuellement dégradé.

— Les mesures de base visent ensuite à déterminer la solution de secours, à décrire en détail les ac-tions à mener quand survient le sinistre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions des environnements de travail.

Mesures techniques — Les mesures techniques de base consistent à assurer une solution de secours pour tout cas

d’accident grave sur tout ou partie du site, ces solutions pouvant être : � Un hébergement sur d’autres sites de l’entreprise ou sur une partie du site non atteinte � Un hébergement sur des « facilités » mutualisées

Qualité de service — L’efficacité du service est essentiellement liée à plusieurs facteurs :

� L’exhaustivité des fonctions retrouvées dans la solution de secours, par rapport aux conditions normales � le délai de mise en œuvre des diverses solutions de secours prévues � la qualité et la rigueur de détail du plan de reprise d’activité

— La robustesse du service est liée à l’existence de variantes des PRA au cas où la solution de base ne serait pas disponible ou pas assez longtemps (cas des solutions mutualisées)

— La mise sous contrôle est réalisée par : � des tests de PRA représentatifs de la réalité � des audits de la rigueur de gestion des procédures de secours. �



Version 2010

décembre 2009

Domaine 2 : Sécurité des sites

MEHARI 2010 37/308 © CLUSIF 2010


02A Contrôle d’accès physique au site et aux bâti ments

Objectif : Faire en sorte que seules les personnes autorisées aient accès au site ou aux bâtiments se si-

tuant sur les sites de l’entreprise.

Résultats globaux attendus : Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes

n’ayant pas la nécessité d’accéder au site ou aux bâtiments pour leur travail.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à quatre types de mesures complémentaires

qui sont simultanément nécessaires : — 02A01 : Gestion des droits d’accès au site ou à l’immeuble — 02A02 : Attribution des autorisations d’accès au site ou à l’immeuble — 02A03 : Contrôle d’accès au site ou au bâtiment — 02A04 : Détection des intrusions sur le site ou dans l’immeuble — 02A05 : Accès aux zones de déchargement ou de chargement (de réception ou d’expédition de

marchandises)

02B Protection contre les risques environnementau x divers

Objectif : Minimiser les risques dus à des risques environnementaux divers, par des analyses préalables

et des actions de prévention et de protection.

Résultats globaux attendus : Empêcher ces risques et quand cela n’est pas possible en limiter les conséquences

Services de sécurité : Le service de sécurité nécessaire est relatif à ::

— 02B01 : Protection contre les risques environnementaux divers

02C Contrôle des accès aux zones de bureaux

Objectif : Faire en sorte que seules les personnes autorisées aient accès aux zones de bureaux sensibles

se situant sur les sites de l’entreprise.


n’ayant pas la nécessité d’accéder, pour leur travail, dans des zones de bureaux sensibles.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à :



Version 2010

décembre 2009


MEHARI 2010 38/308 © CLUSIF 2010

— 02C01 : Partitionnement des zones de bureaux en zones protégées — 02C02 : Contrôle d’accès physique aux zones de bureaux protégées — 02C03 : Gestion des autorisations d'accès aux zones de bureaux protégées — 02C04 : Détection des intrusions dans les zones de bureaux protégés — 02C05 : Surveillance des zones de bureaux protégées — 02C06 : Contrôle de la circulation des visiteurs et des prestataires occasionnels amenés à intervenir

dans les bureaux

02D Protection de l’information écrite

Objectif : Faire en sorte que seules les personnes autorisées aient accès aux informations écrites diver-

ses et que ces informations soient protégées de toute altération ou destruction


n’ayant pas la nécessité d’accéder, pour leur travail, aux informations écrites situées dans les envi-ronnements de travail habituels des collaborateurs.


— 02D01 : Conservation et protection des documents courants importants — 02D02 : Protection des documents et supports amovibles — 02D03 : Ramassage des corbeilles à papier et destruction des documents — 02D04 : Sécurité du courrier — 02D05 : Sécurité des télécopies — 02D06 : Conservation et protection des documents importants à conserver sur une longue

période — 02D07 : Gestion des archives documentaires



Version 2010

décembre 2009


MEHARI 2010 39/308 © CLUSIF 2010

02A Contrôle d’accès physique au site et aux bâti ments

02A01 Gestion des droits d’accès au site ou à l’im meuble

Objectif : Déterminer les besoins propres à chaque catégorie de personnel, interne ou non, afin de pou-

voir limiter leurs droits et privilèges à leurs seuls besoins. Les besoins dont il s’agit couvrent l’accès au site ou à l’immeuble et les besoins de circulation à

l’intérieur du site ou de l’immeuble.

Résultats attendus : Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes

n’ayant pas (ou plus) la nécessité d’accéder au site ou aux bâtiments pour leur travail.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :

Mesures organisationnelles — Identifier toutes les catégories de personnes amenées à travailler de manière permanente ou oc-

casionnelle, sur le site ou dans les bâtiments ou à y pénétrer pour diverses raisons, par exemple : � Personnel interne en CDI affecté à ce site ou ce bâtiment � Personnel temporaire, Stagiaires, etc. � Prestataires (en différenciant les diverses catégories de prestataires) � Visiteurs � Personnel interne ne travaillant pas sur ce site ou dans ce bâtiment (autre établissement, filiale, etc.)

— Désigner, pour chaque catégorie de personnes, un responsable de la gestion des droits généri-ques attribués à cette catégorie et des contrôles qui devront être faits

— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à cha-que catégorie de personnes.

— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués.

Mesures techniques Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant

l’interface entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute modification illicite :

— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisa-tions d’accès.

— Les tables ou documents matérialisant ces décisions. Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut éven-

tuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et docu-ments.

Qualité de service — L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les ca-

tégories de personnes et les droits associés. — La robustesse du service est directement liée à la solidité des mesures techniques de protection

des transferts d’information et des bases de données des droits — La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de

personnes et des droits attribués que des processus de gestion eux-mêmes.



Version 2010

décembre 2009


MEHARI 2010 40/308 © CLUSIF 2010

02A02 Gestion des autorisations d’accès au site ou à l’immeuble

Objectif : Attribuer individuellement les autorisations d’accès au site ou à l’immeuble à chaque personne

et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs seuls besoins et aux seules périodes concernées.

Les besoins dont il s’agit couvrent l’accès au site ou à l’immeuble et les besoins de circulation à l’intérieur du site ou de l’immeuble.


n’ayant pas (ou plus) la nécessité d’accéder au site ou aux bâtiments pour leur travail.


Mesures organisationnelles — Définir, pour chaque catégorie de personnes, le responsable de l’attribution d’un « profil d’accès » à

une personne physique, par exemple : � Hiérarchie pour le personnel interne � Signataire de la commande pour un prestataire

— Définir, pour chaque catégorie de profil les variables de droits à préciser par le responsable de-mandeur :

� Période de validité � Heures et jours de validité

— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier l’attribution des droits.

— Définir les processus de contrôle et de détection des anomalies dans la gestion des autorisations.


l’interface entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès (badges, cartes accréditives, etc.). Il s’agit donc de s’assurer que la demande reçue par le personnel en charge d’établir les sup-ports justifiant les autorisations (accréditifs) est bien authentique.

Il s’agit donc de techniques de signature et de contrôle de signature, que cette signature soit électronique ou non (le scellement électronique étant ici apparenté à une signature). Des certificats peuvent être également employés.

Qualité de service — L’efficacité du service est directement liée à la rigueur des procédures permettant d’attribuer des

profils d’accès initiaux aux personnes, de les modifier éventuellement et de récupérer ou d’invalider les supports d’autorisation (badges en particulier) dès que le besoin a disparu.

— La robustesse du service est directement liée à la solidité des mesures techniques de protection des transferts d’information et des bases de données des droits attribués

— La mise sous contrôle est réalisée par des audits ou inspections régulières, des droits attribués, de l’usage pratique de ces droits et des processus de gestion eux-mêmes.



Version 2010

décembre 2009


MEHARI 2010 41/308 © CLUSIF 2010

02A03 Contrôle d’accès au site ou à l’immeuble

Objectif : Contrôler les accès au site ou à l’immeuble de telle sorte que ne puissent y pénétrer que les

personnes autorisées pour la période donnée. Il peut aussi s’agir de contrôler les accès à une partie de bâtiments ou de locaux.


n’y étant pas (ou plus) autorisées.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement techniques :

Mesures techniques — Les mesures techniques de base concernent les voies d’accès courantes du personnel :

� Mesures physiques et matérielles : Portes, portillons, sas d’accès contrôlés par badge � Contrôle des flux par gardiens : Contrôle des occupants des voitures pénétrant sur le site, contrôle des

piétons, des livreurs, etc. — Les mesures complémentaires concernent les autres voies d’accès :

� Clôture du site � Contrôle des fenêtres accessibles depuis l’extérieur (fermeture, barreaux, etc.) � Contrôle des issues de secours (ouverture uniquement depuis l’intérieur)

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas

de dysfonctionnement ou de violation des mesures techniques : � Conduite à tenir en cas d’arrêt ou de violation des mesures techniques � Équipes d’intervention

Qualité de service — L’efficacité du service est liée à deux facteurs :

� La solidité ou l’inviolabilité du support des autorisations (mécanismes protégeant les badges contre une recopie ou une falsification, mécanismes permettant de contrôler la validité des badges, y compris pour les badges de collaborateurs non autorisés sur le site)

� L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de faire entrer une personne par prêt de badge

— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité de la clôture, efficacité des contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux mesures organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures concernant la sécurité du personnel)

— La mise sous contrôle est réalisée par des audits réguliers : � des accès autorisés, � des paramétrages des systèmes de contrôle d’accès, � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 42/308 © CLUSIF 2010

02A04 Détection des intrusions sur le site ou dans l’immeuble

Objectif : Détecter les intrusions sur le site ou dans l’immeuble, au cas où le contrôle d’accès n’aurait pas

été efficace et intervenir au plus vite.

Résultats attendus : Limiter les actions néfastes pouvant être menées volontairement par des personnes n’étant pas

autorisées à pénétrer sur le site ou dans l’immeuble, par une détection et une réaction rapide.

Mécanismes et solutions Les mécanismes de détection à mettre en œuvre sont essentiellement techniques. Ils devront

être accompagnés de mesures organisationnelles, pour qu’une réaction efficace et adaptée soit en-treprise.

Mesures techniques Les mesures techniques concernent soit le contrôle des issues, soit la détection de présence

dans des zones de passage : — La détection de forçage d’issues (portes ou fenêtres) :

� Contacts de portes ou de fenêtres actionnés sans que le contrôle d’accès ait déclenché l’ouverture � Maintien de porte en position ouverte � Utilisation d’issue de secours � Détection de bris de vitres

— La détection de présence dans des zones de passage ou des zones critiques : � Détection volumétrique (infrarouge, …) � Vidéo-surveillance


de détection effective d’intrusion ou d’alerte : � Conduite à tenir en cas d’alerte ou de détection d’intrusion � Équipes d’intervention

— Elles concernent également les procédures d’enregistrement et de conservation des enregistre-ments.

Qualité de service — L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la com-

plémentarité des détecteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des diffé-rentes situations (heures ouvrables ou non), d’autre part aux capacités de réaction, rapidité du dia-gnostic et délai d’intervention.

— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des cap-teurs : déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système central de traitement des signaux de détection, surveillance mutuelle des camé-ras de vidéosurveillance, protection des enregistrements, etc.

— La mise sous contrôle est réalisée par des audits réguliers : � des systèmes de traitement des signaux de détection (paramétrages, seuils de déclenchement

d’alarmes, etc.) � des procédures de réaction aux intrusions (soupçonnées ou avérées)



Version 2010

décembre 2009


MEHARI 2010 43/308 © CLUSIF 2010

02A05 Accès aux zones de transfert (livraison ou c hargement) ou aux zones accessibles au public

Objectif : Eviter les intrusions sur le site ou dans l’immeuble par le biais des zones de déchargement ou

de chargement (zones de réception ou d’expédition de marchandises).

Résultats attendus : Eviter les actions néfastes pouvant être menées volontairement par des personnes n’étant pas

autorisées à pénétrer sur le site ou dans l’immeuble, par une protection spécifique aux zones consi-dérées.


Mesures techniques — Les mesures techniques de base concernent les voies d’accès courantes des transporteurs :

� Mesures physiques et matérielles : barrières, sas, etc. � Contrôle des flux par gardiens : Procédure de contrôle des ordres de livraison ou d’expédition.

— Les mesures complémentaires concernent l’isolement des zones d’expédition et de réception du reste du site :

� Contrôle d’accès interne entre les zones de déchargement ou de chargement et le reste du site � Séparation entre les zones de déchargement et les zones de déchargement

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent :

� La fermeture de ces zones en dehors des heures de livraison ou d’expédition � Les procédures de réception et d’expédition


� La solidité ou l’inviolabilité du support des autorisations d’accès à ces zones depuis l’extérieur (procédu-res et mécanismes permettant de contrôler la validité des bons d’enlèvement ou de livraison)

� L’efficacité du filtrage (en particulier en cas d’affluence) � La solidité ou l’inviolabilité du support des autorisations d’accès depuis ces zones au reste du site (mé-

canismes protégeant les badges contre une recopie ou une falsification, mécanismes permettant de contrôler la validité des badges)

— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité de la séparation physique entre l’extérieur et ces zones et entre ces zones et le reste du site, effi-cacité des contrôles des issues de secours), d’autre part aux mesures organisationnelles de sur-veillance du système de contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce sys-tème (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures concernant la sé-curité du personnel)

— La mise sous contrôle est réalisée par des audits réguliers : � des procédures d’enlèvement et de réception, � des paramétrages des systèmes de contrôle d’accès, � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures �



Version 2010

décembre 2009


MEHARI 2010 44/308 © CLUSIF 2010

02B Protection contre les risques environnementau x divers

02B01 Analyse des risques environnementaux divers

Objectif : Analyser les risques environnementaux divers et prendre des mesures en conséquence pour

les éviter ou en réduire les conséquences.

Résultats attendus : Rendre ces risques tolérables.


Mesures organisationnelles Les mesures organisationnelles consistent à faire une analyse aussi exhaustive que possible

des risques environnementaux divers : — Risques climatiques (foudre, orages, tornades, etc.) — Risques de pollution liés aux industries voisines — Risques sismiques — Risques de vandalisme ou de terrorisme liés à l’environnement — Risques d’explosions accidentelles — Risques induits par des mouvements sociaux violents extérieurs à l’entreprise, — Etc.

Mesures techniques Les mesures techniques consistent à traiter un par un les risques reconnus comme possibles ou

probables par l’analyse précédente : — Sécurisation des bâtiments et du site contre de tels risques — Solutions de secours adaptées

Qualité de service — L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures pri-

ses en conséquence — La mise sous contrôle est réalisée par des audits réguliers :

� de la pertinence de l’analyse et de la permanence de ses conclusions � de l’efficience des mesures décidées en conséquence �



Version 2010

décembre 2009


MEHARI 2010 45/308 © CLUSIF 2010

02C Contrôle des accès aux zones de bureaux

02C01 Partitionnement des zones de bureaux en zone s protégées

Objectif : Délimiter des zones d’activités homogènes dans lesquelles la circulation est libre et sans contrôle

interne et isoler les zones sensibles des autres zones pour n’y donner accès qu’aux personnes autori-sées.

Résultats attendus : Éviter des actions néfastes menées dans des zones de bureau par des personnes n’ayant au-

cune raison d’y pénétrer. Remarque : La protection individuelle des bureaux est souvent illusoire car les utilisateurs rechignent à fermer leur bureau à chaque fois qu’ils le quittent pour un court instant. La protection par zone est alors plus efficace tout en étant plus conviviale et donc mieux acceptée.


Mesures organisationnelles Les mesures organisationnelles de base visent à organiser les espaces protégés et les moyens

de communication entre zones : — Identifier les zones homogènes d’activité (services, départements, groupes de projets, etc.) — Identifier parmi celles-ci les zones sensibles à protéger par un cloisonnement et un contrôle

d’accès — Définir, à proximité des zones protégées mais à l’extérieur du périmètre protégé, des espaces de ré-

ception permettant d’accueillir des visiteurs ou d’organiser des réunions de travail. — Définir le système d’appel et la procédure d’accueil permettant à une personne ne disposant pas

d’autorisation permanente d’appeler et de pénétrer dans la zone protégée sous la responsabilité d’une personne autorisée (personne visitée, responsable, etc.)

Mesures techniques Les mesures techniques ont pour objet de mettre en place les moyens effectifs de contrôle des

accès dans les zones protégées : — Les mesures techniques de base concernent les voies d’accès normales du personnel : contrôles par

badge ou par digicode, sas d’accès éventuel — Les mesures complémentaires concernent les autres voies d’accès et la gestion des anomalies :

� Contrôle des fenêtres accessibles depuis l’extérieur (fermeture, barreaux, etc.) � Contrôle des issues de secours (ouverture uniquement depuis l’intérieur)

Qualité de service — L’efficacité du service est liée à plusieurs facteurs :

� La solidité ou l’inviolabilité du support des autorisations (mécanismes protégeant les badges contre une recopie ou une falsification, emploi d’un code personnel en complément du badge, installations per-mettant d’éviter l’observation directe d’un digicode)

� L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de faire entrer une personne par prêt de badge) et la sensibilisation des personnels autorisés (accueil de visiteurs, ouverture sans contrôle, etc.)

— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité des contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux me-sures organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de pro-cédures concernant la sécurité du personnel)

— La mise sous contrôle est réalisée par des audits réguliers : � des paramétrages des systèmes de contrôle d’accès,



Version 2010

décembre 2009


MEHARI 2010 46/308 © CLUSIF 2010

� des procédures d’accueil des visiteurs � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux incidents et violations

02C02 Contrôle d'accès physique aux zones de burea ux protégées

Objectif : Contrôler les accès physiques aux zones de bureau protégées de telle sorte que ne puissent y

pénétrer que les personnes autorisées pour la période donnée.


n’étant pas (ou plus) autorisées à accéder aux zones de bureau protégées.

Mesures, mécanismes et solutions : Les mesures à prendre sont essentiellement techniques.

Mesures techniques — Les mesures techniques de base concernent les voies d’accès aux zones protégées du personnel :

� Mesures physiques et matérielles : Systèmes automatiques d’authentification systématiques aux zones protégées par badge

� Mise en place d’un système de contrôle d'accès aux zones de bureaux protégées équipé d'un dispositif "anti-retour" (ou dispositif "anti-pass back")

� — Les mesures complémentaires concernent les autres voies d’accès :

� Contrôle des fenêtres accessibles depuis l’extérieur (fermeture, barreaux, etc.) � Contrôle des issues de secours (ouverture uniquement depuis l’intérieur et munies d’un système

d’alarme)

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de dys-

fonctionnement ou de violation des mesures techniques : � Conduite à tenir en cas d’arrêt ou de violation des mesures techniques � Équipes d’intervention �


� La solidité ou l’inviolabilité du support des autorisations (mécanismes protégeant les badges contre une recopie ou une falsification, mécanismes permettant de contrôler la validité des badges, y compris pour les badges de collaborateurs non autorisés sur le site)

� Les systèmes sont placés sous contrôle permanent opérationnel permettant de diagnostiquer une panne ou une désactivation en temps réel

— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité des contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux mesures organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures concernant la sécurité du personnel).

— La mise sous contrôle est réalisée par des audits réguliers : � des accès autorisés, � des paramétrages des systèmes de contrôle d’accès, � des systèmes de détection des violations et des arrêts du contrôle d’accès



Version 2010

décembre 2009


MEHARI 2010 47/308 © CLUSIF 2010

� des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 48/308 © CLUSIF 2010

02C03 Gestion des autorisations d’accès aux zones de bureaux pro-tégées

Objectif : Attribuer individuellement les autorisations d’accès aux zones de bureaux protégées à chaque

personne intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs seuls besoins et aux seules périodes concernées.


n’ayant pas (ou plus) la nécessité d’accéder dans des zones de bureaux protégées pour leur travail.


Mesures organisationnelles — Définir, pour chaque zone protégée, le responsable de l’attribution d’une autorisation d’accès perma-

nente ou temporaire à une personne physique. — Définir, pour chaque autorisation les variables de droits à préciser :


— Définir l’ensemble des processus d’attribution, de modification et de retrait d’autorisations à une per-sonne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier l’attribution des droits.

— Définir les processus de contrôle et de détection anomalies dans la gestion des autorisations et des abus de droits.




Par ailleurs la détection d’anomalies ou d’abus suppose que les accès soient enregistrés et qu ‘il existe une procédure d’analyse des accès permettant de détecter effectivement les anomalies et abus

Qualité de service — L’efficacité du service est directement liée à :

� la rigueur des procédures d’attribution d’autorisations permanentes à des personnes ne faisant pas par-tie de l’effectif travaillant dans une zone

� la rigueur des procédures de retrait des autorisations aux personnes n’en ayant plus le besoin — La robustesse du service est directement liée à la solidité des mesures techniques de protection des

transferts d’information vers les services établissant les moyens physiques de contrôle d’accès et des base de données des droits attribués

— La mise sous contrôle est réalisée par des audits ou inspections régulières : � des droits attribués, � de l’usage pratique de ces droits � des processus de gestion eux-mêmes.



Version 2010

décembre 2009


MEHARI 2010 49/308 © CLUSIF 2010

02C04 Détection des intrusions dans les zones de b ureaux protégées

Objectif : Détecter les intrusions dans les zones de bureaux protégées, au cas où le contrôle d’accès

n’aurait pas été efficace et intervenir au plus vite.


autorisées à pénétrer dans les zones de bureaux protégées, par une détection et une réaction ra-pide.






— La détection de présence dans les locaux sensibles : � Détection volumétrique (infrarouge, …) � Vidéo-surveillance

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de

détection effective d’intrusion ou d’alerte : � Conduite à tenir en cas d’alerte ou de détection d’intrusion � Équipes d’intervention

— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.

Qualité de service — L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complé-

mentarité des capteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des différentes situations (heures ouvrables ou non), d’autre part aux capacités de réaction, rapidité du diagnostic et délai d’intervention.

— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs : déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du sys-tème central de traitement des signaux de détection, surveillance mutuelle des caméras de vidéosur-veillance, protection des enregistrements, etc.





Version 2010

décembre 2009


MEHARI 2010 50/308 © CLUSIF 2010

02C05 Surveillance des zones de bureaux protégées

Objectif : Détecter les actions anormales ou illicites menées par du personnel autorisé à pénétrer dans les

zones de bureaux protégées et intervenir au plus vite.

Résultats attendus : Limiter les actions néfastes pouvant être menées volontairement par des personnes autorisées

à pénétrer dans les zones de bureaux protégées, par une détection et une réaction rapide.



Mesures techniques — Les mesures techniques concernent essentiellement la vidéosurveillance de l’intérieur des zones de

bureaux protégées : il peut s’agir des zones de passage uniquement (couloirs et espaces communs) ou des bureaux eux-mêmes.

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de

détection effective d’anomalies de comportement : � Conduite à tenir en cas d’alerte ou de suspicion de comportement anormal � Équipes d’intervention


Qualité de service — L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complé-

mentarité des caméras, d’autre part aux capacités de réaction, rapidité du diagnostic et délai d’intervention.

— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs : déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du sys-tème central de traitement des signaux vidéos, surveillance mutuelle des caméras de vidéosurveil-lance, protection des enregistrements, etc.

— La mise sous contrôle est réalisée par des audits réguliers : � des systèmes de traitement des signaux vidéos (mise en route effective, positionnement des écrans et

capacités réelles de surveillance par le personnel préposé, etc.) � des procédures de réaction aux intrusions (soupçonnées ou avérées)



Version 2010

décembre 2009


MEHARI 2010 51/308 © CLUSIF 2010

02C06 Contrôle de la circulation des visiteurs et prestataires occa-sionnels amenés à intervenir dans les bureaux

Objectif : Limiter la libre circulation des visiteurs ou des prestataires occasionnellement autorisés à péné-

trer dans une zone de bureaux.

Résultats attendus : Limiter la capacité d’actions néfastes pouvant être menées volontairement par des personnes

ayant été autorisées occasionnellement à pénétrer dans une zone de bureaux.

Mécanismes et solutions Les mécanismes de détection à mettre en œuvre sont essentiellement organisationnels.

Mesures organisationnelles Les mesures organisationnelles doivent être différenciées selon le type de personne visée

— Les mesures principales concernent les visiteurs et peuvent comprendre : � L’obligation de venir chercher, et de le raccompagner ensuite, un visiteur à l’accueil. � Le contrôle, par bordereau, de la personne visitée et du temps mis à revenir à l’accueil � La mise à disposition de salles de réception dédiées et l’interdiction de faire pénétrer un visiteur dans

une zone sensible — Les mesures complémentaires peuvent viser d’autres types de personnes :prestataires de mainte-

nance, livreurs, personnel d’entretien, etc. et les mesures à prendre sont alors : � L’obligation de venir chercher, et de le raccompagner ensuite, le prestataire à l’accueil. � Le maintien de la présence d’une personne responsable pendant toute l’intervention � La mise à disposition de salles dédiées et l’interdiction de faire pénétrer un prestataire dans une zone

sensible

Qualité de service — L’efficacité du service est liée à la rigueur des contrôles imposés. En ce qui concerne les visiteurs,

seule la mise à disposition de zone de réception dédiée apporte une véritable efficacité dans un monde où la courtoisie empêche de surveiller de très près tout déplacement.

— La notion de robustesse ne s’applique pas ici (comme souvent quand ils s’agit de pratiques). — La mise sous contrôle est réalisée par des audits réguliers :

� des pratiques réelles des personnes amenées à recevoir des visiteurs � des pratiques réelles des responsables de certaines prestations fournies par du personnel externe �



Version 2010

décembre 2009


MEHARI 2010 52/308 © CLUSIF 2010

02D Protection de l’information écrite

02D01 Conservation et protection des documents cou rants importants

Objectif : Offrir un service de conservation et de protection des documents courants et « vivants » dont la

disponibilité est jugée critique.

Résultats attendus : Éviter la perte ou la disparition de tels documents par une insuffisance des moyens mis à la dis-

position du personnel.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement techniques. Ils devront être accompa-

gnés de mesures organisationnelles, pour que le service soit efficace et soit utilisé par le personnel.

Mesures techniques — Les mesures techniques de base consistent en la mise en place de moyens de stockage sécurisés à

la fois contre les intrusions et contre les risques accidentels : � Mise à disposition du personnel de coffres sécurisés, � Emploi de coffres ignifuges � Salle des coffres équipée de détection et d’extinction automatique d’incendie (par gaz) � Salle des coffres équipée de détection de dégâts des eaux et de moyens d’évacuation � Salle des coffres équipée de contrôle d’accès efficace et de détection d’intrusion.

— Les mesures complémentaires concernent essentiellement : � le déclenchement d’alarme en cas d’arrêt des systèmes de sécurité (contrôle d’accès et systèmes de

détection) ou de détection d’intrusion � la mise en place d’équipes ou de déclenchement d’intervention en cas d’alarme.

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles de base consistent en l’organisation de services autour du stockage

sécurisé : � Procédures de stockage et d’accès aux documents sécurisés � Sensibilisation des utilisateurs

— Les mesures organisationnelles d’accompagnement des mesures techniques concernent les procé-dures relatives aux cas de détection effective d’anomalies de comportement : � Conduite à tenir en cas d’alerte ou de détection d’intrusion � Équipes d’intervention

Qualité de service — L’efficacité du service est liée à la qualité :

� Des mesures de sécurité techniques � Du service d’accompagnement

— La robustesse du service est liée : � aux capacités de détection d’intrusion ou d’incident � aux capacités d’alerte en cas de tentatives d’inhibition des contrôles d’accès ou des systèmes de détec-

tion d’accident naturel (incendie et dégât des eaux) � à la vitesse de réaction de l’équipe d’intervention.

— La mise sous contrôle est réalisée par des audits réguliers : � des conditions de stockage des documents � des systèmes de contrôle d’accès et de détection d’incident � des procédures de réaction aux alarmes



Version 2010

décembre 2009


MEHARI 2010 53/308 © CLUSIF 2010

02D02 Protection des documents et supports amovibl es

Objectif : Faire en sorte que des documents ou supports sensibles ne soient pas exposés à une subtilisa-

tion par une personne non autorisée ou à une perte acccidentelle.

Résultats attendus : Éviter la perte ou le vol de tels documents ou supports par une négligence ou une absence de

sensibilisation du personnel ou par une insuffisance de moyens mis à sa disposition.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Ils devront être ac-

compagnés de mesures techniques, pour que le personnel adhère à la démarche.

Mesures organisationnelles Les mesures organisationnelles de base consistent à établir des règles de comportement, à les

diffuser auprès du personnel et à en contrôler l’application. Ces règles concernent ou peuvent concerner :

— Le rangement des bureaux : � Obligation de ranger tout document ou support sensible dans un meuble fermant à clé et effectivement

fermé � Obligation de ne rien laisser sur les bureaux le soir ou les week-end

— La protection des ordinateurs portables et autres matériels pouvant être sensibles ou onéreux (assis-tants personnels, téléphones intelligents, matériels électroniques tels que des vidéo-projecteurs, etc.) � Matériel rangé dans un meuble fermé à clé en l’absence de l’occupant � Matériel attaché avec un câble

— Les mesures relatives à la gestion des documents sensibles lors de déplacements en dehors de l’entreprise ou de l’organisme

— Les mesures de protection relatives à l’impression et à la diffusion de documents sensibles Les mesures organisationnelles d’accompagnement consistent à contrôler quotidiennement

l’application des directives et à imposer des contraintes en cas de non suivi (documents à récupé-rer chez l’officier de sécurité ou chez son responsable hiérarchique, par exemple).

Mesures techniques Les mesures techniques vont de pair avec les directives :

— Armoires ou meubles de bureaux fermant à clé — Mise à disposition de câble pour attacher les ordinateurs portables ou matériels onéreux. — Possibilités de stockage sécurisé de documents ou de matériels sensibles — Contrôle des accès aux zones d’impressions partagées

Qualité de service — L’efficacité du service est liée à :

� La précision des directives � La sensibilisation du personnel (éventuellement complétée par des sanctions en cas de non suivi des

directives) — La robustesse du service est liée à l’existence de procédures de contrôles quotidiens faits éventuel-

lement par les gardiens et de procédure d’escalade en cas de dysfonctionnements répétés. — La mise sous contrôle est réalisée par des audits réguliers :

� De l’application des directives � Des contrôles effectués



Version 2010

décembre 2009


MEHARI 2010 54/308 © CLUSIF 2010

02D03 Ramassage des corbeilles à papier et destruc tion des docu-ments

Objectif : Sécuriser le circuit de vidage des corbeilles à papier et permettre la destruction sécurisée des

documents rebutés.

Résultats attendus : Faire en sorte que les documents sensibles périmés et rebutés ne puissent pas être récupérés

par des personnes indélicates.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Selon la solution re-

tenue, ils devront ou non être accompagnés de mesures techniques.

Mesures organisationnelles Les mesures organisationnelles consistent à organiser la destruction sécurisée des documents

sensibles rebutés, selon diverses possibilités (alternatives) : — Destruction sécurisée à l’initiative du personnel :

� Obligation de détruire tout document sensible selon une procédure définie (en fonction des moyens mis en place)

� Mise à disposition du personnel de containers sécurisés dont le contenu sera détruit en sécurité — Destruction systématique de tout les documents rebutés

� Séparation des types de déchets � Destruction systématique et sécurisée de tous les documents rebutés

Les mesures organisationnelles d’accompagnement consistent à contrôler l’application des di-rectives si la solution choisie est à l’initiative du personnel


— Machines déchiqueteuses à disposition du personnel (et à proximité des photocopieurs) — Mise à disposition de containers de ramassage des documents à détruire.


� À l’automaticité de la collecte des documents à détruire � Au mécanisme de destruction (déchiquetage et dans ce cas type de coupe, incinération, etc.)

— La robustesse du service est liée à la solidité de la protection des stockages intermédiaires éventuels (containers avant destruction)

— La mise sous contrôle est réalisée par des audits réguliers : � De l’application des directives � Du système, voire de la société, de destruction



Version 2010

décembre 2009


MEHARI 2010 55/308 © CLUSIF 2010

02D04 Sécurité du courrier

Objectif : Sécuriser le circuit de collecte et d’expédition du courrier départ et le circuit de tri et de distribu-

tion du courrier arrivée.

Résultats attendus : Faire en sorte que des documents sensibles ne soient pas divulgués à l’occasion de la collecte

ou de la distribution du courrier.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Selon la solution re-

tenue, ils devront ou non être accompagnés de mesures techniques.

Mesures organisationnelles Les mesures organisationnelles consistent à organiser l’envoi et la réception de courriers sensi-

bles pour éviter au mieux leur divulgation : — Directives concernant l’envoi de courrier sensible :

� Obligation d’employer un système de double enveloppe, l’enveloppe interne indiquant le degré de sen-sibilité et éventuellement des consignes complémentaires (à n’ouvrir que par le destinataire), l’enveloppe externe étant banalisée

� Envoi par la poste en Recommandé avec Accusé de Réception � Remise en main propre pour les courriers les plus sensibles

— Directives concernant la réception des courriers dans les secrétariats et la distribution finale aux desti-nataires : � Courriers ne restant pas ouverts dans des corbeilles accessibles à tout le personnel � Rangement dans un meuble fermé à clé des courriers sensibles en attente de distribution

— Directives concernant le service central du courrier d’entreprise : � Local courrier fermé à clé en l’absence du personnel préposé � Casiers éventuels de courriers fermés à clé � Procédures de distribution sécurisée


— Fermeture du local courrier — Casiers fermant à clé

Qualité de service — L’efficacité du service est liée :

� À la rigueur des procédures d’envoi et de réception du courrier � À la solidité des mécanismes techniques de protection du courrier dans le circuit de collecte et de distri-

bution — La mise sous contrôle est réalisée par des audits réguliers :

� De l’application des directives par le personnel et les secrétariats � De l’application des directives par le service courrier



Version 2010

décembre 2009


MEHARI 2010 56/308 © CLUSIF 2010

02D05 Sécurité des télécopies

Objectif : Sécuriser les procédures d’envoi et de réception de fax contenant des informations sensibles.

Résultats attendus : Faire en sorte que des informations sensibles ne soient pas divulguées à l’occasion de l’envoi

ou de la réception d’un fax.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.

Mesures techniques Les mesures techniques disponibles sur la très grande majorité des matériels de télécopie

consistent en des possibilités de « relève distante » qui consistent à : — Faire déclencher l’émission du fax par le destinataire lui-même — Assujettir ce déclenchement au numéro de téléphone du destinataire — Assujettir le déclenchement à la présentation d’un mot de passe Il est clair que cette procédure, documentée sur pratiquement tous les appareils, évite les er-

reurs de numéro, garantit que le destinataire est bien présent au bout de la ligne, donne une cer-taine garantie que c’est bien le bon destinataire (par le mot de passe)

Mesures organisationnelles Les mesures organisationnelles consistent à appliquer le service de relève distante et bien sûr à

convenir d’un mot de passe avec le destinataire, mais surtout à rendre cette procédure opération-nelle pour toutes les télécopies sensibles :

— Directive concernant l’envoi de télécopie sensible à publier et diffuser à l’ensemble du personnel avec obligation de l’appliquer

— Explication et affichage précis du mode d’emploi à proximité immédiate de chaque télécopieur Les mesures organisationnelles complémentaires consistent à sécuriser l’ensemble des fax re-

çus en protégeant le circuit de réception et de distribution : — Local de réception des fax fermé à clé en dehors des heures de présence de personnel préposé à la

réception des fax — Circuit de distribution des fax assurant leur confidentialité (casiers fermés à clé, mise sous enveloppe,

etc.)


� À la sensibilisation du personnel et aux sanctions éventuelles en cas de non application des directives � Au caractère plus ou moins pratique de la mise en œuvre de la procédure de relève distante

— La mise sous contrôle est réalisée par des audits réguliers : � De l’application des directives par le personnel et les secrétariats � De l’adéquation des explications fournies avec le matériel disponible � �



Version 2010

décembre 2009


MEHARI 2010 57/308 © CLUSIF 2010

02D06 Conservation et protection des documents impo rtants à conserver sur une longue période

Objectif : Offrir un service de conservation et de protection des documents particulièrement importants

dont la disponibilité est jugée critique sur une longue période.

Résultats attendus : Éviter la perte de tels documents par des procédures inadaptées ou par une insuffisance des

moyens mis à la disposition du personnel.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont à la fois organisationnelles et techniques.

Mesures organisationnelles — Les mesures organisationnelles de base consistent en l’organisation d’un service de conservation des

documents particulièrement important offrant au personnel des prestations conformes à leur attente : � Processus d’appel au service facile à mettre en œuvre � Disponibilité du service � Délai de récupération d’un document conforme aux exigences des utilisateurs du service � Garantie de la capacité à exploiter les documents stockés sur le long terme

— Les mesures organisationnelles d’accompagnement des mesures techniques concernent les procé-dures relatives aux cas de détection effective d’anomalies : � Conduite à tenir en cas d’alerte ou de détection d’intrusion � Équipes d’intervention


Mesures techniques — Les mesures techniques de base consistent en la mise en place de moyens de stockage sécurisés à

la fois contre les intrusions et contre les risques accidentels : � Coffres ignifuges � Salle des coffres équipée de détection et d’extinction automatique d’incendie (par gaz) � Salle des coffres équipée de détection de dégâts des eaux et de moyens d’évacuation � Salle des coffres équipée de contrôle d’accès efficace, et de détection d’intrusion




� Des mesures de sécurité techniques � Du processus d’appel au service et de récupération des documents stockés



— La mise sous contrôle est réalisée par des audits réguliers : � des conditions de stockage des documents � des systèmes de contrôle d’accès et de détection d’incident � des procédures d’appel au service � des procédures de récupération des documents stockés �



Version 2010

décembre 2009


MEHARI 2010 58/308 © CLUSIF 2010

�



Version 2010

décembre 2009


MEHARI 2010 59/308 © CLUSIF 2010

02D07 Gestion des archives documentaires

Objectif : Offrir un service de conservation et de protection des archives documentaires dont la disponibili-

té est jugée critique.

Résultats attendus : Éviter la perte ou la divulgation de tels documents par des procédures inadaptées ou par une in-

suffisance des moyens.


Mesures organisationnelles — Les mesures organisationnelles de base consistent en l’organisation d’un service d’archivage docu-

mentaire offrant au personnel des prestations conformes à leur attente : � Processus d’archivage facile à mettre en œuvre � Disponibilité du service � Délai de récupération d’une archive conforme aux exigences des utilisateurs du service � Garantie de la capacité à exploiter les documents archivés sur le long terme � Garantie que l’archive ne pourra être récupérée que par son propriétaire ou un ayant droit � Stockage des archivages indépendant de leur contenu (et rendu anonyme)

— Les mesures organisationnelles d’accompagnement des mesures techniques concernent les procé-dures relatives aux cas de détection effective d’anomalies : � Conduite à tenir en cas d’alerte ou de détection d’intrusion � Équipes d’intervention

— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements relatifs aux archives (code d’archivage et lieu d’archivage).

Mesures techniques — Les mesures techniques de base consistent en la mise en place de moyens d’archivage sécurisés à

la fois contre les intrusions et contre les risques accidentels : � Salles d’archives équipées de détection et d’extinction automatique d’incendie (par gaz) � Salles d’archives équipées de détection de dégâts des eaux et de moyens d’évacuation � Salles d’archives équipées de contrôle d’accès efficace et de détection d’intrusion.




� Des mesures de sécurité techniques � Du processus d’archivage et de récupération des archives



— La mise sous contrôle est réalisée par des audits réguliers : � des conditions de stockage des documents � des systèmes de contrôle d’accès et de détection d’incident � des procédures de réaction aux alarmes � des procédures d’archivage



Version 2010

décembre 2009


MEHARI 2010 60/308 © CLUSIF 2010

� des procédures de récupération des archives �



Version 2010

décembre 2009

Domaine 3 : Sécurité des locaux

MEHARI 2010 61/308 © CLUSIF 2010


03A Services techniques

Objectif : Faire en sorte que les services techniques et généraux assurés par le site ou l’établissement

soient fiables et conformes aux attentes et spécifications des constructeurs.

Résultats globaux attendus : Prévenir les dégâts ou inconvénients pouvant être causés accidentellement aux systèmes

d’information par une défaillance primaire des servitudes générales fournies par l’établissement.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à cinq types de mesures complémentaires qui

sont simultanément nécessaires : — 03A01 : Qualité de la fourniture de l'énergie — 03A02 : Continuité de la fourniture de l'énergie — 03A03 : Sécurité de la climatisation — 03A04 : Qualité du câblage — 03A05 : Protection contre la foudre — 03A06 : Sécurité des équipements de servitude

03B Contrôle d’accès aux locaux sensibles

Objectif : Faire en sorte que seuls les personnes autorisées aient accès aux locaux sensibles se situant

sur les sites de l’entreprise.


n’ayant pas la nécessité d’accéder, pour leur travail, dans des locaux sensibles.


— 03B01 : Gestion des droits d'accès aux locaux sensibles — 03B02 : Gestion des autorisations d'accès aux locaux sensibles — 03B03 : Contrôle des accès aux locaux sensibles — 03B04 : Détection des intrusions dans les locaux sensibles — 03B05 : Surveillance périmétrique (surveillance des issues et des abords immédiats des locaux sensibles) — 03B06 : Surveillance des locaux sensibles — 03B07 : Contrôle d'accès au câblage — 03B08 : Localisation des locaux sensibles

03C Sécurité contre les dégâts des eaux



Version 2010

décembre 2009


MEHARI 2010 62/308 © CLUSIF 2010

Objectif : Minimiser les risques de dégâts des eaux, par des actions de prévention et de protection contre

l’effet des dégâts des eaux.

Résultats globaux attendus : Empêcher les dégâts des eaux et quand cela n’est pas possible en limiter les conséquences


— 03C01 : Prévention des risques de dégâts des eaux — 03C02 : Détection des dégâts des eaux — 03C03 : Évacuation de l'eau

03D Sécurité incendie

Objectif : Minimiser les risques dus à un incendie, par des actions de prévention et de protection contre

l’incendie.

Résultats globaux attendus : Empêcher le départ d’un incendie et quand cela n’est pas possible en limiter les conséquences


— 03D01 : Prévention des risques d’incendie — 03D02 : Détection d’incendie — 03D03 : Extinction d’incendie



Version 2010

décembre 2009


MEHARI 2010 63/308 © CLUSIF 2010

03A Services techniques

03A01 Qualité de la fourniture de l’énergie

Objectif : Alimenter les équipements sensibles par une source de tension stable et fiable.

Résultats attendus : Les micro-coupures ne sont pas toujours tolérées par les équipements informatiques et les ef-

fets indirects (coupure système, perte des informations en cours de traitement, etc.) peuvent avoir des effets indirects importants. Le résultat attendu est une fiabilité des systèmes informatiques.

Deux effets secondaires peuvent être attendus d’une stabilité de l’alimentation électrique : — la prévention de pointes de tension pouvant provoquer des courts-circuits — une gestion de l’arrêt des équipements en cas de coupure brusque de l’énergie, afin que les sys-

tèmes puissent redémarrer dans un état connu.

Mécanismes et solutions Les solutions sont essentiellement techniques. Elles doivent néanmoins s’accompagner de me-

sures organisationnelles.

Mesures techniques Les mesures techniques consistent en une alimentation dédiée par onduleur, à partir d’une ali-

mentation continue régulée, obtenue par redressement et régulation de l’alimentation générale. En complément de cet onduleur, on utilise le plus généralement, en tampon, une batterie qui

permet, en outre, de gérer l’arrêt de la source primaire et de mettre en œuvre une séquence d’arrêt propre permettant de redémarrer dans de bonnes conditions.

Mesures organisationnelles Les mesures organisationnelles complémentaires consistent en des tests réguliers de la sé-

quence d’arrêt et de son adéquation aux systèmes supportés (dont les exigences peuvent évoluer).

Qualité de service — L’efficacité du service est liée à la marge entre les garanties apportées par l’installation et les spéci-

fications des constructeurs — La robustesse du service est liée à la protection de l’installation contre toute inhibition volontaire ou

accidentelle (protection des accès, mise sous surveillance, etc.) — La mise sous contrôle est réalisée par des audits réguliers :

� Des capacités des équipements supports (en particulier des batteries) � De l’adéquation des batteries, si elles existent, avec la charge nécessaire pour assurer l’arrêt de tous les

équipements supportés par l’alimentation



Version 2010

décembre 2009


MEHARI 2010 64/308 © CLUSIF 2010

03A02 Continuité de la fourniture de l’énergie

Objectif : Assurer la continuité de l’alimentation des équipements en cas de chute de l’alimentation pri-

maire.

Résultats attendus : Assurer la continuité de l’exploitation, en cas d’interruption de longue durée de l’alimentation

normale en énergie.



Mesures techniques Les mesures techniques consistent en une alimentation en énergie indépendante de

l’alimentation principale. Le mécanisme de base consiste en un groupe électrogène alimenté par une réserve de fuel

domestique. L’installation peut être complétée d’un redresseur et d’un onduleur pour assurer une grande stabilité de la source de remplacement, voire de batteries intermédiaires (pour assurer la continuité de l’énergie pendant le temps nécessaire au démarrage du groupe).

Une solution alternative consiste en une deuxième arrivée d’énergie indépendante de la pre-mière (en notant que s’il s’agit du même fournisseur, cette solution ne protège pas contre une grève du fournisseur)

Mesures organisationnelles Les mesures organisationnelles complémentaires consistent en des tests réguliers de la détec-

tion de la coupure d’énergie et de la séquence de démarrage du groupe (ou de commutation vers la source alternative), ainsi qu’en des tests en charge pour s’assurer de la capacité de la solution de secours à supporter l’ensemble des équipements.

Il peut éventuellement être nécessaire de prévoir des séquences de délestage pour éviter de laisser connecter des équipements non indispensables.

Qualité de service — L’efficacité du service est liée au pourcentage d’équipements supportés, à pleine charge, par

l’installation de secours. Elle est également liée à pérennité de la solution de secours (et donc à la réserve de fuel et à la capacité, ou garantie, de livraison de fuel pour assurer la continuité de fonc-tionnement des équipements pendant une durée indéterminée, s’il s’agit d’un groupe tournant).

— La robustesse du service est liée à la protection de l’installation contre toute inhibition volontaire ou accidentelle (protection des accès, mise sous surveillance, etc.)

— La mise sous contrôle est réalisée par des audits réguliers : � Des séquences de détection et de démarrage de la solution de secours � De l’adéquation de la solution avec la puissance nécessitée par les équipements supportés par

l’alimentation



Version 2010

décembre 2009


MEHARI 2010 65/308 © CLUSIF 2010

03A03 Sécurité de la climatisation

Objectif : Assurer, en toute circonstance, une ambiance conforme aux spécifications des équipements.

Résultats attendus : Éviter qu’un accroissement de température ou qu’un arrêt d’équipement de climatisation ne pro-

voque un arrêt complet des équipements



Mesures techniques Les mesures techniques de base consistent en des équipements de climatisation. Les mesures complémentaires consistent en des secours ou une installation redondante telle

que toute panne soit tolérée et ne se traduise pas par des températures ou des conditions climati-ques sortant des limites spécifiées.

Mesures organisationnelles Les mesures organisationnelles complémentaires consistent en des tests réguliers de la capaci-

té de la solution retenue à assurer une climatisation suffisante, même en cas de défaillance d’équipement.

Qualité de service — L’efficacité du service de base est liée à la marge entre les garanties apportées par l’installation et

les spécifications des constructeurs, quelles que soient les conditions extérieures. — La robustesse du service est liée à deux aspects :

� La capacité de l’installation à assurer sa fonction quelle que soit la panne simple ou l’accident qui sur-vienne, voire sa capacité à résister à une panne double

� la protection de l’installation contre toute inhibition volontaire ou accidentelle (protection des accès, mise sous surveillance, etc.)

— La mise sous contrôle est réalisée par des audits réguliers : � Des capacités de l’installation à supporter les conditions extrêmes � Des capacités de détection de toute panne simple et des procédures d’intervention sur panne (pour être

capable de réparer une panne simple avant que ne survienne une deuxième panne)



Version 2010

décembre 2009


MEHARI 2010 66/308 © CLUSIF 2010

03A04 Qualité du câblage

Objectif : Protéger le câblage contre des risques d’accidents divers.

Résultats attendus : Les câblages anarchiques sont de nature à favoriser les accidents au cours d’interventions ou

de manipulations à proximité du câblage. L’état de l’art consiste à isoler les câbles de signaux de ceux supportant de l’énergie et à re-

grouper les câbles de même nature dans des goulottes bien protégées et signalées. Dans de telles conditions les risques d’accidents et de courts-circuits sont minimisés.



Mesures techniques Les mesures techniques consistent en une séparation claire des types de câbles et en leur posi-

tionnement dans des goulottes de protection. Dans certaines zones particulièrement exposées on peut être amené à prévoir en outre des dal-

les de protection (zones de passage de camions, zones ou des engins de chantier risquent d’intervenir, etc.)

Mesures organisationnelles Les mesures organisationnelles consistent en une surveillance régulière de l’application des

principes et solutions retenus

Qualité de service — L’efficacité du service est liée à la rigueur d’application des principes retenus — La robustesse du service est liée à celle des protections retenues (goulottes PVC, en tôle, dalles de

protection en béton, etc.) — La mise sous contrôle est réalisée par des audits réguliers du câblage



Version 2010

décembre 2009


MEHARI 2010 67/308 © CLUSIF 2010

03A05 Protection contre la foudre

Objectif : Protéger le câblage et les équipements contre la foudre.

Résultats attendus : La foudre peut avoir des effets divers et provoquer un début d’incendie. On s’intéresse ici aux

effets de la foudre, en tant qu’onde de tension, sur les équipements ou le câblage. L’effet attendu est que l’onde de tension soit dérivée vers la terre et que l’onde résiduelle pour

les équipements ou le câblage soit négligeable ou tolérable.

Mécanismes et solutions Les solutions sont essentiellement techniques. Ils doivent néanmoins s’accompagner de mesu-

res organisationnelles.

Mesures techniques Les mesures techniques consistent en des équipements spécifiques de lutte contre la foudre :

— D’une part l’équipement de l’immeuble avec un paratonnerre reliés par une cable spécifique à une masse de bonne qualité

— D’autre part la mise en place d’équipements spéciaux (éclateurs, écrêteurs, etc.) aux endroits ap-propriés (le paratonnerre seul peut ne pas suffire car l’onde de tension provoquée par la foudre et son évacuation à la terre provoque souvent, par induction ou par effet indirect de la terre, des pics de tension dans des câbles de signaux ou d’énergie et des équipements spécifiques sont alors né-cessaires). Nota : la mise en place de tels équipements spécifiques peut demander l’assistance de spécialistes de ce type de problème.

Mesures organisationnelles Les mesures organisationnelles complémentaires consistent en la mise sous contrôle de

l’installation pour faire face aux inévitables évolutions du câblage et pour s’assurer que l’installation demeure adaptée

Qualité de service — L’efficacité du service est liée aux pics de tension que l’installation est capable de filtrer et d’évacuer — La robustesse du service est liée à la protection de l’installation contre toute inhibition volontaire ou

accidentelle (protection des accès aux équipements spécifiques, mise sous surveillance, etc.) — La mise sous contrôle est réalisée par des audits réguliers :

� De bon fonctionnement des équipements spécifiques � De l’adéquation des protections aux évolutions des câblages



Version 2010

décembre 2009


MEHARI 2010 68/308 © CLUSIF 2010

03A06 Sécurité des équipements de servitude

Objectif : Faire en sorte que les moyens et équipements de servitude assurent le besoin de service né-

cessaire aux actifs.

Résultats attendus : On entend, par équipements de servitude, tous les équipements qui ne font pas partie du sys-

tème d’information proprement dit, mais qui sont nécessaires à son fonctionnement, notamment : — Les équipements assurant ou régulant l’alimentation en fluides (électricité, eau) nécessaires aux

systèmes, — Les équipements assurant le renouvellement d’air et la protection contre la pollution, — les équipements de protection électromagnétique et électrostatique éventuellement nécessaire, — les équipements de sécurité dont une défaillance pourrait entraver le fonctionnement des systèmes

ou empêcher leur opération (sécurité incendie, contrôle d’accès, etc.). Les résultats attendus sont qu’une défaillance ou l’indisponibilité d’un de ces équipements soit

corrigée ou que l’on y pu mettre en place une solution palliative dans des délais compatibles avec les besoins des utilisateurs.

Mécanismes et solutions Les solutions sont à la fois organisationnelles et techniques.

Mesures organisationnelles Les mesures organisationnelles consistent en la mise sous contrôle de ces équipements pour

s’assurer que l’installation demeure opérationnelle.. — Tenue à jour de l’inventaire des équipements de servitude et des dépendances à leur égard, — Analyse, pour chacun, des exigences de disponibilité, — Assurance qu’une défaillance sera détectée et signalée aux équipes d’intervention.

Mesures techniques Les mesures techniques consistent en la préparation et en la mise en place des solutions né-

cessaires à la continuité du service des équipements : — Contrat ou solution de maintenance, — Préparation de solution de remplacement, — Solution de redondance éventuelle..


� aux procédures d’inventaire et la qualité de l’analyse des diverses dépendances, � à la qualité de l’analyse des exigences de besoin de continuité � à la qualité des analyses des solutions palliatives ou de remplacement.

— La robustesse du service est liée à la protection de l’installation contre toute inhibition volontaire ou accidentelle (protection des accès aux équipements spécifiques, mise sous surveillance, etc.) et à la capacité de réaction en cas de panne ou de problème

— La mise sous contrôle est réalisée par des audits réguliers : � De bon fonctionnement des équipements de servitude et des systèmes de détection de panne � De l’adéquation des équipements aux évolutions des exigences d‘exploitation.



Version 2010

décembre 2009


MEHARI 2010 69/308 © CLUSIF 2010

03B Contrôle d’accès aux locaux sensibles (hors zo nes de bureaux)

03B01 Gestion des droits d’accès aux locaux sensib les

Objectif : Déterminer, pour chaque local sensible, quelles catégories de personnel, interne ou non, ont de

réels besoin d’y pénétrer et dans quelles conditions, afin de pouvoir empêcher les accès par ceux qui n’en ont pas le besoin et limiter leurs droits et privilèges à leurs seuls besoins, à ceux qui ont besoin d’y avoir accès.


n’ayant pas (ou plus) la nécessité d’accéder aux locaux sensibles.


Mesures organisationnelles — Identifier toutes les catégories de personnes amenées à travailler de manière permanente ou oc-

casionnelle, dans chaque type de local sensible ou à y pénétrer pour diverses raisons, par exem-ple :

� Personnel d’exploitation informatique ou réseau � Personnel des services généraux ou personnel de sécurité (pompiers). � Prestataires (en différenciant les diverses catégories de prestataires : maintenance, entretien, etc.) � Visiteurs éventuellement

— Désigner, pour chaque type de local, un responsable de la gestion des droits attribués à cette ca-tégorie de personne et des contrôles qui devront être faits

— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à cha-que catégorie de personnes.









des transferts d’information et des base de données des droits — La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de




Version 2010

décembre 2009


MEHARI 2010 70/308 © CLUSIF 2010

03B02 Gestion des autorisations d’accès aux locaux sensibles

Objectif : Attribuer individuellement les autorisations d’accès aux locaux sensibles à chaque personne in-

téressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs seuls besoins et aux seules périodes concernées.


n’ayant pas (ou plus) la nécessité d’accéder aux locaux sensibles pour leur travail.


Mesures organisationnelles — Définir, pour chaque type de local, le responsable de l’attribution d’un « profil d’accès » à une per-

sonne physique, par exemple : � Hiérarchie pour le personnel interne � Signataire de la commande pour un prestataire

— Définir, pour chaque catégorie de profil les variables de droits à préciser par le responsable de-mandeur :


— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier l’attribution des droits.






profils d’accès initiaux aux personnes, de les modifier éventuellement et de récupérer ou d’invalider les supports d’autorisation (badges en particulier) dès que le besoin a disparu.

— La robustesse du service est directement liée à la solidité des mesures techniques de protection des transferts d’information et des base de données des droits attribués




Version 2010

décembre 2009


MEHARI 2010 71/308 © CLUSIF 2010

03B03 Contrôle d’accès aux locaux sensibles

Objectif : Contrôler les accès aux locaux sensibles de telle sorte que ne puissent y pénétrer que les per-

sonnes autorisées pour la période donnée.


n’étant pas (ou plus) autorisées à pénétrer dans les locaux sensibles.


Mesures techniques — Les mesures techniques de base concernent les voies d’accès courantes du personnel :

� Portes, sas d’accès éventuels, contrôlés par badge ou par digicode, pour les locaux dans lesquels pé-nètrent de nombreuses personnes

� Portes contrôlées par une serrure pour les locaux dont les usages sont peu fréquents — Les mesures complémentaires concernent les autres voies d’accès :

� Contrôle des fenêtres accessibles depuis l’extérieur (fermeture, barreaux, etc.) � Contrôle des issues de secours (ouverture uniquement depuis l’intérieur) � Contrôle des accès potentiels par les faux planchers et faux plafonds


de dysfonctionnement ou de violation des mesures techniques : � Conduite à tenir en cas d’arrêt ou de violation des mesures techniques � Équipes d’intervention


� La solidité ou l’inviolabilité du support des autorisations (mécanismes protégeant les badges contre une recopie ou une falsification, installations permettant d’éviter l’observation directe d’un digicode)

� L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de faire entrer une personne par prêt de badge

— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité des contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux mesures organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures concernant la sécurité du personnel)




Version 2010

décembre 2009


MEHARI 2010 72/308 © CLUSIF 2010

03B04 Détection des intrusions dans les locaux sen sibles

Objectif : Détecter les intrusions dans les locaux sensibles, au cas où le contrôle d’accès n’aurait pas été

efficace et intervenir au plus vite.


autorisées à pénétrer dans les locaux sensibles, par une détection et une réaction rapide.






— La détection de présence dans les locaux sensibles : � Détection volumétrique (infrarouge, …) � Vidéo-surveillance


de détection effective d’intrusion ou d’alerte : � Conduite à tenir en cas d’alerte ou de détection d’intrusion � Équipes d’intervention



plémentarité des capteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des diffé-rentes situations (heures ouvrables ou non), d’autre part aux capacités de réaction, rapidité du dia-gnostic et délai d’intervention.

— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des cap-teurs : déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système central de traitement des signaux de détection, surveillance mutuelle des camé-ras de vidéosurveillance, protection des enregistrements, etc.





Version 2010

décembre 2009


MEHARI 2010 73/308 © CLUSIF 2010

03B05 Surveillance périmétrique (surveillance des issues et des abords immédiats des locaux sensibles)

Objectif : Détecter les actes de terrorisme ou d’attaques violentes contre les locaux sensibles et intervenir

au plus vite.

Résultats attendus : Empêcher le dépôt d’explosifs ou l’attaque par force brute des issues, par une détection externe

et une réaction rapide.



Mesures techniques — Les mesures techniques concernent essentiellement la vidéosurveillance des couloirs et abords

des locaux sensibles


de détection effective d’attaque ou d’alerte : � Conduite à tenir en cas d’alerte ou de suspicion d’attaque � Équipes d’intervention



plémentarité des caméras de surveillance, d’autre part aux capacités de réaction, rapidité du dia-gnostic et délai d’intervention.

— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des cap-teurs : déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système central de traitement des signaux vidéos, surveillance mutuelle des caméras de vidéosurveillance, protection des enregistrements, etc.


capacités réelles de surveillance par le personnel préposé, etc.) � des procédures de réaction aux alarmes



Version 2010

décembre 2009


MEHARI 2010 74/308 © CLUSIF 2010

03B06 Surveillance des locaux sensibles

Objectif : Détecter les actions anormales ou illicites menées par du personnel autorisé à pénétrer dans les

locaux sensibles et intervenir au plus vite.

Résultats attendus : Limiter les actions néfastes pouvant être menées volontairement par des personnes autorisées

à pénétrer dans les locaux sensibles, par une détection et une réaction rapide.



Mesures techniques — Les mesures techniques concernent essentiellement la vidéosurveillance de l’intérieur des locaux

sensibles.


de détection effective d’anomalies de comportement : � Conduite à tenir en cas d’alerte ou de suspicion de comportement anormal � Équipes d’intervention



plémentarité des caméras, d’autre part aux capacités de réaction, rapidité du diagnostic et délai d’intervention.

— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des cap-teurs : déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système central de traitement des signaux vidéos, surveillance mutuelle des caméras de vidéosurveillance, protection des enregistrements, etc.


capacités réelles de surveillance par le personnel préposé, etc.) � des procédures de réaction aux intrusions (soupçonnées ou avérées)



Version 2010

décembre 2009


MEHARI 2010 75/308 © CLUSIF 2010

03B07 Contrôle d’accès au câblage

Objectif : Contrôler les accès au câblage de telle sorte que ne puissent y avoir accès que les personnes

autorisées pour la période donnée. On ne traite ici que de l’accès aux nappes de câblage transitant dans les couloirs, les faux plan-

chers ou faux plafonds et non des armoires ou baies de répartition contenues dans des locaux techniques considérés comme sensibles et dont le contrôle d’accès est traité par les paragraphes précédents (3B1 à 3B6).


n’étant pas (ou plus) autorisées à avoir accès au câblage.

Mécanismes et solutions Les mécanismes de détection à mettre en œuvre sont à la fois techniques et organisationnels.

Mesures techniques Les mesures techniques de base concernent :

— Le contrôle de l’accès aux gaines techniques dans les immeubles — La protection des gaines de câblage et rails de protection des nappes

� Contrôle d’accès dans les couloirs correspondants � Vidéosurveillance

Mesures organisationnelles Les mesures organisationnelles d’accompagnement concernent :

— La gestion des autorisations d’accès : � Profils autorisés � Attribution de profils aux personnes

— La gestion des alertes en cas de détection d’abus ou de violation de contrôle d’accès

Qualité de service — L’efficacité du service est liée à la solidité ou à l’inviolabilité du mécanismes protégeant les nappes

de câblage (qualité des clés donnant accès aux gaines de câblage ou mécanisme de sécurité des badges ou clés donnant accès à des endroits ou les nappes sont accessibles)

— La robustesse du service est liée aux mesures organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce système

— La mise sous contrôle est réalisée par des audits réguliers : � des accès autorisés, � de la protection effective des accès aux gaines techniques, � des systèmes de détection des violations du contrôle d’accès � des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 76/308 © CLUSIF 2010

03B08 Localisation des locaux sensibles

Objectif : Eviter des actions volontaires malveillantes contre des locaux sensibles par des personnes ex-

térieures à l’entreprise

Résultats attendus : Prévenir les actions néfastes pouvant être menées volontairement contre des locaux sensibles,

par des personnes n’étant pas autorisées à y accéder, en ne rendant pas ces locaux directement accessibles depuis l’extérieur et en rendant plus difficile la localisation.



— L’implantation des locaux sensibles à l’intérieur des sites de telle sorte qu’ils ne soient pas accessi-bles directement depuis l’extérieur (structure en anneaux)

— La protection contre le repérage du contenu de ces locaux : � Fenêtres opaques ou équipées de verres réfléchissants � Absence de fenêtre

Mesures organisationnelles Les mesures organisationnelles d’accompagnement concernent :

— L’absence d’indication facilement accessible de la localisation de ces locaux ou de leur contenu � Absence de référence de localisation dans les annuaires téléphoniques � Absence d’indication sur les portes de ces locaux


� la solidité des divers mécanismes protégeant les accès jusqu’à la proximité directe de ces locaux � la qualité des protections contre les repérages visuels

— La mise sous contrôle est réalisée par des audits réguliers : � de la protection contre les repérages visuels, � de l’absence d’indication sur la localisation et le contenu des locaux sensibles



Version 2010

décembre 2009


MEHARI 2010 77/308 © CLUSIF 2010

03C Sécurité contre les dégâts des eaux

03C01 Prévention des risques de dégâts des eaux

Objectif : Prendre toute précaution pour éviter des fuites d’eau ou des remontées d’eau par d’éventuelles

voies d’évacuation.

Résultats attendus : Éviter les dégâts des eaux.



des voies possibles d’arrivée d’eau : — Canalisations cachées ou apparentes dans les faux planchers, les faux plafonds, etc. — Inventaire des canalisations, évacuations d’eau ou terrasses dans les étages supérieurs — Système de climatisation et de régulation d’humidité — Possibilités de crues et d’atteinte des locaux sensibles par une crue — Possibilités de remontée d’eau par des voies d’évacuation — Etc.

Mesures techniques Les mesures techniques consistent à traiter une par une les voies possibles reconnues par

l’analyse précédente : — Éloignement des canalisations ou sécurisation (par exemple, installation sprinkler non sous pres-

sion en temps normal) — Clapet anti-retour sur les évacuations, etc. — Déménagement des installations situées en sous-sol à proximité de rivière présentant un risque de

crue

Qualité de service — L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures

d’évitement — La robustesse du service est liée à la protection des systèmes d’évitement et à la protection des ar-

rivées d’eau prévues pour la sécurité incendie — La mise sous contrôle est réalisée par des audits réguliers :

� des mesures d’évitement, � de la mise à jour des analyses de risques d’inondation



Version 2010

décembre 2009


MEHARI 2010 78/308 © CLUSIF 2010

03C02 Détection des dégâts des eaux

Objectif : Détecter aussi vite que possible un début de fuite ou d’inondation.

Résultats attendus : Prévenir un dégât important en intervenant dès le début de l’accident et en mettant alors en

œuvre des mesures spécifiques.



— La détection d’humidité et la détection d’eau dans les endroits à risque des locaux sensible � Près des équipements sensibles � A proximité des équipements de climatisation � Dans les faux planchers et/ou faux plafonds, etc.

— La détection d’humidité et la détection d’eau dans les étages supérieurs (afin d’anticiper l’effet d’une fuite dans les étages)

— La détection d’humidité et d’eau dans les gaines techniques

Mesures organisationnelles — Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas

de détection d’eau ou d’humidité : � Procédures concernant les actions à mener � Capacités d’intervention pour faire stopper la cause du dégât des eaux (plans à jour indiquant les points

de coupure, existence de bâches plastiques pour protéger les équipements, etc.) � Équipes d’intervention disponibles et avec des temps d’intervention réduits

Qualité de service — L’efficacité du service est liée d’une part au nombre et à la disposition des capteurs, d’autre part

aux capacités de réaction, rapidité du diagnostic, capacité d’intervention pour stopper la cause (si possible) et délai d’intervention

— La robustesse du service est liée aux capacités d’alerte en cas de tentative d’inhibition ou d’interruption des capteurs ou des systèmes de traitement des signaux de ces capteurs : déclen-chement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du sys-tème central de traitement des signaux des capteurs.

— La mise sous contrôle est réalisée par des audits réguliers : � des systèmes de traitement des signaux de détection, � des moyens d’intervention (robinets de coupure, plan des installations, etc.) � des procédures de réaction aux alarmes



Version 2010

décembre 2009


MEHARI 2010 79/308 © CLUSIF 2010

03C03 Évacuation de l’eau

Objectif : Évacuer l’eau , dans les cas ou l’inondation n’a pu être évitée

Résultats attendus : Limiter au maximum les conséquences du dégât des eaux et éviter que l’eau se propage dans

l’ensemble des locaux.



— L’évacuation par des voies naturelles : planchers inclinés et collecte des eaux, puis évacuation na-turelle par des canalisations.

— L’évacuation par des voies forcées : pompes, etc.


de détection d’eau ou d’humidité : � Procédures concernant les actions à mener � Capacités d’intervention (plans à jour indiquant les pompes mobiles ou vannes d’évacuation, etc.) � Équipes d’intervention disponibles et avec des temps d’intervention réduits

Qualité de service — L’efficacité du service est liée à l’efficacité des moyens d’évacuation, en particulier en termes de

débit maximum, comparée au débit potentiel de la source d’eau. — La robustesse du service est liée à la protection des moyens d’évacuation contre des malveillances

visant à les inhiber ou à rendre leur accès impossible : � Accessibilité des pompes mobiles � Protection du local abritant la pompe d’évacuation fixe éventuelle � Système d’alarme protégeant les moyens d’évacuation

— La mise sous contrôle est réalisée par des audits réguliers : � Du bon fonctionnement des systèmes d’évacuation, � Des procédures de réaction sur alarmes



Version 2010

décembre 2009


MEHARI 2010 80/308 © CLUSIF 2010

03D Sécurité incendie

03D01 Prévention des risques d’incendie

Objectif : Prendre toute précaution pour éviter le départ d’un incendie.

Résultats attendus : Éviter un incendie.



des risques d’incendie : — Qualité du câblage et risque de court-circuit — Interdiction de fumer et protections spécifiques au niveau des poubelles — Appareillages divers pouvant provoquer une source anormale de chaleur (cafetière électrique, ra-

diateur d’appoint, etc.) — Traitement des surfaces et matériaux inflammables — Etc.

Mesures techniques Les mesures techniques consistent à traiter une par une les sources possibles reconnues par

l’analyse précédente : — Sécurisation du câblage — Poubelles anti-feu. — Réglementation intérieure — Traitements des revêtements muraux et autres

Qualité de service — L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures

d’évitement — La mise sous contrôle est réalisée par des audits réguliers :

� des mesures d’évitement, � des comportements réels des personnels travaillant dans ces locaux



Version 2010

décembre 2009


MEHARI 2010 81/308 © CLUSIF 2010

03D02 Détection d’incendie

Objectif : Détecter aussi vite que possible un début d’incendie.

Résultats attendus : Prévenir un dégât important en intervenant dès le début de l’incendie et en mettant alors en

œuvre des mesures spécifiques.



— La détection d’incendie, par différents types de capteurs (chaleur, fumée, etc.) � A proximité des équipements dégageant le plus de puissance � Dans les couloirs et voies de circulation � Dans les faux planchers et faux plafonds, etc. � Dans les gaines de climatisation

— La détection d’incendie à l’extérieur mais à proximité des locaux sensibles (afin d’anticiper et d’éviter que les pompiers interviennent dans les locaux sensibles (ce qui provoque le plus souvent autant de dégâts que l’incendie proprement dit)


de détection d’incendie : � Procédures concernant les premières actions à mener (extincteurs et formation du personnel à

l’utilisation des extincteurs, coupure d’électricité, fermeture de vannes d’aération, etc.) � Diagnostic rapide et appel aux secours spécialisés

Qualité de service — L’efficacité du service est liée d’une part au nombre et à la disposition des capteurs, d’autre part

aux capacités de réaction, rapidité du diagnostic, capacité d’intervention pour stopper la cause (si possible) et délai d’intervention des secours spécialisés

— La robustesse du service est liée aux capacités d’alerte en cas de tentative d’inhibition ou d’interruption des systèmes de détection et de traitement des signaux d’alerte : protection (contrôle d’accès) des systèmes de détection, déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système central de détection incendie.

— La mise sous contrôle est réalisée par des audits réguliers : � des systèmes de traitement des signaux de détection, � des moyens d’intervention (formation, extincteurs, etc.) � des procédures de réaction aux alarmes



Version 2010

décembre 2009


MEHARI 2010 82/308 © CLUSIF 2010

03D03 Extinction d’incendie

Objectif : Éteindre l’incendie par des mécanismes, automatiques ou non

Résultats attendus : Limiter au maximum les conséquences de l’incendie et éviter qu’il se propage dans l’ensemble

des locaux.



— L’extinction automatique par divers procédés (gaz inertes type halon, pulvérisation d’eau, etc. — L’extinction manuelle par extincteurs


de détection d’incendie : � Procédures concernant les actions à mener : appel aux secours spécialisés, avant ou après diagnostic

précis, évacuation du personnel, etc. � Capacités d’intervention � Équipes d’intervention disponibles et avec des temps d’intervention réduits

Qualité de service — L’efficacité du service est liée à l’efficacité des moyens d’extinction — La robustesse du service est liée aux capacités d’alerte en cas de tentative d’inhibition ou

d’interruption des systèmes d’extinction : protection (contrôle d’accès) des systèmes commandant les dispositifs d’extinction, déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système central d’extinction incendie.

— La mise sous contrôle est réalisée par des audits réguliers : � des systèmes de traitement des signaux de détection, � des moyens d’intervention (formation, extincteurs, etc.) � des procédures de réaction aux alarmes



Version 2010

décembre 2009

Domaine 4 : Réseau étendu intersites

MEHARI 2010 83/308 © CLUSIF 2010

Domaine 4 : Réseau étendu (intersites)

04A Sécurité de l’architecture du réseau étendu e t continuité du service

Objectif : Mettre en place une architecture globale des réseaux intersites garantissant la facilité de com-

munication entre les entités qui en ont le besoin tout en limitant les risques d’abus ou de mauvaise utilisation de ces moyens.

Résultats globaux attendus : Les résultats attendus sont doubles : garantir une continuité des communications entre entités

en cas d’incident ou de panne mais assurer chacune que sa connexion à d’autres entités, par le biais du réseau étendu, ne la fragilise pas.

Une autre manière de présenter le résultat attendu de ce groupe de services est de dire qu’une grande facilité de communication qui ne serait pas assez sécurisée ne serait pas utile et pourrait être sous utilisée par les opérationnels en raison des risques présentés. Les deux aspects visent donc le même objectif qui est d’offrir un moyen de communication sûr.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à différents types de mesures :

— 04A01 : Sûreté de fonctionnement des éléments d’architecture du réseau étendu — 04A02 : Organisation de la maintenance des équipements du réseau étendu — 04A03 : Procédures et plans de reprise du réseau étendu sur incidents — 04A04 : Plans de sauvegarde des configurations du réseau étendu — 04A05 : Plan de reprise d’activité (PRA) du réseau étendu — 04A06 : Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance

04B Contrôle des connexions sur le réseau étendu

Objectif : Faire en sorte que seules les entités autorisées aient accès au réseau étendu et puisse se

connecter aux autres entités.

Résultats attendus : Prévenir les tentatives d’accès, par des entités non autorisées, aux ressources internes (ser-

veurs en particuliers) et aux informations circulant sur le réseau.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires

qui peuvent être simultanément nécessaires : — 04B01 : Profils de sécurité des entités connectées au réseau étendu — 04B02 : Authentification de l'entité accédante lors des accès entrants depuis le réseau étendu — 04B03 : Authentification de l'entité accédée lors des accès sortants vers d’autres entités du réseau

étendu



Version 2010

décembre 2009


MEHARI 2010 84/308 © CLUSIF 2010

04C Sécurité des données lors des échanges et des communications

Objectif : Protéger les données transmises contre des divulgations ou des altérations illicites.

Résultats attendus : Prévenir les tentatives d’accès aux informations échangées, en lecture ou en modification, par

des personnes non autorisées.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires :

— 04C01 : Chiffrement des échanges sur le réseau étendu — 04C02 : Contrôle de l’intégrité des échanges sur le réseau étendu

04D Détection et traitement des incidents du rése au étendu

Objectif : Détecter les anomalies de fonctionnement ou des intrusions sur le réseau étendu pour intervenir

au mieux et dans les meilleurs délais.

Résultats attendus : Éviter que des actions malveillantes externes (pirates, hackers) ou internes (abus de droits

d’utilisateurs), que les mesures préventives auraient pu laisser passer, perdurent et se traduisent par des dysfonctionnements qui auraient pu être détectés et interrompus.


— 04D01 : Surveillance en temps réel du réseau étendu — 04D02 : Surveillance, en temps différé, des traces, logs et journaux des événements du réseau

étendu — 04D03 : Traitement des incidents du réseau étendu



Version 2010

décembre 2009


MEHARI 2010 85/308 © CLUSIF 2010

04A Sécurité de l’architecture du réseau étendu e t continuité de service

04A01 Sûreté de fonctionnement des éléments d’arch itecture du ré-seau étendu

Objectif : Assurer la fluidité des communications quels que soient les aléas de fonctionnement des équi-

pements ou d’utilisation des réseaux par les utilisateurs

Résultats attendus : Éviter qu’une panne simple, voire complexe ou que des aléas dans l’utilisation des réseaux ne

fassent chuter la performance du réseau étendu, avec des impact négatifs sur l’activité de l’entreprise.

Mécanismes et solutions : Les mécanismes principaux sont du ressort de l’architecture, mais doivent s’appuyer sur des

études préalables qui sont de nature organisationnelles

Mesures organisationnelles — Les mesures organisationnelles ne sont utilisées que dans une phase préalable et consistent en

une analyse des enjeux de la continuité des services du réseau étendu : � Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète des servi-

ces du réseau étendu � Analyse des capacités de reroutage des communications en cas de défaillance d’un équipement et du

temps nécessaire à ces reconfigurations � Analyse des enjeux liés à une baisse de performance du réseau étendu

Mesures techniques — Les mesures de base consistent en la mise en place d’une architecture à tolérance de panne telle

que : � toute panne simple d’un équipement réseau puisse être soit réparée dans des délais acceptables soit

contournée par des redondances d’équipement ou par un maillage du réseau � toute baisse de performance significative puisse être détectée et corrigée par des reconfigurations per-

mettant d’assurer un débit acceptable par les utilisateurs — Les mesures techniques d’accompagnement consistent en des outils de surveillance et de monito-

ring du réseau permettant effectivement de détecter toute anomalie ou baisse de performance et d’agir à distance pour allouer des ressources de contournement ou d’appoint

Efficacité du service : — L’efficacité du service est directement liée à trois facteurs :

� La qualité et la précision des analyses préliminaires � La rapidité et l’automaticité de détection d’une anomalie ou d’une baisse de performance � La rapidité et l’automaticité des reconfigurations possibles

— La robustesse des mécanismes assurant la sûreté de fonctionnement de l’architecture dépend de deux facteurs :

� L’indépendance des équipements spéciaux (réseaux et télécoms) vis-à-vis de tout équipement de ser-vitude (énergie, services généraux, locaux, etc.).

� La protection, physique et logique, des équipements assurant la détection et la reconfiguration contre toute intrusion ou inhibition : contrôle d’accès physique et logique, alarme en cas d’arrêt ou de cou-pure d’alimentation, etc.

— La mise sous contrôle des mécanismes assurant la sûreté de fonctionnement dépend de trois fac-teurs :

� Les tests de performance et de bon fonctionnement des mécanismes de détection et de reconfiguration � L’audit du paramétrage des équipements



Version 2010

décembre 2009


MEHARI 2010 86/308 © CLUSIF 2010

� L’audit des procédures associées à la gestion des systèmes de détection et de reconfiguration.



Version 2010

décembre 2009


MEHARI 2010 87/308 © CLUSIF 2010

04A02 Organisation de la maintenance des équipeme nts du réseau étendu

Objectif : Assurer la maintenance des équipements du réseau étendu pour les cas de panne ou

d’évolutions nécessaires.

Résultats attendus : Éviter qu’une défaillance d’équipement ou qu’une évolution nécessaire (que ce soit pour des

changements de contexte internes ou externes) se traduise par une interruption inacceptable du service du réseau étendu.


Mesures organisationnelles — Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance soit avec

les fournisseurs d’équipements soit avec une tierce partie de maintenance (TPM). L’élaboration des clauses adéquates dans le contrat nécessite néanmoins quelques actions préliminaires et précautions :

� Identifier les équipements critiques du réseau étendu et, pour ceux-ci, le délai de remise en service sou-haitable et le délai maximum tolérable en cas de défaillance

� Négocier avec le contractant le délai maximum d’intervention et le délai maximum de réparation (celui-ci peut dépendre de l’existence de pièces de rechange sur site et ce point doit faire l’objet de la négocia-tion)

� Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et conditions d’appel aux meilleurs spécialistes

� Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels

Mesures techniques — Les mesures techniques d’accompagnement éventuelles consistent éventuellement en des capa-

cités d’intervention à distance (télémaintenance) permettant d’accélérer le diagnostic en cas de dé-faillance.

Qualité de service — L’efficacité du service est essentiellement liée à trois facteurs :

� la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel, d’intervention et les possibilités d’appel les week-end et jours fériés

� L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes. � La compétence et l’expertise du fournisseur ou du contractant

— La robustesse du service est liée à trois types de facteurs : � La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité) � Les possibilités d’action ou de pression en cas de grève du personnel � L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire

par un seul spécialiste) — La mise sous contrôle est réalisée par des audits réguliers :

� Des clauses du contrat et de la tenue des engagements du fournisseur � Du fournisseur, afin de vérifier les points cités au titre de la robustesse.



Version 2010

décembre 2009


MEHARI 2010 88/308 © CLUSIF 2010

04A03 Procédures et plans de reprise du réseau éten du sur incidents

Objectif : Assurer une gestion des incidents du réseau étendu qui soit acceptable par les utilisateurs.

Résultats attendus : Éviter qu’un incident du réseau étendu se traduise par des pertes de données ou des pertes de

service inacceptables par les utilisateurs.


Mesures organisationnelles — La base de ce service consiste bien entendu en l’analyse :

� des incidents pouvant survenir sur le réseau étendu (panne d’équipement, saturation de lignes ou d’équipements, panne externe, coupure de ligne, ver, etc.)

� des conséquences de chacun de ces incidents, selon sa localisation, sur les données transmises et les services offerts

� du caractère acceptable ou non, par les utilisateurs, de telles conséquences — les mesures organisationnelles complémentaires consistent en des procédures destinées, en ap-

pui des mesures techniques éventuelles, à gérer au mieux les incidents de telle sorte que : � les données perdues puissent être récupérées � les services puissent continuer dans des conditions acceptables.

Mesures techniques — Les mesures techniques de base consistent d’abord à détecter les incidents et à en faire un dia-

gnostic précis et exact : � sondes de mesure � moyens et outils de diagnostic

— Les mesures techniques d’accompagnement consistent éventuellement en des capacités : � de sauvegarde dynamique des données en transit, pour assurer leur restauration en cas d’incident � de reconfiguration des équipements du réseau étendu pour assurer une continuité de service minimum.

Qualité de service — L’efficacité du service est essentiellement liée à deux facteurs :

� la précision et la profondeur de l’analyse des types d’incidents et de leur localisation possible, de leurs conséquences et du caractère acceptable ou non de ces conséquences

� la couverture des mesures techniques et des procédures de réaction aux incidents — La robustesse du service est liée à deux types de facteurs :

� La protection des moyens de diagnostic contre des altérations ou des inhibitions intempestives. � La protection des moyens d’administration permettant la reprise du réseau étendu et sa reconfiguration

contre toute inhibition ou mise hors service. — La mise sous contrôle est réalisée par des audits réguliers :

� des capacités des équipements de reconfiguration à assurer une charge suffisante � des possibilités réelles de restauration des données et de reconfiguration en cas d’incident � de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du réseau.



Version 2010

décembre 2009


MEHARI 2010 89/308 © CLUSIF 2010

04A04 Plan de sauvegarde des configurations du rés eau étendu

Objectif : Assurer la sauvegarde des configurations des équipements du réseau étendu.

Résultats attendus : Permettre une reprise rapide de l’exploitation du réseau étendu en cas d’effacement accidentel

d’une configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.


Mesures techniques — Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations des

équipements du réseau étendu, systématiquement à une fréquence donnée et lors de chaque évolution.

— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions volontaires de destruction et contre des accidents :

� stockage des sauvegardes dans un local protégé par un contrôle d’accès � stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques

de pollution.

Mesures organisationnelles — Les mesures organisationnelles d’accompagnement visent la gestion des droits d’accès aux sau-

vegardes et les conditions d’accès auxdites sauvegardes : � gestion rigoureuse des personnes ayant accès aux sauvegardes � contrôle de relecture périodiques � stockage d’un jeu de sauvegardes de recours en dehors du site de production


� l’exhaustivité des paramètres sauvegardés des équipements et celle des équipements dont les sauve-gardes sont assurées

� la fréquence des sauvegardes — La robustesse du service est liée à deux types de facteurs :

� la solidité des contrôles d’accès et des protections contre les risques accidentels. � la rigueur de la gestion des droits d’accès aux sauvegardes

— La mise sous contrôle est réalisée par des audits réguliers : � des procédures de sauvegardes � des dispositions prises pour les protéger des risques de malveillance et accidentels.



Version 2010

décembre 2009


MEHARI 2010 90/308 © CLUSIF 2010

04A05 Plan de Reprise d’Activité (PRA) du réseau é tendu

Objectif : Assurer la reprise d’activité du réseau étendu en cas d’accident grave

Résultats attendus : Permettre une reprise de l’exploitation du réseau étendu en cas d’accident grave survenant sur

une partie du réseau, et ceci dans un délai compatible avec les besoins des utilisateurs.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque équipement du réseau

étendu, les conséquences d’un accident grave sur la disponibilité d’ensemble du réseau et à identi-fier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et le fonctionnement en mode secours, éventuellement dégradé.

— Les mesures de base visent ensuite à décrire en détail les actions à mener quand survient le sinis-tre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évo-lutions du réseau étendu.


d’accident sur un équipement critique du réseau étendu, ces solutions pouvant être : � des redondances d’équipements � des solutions des secours sur un site distant, avec des équipements propres ou mutualisés � des replis sur des réseaux publics � l’installation de nouveaux matériels sur des salles prévues en conséquence (salles blanches) � etc.


� le délai de mise en œuvre des diverses solutions de secours prévues � la qualité et la rigueur de détail du plan de reprise d’activité


— La mise sous contrôle est réalisée par : � des tests de PRA représentatifs de la réalité � des audits de la rigueur de gestion des procédures de secours.



Version 2010

décembre 2009


MEHARI 2010 91/308 © CLUSIF 2010

04A06 Gestion des fournisseurs critiques (vis-à-v is de la permanence de la maintenance)

Objectif : Assurer la continuité de l’activité réseau et télécom en cas de disparition ou d’indisponibilité du-

rable du fournisseur d’un équipement du réseau étendu ou du prestataire chargé d’en assurer la maintenance

Résultats attendus : Éviter que la disparition d’un fournisseur mette en péril la continuité de l’exploitation du réseau

étendu.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels

Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque équipement du réseau

étendu, les conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble du ré-seau et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance admissible entre le moment où cette disparition serait constatée et le moment où une solution de repli pourrait être mise en œuvre

— Les mesures de base visent ensuite à définir la solution de repli et à la décrire dans un plan détail-lant toutes les actions nécessaires au succès de la solution. Ces mesures peuvent être :

� Le changement d’équipement par un autre équipement d’un autre fournisseur � La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à

une documentation de maintenance suffisante, dans des conditions à définir de manière précise) � Une évolution radicale du réseau permettant de se passer de l’équipement posant problème


� le délai de mise en œuvre des diverses solutions de secours prévues � la qualité et la rigueur de détail du plan de secours prévu

— La robustesse du service est liée à l’existence de variantes des plans de secours au cas où la solu-tion de base ne fonctionnerait pas

— La mise sous contrôle est réalisée par des audits : � de la pertinence des solutions prévues � des procédures les rendant possibles (dépôt des documentations chez une tierce partie de confiance).



Version 2010

décembre 2009


MEHARI 2010 92/308 © CLUSIF 2010

04B Contrôle des connexions sur le réseau éten du

04B01 Profils de sécurité des entités connectées a u réseau étendu

Objectif : Définir des conditions minimales de sécurité avant de connecter une entité au réseau étendu.

Résultats attendus : Limiter l’occurrence d’intrusions sur le réseau étendu. Au cas où de telles intrusions interviendraient, en limiter la portée. Limiter les possibilités d’actions nuisibles de la part du personnel de l’entreprise ayant accès au

réseau. Globalement, le résultat attendu est que la connexions d’entités distantes n’affaiblisse pas le ni-

veau de sécurité des entités déjà connectées

Mécanismes et solutions : Le principe de ces critères ou profils pour appartenir au « réseau de confiance » est qu’un en-

semble de règles communes soient respectées. Il s’agit donc de mesures essentiellement organisationnelles, le but du service étant de fixer les

règles communes et d’organiser leur contrôle.

Mesures organisationnelles — Les mesures organisationnelles de base consistent à définir les règles minimales à respecter pour

pouvoir être connecté au réseau étendu. Ces règles doivent couvrir : � L’organisation de la sécurité et l’existence de responsables désignés � La protection physique des équipements de réseau et des baies de câblage � La protection logique des accès aux équipements de réseau et aux équipements de sécurité (garde

barrières, en particulier) � Les règles de filtrage des accès entrants et sortants � Les contrôles des configurations, y compris celles des utilisateurs � La gestion des anomalies et incidents

— Les mesures organisationnelles d’accompagnement consistent à contrôler que ces règles sont bien appliquées :

� Mise en place d’indicateurs et de tableau de bord � Audit régulier de l’application des mesures

Efficacité des mesures — L’efficacité du service est directement liée à :

� la précision des directives et à leur rigueur � l’existence d’une offre disponible en interne permettant de suivre les directives

— La mise sous contrôle est directement liée à : � L’existence d’indicateurs élaborés au sein de chaque entité � L’existence d’une cellule chargée de collecter ces indicateurs, d’élaborer un tableau de bord et de pren-

dre toute mesure nécessaire � L’audit régulier du suivi effectif des directives et de la conformité des indicateurs aux mesures réelles sur

le terrain



Version 2010

décembre 2009


MEHARI 2010 93/308 © CLUSIF 2010

04B02 Authentification de l’entité accédante lors d’accès entrants de-puis le réseau étendu

Objectif : S’assurer lors de l’accès au réseau local en provenance d’une autre entité, par le réseau éten-

du, que cette entité est bien celle qu’elle prétend être.

Résultats attendus : Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des entités

n’étant pas (ou plus) autorisées individuellement à accéder au réseau local.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient égale-

ment sur des mesures organisationnelles :

Mesures techniques — Les mesures techniques de base concernent le contrôle d’une caractéristique que seul

l’équipement distant (passerelle de sortie de l’entité distante) possède : � Mot de passe partagé entre les équipements de contrôle � Système cryptologique permettant à l’entité distante de s’authentifier

— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité d’entité :

� Protection du processus de diffusion initiale des conventions secrètes (diffusion des certificats) � Protection du protocole d’authentification pour éviter qu’il ne soit observé, écouté et dupliqué. � Vérification de la validité des certificats et de la non révocation des éléments de reconnaissance

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent la gestion des annuaires conte-

nant les éléments de reconnaissance (clés publiques en particulier) � Gestion de l’annuaire des clés publiques des entités autorisées à se connecter � Gestion des processus de révocation, en cas de manquement aux règles d’appartenance au réseau de

confiance

Qualité de service — L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification propre-

ment dit (force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement uti-lisé pour authentifier, solidité de l’algorithme et du protocole contre toute observation, écoute et ré-utilisation de séquence, etc.)

— La robustesse du service est liée à trois facteurs : � l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des éléments se-

crets � les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement

de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés � les mesures organisationnelles complémentaires pour éviter que les procédures de gestion

d’exceptions ne soient utilisées pour obtenir à tort une autorisation d’accès — La mise sous contrôle est réalisée par des audits réguliers :

� des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’authentification � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 94/308 © CLUSIF 2010

04B03 Authentification de l’entité accédée, lors d ’accès sortants vers d’autres entités par le réseau étendu

Objectif : S’assurer lors de l’accès depuis le réseau local vers d’autres entités, par le réseau étendu, que

l’entité appelée est bien celle qu’elle prétend être.

Résultats attendus : Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des entités

n’étant pas (ou plus) autorisées individuellement à accéder au réseau interne et qui pourraient usur-per une adresse autorisée.




l’équipement distant (passerelle d’entrée de l’entité distante) possède : � Mot de passe partagé entre les équipements de contrôle � Système cryptologique permettant à l’entité distante d’être authentifiée





confiance










Version 2010

décembre 2009


MEHARI 2010 95/308 © CLUSIF 2010

04C Sécurité des données lors des échanges et des communications

04C01 Chiffrement des échanges sur le réseau étend u

Objectif : Protéger la confidentialité des informations échangées sur le réseau étendu.

Résultats attendus : Empêcher qu’une personne non autorisée puisse accéder au contenu des informations échan-

gées sur le réseau étendu.



Mesures techniques — Les mesures techniques de base concernent le chiffrement ou cryptage des données (il s’agit ici de

chiffrement au niveau réseau et non au niveau applicatif, et donc, généralement de chiffrement de trames de données, indistinctement de leur contenu) :

� Détermination des canaux chiffrés � Mise en place de boîtiers de chiffrement (ou à défaut de solution logicielle de chiffrement)

— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :

� Protection physique des boîtiers de chiffrement � Protection logique des solutions logicielles de chiffrement � Sécurité du processus technique support des échanges de clés

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent la gestion du système de chiffre-

ment et la gestion des évolutions des règles de chiffrement : � Système de gestion et d’échange des clés de chiffrement � Système de révocation de clés en cas de violation � Gestion des demandes de modification des canaux chiffrés ou non

Qualité de service — L’efficacité du service est essentiellement liée à la solidité de l’algorithme de chiffrement et de géné-

ration de clés secrètes (ou de paires de clés) — La robustesse du service est liée à plusieurs facteurs :

� la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel) � la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation)

— La mise sous contrôle est réalisée par des audits réguliers : � des paramètres supports des mécanismes de chiffrement, � des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement � de la mise en œuvre des procédures de gestion de clés



Version 2010

décembre 2009


MEHARI 2010 96/308 © CLUSIF 2010

04C02 Contrôle de l’intégrité des échanges

Objectif : Protéger l’intégrité des informations échangées sur le réseau étendu.

Résultats attendus : Empêcher qu’une personne non autorisée puisse modifier le contenu des informations échan-

gées sur le réseau étendu, sans que cela soit détecté (avant utilisation).



Mesures techniques — Les mesures techniques de base concernent le scellement ou la signature électronique des don-

nées (il s’agit ici de scellement au niveau réseau et non au niveau applicatif, et donc, généralement de scellement de trames de données, indistinctement de leur contenu) :

� Détermination des canaux à protéger � Mise en place de solution (généralement logicielle) de scellement


� Protection logique des solutions logicielles de scellement (protection du logiciel, génération des paires de clés publiques et privées, diffusion et contrôle des clés publiques et usage éventuel de certificats, etc.)

� Protection du processus de fixation des règles de scellement (échanges d’informations et tables de pa-ramètres concernant les liaisons à protéger par un scellement)

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent la gestion du système de scelle-

ment et la gestion des évolutions des règles de scellement : � Système de gestion et de diffusion des clés de scellement � Système de révocation de clés en cas de violation � Gestion des demandes de modification des canaux scellés ou non

Qualité de service — L’efficacité du service est essentiellement liée à la solidité de l’algorithme de scellement et de géné-

ration des clés — La robustesse du service est liée à plusieurs facteurs :

� la protection des mécanismes de scellement logiciel � la solidité du processus et des procédures de diffusion des clés, de leur contrôle de validité et de gestion

d’anomalies (révocation) — La mise sous contrôle est réalisée par des audits réguliers :

� des paramètres supports des mécanismes de scellement, � des systèmes de détection d’inhibition ou d’arrêt du mécanisme de scellement � de la mise en œuvre des procédures de gestion de clés



Version 2010

décembre 2009


MEHARI 2010 97/308 © CLUSIF 2010

04D Contrôle, détection et traitement des incident s sur le réseau étendu

04D01 Surveillance (en temps réel) du réseau étend u

Objectif : Détecter en temps réel des anomalies de comportement ou des séquences anormales significa-

tives d’actions non autorisées et potentiellement dangereuses sur le réseau étendu.

Résultats attendus : Permettre une réaction rapide et, si possible, une intervention avant que l’action nocive ait été

réussie. A défaut limiter cette action dans le temps (dans certains cas d’intrusion, on est surpris de constater que des traces existaient depuis fort longtemps et auraient permis de réagir).

Mécanismes et solutions Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels

Mesures techniques Les mesures techniques comportent deux types de solutions :

— les systèmes de détection d’intrusion qui s’appuient sur des bases de données de séquences révé-latrices de tentatives d’intrusion

— l’enregistrement de rejets opérés par les systèmes de filtrage et la détection de répétitions anorma-les de rejets (tentatives de connexion avortées, rejets de protocoles et tentatives successives de différents protocoles, etc.)

Ces systèmes, qui peuvent être supportés par des outils plus ou moins sophistiqués, débou-chent sur des alertes à destination d’une équipe d’intervention, voire sur des actions automatiques (blocage de la connexion, blocage de toutes les connexions en cas d’attaque en déni de service, etc.).

Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour paramétrer ces systèmes doivent être strictement contrôlés.

Mesures organisationnelles — Les mesures organisationnelles de base visent à supporter les mesures techniques :

� mise à jour régulière de la base de données des techniques d’intrusion � gestion des paramètres de détection des répétitions déclenchant une alarme � équipe d’astreinte permanente capable de réagir aux alarmes et système d’escalade

— En amont de ces mesures, il est nécessaire d’analyser tous les cas d’alerte et de définir, cas par cas, les réactions attendues de l’équipe d’intervention.

— En complément, il peut être souhaitable d’analyser, en fonction du contexte de l’entreprise, si des comportements particuliers pourraient être significatifs d’actions anormales et donner lieu à une alerte spécifique, par exemple :

� horaires de connexion � actions menées depuis des sites particuliers � multiplication des accès vers des sites distants


� le nombre de cas détectés et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme, ainsi que le maintien à jour de ces données

� la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention � la compétence de cette équipe et sa disponibilité

— La robustesse du service est liée à deux facteurs : � La rigueur de la gestion des droits nécessaires pour administrer les paramètres d’alarmes et la solidité

des contrôles qui sont faits à ce sujet � L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de surveillance



Version 2010

décembre 2009


MEHARI 2010 98/308 © CLUSIF 2010

— La mise sous contrôle est réalisée par des audits : � du bon fonctionnement du système de surveillance � de la disponibilité de l’équipe d’astreinte et de la surveillance effective du réseau

04D02 Analyse (en temps différé) des traces, logs et journaux d’événements sur le réseau étendu

Objectif : Détecter en temps différé des anomalies de comportement ou des séquences anormales signi-

ficatives d’actions non autorisées et potentiellement dangereuses, par une analyse a posteriori des traces logs et journaux du réseau étendu.

Résultats attendus : Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes

(ce service peut venir en appui d’interdictions de certaines actions non contrôlées de manière pré-ventive).


Mesures techniques Les mesures techniques comportent deux types de solutions complémentaires :

— les systèmes d’enregistrement de diverses traces, la journalisation des opérations effectuées par les équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les re-configurations d’équipements du réseau étendu et les logs, plus ou moins exhaustifs, des actions effectuées par les utilisateurs (connexions, accès divers, contenu des échanges, mots clés, etc.)

— l’analyse de tous ces éléments qui, sans outil d’assistance, se révèle totalement inefficace (la masse d’enregistrements que l’on peut conserver est telle qu’une analyse manuelle est souvent il-lusoire, si ce n’est totalement impossible). Le résultat de l’analyse est alors une synthèse (éventuel-lement sous forme de tableau de bord) qui peut être analysée par une équipe ad hoc, voire des alarmes directes.

L’analyse de la synthèse débouche sur des alertes à destination soit d’une équipe d’intervention technique, en particulier pour les cas de détection d’actions menées depuis l’extérieur, soit de la hié-rarchie, pour les actions menées par du personnel interne.



� définition et mise à jour régulière des événements à enregistrer � gestion des outils d’analyse et des paramètres déclenchant une alarme directe � synthèse des enregistrements et prétraitements éventuels � équipe en charge d’analyser les résultats de synthèse fournis par l’analyse des traces et logs

— En appui de ces mesures, il est nécessaire de définir, cas par cas, les réactions attendues de l’équipe d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdi-tes » telles que des accès à des sites Internet prohibés).


� la couverture des enregistrements et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme directe et des synthèses effectuées souhaitables,


— La robustesse du service est liée à deux facteurs : � La rigueur de la gestion des droits nécessaires pour administrer les enregistrements ainsi que les pa-



Version 2010

décembre 2009


MEHARI 2010 99/308 © CLUSIF 2010

ramètres d’analyse et d’alarmes et la solidité des contrôles qui sont faits à ce sujet � L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système d’enregistrement ou

du système d’analyse et de surveillance — La mise sous contrôle est réalisée par des audits :

� du bon fonctionnement du système d’enregistrement et de surveillance � de l’analyse effective des synthèses et alarmes par l’équipe qui en a la charge �

04D03 Traitement des incidents du réseau étendu

Objectif : Enregistrer les incidents du réseau étendu et en assurer un traitement adéquat et un suivi régu-

lier

Résultats attendus : Éviter qu’un incident mineur ou qu’une série d’incidents mineurs ne soient pas traités convena-

blement et qu’ils débouchent sur un accident majeur (par exemple blocage complet du réseau)


Mesures techniques Les mesures techniques comportent essentiellement un système d’enregistrement de tous les

incidents, que ces incidents soient signalés par l’exploitation ou par les utilisateurs, qu’ils soient avé-rés ou simplement suspectés.

Le système doit, bien évidemment permettre le suivi et la mise à jour de chaque incident au fur et à mesure de la progression des actions visant à le traiter.

Il comporte généralement des synthèses sous forme de tableau de bord, par type d’incident. En complément le système de gestion des incidents comporte souvent des accès sélectifs à

l’information, pour que certains champs ne soient accessibles qu’à certaines personnes (par exem-ple, le nom des personnes impliquées).

Mesures organisationnelles Les mesures organisationnelles de base visent à mettre en place une équipe en charge de la

réception des appels (hot line ou help desk, généralement), de l’enregistrement des incidents, de l’aiguillage vers l’équipe concernée et du suivi de l’incident.

En complément, il est souhaitable de définir, a priori, une typologie d’incidents, pour pouvoir en effectuer un suivi statistique, ainsi qu’une hiérarchie, certains incidents faisant l’objet d’un reporting en temps quasi réel d’autres ne faisant l’objet que d’un reporting statistique.


� la couverture des types d’incidents effectivement gérés par le système, � la typologie des incidents et la capacité des outils à assister l’équipe ad hoc dans le suivi des incidents

(rappel des incidents non soldés dans un délai donné, workflow, etc.) — La robustesse du service est liée à deux facteurs :

� La rigueur de la gestion des droits nécessaires pour administrer le système de gestion des incidents et pour modifier ou effacer un incident ainsi que la rigueur des contrôles d’accès qui sont faits à ce sujet

� L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de suivi des incidents — La mise sous contrôle est réalisée par des audits :

� du bon fonctionnement du système d’enregistrement et de suivi des incidents � du suivi effectif des incidents par l’équipe qui en a la charge



Version 2010

décembre 2009

Domaine 5 : Réseau local

MEHARI 2010 100/308 © CLUSIF 2010

Domaine 5 : Réseau local (LAN)

05A Sécurité de l’architecture du réseau local

Objectif : Mettre en place une architecture globale du réseau local garantissant la facilité de communica-

tion entre les unités qui en ont le besoin tout en limitant les risques d’abus ou de mauvaise utilisa-tion de ces moyens.

Résultats globaux attendus : Les résultats attendus sont doubles : garantir une continuité des communications en cas

d’incident ou de panne mais limiter les possibilités d’intrusion ou en limiter la portée par des cloison-nements internes.

Une autre manière de présenter le résultat attendu de ce groupe de services est de dire qu’une grande facilité de communication qui ne serait pas assez sécurisée ne serait pas utile et pourrait être sous utilisée par les opérationnels en raison des risques présentés. Les deux aspects visent donc le même objectif qui est d’offrir un moyen de communication sûr.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à deux types de mesures complémentaires

qui sont simultanément nécessaires : — 05A01 : Partitionnement du réseau local en domaines de sécurité — 05A02 : Télépilotage de l’exploitation du réseau local — 05A03 : Organisation de la maintenance des équipements du réseau local — 05A04 : procédures et plans de reprise du réseau local sur incidents — 05A05 : Plans de sauvegardes des configurations du réseau local — 05A06 : Plans de Reprise d'Activité (PRA) du réseau local — 05A07 : Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance

05B Contrôle d’accès au réseau de données

Objectif : Faire en sorte que seuls les utilisateurs autorisés aient accès aux réseaux internes et contrôler

les accès sortants.

Résultats attendus : Prévenir les tentatives d’accès, par des personnes non autorisées, aux ressources internes

(serveurs en particuliers) et aux informations circulant sur le réseau.


qui peuvent être simultanément nécessaires : — 05B01 : Gestion des profils d’accès au réseau local de données — 05B02 : Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait) — 05B03 : Authentification de l'accédant lors des accès au réseau local depuis un point d’accès in-

terne — 05B04 : Authentification de l'accédant lors des accès au réseau local depuis un site distant via le

réseau étendu — 05B05 : Authentification de l'accédant lors des accès au réseau local depuis l'extérieur



Version 2010

décembre 2009


MEHARI 2010 101/308 © CLUSIF 2010

— 05B06 : Authentification de l'accédant lors des accès au réseau local depuis un sous-réseau WiFi — 05B07 : Filtrage général des accès au réseau local — 05B08 : Contrôle du routage des accès sortants — 05B09 : Authentification de l'entité accédée lors des accès sortants vers des sites sensibles

05C Sécurité des données lors des échanges et des communications sur le réseau local

Objectif : Protéger les données transmises contre des divulgations ou des altérations illicites.

Résultats attendus : Prévenir les tentatives d’accès aux informations échangées, en lecture ou en modification, par

des personnes non autorisées.


— 05C01 : Chiffrement des échanges sur le réseau local — 05C02 : Protection de l’intégrité des échanges sur le réseau local — 05C03 : Chiffrement des échanges lors des accès distants au réseau local — 05C04 : Protection de l’intégrité des échanges lors des accès distants au réseau local

05D Contrôle, détection et traitement des incident s du réseau local

Objectif : Détecter les anomalies de fonctionnement ou des intrusions sur les réseaux locaux pour inter-

venir au mieux et dans les meilleurs délais.

Résultats attendus : Éviter que des actions malveillantes externes (pirates, hackers) ou internes (abus de droits

d’utilisateurs), que les mesures préventives auraient pu laisser passer, perdurent et se traduisent par des dysfonctionnements qui auraient pu être détectés et interrompus.


qui sont simultanément nécessaires : — 05D01 : Surveillance en temps réel du réseau local — 05D02 : Analyse, en temps différé, des traces, logs et journaux d’événements sur le réseau local — 05D03 : Traitement des incidents du réseau local



Version 2010

décembre 2009


MEHARI 2010 102/308 © CLUSIF 2010

05A Sécurité de l’architecture du réseau local

05A01 Partitionnement du réseau local en domaines de sécurité

Objectif : Limiter les communications entre parties de réseaux, internes ou externes, aux seuls besoins de

l’entreprise.

Résultats attendus : Limiter l’occurrence d’intrusions sur le réseau local. Au cas où de telles intrusions interviendraient, en limiter la portée. Limiter les possibilités d’actions nuisibles de la part du personnel de l’entreprise ayant accès au

réseau.

Mécanismes et solutions : Le principe de ces mesures de cloisonnement consiste à diviser le réseau local en sous-

réseaux regroupant généralement du personnel ayant des activités très proches ou interdépendan-tes et à filtrer les liaisons entre sous-réseaux pour ne laisser passer que les communications néces-saires à l’activité.

On filtre ainsi : — les communications initialisées depuis l’extérieur de l’entreprise et à destination du réseau interne, — les communications initialisées depuis le réseau interne, à destination de l’extérieur — les communications entre sous-réseaux internes.

Il s’agit donc de mesures essentiellement techniques, mais qui demandent, en appui, des mesu-res organisationnelles.

Nota : Les filtrages des communications en provenance ou à destination du réseau étendu sont traités dans le domaine 4.

Mesures techniques — Les mesures de base consiste en des filtrages qui peuvent porter sur :

� des équipements autorisés à communiquer et repérés par une adresse (IP en particulier) � des utilisateurs autorisés à communiquer avec des sous-réseaux. � des protocoles de communications, voire des types de transactions

Mesures organisationnelles — Les mesures d’accompagnement consistent à organiser la définition des règles de filtrage généra-

les et des autorisations accordées en fonction des besoins des utilisateurs : � Principe de base fondé sur « rien sauf » (rien n’est autorisé sauf ce qui est explicitement demandé et

accordé) � Organisation des demandes d’ouverture et gestion des fins de droits � veille technologique pour s’assurer que les règles de filtrage mises en place correspondent bien à l’état

de l’art en matière de protection des réseaux.

Efficacité des mesures — L’efficacité du cloisonnement des réseaux et du filtrage effectué dépend de l’étroitesse du spectre

des actions autorisées et de leur adéquation, au plus juste, aux besoins de communication entre entités.

— La robustesse du cloisonnement et du filtrage dépend de l’expertise du spécialiste assurant le pa-ramétrage de l’équipement. En effet, comme tout système, les équipements de filtrage peuvent contenir des failles.

Remarque : Dans le monde des « systèmes ouverts » (NT, Unix, Linux, …), les failles de sécu-rité découvertes dans les systèmes sont régulièrement publiées et, très peu de temps après, les so-lutions à apporter ou « patchs ». Ce mode de travail, qui n’est plus guère contesté par les spécialis-tes, entraîne de facto une fragilisation des systèmes qui ne sont pas tenus à jour (car les failles sont



Version 2010

décembre 2009


MEHARI 2010 103/308 © CLUSIF 2010

publiées). — La mise sous contrôle des mesures de cloisonnement et de filtrage des échanges consiste en :

� un audit périodique des protocoles et liaisons autorisées � un audit régulier du paramétrage effectif des équipements de filtrage � une veille technologiques des failles et faiblesses des systèmes



Version 2010

décembre 2009


MEHARI 2010 104/308 © CLUSIF 2010

05A02 Sûreté de fonctionnement des éléments d’arch itecture du ré-seau local

Objectif : Assurer la fluidité des communications, à l’intérieur du réseau local, quels que soient les aléas

de fonctionnement des équipements ou d’utilisation du réseau par les utilisateurs

Résultats attendus : Éviter qu’une panne simple, voire complexe ou que des aléas dans l’utilisation du réseau local

ne fassent chuter la performance du réseau avec des impact négatifs sur l’activité de l’entreprise.


études préalables qui sont de nature organisationnelles


une analyse des enjeux de la continuité des services du réseau local : � Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète des servi-

ces du réseau local � Analyse des capacités de reroutage des communications en cas de défaillance d’un équipement et du

temps nécessaire à ces reconfigurations � Analyse des enjeux liés à une baisse de performance du réseau local


que : � toute panne simple d’un équipement du réseau local puisse être soit réparée dans des délais accepta-

bles soit contournée par des redondances d’équipement � toute baisse de performance significative puisse être détectée et corrigée par des reconfigurations per-


ring du réseau local permettant effectivement de détecter toute anomalie ou baisse de perfor-mance et d’agir à distance pour allouer des ressources de contournement ou d’appoint




� L’indépendance des équipements spéciaux (réseaux et télécoms) vis-à-vis de tout équipement de ser-vitude (énergie, services généraux, locaux, etc.).



� Les tests de performance et de bon fonctionnement des mécanismes de détection et de reconfiguration � L’audit du paramétrage des équipements � L’audit des procédures associées à la gestion des systèmes de détection et de reconfiguration.



Version 2010

décembre 2009


MEHARI 2010 105/308 © CLUSIF 2010

05A03 Organisation de la maintenance des équipemen ts du réseau lo-cal

Objectif : Assurer la maintenance des équipements du réseau local pour les cas de panne ou d’évolutions

nécessaires.


changements de contexte internes ou externes) se traduise par une interruption inacceptable du service du réseau local.




� Identifier les équipements critiques et, pour ceux-ci, le délai de remise en service souhaitable et le délai maximum tolérable en cas de défaillance














Version 2010

décembre 2009


MEHARI 2010 106/308 © CLUSIF 2010

05A04 Procédures et plans de reprise du réseau loca l sur incidents

Objectif : Assurer une gestion des incidents de réseau local qui soit acceptable par les utilisateurs.

Résultats attendus : Éviter qu’un incident de réseau local se traduise par des pertes de données ou des pertes de

service inacceptables par les utilisateurs.



� des incidents pouvant survenir sur un réseau local (panne d’équipement, saturation de lignes ou d’équipements, panne externe, coupure de ligne, ver, etc.)

� des conséquences de chacun de ces incidents, selon sa localisation, sur les données transmises et les services offerts





— Les mesures techniques d’accompagnement consistent éventuellement en des capacités : � de sauvegarde dynamique des données en transit sur le réseau local, pour assurer leur restauration en

cas d’incident � de reconfiguration des équipements de réseau local pour assurer une continuité de service minimum.


� la précision et la profondeur de l’analyse des types d’incidents et de leur localisation possible, de leurs conséquences et du caractère acceptable ou non de ces conséquences


� La protection des moyens de diagnostic contre des altérations ou des inhibitions intempestives. � La protection des moyens d’administration permettant la reprise du réseau local et sa reconfiguration

contre toute inhibition ou mise hors service. — La mise sous contrôle est réalisée par des audits réguliers :

� des capacités des équipements de reconfiguration du réseau local à assurer une charge suffisante � des possibilités réelles de restauration des données et de reconfiguration en cas d’incident � de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du réseau local.



Version 2010

décembre 2009


MEHARI 2010 107/308 © CLUSIF 2010

05A05 Plan de sauvegarde des configurations du rés eau local

Objectif : Assurer la sauvegarde des configurations des équipements du réseau local.

Résultats attendus : Permettre une reprise rapide de l’exploitation du réseau local en cas d’effacement accidentel

d’une configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.


Mesures techniques — Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations des

équipements de réseau local, systématiquement à une fréquence donnée et lors de chaque évolu-tion.



de pollution.

Mesures organisationnelles — Les mesures organisationnelles d’accompagnement visent la gestion des droits d’accès aux sau-

vegardes et les conditions d’accès auxdites sauvegardes : � gestion rigoureuse des personnes ayant accès aux sauvegardes � contrôle de relecture périodiques � stockage d’un jeu de sauvegardes de recours en dehors du site de production


� l’exhaustivité des paramètres sauvegardés des équipements et celle des équipements dont les sauve-gardes sont assurées






Version 2010

décembre 2009


MEHARI 2010 108/308 © CLUSIF 2010

05A06 Plan de Reprise d’Activité (PRA) du réseau l ocal

Objectif : Assurer la reprise d’activité du réseau local en cas d’accident grave

Résultats attendus : Permettre une reprise de l’exploitation du réseau local en cas d’accident grave survenant sur

une partie du réseau, et ceci dans un délai compatible avec les besoins des utilisateurs.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque équipement de réseau lo-

cal, les conséquences d’un accident grave sur la disponibilité d’ensemble du réseau et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonc-tionnement normal et le fonctionnement en mode secours, éventuellement dégradé.

— Les mesures de base visent ensuite à décrire en détail les actions à mener quand survient le sinis-tre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évo-lutions du réseau.


d’accident sur un équipement de réseau local, ces solutions pouvant être : � des redondances d’équipements � des solutions des secours sur un site distant, avec des équipements propres ou mutualisés � des replis sur des réseaux publics � l’installation de nouveaux matériels sur des salles prévues en conséquence (salles blanches) � etc.


� le délai de mise en œuvre des diverses solutions de secours prévues � la qualité et la rigueur de détail du plan de reprise d’activité





Version 2010

décembre 2009


MEHARI 2010 109/308 © CLUSIF 2010

05A07 Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance

Objectif : Assurer la continuité de service du réseau local en cas de disparition ou d’indisponibilité durable

du fournisseur d’un équipement de réseau ou du prestataire chargé d’en assurer la maintenance

Résultats attendus : Éviter que la disparition d’un fournisseur mette en péril la continuité de l’exploitation des réseaux

locaux.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque équipement de réseau lo-

cal, les conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble du réseau et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption de mainte-nance admissible entre le moment où cette disparition serait constatée et le moment où une solu-tion de repli pourrait être mise en œuvre


� Le changement d’équipement par un autre équipement d’un autre fournisseur � La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à

une documentation de maintenance suffisante, dans des conditions à définir de manière précise) � Une évolution radicale du réseau permettant de se passer de l’équipement posant problème


� le délai de mise en œuvre des diverses solutions de secours prévues � la qualité et la rigueur de détail du plan de secours prévu

— La robustesse du service est liée à l’existence de variantes des plans de secours au cas où la solu-tion de base ne fonctionnerait pas




Version 2010

décembre 2009


MEHARI 2010 110/308 © CLUSIF 2010

05B Contrôle d’accès au réseau local de données

05B01 Gestion des profils d’accès au réseau local de données

Objectif : Déterminer, pour le réseau local de données, quelles catégories de personnel, interne ou non,

ont de réels besoin d’y avoir accès, dans quelles conditions et dans quelles limites, afin de pouvoir empêcher les accès au réseau par ceux qui n’en ont pas le besoin.


n’ayant pas (ou plus) la nécessité d’accéder au réseau local de données. Ces actions pourraient être l’écoute des communications transitant sur le réseau ou l’attaque de serveurs connectés au ré-seau.


Mesures organisationnelles — Identifier toutes les catégories de personnes amenées à travailler, de manière permanente ou oc-

casionnelle, dans les locaux de l’entreprise et pouvant, de ce fait, avoir accès à une prise réseau, et celles travaillant en dehors de l’entreprise mais devant avoir accès, depuis l’extérieur, au réseau in-terne : par exemple :

� Personnel en CDI, situé dans les locaux � Personnel « nomade » travaillant à l’extérieur � Stagiaires. � Prestataires (en différenciant les diverses catégories de prestataires : maintenance, entretien, etc.) � Visiteurs

— Désigner, pour chaque type de personnel et selon son lieu de travail, un responsable de la gestion des droits attribués à cette catégorie de personne et des contrôles qui devront être faits.

— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à cha-que catégorie de personnes (accès autorisé ou non au réseau interne pour les personnes ayant accès au réseau physique, accès et conditions d’accès au réseau interne pour les nomades ou les personnes situées à l’extérieur des locaux, sous réseaux internes autorisés, protocoles autorisés, accès sortants et services externes autorisés, etc.).









des transferts d’information et des base de données des droits



Version 2010

décembre 2009


MEHARI 2010 111/308 © CLUSIF 2010

— La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de personnes et des droits attribués que des processus de gestion eux-mêmes.



Version 2010

décembre 2009


MEHARI 2010 112/308 © CLUSIF 2010

05B02 Gestion des autorisations d’accès et privilè ges (attribution, dé-légation, retrait)

Objectif : Attribuer individuellement les autorisations d’accès au réseau local de données à chaque per-

sonne intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privi-lèges à leurs seuls besoins et aux seules périodes concernées.


n’ayant pas (ou plus) la nécessité d’accéder au réseau local.


Mesures organisationnelles — Définir, pour chaque type de profil d’accès, le responsable de l’attribution d’un « profil d’accès » à

une personne physique, par exemple : � Hiérarchie pour le personnel interne ou le personnel nomade � Signataire de la commande pour un prestataire

— Définir, pour chaque catégorie de profil d’accès les variables de droits à préciser par le responsable demandeur :


— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait effectif des droits



l’interface entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de droits dans les tables systèmes). Il s’agit donc de s’assurer que la demande reçue par le personnel en charge d’ouvrir ou de modifier les droits est bien authentique.



profils d’accès aux personnes, de les modifier éventuellement et d’invalider les autorisations (en-trées dans les tables systèmes) dès que le besoin a disparu.

— La robustesse du service est directement liée à la solidité des mesures techniques de protection des transferts d’information et des base de données des droits attribués




Version 2010

décembre 2009


MEHARI 2010 113/308 © CLUSIF 2010

05B03/05B05/05B06 Authentification de l’utilisateu r ou de l’entité deman-dant un accès au réseau local

Nota : il y a lieu, lors d’un audit, de distinguer entre les services : 05B03 Authentification lors de l’accès au réseau local depuis un point d’accès interne 05B04 Authentification lors de l’accès au réseau local depuis un site distant sur le réseau

étendu 05B05 Authentification lors de l’accès au réseau local depuis l’extérieur 05B06 Authentification lors de l’accès au réseau local depuis un sous-réseau WiFi

Objectif : S’assurer lors de l’accès au réseau local depuis un point d’accès interne (depuis l’intérieur de

l’entreprise, par exemple une prise réseau dans un bureau ou une salle de réunion), depuis l’extérieur (généralement avec des exigences différentes) ou depuis un sous-réseau WiFi que la personne qui tente de se connecter est bien celle qu’elle prétend être.





Mesures techniques — Les mesures techniques de base concernent le contrôle d’une caractéristique que la personne, in-

dividuellement, possède ou connaît : � Mot de passe ou secret partagé entre la personne et un équipement de contrôle � Objet physique reconnaissable possédé par la personne (généralement en association avec un secret

partagé entre la personne et l’objet) � Caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la voix, etc.)

— Les mesures complémentaires visent la protection contre les tentatives d’usurpation d’identité : � Protection du processus de diffusion initiale des conventions secrètes (mots de passe) � Protection du protocole d’authentification pour éviter qu’il ne soit observé, écouté et dupliqué. � Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant

l’authentification (stockage des mots de passe, par exemple) � Inhibition du processus d’authentification en cas de tentative répétée infructueuse

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent la gestion des anomalies ou des

dysfonctionnements ou violations des mesures techniques : � Gestion de relation utilisateur en cas de perte de mot de passe ou de support d’authentification � Procédures d’alerte en cas de tentatives répétées échouées



— La robustesse du service est liée à trois facteurs : � l’inviolabilité des protocoles annexes : diffusion initiale, échanges ou stockage des éléments secrets � les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement

de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés



Version 2010

décembre 2009


MEHARI 2010 114/308 © CLUSIF 2010

� les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions ne soient utilisées pour obtenir à tort une autorisation d’accès

— La mise sous contrôle est réalisée par des audits réguliers : � des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 115/308 © CLUSIF 2010

05B04 Authentification de l’accédant lors de l’accè s au réseau local depuis un site distant via le réseau étendu

Objectif : S’assurer, lors de l’accès au réseau local depuis un site distant via le réseau étendu, que la per-

sonne qui tente de se connecter est bien celle qu’elle prétend être.



Mécanismes et solutions Les mécanismes à mettre en œuvre sont ici très différents dans la mesure où la personne qui

accède au réseau local est connue du site distant mais peut ne pas l’être du site accédé. Ils sont donc essentiellement organisationnels et reposent sur une délégation d’autorité d’authentification.

Mesures organisationnelles — Les mesures organisationnelles concernent la gestion de la délégation d’autorité d’authentification :

� Obligation de s’authentifier localement avant tout accès sortant via le réseau étendu � Homogénéité des règles imposées à toutes les unités de sorte que l’on puisse accorder la même

confiance à l’authentification distante qu’à une authentification locale — Les mesures d’accompagnement concernent, bien évidemment, la mise sous contrôle de cette dé-

légation d’autorité : � Audit de la pertinence des règles dirigeant l’appartenance au réseau étendu (considéré comme un ré-

seau de confiance) � Audit de l’application des règles d’appartenance

Qualité de service — L’efficacité du service est liée à la solidité des règles communes d’authentification (force et solidité

du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, soli-dité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de séquence, etc.)

— La mise sous contrôle est réalisée par des audits réguliers : � de la pertinence des règles communes � de l’application de ces règles �



Version 2010

décembre 2009


MEHARI 2010 116/308 © CLUSIF 2010

05B07 Filtrage général des accès au réseau local

Objectif : S’assurer lors de l’accès au réseau local que la personne qui tente de se connecter y est bien

autorisée.





Mesures techniques — Les mesures techniques de base concernent le contrôle d’accès :

� Identification et reconnaissance de la personne tentant de se connecter � Authentification de la personne � Identification du contexte propre de la tentative de connexion et sélection des règles de contrôle d’accès

applicables à ce contexte � Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien cette

connexion — Les mesures complémentaires concernent la protection contre les tentatives de contournement du

système : � Interruption des autorisations en cas d’inactivité et redemande d’authentification à la reprise du travail � Protection du processus de fixation des règles de contrôle d’accès (échanges d’informations et tables

de paramètres)

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent la gestion des évolutions des rè-

gles de contrôle d’accès en fonction des contextes : � Gestion des demandes de modification

Qualité de service — L’efficacité du service est liée à la rigueur avec laquelle les contrôles d’accès ont été déterminés et

à la qualité du processus de contrôle — La robustesse du service est liée à deux facteurs :

� la protection des processus et protocoles de contrôle et des tables de paramètres correspondants � les mesures organisationnelles complémentaires pour éviter que les procédures de gestion de modifi-

cations ne soient utilisées pour libérer à tort des contraintes d’accès — La mise sous contrôle est réalisée par des audits réguliers :

� des paramètres supports des mécanismes de contrôle d’accès, � des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès � de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 117/308 © CLUSIF 2010

05B08 Contrôle du routage des accès sortants

Objectif : S’assurer lors de l’accès au réseau externe que la personne qui tente de se connecter y est bien

autorisée.


ou des programmes, lors des accès sortants effectués depuis le réseau local.




� Identification et reconnaissance de la personne tentant de sortir � Authentification de la personne � Identification du contexte propre au service externe dont la connexion est demandée et sélection des

règles de contrôle d’accès sortants applicables à ce contexte � Contrôle que les droits attribués à la personne et que le contexte de connexion externe autorisent bien

cette connexion — Les mesures complémentaires concernent la protection contre les tentatives de contournement du

système : � Interruption des sessions en cas d’inactivité et redemande d’authentification à la reprise du travail � Protection du processus de fixation des règles de contrôle d’accès (échanges d’informations et tables

de paramètres)


gles de contrôle d’accès sortants en fonction des contextes : � Gestion des demandes de modification

Qualité de service — L’efficacité du service est liée à la rigueur avec laquelle les contrôles d’accès ont été déterminés et




� des paramètres supports des mécanismes de contrôle d’accès, � des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès � de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 118/308 © CLUSIF 2010

05B09 Authentification de l’entité accédée, lors d es accès sortants vers des sites sensibles

Objectif : S’assurer lors de l’accès depuis le réseau local vers des sites sensibles, que l’entité appelée est

bien celle qu’elle prétend être.

Résultats attendus : Prévenir les actions néfastes pouvant être menées par substitution de sites ou par usurpation

d’adresses de sites sensibles.




l’équipement distant (passerelle d’entrée de l’entité sensible) possède : � Mot de passe partagé entre les équipements de contrôle � Système cryptologique permettant à l’entité distante d’être authentifiée





confiance










Version 2010

décembre 2009


MEHARI 2010 119/308 © CLUSIF 2010

05C Sécurité des données lors des échanges et des communications sur le réseau local

05C01 Chiffrement des échanges sur le réseau local

05C03 Chiffrement des échanges lors des accès dist ants au réseau local

Objectif : Protéger la confidentialité des informations échangées.


gées sur les réseaux, internes ou externes, c’est-à-dire soit sur le réseau local (05C01) soit lors des échanges au réseau local depuis l’extérieur.




chiffrement au niveau réseau et non au niveau applicatif, et donc, généralement de chiffrement de trames de données, indistinctement de leur contenu) :

� Détermination des canaux chiffrés � Mise en place de boîtiers de chiffrement (ou à défaut de solution logicielle de chiffrement)


� Protection physique des boîtiers de chiffrement � Protection logique des solutions logicielles de chiffrement � Sécurité du processus technique support des échanges de clés

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent la gestion du système de chiffre-

ment et la gestion des évolutions des règles de chiffrement : � Système de gestion et d’échange des clés de chiffrement � Système de révocation de clés en cas de violation � Gestion des demandes de modification des canaux chiffrés ou non

Qualité de service — L’efficacité du service est essentiellement liée à la solidité de l’algorithme de chiffrement et de géné-

ration de clés secrètes (ou de paires de clés) — La robustesse du service est liée à plusieurs facteurs :

� la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel) � la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation)

— La mise sous contrôle est réalisée par des audits réguliers : � des paramètres supports des mécanismes de chiffrement, � des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement � de la mise en œuvre des procédures de gestion de clés



Version 2010

décembre 2009


MEHARI 2010 120/308 © CLUSIF 2010

05C02 Protection de l’intégrité des échanges sur l e réseau local

05C04 Protection de l’intégrité des échanges lors des accès distants au réseau local

Objectif : Protéger l’intégrité des informations échangées.


gées sur les réseaux (internes ou externes), sans que cela soit détecté (avant utilisation).



Mesures techniques — Les mesures techniques de base concernent le scellement ou la signature électronique des don-

nées (il s’agit ici de scellement au niveau réseau et non au niveau applicatif, et donc, généralement de scellement de trames de données, indistinctement de leur contenu) :

� Détermination des canaux à protéger � Mise en place de solution (généralement logicielle) de scellement


� Protection logique des solutions logicielles de scellement (protection du logiciel, génération des paires de clés publiques et privées, diffusion et contrôle des clés publiques et usage éventuel de certificats, etc.)

� Protection du processus de fixation des règles de scellement (échanges d’informations et tables de pa-ramètres concernant les liaisons à protéger par un scellement)


ment et la gestion des évolutions des règles de scellement : � Système de gestion et de diffusion des clés de scellement � Système de révocation de clés en cas de violation � Gestion des demandes de modification des canaux scellés ou non

Qualité de service — L’efficacité du service est essentiellement liée à la solidité de l’algorithme de scellement et de géné-

ration des clés — La robustesse du service est liée à plusieurs facteurs :

� la protection des mécanismes de scellement logiciel � la solidité du processus et des procédures de diffusion des clés, de leur contrôle de validité et de gestion

d’anomalies (révocation) — La mise sous contrôle est réalisée par des audits réguliers :




Version 2010

décembre 2009


MEHARI 2010 121/308 © CLUSIF 2010

05D Contrôle, détection et traitement des incident s du réseau local

05D01 Surveillance (en temps réel) du réseau local


tives d’actions non autorisées et potentiellement dangereuses sur le réseau local.


réussie. A défaut limiter cette action dans le temps. Remarque : dans certains cas d’intrusion, on est surpris de constater que des traces existaient depuis fort longtemps et auraient permis de réagir.



— les systèmes de détection d’intrusion qui s’appuient sur des bases de données de séquences révé-latrices de tentatives d’intrusion

— l’enregistrement de rejets opérés par les systèmes de filtrage et la détection de répétitions anorma-les de rejets (tentatives de connexion avortées, rejets de protocoles et tentatives successives de différents protocoles, etc.)

Ces systèmes, qui peuvent être supportés par des outils plus ou moins sophistiqués, débou-chent sur des alertes à destination d’une équipe d’intervention, voire sur des actions automatiques (blocage de la connexion, blocage de toutes les connexions en cas d’attaque en déni de service, etc.).



� mise à jour régulière de la base de données des techniques d’intrusion � gestion des paramètres de détection des répétitions déclenchant une alarme � équipe d’astreinte permanente capable de réagir aux alarmes et système d’escalade

— En amont de ces mesures, il est nécessaire d’analyser tous les cas d’alerte et de définir, cas par cas, les réactions attendues de l’équipe d’intervention.

— En complément, il peut être souhaitable d’analyser, en fonction du contexte de l’entreprise, si des comportements particuliers pourraient être significatifs d’actions anormales et donner lieu à une alerte spécifique, par exemple :

� horaires de connexion � actions menées depuis des sites particuliers � multiplication des accès vers des sites distants








Version 2010

décembre 2009


MEHARI 2010 122/308 © CLUSIF 2010

— La mise sous contrôle est réalisée par des audits : � du bon fonctionnement du système de surveillance � de la disponibilité de l’équipe d’astreinte et de la surveillance effective du réseau local



Version 2010

décembre 2009


MEHARI 2010 123/308 © CLUSIF 2010

05D02 Analyse (en temps différé) des traces, logs et journaux d’événements sur le réseau local

Objectif : Détecter en temps différé des anomalies de comportement ou des séquences anormales signi-

ficatives d’actions non autorisées et potentiellement dangereuses, par une analyse a posteriori des traces logs et journaux d’événements sur le réseau local.

Résultats attendus : Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes

(ce service peut venir en appui d’interdictions de certaines actions non contrôlées de manière pré-ventive).



— les systèmes d’enregistrement de diverses traces, la journalisation des opérations effectuées par les équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les re-configurations d’équipements de réseau local et les logs, plus ou moins exhaustifs, des actions ef-fectuées par les utilisateurs (connexions, accès divers, contenu des échanges, mots clés, etc.)

— l’analyse de tous ces éléments qui, sans outil d’assistance, se révèle totalement inefficace (la masse d’enregistrements que l’on peut conserver est telle qu’une analyse manuelle est souvent il-lusoire, si ce n’est totalement impossible). Le résultat de l’analyse est alors une synthèse (éventuel-lement sous forme de tableau de bord) qui peut être analysée par une équipe ad hoc, voire des alarmes directes.

L’analyse de la synthèse débouche sur des alertes à destination soit d’une équipe d’intervention technique, en particulier pour les cas de détection d’actions menées depuis l’extérieur, soit de la hié-rarchie, pour les actions menées par du personnel interne.




— En appui de ces mesures, il est nécessaire de définir, cas par cas, les réactions attendues de l’équipe d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdi-tes » telles que des accès à des sites Internet prohibés).






du système d’analyse et de surveillance



Version 2010

décembre 2009


MEHARI 2010 124/308 © CLUSIF 2010

— La mise sous contrôle est réalisée par des audits : � du bon fonctionnement du système d’enregistrement et de surveillance � de l’analyse effective des synthèses et alarmes par l’équipe qui en a la charge



Version 2010

décembre 2009


MEHARI 2010 125/308 © CLUSIF 2010

05D03 Traitement des incidents du réseau local

Objectif : Enregistrer les incidents du réseau local et en assurer un traitement adéquat et un suivi régulier

Résultats attendus : Éviter qu’un incident mineur ou qu’une série d’incidents mineurs ne soient pas traités convena-

blement et qu’ils débouchent sur un accident majeur (par exemple blocage complet du réseau)





Il comporte généralement des synthèses sous forme de tableau de bord, par type d’incident. En complément le système de gestion des incidents comporte souvent des accès sélectifs à

l’information, pour que certains champs ne soient accessibles qu’à certaines personnes (par exem-ple, le nom des personnes impliquées).



En complément, il est souhaitable de définir, a priori, une typologie d’incidents, pour pouvoir en effectuer un suivi statistique, ainsi qu’une hiérarchie, certains incidents faisant l’objet d’un reporting en temps quasi réel d’autres ne faisant l’objet que d’un reporting statistique.









Version 2010

décembre 2009

Domaine 6 : Exploitation des réseaux

MEHARI 2010 126/308 © CLUSIF 2010


06A Sécurité des procédures d’exploitation

Objectif : Assurer la conformité des procédures aux exigences de sécurité spécifiées.

Résultats attendus : Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans la mise en œuvre

des moyens de communication des données introduisent des brèches de sécurité.


qui sont simultanément nécessaires : — 06A01 : Prise en compte de la sécurité dans les relations avec le personnel d’exploitation (salariés

et prestataires ou fournisseurs) — 06A02 : Contrôle de la mise en production de nouveaux logiciels ou matériels ou d’évolutions de

logiciels ou matériels — 06A03 : Contrôle des opérations de maintenance — 06A04 : Contrôle de la télémaintenance — 06A05 Gestion des procédures opérationnelles d’exploitation des réseaux — 06A06 Gestion des prestataires ou fournisseurs de services liés aux réseaux — 06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les équipe-

ments de réseau — 06A08 Gestion des contrats de services réseaux

06B Paramétrage et contrôle des configurations mat érielles et logicielles

Objectif : Assurer la conformité des configurations aux exigences de sécurité spécifiées.

Résultats attendus : Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans le paramétrage

des équipements de communication des données ou dans les postes utilisateurs introduisent des brèches de sécurité.


qui sont simultanément nécessaires : — 06B01 : Paramétrage des équipements de réseau et contrôle de la conformité des configurations — 06B02 : Contrôle de la conformité des configurations utilisateurs

06C Contrôle des droits d’administration

Objectif : Gérer avec rigueur l’attribution et l’utilisation de droits privilégiés sur les équipements de réseau

Résultats attendus : Éviter que les configurations sécurisées soient modifiées par des personnes abusant de droits



Version 2010

décembre 2009


MEHARI 2010 127/308 © CLUSIF 2010

d’administration.


qui sont simultanément nécessaires : — 06C01 : Gestion des droits privilégiés sur les équipements de réseau — 06C02 : Authentification et contrôle des droits d’accès des administrateurs et personnels

d’exploitation des réseaux — 06C03 : Surveillance des actions d’administration des réseaux — 06C04 : Contrôle des outils et utilitaires de l’exploitation du réseau

06D Procédures d'audit et de contrôle des réseaux

Objectif : Prévenir toute activation incontrôlée d’outils d’audit technique des réseaux (tests de pénétration,

évaluations de vulnérabilités, etc.) ainsi que toute erreur ou malveillance lors de ces audits. Enregistrer les résultats et détecter les anomalies de fonctionnement ou les modifications effec-

tuées et les intrusions éventuelles dans les équipements de réseau pour intervenir au mieux et dans les meilleurs délais.

Résultats attendus : Éviter que des incidents, des anomalies ou des actions malveillantes externes (pirates, hackers)

ou internes (abus de droits d’utilisateurs), puissent arriver du fait de ces tests d’audit et ne soient pas détectés ni interrompus.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à divers types de mesures :

— 06D01 Fonctionnement des contrôles d'audit — 06D02 Protection des outils et résultats d'audit



Version 2010

décembre 2009


MEHARI 2010 128/308 © CLUSIF 2010


06A01 Prise en compte de la sécurité dans les rela tions avec le per-sonnel d’exploitation (salariés et prestataires ou fournisseurs)

Objectif : Faire signer au personnel d’exploitation (interne ou non) ayant à traiter des informations ou des

supports d’information sensibles des engagements de respect d’une politique de sécurité traitant particulièrement de l’exploitation des réseaux.

Résultats attendus : Sensibiliser le personnel concerné et le responsabiliser en ce qui concerne la protection de

l’information pour éviter des erreurs ou négligences conduisant à une divulgation, à une altération ou à une perte d’information sensible ou de service.

Dissuader également ledit personnel d’un acte malveillant par une reconnaissance préalable du caractère délictueux d’un tel acte.


Mesures organisationnelles — Rédiger une politique de sécurité à destination du personnel d’exploitation des réseaux ou un cha-

pitre spécifique dans une politique générale de sécurité — Faire signer au personnel d’exploitation une clause spécifique de respect de la politique de sécuri-

té applicable à l’exploitation des réseaux — Introduire une clause de respect de la politique de sécurité de l’exploitation dans les contrats de

prestataires amenés à intervenir sur le matériel (en particulier le personnel de maintenance)

Qualité de service — L’efficacité du service est liée à plusieurs aspects de la rédaction de la politique de sécurité et, en

particulier à l’exhaustivité des domaines couverts ainsi qu’à la généralité de l’engagement contrac-tuel, à la durée de l’engagement, ainsi qu’au formalisme du processus :

� Obligation couvrant tous les domaines de la sécurité (confidentialité des informations, disponibilité des informations et des services, intégrité des informations et des configurations, traçabilité des actions, etc.)

� Obligation couvrant tous types de supports (magnétique, écrit ou imprimé, optique, etc.) � Directives couvrant aussi bien l’interdiction d’action directe (divulgation, altération, destruction ou inhibi-

tion) que l’obligation des précautions à prendre pour éviter les actions de tiers � Directives couvrant tout le personnel y compris celui des sous-traitants (dans ce cas le contrat doit stipu-

ler l’obligation par le sous-traitant de faire signer de telles clauses, après acceptation et validation par l’entreprise contractante, par son personnel).

� Obligation s’étendant après la fin du contrat, sans limite de durée � Obligation de reconnaître formellement avoir été tenu au courant de l’ensemble des règles à adopter et

de les avoir acceptées — La robustesse du service est liée à la conservation et à la protection des engagements du person-

nel (archivage et protection des originaux contre une destruction malveillante) — La mise sous contrôle est réalisée par des audits réguliers du texte des clauses et du bon fonction-

nement du processus de signature et de conservation des clauses de confidentialité.



Version 2010

décembre 2009


MEHARI 2010 129/308 © CLUSIF 2010

06A02 Contrôle de la mise en production de nouveau x logiciels ou matériels ou d’évolutions de logiciels ou matériels

Objectif : Gérer avec rigueur les problèmes de sécurité induits par la mise en production de nouveaux

équipements (matériel, logiciel opératoire ou applicatif) ou de nouvelles versions d’équipements existants.

Résultats attendus : Éviter que la mise en production de nouveaux équipements de réseau (matériel, logiciel opéra-

toire, logiciel applicatif) ou de nouvelles versions d’équipements de réseau existants n’ouvre une faille de sécurité non suspectée (nouvelle faille ou faille connue dont la correction pourrait être inhi-bée par la nouvelle mise en production).

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement de nature organisationnelle.

Mesures organisationnelles Le problème que peuvent poser, du point de vue de la sécurité, ces installations d’équipements

ou de systèmes tient au fait que les équipes d’exploitation n’ont pas forcément les outils ni la forma-tion pour envisager les risques pouvant être créés par ces installations ou évolutions.

Les mesures à mettre en œuvre sont de trois ordres : — Établissement de procédures formelles de décision, d’approbation et de contrôle préalable aux dé-

cisions d’installation ou de changement d’équipements et de versions tenant compte des exigen-ces de sécurité physique et logique ainsi que celles émises par les utilisateurs.

— Analyse des nouvelles fonctionnalités et des risques nouveaux éventuels, comme pour un nouveau projet :

� Identification des nouvelles fonctionnalités apportées par la mise en production projetée � Analyse des risques que ces nouvelles fonctionnalités peuvent véhiculer ou faciliter � Jugement sur le caractère acceptable ou non de ces risques nouveaux � Prise de décision sur les mesures complémentaires éventuelles à mettre en œuvre.

— Vérification que les paramétrages et dispositifs de sécurité prévus sur les versions précédentes, en cas d’évolution, sont bien toujours en place et actifs :

� Tenue à jour d’une liste des paramètres de sécurité et des points de contrôle � Vérification du suivi des procédures et de l’activation de tous les processus de sécurité � Tests avant mise en exploitation

Mesures techniques Les mesures techniques d’accompagnement dépendent pour une grande part des décision pri-

ses à la suite de l’analyse de risque décrite ci-dessus.

Qualité de service — L’efficacité du service est essentiellement liée à la rigueur de l’analyse menée à l’occasion de

l’installation ou de l’évolution et, en particulier : � Au formalisme de l’analyse de risque et des conclusions qui en sont tirées � Aux capacités de support de la part d’une cellule spécialisée � À la formation préalable des équipes d’exploitation à ce type de démarche. � Au formalisme attaché aux tests de sécurité, à la tenue à jour des paramétrages de sécurité de chaque

équipement et du contrôle de conformité de ces paramètres sur une nouvelle version. — La robustesse du service est liée à :

� La volonté de la Direction de ne pas déroger aux procédures formelles de mise en production sauf cir-constances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature for-melle d’une dérogation par la Direction). La principale cause de contournement vient, en effet, de la tendance à déroger aux procédures d’analyse de risque ou de contrôle de conformité sous la pres-



Version 2010

décembre 2009


MEHARI 2010 130/308 © CLUSIF 2010

sion des délais. � L’impossibilité de procéder à des mises production pour du personnel n’ayant pas cette fonction et à la

solidité des contrôles correspondants (rigueur dans l’attribution des profils et authentification forte) — La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-

dessus.



Version 2010

décembre 2009


MEHARI 2010 131/308 © CLUSIF 2010

06A03 Contrôles des opérations de maintenance

Objectif : Gérer avec rigueur les problèmes de sécurité que peuvent poser les interventions de mainte-

nance sur les équipements ou systèmes réseaux

Résultats attendus : Éviter qu’une intervention de maintenance sur un équipement de réseau n’ouvre une faille de

sécurité non suspectée.


Mesures organisationnelles Les mesures à mettre en œuvre consistent en une analyse systématique, après chaque opéra-

tion de maintenance : — Des tables de routage et des paramètres de filtrage des appels entrants — Des paramètres de sécurité des relais applicatifs (proxies) : protocoles autorisés, paramètres de fil-

trage, etc. — Des paramètres de filtrage des appels sortants — Des paramètres de contrôle de l’administration des équipements — Etc.

De plus, une journalisation de toutes les opérations de maintenance sera constituée.

Qualité de service — L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des para-

mètres à contrôler sur chaque type d’équipement sur chaque équipement particulier. — La robustesse du service est liée à deux types de facteurs :

� D’une part au contrôle précis que les paramètres de contrôle de l’administration de l’équipement n’ont pas été modifiés dans le sens d’une ouverture possible de droits d’administration à des personnes non autorisées

� D’autre part à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle des pa-ramètres de sécurité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un membre de la Direction). Le principal risque de contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des délais.

— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédu-res ci-dessus.



Version 2010

décembre 2009


MEHARI 2010 132/308 © CLUSIF 2010

06A04 Contrôle de la télémaintenance

Objectif : Limiter l’usage de la ligne de télémaintenance à la seule maintenance des équipements.

Résultats attendus : Éviter que la ligne de télémaintenance soit utilisée pour pénétrer le réseau par des personnes

non autorisées.


Mesures techniques Les mesures techniques consistent essentiellement en une authentification forte de l’agent de

maintenance, l’idéal étant que cette authentification couvre à la fois : — Le lieu depuis lequel est initialisée la liaison de télémaintenance (par exemple par une liaison de

type VPN avec un chiffrement de bout en bout jusqu’au terminal de maintenance ou par un rappel de l’opérateur de maintenance aussi appelé call-back)

— La personne utilisant la ligne de télémaintenance, ce qui suppose l’attribution de certificats ou de je-tons individualisés et une gestion des personnes autorisées.

Mesures organisationnelles Les mesures organisationnelles d’accompagnement consistent à gérer les personnes individuel-

lement autorisées à utiliser la ligne de télémaintenance et donc à mettre en place des procédures pour :

— Déclarer et valider un nouvel opérateur de télémaintenance (y compris dans les cas d’urgence) — Invalider un opérateur — Vérifier éventuellement la validité de l’accréditation d’un opérateur

Dans certains cas d’équipements particulièrement sensibles, il peut être utile de prévoir, au titre des mesures organisationnelles une procédure d’ouverture de session de télémaintenance pour que l’utilisation de la ligne de télémaintenance soit totalement sous le contrôle de l’entreprise.

Qualité de service — L’efficacité du service est essentiellement liée à la qualité et la solidité des mécanismes

d’authentification : � du lieu d’initialisation de la télémaintenance � de l’utilisateur de la liaison de télémaintenance (en notant que la solidité du mécanisme d’authentification

de l’utilisateur doit tenir compte de la rigueur de gestion et d’attribution des moyens supports de l’authentification)

— Il est clair qu’une procédure d’agrément mutuel avant toute ouverture de la ligne de télémainte-nance rend encore plus difficile l’usage frauduleux de la ligne.

— La robustesse du service est liée à plusieurs facteurs : � La solidité et l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des

éléments secrets � La protection de l’équipement sur lequel est connectée la ligne de télémaintenance contre toute modifi-

cation qui pourrait rendre la ligne de télémaintenance utilisable sans les contrôles ci-dessus. � Les mesures organisationnelles complémentaires pour éviter que les procédures de gestion


� des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès effectué lors de l’utilisation de

la ligne de télémaintenance



Version 2010

décembre 2009


MEHARI 2010 133/308 © CLUSIF 2010

06A05 Gestion des procédures opérationnelles d’exp loitation des ré-seaux

Objectif : Faire en sorte que les procédures opérationnelles applicables aux divers réseaux et aux équi-

pements attachés soient décrites, documentées, connues de ceux qui doivent les appliquer et in-tangibles, sauf accord à un niveau suffisant du management et conduisant des révisions documen-tées à leur tour.

Résultats attendus : Éviter les erreurs et actions incontrôlées ou malveillantes dans l’application de ces procédures

opérationnelles.

Mécanismes et solutions : Les mécanismes principaux sont essentiellement du ressort de l’organisationnel. Des mesures

techniques d’accompagnement sont néanmoins nécessaires.

Mesures organisationnelles — Les mesures organisationnelles de base doivent se concrétiser par l’élaboration et la documenta-

tion des procédures à respecter : � Analyse des différents scénarios de gestion des processus et de traitement des incidents éventuels. � Établissement des documents, cahiers de consignes correspondants, etc. � Mise à disposition de ces procédures aux exploitants et uniquement à ceux qui en ont l’usage.

— Les mesures complémentaires ont trait aux processus de gestion de ces procédures : � Processus de gestion des modifications éventuelles afin d’éviter toutes erreurs et malveillances, � Maintien à jour de ces procédures (penser à prémunir l’organisation contre la perte possible des procé-

dures en cas de sinistre majeur).

Mesures techniques d’accompagnement — Les mesures techniques d’accompagnement ont trait aux mécanismes de protection de ces pro-

cédures (afin d’éviter toute malveillance a priori ou toute modification destinée à masquer une viola-tion, volontaire ou non, de procédure) :

� Contrôle d’accès en écriture aux media support des procédures � Journalisation et contrôle des modifications apportées �


� L’exhaustivité des cas (fonctionnement type, incidents, etc.) traités par les procédures � La précision des comportements décrits � La pertinence du système de diffusion de l’information, tant en ce qui concerne les personnes atteintes

que la commodité d’accès à l’information en cas de besoin — La robustesse du service est directement liée à

� La rigueur de la gestion des modifications et changements dans les procédures � La protection des supports (contrôle d’accès, gestion des droits des personnes autorisées en écriture,

etc.) — La mise sous contrôle est directement liée à :

� L’existence d’une procédure de revue des procédures opérationnelles � L’audit de l’authenticité des procédures publiées � L’audit des procédures de gestion et de modification des procédures opérationnelles



Version 2010

décembre 2009


MEHARI 2010 134/308 © CLUSIF 2010

06A06 Gestion des prestataires ou fournisseurs de services liés aux réseaux

Objectif : Pour de nombreuses organisations, les ressources et les compétences disponibles en interne

ne permettent pas de réaliser de nombreuses opérations liées à l’exploitation et à la sécurisation des réseaux et il est fait appel, temporairement ou de façon permanente, à des personnels externes et des prestataires de service.

L’objectif du service est de s’assurer que les missions des prestataires de services sont claire-ment définies, celles-ci incluant les contrôles de sécurité qui leur sont délégués, que leurs compé-tences et que les moyens mis en place correspondent aux exigences de l’organisation, y compris en situation de crise.

Résultats attendus : Prévenir des actions incontrôlées, frauduleuses ou dangereuses pour l’activité de l’entreprise

menées par des prestataires dans l’exercice de leurs tâches.

Mécanismes et solutions : Les mécanismes sont essentiellement de nature organisationnelle.

Mesures organisationnelles — Les mesures initiales consistent à procéder à une analyse précise des risques spécifiques à cha-

que cas d’appel à des prestataires et à en déduire des exigences de sécurité : � Recensement des types de prestataires, permanents ou occasionnels, auxquels l’organisation est sus-

ceptible de faire appel � Analyse des risques spécifiques à chaque cas � Elaboration des exigences de sécurité : services exigés, compétences nécessaires, moyens à mettre

en place, reporting, etc. — Les mesures complémentaires consistent à rendre contractuelles les exigences de l’organisation :

� Etablissement et contrôle des clauses contractuelles concernant leurs responsabilités dans le domaine de la sécurité,

� Mise en place d’une procédure de revue et de suivi du respect des engagements � Mise en place de procédures permettant aux prestataires de faire remonter tout événement de sécurité

— Les dernières mesures concernent le management des prestataires par l’organisation : � Sélection des prestataires aptes à réaliser les prestations attendues, � Vérification de leur qualité et de leur identité au même niveau que pour des employés internes, � Suivi de la situation des prestataires et du respect de leurs engagements.

Qualité de service — L’efficacité de la gestion des prestataires de services dépend de plusieurs facteurs :

� L’exhaustivité de l’analyse faite a priori des types de prestations � La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité qui en sont déduites � Le détail et la rigueur des règles contractuelles édictées

— La mise sous contrôle de la gestion des prestataires de services comprend : � L’audit des procédures de sélection des prestataires et de vérification des compétences et moyens mis

en œuvre. � La revue périodique du respect des engagements contractuels � Le contrôle du maintien de la pertinence des clauses et engagements signés.



Version 2010

décembre 2009


MEHARI 2010 135/308 © CLUSIF 2010

06A07 Prise en compte de la confidentialité lors d es opérations de maintenance sur les équipements de réseau

Objectif : Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de

maintenance sur les équipements de réseau.

Résultats attendus : Éviter qu’une intervention de maintenance sur un équipement de réseau se traduise par une

fuite d’information sensible ou une modification de paramètres de sécurité pouvant entraîner une telle fuite.

Mécanismes et solutions : Les mécanismes à mettre en œuvre sont essentiellement organisationnels.

Mesures organisationnelles Les mesures à mettre en œuvre consistent, à chaque fois que cela est possible, à faire en sorte

que : — Les données réelles de production ne soient pas accessibles par le personnel de maintenance :

� Invalidation des configurations opérationnelles très sensibles et remplacement, si nécessaire, par des valeurs de test,

� Effacement (physique) des données de configuration et de chiffrement des équipements si leurs sup-ports ne peuvent être enlevés,

� Destruction ou conservation des supports rebutés. � Vérification de la pérennité des paramètres et des configurations des équipements objet de la mainte-

nance ou situés à proximité. — Empêcher ou contrôler a posteriori que l’opération de maintenance se traduise par des fuites ulté-

rieures d’information (absence de module espion, de porte dérobée, etc.)

Qualité de service — L’efficacité du service est essentiellement liée à la précision et au formalisme des procédures à sui-

vre pour chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opérations à mener avant et après l’intervention de la maintenance).

— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle de la confidentialité lors des opérations de maintenance sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des délais.




Version 2010

décembre 2009


MEHARI 2010 136/308 © CLUSIF 2010

06A08 Gestion des contrats de services réseaux

Objectif : Gérer avec soin les problèmes de sécurité que peut poser la fourniture de services réseaux et

les interventions des fournisseurs de service (internes ou externes) sur les équipements ou systè-mes réseaux

Résultats attendus : Éviter les conséquences dommageables pour l’organisation d’une défaillance dans la fourniture

de services réseaux ou d’une intervention inadaptée au contexte de l’organisation.


Mesures organisationnelles Les mesures à mettre en œuvre consistent en :

— une analyse des exigences de niveau de service pour les services réseaux — une analyse des risques liés aux interventions sur les équipements de réseaux et l’élaboration

d’exigences relatives à ces interventions — la formalisation de ces exigences dans des contrats de service (SLA), — un contrôle du respect des engagements du fournisseur

Qualité de service — L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des condi-

tions à respecter pour chaque fourniture de service . — La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédu-

res ci-dessus.

�



Version 2010

décembre 2009


MEHARI 2010 137/308 © CLUSIF 2010

06B Paramétrage et contrôle des configurations mat érielles et logicielles

06B01 Paramétrage des équipements de réseau et con trôle de la conformité des configurations

Objectif : Traduire de manière concrète les diverses règles de filtrage, définies au niveau de l’architecture

(domaine 4), en règles de contrôle paramétrées dans les équipements de réseau et contrôler leur permanence dans le temps, c’est-à-dire mettre en œuvre la politique décidée et en garantir la per-manence

Résultats attendus : Éviter que pour une raison quelconque (défaillance technique, erreur de maintenance ou action

malveillante) les paramétrages des équipements ne soient pas conformes à la politique décidée.


Mesures organisationnelles — Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques faits au niveau

de l’architecture et des mécanismes prévus à ce titre en appui en paramètres et options des divers outils installés. Le résultat est un fichier de paramétrage par équipement ou système, y compris les logiciels de pilotage et d’administration, paramétrage effectué lors de ma mise en service de chaque équipement ou système.

— En complément, il faut prévoir le contrôle de la permanence de ce paramétrage, soit par des mé-canismes techniques, soit par des procédures de contrôle.

— Enfin, il est nécessaire de prévoir les mesures d’exceptions, c’est-à-dire le moyen pour un utilisa-teur de sortir d’une situation où les mesures de sécurité constitueraient un blocage de l’activité (il est clair en effet que de telles situations peuvent arriver et qu’il vaut mieux y être préparé par des procédures d’alerte et d’escalade permettant alors de prendre les bonnes décisions au bon niveau de responsabilité)

Mesures techniques Les mesures techniques d’accompagnement consistent en des automatismes permettant un

contrôle de la permanence et de la pertinence des paramétrages décidés : — Etablissement d’une synchronisation effective, par exemple à partir d’un serveur de temps, entre

tous les équipements actifs — Protection des fichiers de paramétrages par des techniques de scellement ou de signature électro-

nique (voire des techniques de chiffrement) — Mécanismes de contrôle des paramètres installés par rapport aux paramètres théoriques (avec

contrôle du sceau de protection, le cas échéant) — Contrôle de tout changement de paramétrage effectué avec alerte auprès d’un responsable.


� la précision et le formalisme de la liste des paramètres à configurer sur chaque type d’équipement sur chaque équipement particulier.

� L’automatisme des opérations de configuration des paramètres, pour éviter tout oubli ou erreur — La robustesse du service est liée à plusieurs facteurs :

� La solidité des automatismes de scellement et de contrôle des sceaux, pour éviter une altération de la liste des paramétrages avant configuration

� Le contrôle des possibilités d’administration des équipements pour éviter une modification des paramé-trages par une personne non autorisée ainsi que la détection de l’inhibition de tout système qui pour-rait se traduire par une affaiblissement du niveau de sécurité.



Version 2010

décembre 2009


MEHARI 2010 138/308 © CLUSIF 2010

� La séparation effective entre les environnements de production et de développement et test — La mise sous contrôle est réalisée par des audits réguliers :

� de la liste des paramétrages � des paramétrages réellement installés � de l’application des procédures de modification des paramétrages et d’escalade en cas de difficulté.

06B02 Contrôle des configurations des accès réseau x des postes uti-lisateurs

Objectif : Vérifier que les configurations utilisateurs sont bien conformes à la politique décidée.

Résultats attendus : Éviter que les configurations utilisateurs introduisent des faiblesses dans la sécurité du réseau

interne. Les cas les plus courants de faiblesses introduites par les utilisateurs sont des modems réali-

sant une connexion non gérée et non sécurisée avec des réseaux publics, en particulier avec Inter-net, et, depuis peu, l’installation de réseaux sans fil.


Mesures organisationnelles — Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques faits au ni-

veau de l’architecture en options de configurations des postes utilisateurs. Le résultat est un fichier de paramétrage par type de poste utilisateur (en particulier nomade ou non).

Mesures techniques — Les mesures techniques de base consistent en des automatismes permettant un contrôle de la

configuration des postes utilisateurs lors de leur connexion ou du moins très régulièrement (une fois par jour) :

— Des mesures techniques complémentaires sont nécessaires pour contrôler l’absence de réseaux sans fil


� la précision et le formalisme de la liste des paramètres à configurer sur chaque type de poste utilisateur. � L’automatisme et la fréquence du contrôle.

— La robustesse du service est liée à deux types de facteurs : � La protection (éventuellement par scellement) des paramètres à contrôler, pour éviter une altération de

la liste des contrôles à effectuer � Le contrôle des possibilités d’administration des postes par les utilisateurs eux-mêmes, pour éviter qu’ils

ne changent les configurations trop facilement entre deux contrôles — La mise sous contrôle est réalisée par des audits réguliers :

� de la liste des contrôles � des contrôles réellement effectués



Version 2010

décembre 2009


MEHARI 2010 139/308 © CLUSIF 2010

06C Contrôle des droits d’administration

06C01 Gestion des droits privilégiés sur les équip ements de réseau

Objectif : Déterminer quelles catégories de personnel ont de réels besoins d’avoir des droits privilégiés,

dans quelles conditions et dans quelles limites, sur des équipements de réseau et gérer avec ri-gueur l’attribution de tels droits, afin de pouvoir empêcher l’utilisation abusive de tels droits par ceux qui n’en ont pas le besoin.


n’ayant pas (ou plus) la nécessité d’accéder au aux équipements de réseau avec des droits privilé-giés.


Mesures organisationnelles — Établir et documenter la politique de gestion des droits privilégiés pour administrer les équipements

de réseaux en fonction des enjeux business — Identifier tous les profils de personnel d’exploitation nécessitant, pour leur travail, des droits

d’administration, par exemple : � administrateurs d’équipements � personnel chargé du pilotage du réseau � opérateurs chargés d’opérations de routine telles que des sauvegardes � etc.

— Définir, puis gérer dans le temps, les droits génériques attribués à chaque profil — Définir le processus d’attribution, de gestion et de retrait des profils au personnel et le responsable

de cette attribution, par exemple : � hiérarchie pour le personnel interne ou le personnel nomade � signataire de la commande pour un prestataire







Qualité de service — L’efficacité du service est directement liée à la qualité de la politique établie et à la rigueur des pro-

cédures permettant de définir les profils ainsi que les droits associés et à la rigueur de gestion des attributions de profil.

— La robustesse du service est directement liée à la solidité des mesures techniques de protection des transferts d’information et des base de données des droits

— La mise sous contrôle est réalisée par la validation de la politique et par des audits ou inspections régulières, tant des catégories de personnes et des droits attribués que des processus de gestion



Version 2010

décembre 2009


MEHARI 2010 140/308 © CLUSIF 2010

eux-mêmes.



Version 2010

décembre 2009


MEHARI 2010 141/308 © CLUSIF 2010

06C02 Authentification et contrôle des droits d’ac cès des administra-teurs et personnels d’exploitation des réseaux

Objectif : S’assurer lors de l’accès aux équipements de réseau avec des droits privilégiés que la personne

qui tente de se connecter est bien celle qu’elle prétend être.


n’étant pas (ou plus) autorisées individuellement à accéder aux équipements avec des droits privilé-giés.






— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité :

� Protection du processus de diffusion initiale des conventions secrètes (mots de passe) � Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué. � Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant





ment dit (force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement uti-lisé pour authentifier, solidité de l’algorithme et du protocole contre toute écoute et réutilisation de séquence, etc.)

— La robustesse du service est liée à trois facteurs : � la solidité et l’inviolabilité des protocoles de contrôle d’accès et des protocoles annexes tels que diffusion

initiale, échanges ou stockage des éléments secrets � les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement



� des modes d’accès utilisés par les administrateurs et par les personnels d’exploitation � des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 142/308 © CLUSIF 2010



Version 2010

décembre 2009


MEHARI 2010 143/308 © CLUSIF 2010

06C03 Surveillance des actions d’administration de s réseaux

Objectif : Détecter en temps différé des anomalies de comportement des administrateurs réseaux ou de

personnes en ayant acquis les droits, par une analyse a posteriori de traces spécifiques.

Résultats attendus : Permettre de limiter dans le temps des actions anormales menées avec des droits

d’administration.



— les systèmes d’enregistrement de diverses traces et la journalisation des opérations effectuées par les équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les re-configurations d’équipements de réseau et les actions sur les logs

— des systèmes permettant de détecter une altération d’enregistrements passés ou leur effacement de même qu’une modification des paramètres d’enregistrement et d’émettre alors une alerte au-près d’un responsable

— des systèmes permettant d’effectuer une synthèse rapide des enregistrements et de transmettre, sans possibilité d’altération, cette synthèse à un responsable, de telle sorte qu’il puisse lancer une investigation en cas d’anomalie


� définition et mise à jour régulière des actions d’administration à enregistrer � élaboration d’une synthèse significative permettant de détecter des anomalies de comportement � mise en place des procédures de contrôle permettant de détecter une altération des mécanismes déci-

dés


� la couverture des enregistrements et la profondeur de l’analyse préliminaire des actions d’administration donnant lieu à enregistrement

� l’analyse des actions potentiellement anormales et l’élaboration d’une synthèse significative — La robustesse du service est liée à deux facteurs :

� La solidité des mécanismes de détection et d’alerte en cas de modification ou d’effacement d’enregistrements passés ou d’altération des paramètres d’enregistrement

� L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement ou du sys-tème d’alerte

— La mise sous contrôle est réalisée par des audits : � du bon fonctionnement du système d’enregistrement et de surveillance � des procédures d’alerte



Version 2010

décembre 2009


MEHARI 2010 144/308 © CLUSIF 2010

06C04 Contrôle des outils et utilitaires de l’expl oitation des réseaux

Objectif : Limiter aux seuls besoins de l’exploitation les outils et utilitaires mis à la disposition du personnel

d’exploitation et en contrôler l’usage.

Résultats attendus : Éviter (autant que faire se peut) que le personnel d’exploitation abuse de ses droits en

s’appuyant sur des outils ou utilitaires non autorisés (accès aux résidus d’exploitation sensibles, ac-cès à des zones de mémoire tampon utilisées par les équipements de réseau, décryptage de mots de passe, accès aux clés de chiffrement, etc.)


Mesures organisationnelles Les mesures organisationnelles consistent à :

— Lister toutes les tâches de l’exploitation, aussi bien courantes qu’exceptionnelles — Identifier les outils et utilitaires nécessaires à chaque tâche — Séparer les profils habilités à les utiliser, de manière à limiter les possibilités d’abus (les utilitaires

sensibles nécessaires pour certaines actions exceptionnelles n’étant autorisés qu’à des profils bien spécifiques, accordés uniquement à des responsables spécialement désignés)

Mesures techniques Les mesures techniques d’accompagnement consistent en :

— La gestion de profils différenciés pour l’exploitation et la mise en place d’un contrôle des droits d’accès correspondants :

� Login individualisés � Contrôles des profils et droits attachés pour l’utilisation des utilitaires

— Le contrôle de l’introduction de nouveaux utilitaires et de la modification des utilitaires existants

Qualité de service — L’efficacité du service est liée à plusieurs facteurs

� La rigueur des procédures de définition des divers profils d’exploitation et des outils mis à la disposition de chaque profil

� La rigueur des procédures d’attribution des profils au personnel d’exploitation � la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit (force et solidité du mot de

passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, etc.) — La robustesse du service est liée à trois facteurs :

� la solidité et l’inviolabilité du processus de contrôle des droits lors de l’accès aux utilitaires � la solidité des mesures empêchant l’introduction de nouveaux utilitaires � la solidité des mesures de protection des utilitaires eux-mêmes contre des modifications

— La mise sous contrôle est réalisée par des audits réguliers : � des paramètres supports des mécanismes d’authentification, � des profils utilisés par le personnel d’exploitation � des utilitaires présents dans les équipements et systèmes de pilotage



Version 2010

décembre 2009


MEHARI 2010 145/308 © CLUSIF 2010

06D Procédures d’audit et de contrôle des réseaux

06D01 Fonctionnement des contrôles d'audit

Objectif : S’assurer que exigences et les procédures d’utilisation des outils d’audit des réseaux existent ,

sont respectées et contrôlées.

Résultats attendus : Prévenir toute utilisation illicite de ces outils d’audit (tests de pénétration ou de vulnérabilités,

etc.) ainsi que tout accident pouvant résulter de ces opérations.

Mécanismes et solutions Les solutions à mettre en œuvre sont essentiellement organisationnelles, mais s’appuient éga-

lement sur des mesures techniques :

Mesures organisationnelles — Les mesures organisationnelles concernent les règles et procédures à respecter lors de la mise en

œuvre de tels audits : � Etablissement des limitations et des exigences d’utilisation, � Documentation des règles et des responsabilités, � Critères d’autorisation et de respect de leur déontologie pour les auditeurs.

Mesures techniques — Les mesures techniques d’accompagnement concernent :

� L’enregistrement de l’activation de ces tests d’audit � L’enregistrement des opérations menées sur des données sensibles

Qualité de service — L’efficacité du service est liée à la réalité de la prise en compte, par le management et les person-

nes en charge des outils d’audit, des exigences édictées sur leur utilisation. — La mise sous contrôle est réalisée par :

� L’audit des enregistrements de l’utilisation des outils et des accès à des données critiques pour l’entreprise

�



Version 2010

décembre 2009


MEHARI 2010 146/308 © CLUSIF 2010

06D02 Protection des outils et résultats d'audit

Objectif : S’assurer que les outils (équipements comme logiciels de tests) d’audit existants sont conservés

et protégés contre toute utilisation abusive ou malveillante et que les résultats obtenus avec eux sont protégés contre toute altération ou destruction illicite


n’étant pas (ou plus) autorisées individuellement à utiliser ces outils d’audit.



Mesures techniques — Les mesures techniques concernent:

� La conservation des outils matériels éventuels en lieu sûr et leur attribution selon des processus définis et auditables,

� La protection des accès aux outils logiciels et le contrôle des droits d’accès à ces outils avant toute utili-sation,

� La protection des enregistrements des opérations effectuées lors de ces audits.


� L’attribution des droits d’accès et d’utilisation des outils d’audit aux seules personnes susceptibles d’en faire et dûment habilitées pour cela,

� Le contrôle du non abus de tels droits, �


� aux mécanismes de protection des accès aux outils � aux mécanismes de protection des accès aux enregistrements réalisés avec eux.

— La robustesse du service est liée à : � La solidité des mécanismes de détection et d’alerte en cas d’arrêt ou d’inhibition des mécanismes de

contrôle d’accès aux outils d’audit � L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement des opéra-

tions réalisées avec les outils d’audit — La mise sous contrôle est réalisée par des audits :

� du bon fonctionnement du système d’enregistrement et de surveillance des actions menées avec les outils d’audit

� des systèmes de contrôle d’accès aux outils d’audit



Version 2010

décembre 2009

Domaine 7 : Sécurité des systèmes et de leur archit ecture

MEHARI 2010 147/308 © CLUSIF 2010


07A Contrôle d’accès aux systèmes

Objectif : Faire en sorte que seuls les utilisateurs autorisés aient accès aux systèmes.

Résultats attendus : Prévenir les tentatives d’accès, par des personnes non autorisées, aux ressources internes (ser-

veurs et applications).


— 07A01 : Gestion des profils d’accès (droits et privilèges accordés en fonction des profils de fonc-tion)

— 07A02 : Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait) — 07A03 : Authentification de l’utilisateur ou de l’entité demandant un accès — 07A04 : Filtrage des accès et gestion des associations — 07A05 : Authentification du serveur lors des accès à des serveurs sensibles

07B Confinement des environnements

Objectif : Protéger les données stockées temporairement par les systèmes contre des accès non autori-

sés.

Résultats attendus : Prévenir les tentatives d’accès aux informations stockées temporairement, par des personnes

non autorisées.

Services de sécurité : Le service de sécurité correspondant est le suivant :

— 07B01 : Contrôle des accès aux résidus

07C Gestion et enregistrement des traces

Objectif : Permettre une analyse a posteriori des actions effectuées et ainsi le diagnostic d’actions anor-

males ou néfastes

Résultats attendus : Dissuader les actions néfastes de la part des utilisateurs ou du personnel d’exploitation et, à dé-

faut, en limiter la durée dans le temps, par un diagnostic suivi de mesures visant à stopper ces ac-tions.

Services de sécurité : Les services de sécurité correspondants sont les suivants :



Version 2010

décembre 2009


MEHARI 2010 148/308 © CLUSIF 2010

— 07C01 : Enregistrement des accès aux ressources sensibles — 07C02 : Enregistrement des appels aux procédures privilégiées



Version 2010

décembre 2009


MEHARI 2010 149/308 © CLUSIF 2010

07D Sécurité de l’architecture

Objectif : Mettre en place une architecture globale des systèmes garantissant une continuité de fonction-

nement conforme aux attentes des utilisateurs.

Résultats globaux attendus : Garantir une continuité de fonctionnement des systèmes en cas d’incident ou de panne.

Services de sécurité : Le services de sécurité correspondant est le suivant :

— 07D01 : Sûreté de fonctionnement des éléments d’architecture — 07D02 : Isolement des systèmes sensibles



Version 2010

décembre 2009


MEHARI 2010 150/308 © CLUSIF 2010

07A Contrôle d’accès aux systèmes

07A01 Gestion des profils d’accès (droits et privilèges accordés en fonction des pro fils de fonc-tion)

Objectif : Déterminer, pour chaque système et application, quelles catégories de personnel, interne ou

non, ont de réels besoin d’y avoir accès, dans quelles conditions et dans quelles limites, afin de pouvoir empêcher les accès aux systèmes et applications par ceux qui n’en ont pas le besoin.


n’ayant pas (ou plus) la nécessité d’accéder aux systèmes et applications. Ces actions pourraient être des accès injustifiés à des informations confidentielles, des altérations ou des destructions de données ou de programmes.


Mesures organisationnelles — Identifier, pour chaque système et application, les profils de personnel devant y avoir accès dans le

cadre de leur travail, en distinguant les profils devant avoir des droits distincts, par exemple : � Les acheteurs pour l’accès à l’application de gestion des commandes � L’acheteur initialisant la commande, à l’intérieur des profils d’acheteurs � Le chef de service validant la commande, � Le responsable de la gestion des comptes fournisseurs, � etc.

— Désigner, pour chaque type de profil général (comptable, RH, etc.), un responsable de la gestion des droits attribués à cette catégorie de profil (sous-profil).

— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à cha-que catégorie de profils, en fonction éventuellement du contexte de l’utilisateur (présent sur le ré-seau interne ou se connectant depuis l’extérieur, etc.).

— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués aux profils.

Mesures techniques Les mesures techniques d’accompagnement ont pour objet de protéger les mécanismes et les

supports assurant l’interface entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute action ou modification illicite concernant :


— Les tables ou documents matérialisant ces décisions. Il s’agit de techniques de contrôle pouvant aller jusqu’au scellement, pour les mesures les plus

efficaces, à défaut éventuellement d’accusé de réception pour la transmission, et d’audit régulier pour les tables et documents.


tégories de profils et les droits associés. — La robustesse du service est directement liée à la solidité des mesures techniques de protection





Version 2010

décembre 2009


MEHARI 2010 151/308 © CLUSIF 2010



Version 2010

décembre 2009


MEHARI 2010 152/308 © CLUSIF 2010

07A02 Gestion des autorisations d’accès et privilè ges (attribution, délégation, retrait)

Objectif : Attribuer individuellement les autorisations d’accès aux systèmes et applications à chaque per-

sonne intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter ses droits et privi-lèges à ses seuls besoins et aux seules périodes concernées.


n’ayant pas (ou plus) la nécessité d’accéder aux systèmes et applications.


Mesures organisationnelles — Définir, pour chaque type de profil d’accès, le responsable de l’attribution d’un « profil d’accès » à

une personne physique, par exemple : � Hiérarchie pour le personnel interne ou le personnel nomade � Signataire de la commande pour un prestataire


� Période de validité � Heures et jours de validité � Localisations de l’appelant valides



Mesures techniques Les mesures techniques d’accompagnement ont pour objet de protéger les mécanismes et les

supports assurant l’interface entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de droits dans les tables systèmes). Il s’agit donc de s’assurer que la demande reçue par le personnel en charge d’ouvrir ou de modifier les droits est bien authentique.

Il s’agit de techniques de contrôle pouvant inclure des contrôles de signature, que cette signa-ture soit électronique ou non (le scellement électronique étant ici apparenté à une signature).







Version 2010

décembre 2009


MEHARI 2010 153/308 © CLUSIF 2010

07A03 Authentification de l’utilisateur ou de l’en tité demandant un ac-cès

Objectif : S’assurer lors de l’accès aux systèmes et applications que la personne qui tente de se connec-

ter est bien celle qu’elle prétend être.


n’étant pas (ou plus) autorisées individuellement à accéder aux systèmes et applications.













— La robustesse du service est liée à trois facteurs : � l’inviolabilité des protocoles et mécanismes annexes tels que diffusion initiale, échanges ou stockage

des éléments secrets � les mesures de protection des protocoles d’authentification et des systèmes assurant le déroulement de

ces protocoles pour éviter qu’ils ne soient altérés ou inhibés � les mesures organisationnelles complémentaires pour éviter que les procédures de gestion


� des paramètres supports des mécanismes d’authentification, � des systèmes de détection des tentatives de violation du contrôle d’accès � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 154/308 © CLUSIF 2010

07A04 Filtrage des accès et gestion des associatio ns


ter y est bien autorisée.


n’étant pas (ou plus) autorisées individuellement à accéder aux systèmes et applications.




� Identification et reconnaissance de la personne tentant de se connecter � Authentification de la personne � Identification du contexte propre de la tentative de connexion et sélection des règles de contrôle d’accès

applicables à ce contexte � Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien cette

connexion — Les mesures complémentaires concernent la protection contre les tentatives de contournement du

système : � Interruption des autorisations en cas d’inactivité et redemande d’authentification à la reprise du travail � Protection du processus de fixation des règles de contrôle d’accès (échanges d’informations et tables

de paramètres)


gles de contrôle d’accès en fonction des contextes : � Gestion des demandes de modification

Qualité de service — L’efficacité du service est liée à la rigueur avec laquelle les règles de contrôle d’accès ont été dé-

terminées et à la qualité du processus de contrôle d’accès — La robustesse du service est liée à deux facteurs :

� la protection des processus et protocoles de contrôle d’accès et des tables de paramètres correspon-dants

� les mesures organisationnelles complémentaires pour éviter que les procédures de gestion de modifi-cations ne soient utilisées pour libérer à tort des contraintes d’accès

— La mise sous contrôle est réalisée par des audits réguliers : � des paramètres supports des mécanismes de contrôle d’accès, � des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès � de la mise en œuvre de ces procédures � �



Version 2010

décembre 2009


MEHARI 2010 155/308 © CLUSIF 2010

07A05 Authentification du serveur lors des accès à des serveurs sen-sibles

Objectif : S’assurer, lors de l’accès aux systèmes et applications, que le serveur auquel on se connecte

est bien celui auquel on souhaite se connecter.

Résultats attendus : Prévenir des actions néfastes pouvant être induites, volontairement ou non, par un accès à un

serveur différent de celui auquel on souhaitait se connecter (erreur d’adresse, modification du che-min d’accès, mascarade de serveur, etc.)

Mesures, mécanismes et solutions : Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient égale-

ment sur des mesures organisationnelles.

Mesures techniques — Les mesures techniques de base concernent principalement les mécanismes d’authentification des

serveurs au moment de la connexion à un serveur sensible : � Mise en place d’un processus d'authentification des serveurs sensibles par un processus reconnu

comme "fort" — Les mesures complémentaires concernent les mécanismes et procédures de gestion des clés

pour la protection des éléments de référence support à l’authentification.


� Processus d’identification des serveurs sensibles � Procédures de gestion des clés cryptographiques support a l’authentification

Qualité de service — L’efficacité du service est liée à la rigueur avec laquelle les règles ont été déterminées et à la quali-

té du mécanisme d’authentification : � Identification des serveurs critiques � Solidité du mécanisme d’authentification

— La robustesse du service est liée aux facteurs suivants : � Protection des processus et protocoles de connexion � Procédures de gestion des clés cryptographiques incluant la révocation des clés � Contrôle des mécanismes qui assurent l’authentification aux entités accédées � Contrôle strict que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité

(sceau) — La mise sous contrôle est liée aux facteurs suivants :

� Audit au moins annuel des procédures et processus de l'authentification. �



Version 2010

décembre 2009


MEHARI 2010 156/308 © CLUSIF 2010

07B Confinement des environnements

07B01 Contrôle des accès aux résidus

Objectif : Contrôler l’accès aux fichiers et zones temporaires utilisées par les systèmes pour stocker de

l’information

Résultats attendus : Éviter que des personnes puisent accéder à des informations sans autorisation, par le biais

d’accès à des informations, le plus souvent cachées, ou à des zones de stockage temporaire. Ces zones peuvent être :

— des zones mémoires réutilisées par les systèmes mais susceptibles d’une lecture par des utilitaires — des zones tampon telles que des fichiers d’impression (spool) ou de visualisation, — des zones de swap ou de mémoire cache — des supports recyclés (bandes de sauvegardes, cartouches, etc.) — des supports envoyés en maintenance — etc.


Mesures organisationnelles Les mesures organisationnelles préliminaires consistent à :

— identifier, pour chaque système, les fichiers et zones temporaires pour stocker de l’information ainsi que les supports de stockage réaffectés

— identifier les moyens d’accès et les outils éventuellement nécessaires pour chacune de ces zones pouvant contenir de l’information sensible

Mesures techniques Les mesures techniques consistent à mettre sous contrôle chacune des zones de stockage ou

chacun des moyens d’accès ainsi identifié : — effacement systématique (et réel) avant réaffectation — destruction éventuelle — contrôle d’accès renforcé aux utilitaires permettant l’accès et l’exploitation de telles zones de stoc-

kage

Qualité de service — L’efficacité du service est liée à la profondeur de l’analyse réalisée et à la solidité des mécanismes

d’effacement et/ou de contrôle d’accès — La robustesse du service est liée au contrôle de l’inhibition des mécanismes précédents — La mise sous contrôle est réalisée par des audits réguliers de l’application des procédures et du

bon fonctionnement des mécanismes mis en œuvre.



Version 2010

décembre 2009


MEHARI 2010 157/308 © CLUSIF 2010

07C Gestion et enregistrement des traces

07C01 Enregistrement des accès aux ressources sens ibles

Objectif : Garder une trace des accès aux ressources sensibles.

Résultats attendus : Permettre de détecter des anomalies, a posteriori, ou d’enquêter en cas de problème avéré (en

particulier de piratage ou de fraude)

Mécanismes et solutions Les mécanismes de base sont bien évidemment essentiellement techniques, mais s’appuient au

préalable sur des mesures organisationnelles :

Mesures organisationnelles préalables La première question à poser est celle des ressources pour lesquelles on souhaite conserver

une trace de chaque accès effectué. La deuxième question est celle des informations à conserver :

— Accédant — Type d’accès demandé (lecture, écriture, mise à jour, effacement, etc.) — Contexte de la connexion (lieu de connexion, date et heure, etc.) — Détail des ressources accédées (base de données, table, enregistrement, champ, etc)

Le dernier point à décider est celui de la durée de rétention de l’information

Mesures techniques Les mesures techniques de base consistent à enregistrer les éléments décidés et à les sauve-

garder sur la période choisie. Les mesures techniques d’accompagnement consistent à protéger le paramétrage qui déclen-

che les enregistrements et le choix des accès à enregistrer, puis à protéger les enregistrements eux-mêmes contre tout effacement intempestif (ce que cherchera bien entendu à faire la personne compétente qui entend accéder de manière illicite à une information)

Qualité de service — L’efficacité du service est liée à l’exhaustivité des informations enregistrées — La robustesse du service est liée à deux facteurs :

� la protection du mécanisme d’enregistrement contre toute modification ou inhibition � la protection des enregistrements contre toute tentative d’effacement

— La mise sous contrôle est réalisée par des audits réguliers : � du paramétrage des enregistrements à effectuer � de la sauvegarde des enregistrements



Version 2010

décembre 2009


MEHARI 2010 158/308 © CLUSIF 2010

07C02 Enregistrement des appels aux procédures pri vilégiées

Objectif : Garder une trace des appels de procédures privilégiées.

Résultats attendus : Permettre de détecter des anomalies dans l’utilisation des procédures privilégiées, a posteriori,

ou d’enquêter en cas de problème avéré (en particulier d’usage abusif de telles procédures)

Mécanismes et solutions Les mécanismes de base sont bien évidemment essentiellement techniques, mais s’appuient au

préalable sur des mesures organisationnelles :

Mesures organisationnelles préalables La première question à poser est celle des appels systèmes privilégiés pour lesquelles on sou-

haite conserver une trace de tout appel. La deuxième question est celle des informations à conserver :

— Qui l’a déclenché — Type d’appel — Contexte de la connexion (lieu de connexion, date et heure, etc.) — Détail des actions effectuées avec ladite procédure

Le dernier point à décider est celui de la durée de rétention de l’information

Mesures techniques Les mesures techniques de base consistent ensuite à enregistrer les appels décidés et à les

sauvegarder sur la période choisie. Les mesures techniques d’accompagnement consistent à protéger le paramétrage qui déclen-

che les enregistrements et le choix des appels à enregistrer, puis à protéger les enregistrements eux-mêmes contre tout effacement intempestif (ce que cherchera bien entendu à faire la personne compétente qui entend faire un usage abusif de telle procédure)

Qualité de service — L’efficacité du service est liée à l’exhaustivité des appels enregistrées et des renseignements

conservés — La robustesse du service est liée à deux facteurs :

� la protection du mécanisme d’enregistrement contre toute modification ou inhibition � la protection des enregistrements contre toute tentative d’effacement

— La mise sous contrôle est réalisée par des audits réguliers : � du paramétrage des enregistrements à effectuer � de la sauvegarde des enregistrements



Version 2010

décembre 2009


MEHARI 2010 159/308 © CLUSIF 2010

07D Sécurité de l’architecture

07D01 Sûreté de fonctionnement des éléments d’arch itecture

Objectif : Assurer la continuité des services informatiques de base quels que soient les aléas de fonction-

nement des systèmes ou de leur utilisation.

Résultats attendus : Éviter qu’une panne simple, voire complexe, ou que des aléas dans l’utilisation des systèmes ou

de leurs périphériques interrompent les traitements ou fassent chuter leurs performances avec des impact négatifs sur l’activité de l’entreprise.


études préalables qui sont de nature organisationnelle


une analyse des enjeux de la continuité des services systèmes : � Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète d’un ser-

vice système � Analyse des capacités de reconfiguration des systèmes en cas de défaillance d’un équipement et du

temps nécessaire à ces reconfigurations � Analyse des enjeux liés à une baisse de performance des systèmes


que : � toute panne simple d’un équipement puisse être soit réparée dans des délais acceptables soit contour-

née par des redondances d’équipement � toute baisse de performance significative puisse être détectée et corrigée par des reconfigurations per-


ring des systèmes permettant effectivement de détecter toute anomalie ou baisse de performance et d’agir à distance pour allouer des ressources de contournement ou d’appoint




� L’indépendance des systèmes (réseaux et télécoms) vis-à-vis de tout équipement de servitude unique (énergie, services généraux, locaux, etc.).



� Les tests de performance et de bon fonctionnement des mécanismes de détection et de reconfiguration � L’audit du paramétrage des équipements � L’audit des procédures associées à la gestion des systèmes de détection et de reconfiguration.



Version 2010

décembre 2009


MEHARI 2010 160/308 © CLUSIF 2010

07D02 Isolement des systèmes sensibles

Objectif : Prévenir une atteinte de systèmes, applications et/ou données sensibles (D, I, C) par propaga-

tion depuis des systèmes, applications ou supports moins sensibles ou plus vulnérables en évitant de partager les mêmes ressources, tant physiques que logiques.

Résultats attendus : Éviter qu’un incident ou une panne simple, voire complexe, ou que des aléas dans l’utilisation

des systèmes ou de leurs périphériques interrompent les traitements les plus sensibles ou fassent chuter leurs performances avec des impacts négatifs sur l’activité de l’entreprise.


études préalables qui sont de nature organisationnelle.


une analyse de la sensibilité et des enjeux associés aux ressources telles que données et systè-mes :

� Analyse de la gravité des conséquences d’une atteinte à la disponibilité, à l’intégrité ou à la confidentiali-té de ces ressources.

� Etablissement des exigences de préservation des ressources, � Implication des propriétaires et utilisateurs de ces ressources.

Mesures techniques — Les mesures de base consistent en la mise en place de moyens appropriés tels que la séparation

des ressources sensibles (urbanisation incluant : séparation de locaux, systèmes, réseaux, sup-ports de stockage) ou de processus (métiers, utilisateurs, traitements, etc.) afin de réduire les ris-ques

Efficacité du service : — L’efficacité du service est directement liée à deux facteurs :

� La qualité et la précision des analyses préliminaires � La bonne adéquation des actions et opérations permettant d’isoler les systèmes sensibles.


� L’indépendance des systèmes isolés vis-à-vis de tout équipement de servitude unique (énergie, servi-ces généraux, locaux, etc.).

� La protection, physique et logique, des équipements assurant l’isolement contre toute intrusion ou inhibi-tion : contrôle d’accès physique et logique, alarme en cas d’arrêt ou de coupure d’alimentation, etc.

— La mise sous contrôle des mécanismes assurant l’isolement dépend de trois facteurs : � Le contrôle du maintien de la pertinence des mesures d’isolement décidées � L’audit du paramétrage des équipements assurant l’isolement des systèmes sensibles



Version 2010

décembre 2009

Domaine 8 : Production informatique

MEHARI 2010 161/308 © CLUSIF 2010





des moyens systèmes introduisent des brèches de sécurité.


— 08A01 : Prise en compte de la sécurité de l’information dans les relations avec le personnel d’exploitation (salariés et prestataires)

— 08A02 : Contrôle des outils et utilitaires de l’exploitation — 08A03 : Contrôle de la mise en production de nouveaux systèmes ou d’évolutions de systè-

mes existants — 08A04 : Contrôle des opérations de maintenance — 08A05 : Prise en compte de la confidentialité lors des opérations de maintenance — 08A06 : Contrôle de la télémaintenance — 08A07 : Protection des états et rapports imprimés sensibles — 08A08 : Gestion des procédures opérationnelles d’exploitation informatique — 08A09 : Gestion des prestataires ou fournisseurs de services liés à la production informatique

08B Contrôle des configurations matérielles et log icielles



des systèmes et équipements de sécurité introduisent des brèches de sécurité.


— 08B01 : Paramétrage des systèmes et contrôle de la conformité des configurations systèmes — 08B02 : Contrôle de la conformité des configurations applicatives (logiciels et progiciels) — 08B03 : Contrôle de la conformité des programmes de référence (sources et exécutables)

08C Gestion des supports informatiques de données et programmes

Objectif : Assurer avec rigueur la gestion des supports de données et programmes

Résultats attendus : Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans la gestion des

supports introduisent des brèches de sécurité.



Version 2010

décembre 2009


MEHARI 2010 162/308 © CLUSIF 2010


— 08C01 : Administration des supports — 08C02 : Marquage des supports de production (vivants, sauvegardes et archives) — 08C03 : Sécurité physique des supports stockés sur site — 08C04 : Sécurité physique des supports externalisés (stockés dans un site externe) — 08C05 : Vérification et rotation des supports d’archivage — 08C06 : Protection des réseaux de stockage — 08C07 : Sécurité physique des medias en transit

08D Continuité de fonctionnement

Objectif : Assurer la continuité de fonctionnement des systèmes et applications.

Résultats attendus : Éviter que des circonstances externes ou internes, accidentelles ou malveillantes, se traduisent

par des interruptions de service inacceptables (étant entendu que la recherche de ce qui est accep-table ou non fait partie des services à assurer au titre de la continuité de fonctionnement)


— 08D01 : Organisation de la maintenance du matériel (équipements) en exploitation — 08D02 : Organisation de la maintenance du logiciel (système, logiciel de couche intermédiaire et

progiciel applicatif) — 08D03 : Procédures et plans de reprise des applications sur incidents d’exploitation — 08D04 : Sauvegardes des configurations logicielles (logiciels de base et applicatifs et paramètres

de configuration) — 08D05 : Sauvegardes des données applicatives — 08D06 : Plans de Reprise d'Activité des services informatiques — 08D07 : Protection antivirale des serveurs de production — 08D08 : Gestion des systèmes critiques vis-à-vis de la permanence de la maintenance — 08D09 : Sauvegardes de secours (recours) externalisées — 08D10 : Maintien des comptes d’accès

08E Gestion et traitement des incidents

Objectif : Détecter les anomalies de fonctionnement ou des intrusions dans les systèmes pour intervenir

au mieux et dans les meilleurs délais.


ou internes (abus de droits d’utilisateurs), que les mesures préventives auraient pu laisser passer, ne soient pas détectés ni interrompus.


— 08E01 : Détection et traitement en temps réel des anomalies et incidents d’exploitation — 08E02 : Surveillance, en temps différé, des traces, logs et journaux



Version 2010

décembre 2009


MEHARI 2010 163/308 © CLUSIF 2010

— 08E03 : Gestion et traitement des incidents systèmes et applicatifs

08F Contrôle des droits d’administration

Objectif : Gérer avec rigueur l’attribution et l’utilisation de droits privilégiés sur les systèmes et applications


d’administration ou que des procédures réservées à l’administration des systèmes ou des postes utilisateurs soit utilisées en dehors du contexte normalement prévu.


— 08F01 : Gestion des attributions de droits privilégiés sur les systèmes (droits d’administrateur) — 08F02 : Authentification et contrôle des droits d’accès des administrateurs et personnels

d’exploitation — 08F03 : Surveillance des actions d’administration des systèmes

08G Procédures d'audit et de contrôle des systèmes de t raitement de l'information

Objectif : Prévenir toute activation incontrôlée d’outils d’audit technique (tests de pénétration, évaluations

de vulnérabilités, etc.) ainsi que toute erreur ou malveillance lors de ces audits. Enregistrer les résultats et détecter les anomalies de fonctionnement ou les modifications effec-

tuées et les intrusions éventuelles dans les systèmes pour intervenir au mieux et dans les meilleurs délais.


ou internes (abus de droits d’utilisateurs), puissent arriver du fait de ces tests d’audit et ne soient pas détectés ni interrompus.


— 08G01 Fonctionnement des contrôles d'audit — 08G02 Protection des outils et résultats d'audit

08H Gestion des archives informatiques

Objectif : Prévenir toute …...


ou internes (abus de droits d’utilisateurs), puissent arriver du fait …..



Version 2010

décembre 2009


MEHARI 2010 164/308 © CLUSIF 2010


— 08H01 Politique de gestion des archives informatiques — 08H02 Gestion des accès aux archives — 08H03 Gestion de la sécurité des archives



Version 2010

décembre 2009


MEHARI 2010 165/308 © CLUSIF 2010


08A01 Prise en compte de la sécurité de l’informat ion dans les rela-tions avec le personnel d’exploitation (salariés et prestataires)


supports d’information sensibles, des engagements de respect de la politique de sécurité.


l’information pour éviter des erreurs ou négligences conduisant à une divulgation, une altération ou une indisponibilité d’information sensible.

Dissuader également ledit personnel d’un acte malveillant, par une reconnaissance préalable du caractère délictueux d’un tel acte.


Mesures organisationnelles — Rédiger la politique de sécurité concernant le personnel d’exploitation — Rédiger et faire signer des clauses de respect de la politique de sécurité au personnel

d’exploitation — Introduire une clause de respect de la politique de sécurité dans les contrats de prestataires ame-

nés à intervenir sur le matériel (en particulier le personnel de maintenance) — Assurer une formation du personnel en conséquence

Qualité de service — L’efficacité du service est essentiellement liée à la rédaction de la politique de sécurité concernant

le personnel d’exploitation et à la mise en place de clauses contractuelles, en particulier à la géné-ralité de l’engagement contractuel, à la durée de l’engagement, ainsi qu’au formalisme du proces-sus :

� Obligation couvrant tous types de supports (magnétique, écrit ou imprimé, optique, etc.) � Directives couvrant aussi bien l’interdiction d’action directe (divulgation, altération ou destruction) que

l’obligation des précautions à prendre pour éviter les actions de tiers � Directives couvrant tout le personnel y compris celui des sous-traitants (dans ce cas, après acceptation

et validation par l’entreprise contractante, le contrat doit stipuler l’obligation par le sous-traitant de faire signer de telles clauses par son personnel).

� Obligation s’étendant après la fin du contrat, sans limite de durée (en particulier pour le respect de la confidentialité)

� Obligation de reconnaître formellement avoir été tenu au courant de l’ensemble des règles à adopter et de les avoir acceptées

� Formation obligatoire de l’ensemble du personnel d’exploitation — La robustesse du service est liée à la conservation et à la protection des engagements du person-





Version 2010

décembre 2009


MEHARI 2010 166/308 © CLUSIF 2010

08A02 Contrôle des outils et utilitaires de l’expl oitation

Objectif : Limiter aux seuls besoins de l’exploitation les outils et utilitaires mis à la disposition du personnel

d’exploitation et en contrôler l’usage.

Résultats attendus : Éviter (autant que faire se peut) que le personnel d’exploitation abuse de ses droits en

s’appuyant sur des outils ou utilitaires non autorisés (accès aux résidus d’exploitation sensibles, ac-cès à des zones de mémoire tampon utilisées par les équipements de réseau, décryptage de mots de passe, accès aux clés de chiffrement, etc.)


Mesures organisationnelles Les mesures organisationnelles consistent à :

— Lister toutes les tâches de l’exploitation, aussi bien courantes qu’exceptionnelles — Identifier les outils et utilitaires nécessaires à chaque tâche — Séparer les profils habilités à les utiliser, de manière à limiter les possibilités d’abus (les utilitaires

sensibles nécessaires pour certaines actions exceptionnelles n’étant autorisés qu’à des profils bien spécifiques, accordés uniquement à des responsables spécialement désignés)


— La gestion de profils différenciés pour l’exploitation et la mise en place d’un contrôle des droits d’accès correspondants :

� Login individualisés � Contrôles des profils et droits attachés pour l’utilisation des utilitaires

— Le contrôle de l’introduction de nouveaux utilitaires et de la modification des utilitaires existants

Qualité de service — L’efficacité du service est liée à plusieurs facteurs

� La rigueur des procédures de définition des divers profils d’exploitation � La rigueur des procédures d’attribution des profils au personnel d’exploitation � la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit (force et solidité du mot de

passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, etc.) — La robustesse du service est liée à trois facteurs :

� la solidité et l’inviolabilité du processus de contrôle des droits lors de l’accès aux utilitaires � la solidité des mesures empêchant l’introduction de nouveaux utilitaires � la solidité des mesures de protection des utilitaires eux-mêmes contre des modifications

— La mise sous contrôle est réalisée par des audits réguliers : � des paramètres supports des mécanismes d’authentification, � des profils utilisés par le personnel d’exploitation � des utilitaires présents dans les équipements et systèmes de pilotage



Version 2010

décembre 2009


MEHARI 2010 167/308 © CLUSIF 2010

08A03 Contrôle de la mise en production de nouv eaux systèmes ou d’évolutions de systèmes existants

Objectif : Gérer avec rigueur les problèmes de sécurité que peut poser la mise en production de nouveaux sys-

tèmes (matériel, logiciel opératoire, middleware, applicatif) ou de nouvelles versions de systèmes existants.

Résultats attendus : Éviter que la mise en production de nouveaux systèmes (matériel, logiciel opératoire, middleware,

applicatif) ou de nouvelles versions de systèmes existants n’ouvre une faille de sécurité non suspectée (nouvelle faille ou faille connue dont la correction pourrait être inhibée par la nouvelle mise en produc-tion).


Mesures organisationnelles Le problème que peuvent poser, du point de vue de la sécurité, ces installations de systèmes

tient au fait que les équipes d’exploitation n’ont pas forcément les outils ni la formation pour envisa-ger les risques pouvant être créés par ces installations ou évolutions.

Les mesures à mettre en œuvre sont de plusieurs ordres : — Etablissement de procédures formelles de décision, d’approbation et de contrôle préalable aux dé-


— L’analyse des nouvelles fonctionnalités et des risques nouveaux éventuels, de même que pour un nouveau projet :

� Identification formelle des nouvelles fonctionnalités apportées par la mise en production projetée � Analyse des risques que ces nouvelles fonctionnalités peuvent induire ou faciliter � Prise en compte de l’impact de ces évolutions sur les plans de continuité d’activité, � Jugement sur le caractère acceptable ou non de ces risques nouveaux � Prise de décision sur les mesures complémentaires éventuelles à mettre en œuvre.

— La vérification que les paramétrages et dispositifs de sécurité prévus sur les versions précédentes, en cas d’évolution, sont bien toujours en place et actifs :

� Tenue à jour d’une liste des paramètres de sécurité et des points de contrôle � Vérification de l’activation de tous les processus de sécurité




l’installation ou de l’évolution et, en particulier : � Au formalisme de l’analyse de risque et des conclusions qui en sont tirées � Aux capacités de support de la part d’une cellule spécialisée � À la formation préalable des équipes d’exploitation à ce type de démarche. � Au formalisme de la tenue à jour des paramétrages de sécurité de chaque version et du contrôle de

conformité de ces paramètres sur une nouvelle version. — La robustesse du service est liée à :

� La volonté de la Direction de ne pas déroger aux procédures formelles d’analyse de risque et de contrôle de conformité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un membre de la Direction). La principale cause de contournement vient, en effet, de la tendance à déroger aux procédures d’analyse de ris-que ou de contrôle de conformité sous la pression des délais.



Version 2010

décembre 2009


MEHARI 2010 168/308 © CLUSIF 2010

� L’impossibilité de procéder à des mises production pour du personnel n’ayant pas cette fonction et à la solidité des contrôles correspondants (rigueur dans l’attribution des profils et authentification forte)

— La mise sous contrôle est réalisée par des audits réguliers de l’application des procédures ci-dessus.



Version 2010

décembre 2009


MEHARI 2010 169/308 © CLUSIF 2010

08A04 Contrôle des opérations de maintenance


nance sur les systèmes

Résultats attendus : Éviter qu’une intervention de maintenance sur un système ouvre une faille de sécurité non sus-

pectée.



tion de maintenance : — Des paramètres de sécurité (fichiers cachés, paramétrages des contrôles d’accès, etc.) — Des paramètres d’enregistrement des événements de sécurité (types d’événements, durées de ré-

tention, etc .) — Des paramètres de contrôle de l’administration des équipements — etc.


mètres à contrôler sur chaque type de système et sur chaque système particulier. — La robustesse du service est liée à deux types de facteurs :

� D’une part au contrôle précis que les paramètres de contrôle de l’administration du système n’ont pas été modifiés dans le sens d’une ouverture possible de droits d’administration à des personnes non autorisées

� D’autre part à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle des pa-ramètres de sécurité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des délais.




Version 2010

décembre 2009


MEHARI 2010 170/308 © CLUSIF 2010

08A05 Prise en compte de la confidentialité lors des opérations de maintenance sur des systèmes en production

Objectif : Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de

maintenance sur les systèmes

Résultats attendus : Éviter qu’une intervention de maintenance sur un système se traduise par une fuite d’information

sensible.



que : — Les données réelles de production ne soient pas accessibles par le personnel de maintenance :

� Isolement des baies de stockage opérationnelles et remplacement, si nécessaire, par des données de test

� Effacement (physique) des supports de données si ces supports ne peuvent être enlevés � Destruction ou conservation des supports rebutés

— Empêcher ou contrôler a posteriori que l’opération de maintenance se traduise par des fuites ulté-rieures d’information (absence de module espion, de porte dérobée, etc.)

Qualité de service — L’efficacité du service est essentiellement liée à la précision et au formalisme des procédures à sui-

vre pour chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opérations à mener avant et après l’intervention de la maintenance).

— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle de la confidentialité lors des opérations de maintenance sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des délais.




Version 2010

décembre 2009


MEHARI 2010 171/308 © CLUSIF 2010



Résultats attendus : Éviter que la ligne de télémaintenance soit utilisée pour pénétrer un système par des personnes

non autorisées.


Mesures techniques Les mesures techniques de base consistent essentiellement en une authentification forte de

l’agent de maintenance, l’idéal étant que cette authentification couvre à la fois : — Le lieu depuis lequel est initialisée la liaison de télémaintenance (par exemple par une liaison de



Les mesures techniques additionnelles consistent en la mise sous contrôle de l’utilisation de la ligne de télémaintenance :

— Chiffrement ou scellement des échanges pour éviter une intrusion après la phase d’authentification — Enregistrement de toute utilisation de la ligne de télémaintenance et des actions effectuées — Audit de la pertinence de ces actions et de leur acceptation par les responsables de la mainte-

nance




Dans certains cas d’équipements sensibles, il peut être utile de prévoir, au titre des mesures or-ganisationnelles une procédure d’ouverture de session de télémaintenance pour que l’utilisation de la ligne de télémaintenance soit totalement sous le contrôle de l’entreprise.






éléments secrets � La protection du système sur lequel est connectée la ligne de télémaintenance contre toute modification

qui pourrait rendre la ligne de télémaintenance utilisable sans les contrôles ci-dessus. � Les mesures organisationnelles complémentaires pour éviter que les procédures de gestion

d’exceptions ne soient utilisées pour obtenir à tort une autorisation d’accès



Version 2010

décembre 2009


MEHARI 2010 172/308 © CLUSIF 2010

— La mise sous contrôle est réalisée par des audits réguliers : � des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès effectué lors de l’utilisation de




Version 2010

décembre 2009


MEHARI 2010 173/308 © CLUSIF 2010

08A07 Protection des états et rapports imprimés se nsibles

Objectif : Gérer avec rigueur les problèmes de confidentialité que peut poser la diffusion des états impri-

més

Résultats attendus : Éviter que la diffusion des états imprimés se traduise par une fuite d’information sensible.


Mesures techniques Les mesures techniques consistent à contrôler l’accès aux états imprimés dans la phase de dif-

fusion ou de distribution : — Casiers fermant à clé si les utilisateurs viennent chercher eux-mêmes leurs états — Liasses d’états scellées sous cellophane ou distribuées sous enveloppe — États conservés en armoire forte et remis en main propre pour les plus sensibles

Mesures organisationnelles — Les mesures organisationnelles d’accompagnement consistent essentiellement à conserver une

grande discrétion sur le contenu des états : � Marquage ne faisant pas apparaître la classification � Marquage anonyme ne faisant pas apparaître le service demandeur

Qualité de service — L’efficacité du service est essentiellement liée à la solidité des mesures de contrôle d’accès aux

états en attente de diffusion (solidité des serrures, des casiers eux-mêmes, etc.) — La robustesse du service est liée aux aspects suivants :

� la protection des locaux dans lesquels les états sont imprimés � la protection du transport et des moyens de stockage intermédiaires des états � la protection des locaux des destinataires des états

— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédu-res et mécanismes ci-dessus.



Version 2010

décembre 2009


MEHARI 2010 174/308 © CLUSIF 2010

08A08 Gestion des procédures opérationnelles d’ exploitation informa-tique

Objectif : Faire en sorte que les procédures opérationnelles d’exploitation des systèmes soient décrites,

documentées, connues de ceux qui doivent les appliquer et intangibles, sauf accord à un niveau suffisant du management et conduisant des révisions documentées à leur tour.


opérationnelles.


















Version 2010

décembre 2009


MEHARI 2010 175/308 © CLUSIF 2010

08A09 Gestion des prestataires ou fournisseurs de s ervice liés à la production informatique


ne permettent pas de réaliser de nombreuses opérations liées à l’exploitation et à la sécurisation des systèmes informatiques. Il est alors nécessaire de confier ces opérations, temporairement ou de façon permanente, à des personnels externes et des prestataires de service.


















Version 2010

décembre 2009


MEHARI 2010 176/308 © CLUSIF 2010


08B01 Paramétrage des systèmes et contrôle de la c onformité des configurations systèmes

08B02 Contrôle de la conformité des configurations applicatives (logi-ciels et progiciels)

La fiche 08B02 est identique à la 08B01 en remplaçant partout, système par configuration ap-plicative

Objectif : Traduire de manière concrète les diverses règles de filtrage, définies au niveau de l’architecture,

en règles de contrôle paramétrées dans les systèmes et contrôler leur permanence dans le temps.

Résultats attendus : Éviter que, pour une raison quelconque (défaillance de l’installation ou de la maintenance ou ac-

tion volontaire d’une personne voulant nuire à l’entreprise ou abuser de droits), les paramétrages des systèmes ne soient pas conformes à la politique décidée.


Mesures organisationnelles — Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques, faits au ni-

veau de l’architecture, en paramètres et options des divers outils installés. Le résultat est un en-semble de documents fixant ces règles et un fichier de paramétrage par système, y compris les lo-giciels de pilotage et d’administration, paramétrage effectué lors de la mise en service de chaque système.


— Enfin, il est nécessaire de prévoir les mesures d’exceptions, c’est-à-dire le moyen pour un utilisa-teur de sortir d’une situation où les mesures de sécurité constitueraient un blocage de l’activité (il est clair en effet que de telles situations peuvent arriver et qu’il vaut mieux y être préparé par des procédures d’alerte et d’escalade permettant alors de prendre les bonnes décisions au bon niveau de responsabilité)


contrôle de la permanence et de la pertinence des paramétrages décidés : — Recherche et remplacement des comptes génériques fournis par les constructeurs et éditeurs ainsi

que des mots de passe éventuels par des mots de passe renforcés, — Synchronisation des horloges sur un référentiel garanti, — Séparation des systèmes de développement, de test et d’intégration des systèmes opérationnels. — Protection des fichiers de paramétrages par des techniques de scellement ou de signature électro-

nique (voire des techniques de chiffrement) — Mécanismes de contrôle des paramètres installés par rapport aux paramètres théoriques. — Contrôle de tout changement de paramétrage effectué avec alerte auprès d’un responsable.


� la précision et le formalisme de la liste des paramètres à configurer sur chaque système. � L’automatisme des opérations de configuration des paramétrages, pour éviter tout oubli ou erreur.

— La robustesse du service est liée à deux types de facteurs :



Version 2010

décembre 2009


MEHARI 2010 177/308 © CLUSIF 2010

� La solidité des automatismes de scellement et de contrôle des sceaux, pour éviter une altération de la liste des paramétrages avant configuration

� La protection des systèmes contre une modification non autorisée des paramétrages ainsi que la détec-tion de l’inhibition de tout système de contrôle de l’authenticité des paramétrages.

— La mise sous contrôle est réalisée par des audits réguliers : � de la liste des paramétrages et des paramétrages réellement installés � de l’application des procédures de modification des paramétrages et d’escalade en cas de difficulté.



Version 2010

décembre 2009


MEHARI 2010 178/308 © CLUSIF 2010

08B03 Contrôle de la conformité des programmes de référence (Sour-ces et exécutables)

Objectif : Contrôler que les programmes de référence, sources ou exécutables, pouvant être utilisés par la

production informatique à la suite d’un incident nécessitant de recharger le système ou une applica-tion sont bien conformes à ce qu’ils devraient être.

Résultats attendus : Éviter que pour une raison quelconque, le rechargement d’un système ou d’une application

conduise à introduire une faille de sécurité, soit parce que ledit programme aura été malicieusement modifié, soit parce qu’il s’agira d’une ancienne version avec des trous de sécurité non corrigés.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont techniques et organisationnels.

Mesures techniques Les mesures techniques de base consistent à automatiser les processus de contrôle :

— Mise en place d’un sceau ou d’une signature à chaque mise en production de système ou d’application

— Contrôle des sceaux périodique à chaque nouvelle installation ou à chaque démarrage système

Mesures organisationnelles Des mesures organisationnelles peuvent remplacer des mesures techniques automatiques :

— Protection physique des supports des programmes sources, voire exécutables. — Signature des supports et détention par un responsable de haut rang

Quoi qu’il en soit, des mesures organisationnelles d’accompagnement sont absolument néces-saires pour gérer les évolutions de code :

— Interdiction aux équipes de développement d’intervenir sur les programmes de référence de la pro-duction

— Acceptation formelle des passages en production avec gestion des indices de modifications.


� La solidité de l’algorithme de scellement des programmes de référence de la production. � L’automatisme des contrôles effectués à chaque nouvelle installation

— La robustesse du service est liée à deux types de facteurs : � La protection des utilitaires de scellement contre tout usage non autorisé � Le contrôle de la modification ou de l’inhibition du système de contrôle des sceaux.

— La mise sous contrôle est réalisée par des audits réguliers de l’usage des produits de scellement et de contrôle des sceaux.



Version 2010

décembre 2009


MEHARI 2010 179/308 © CLUSIF 2010

08C Gestion des supports informatiques de données et programmes

08C01 Administration des supports

Objectif : Gérer avec rigueur les mouvements de supports entre la médiathèque et la production (gestion

des sorties, des restitutions, recherche des manquants, etc.) ainsi que leur mise au rebut.

Résultats attendus : Éviter que des supports de production soient retirés de la médiathèque sans contrôle ou qu’ils

soient subtilisés en production sans déclencher d’investigations. Assurer une mise au rebut en conformité avec les règles établies et sans risque de divulgation

d’information. Dissuader le personnel de production de dérober un support opérationnel.


Mesures organisationnelles — Le socle de ce service consiste bien entendu à gérer avec rigueur tous les mouvements de sup-

ports : � Enregistrement des mouvements de sortie (date, heure, responsable initialisant la demande, liens éven-

tuels avec la programmation de travaux, etc.) ainsi que leur mise au rebut. � Enregistrement des entrées en médiathèque � Analyse systématique des écarts entre entrées et sorties et signalement de toute anomalie

— Il convient, en complément, que toute anomalie fasse l’objet d’une investigation.

Mesures techniques Les mesures techniques d’accompagnement consistent en un système de gestion des supports

permettant de détecter automatiquement toute durée de sortie anormale et de suivre les investiga-tions.

S’y ajoutent des procédures et moyens techniques d’effacement des données sensibles avant mise au rebut.

Il convient alors de protéger les accès aux fichiers supports de cette gestion.


� la permanence du service de gestion des supports (24/24 7/7) � la rigueur de gestion des procédures d’enregistrement et de suivi des anomalies

— La robustesse du service réside dans la protection du fichier (SGBD) des enregistrements : � droits d’accès limité au gestionnaire des supports (au moins en écriture ou effacement d’un mouve-

ment) � rigueur du contrôle d’accès

— La mise sous contrôle est réalisée par des audits réguliers : � des procédures d’enregistrement � du suivi des anomalies et des investigations faites



Version 2010

décembre 2009


MEHARI 2010 180/308 © CLUSIF 2010

08C02 Marquage des supports de production (vivants , sauvegardes et archives)

Objectif : Marquer les supports de production de manière tout à fait anonyme (sans aucune indication sur

leur contenu).

Résultats attendus : Rendre très difficile la subtilisation de supports sensibles Dissuader le personnel non directement concerné de voler un support (ne sachant pas le conte-

nu d’un support, le vol ne présente pas d’intérêt).


Mesures organisationnelles Ce service consiste bien entendu à gérer avec rigueur un marquage numérique sans aucune si-

gnification : — marquage en série, sans lien avec l’activité — gestion de tables séparées faisant le lien entre un fichier et le numéro du support — absence même d’indications sur la classification du contenu

Mesures techniques Les mesures techniques d’accompagnement consistent en un système de gestion des marqua-

ges, qu’il convient, bien entendu, de protéger.

Qualité de service — L’efficacité du service est essentiellement liée à la rigueur des procédures garantissant l’anonymat

du marquage — La robustesse du service réside dans la protection du fichier (SGBD) des enregistrements :

� droits d’accès limité au gestionnaire des supports � rigueur du contrôle d’accès

— La mise sous contrôle est réalisée par des audits réguliers : � des procédures de marquage � de la protection du fichier de gestion des numéros de supports



Version 2010

décembre 2009


MEHARI 2010 181/308 © CLUSIF 2010

08C03 Sécurité physique des supports stockés sur s ite

Objectif : Protéger les supports de production contre tout accès non autorisé ou tout accident physique.

Résultats attendus : Prévenir la subtilisation de supports sensibles en médiathèque et éviter leur destruction acciden-

telle.


Mesures techniques — Les mesures techniques de contrôle d’accès concernent :

� les voies d’accès courantes du personnel : portes contrôlées par badge, éventuellement par digicode � les autres voies d’accès : contrôle des fenêtres, des issues de secours, des autres accès éventuels � la protection des transferts entre la production et la médiathèque

— Les mesures complémentaires concernent la protection contre les risques divers : � détection et extinction incendie � protection contre les dégâts des eaux � régulation thermique et hygrométrique


de dysfonctionnement ou de violation des mesures techniques : � conduite à tenir en cas d’arrêt ou de violation des mesures techniques � détection d’interruption des mesures techniques � équipes d’intervention


� La solidité ou l’inviolabilité du support des authentifications (mécanismes protégeant les badges contre une recopie ou une falsification, installations permettant d’éviter l’observation directe d’un digicode)

� L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de faire entrer une personne par prêt de badge)

— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité des contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux mesures organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures concernant la sécurité du personnel)




Version 2010

décembre 2009


MEHARI 2010 182/308 © CLUSIF 2010

08C04 Sécurité physique des supports externalisés (stockés dans un site externe)

Objectif : Protéger les supports de production externalisés contre tout accès non autorisé ou tout accident

physique.

Résultats attendus : Prévenir la subtilisation de supports sensibles en médiathèque et éviter leur destruction acciden-

telle.

Mécanismes et solutions Les mécanismes de base à mettre en œuvre sont essentiellement techniques et ont été décrits

dans la fiche précédente. Cependant, dans la mesure où les supports externalisés sont confiés à une société extérieure, il convient de prendre le problème différemment et de l’aborder sous l’angle contractuel. Il s’agit alors de mesures organisationnelles.

Mesures organisationnelles Les mesures organisationnelles concernent d’abord le choix du prestataire :

— choix d’une société spécialisée dans ce type de prestation — choix d’une société spécialisée pour le transfert des media entre le site de production et le site ex-

terne En complément, tout ce qui a été dit dans la fiche précédente devra être traduit en obligation

contractuelle Enfin, on prévoira un droit d’audit des installations et des procédures.


� la solidité des sociétés partenaires � l’étendue des clauses de garantie

— La mise sous contrôle est réalisée par des audits réguliers : � des installations du ou des prestataires � des procédures courantes (de gestion des media) et exceptionnelles (de gestion des incidents et ano-

malies)



Version 2010

décembre 2009


MEHARI 2010 183/308 © CLUSIF 2010

08C05 Vérification et rotation des supports d’arch ivage

Objectif : Vérifier régulièrement les supports d’archivage et les possibilités de relecture de ces supports

Résultats attendus : Éviter que des supports anciens ne puissent être relus, soit pour des raisons liées au support

lui-même (vieillissement, pollution, etc.) soit pour des raisons liées à l’équipement de relecture (in-disponibilité, incompatibilité de version, etc.)

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels mais s’appuient éga-

lement sur des services techniques

Mesures organisationnelles — Le socle de ce service consiste bien entendu à organiser une rotation et une vérification régulière

des supports d’archives : � types de prélèvements (il peut être onéreux de vouloir relire systématiquement toutes les archives) � fréquences des tests � recopies éventuelles sur des supports neufs

— Il convient en outre de gérer les équipements de lecture des supports : � gestion des indices et conservation des versions des systèmes d’exploitation � conservation éventuelle d’équipements à seule fin de relire les archives et maintien d’un entretien

Mesures techniques La gestion des rotations et prélèvements s’appuiera le plus souvent sur des outils informatiques.

Les mesures techniques d’accompagnement consistent alors à protéger les fichiers de gestion contre toute altération illicite qui conduirait à ne pas contrôler certains supports sensibles.


� la fréquence des essais de relecture � le taux de prélèvement pour essai de relecture � l’étendue des systèmes de lecture conservés en état de fonctionnement

— La robustesse du service est liée à la solidité des mesures de protection des fichiers supports de la gestion des rotations et prélèvements.

— La mise sous contrôle est réalisée par des audits réguliers : � des tests de relecture � des procédures de gestion des systèmes de lecture



Version 2010

décembre 2009


MEHARI 2010 184/308 © CLUSIF 2010

08C06 Sécurité des réseaux de stockage (SAN : Stor age Area Net-work)

Objectif : S’assurer que les données stockées par l’intermédiaire d’un réseau de stockage ne puissent

être accédées que par des entités autorisées (serveurs ayant au préalable enregistré les données, serveurs de sauvegarde, etc.)

Résultats attendus : Éviter que des données émises sur un réseau de stockage à destination d’un équipement

d’enregistrement soient détournées par un processus non prévu ou non autorisé.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement techniques.

Mesures techniques — Les mesures techniques de base consistent à contrôler l’accès aux données, à différents niveaux :

� Isolement des réseaux de stockage des autres réseaux, par des procédés physiques ou logiques (commutateurs réseaux, VLAN, etc.)

� Protection des réseaux de stockage par des pare-feux ne laissant passer que les protocoles de stoc-kage et les flux d’administration

� Authentification des entités accédant aux données � Protection contre les rejeux de stockage ou de déstockage � Chiffrement des données par les entités émettrices

— Les mesures complémentaires visent à s’assurer que les mesures de sécurité précédentes ne peuvent être contournées :

� Protection du processus de diffusion initiale des conventions secrètes (clés ou mots de passe) � Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué. � Protection des éléments d’authentification conservés par les entités émettrices ou les équipements as-

surant l’authentification (stockage des mots de passe, par exemple)

Qualité de service — L’efficacité du service est liée à la solidité ou l’inviolabilité des divers mécanismes utilisés :

� Solidité de l’isolement des réseaux � Solidité du contrôle d’accès et de l’authentification proprement dite aux systèmes de stockage (force et

solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, solidité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de séquence, etc.)

� Solidité de l’algorithme de chiffrement éventuel des données — La robustesse du service est liée à trois facteurs :

� l’inviolabilité des protocoles annexes : diffusion initiale, échanges ou stockage des éléments secrets � les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement

de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés — La mise sous contrôle est réalisée par des audits réguliers :

� des paramètres supports des mécanismes d’isolement et d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 185/308 © CLUSIF 2010

08C07 Sécurité physique des médias en transit

Objectif : Gérer avec rigueur les mouvements de médias entre sites

Résultats attendus : Éviter que des supports de production soient retirés d’un site sans contrôle et qu’ils soient per-

dus ou subtilisés lors des transports entre sites sans déclencher d’investigations. Dissuader le personnel de production de dérober un support opérationnel.


Mesures organisationnelles — Le socle de ce service consiste bien entendu à gérer avec rigueur tous les mouvements de médias

entre sites : � Etablissement de procédures à respecter lors de ces mouvements, � Enregistrement des mouvements de sortie (date, heure, responsable initialisant la demande, liens éven-

tuels avec la programmation de travaux, etc.). � Enregistrement des entrées dans le site destinataire, � Analyse systématique des écarts entre entrées et sorties et signalement de toute anomalie

— Il convient, en complément, que toute anomalie fasse l’objet d’une investigation.


� L’utilisation des procédures d’accompagnement et de sécurisation des supports (containers, …) et le contrôle de leur respect,

� un système de gestion des supports permettant de détecter automatiquement toute durée de mouvement anormale et de suivre les investigations.

Il convient alors de protéger les accès aux fichiers supports de cette gestion.


� la force des moyens de protection des médias et des transferts, � la rigueur de gestion des procédures d’enregistrement et de suivi des anomalies

— La mise sous contrôle est réalisée par des audits réguliers : � des procédures de transfert, � du suivi des anomalies et des investigations faites



Version 2010

décembre 2009


MEHARI 2010 186/308 © CLUSIF 2010

08D Continuité de fonctionnement

08D01 Organisation de la maintenance du matériel ( équipements) en exploitation

Objectif : Assurer la maintenance des matériels pour les cas de panne ou d’évolutions nécessaires.


changements de contexte internes ou externes) se traduise par une interruption inacceptable du service.













— La robustesse du service est liée à deux types de facteurs : � La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité) � Les possibilités d’action ou de pression en cas de grève du personnel � L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire

par un seul spécialiste — La mise sous contrôle est réalisée par des audits réguliers :




Version 2010

décembre 2009


MEHARI 2010 187/308 © CLUSIF 2010

08D02 Organisation de la maintenance du logiciel ( système, logiciel de couche intermédiaire et progiciel applicatif)

Objectif : Assurer la maintenance des logiciels pour les cas de bogues (bugs) ou d’évolutions nécessai-

res.

Résultats attendus : Éviter qu’un bogue (bug) bloquant ou qu’une évolution nécessaire (que ce soit pour des chan-

gements de contexte internes ou externes) se traduise par une interruption inacceptable du service.


Mesures organisationnelles — Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance avec les

fournisseurs de logiciels et de progiciels. L’élaboration des clauses adéquates dans le contrat né-cessite néanmoins quelques actions préliminaires et précautions :

� Identifier les logiciels critiques et, pour ceux-ci, le délai d’intervention souhaitable et le délai maximum to-lérable en cas de bug bloquant

� Négocier avec le fournisseur le délai maximum d’intervention � Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et

conditions d’appel aux meilleurs spécialistes � Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels

Mesures techniques — Les mesures techniques d’accompagnement éventuelles consistent en des capacités

d’intervention à distance (télémaintenance) permettant d’accélérer le diagnostic



� L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes. � La compétence et l’expertise du fournisseur






Version 2010

décembre 2009


MEHARI 2010 188/308 © CLUSIF 2010

08D03 Procédures et plans de reprise des applicati ons sur incidents d’exploitation

Objectif : Assurer une gestion des incidents systèmes ou applicatifs qui soit acceptable par les utilisa-

teurs.

Résultats attendus : Éviter qu’un incident système ou applicatif se traduise par des pollutions ou des pertes de don-

nées ou des pertes de service inacceptables par les utilisateurs.



� des incidents pouvant survenir sur le système ou l’application (panne d’équipement, saturation de buffer, panne externe, deadlock, plantage système, etc.)

� des conséquences de chacun de ces incidents sur les données en cours de traitement et sur la cohé-rence de l’ensemble des bases de données, ainsi que sur la continuité des services offerts





— Les mesures techniques d’accompagnement consistent en des capacités : � de points de reprise applicatifs assurant la cohérence des données � de fichiers de travail temporaires assurant les possibilités de retour à l’état antérieur.


� la précision et la profondeur de l’analyse des types d’incidents, de leurs conséquences et du caractère acceptable ou non de ces conséquences


� La protection des moyens de diagnostic contre des altérations ou des inhibitions intempestives. � La protection des moyens d’administration permettant la reprise des applications et la reconfiguration

des systèmes contre toute inhibition ou mise hors service. — La mise sous contrôle est réalisée par des audits réguliers :

� des possibilités réelles de restauration des données et de reprise du service en cas d’incident � de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du fonctionnement

des applications. � de la mise à jour de la documentation et des moyens de reprise à chaque évolution des systèmes ou

applications



Version 2010

décembre 2009


MEHARI 2010 189/308 © CLUSIF 2010

08D04 Sauvegarde des configurations logicielles (l ogiciels de base et applicatifs et paramètres de configuration)

Objectif : Organiser la sauvegarde des configurations et des logiciels installés, pour les systèmes, les

middleware et les applications.

Résultats attendus : Permettre une reprise rapide de l’exploitation des systèmes et des applications en cas

d’effacement accidentel d’une configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.


Mesures organisationnelles — Les mesures organisationnelles de base consistent à planifier (à fréquence fixe et à chaque évolu-

tion majeure) et organiser les sauvegardes de l’ensemble des logiciels et des paramètres de confi-guration, de sorte que l’on puisse rebâtir complètement l’environnement de production en cas de nécessité.

— Les mesures organisationnelles d’accompagnement visent à s’assurer que les sauvegardes pour-ront être utilisées :

� contrôles de relecture périodiques � stockage d’un jeu de sauvegardes de recours en dehors du site de production

Mesures techniques — Les mesures techniques de base consistent à traduire l’organisation théorique en automates de

production. — Les mesures techniques d’accompagnement consistent à protéger ces automatismes contre des

actions volontaires ou accidentelles pouvant avoir pour effet de les modifier de manière indue.


� l’exhaustivité des paramètres sauvegardés des configurations et des logiciels dont les sauvegardes sont assurées

� la fréquence des sauvegardes � l’automatisation des opérations de sauvegardes proprement dites

— La robustesse du service est liée à plusieurs types de facteurs : � la protection des automatismes contre toute altération ou modification non contrôlée � l’externalisation de sauvegardes de recours

— La mise sous contrôle est réalisée par : � des essais réguliers de relecture des sauvegardes � des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer complè-

tement l’environnement de production � des audits des procédures de sauvegardes et de la protection des automatismes �



Version 2010

décembre 2009


MEHARI 2010 190/308 © CLUSIF 2010

08D05 Sauvegarde des données applicatives

Objectif : Organiser la sauvegarde des données relatives aux applications

Résultats attendus : Permettre une reprise rapide de l’exploitation des applications en cas d’incident, de reconfigura-

tion de systèmes ou de mise en œuvre de plans de secours.


Mesures organisationnelles — Les mesures organisationnelles de base visent à planifier et organiser les sauvegardes des don-

nées applicatives en fonction de deux aspects également importants : � l’étude de la durée maximale admissible entre deux sauvegardes pour que les inconvénients subis par

les utilisateurs soient acceptables � le synchronisme entre fichiers sauvegardés pour assurer que l’exploitation des applications puisse effec-

tivement reprendre avec les données sauvegardées, en toute cohérence — Les mesures organisationnelles d’accompagnement visent à s’assurer que les sauvegardes pour-

ront être utilisées : � contrôles de relecture périodiques � test effectif que l’on peut redémarrer les applications et les services correspondants à partir des sauve-

gardes � stockage d’un jeu de sauvegardes de recours en dehors du site de production





� la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs � le synchronisme de sauvegardes � l’automatisation des opérations de sauvegardes proprement dites


— La mise sous contrôle est réalisée par : � des essais réguliers de relecture des sauvegardes des données applicatives � des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer complè-

tement les applications et redémarrer un service effectif � des audits des procédures de sauvegardes et de la protection des automatismes



Version 2010

décembre 2009


MEHARI 2010 191/308 © CLUSIF 2010

08D06 Plans de reprise d’activité des services inf ormatiques

Objectif : Assurer la reprise d’activité des systèmes et applications en cas d’accident grave empêchant

une reprise d’activité à court terme par une simple opération de maintenance.

Résultats attendus : Permettre une reprise de l’exploitation des applications en cas d’accident grave survenant sur

une partie plus ou moins importante du site de production, et ceci en limitant les pertes de données et dans un délai compatible avec les besoins des utilisateurs.

Chaque fois que nécessaire, ces plans doivent s’intégrer dans des plans de continuité des acti-vités es métiers.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à :

� identifier les scénarios de sinistre ou d’accident à analyser en détail (sinistre global, sinistre partiel sur telle ou telle partie, etc.)

� analyser, pour chaque scénario, compte tenu des serveurs et applications impactées, les conséquen-ces d’un accident grave sur la continuité des services concernés

� identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et le fonctionnement en mode secours (en prévoyant, éventuellement, plu-sieurs étapes, avec des services progressivement repris).

� Documenter les scénarios et les plans de reprise en incluant leur conservation en lieu sûr, � Constituer des équipes propres à réaliser les procédures et former les acteurs directs et attachés (help

desk, utilisateurs, etc.). — Les mesures de base visent ensuite à déterminer la solution de secours, à décrire en détail les ac-

tions à mener quand survient le sinistre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions des systèmes ou des applications.

Mesures techniques — Les mesures techniques de base consistent à assurer une solution de secours pour tous les scé-

narios de sinistre retenus, ces solutions pouvant être : � des redondances d’équipements � des solutions de secours sur un site distant, avec des équipements propres ou mutualisés � l’installation de nouveaux matériels dans des salles prévues en conséquence (salles blanches) � etc.


� l’exhaustivité des scénarios analysés � l’adéquation des délais de mise en œuvre des diverses solutions de secours prévues avec les besoins

des utilisateurs � la qualité et la rigueur de détail du plan de reprise d’activité � les ressources humaines et leur niveau de préparation à l’occurrence des sinistres.


— La mise sous contrôle est réalisée par : � des tests de PRA représentatifs de la réalité � des audits de la rigueur de gestion des procédures appelées par le plan de secours.



Version 2010

décembre 2009


MEHARI 2010 192/308 © CLUSIF 2010

08D07 Protection antivirale des serveurs de produc tion

Objectif : Assurer la protection des serveurs de production contre les risques d’infection virale

Résultats attendus : Éviter l’action des virus et leur propagation


Mesures techniques Les mesures techniques de base consistent à équiper les serveurs de production et les serveurs

de messagerie d’antivirus efficaces : — en provenance de plusieurs fournisseurs — régulièrement mis à jour

Mesures organisationnelles Les mesures organisationnelles d’accompagnement consistent en :

— la sensibilisation et la préparation des personnels informatiques et de support aux utilisateurs aux attaques virales ou malveillantes,

— l’abonnement à des centrales d’alerte pouvant permettre d’anticiper certaines attaques massives, — la mise en place de cellule de crise permettant de réagir très vite où une première attaque serait

détectée (en dehors de la détection par l’antivirus).


� la qualité des fournisseurs � la fréquence des mises à jour

— La robustesse du service est liée à l’existence de cellule de veille et de cellule de crise en cas d’attaque

— La mise sous contrôle est réalisée par des audits de la fréquence des mises à jour:



Version 2010

décembre 2009


MEHARI 2010 193/308 © CLUSIF 2010

08D08 Gestion des systèmes critiques (vis-à-vis de la permanence de la maintenance)

Objectif : Assurer la continuité de l’activité en cas de disparition ou d’indisponibilité durable du fournisseur

d’un système ou d’un logiciel système (y compris le middleware) ou du prestataire chargé d’en as-surer la maintenance

Résultats attendus : Éviter que la disparition d’un fournisseur mette en péril la continuité des services informatiques.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque système ou logiciel, les

conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble des services infor-matiques et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance admissible entre le moment où cette disparition serait constatée et le moment où une solution de repli pourrait être mise en œuvre


� Le changement de système ou de logiciel système par celui d’un autre fournisseur � La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à

une documentation de maintenance suffisante, dans des conditions à définir de manière précise) � Une évolution radicale de l’architecture système permettant de se passer de l’équipement ou du logiciel

posant problème


� le délai de mise en œuvre des diverses solutions de repli prévues � la qualité et la rigueur de détail du plan de repli prévu

— La robustesse du service est liée à l’existence de variantes des plans de repli au cas où la solution de base ne fonctionnerait pas

— La mise sous contrôle est réalisée par des audits : � de la pertinence des solutions prévues � des procédures les rendant possibles (dépôt des documentations chez une tierce partie de confiance). �



Version 2010

décembre 2009


MEHARI 2010 194/308 © CLUSIF 2010

08D09 Sauvegarde de secours (recours) externalisée s

Objectif : Organiser une sauvegarde des programmes, des configurations et des données en dehors du

site de production.

Résultats attendus : Permettre un accès à des sauvegardes de recours, même en cas d’inaccessibilité du site de

production, quelle que soit la cause qui empêche d’accéder aux sauvegardes normales de produc-tion.


Mesures organisationnelles — Les mesures organisationnelles de base visent à organiser les sauvegardes de recours pour les

cas d’inaccessibilité du site de production, en fonction de deux aspects également importants : � l’étude de la durée maximale admissible entre deux sauvegardes de recours pour que la reprise d’une

exploitation acceptable par les utilisateurs soit possible (avec éventuellement plus d’inconvénients que pour les sauvegardes normales de production)

� le synchronisme entre fichiers sauvegardés pour assurer que l’exploitation des applications puisse effec-tivement reprendre avec les données sauvegardées, en toute cohérence


� contrôles de relecture périodiques � test effectif que l’on peut redémarrer les applications et les services correspondants à partir des sauve-

gardes

Mesures techniques — Les mesures techniques d’accompagnement visent à protéger les sauvegardes de recours contre

des accidents ou des malveillances : � Site de stockage protégé et sécurisé � Convoyage vers le site de stockage sécurisé


� la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs � le synchronisme de sauvegardes � l’automatisation des opérations de sauvegardes proprement dites

— La robustesse du service est liée à plusieurs types de facteurs : � la protection du site de stockage contre des accidents ou des malveillances � la sécurisation du convoyage vers le site de stockage

— La mise sous contrôle est réalisée par : � des essais réguliers de relecture des sauvegardes de recours � des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer complè-

tement les applications et redémarrer un service effectif � des audits des procédures de sauvegardes de recours



Version 2010

décembre 2009


MEHARI 2010 195/308 © CLUSIF 2010

08D10 Maintien des comptes d’accès

Objectif : Assurer la continuité de fonctionnement des processus d’accès aux systèmes et applications.

Résultats attendus : Éviter que des circonstances, externes ou internes, accidentelles ou malveillantes, se traduisent

par des interruptions de service inacceptables (étant entendu que la recherche de ce qui est accep-table ou non fait partie des services à assurer au titre de la continuité de fonctionnement) dues à des blocages durables des comptes utilisateurs nécessaires à l’accès aux systèmes ou applications.


Mesures organisationnelles — Les mesures organisationnelles de base visent à rétablir rapidement les comptes utilisateurs, en

cas de blocage, dans des délais acceptables : � Analyse avec les utilisateurs des délais maximum acceptables � Procédure de déblocage de comptes utilisateurs en cas de blocage isolé ou simultané � Sauvegarde des paramètres permettant un déblocage raide généralisé

— Les mesures techniques d’accompagnement visent à permettre la détection rapide d’un début de blocage généralisé :

� Automatismes de détection de bocage de compte � Automatismes de déclenchement de procédures d’urgence � Automatismes de procédures de restauration des comptes utilisateurs

Qualité de service — L’efficacité du service réside dans :

� Analyse des besoins (délais maximum de déblocage, identification des cas de survenance, pu-blication de la procédure aie tous les utilisateurs, et.)

� Mise en place d’une procédure de gestion � Qualité des automatismes divers mis en œuvre

— La robustesse du service est liée à la protection des divers automatismes contre une altération ou une inhibition

— La mise sous contrôle du services est liée à : � L’ audit régulier des procédures et mécanismes de détection � L’audit régulier des procédures de restauration



Version 2010

décembre 2009


MEHARI 2010 196/308 © CLUSIF 2010

08E Gestion et traitement des incidents

08E01 Détection et traitement (en temps réel) des anomalies et inci-dents d’exploitation


tives d’actions non autorisées et potentiellement dangereuses.


réussie. A défaut limiter cette action dans le temps. Remarque : dans certains cas d’intrusion, on est surpris de constater que des traces existaient depuis fort longtemps et auraient permis de réagir.


Mesures organisationnelles — Les mesures organisationnelles de base visent à définir quelles actions ou symptômes peuvent

être significatifs d’actions anormales et potentiellement nocives et doivent faire l’objet d’une alerte et d’un traitement adapté, par exemple :

� séquences d’actions représentatives de tentatives d’intrusion � horaires de connexion � actions menées depuis des sites particuliers � multiplication des accès vers des serveurs différents � répétition d’alarmes simples venant d’autres systèmes de sécurité

— En complément de cette analyse, il est nécessaire de définir les réactions appropriées : � types d’alerte adaptés � organisation d’une équipe d’intervention et des capacités d’escalade � réactions attendues, cas par cas, de l’équipe d’intervention.

Mesures techniques Les mesures techniques de détection comportent plusieurs types de solutions :

— les systèmes de détection de pénétration de systèmes qui s’appuient sur des bases de données de séquences révélatrices de tentatives d’intrusion

— l’enregistrement de rejets opérés par les systèmes de filtrage et la détection de répétitions anorma-les de rejets (tentatives de connexion avortées, tentatives successives de différents logins, etc.)

— les systèmes spécifiques de détection de comportements considérés comme anormaux Ces systèmes, qui peuvent être supportés par des outils plus ou moins sophistiqués, débouchent sur

des alertes à destination d’une équipe d’intervention, voire sur des actions automatiques (blocage de la connexion ou de toutes les connexions en cas d’attaque en déni de service, etc.). En accompagnement de ces mesures, les droits d’administration requis pour paramétrer ces systèmes doivent être strictement contrôlés.








Version 2010

décembre 2009


MEHARI 2010 197/308 © CLUSIF 2010

— La mise sous contrôle est réalisée par des audits : � du bon fonctionnement du système de surveillance � de la disponibilité de l’équipe d’astreinte et de la surveillance effective des systèmes et applications



Version 2010

décembre 2009


MEHARI 2010 198/308 © CLUSIF 2010

08E02 Surveillance, en temps différé, des traces, logs et journaux

Objectif : Détecter en temps différé des anomalies de comportement ou des séquences anormales signifi-

catives d’actions non autorisées et potentiellement dangereuses, par une analyse a posteriori des traces logs et journaux.

Résultats attendus : Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes. Remarque : Ce service permet de vérifier le respect d’interdictions qu’il n’a pas été possible (ou

souhaité) d’éliminer par les services de prévention.



— les systèmes d’enregistrement de diverses traces, la journalisation des opérations effectuées par les équipes d’exploitation et en particulier les paramétrages de systèmes de sécurité ou les re-configurations de systèmes et les logs, plus ou moins exhaustifs, des actions effectuées par les uti-lisateurs (connexions, accès divers, contenu des transactions, mots clés, etc.)

— l’analyse de tous ces éléments qui, sans outil d’assistance, se révèle totalement inefficace (la masse d’enregistrements que l’on peut conserver est telle qu’une analyse manuelle est souvent il-lusoire, si ce n’est totalement impossible). Le résultat de l’analyse est alors un diagnostic (éventuel-lement sous forme de tableau de bord) qui peut être analysé par une équipe ad hoc, voire donner lieu à des alarmes directes.

L’analyse du diagnostic débouche sur des alertes à destination soit d’une équipe d’intervention technique, en particulier pour les cas de détection d’actions menées depuis l’extérieur, soit de la hié-rarchie, pour les actions menées par du personnel interne.




— En appui de ces mesures, il est nécessaire de définir, cas par cas, les réactions attendues de l’équipe d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdi-tes »).






du système d’analyse et de surveillance — La mise sous contrôle est réalisée par des audits :



Version 2010

décembre 2009


MEHARI 2010 199/308 © CLUSIF 2010

� du bon fonctionnement du système d’enregistrement et de surveillance � de l’analyse effective des synthèses et alarmes par l’équipe qui en a la charge



Version 2010

décembre 2009


MEHARI 2010 200/308 © CLUSIF 2010

08E03 Gestion et traitement des incidents systèmes et applicatifs

Objectif : Enregistrer les incidents systèmes et applicatifs et en assurer un traitement adéquat et un suivi

régulier

Résultats attendus : Éviter qu’un incident mineur (ex. base de données près de la saturation ou conflit d’accès) ou

qu’une série d’incidents mineurs ne soient pas traités convenablement et qu’ils débouchent sur un accident majeur (par exemple blocage complet d‘une application)





Le système comporte généralement des synthèses sous forme de tableau de bord, par type d’incident.

En complément le système de gestion des incidents comporte souvent des accès sélectifs à l’information, pour que certains champs ne soient accessibles qu’à certains profils d’administrateurs (par exemple, le nom des personnes impliquées).



En complément, il est souhaitable de définir, a priori, une typologie d’incidents, pour pouvoir en effectuer un suivi statistique, ainsi qu’une hiérarchie, certains incidents faisant l’objet d’un reporting en temps quasi réel et d’autres ne faisant l’objet que d’un reporting statistique.









Version 2010

décembre 2009


MEHARI 2010 201/308 © CLUSIF 2010

08F Contrôle des droits d’administration

08F01 Gestion des attributions de droits privilégi és sur les systèmes (droits d’administrateur)

Objectif : Déterminer quelles catégories de personnel ont de réels besoin d’avoir des droits privilégiés,

dans quelles conditions et dans quelles limites, sur des systèmes et gérer avec rigueur l’attribution de tels droits, afin de pouvoir empêcher l’utilisation abusive de ces droits par ceux qui n’en ont pas le besoin.


n’ayant pas (ou plus) la nécessité d’accéder aux systèmes avec des droits privilégiés.


Mesures organisationnelles — Identifier tous les profils de personnel d’exploitation nécessitant, pour leur travail, des droits

d’administration, par exemple : � administrateurs systèmes � personnel chargé du pilotage applicatif ou du pilotage de la production � opérateurs chargés d’opérations de routine telles que des sauvegardes � etc.


de cette attribution, par exemple : � hiérarchie pour le personnel interne � signataire de la commande pour un prestataire




— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisa-tions d’accès (super administrateur des administrateurs, par exemple le RSSI ou le DSI).

— Les tables listant les administrateurs chargés de renseigner les autorisations d’accès — Les tables ou documents matérialisant ces décisions.

Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut éven-tuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et docu-ments.

Qualité de service — L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les pro-

fils ainsi que les droits associés et à la rigueur de gestion des attributions de profil. — La robustesse du service est directement liée à la solidité des mesures techniques de protection

des transferts d’information et des base de données des droits — La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de




Version 2010

décembre 2009


MEHARI 2010 202/308 © CLUSIF 2010

08F02 Authentification et contrôle des droits d’ac cès des administra-teurs et personnels d’exploitation

Objectif : S’assurer lors de l’accès aux systèmes d’information avec des droits privilégiés que la personne

qui tente de se connecter est bien celle qu’elle prétend être.


n’étant pas (ou plus) autorisées individuellement à accéder aux systèmes avec des droits privilé-giés.



Mesures techniques — Les mesures techniques de base concernent le contrôle des droits d’accès d’une part et

l’authentification d’autre part, c'est-à-dire le contrôle d’une caractéristique que la personne, indivi-duellement, possède ou connaît :

� Vérification des droits d’accès en fonction du contexte d’accès (local ou à distance, par lien sécurisé ou non, horaire, etc.)

� Contrôle du mot de passe ou du secret partagé entre la personne et un équipement de contrôle � Contrôle d’un objet physique reconnaissable possédé par la personne (généralement en association

avec un secret partagé entre la personne et l’objet) � Contrôle d’une caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la

voix, etc.) — Les mesures complémentaires concernent la protection contre les tentatives d’usurpation

d’identité : � Protection du processus de diffusion initiale des conventions secrètes (mots de passe) � Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué. � Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant





ment dit (force et solidité du moyen d’authentification, solidité de l’algorithme cryptologique éven-tuellement utilisé pour authentifier, solidité de l’algorithme et du protocole contre toute écoute et ré-utilisation de séquence, etc.)

— La robustesse du service est liée à trois facteurs : � la solidité et l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des

éléments secrets � les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement





Version 2010

décembre 2009


MEHARI 2010 203/308 © CLUSIF 2010

� des profils et des droits privilégiés ainsi que leur attribution à es personnes � des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 204/308 © CLUSIF 2010

08F03 Surveillance des actions d’administration de s systèmes

Objectif : Détecter en temps différé des anomalies de comportement des administrateurs systèmes ou de



d’administration.



— les systèmes d’enregistrement de diverses traces et la journalisation des opérations effectuées par les équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les re-configurations de systèmes et les actions sur des logs





dés









Version 2010

décembre 2009


MEHARI 2010 205/308 © CLUSIF 2010

08G Procédures d’audit et de contrôle des systèmes de traitement de l’information

08G01 Fonctionnement des contrôles d'audit

Objectif : S’assurer que les exigences et les procédures d’utilisation des outils d’audit existent , sont res-

pectées et contrôlées.

Résultats attendus : Prévenir toute utilisation illicite de ces outils d’audit (tests de pénétration ou de vulnérabilités,

etc.) ainsi que tout accident pouvant résulter de ces opérations.

Mécanismes et solutions Les solutions à mettre en œuvre sont essentiellement organisationnelles, mais s’appuient éga-


Mesures organisationnelles — Les mesures organisationnelles concernent les règles et procédures à respecter lors de la mise en

œuvre de tels audits : � Etablissement des limitations et des exigences d’utilisation, � Documentation des règles et des responsabilités, � Critères d’autorisation et de respect de leur déontologie pour les auditeurs.

Mesures techniques — Les mesures techniques d’accompagnement concernent :

� L’enregistrement de l’activation de ces tests d’audit � L’enregistrement des opérations menées sur des données sensibles

Qualité de service — L’efficacité du service est liée à la réalité de la prise en compte, par le management et les person-

nes en charge des outils d’audit, des exigences édictées sur leur utilisation. — La mise sous contrôle est réalisée par :

� L’audit des enregistrements de l’utilisation des outils et des accès à des données critiques pour l’entreprise

�



Version 2010

décembre 2009


MEHARI 2010 206/308 © CLUSIF 2010

08G02 Protection des outils et résultats d'audit

Objectif : S’assurer que les outils (équipements comme logiciels de tests) d’audit existants sont conservés

et protégés contre toute utilisation abusive ou malveillante et que les résultats obtenus avec eux sont protégés contre toute altération ou destruction illicite


n’étant pas (ou plus) autorisées individuellement à utiliser ces outils d’audit.



Mesures techniques — Les mesures techniques concernent:

� La conservation des outils matériels éventuels en lieu sûr et leur attribution selon des processus définis et auditables,

� La protection des accès aux outils logiciels et le contrôle des droits d’accès à ces outils avant toute utili-sation,

� La protection des enregistrements des opérations effectuées lors de ces audits.


� L’attribution des droits d’accès et d’utilisation des outils d’audit aux seules personnes susceptibles d’en faire et dûment habilitées pour cela,

� Le contrôle du non abus de tels droits, �


� aux mécanismes de protection des accès aux outils � aux mécanismes de protection des accès aux enregistrements réalisés avec eux.

— La robustesse du service est liée à : � La solidité des mécanismes de détection et d’alerte en cas d’arrêt ou d’inhibition des mécanismes de

contrôle d’accès aux outils d’audit � L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement des opéra-

tions réalisées avec les outils d’audit — La mise sous contrôle est réalisée par des audits :

� du bon fonctionnement du système d’enregistrement et de surveillance des actions menées avec les outils d’audit

� des systèmes de contrôle d’accès aux outils d’audit



Version 2010

décembre 2009


MEHARI 2010 207/308 © CLUSIF 2010

08H Gestion des archives informatiques

08H01 Organisation de la gestion des archives info rmatiques

Objectif : Organiser l’archivage des données informatisées devant être conservées sur une longue pé-

riode et les protéger en conséquence.

Résultats attendus : Faire en sorte que les données informatisées devant être conservées sur une longue période

puissent être retrouvées et exploitées en cas de besoin. La question critique dans beaucoup d’organisations est la confusion souvent faite entre les sau-

vegardes et les archives. Cette confusion peut amener les utilisateurs à considérer que les sauve-gardes faites par la production informatiques peuvent servir d’archives et à ne prendre les disposi-tions nécessaires.


Mesures organisationnelles — Les mesures organisationnelles de base visent à identifier les données devant être archivées et à

planifier et organiser les fonctions d’archivage : � étude des contraintes légales ou réglementaires de conservation de données � analyse des contraintes internes (conservation du patrimoine informationnel, protection du savoir-faire,

délais d’archivage et de restitution, etc.) — Les mesures organisationnelles d’accompagnement visent à s’assurer que les archives pourront

être utilisées : � organisation de contrôles de relecture périodiques � test effectif que l’on peut redémarrer les applications nécessaires pour pouvoir exploiter les archives


� la qualité de l’étude préalable pour définir les données à archiver en fonction des besoins des utilisateurs � l’automatisation des opérations d’archivage proprement dites

— La mise sous contrôle est réalisée par : � des essais réguliers de relecture des archives � des tests effectués pour vérifier que l’on peut effectivement exploiter les archives � des audits des procédures d’archivage



Version 2010

décembre 2009


MEHARI 2010 208/308 © CLUSIF 2010

08H02 Gestion des accès aux archives

Objectif : Organiser les accès aux archives de telle sorte que seules les personnes autorisées puissent ef-

fectivement y avoir accès.

Résultats attendus : Faire en sorte que les accès aux archives soient gérés de façon adéquate et que ces accès

soient sous contrôle. S’assurer que les procédures, les exigences et les conditions d’accès soient connues et approuvées par le management et qu’un propriétaire soit désigné.


Mesures organisationnelles — Les mesures organisationnelles de base visent à identifier :

� le registre du personnel de gestion des archives devant avoir accès aux archives dans le cadre de leur travail

� la documentation des exigences, l’existence des procédures et des demandes d’extraction � le registre des propriétaires désignés par archive ou domaine d‘archives

— Les mesures organisationnelles d’accompagnement concernent : � l’attribution des droits d’accès aux archives au personnel du service des archives � le processus lié au type d’authentification du personnel � la gestion de l’enregistrement de l’accès aux copies d’archives � l’organisation de contrôles (vérification des accès, des extractions, gestion des demandes du

propriétaire désigné) — Mettre en place un processus de contrôle (ou d’audit) régulier des droits d’accès et des propriétai-

res désignés.

Mesures techniques � Les mesures techniques de base concernent la conservation des outils matériels éventuels en lieu sûr

et leur attribution selon des processus définis et auditables,


� la qualité de l’étude préalable pour définir les données à archiver en fonction des besoins des utilisateurs � l’automatisation des opérations d’archivage proprement dites

— La robustesse du service est liée à plusieurs types de facteurs : � la protection des automatismes contre toute altération ou modification non contrôlée � la qualité des dispositifs de protection des archives

— La mise sous contrôle est réalisée par : � la vérification des conditions d'accès aux archives et les systèmes de sécurité associés � des audits du transfert des archives ou d'une copie au demandeur



Version 2010

décembre 2009


MEHARI 2010 209/308 © CLUSIF 2010

08H03 Gestion de la sécurité des archives

Objectif : S’assurer que les archives sont protégées contre des divulgations ou des altérations illicites ou

des destructions accidentelles ou non.

Résultats attendus : Assurer la confidentialité et la disponibilité des archives :

— Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant pas (ou plus) autorisées individuellement à accéder ou détenir des archives

— Assurer la protection des archives contre des destructions accidentelles ou volontaires.



Mesures techniques — Les mesures techniques de base concernent la protection physique des archives :

� Locaux contrôlés � Locaux sous vidéosurveillance � Mécanismes de détection : feu, dégât d’eau, etc. � Mécanismes d’extinction automatique d’incendie

— Les mesures techniques d’accompagnement concernent la protection contre les tentatives d’arrêt des mesures de base :

� Détection de mise hors service des équipements de sécurité � Détection d’ouverture d’issues de secours

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles d’accompagnement concernent la protection contre les tentatives

de contournement des mesures d’accès aux archives : � Marquage des supports d’archive � Limite des accès aux locaux d’archivage


� aux mécanismes d’accès aux locaux � aux mécanismes de protection contre les incendies et dégâts des eaux

— La robustesse du service est liée à : � La solidité des mécanismes de détection et d’alerte en cas de feu, dégât d’eau, intrusion ou d’inhibition

du système � La solidité du processus de sauvegarde des tables

— La mise sous contrôle est réalisée par des audits réguliers : � Les conditions de stockage des archives et les systèmes de sécurité



Version 2010

décembre 2009

Domaine 9 : Sécurité applicative

MEHARI 2010 210/308 © CLUSIF 2010


09A Contrôle d’accès applicatif

Objectif : Faire en sorte que seuls les utilisateurs autorisés aient accès aux données applicatives.

Résultats attendus : Prévenir les tentatives d’accès, par des personnes non autorisées, aux données et bases de

données des applications.


qui peuvent être simultanément nécessaires : — 09A01 : Gestion des profils d’accès aux données applicative — 09A02 : Gestion des autorisations d'accès aux données applicatives (attribution, délégation, retrait) — 09A03 : Authentification de l’utilisateur ou de l’entité demandant un accès — 09A04 : Filtrage des accès et gestion des associations — 09A05 : Authentification de l'application lors des accès à des applications sensibles

09B Contrôle de l’intégrité des données

Objectif : Protéger les données saisies, stockées ou échangées contre des altérations indues ou illicites.

Résultats attendus : Prévenir les altérations de données pouvant passer inaperçues, soit en empêchant qu’elles

soient altérées, soit en détectant leur altération avant usage.


— 09B01 : Scellement des données sensibles — 09B02 : Protection de l’intégrité des données échangées — 09B03 : Contrôle de la saisie des données — 09B04 : Contrôles permanents (vraisemblance, ...) sur les données — 09B05 : Contrôles permanents (vraisemblance, ...) sur les traitements

09C Contrôle de la confidentialité des données

Objectif : Protéger les données saisies, stockées ou échangées contre des divulgations indues ou illicites.

Résultats attendus : Prévenir les divulgations de données à des personnes non autorisées ou dans des conditions

non autorisées.



Version 2010

décembre 2009


MEHARI 2010 211/308 © CLUSIF 2010


— 09C01 : Chiffrement des échanges — 09C02 : Chiffrement des données stockées — 09C03 : Dispositif anti-rayonnement électromagnétique

09D Disponibilité des données

Objectif : Assurer la disponibilité ou le recouvrement des données en toutes circonstances.

Résultats attendus : Éviter que des accidents ou des malveillances rendent des données totalement ou en partie in-

disponibles.


— 09D01 : Enregistrement de très haute sécurité — 09D02 : Gestion des moyens d'accès aux fichiers de données

09E Continuité de fonctionnement

Objectif : Assurer la continuité de fonctionnement des services applicatifs.

Résultats attendus : Éviter que des accidents ou des malveillances arrêtent les services applicatifs au delà d’une du-

rée inacceptable par les utilisateurs.


— 09E01 : Reconfiguration matérielle — 09E02 : Plans de continuité des processus applicatifs — 09E03 : Gestion des applications critiques (vis-à-vis de la permanence de la maintenance)

09F Contrôle de l’émission et de la réception des données

Objectif : Assurer certains services de sécurité lors de l’émission de messages

Résultats attendus : Éviter que des messages soient dupliqués, répudiés ou détournés sans que l’utilisateur s’en

aperçoive.


— 09F01 : Garantie d’origine, signature électronique — 09F02 : Individualisation des messages empêchant leur duplication (numérotation, séquencement) — 09F03 : Accusé de réception



Version 2010

décembre 2009


MEHARI 2010 212/308 © CLUSIF 2010

09G Détection et gestion des incidents et anomalie s applicatifs

Objectif : Détecter et gérer les incidents et anomalies applicatifs

Résultats attendus : Éviter que des incidents ou anomalies perdurent et limiter leur impact.


— 09G01 : Détection des anomalies applicatives.

09H Commerce électronique

Objectif : Assurer la sécurité des services de commerce électroniques et un usage sûr de ces services.

Résultats attendus : Éviter que des applications de commerce électronique introduisent des risques spécifiques.


— 09H01 : Sécurité des sites de commerce électronique.



Version 2010

décembre 2009


MEHARI 2010 213/308 © CLUSIF 2010

09A Contrôle d’accès applicatif

09A01 Gestion des profils d’accès aux données appl icatives

Objectif : Déterminer, pour chaque type de données, au sein des applications, quelles catégories de per-

sonnel, interne ou non, ont de réels besoin d’y avoir accès, avec quels droits (lecture, écriture, créa-tion, etc.), dans quelles conditions et dans quelles limites, afin de pouvoir empêcher ceux qui n’en ont pas le besoin d’agir sur des données.


n’ayant pas (ou plus) la nécessité d’accéder aux données applicatives. Ces actions pourraient être des accès injustifiés à des informations confidentielles, des altérations ou des destructions de don-nées ou de programmes.


Mesures organisationnelles — Identifier, pour chaque application, les profils de personnel devant y avoir accès dans le cadre de

leur travail, en distinguant les profils devant avoir des droits distincts, par exemple : � Les acheteurs pour l’accès à l’application de gestion des commandes � L’acheteur initialisant la commande, à l’intérieur des profils d’acheteurs � Le chef de service validant la commande, � Le responsable de la gestion des comptes fournisseurs, � Etc.

— Désigner, pour chaque type de profil général (comptable, RH, etc.), un responsable de la gestion des droits attribués à cette catégorie de profil (sous-profil).

— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à cha-que catégorie de profils. Ces droits doivent préciser, en fonction éventuellement du contexte de l’utilisateur (présent sur le réseau interne ou se connectant depuis l’extérieur, etc.) :

� Les types de données auxquels le profil doit avoir accès � Les actions autorisées sur ces données (consulter, créer, modifier, détruire, etc.) � Le groupe d’appartenance venant compléter le profil et limiter, éventuellement, le champ de données

auquel le profil a accès — Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués aux profils.







tégories de profils et les droits associés. — La robustesse du service est directement liée à la solidité des mesures techniques de protection



Version 2010

décembre 2009


MEHARI 2010 214/308 © CLUSIF 2010



09A02 Gestion des autorisations d’accès aux donnée s applicatives (attribution, délégation, retrait)

Objectif : Attribuer individuellement les autorisations d’accès aux données applicatives à chaque personne

intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs seuls besoins et aux seules périodes concernées.


n’ayant pas (ou plus) la nécessité d’accéder aux données applicatives.


Mesures organisationnelles — Définir les responsables de l’attribution d’un « profil d’accès » à une personne physique, par exem-

ple : � Hiérarchie pour le personnel interne ou le personnel nomade � Signataire de la commande pour un prestataire






l’interface entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de droits dans les tables systèmes). Il s’agit donc de s’assurer que la demande reçue par le personnel en charge d’ouvrir ou de modifier les droits est bien authentique.





— La mise sous contrôle est réalisée par des audits ou inspections régulières des droits attribués, de l’usage pratique de ces droits et des processus de gestion eux-mêmes.



Version 2010

décembre 2009


MEHARI 2010 215/308 © CLUSIF 2010

09A03 Authentification de l'utilisateur ou de l'en tité demandant un ac-cès


ter est bien celle qu’elle prétend être.


n’étant pas (ou plus) autorisées individuellement à accéder aux données applicatives.

















� des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 216/308 © CLUSIF 2010

09A04 Filtrage des accès et gestion des associatio ns

Objectif : S’assurer lors de l’accès aux données applicatives et avant qu’une action soit menée sur ces

données que la personne qui demande cette action y est bien autorisée.


n’ayant pas (ou plus) les droits nécessaires pour exécuter cette action.



Mesures techniques — Les mesures techniques de base concernent le filtrage des actions :

� Identification et reconnaissance de la personne tentant de se connecter � Authentification de la personne � Identification du contexte propre de la tentative de connexion et sélection des règles de filtrage applica-

bles à ce contexte � Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien l’action

demandée — Les mesures complémentaires concernent la protection contre les tentatives de contourne-

ment du système : � Interruption des autorisations en cas d’inactivité et redemande d’authentification à la reprise du travail � Protection du processus de fixation des règles de filtrage (échanges d’informations et tables de paramè-

tres)


gles de filtrage en fonction des contextes : � Gestion des demandes de modification

Qualité de service — L’efficacité du service est liée à la rigueur avec laquelle les règles de filtrage ont été déterminées et




� des paramètres supports des mécanismes de contrôle d’accès, � des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès � de la mise en œuvre de ces procédures �



Version 2010

décembre 2009


MEHARI 2010 217/308 © CLUSIF 2010

09A05 Authentification de l’application lors des a ccès à des applica-tions sensibles

Objectif : S’assurer, lors de l’accès aux applications sensibles, que l’application à laquelle on se connecte

est bien celle à laquelle on souhaite se connecter.

Résultats attendus : Prévenir des actions néfastes pouvant être induites, volontairement ou non, par un accès à une

application différente de celle à laquelle on souhaitait se connecter (erreur d’adresse, modification du chemin d’accès, mascarade de l’application, etc.)

Mesures, mécanismes et solutions : Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient égale-

ment sur des mesures organisationnelles.

Mesures techniques — Les mesures techniques de base concernent principalement les mécanismes d’authentification des

applications au moment de la connexion à une application sensible : � Mise en place d’un processus d'authentification des applications sensibles par un processus reconnu

comme "fort" — Les mesures complémentaires concernent les mécanismes et procédures de gestion des clés

pour la protection des éléments de référence support à l’authentification.


� Processus d’identification des applications sensibles � Procédures de gestion des clés cryptographiques support de l’authentification

Qualité de service — L’efficacité du service est liée à la rigueur avec laquelle les règles ont été déterminées et à la quali-

té du mécanisme d’authentification : � Identification des applications critiques � Solidité du mécanisme d’authentification

— La robustesse du service est liée aux facteurs suivants : � Protection des processus et protocoles de connexion � Procédures de gestion des clés cryptographiques incluant la révocation des clés � Contrôle des mécanismes qui assurent l’authentification aux applications accédées � Contrôle strict que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité

(sceau) — La mise sous contrôle est liée aux facteurs suivants :

� Audit au moins annuel des procédures et processus de l'authentification.



Version 2010

décembre 2009


MEHARI 2010 218/308 © CLUSIF 2010

09B Contrôle de l’intégrité des données

09B01 Scellement des données sensibles

Objectif : Protéger l’intégrité des données stockées.

Résultats attendus : Empêcher qu’une personne non autorisée puisse modifier le contenu des informations conte-

nues dans les fichiers, sans que cela soit détecté (avant utilisation).



Mesures techniques — Les mesures techniques de base concernent le scellement des données

� Choix de l’algorithme � Mise en place de la solution (généralement logicielle) de scellement

— Les mesures complémentaires concernent la protection contre les tentatives de contourne-ment du système :

� Protection logique des solutions logicielles de scellement (protection du logiciel, protection de la généra-tion des paires de clés publiques et privées)

� Sécurité de la diffusion et du contrôle des clés publiques


ment et la gestion des évolutions des règles de scellement : � Système de gestion et de publication des clés publiques de scellement � Système de révocation de clés en cas de violation � Procédure de contrôle des sceaux (ou automatisme)

Qualité de service — L’efficacité du service est essentiellement liée à :

� la solidité de l’algorithme de scellement et de génération des paires de clés, privées et publiques � le rigueur des procédures de contrôle des sceaux

— La robustesse du service est liée à plusieurs facteurs : � la protection des mécanismes de scellement logiciel � la solidité du processus et des procédures de publication des clés publiques, de leur contrôle de validité

et de gestion d’anomalies (révocation) — La mise sous contrôle est réalisée par des audits réguliers :




Version 2010

décembre 2009


MEHARI 2010 219/308 © CLUSIF 2010

09B02 Protection de l’intégrité des données échang ées

Objectif : Protéger l’intégrité des échanges de données.


gées lors de transactions applicatives, lors de transferts de données entre postes clients et serveurs ou lors d’échanges de messages, sans que cela soit détecté (avant utilisation).



Mesures techniques — Les mesures techniques de base concernent le scellement des échanges

� Choix de l’algorithme � Mise en place de la solution (généralement logicielle) de scellement � Mise en place de la solution de contrôle des sceaux (automatique)


� Protection logique des solutions logicielles de scellement (protection du logiciel, protection de la généra-tion des paires de clés publiques et privées)

� Sécurité de la diffusion et du contrôle des clés publiques


ment et de contrôle des sceaux : � Système de gestion et de publication des clés publiques de scellement � Système de révocation de clés en cas de violation


� la solidité de l’algorithme de scellement et de génération des paires de clés, privées et publiques � l’automatisme et l’inviolabilité du système de contrôle des sceaux

— La robustesse du service est liée à plusieurs facteurs : � la protection des mécanismes de scellement logiciel et de contrôle des sceaux � la solidité du processus et des procédures de publication des clés publiques, de leur contrôle de validité

et de gestion d’anomalies (révocation) — La mise sous contrôle est réalisée par des audits réguliers :




Version 2010

décembre 2009


MEHARI 2010 220/308 © CLUSIF 2010

09B03 Contrôle de la saisie des données

Objectif : Protéger l’intégrité de la saisie des données.

Résultats attendus : Empêcher qu’une erreur ou qu’une malveillance dans la saisie des données passe inaperçue et

se traduise par une pollution incontrôlée de bases de données.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais s’appuient éga-


Mesures organisationnelles — Les mesures organisationnelles de base consistent en un contrôle de la saisie des données :

� Autocontrôle par la personne chargée de la saisie � Contrôle par une personne indépendante

— Les mesures organisationnelles d’accompagnement consistent en des incitations, plus ou moins fortes, positives (bonus) ou négatives (malus), à la bonne saisie et à l’absence d’erreur.

Mesures techniques — Les mesures techniques d’accompagnement visent à éviter ou à signaler les erreurs par la mise en

place de « formats standards » dans lesquelles les données saisies doivent entrer (fourchettes ab-solues, critères de cohérence avec d’autres données, etc.


� La rigueur du processus de contrôle � L’indépendance du contrôle (en particulier contre la malveillance) � La force des incitations à une saisie sans erreur

— La robustesse du service est liée à la protection du système de contrôle par formats standards si ce système existe

— La mise sous contrôle est réalisée par des audits réguliers : � De la saisie et de la qualité des autocontrôles, � Du processus de contrôle � Du système de gestion des formats standards, s’il existe



Version 2010

décembre 2009


MEHARI 2010 221/308 © CLUSIF 2010

09B04 Contrôles permanents (vraisemblance, ...) su r les données

Objectif : Protéger l’intégrité des données par des contrôles applicatifs sur les données elles-mêmes.

Résultats attendus : Empêcher qu’une erreur ou qu’une malveillance, dans la saisie des données ou dans des pro-

cessus opératoires, se propage et se traduise par une pollution incontrôlée de bases de données.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais s’appuient sur

des mesures techniques :

Mesures organisationnelles — Les mesures organisationnelles de base consistent à définir un contrôle de la pertinence des don-

nées, en les comparant à des ratios ou des fourchettes de vraisemblance, en faisant des contrôles de cohérence par rapport à des valeurs passées ou à d’autres données, etc. Des exemples types sont que la masse salariale ne dépasse pas une valeur donnée, que le même compte bancaire n’est pas présent dans une bande de virement de salaires plus de 5 fois, qu’un virement ne dé-passe pas tel plafond, etc.

— Les mesures organisationnelles d’accompagnement consistent à définir les actions à mener en cas de détection d’une anomalie par les contrôles (blocage de la transaction en cours, alerte, etc.).

Mesures techniques — Les mesures techniques d’accompagnement visent à incorporer ces contrôles dans le code des

applications et ceci de manière contrôlable : � Identification des parties de code correspondant à des contrôles, pour qu’elles soient auditables � Séparation des paramètres de contrôle du code même de contrôle


� La rigueur de l’analyse ayant conduit à introduire des contrôles permanents � l’étroitesse des fourchettes de contrôle

— La robustesse du service est liée à la protection du système de contrôle : � Protection du code contre toute altération ou inhibition � Protection des tables de contrôle contre toute modification indue

— La mise sous contrôle est réalisée par des audits réguliers : � De la pertinence des paramètres de contrôle, � Du processus de contrôle



Version 2010

décembre 2009


MEHARI 2010 222/308 © CLUSIF 2010

09B05 Contrôles permanents (vraisemblance, ...) su r les traitements

Objectif : Protéger l’intégrité des données lors des traitements.

Résultats attendus : Empêcher qu’une erreur ou qu’une malveillance, lors de traitements, se propage et se traduise

par une pollution incontrôlée de bases de données.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais s’appuient sur

des mesures techniques :

Mesures organisationnelles — Les mesures organisationnelles de base consistent à définir un contrôle de la pertinence des trai-

tements effectués sur les données, en comparant les évolutions produites par les traitements à des ratios ou des fourchettes de vraisemblance, en faisant des contrôles de cohérence entre divers trai-tements, etc. Des exemples types sont qu’une augmentation de salaire ne dépasse pas 10 %, que le rapport entre deux quantités demeure voisin avant et après traitement, etc..

— Les mesures organisationnelles d’accompagnement consistent à définir les actions à mener en cas de détection d’une anomalie par les contrôles (blocage de la transaction en cours, alerte, etc.).

Mesures techniques — Les mesures techniques d’accompagnement visent à incorporer ces contrôles dans le code des

applications et ceci de manière contrôlable : � Identification des parties de code correspondant à des contrôles, pour qu’elles soient auditables � Séparation des paramètres de contrôle du code même de contrôle


� La rigueur de l’analyse ayant conduit à introduire des contrôles permanents � l’étroitesse des fourchettes de contrôle

— La robustesse du service est liée à la protection du système de contrôle : � Protection du code contre toute altération ou inhibition � Protection des tables de contrôle contre toute modification indue

— La mise sous contrôle est réalisée par des audits réguliers : � De la pertinence des paramètres de contrôle, � Du processus de contrôle



Version 2010

décembre 2009


MEHARI 2010 223/308 © CLUSIF 2010

09C Contrôle de la confidentialité des données

09C01 Chiffrement des échanges

Objectif : Protéger la confidentialité des informations échangées.


gées sur les réseaux (internes ou externes).




chiffrement au niveau applicatif) : � Détermination de l’algorithme et du système de clés à générer et distribuer � Mise en place de la solution matérielle ou logicielle


� Protection des matériels ou logiciels de chiffrement � Protection du processus de distribution et de conservation des éléments secrets (clés) � Protection du processus pratique de mise en œuvre de la solution de chiffrement � Protection du poste de travail pendant l’utilisation des données décryptées � Protection du poste de travail contre des altérations du poste ou l’introduction de logiciel espion

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles de base concernent la distribution de la solution de chiffrement :

� Processus de distribution du support de chiffrement (matériel ou logiciel) � Processus de distribution des clés secrètes � Processus de publication éventuelle des clés publiques (et de leur révocation)

— Les mesures organisationnelles d’accompagnement concernent éventuellement les mesures à prendre par les utilisateurs quand ils travaillent avec des données décryptées (déconnexion du ré-seau, par exemple)


� la solidité de l’algorithme de chiffrement et de génération de clés secrètes (ou de paires de clés) � la solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (parfois

protégée par un simple mot de passe sur le poste de travail) — La robustesse du service est liée à plusieurs facteurs :

� la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel) � la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation) � la solidité de la protection du poste de travail contre des altérations du poste (introduction de logiciel es-

pion) — La mise sous contrôle est réalisée par des audits réguliers :

� des paramètres supports des mécanismes de chiffrement, � des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement � de la mise en œuvre des procédures de gestion de clés



Version 2010

décembre 2009


MEHARI 2010 224/308 © CLUSIF 2010

09C02 Chiffrement des données stockées

Objectif : Protéger la confidentialité des informations stockées et des archives.

Résultats attendus : Empêcher qu’une personne non autorisée puisse accéder au contenu des informations des fi-

chiers applicatifs stockés sur des supports fixes ou amovibles, dans des serveurs ou sur le poste de travail.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont les mêmes que pour les données échangées,

l’échange de clés étant toutefois plus simple dans ce cas. Ces mécanismes sont donc essentielle-ment techniques, mais s’appuient également sur des mesures organisationnelles :


chiffrement au niveau applicatif) : � Détermination de l’algorithme et du système de clés à générer et distribuer � Mise en place de la solution matérielle ou logicielle


� Protection des matériels ou logiciels de chiffrement � Protection du processus de distribution et de conservation des éléments secrets (clés) � Protection du processus pratique de mise en œuvre de la solution de chiffrement � Protection du poste de travail, éventuellement du serveur, pendant l’utilisation des données décryptées � Protection du poste de travail et/ou du serveur contre des altérations ou l’introduction de logiciel espion

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles de base concernent la distribution de la solution de chiffrement :

� Processus de distribution du support de chiffrement (matériel ou logiciel) avec ses clés — Les mesures organisationnelles d’accompagnement concernent éventuellement les mesures à

prendre par les utilisateurs quand ils travaillent avec des données décryptées (déconnexion du ré-seau, par exemple)


� la solidité de l’algorithme de chiffrement et de génération de clés secrètes � la solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (parfois

protégée par un simple mot de passe sur le poste de travail) — La robustesse du service est liée à plusieurs facteurs :

� la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel) � la solidité de la protection du poste de travail contre des altérations du poste (introduction de logiciel es-





Version 2010

décembre 2009


MEHARI 2010 225/308 © CLUSIF 2010

09C03 Dispositif anti-rayonnement électromagnétiqu e

Objectif : Protéger la confidentialité des informations traitées ou lues sur un poste de travail.

Résultats attendus : Empêcher qu’une personne non autorisée puisse accéder au contenu des informations traitées

sur le poste de travail, par captation des radiations électromagnétiques (par radiation ou conduc-tion).

Mécanismes et solutions Les mécanismes à mettre en œuvre sont très techniques et extrêmement spécifiques. Le phénomène de base est que les matériels émettent des ondes électromagnétiques, par ra-

diation et conduction, et que ces ondes peuvent être captées par des installations spécialisées.

Mesures techniques Les mesures techniques de base concernent le contrôle de ces émissions et comprennent di-

vers types de mesure, alternatives : — L’installation des matériels sensibles dans des cages de Faraday — L’emploi de matériels spécialement protégés (matériels Tempest) — L’emploi de brouilleurs, parasitant les ondes émises (sans doute de moindre efficacité)

Mesures organisationnelles d’accompagnement — Il existe de nombreuses contraintes organisationnelles à ce type de solution car il est bien clair que

des contraintes de connexions sont à prendre en compte.

Qualité de service — L’efficacité du service est essentiellement liée à la qualité de l’installation et à la conformité aux

normes régissant ce type de contexte (normes Tempest en particulier): — La robustesse du service est liée à la protection du poste de travail ou de l’installation de la cage de

Faraday contre toute altération non contrôlée. — La mise sous contrôle est réalisée par des audits réguliers :

� De la conformité aux normes � Des procédures d’utilisation des matériels et systèmes



Version 2010

décembre 2009


MEHARI 2010 226/308 © CLUSIF 2010

09D Disponibilité des données

09D01 Enregistrement de Très Haute Sécurité

Objectif : Garantir que les enregistrements pourront être relus, malgré des aléas dus aux supports.

Résultats attendus : Empêcher qu’une altération de support empêche d’exploiter et de relire un enregistrement de

données.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont très techniques et extrêmement spécifiques.

Mesures techniques Les mesures techniques de base sont systématiquement basées sur une certaine redondance

de l’information enregistrée permettant de récupérer des défauts au niveau des supports. Selon le niveau de redondance, il est possible de récupérer des défauts plus ou moins étendus. Les deux ty-pes de techniques les plus répandues sont :

— Les disques RAID — Le mirroring complet des données, éventuellement sur deux sites distincts

Qualité de service — L’efficacité du service est essentiellement liée à la technique choisie et aux types de pannes ou de

défaillances que la solution prend en charge — La robustesse du service est liée :

� à la protection du périphérique (s’il est unique) sur lequel les données sont enregistrées avec redon-dance. S’il est facilement accessible, la solution ne présentera aucune robustesse contre une attaque physique.

� En ce qui concerne le mirroring, la solution ne sera robuste contre un accident physique de grande am-pleur que si les deux systèmes mirrorés sont suffisamment distants.

— La mise sous contrôle est réalisée par des audits réguliers : � Du paramétrage des systèmes � Du contrôle d’accès aux périphériques



Version 2010

décembre 2009


MEHARI 2010 227/308 © CLUSIF 2010

09D02 Gestion des moyens d'accès aux fichiers de d onnées

Objectif : Organiser la gestion des accès aux fichiers de données

Résultats attendus : Faire en sorte que les données informatisées soient accessibles malgré la disparition ou

l’altération de moyens nécessaires à l'accès aux fichiers de données applicatives (vol ou destruction de support physique de clé de chiffrement).


Mesures organisationnelles — Les mesures organisationnelles de base visent à mettre en place :

� Des procédures d’attribution et de personnalisation des moyens de chiffrement et de protection des fi-chiers qui garantissent que les possibilités d’accès aux fichiers soient maintenues en cas d’absence ou de départ de leur propriétaire

� Une liste des formats des fichiers de données dont la lecture doit être assurée en tout temps �

— Les mesures organisationnelles d’accompagnement visent à s’assurer que les moyens de recou-vrement des clés d'accès ou des clés de chiffrement sont protégés contre toute disparition acciden-telle ou malveillante

Mesures techniques — Les mesures techniques de base consistent à mettre en place des moyens de recouvrement des

fichiers ou des clés de chiffrement en cas de destruction ou d’altération.

Qualité de service — L’efficacité du service est essentiellement liée à

� la mise en place des procédures � la qualité du processus de recouvrement de clés

— La robustesse du service est liée à la protection contre toute disparition accidentelle ou malveillante des moyens de recouvrement de clés d'accès ou de clés de chiffrement

— La mise sous contrôle est réalisée par : � des audits des moyens et procédures garantissant la permanence des accès aux fichiers de données �

�



Version 2010

décembre 2009


MEHARI 2010 228/308 © CLUSIF 2010

09E Continuité de fonctionnement

09E01 Reconfiguration matérielle

Objectif : Assurer, sans discontinuité, la poursuite des services applicatifs, en cas d’accidents ou de pan-

nes simples.

Résultats attendus : Faire en sorte que la poursuite des services applicatifs soit assurée sans discontinuité, dans des

cas de panne simple ou d’accident limité à un serveur ou à un équipement


Mesures organisationnelles La première mesure est de mener une analyse pour chaque service applicatif afin de mettre en

évidence les services qui ne peuvent souffrir aucune interruption ou des interruptions si courtes que l’appel à la maintenance en cas de difficulté ne puisse pas être une solution acceptable.

Pour ces services, l’analyse devra être poussée plus loin pour mettre en évidence : — Les équipements indispensables pour la poursuite du service (ou pour sa poursuite avec des per-

formances tolérables par les utilisateurs) — Les solutions de redondance qui pourraient apporter la meilleure solution au besoin de continuité

de service — Les servitudes qui pourraient représenter des points de faiblesse équivalents (single point of fai-

lure) et les solutions correspondantes

Mesures techniques — Les mesures techniques de base sont directement déduites de l’analyse ci-dessus et consistent à

mettre en place les solutions de redondance décidées : � Mise en place de l’infrastructure redondante des services applicatifs � Mise en place de l’infrastructure sécurisée des servitudes � Mise en place des procédures de commutation éventuellement nécessaires (si le basculement n’est

pas totalement automatique) — Les mesures techniques d’accompagnement consistent à protéger le système redondant contre

toute altération ou inhibition intempestive

Qualité de service — L’efficacité du service est essentiellement liée à la capacité des moyens mis en place de pallier des

pannes ou incidents variés et complexes — La robustesse du service est liée à la protection de ces moyens contre une destruction accidentelle

ou malveillante ou contre une inhibition — La mise sous contrôle est réalisée par des audits réguliers :

� De l’adéquation des moyens choisis aux besoins des utilisateurs � Des capacités effectives (testées) de commutation et de secours � De la protection de ces moyens



Version 2010

décembre 2009


MEHARI 2010 229/308 © CLUSIF 2010

09E02 Plans de Continuité des processus applicatif s

Objectif : Assurer la continuité des services applicatifs en cas d’accident grave.

Résultats attendus : Faire en sorte que la reprise des services applicatifs soit possible, après un accident grave, avec

des performances et dans des délais acceptables par les utilisateurs. Les PCU ou PCM (Plans de Continuité Métiers) viennent en complément des PRA ou Plans de

Reprise d’Activité technique qui visent à rétablir les moyens de traitement.


Mesures organisationnelles La première mesure est de faire comprendre aux utilisateurs que les PRA ne suffisent pas et

qu’ils doivent, à leur niveau, se préparer à des actions exceptionnelles pour que les services appli-catifs puissent reprendre après la remise en place de moyens de traitement. Ces actions sont :

— La préparation de la reconstitution des données éventuellement perdues — La préparation de la reconstitution des traitements perdus — La gestion des flux de données entre l’instant du sinistre et la reprise des possibilités de traitement — La validation des données restituées à partir des sauvegardes — La préparation de la reprise des traitements avec des performances éventuellement dégradées ou

avec des fonctionnalités incomplètes — La gestion récurrente des flux de données avec des fonctionnalités éventuellement incomplètes — La préparation du retour aux conditions d’origine (avec reprise des travaux laissés en attente) — A partir de cette prise de conscience, les divers points ci-dessus devront être analysés et des solu-

tions trouvées puis des procédures détaillées mises en place.

Mesures techniques Les mesures techniques de base visent à supporter la cellule de crise qui devra de toutes fa-

çons être mise en place. Il s’agit donc des moyens logistiques correspondants (communication, ac-cès aux informations nécessaires, gestion de la cellule de crise, etc.)

Les mesures techniques d’accompagnement résultent éventuellement de l’analyse des solutions à mettre en place, si des moyens techniques sont apparus souhaitables pour supporter les PCU.

Qualité de service — L’efficacité du service est essentiellement liée à la rigueur de la préparation aux situations de crise :

� Nombre de scénarios analysés et étudiés en détail � Procédures détaillées pour les actions à mener et rigueur dans le détail de description de ces actions � Tests en vraie grandeur

— La robustesse du service est liée à la protection des moyens nécessaires en cas de crise contre toute destruction ou inhibition

— La mise sous contrôle est réalisée par des audits réguliers : � De l’adéquation des solutions prévues aux impératifs du business � Des procédures détaillées � Des tests effectués



Version 2010

décembre 2009


MEHARI 2010 230/308 © CLUSIF 2010

09E03 Gestion des applications critiques (vis-à-vis de la permanence de la maintenance)


d’un logiciel applicatif ou du prestataire chargé d’en assurer la maintenance

Résultats attendus : Éviter que la disparition d’un fournisseur mette en péril la continuité des services informatiques.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque logiciel applicatif, les

conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble des services infor-matiques et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance admissible entre le moment où cette disparition serait constatée et le moment où une solution de repli pourrait être mise en œuvre


� Le changement de logiciel par celui d’un autre fournisseur � La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à

une documentation de maintenance suffisante, dans des conditions à définir de manière précise) � Une évolution radicale de l’architecture applicative permettant de se passer de l’équipement ou du logi-

ciel posant problème




— La mise sous contrôle est réalisée par des audits : � de la pertinence des solutions prévues � des procédures les rendant possibles (dépôt des documentations chez une tierce partie de confiance). �



Version 2010

décembre 2009


MEHARI 2010 231/308 © CLUSIF 2010

09F Contrôle de l’émission et de la réception des données

09F01 Garantie d’origine, signature électronique

Objectif : Garantir l’origine d’un message ou d’une donnée.

Résultats attendus : Empêcher qu’une personne envoie un message en se faisant passer pour quelqu’un d’autre .



Mesures techniques Les mesures techniques de base concernent un moyen cryptologique particulier que l’on appelle

signature électronique, mais qui est généralement plus qu’une signature électronique, dans la me-sure où la garantie porte à la fois sur le contenu du message et sur son auteur. Cette mesure consiste ainsi en :

— La détermination de l’algorithme cryptologique support — La mise en place de la solution logicielle pour le signataire — La mise en place de la solution logicielle pour les destinataires — Les mesures complémentaires concernent la protection contre les tentatives de contourne-

ment du système : � Protection du logiciel de signature � Protection du processus de distribution et de conservation des éléments secrets (clés) � Protection du processus pratique de mise en œuvre de la solution de chiffrement

Mesures organisationnelles d’accompagnement — Les mesures organisationnelles de base concernent la distribution du système de reconnaissance

de signature (distribution de clé publique) et la distribution des clé secrètes : � Processus de distribution ou de publication des clés publiques(et de leur révocation) � Processus de distribution des clés secrètes � Processus de vérification de la signature

— Les mesures organisationnelles d’accompagnement concernent éventuellement les mesures à prendre par les utilisateurs quand ils reçoivent des messages avec de mauvaises signatures


� la solidité de l’algorithme de signature et de génération des paires de clés � la solidité de la protection de la mise en œuvre du processus de signature (parfois protégée par un sim-

ple mot de passe sur le poste de travail) � la rigueur du processus de vérification de signature

— La robustesse du service est liée à plusieurs facteurs : � la protection des mécanismes de signature contre toute altération � la solidité du processus et des procédures de distribution et de publication de clés et de gestion

d’anomalies (révocation) � la solidité de la protection du poste de travail contre un usage abusif du processus de signature

— La mise sous contrôle est réalisée par des audits réguliers : � De la protection du poste et du logiciel de signature, � Du système de génération et de gestion des clés � Des procédures relatives à la signature (signature et contrôle)



Version 2010

décembre 2009


MEHARI 2010 232/308 © CLUSIF 2010

09F02 Individualisation des messages empêchant leu r duplication (numérotation, séquencement, ... )

Objectif : Garantir l’unicité d’un message.

Résultats attendus : Empêcher qu’une personne répète un message après l’avoir capté.



Mesures techniques Les mesures techniques de base consistent tout simplement à numéroter les messages de sorte

que toute répétition automatique de l’intégralité d’un message se traduise par une erreur détectée par le système de réception (qui trouvera deux messages avec le même numéro. Il est clair que le système dot être légèrement plus sophistiqué pour éviter qu’un pirate puisse recopier tout un mes-sage en en changeant le numéro. Très généralement, un tel système est couplé avec un chiffrement de message de sorte que la manipulation de numéro ne soit pas possible.

Les mesures d’accompagnement consistent, comme d’habitude, à protéger les mécanismes, tant de numérotation que de contrôle de la numérotation, contre toute altération ou inhibition.

Mesures organisationnelles d’accompagnement Les mesures organisationnelles correspondantes concernent la gestion des alarmes :

— Conduite à tenir — Reporting — etc.


� La solidité de l’algorithme de numérotation � la solidité de l’algorithme de chiffrement si une numérotation simple est employée � la rigueur du processus de vérification du numéro de message

— La robustesse du service est liée à plusieurs facteurs : � la protection des mécanismes de numérotation et de contrôle de numérotation contre toute altération ou

inhibition � la rigueur des procédures de gestion d’erreur ou d’anomalie

— La mise sous contrôle est réalisée par des audits réguliers : � De la mise en œuvre de la numérotation et du contrôle de la numérotation, � Des procédures de gestion d’anomalies



Version 2010

décembre 2009


MEHARI 2010 233/308 © CLUSIF 2010

09F03 Accusé de réception

Objectif : Garantir à l’émetteur d’un message que son message a bien été reçu.

Résultats attendus : Les buts recherchés peuvent être multiples :

— S’assurer qu’un message a bien été reçu — Alerter un émetteur potentiel que son nom a été utilisé pour envoyer un message (si quelqu’un a

usurpé son identifiant ou son nom pour émettre un message, l’accusé de réception lui parviendra néanmoins et pourra l’alerter)

— Empêcher qu’un destinataire nie avoir reçu un message (si l’accusé de réception est envoyé au-tomatiquement)

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels mais peuvent être,

pour partie, automatisés.

Mesures organisationnelles Les mesures organisationnelles de base consistent à faire en sorte qu’à la réception d’un mes-

sage le réclamant, le destinataire renvoie un accusé de réception à l’émetteur. Il est clair que cela peut simplement être demandé dans le corps du message et que cela ne demande alors aucune mesure technique particulière.

Certaines messageries, la plupart, proposent un système pouvant être automatisé par lequel l’accusé de réception est renvoyé automatiquement (avec ou sans demander l’accord du destina-taire) à l’émetteur

Les mesures organisationnelles correspondantes concernent la gestion des alarmes et la conduite à tenir en cas de non retour de l’accusé de réception

Mesures techniques Il est clair que le principe ci-dessus peut être employé et automatisé par des applications infor-

matiques. On devra alors veiller à la protection du processus en question


� La systématisation du processus � L’automatisation de l’alarme en cas de non retour de l’accusé de réception

— La mise sous contrôle est réalisée par des audits réguliers : � De la mise en œuvre des procédures d‘accusé de réception, � Des procédures de gestion d’anomalies



Version 2010

décembre 2009


MEHARI 2010 234/308 © CLUSIF 2010

09G Détection et gestion des incidents et anomalie s applicatifs

09G01 Détection des anomalies applicatives


tives d’actions non autorisées et potentiellement dangereuses.


réussie. A défaut limiter cette action dans le temps. Remarque : dans certains cas d’intrusion, on est surpris de constater que des traces existaient

depuis fort longtemps et auraient permis de réagir.


Mesures organisationnelles — Au niveau applicatif, il est nécessaire d’analyser, en fonction du contexte de l’entreprise, quels

comportements particuliers pourraient être significatifs d’actions anormales et donner lieu à une alerte spécifique, par exemple :

� Séquence de transactions anormales ou d’actions anormales � Horaires ou durées de connexion � Actions menées depuis des sites particuliers

— En complément de ces mesures on analysera quelles séquences de rejets des systèmes de fil-trage devraient déclencher des alertes particulières

— En appui de ces deux types d’alerte, il convient ensuite de mettre en place : � Une équipe d’intervention qui récupérera les alertes � Des procédures (ou directives) de traitement des alertes et des consignes de type de réaction attendue


— Les systèmes de saisie des événements devant donner directement lieu à une alerte — Les systèmes d’analyse éventuelle d’événements plus courants et permettant d élaborer des aler-

tes plus sophistiquées Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour

paramétrer ces systèmes doivent être strictement contrôlés.






— La mise sous contrôle est réalisée par des audits : � du bon fonctionnement du système de surveillance � de la disponibilité de l’équipe d’astreinte et de la surveillance effective des anomalies applicatives



Version 2010

décembre 2009


MEHARI 2010 235/308 © CLUSIF 2010

09H Commerce électronique

09H01 Sécurité des sites de commerce électronique

Objectif : Assurer la sécurité des services de commerce électroniques et un usage sûr de ces services.

Résultats attendus : Éviter que des applications de commerce électronique introduisent des risques spécifiques.


Mesures organisationnelles — Au niveau applicatif, il est nécessaire d’analyser, en fonction du contexte de l’entreprise et de

l’application envisagée, quels comportements particuliers, malveillants ou non, et quels incidents pourraient conduire à des risques spécifiques tels que des fraudes, des défauts de paiements, des pertes de transactions ou de commandes, des divulgations d’informations confidentielles, etc.

— En fonction des résultats de cette analyse, les mesures organisationnelles à prendre consistent à bien spécifier les limites de responsabilité de l’entreprise, à rédiger les clauses contractuelles ou de limite de responsabilité en conséquence et à s’assurer que les partenaires sont bien au courant de leur part de responsabilité dans les processus mis en œuvre.

— En complément, des assurances spécifiques peuvent être mises en place

Mesures techniques Les mesures techniques consistent à mettre en place :

— Des moyens d’authentification solides — Des enregistrements de preuves des transactions effectuées — Des moyens de paiement sécurisés — Des systèmes de signature électronique — Des moyens de protection des informations confidentielles — Etc.

Il est clair que ces moyens doivent découler de l’analyse évoquée plus haut et qu’ils sont spéci-fiques des applications envisagées.


� la qualité et la rigueur de l’analyse des incidents, malveillances et dysfonctionnements possibles au ni-veau des applications et processus envisagés

� le détail et la pertinence des mesures organisationnelles � la compétence mise en œuvre pour la définition des mesures techniques

— La robustesse du service est liée à deux facteurs : � Pour les mesures organisationnelles, elle est liée à la qualité et à la compétence des conseils juridiques

appelés en renfort de l’analyse technique � Pour les mesures techniques, elle est liée aux protections des systèmes de sécurité eux-mêmes contre

toute altération ou inhibition — La mise sous contrôle est réalisée par des audits :

� du bon paramétrage des systèmes de sécurité � du maintien de la pertinence des mesures organisationnelles



Version 2010

décembre 2009

Domaine 10 : Sécurité des projets et développements applicatifs

MEHARI 2010 236/308 © CLUSIF 2010


10A Sécurité des projets et développements applica tifs

Objectif : Faire en sorte que les nouveaux services applicatifs, développés ou achetés, n’apportent pas de

risques ni de failles de sécurité à l’architecture globale en place. Remarque :

— Les nouveaux développements peuvent consister en : � Des développements internes ou sous-traités � L’achat de progiciels

— Les services fournis par ces nouveaux développements peuvent être de nouveaux services ou venir en remplacement de services préexistants, y compris des changements de version

Résultats attendus : Gérer les risques induits par l’introduction de nouveaux projets.


— 10A01 : Prise en compte de la sécurité dans les projets et développements — 10A02 : Gestion des changements — 10A03 : Externalisation du développement logiciel (développement en sous-traitance) — 10A04 : Organisation de la maintenance applicative — 10A05 : Modification des progiciels

10B Sécurité des processus de développement et de maintenance

Objectif : Faire en sorte que les processus de développement et la maintenance applicative n’apportent

pas de failles de sécurité à l’architecture globale en place.

Résultats attendus : Gérer les risques induits par les développements en cours et la maintenance applicative.


— 10B01 : Sécurité des processus des développements applicatifs — 10B02 : Protection de la confidentialité des développements applicatifs — 10B03 : Sécurité relative aux traitements internes des applications — 10B04 : Protection des données d'essai — 10B05 : Sécurité de la maintenance applicative — 10B06 : Maintenance à chaud



Version 2010

décembre 2009


MEHARI 2010 237/308 © CLUSIF 2010

10A Sécurité des projets et développements applica tifs

10A01 Prise en compte de la sécurité dans les proj ets et développe-ments

Objectif : Définir les aspects sécurité à prendre en compte dans les projets et développements applicatifs

et spécifier les mesures adaptées

Résultats attendus : Gérer les risques induits par de nouveaux projets applicatifs

Mécanismes et solutions Les mécanismes à mettre en œuvre se situent au niveau de la maîtrise d’ouvrage et sont tota-

lement organisationnels (les techniques d’accompagnement n’étant pas des techniques informati-ques)

Mesures organisationnelles La mesure organisationnelle de base consiste à faire une analyse des risques potentiellement

induits par le projet et, plus particulièrement à : — identifier les dysfonctionnements de l’activité pouvant être induits par le projet ou par une défaillance

de l’un des composants du projet — analyser avec les responsables utilisateurs le niveau de gravité intrinsèque de ces dysfonctionne-

ments — analyser la potentialité de ces dysfonctionnements, en se basant sur des techniques d’analyse de ris-

que, et en prenant en compte : � les mesures de sécurité générales déjà présentes et inchangées par le projet � les mesures de sécurité déjà prévues dans les spécifications du projet

— analyser l’impact attendu de ces dysfonctionnements, en se basant sur des techniques d’analyse de risque, et en prenant en compte : � les mesures de sécurité générales déjà présentes pouvant limiter l’impact intrinsèque et inchangées par

le projet � les mesures de sécurité pouvant limiter l’impact déjà prévues dans les spécifications du projet

— statuer sur le caractère acceptable de la situation de risque issue de chaque dysfonctionnement iden-tifié

— résumer sur une fiche projet l’ensemble des risques inacceptables — décider pour chacun d’eux les spécifications complémentaires à introduire dans le projet Les mesures organisationnelles d’accompagnement consistent à effectuer un suivi de ces déci-

sions au fil du projet : — revue de projet au lancement avec l’analyse ci-dessus — suivi des décisions et mise à jour de la fiche des risques projets à chaque étape importante du projet

(selon le rythme des revues générales de projet)


� La rigueur de l’analyse de risque ainsi pratiquée � L’expertise du support en analyse de risque

— La mise sous contrôle est réalisée par des audits : � De la pertinence des analyses de risque � De la rigueur dans l’élaboration des fiches de risque et de suivi des décisions



Version 2010

décembre 2009


MEHARI 2010 238/308 © CLUSIF 2010

10A02 Gestion des changements

Objectif : Assurer la continuité et la qualité de service après que des changements de logiciels aient eu

lieu.

Résultats attendus : Éviter qu’un changement de logiciel ne soit susceptible de faire échouer des applications criti-

ques.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont surtout organisationnels avec des mesures techniques

d’accompagnement pour les tests

Mesures organisationnelles — L’essentiel des mesures consiste à mettre en place des procédures formelles lors de toutes de-

mandes de changements sur les logiciels (système ou applicatif): � Mise en place d’une procédure formelle de demande et d’autorisation � Mise en place d’une procédure formelle de documentation, de spécification, de mise à l’essai, de

contrôle qualité et de mise en oeuvre � Mise à jour des plans de continuité suite à ces changements � Séparation de l’environnement de test des nouvelles versions de la production

Mesures techniques — Les mesures techniques d’accompagnement s’appliquent au niveau des tests des nouvelles ver-

sions � Test de non régression � Compatibilité des mises à jour système avec les applications critiques � Dans la mesure du possible, limitation des mises à jour automatiques


� La formalisation des demandes et des autorisations de changements logiciels � L’efficacité des procédures de test des changements avant mise en production. � La compétence et l’expertise de l’équipe de maintenance

— La robustesse du service est liée à : � La possibilité de supprimer les mises à jours automatiques

— La mise sous contrôle est réalisée par des audits réguliers : � Des mises à jours des documentations système et applicative � Des demandes de changement

�



Version 2010

décembre 2009


MEHARI 2010 239/308 © CLUSIF 2010

10A03 Externalisation du développement logiciel (d éveloppement en sous-traitance)

Objectif : Garantir les droits d’utilisation des logiciels sous-traités.

Résultats attendus : Empêcher qu’une mauvaise rédaction des contrats liant l’organisme avec le sous-traitant ne

porte ensuite atteinte au droit d’utilisation du logiciel. Assurer également contractuellement la qualité des développements réalisés notamment en terme de sécurité.

Mécanismes et solutions : Les mécanismes à mettre en œuvre sont essentiellement organisationnels, des mesures techni-

ques d’accompagnement existant toutefois au niveau des tests avant mise en production.

Mesures organisationnelles L’essentiel des mesures consiste à établir un cadre contractuel avec le sous-traitant :

— Accords de licence, propriété du code et droits de propriété intellectuelle — Disposition relative au séquestre en cas de manquement du tiers — Droit d’accès permettant d’auditer la qualité et la précision des travaux réalisés — Exigences contractuelles relatives à la qualité et au niveau de sécurité du code — Procédure de recette avant mise en production

Mesures techniques Les mesures techniques d’accompagnement consistent en des mécanismes de recette du logi-

ciel sous-traité avant mise en production : — Test visant à détecter les codes malveillants éventuels et le code cheval de Troie — Plus généralement l’ensemble des tests réalisés lors d’une recette (adéquation des fonctionnalités

avec le cahier des charges, construction de jeux d’essai, etc…)


� La connaissance de l’environnement juridique lié à la sous-traitance du logiciel � La rigueur dans la sélection du sous-traitant � La rigueur dans l’établissement du cahier des charges � La rigueur dans l’établissement du contrat � La rigueur dans le suivi des développements

— La robustesse du service est liée à celle des dispositions juridiques mises en place : � Contrat prévoyant les cas de défaillance du sous-traitant � Protection clauses standards

— La mise sous contrôle est réalisée par des audits, elle est conditionnée aux droits d’accès chez le sous-traitant : � Audit de la qualité et de la précision des travaux réalisés



Version 2010

décembre 2009


MEHARI 2010 240/308 © CLUSIF 2010

10A04 Organisation de la maintenance applicative

Objectif : Assurer la maintenance des logiciels applicatifs pour les cas de bogues (bugs) ou d’évolutions

nécessaires.




Mesures organisationnelles — Le socle de ce service consiste en l’élaboration de conventions de service interne avec les équipes

de développements ou une équipe interne spécialisée dans la maintenance applicative. L’élaboration des clauses adéquates dans les conventions nécessite néanmoins quelques actions préliminaires et précautions :

� Identifier les logiciels applicatifs critiques et, pour ceux-ci, le délai d’intervention souhaitable et le délai maximum tolérable en cas de bug bloquant

� Trouver un accord avec l’équipe de maintenance sur le délai maximum d’intervention � Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et

conditions d’appel aux meilleurs spécialistes




� la précision et le réalisme des clauses des conventions de service, en particulier en ce qui concerne les horaires d’appel, d’intervention et les possibilités d’appel les week-end et jours fériés

� L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes. � La compétence et l’expertise de l’équipe de maintenance

— La robustesse du service est liée à deux types de facteurs : � Les possibilités de pression dans les cas où les équipes de maintenance sont surchargées � L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire


� Des clauses des conventions � De la tenue des engagements de l’équipe de maintenance



Version 2010

décembre 2009


MEHARI 2010 241/308 © CLUSIF 2010

10A05 Modification des progiciels

Objectif : Limiter au maximum les modifications de progiciel fournis par des éditeurs.

Résultats attendus : Eviter de compromettre l’intégrité de traitement des progiciels et une impossibilité de mainte-

nance dues à des modifications trop importantes ou mal gérées des progiciels.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels afin de limiter au

maximum les modifications de logiciels, toutefois quelques mesures techniques devront accompa-gner les modifications jugées nécessaires

Mesures organisationnelles — Il s’agit essentiellement de gérer les relations avec l’éditeur :

� Etudier en premier lieu la possibilité d’avoir les modifications souhaitées directement auprès de l’éditeur sous la forme de mises à jour classiques

� Obtenir, si nécessaire, l’accord de l’éditeur avant toutes modifications � Etudier avec l’éditeur les conséquences sur la maintenance d’une modification de progiciel � Appliquer une politique de gestion des mises à jour du progiciel incluant les modifications réalisées

Mesures techniques — Les mesures techniques d’accompagnement suite à modification concernent essentiellement les

tests des versions modifiées : � Test de non régression � Test de compatibilité des modifications avec les versions ultérieures du progiciel


� la qualité des relations entretenues avec l’éditeur afin qu’il réalise directement les évolutions souhaitées � La compétence et l’expertise des équipes assurant les modifications

— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles relatives à la modification des progiciels. La principale cause de contournement vient, en effet, du risque de déroger aux procédures normales sous la pression d’une demande urgente.

— La mise sous contrôle est réalisée par des audits réguliers : � De la documentation des modifications effectuées � Des procédures de test avant mise en production de ces modifications



Version 2010

décembre 2009


MEHARI 2010 242/308 © CLUSIF 2010

10B Sécurité des processus de développement et de maintenance

10B01 Sécurité des processus des développements ap plicatifs

Objectif : Protéger les processus opérationnels contre des erreurs ou des malveillances introduites pen-

dant le processus de développement

Résultats attendus : Empêcher que des négligences, des erreurs, voire des malveillances, des équipes de dévelop-

pements applicatifs, ou que des malveillances de personnes externes pendant la phase de déve-loppement, créent des failles de sécurité ou provoquent des dysfonctionnements lors de la mise en œuvre opérationnelle de l’application.

Mécanismes et solutions : Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre, à la fois organisa-

tionnels et techniques.

Mesures organisationnelles L’essentiel des mesures consiste à bien séparer et gérer les différentes tâches et les différents

environnements de travail : — Distinction des rôles et responsabilités de spécification, de conception, de test, et d’intégration et sé-

grégation des rôles de telle sorte qu’une même personne ne cumule pas deux rôles sur le même pro-jet.

— Séparation des environnements de développement, de test et d’intégration. — Gestion stricte de la documentation des codes sources et objets, en fonction des phases de dévelop-

pement — Développements partagés, une personne n’étant jamais seule responsable d’une tâche complète — Rigueur dans la définition des tests :

� Indépendance des tests � Couverture des tests fonctionnels validée par les utilisateurs � Couverture des tests des fonctions et des mécanismes de sécurité validée par la fonction sécurité

— Développements, tests et intégration tracés, toute opération étant imputable à des person-nes bien identifiées

— Sécurisation du processus de passage en production, avec toutes les mesures nécessaires pour pouvoir faire un retour arrière et restaurer les systèmes et données préexistantes.

Mesures techniques Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle des ac-

cès aux environnements et aux objets qu’ils contiennent : — Gestion sécurisée des profils correspondant aux différentes tâches sur chaque projet — Contrôle des accès aux environnements et aux objets de développement (codes et documentation) — Gestion sécurisée des traces et enregistrements


� La rigueur de la séparation des tâches (pas toujours facile sur les petits développements) et des contrô-les indépendants effectués à chaque étape

� La sensibilisation des équipes à l’importance de ces procédures, sur le fond et en termes de crédibilité de la part des utilisateurs

— La robustesse du service est liée à la solidité des mécanismes d’isolement des environnements et de protection des objets � Protection des tables et mécanismes d’affectation des profils � Solidité du contrôle d’accès aux environnements et objets de développement



Version 2010

décembre 2009


MEHARI 2010 243/308 © CLUSIF 2010

— La mise sous contrôle est réalisée par des audits : � De la gestion des rôles et profils � De l’application des procédures � Des mécanismes de contrôle d’accès et de gestion des traces



Version 2010

décembre 2009


MEHARI 2010 244/308 © CLUSIF 2010

10B02 Protection de la confidentialité des dévelop pements applicatifs

Objectif : Protéger le savoir-faire de l’entreprise ayant un caractère confidentiel quand il se matérialise par

des développements applicatifs

Résultats attendus : Empêcher que des négligences, des erreurs, voire des malveillances, des équipes de dévelop-

pements applicatifs, ou que des malveillances de personnes externes pendant la phase de déve-loppement, soient à l’origine d’une divulgation de savoir-faire de l’entreprise (par exemple parce que ce savoir-faire représente un avantage concurrentiel) .

Mécanismes et solutions : Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre, à la fois organisa-

tionnels et techniques.

Mesures organisationnelles L’essentiel des mesures consiste à identifier ce qui est réellement confidentiel et à gérer en

conséquence le processus de développement : — Identification des différents éléments pouvant être une source de divulgation de savoir-faire : no-

tes d’étude, spécifications, code source, code objet, etc. et classification de la confidentialité de ces éléments.

— Création de profils d’accès spécifiques en fonction des tâches du projet et de la confidentialité des ob-jets manipulés

— Organisation spécifique éventuelle favorisant la confidentialité des objets du projet — Communication aux équipes sur la confidentialité des développements


cès aux environnements et aux objets qu’ils contiennent : — Gestion sécurisée des profils d’accès aux différents éléments et objets du projet — Contrôle des accès aux environnements et aux objets de développement (codes sources et objets,

documentation, sécurité physique des supports, etc.) — Chiffrement éventuel des objets confidentiels pouvant l’être (documentation) — Gestion sécurisée des traces et enregistrements


� La rigueur du recensement des divers objets pouvant être source d’une divulgation � La rigueur de l’attribution de profils et de gestion des autorisations correspondantes � La solidité des mécanismes de contrôle d’accès et de chiffrement éventuel � La sensibilisation des équipes à l’importance de ces procédures, sur le fond et en termes de crédibilité

de la part des utilisateurs — La robustesse du service est liée à celle des mécanismes d’isolement des environnements et de pro-

tection des objets : � Protection des tables et mécanismes d’affectation des profils � Protection des mécanismes de contrôle d’accès et de chiffrement éventuel � Détection des mises hors services ou des modifications de la protection des objets du projet

— La mise sous contrôle est réalisée par des audits : � De la gestion des rôles et profils � De l’application des procédures � Des mécanismes de contrôle d’accès et de gestion des traces



Version 2010

décembre 2009


MEHARI 2010 245/308 © CLUSIF 2010

10B03 Sécurité relative aux traitements internes d es applications

Objectif : Empêcher d’éventuelles altérations de l’information dans les applications.

Résultats attendus : Détecter et empêcher des pertes d’intégrité de l’information dans les applications dues à des er-

reurs de traitement ou des actes délibérés.

Mécanismes et solutions : Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.

Mesures organisationnelles L’essentiel des mesures consiste à identifier l’impact d’une éventuelle altération des données

sur l’activité de l’organisme et à gérer en conséquence le processus de développement : — Au niveau de la maîtrise d’ouvrage, définition des éléments critiques en terme d’intégrité. — Identification des Flux d’information au sein des applications et études des conséquences d’une

altération interne sur l’intégrité des données en sortie. — Formation des équipes de développement aux bonnes pratiques (méthode de développement, écri-

ture de gestionnaire d’erreurs, etc…) — Choix des outils de développement (par exemple utilisation de « code managé ») — Formation des équipes de test.

Mesures techniques Les mesures techniques d’accompagnement consistent essentiellement en des mécanismes de

contrôle : — Contrôle de session ou de lots destinés à rapprocher les soldes de fichiers de données après une

mise à jour des transactions — Des vérifications permettant de garantir que les programmes s’exécutent au bon moment — Des vérifications permettant de garantir le bon séquencement des programmes — L’interruption des programmes en cas d’échec et arrêt de tout traitement jusqu’à la résolution du pro-

blème — Création d’un journal des activités liées au traitement


� La rigueur du recensement des informations et traitements critiques en terme d’intégrité � La rigueur dans l’étude du séquencement des traitements au sein de l’application � L’exhaustivité des mécanismes de contrôle interne aux applications � La sensibilisation des équipes de développement aux bonnes pratiques en matière de programmation

— La robustesse du service est liée à celle des mécanismes de contrôle mis en place et à celle des ou-tils de développement employés � La qualité et le professionnalisme des équipes de développement

— La mise sous contrôle est réalisée par des audits : � Des méthodes de développement employées et des procédures en matière de gestion d’erreurs � Du journal des activités liées au traitement �



Version 2010

décembre 2009


MEHARI 2010 246/308 © CLUSIF 2010

10B04 Protection des données d'essai

Objectif : Sélectionner avec soin, protéger et contrôler les données d’essai.

Résultats attendus : Empêcher qu’une utilisation de données fonctionnelles lors des tests logiciels n’entraîne une

corruption ou une divulgation de ces données.


Mesures organisationnelles L’essentiel des mesures consiste à bien gérer et séparer si possible les données de test des

données d’exploitation : � éviter d’utiliser lors de tests des bases de données fonctionnelles contenant des informations personnel-

les ou tout autre information sensible. � mettre en place une procédure d’autorisation chaque fois qu’une information d’exploitation est copiée

dans une application d’essai. � appliquer les mêmes procédures de contrôle d’accès aux applications d’essai que celles qui

s’appliquent aux applications en exploitation � journaliser toute reproduction ou utilisation des informations d’exploitation afin de créer une trace d’audit

Mesures techniques Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle d’accès

aux applications de tests et dans la limitation de l’utilisation des données d’exploitation : � Mise en place dans les applications d’essai de contrôle d’accès � Effacement des données sensibles avant leur utilisation en test � Effacement des informations immédiatement après la fin des tests


� La limitation lorsque cela est possible de l’utilisation de données fonctionnelles dans les applications d’essai

� L’effacement des données personnelles ou sensibles avant l’utilisation en test � L’obligation d’avoir une autorisation séparée à chaque utilisation de données d’exploitation

— La robustesse du service est liée à la solidité des mécanismes de contrôles d’accès aux applications d’essais � Solidité du contrôle d’accès aux applications de tests

— La mise sous contrôle est réalisée par des audits : � Du journal des reproductions et utilisations des informations d’exploitation lors de tests � De l’application des procédures d’autorisation d’utilisation des données d’exploitation en test � Des mécanismes de contrôle d’accès aux applications d’essai



Version 2010

décembre 2009


MEHARI 2010 247/308 © CLUSIF 2010

10B05 Sécurité de la maintenance applicative

Objectif : Protéger les processus opérationnels contre des erreurs ou des malveillances dans le proces-

sus de maintenance applicative

Résultats attendus : Empêcher que des erreurs, voire des malveillances, des équipes de maintenance applicative

créent des failles de sécurité ou provoquent des dysfonctionnements lors de la mise en œuvre opé-rationnelle de l’application après maintenance.


Mesures organisationnelles L’essentiel des mesures consiste à bien séparer et gérer les différentes tâches et les différents

environnements de travail : — Distinction des rôles et responsabilités d’analyse et de conception, de test, et d’intégration et ségréga-

tion des rôles de telle sorte qu’une même personne ne cumule pas deux rôles sur la même opération de maintenance.

— Séparation des environnements de maintenance (développement des corrections), de test et d’intégration.

— Gestion stricte de la documentation et des codes sources et objets, en fonction des phases de main-tenance

— Ségrégation des responsabilités, une personne n’étant jamais seule responsable d’une tâche com-plète

— Rigueur dans la définition des tests : � Indépendance des tests � Couverture des tests fonctionnels validée par les utilisateurs � Couverture des tests des fonctions et mécanismes de sécurité validée par la fonction sécurité

— Corrections, tests et intégration tracés, chaque opération étant imputable à des personnes bien identi-fiées


cès aux environnements et aux objets qu’ils contiennent : — Gestion sécurisée des profils correspondant aux différentes tâches sur chaque projet — Contrôle des accès aux environnements et aux objets de développement (codes sources et objets,

documentation) — Gestion sécurisée des traces et enregistrements


� La rigueur de la séparation des tâches et des contrôles indépendants effectués à chaque étape � La sensibilisation des équipes à l’importance de ces procédures, sur le fond et en termes de crédibilité

de la part des utilisateurs — La robustesse du service est liée à la solidité des mécanismes d’isolement des environnements et de

protection des objets � Protection des tables et mécanismes d’affectation des profils � Solidité du contrôle d’accès aux environnements et objets de développement

— La mise sous contrôle est réalisée par des audits : � De la gestion des rôles et profils � De l’application des procédures



Version 2010

décembre 2009


MEHARI 2010 248/308 © CLUSIF 2010

� Des mécanismes de contrôle d’accès et de gestion des traces



Version 2010

décembre 2009


MEHARI 2010 249/308 © CLUSIF 2010

10B06 Maintenance à chaud

Objectif : Protéger les processus opérationnels contre des erreurs ou des malveillances dans le proces-

sus de maintenance à chaud

Résultats attendus : Empêcher que des erreurs, voire des malveillances, des équipes de maintenance viennent alté-

rer les services opérationnels, lors d‘opérations de maintenance à chaud, c’est-à-dire opérées, pour des raisons diverses, directement dans l’environnement de production.

Mécanismes et solutions : Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre et de la production,

essentiellement organisationnels

Mesures organisationnelles L’essentiel des mesures consiste à bien se protéger contre une difficulté lors de ces opérations,

toujours délicates, et, en particulier à : — Faire une sauvegarde complète de l’environnement de production avant l’opération de maintenance à

chaud — Faire une sauvegarde complète des données (en s’assurant de leur cohérence et de leur synchro-

nisme) pour être capable de restaurer, si besoin, des données non polluées — Noter ou tracer toutes les opérations faites, pour être capable d‘investiguer, après coup, si la sé-

quence d’opérations s’est mal terminée. Les mesures complémentaires d’accompagnement ont trait aux conditions de déclenchement

d’une opération de maintenance à chaud : — Procédure de déclenchement — Accords donnés à haut niveau, formalisés et contenant au moins ceux du Directeur de la production

et du responsable du domaine applicatif concerné.


� La rigueur de l’exécution des sauvegardes préalables � La rigueur du processus d’analyse et de la prise de décision autorisant la maintenance à chaud

— La mise sous contrôle est réalisée par des audits : � De la rigueur des procédures écrites � De l’application des procédures



Version 2010

Mai 2010

Domaine 11 : Protection des postes de travail utili sateurs

MEHARI 2010 250/308 © CLUSIF 2010


11A Sécurité des procédures d’exploitation du parc de postes utilisa-teurs

Objectif : S’assurer que l’ensemble du parc des postes utilisateurs répond aux exigences contractuelles,

légales et réglementaires et à la politique de l’entreprise.

Résultats globaux attendus : Prévenir les changements de configurations non décidés par l’exploitation (du parc de postes

utilisateurs)


— 11A01 : Contrôle de l'installation de nouvelles versions de progiciels ou systèmes sur les postes utilisateurs

— 11A02 : Contrôle de la conformité des configurations utilisateurs — 11A03 : Contrôle des licences des logiciels et progiciels — 11A04 : Contrôle de la conformité des programmes de référence (Sources et exécutables)

des logiciels utilisateurs — 11A05 : Gestion des prestataires ou fournisseurs de services de gestion et d'administration

du parc de postes utilisateurs

11B Protection des postes de travail

Objectif : Faire en sorte que seules les personnes autorisées aient accès aux informations contenues

dans les postes de travail et protéger ceux-ci contre toute altération nuisible


n’ayant pas la nécessité d’accéder, pour leur travail, au poste de travail des collaborateurs.


— 11B01 : Contrôle d’accès au poste de travail — 11B02 : Travail en dehors des locaux de l'entreprise — 11B03 : Utilisation d'équipements personnels ou externes (n'appartenant pas à l'entreprise)

11C Protection des données du poste de travail

Objectif : Faire en sorte que seules les personnes autorisées aient accès aux informations contenues

dans les postes de travail et protéger ceux-ci contre toute altération nuisible



Version 2010

Mai 2010


MEHARI 2010 251/308 © CLUSIF 2010


n’ayant pas la nécessité d’accéder, pour leur travail, au poste de travail des collaborateurs.


— 11C01 : Protection de la confidentialité des données contenues sur le poste de travail ou sur un serveur de données (disque logique pour le poste de travail)

— 11C02 : Protection de la confidentialité des données de l'environnement de travail personnel stockées sur support amovible

— 11C03 : Prise en compte de la confidentialité lors des opérations de maintenance des postes utili-sateurs

— 11C04 : Protection de l'intégrité des fichiers contenus sur le poste de travail ou sur un serveur de données (disque logique pour le poste de travail)

— 11C05 : Sécurité de la messagerie électronique (courriels) et des échanges électroniques d'infor-mation

— 11C06 : Protection des impressions sur imprimantes partagées

11D Continuité de service de l’environnement de tr avail

Objectif : Assurer la continuité de service de l’environnement de travail

Résultats globaux attendus : Faire en sorte que les utilisateurs puissent trouver un environnement de travail satisfaisant en

toutes circonstances.


— 11D01 : Organisation de la maintenance du matériel mis à la disposition du personnel — 11D02 : Organisation de la maintenance du logiciel utilisateur (système d'exploitation et ap-

plications) — 11D03 : Plans de sauvegarde des configurations utilisateurs — 11D04 : Plans de sauvegarde des données utilisateurs stockées sur serveur de données — 11D05 : Plans de sauvegarde des données utilisateurs stockées sur les postes de travail — 11D06 : Protection des postes utilisateurs contre des codes malveillants ou des codes exé-

cutables non autorisés — 11D07 : Plans de Reprise d'Activité des postes utilisateurs — 11D08 : Gestion des moyens d'accès aux fichiers bureautiques

11E Contrôle des droits d'administration

Objectif : Gérer avec rigueur l’attribution et l’utilisation de droits privilégiés sur les postes de travail des uti-

lisateurs



Version 2010

Mai 2010


MEHARI 2010 252/308 © CLUSIF 2010


d’administration ou que des procédures réservées à l’administration des postes utilisateurs soit utili-sées en dehors du contexte normalement prévu.


— 11E01 : Gestion des attributions de droits privilégiés sur les postes utilisateurs (droits d'ad-ministrateur)

— 11E02 : Authentification et contrôle des droits d'accès des administrateurs et personnels d'exploitation

— 11E03 : Surveillance des actions d'administration du parc de postes utilisateurs



Version 2010

Mai 2010


MEHARI 2010 253/308 © CLUSIF 2010

11A Sécurité des procédures d’exploitation du parc de postes utilisa-teurs

11A01 Contrôle de l'installation de nouvelles vers ions de progiciels ou systèmes sur les postes utilisateurs

Objectif : Gérer avec rigueur l’installation de nouvelles versions de progiciels ou systèmes sur l’ensemble du parc

de postes utilisateurs.

Résultats attendus : Éviter que l’installation de nouvelles versions de progiciels ou systèmes sur l’ensemble du parc de

postes utilisateurs ne provoque des dysfonctionnements massifs, que cette installation soit bien inten-tionnée ou malveillante.


Mesures organisationnelles Le problème que peuvent poser, du point de vue de la sécurité, ces installations de nouvelles

versions de progiciels ou systèmes sur l’ensemble du parc de postes utilisateurs est qu’une valida-tion insuffisante ait fait ignorer des incompatibilités et qu’il s’ensuive un dysfonctionnement massif.


cisions d’installation ou de changement de versions. — Le test en vraie grandeur, sur un site pilote (comprenant idéalement un panel d’utilisateurs), des

nouvelles versions et leur validation par un ensemble exhaustif de tests. — La mise à jour formelle et la validation des paramétrages de sécurité et règles de configuration à

contrôler après installation — La définition et la mise à jour régulière d’une liste limitée d’administrateurs chargés de ces installa-

tions

Mesures techniques Les mesures techniques d’accompagnement visent à contrôler que ces installations sont bien

faites par des personnes autorisées et que les contrôles des paramètres de sécurité sont bien effec-tués :

— Restriction des accès aux systèmes permettant l’installation de nouvelles configurations sur l’ensemble du parc de postes utilisateurs :

� contrôle des droits attribués aux administrateurs du parc de postes utilisateurs, � contrôle d’accès pour accéder au système d’installation

— Mise en place de contrôles formels des paramétrages de sécurité dans le processus même d’installation de nouvelles versions.

Qualité de service — L’efficacité du service est essentiellement liée :

� Au formalisme et à la rigueur du processus de test et de validation des nouvelles versions de logiciels et systèmes

� Au formalisme de la tenue à jour des paramétrages de sécurité de chaque version et du contrôle de conformité de ces paramètres sur une nouvelle version.

� À la qualité du système d contrôle d’accès au logiciel gestion des configurations de l’ensemble du parc de postes utilisateurs

— La robustesse du service est liée à : � La volonté de la Direction de ne pas déroger aux procédures formelles de validation des nouvelles ver-



Version 2010

Mai 2010


MEHARI 2010 254/308 © CLUSIF 2010

sions et de contrôle de conformité sauf circonstances réellement exceptionnelles et au formalisme ri-goureux alors nécessaire (signature formelle d’une dérogation par un membre de la Direction).

� L’impossibilité de procéder à installations sur l’ensemble du parc pour du personnel n’ayant pas cette fonction et à la solidité des contrôles correspondants (rigueur dans l’attribution des profils et authentifi-cation forte)




Version 2010

Mai 2010


MEHARI 2010 255/308 © CLUSIF 2010

11A02 Contrôle de la conformité des configurations utilisateurs

Objectif : Vérifier que les configurations utilisateurs sont bien conformes à la politique décidée.

Résultats attendus : Éviter que les configurations utilisateurs introduisent des faiblesses dans la sécurité globale des

systèmes. Les cas les plus courants de faiblesses introduites par les utilisateurs sont l’installation et

l’utilisation de logiciels pouvant contenir des failles de sécurité, parfois avec de très bonnes inten-tions (par exemple logiciels de sécurité, mais d‘un niveau très faible), parfois avec des intentions moins louables (logiciels de décryptage de mots de passe ou utilitaires devant être réservés).

Il peut également s’agir de versions anciennes de logiciels ne contenant pas les correctifs de sécurité.


Mesures organisationnelles — Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques faits au ni-

veau de l’architecture en options de configurations des postes utilisateurs et en liste de logiciels et de matériels additionnels autorisés (avec les versions de référence autorisées). Le résultat est un fichier descriptif des options et paramétrages autorisés sur les postes utilisateurs.

Mesures techniques — Les mesures techniques de base consistent à

� Restreindre les possibilités de changement des configurations logicielles en ne donnant pas les droits d’administration de leur poste aux utilisateurs

� Mettre en place des automatismes de contrôle de la configuration des postes utilisateurs lors de leur connexion au réseau et aux serveurs.

— A défaut, la configuration des postes utilisateurs peut faire l’objet de directives précises assorties d’interdiction d’intervention sur la configuration du poste et d’audit régulier de ces configurations.


� la précision et le formalisme des options et paramètres autorisés sur chaque type de poste utilisateur. � la solidité des systèmes de prévention de changement des configurations logicielles par les utilisateurs � l’automatisme et la fréquence des contrôles.

— La robustesse du service est liée à deux types de facteurs : � la protection (éventuellement par scellement) des options et paramètres à contrôler, pour éviter une alté-

ration de la liste des contrôles à effectuer � le contrôle des possibilités d’administration des postes par les utilisateurs eux-mêmes, pour éviter qu’ils

ne changent les configurations trop facilement entre deux contrôles — La mise sous contrôle est réalisée par des audits réguliers :

� des procédures de contrôle � des contrôles réellement effectués



Version 2010

Mai 2010


MEHARI 2010 256/308 © CLUSIF 2010

11A03 Contrôle des licences des logiciels et progi ciels

Objectif : Vérifier que les logiciels utilisateurs ont bien des licences en règle (et ont été licitement acquis).

Résultats attendus : Éviter de se mettre en tort vis-à-vis du droit de la propriété industrielle


Mesures organisationnelles — Le socle de ce service consiste bien entendu à interdire très officiellement tout usage de logiciel

sans licence à jour — Il convient ensuite de vérifier que cette interdiction est respectée en :

� Tenant à jour une liste détaillée des logiciels installés officiellement sur chaque poste de travail, � procédant à des audits de conformité des configurations réelles, � sanctionnant les manquements éventuels.

Mesures techniques — Les mesures techniques d’accompagnement consistent, éventuellement, à

� Restreindre les possibilités de changement des configurations logicielles en ne donnant pas les droits d’administration de leur poste aux utilisateurs

� Mettre en place des automatismes d’effacement de tout exécutable non déclaré.


� la régularité et l’étendue des audits � la communication sur les sanctions prises

— La mise sous contrôle est réalisée par des audits réguliers : � des procédures d’audit � des contrôles réellement effectués



Version 2010

Mai 2010


MEHARI 2010 257/308 © CLUSIF 2010

11A04 Contrôle de la conformité (sources et exécut ables) des pro-grammes de référence des logiciels utilisateurs

Objectif : Contrôler que les programmes de référence, sources ou exécutables, pouvant être utilisés par la

production informatique à la suite d’un incident nécessitant de recharger le système ou une applica-tion sont bien conformes à ce qu’ils devraient être.

Résultats attendus : Éviter que pour une raison quelconque, le rechargement d’un système ou d’une application

















Version 2010

Mai 2010


MEHARI 2010 258/308 © CLUSIF 2010

11A05 Gestion des prestataires ou fournisseurs de s ervice de gestion et d’administration du parc de postes utilisateurs


ne permettent pas de réaliser de nombreuses opérations liées à l’exploitation et à la sécurisation des moyens informatiques, temporairement ou de façon permanente, et sont confiées à des per-sonnels externes et des prestataires de service.







ceptible de faire appel, � Analyse des risques spécifiques à chaque cas, � Elaboration des exigences de sécurité : services exigés, compétences nécessaires, moyens à mettre



� Mise en place d’une procédure de revue et de suivi du respect des engagements, � Mise en place de procédures permettant aux prestataires de faire remonter tout événement de sécurité



� L’exhaustivité de l’analyse faite a priori des types de prestations, � La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité qui en sont déduites, � Le détail et la rigueur des règles contractuelles édictées, � La mise en place des moyens de contrôle d’identité et de droits appropriés.


en œuvre. � La revue périodique du respect des engagements contractuels, � Le contrôle du maintien de la pertinence des clauses et engagements signés.



Version 2010

Mai 2010


MEHARI 2010 259/308 © CLUSIF 2010

11B Protection des postes de travail

11B01 Contrôle d’accès au poste de travail

Objectif : Ne permettre l’accès au poste de travail qu’aux personnes autorisées.

Résultats attendus : Éviter que des personnes non autorisées puissent accéder aux données stockées sur le poste

de travail ou y introduire des logiciels pouvant représenter un danger pour la sécurité : — Logiciel espion permettant d’enregistrer les actions du titulaire du poste telles que la frappe des mots

de passe de connexion aux réseaux ou systèmes — Cheval de Troie permettant ensuite de prendre la main à distance sur le poste


Mesures techniques Il s’agit, bien entendu, du contrôle d’accès au poste qui peut reposer sur :

— Un mot de passe géré par le matériel lui-même (dans le set up) — Un mot de passe géré par un logiciel spécialisé — Des moyens d’authentification forte tels qu’une carte à puce, des moyens biométriques, etc. Les mesures techniques complémentaires nécessaires consistent à gérer le passage en veille,

après un délai relativement court, avec obligation de s’authentifier à nouveau à la reprise, en cas d’inactivité, afin d’éviter que quelqu’un puisse profiter de l’absence d titulaire du poste

Mesures organisationnelles De tels systèmes ne peuvent être mis en œuvre sans des mesures d’accompagnement desti-

nées à faire face à un oubli ou à la perte du moyen d’authentification. Il est également nécessaire que l’entreprise se garde un moyen d’accéder au poste en cas de

départ ou de disparition de son titulaire : — Conservation sécurisée par l’entreprise d’une copie du mot de passe — Droits ouverts à un administrateur — Gestion d’un « mode maître » pour les authentifications fortes

Qualité de service — L’efficacité du service est liée à la solidité de l’algorithme d’authentification — La robustesse du service est liée à :

� sa capacité à résister à une mise hors circuit (les mots de passe du set up peuvent facilement être dé-sactivés par la maintenance ou un bon spécialiste du matériel)

� l’automatisation du passage en mode veille et à la vitesse de ce passage en cas d’inactivité — La mise sous contrôle est réalisée par des audits réguliers :

� De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspon-dant)

� De l‘usage, par les utilisateurs, des solutions offertes



Version 2010

Mai 2010


MEHARI 2010 260/308 © CLUSIF 2010

11B02 Travail en dehors des locaux de l’entreprise

Objectif : Faire en sorte que les collaborateurs prennent les dispositions adéquates quand ils sont en de-

hors des locaux de l’entreprise et qu’ils sont amenés, dans ces conditions, à manipuler, traiter, échanger des informations concernant l’entreprise ou son activité.

Résultats attendus : Éviter des fuites d’information à l’occasion de travail en dehors des locaux de l’entreprise


Mesures organisationnelles Les mesures de base sont organisationnelles et consistent à analyser les conditions de travail

en dehors des locaux de l’entreprise, à en déduire les risques liés aux informations sensibles et à définir en conséquence les comportements et précautions à demander aux collaborateurs de l’entreprise :

— Analyse exhaustive de toutes les situations de travail ou d‘échanges professionnels en dehors des locaux de l’entreprise

— Etablissement de politiques de sécurité relatives au travail en dehors des locaux de l’entreprise et au télétravail

Les mesures complémentaires consistent à faire en sorte que le personnel connaisse les mesu-res de sécurité à appliquer et qu’il ait une conscience suffisante des risques pour les mettre en œu-vre effectivement :

— Sensibilisation aux risques rencontrés dans des situations de travail en dehors des locaux — Formation aux mesures à appliquer dans ces circonstances

Mesures techniques Les mesures techniques d’accompagnement consiste à s’assurer que seuls les moyens techni-

ques appartenant à l’entreprise sont utilisés et qu’ils sont équipés et configurés en consé-quence (VPN pour se connecter au réseau d’entreprise, chiffrement des fichiers, configuration contrôlée régulièrement, etc.)


� L’exhaustivité des cas étudiés � La rigueur des mesures décidées suite à cette analyse � La solidité des mécanismes mis en œuvre pour protéger les données ou les échanges d’information � La sensibilisation et la formation des utilisateurs

— La mise sous contrôle est réalisée par des audits réguliers : � De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspon-

dant) � De l‘usage, par les utilisateurs, des solutions offertes



Version 2010

Mai 2010


MEHARI 2010 261/308 © CLUSIF 2010

11B03 Utilisation d’équipements personnels ou exter nes (n’appartenant pas à l’entreprise)

Objectif : Faire en sorte que les collaborateurs prennent les dispositions adéquates s’ils sont amenés à

travailler sur des équipements personnels non contrôlés par l’entreprise.

Résultats attendus : Éviter des fuites d’information à l’occasion de travail sur des équipements personnels


Mesures organisationnelles Les mesures de base sont organisationnelles et consistent à analyser les conditions de travail

éventuelles en dehors des locaux de l’entreprise, à en déduire les risques liés aux informations sen-sibles et à définir en conséquence les comportements et précautions à demander aux collabora-teurs de l’entreprise :

— Analyse exhaustive de toutes les situations de travail ou d‘échanges professionnels utilisant des équipements n’appartenant pas à l’entreprise

— Etablissement de politiques de sécurité relatives à l’utilisation d’équipements personnels (ordina-teur, téléphone, assistant, etc.)

Les mesures complémentaires consistent à faire en sorte que le personnel connaisse les mesu-res de sécurité à appliquer et qu’il ait une conscience suffisante des risques pour les mettre en œu-vre effectivement :

— Sensibilisation aux risques rencontrés lors de l’utilisation d’équipements personnels — Formation aux mesures à appliquer dans ces circonstances

Mesures techniques Les mesures techniques d’accompagnement consistent à mettre en place les moyens techni-

ques complémentaires éventuellement nécessaires et à les mettre à la disposition du personnel (clés USB, modules de chiffrement pour assistants personnels, clés de protection, etc.)


� L’exhaustivité des cas étudiés � La rigueur des mesures décidées suite à cette analyse � La solidité des mécanismes mis en œuvre pour protéger les données ou les échanges d’information � La sensibilisation et la formation des utilisateurs





Version 2010

Mai 2010


MEHARI 2010 262/308 © CLUSIF 2010

11C Protection des données du poste de travail

11C01 Protection de la confidentialité des données contenues sur le poste de travail ou sur un serveur de données (disq ue logique pour le poste de travail)

Objectif : Contrôler l’accès en lecture aux données pouvant résider sur le poste de travail.

Résultats attendus : Éviter que des personnes pouvant avoir accès au poste de travail puissent prendre connais-

sance des données qu’il contient ou qu’il a contenues : — Fichiers vivants — Fichiers effacés — Fichiers temporaires Le service vise également à se protéger contre des accès aux informations par des administra-

teurs de postes de travail


Mesures techniques Les mesures techniques sont de différentes natures selon la nature des fichiers que l’on sou-

haite protéger : — Chiffrement des fichiers vivants — Effacement réel et fiable des fichiers et informations inutiles et « détruites » — Effacement réel et fiable des fichiers temporaires

Mesures organisationnelles De tels systèmes ne peuvent être mis en œuvre sans des mesures de sensibilisation et de for-

mation du personnel pour qu’il comprenne bien ce qu’il convient de faire — Le chiffrement des fichiers est certes utile, mais, quand on utilise ces fichiers, ils sont alors « en clair »

et cela demande des procédures particulières. Par ailleurs, si le chiffrement n’est pas déclenché par directory, il faut le faire manuellement et donc y prendre garde (en particulier pour les pièces jointes de messages ou les adresses de messagerie – risque de modification insoupçonnée – qui peuvent être stockées sur un directory non chiffré et qu’il faut donc chiffrer volontairement ou ranger dans un directory chiffré).

— L’effacement réel des fichiers est possible par certains produits, mais il faut le plus souvent les activer spécialement et à chaque effacement réel

— L’effacement des fichiers temporaires peur également être programmé, mais il ne sera réel, le plus souvent, qu’à la fermeture du système.

En fonction des remarques qui viennent d’être faites, des directives précises sont un accompa-gnement nécessaires et doivent couvrir les divers points cités (fichiers, messages, adresses de messagerie, fichiers détruits, fichiers temporaires, etc.)


� L’exhaustivité des fonctions prévues � La solidité des mécanismes mis en place (en particulier chiffrement et effacement) � La sensibilisation des utilisateurs

— La robustesse du service est liée à : � la protection du processus de mise en œuvre du déchiffrement ou d’effacement � la sécurité du processus de distribution des clés de chiffrement

— La mise sous contrôle est réalisée par des audits réguliers :



Version 2010

Mai 2010


MEHARI 2010 263/308 © CLUSIF 2010

� De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspon-dant)

� De l‘usage, par les utilisateurs, des solutions offertes

11C02 Protection de la confidentialité des données de l'environne-ment de travail personnel stockées sur support amov ible

Objectifs : Contrôler l’accès en lecture aux données pouvant résider sur le poste de travail.

Résultats attendus : Éviter que des personnes pouvant avoir accès au support amovible, que ce soit une clé, un dis-

que externe ou un assistant personnel puissent prendre connaissance des données qu’il contient .

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement techniques

Mesures techniques Les mesures techniques sont :

— Le chiffrement des fichiers sensibles contenus sur un support amovible, — La protection du processus de chiffrement sur le système sur lequel il est effectué, pour éviter qu’il

ne soit altéré ou court-circuité.

Mesures organisationnelles Les mesures organisationnelles de base sont les mêmes que pour les données situées sur un

poste de travail (surtout portable) et consistent essentiellement en une sensibilisation et une éduca-tion spécifique pour le personnel concerné.


� La solidité des mécanismes mis en place (chiffrement), � La sensibilisation des utilisateurs.

— La robustesse du service est liée à : � la protection du processus de mise en œuvre du chiffrement, � la sécurité du processus de distribution et de conservation des clés de chiffrement.

— La mise sous contrôle est réalisée par des audits réguliers : � De la bonne utilisation des solutions offertes (avec le support correspondant), par les utilisateurs,



Version 2010

Mai 2010


MEHARI 2010 264/308 © CLUSIF 2010

11C03 Prise en compte de la confidentialité lors d es opérations de maintenance des postes utilisateurs

Objectif : Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de main-

tenance sur les postes utilisateurs

Résultats attendus : Éviter qu’une intervention de maintenance sur un poste utilisateur se traduise par une fuite

d’information sensible.



que : — Les informations sensibles ne soient pas accessibles par le personnel de maintenance :

� Effacement (physique) des disques si possible � Déconnexion du disque et conservation avant envoi en maintenance � Destruction ou conservation des supports rebutés

— Empêcher ou contrôler a posteriori que l’opération de maintenance se traduise par des fuites ultérieu-res d’information (absence de module espion, de porte dérobée, etc.)

Qualité de service — L’efficacité du service est essentiellement liée à la précision et au formalisme des procédures à suivre

pour chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opéra-tions à mener avant et après l’intervention de la maintenance).

— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures for-melles de contrôle de la confidentialité lors des opérations de maintenance sauf circonstances réel-lement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une déroga-tion par un membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des délais.

— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-dessus.



Version 2010

Mai 2010


MEHARI 2010 265/308 © CLUSIF 2010

11C04 Protection de l’intégrité des fichiers conte nus sur le poste de travail ou sur un serveur de données (disque logiqu e pour le poste de travail)

Objectif : Contrôler l’intégrité des données pouvant résider sur le poste de travail.

Résultats attendus : Éviter que des personnes pouvant avoir accès au poste de travail puissent modifier des don-

nées qu’il contient ou qu’il a contenues, sans que cela soit remarqué : — Fichiers vivants — Archives


Mesures techniques Les mesures techniques sont de différentes natures selon la nature des fichiers que l’on sou-

haite protéger : — Interdiction d’écriture sur certains fichiers sensibles — Protection de l’intégrité par des mécanismes dédiés tels que la signature ou le scellement

Mesures organisationnelles De tels systèmes ne peuvent être mis en œuvre sans des mesures de sensibilisation et de for-

mation du personnel pour qu’il comprenne bien ce qu’il convient de faire — Le scellement ou la signature des fichiers est certes utile, à condition de prendre le temps de vérifier

systématiquement le sceau ou la signature. — Il importe également que les utilisateurs comprennent que les fichiers ne sont plus protégés dès lors

qu’ils sont ouverts et chargés sur le poste de travail (travail en cours) et que s’ils veulent être sûrs que personne ne puisse modifier ces fichiers, dans ces circonstances, il faut qu’alors ils se déconnectent du réseau.

En fonction des remarques qui viennent d’être faites, des directives précises sont un accompa-gnement nécessaires et doivent couvrir les diverses cibles possibles (fichiers, messages, adresses de messagerie, etc.)


� L’exhaustivité des fonctions prévues � La solidité des mécanismes mis en place (en particulier de scellement ou de signature) � La sensibilisation des utilisateurs

— La robustesse du service est liée à : � la protection du processus de mise en œuvre du scellement et du contrôle de sceau � la sécurité du processus de distribution des clés de scellement





Version 2010

Mai 2010


MEHARI 2010 266/308 © CLUSIF 2010

11C05 Sécurité de la messagerie électronique (cour riels) et des échanges électroniques d'information

Objectif : Assurer la confidentialité, l’intégrité et l’authenticité des messages électroniques.

Résultats attendus : Faire en sorte que des informations sensibles transitant par messageries ne soient accessibles

qu’aux destinataires prévus, qu’elles parviennent intègres et que leur émetteur puisse être détermi-né sans ambiguïté.

Mécanismes et solutions Les mécanismes à mettre sont en partie organisationnels, mais essentiellement techniques.

Mesures organisationnelles Les mesures organisationnelles consistent à définir une politique de sécurité de l’emploi de la

messagerie : — Limitation d’emploi en fonction de la sensibilité — Conduite à tenir à la réception de messages provenant d’émetteurs non connus — Utilisation des répertoires d’adresses — Accusé de réception pour les messages importants devant être datés — Conservation des traces d’échanges Les mesures complémentaires concernent d’autres modes d’échange que la messagerie : vidéo

ou audio conférences, SMS et MMS, qui doivent également faire l’objet d’une politique de sécurité

Mesures techniques Les mesures techniques de base, font appel à des procédés cryptologiques :

— Emploi de messagerie cryptée — Emploi de pièces jointes cryptées — Emploi de canaux de communication chiffrés pour les conférences — Signature électronique

Qualité de service — L’efficacité du service est liée plusieurs facteurs :

� Les détails et la rigueur des procédures d’emploi des moyens d’échanges électroniques � La solidité de l’algorithme de chiffrement ou de signature des échanges et messages � La solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (par-

fois protégée par un simple mot de passe sur le poste de travail) — La robustesse du service est liée à plusieurs facteurs :

� la protection des mécanismes de chiffrement eux-mêmes � la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation) � la solidité de la protection du poste de travail contre des altérations du poste (introduction de logiciel es-





Version 2010

Mai 2010


MEHARI 2010 267/308 © CLUSIF 2010

11C06 Protection des impressions sur imprimantes p artagées

Objectif : Sécuriser le processus d’impression, depuis le déclenchement d’une impression, par un utilisa-

teur, sur une imprimante partagée, jusqu’au moment où il récupère le document imprimé.

Résultats attendus : Eviter la fuite d’informations lors d’impressions sur des imprimantes partagées,.


Mesures techniques Les mesures techniques visent à maîtriser l’accès aux documents en cours d’impression ou

après impression : — Installer ces imprimantes dans des locaux à accès contrôlé, — Réserver les accès aux locaux d’impression à des personnes partageant les mêmes droits, — Permettre l’annulation d’une impression avant réalisation, — Installer, dans les locaux d’impression, un dispositif de destruction sécurisée des impressions à re-

buter,

Mesures organisationnelles Les mesures organisationnelles d’accompagnement visent à :

— Sensibiliser les utilisateurs sur le fait qu’ils doivent récupérer sans délai les documents sensibles imprimés,

— Former les utilisateurs afin qu’ils sachent annuler une impression s’ils ne peuvent attendre son dé-nouement (file d’attente trop longue),


� La solidité du système de contrôle des accès aux locaux d’impression � La rigueur de l’attribution des droits d’accès à ces locaux

— La robustesse du service est liée à: � La capacité réagir à des événements imprévus : bourrage, retards d’impression

— La mise sous contrôle est réalisée par des audits � Du suivi des mesures de protection nécessaires autour de ces imprimantes partagées



Version 2010

Mai 2010


MEHARI 2010 268/308 © CLUSIF 2010

11D Continuité de service de l’environnement de tr avail

11D01 Organisation de la maintenance du matériel m is à la disposition du personnel

Objectif : Assurer la maintenance des matériels mis à la disposition du personnel pour les cas de panne

ou d’évolutions nécessaires.



Mécanismes et solutions Les mécanismes à mettre en œuvre sont exclusivement organisationnels


les fournisseurs d’équipements soit avec une tierce partie de maintenance (TPM). L’élaboration des clauses adéquates dans le contrat nécessite néanmoins quelques actions préliminaires et précau-tions : � Identifier les équipements critiques pour le personnel et, pour ceux-ci, le délai de remise en service sou-

haitable et le délai maximum tolérable en cas de défaillance � Négocier avec le contractant le délai maximum d’intervention et le délai maximum de réparation (celui-ci

peut dépendre de l’existence de pièces de rechange sur site et ce point doit faire l’objet de la négocia-tion)




� La compétence et l’expertise du fournisseur ou du contractant — La robustesse du service est liée à deux types de facteurs :

� La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité) � Les possibilités d’action ou de pression en cas de grève du personnel

— La mise sous contrôle est réalisée par des audits réguliers : � Des clauses du contrat et de la tenue des engagements du fournisseur � Du fournisseur, afin de vérifier les points cités au titre de la robustesse.



Version 2010

Mai 2010


MEHARI 2010 269/308 © CLUSIF 2010

11D02 Organisation de la maintenance du logiciel u tilisateur (système d’exploitation et applications)

Objectif : Assurer la maintenance des logiciels des postes utilisateurs pour les cas de bugs ou

d’évolutions nécessaires.

Résultats attendus : Éviter qu’un bug bloquant ou qu’une évolution nécessaire (que ce soit pour des changements de

contexte internes ou externes) se traduise par une interruption inacceptable du service.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont exclusivement organisationnels


fournisseurs de logiciels et de progiciels. L’élaboration des clauses adéquates dans le contrat néces-site néanmoins quelques actions préliminaires et précautions : � Identifier les logiciels critiques pour les utilisateurs et, pour ceux-ci, le délai d’intervention souhaitable et le

délai maximum tolérable en cas de bug bloquant � Négocier avec le fournisseur le délai maximum d’intervention � Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et










Version 2010

Mai 2010


MEHARI 2010 270/308 © CLUSIF 2010

11D03 Plans de sauvegardes des configurations util isateurs

Objectif : Assurer la possibilité de reconstituer les configurations utilisateurs en cas de besoin.

Résultats attendus : Éviter qu’à l’occasion d’un accident grave obligeant à déplacer les utilisateurs sur un autre site

ou, du moins, à leur donner un environnement de travail différent, la durée de reconstitution de cet environnement de travail soit pénalisé par une méconnaissance de l’environnement de départ.


Mesures techniques — Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations standards

des utilisateurs (masters) ou des paramètres permettant de reconstituer ces configurations. — Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des ac-

tions volontaires de destruction et contre des accidents : � stockage des sauvegardes de masters ou de fichiers de paramètres dans un local protégé par un

contrôle d’accès � stockage des sauvegardes de masters ou de fichiers de paramètres dans un local protégé contre

l’incendie, les dégâts des eaux et les risques de pollution.

Mesures organisationnelles — Les mesures organisationnelles d’accompagnement visent la gestion des droits d’accès aux sauve-

gardes et les conditions d’accès auxdites sauvegardes : � gestion rigoureuse des personnes ayant accès aux sauvegardes � contrôle de relecture périodiques � stockage d’un jeu de sauvegardes de recours en dehors du site de production


� l’exhaustivité des configurations et paramètres sauvegardés et de la tenue à jour des configurations ap-plicables à chaque utilisateur



— La mise sous contrôle est réalisée par des audits réguliers : � des procédures de sauvegardes � des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer complè-

tement l’environnement de l’ensemble des utilisateurs � des dispositions prises pour les protéger des risques de malveillance et accidentels.



Version 2010

Mai 2010


MEHARI 2010 271/308 © CLUSIF 2010

11D04 Plan de sauvegarde des données utilisateurs stockées sur ser-veurs de données

Objectif : Assurer la sauvegarde des données utilisateurs stockées sur serveur

Résultats attendus : Permettre une reprise rapide du travail des utilisateurs en cas d’incident sur un serveur de don-

nées ou de mise en œuvre de plans de secours les obligeant à travailler sur un autre serveur.


Mesures techniques — Les mesures techniques de base consistent à faire que des sauvegardes des données utilisateur

stockées sur serveur soient effectuées, à une fréquence correspondant aux besoins des utilisa-teurs.



de pollution.

Mesures organisationnelles — Les mesures organisationnelles de base visent l’étude de la durée maximale admissible entre deux

sauvegardes pour que les inconvénients subis par les utilisateurs soient acceptables — Les mesures d’accompagnement visent la gestion des droits d’accès aux sauvegardes et les condi-

tions d’accès auxdites sauvegardes : � gestion rigoureuse des personnes ayant accès aux sauvegardes � contrôle de relecture périodique � stockage d’un jeu de sauvegardes de recours en dehors du site de production


� la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs � l’automaticité des sauvegardes et sa prise en compte par la production informatique

— La robustesse du service est liée à deux types de facteurs : � la solidité des contrôles d’accès et des protections contre les risques accidentels. � la rigueur de la gestion des droits d’accès aux sauvegardes




Version 2010

Mai 2010


MEHARI 2010 272/308 © CLUSIF 2010

11D05 Plan de sauvegarde des données utilisateurs stockées sur les postes de travail

Objectif : Assurer la sauvegarde des données utilisateurs stockées sur leur poste de travail

Résultats attendus : Permettre une reprise rapide du travail des utilisateurs en cas d’incident sur leur poste de travail

ou de mise en œuvre de plans de secours les obligeant à travailler sur un autre poste.


Mesures techniques — Les mesures techniques de base consistent à faire que des sauvegardes des données utilisateur

stockées sur leur poste de travail soient effectuées, avec deux alternatives (en ne traitant pas comme un service de sécurité le fait que l’utilisateur se débrouille tout seul pour faire ses sauvegardes comme il l’entend) : � Sauvegardes faites à l’initiative des utilisateurs, à une fréquence déterminée par eux, avec l’aide d’outil

de sauvegardes (permettant éventuellement une automatisation du processus) fourni par la fonction informatique (la gestion des fichiers de sauvegarde et leur protection physique étant assurée par la production informatique).

� Sauvegardes centralisées et grées par la production informatique lors de la connexion des postes au réseau (pour les postes nomades)

— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des ac-tions volontaires de destruction et contre des accidents : � stockage des sauvegardes dans un local protégé par un contrôle d’accès � stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques

de pollution.

Mesures organisationnelles — Les mesures organisationnelles de base visent l’étude de la durée maximale admissible entre deux

sauvegardes pour que les inconvénients subis par les utilisateurs soient acceptables — Les mesures d’accompagnement visent la gestion des droits d’accès aux sauvegardes et les condi-

tions d’accès auxdites sauvegardes : � gestion rigoureuse des personnes ayant accès aux sauvegardes � contrôle de relecture périodiques � stockage d’un jeu de sauvegardes de recours en dehors du site de production


� la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs � l’automaticité des sauvegardes ou leur prise en compte par la production informatique

— La robustesse du service est liée à trois types de facteurs : � la résistance des configurations utilisateurs à l‘inhibition du processus de sauvegarde automatique et

l’alerte de l’utilisateur en cas de mise hors service � la solidité des contrôles d’accès et des protections contre les risques accidentels. � la rigueur de la gestion des droits d’accès aux sauvegardes

— La mise sous contrôle est réalisée par des audits réguliers : � des procédures de sauvegardes � des dispositions prises pour les protéger des risques de malveillance et accidentels. � De l’usage effectif des services de sauvegardes par les utilisateurs



Version 2010

Mai 2010


MEHARI 2010 273/308 © CLUSIF 2010

11D06 Protection des postes utilisateurs contre de s codes malveil-lants ou des codes exécutables non autorisés

Objectif : Assurer la protection des postes de travail contre les risques d’exécution de codes non autorisés

Résultats attendus : Éviter l’action de codes exécutables non autorisés et leur propagation


Mesures techniques Les mesures techniques de base consistent à équiper les postes de travail d’antivirus efficaces :

— régulièrement mis à jour — restant activés (éventuellement sans possibilité pour l’utilisateur de désactiver l’antivirus) — effectuant régulièrement et automatiquement une analyse des fichiers du poste de travail Par ailleurs, l’exécution de codes mobiles doit être contrôlée (information de l’utilisateur et acceptation pré-alable par celui-ci avant exécution).

Mesures organisationnelles Les mesures organisationnelles d’accompagnement consistent en :

— la mise en place de cellules support permettant de réagir très vite au cas où une première attaque se-rait détectée par l’antivirus

— la sensibilisation des utilisateurs au risque viral et au danger de la désactivation de l’antivirus — la sensibilisation des utilisateurs à l’utilisation de code dont la provenance n’est pas formellement

identifiée


� la qualité du fournisseur � la fréquence des mises à jour

— La robustesse du service est liée à l’incapacité pour l’utilisateur de désactiver son antivirus — La mise sous contrôle est réalisée par des audits de :

� la fréquence des mises à jour � l’activation de l’antivirus



Version 2010

Mai 2010


MEHARI 2010 274/308 © CLUSIF 2010

11D07 Plan de Reprise d’activité des postes utilis ateurs

Objectif : Assurer la mise à disposition d’un environnement de travail acceptable en cas d’accident grave

Résultats attendus : Permettre aux utilisateurs de retrouver un environnement de travail acceptable, en cas

d’accident grave survenant sur une partie importante du site où ils travaillent en temps normal, acci-dent rendant leur environnement indisponible, et ceci dans un délai compatible avec les besoins des utilisateurs.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque type de population, compte

tenu des fonctions à assurer en priorité, les conséquences d’un accident grave rendant indisponible l’environnement de travail et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et le fonctionnement en mode secours, éventuellement dégradé.

— Les mesures de base visent ensuite à déterminer la solution de secours, à décrire en détail les ac-tions à mener quand survient le sinistre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions des environnements de travail.


d’accident grave sur tout ou partie du site, ces solutions pouvant être : � Un hébergement sur d’autres sites de l’entreprise ou sur une partie du site non atteinte � Un hébergement sur des « facilités » mutualisées


� L’exhaustivité des fonctions retrouvées dans la solution de secours, par rapport aux conditions normales � Le délai de mise en œuvre des diverses solutions de secours prévues � La qualité et la rigueur de détail du plan de reprise d’activité





Version 2010

Mai 2010


MEHARI 2010 275/308 © CLUSIF 2010

11D08 Gestion des moyens d’accès aux fichiers bure autiques

Objectif : Garantir que le contenu des fichiers bureautiques restera accessible dans le temps

Résultats attendus : Permettre l’accès et la lecture des fichiers bureautiques au cours du temps, même en cas de

départ ou de disparition du propriétaire initial.


Mesures techniques — Les mesures techniques consistent tout d’abord à maintenir l’adéquation des moyens de lecture

avec les formats des fichiers bureautiques et à faire migrer ces formats lorsque les moyens de lec-ture (matériel et logiciel) ne peuvent plus être disponibles.

— Lorsqu’un chiffrement des fichiers a été effectué, le recouvrement des clés de chiffrement devra être possible même en cas de départ du propriétaire des fichiers bureautiques.

Mesures organisationnelles — Les mesures organisationnelles de base visent à supporter les mesures techniques, elles consis-

tent essentiellement : � Au maintien à jour de la liste des formats des fichiers bureautiques utilisables et des moyens techniques

nécessaires à leur lecture. � A la gestion des moyens de chiffrement mis à disposition des utilisateurs et au recouvrement des clés

de chiffrement ou d’accès


� la maîtrise des formats utilisés pour les fichiers bureautiques � le maintien des moyens de lecture de ces fichiers ou la migration de leur format � le contrôle des moyens de chiffrement mis à disposition des utilisateurs � une gestion rigoureuse des clés de chiffrement et de leur recouvrement en cas de départ du propriétaire

— La robustesse du service est essentiellement liée : � A la solidité du processus et des procédures de chiffrement et de récupération des clés

— La mise sous contrôle est réalisée par des audits : � des moyens et procédures garantissant la permanence des accès aux fichiers bureautiques



Version 2010

Mai 2010


MEHARI 2010 276/308 © CLUSIF 2010

11E Contrôle des droits d'administration

11E01 Gestion des attributions de droits privilégi és sur les postes uti-lisateurs (droits d’administrateur)

Objectif : Déterminer quelles catégories de personnel ont de réels besoins d’avoir des droits privilégiés

sur des systèmes , dans quelles conditions et dans quelles limites, et gérer avec rigueur l’attribution de tels droits, afin de pouvoir empêcher l’utilisation abusive de ces droits par ceux qui n’en ont pas le besoin.


n’ayant pas (ou plus) la nécessité d’accéder aux systèmes avec des droits privilégiés.

Mécanismes et solutions Les mécanismes à mettre en œuvre sont essentiellement organisationnels :

Mesures organisationnelles — Identifier au sein de l'équipe de gestion des postes utilisateurs, des profils correspondant à chaque

type d'activité, par exemple : � Assistance technique � Installation � Maintenance � etc.

— Définir, puis gérer dans le temps, les droits génériques attribués à chaque profil — Définir le processus d’attribution, de gestion et de retrait des profils aux utilisateurs et le responsa-

ble de cette attribution, par exemple : � la hiérarchie à un niveau suffisant � le responsable de la prestation pour un prestataire

— Mettre en place un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations de personnel

— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués. — Journaliser les modifications d'attributions de droits privilégiés.

Mesures techniques — Mettre en place des moyens de protection des bases de données des droits.



des bases de données des droits. — La mise sous contrôle est réalisée par des audits réguliers (au moins une fois par an) de l'ensem-

ble des droits privilégiés attribués.



Version 2010

Mai 2010


MEHARI 2010 277/308 © CLUSIF 2010

11E02 Authentification et contrôle des droits d’ac cès des administra-teurs et personnels d’exploitation

Objectif : S’assurer lors de l’accès aux postes de travail avec des droits privilégiés que la personne qui

tente de se connecter est bien celle qu’elle prétend être.


n’étant pas (ou plus) autorisées individuellement à accéder aux postes de travail avec des droits pri-vilégiés.



Mesures techniques — Les mesures techniques concernent essentiellement le protocole d’authentification qui doit être

considéré comme fort : � Il s’agira généralement de protocole s'appuyant sur des procédés cryptologiques qui ne seront pas

susceptibles d’être mis en défaut par des outils de spécialistes (par exemple écoute de réseau). � En cas d’emploi de mots de passe, des règles très strictes de choix et de modification devront être

imposées — Les mesures complémentaires concernent :

� Un contrôle strict du logiciel assurant l’authentification qui doit subir régulièrement un test d'intégrité � Un contrôle d'accès renforcé aux procédés de modifications des éléments et règles d’authentification.

Mesures organisationnelles d’accompagnement � Les mesures organisationnelles d’accompagnement concernent la gestion des anomalies ou des

dysfonctionnements ou violations des mesures techniques




éléments secrets � les mesures de protection des protocoles d’authentification et des équipements assurant le déroule-

ment de ces protocoles, pour éviter qu’ils ne soient altérés ou inhibés � les mesures organisationnelles complémentaires pour éviter que les procédures de gestion


� des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès, � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures.



Version 2010

Mai 2010


MEHARI 2010 278/308 © CLUSIF 2010

11E03 Surveillance des actions d’administration du parc de postes utilisateurs

Objectif : Détecter en temps différé des anomalies de comportement des administrateurs du parc de pos-

tes utilisateurs ou de personnes en ayant acquis les droits, par une analyse a posteriori de traces spécifiques.


d’administration.



— les systèmes d’enregistrement de diverses traces et la journalisation des opérations effec-tuées par les équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations de postes et les actions sur des logs

— des systèmes permettant de détecter une altération d’enregistrements passés ou leur ef-facement de même qu’une modification des paramètres d’enregistrement et d’émettre alors une alerte auprès d’un responsable



� définition et mise à jour régulière des actions d’administration à enregistrer � élaboration d’une synthèse significative permettant de détecter des anomalies de

comportement � mise en place des procédures de contrôle permettant de détecter une altération des

mécanismes décidés


� la couverture des enregistrements et la profondeur de l’analyse préliminaire des ac-tions d’administration donnant lieu à enregistrement

� l’analyse des actions potentiellement anormales et l’élaboration d’une synthèse signi-ficative

— La robustesse du service est liée à deux facteurs : � La solidité des mécanismes de détection et d’alerte en cas de modification ou

d’effacement d’enregistrements passés ou d’altération des paramètres d’enregistrement

� L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement ou du système d’alerte




Version 2010

décembre 2009

Domaine 12 : Exploitation des télécommunications

MEHARI 2010 279/308 © CLUSIF 2010





des équipements et systèmes introduisent des brèches de sécurité.


— 12A01 : Prise en compte de la sécurité dans les relations avec le personnel d’exploitation (salariés et prestataires)

— 12A02 : Contrôle de la mise en production de nouveaux équipements ou d’évolutions de sys-tèmes existants

— 12A03 : Contrôle des opérations de maintenance — 12A04 : Contrôle de la télémaintenance — 12A05 : Gestion des procédures opérationnelles d’exploitation des télécommunications — 12A06 : Gestion des prestataires ou fournisseurs de service de télécommunication




des systèmes et équipements de sécurité introduisent des brèches de sécurité.


— 12B01 : Paramétrage des équipements et contrôle de la conformité des configurations — 12B02 : Contrôle de la conformité des programmes de référence (sources et exécutables)

12C Continuité de fonctionnement

Objectif : Assurer la continuité de fonctionnement des équipements, des systèmes et des applications.

Résultats attendus : Éviter que des circonstances externes ou internes, accidentelles ou malveillantes, se traduisent

par des interruptions de service inacceptables (étant entendu que la recherche de ce qui est accep-table ou non fait partie des services à assurer au titre de la continuité de fonctionnement)



Version 2010

décembre 2009


MEHARI 2010 280/308 © CLUSIF 2010


— 12C01 : Organisation de la maintenance des équipements — 12C02 : Organisation de la maintenance du logiciel (système et middleware) — 12C03 : Sauvegardes des configurations logicielles (logiciels de base, middleware et paramètres

de configuration) — 12C04 : Plans de Reprise d'Activité — 12C05 : Gestion des systèmes critiques (vis-à-vis de la permanence de la maintenance)

12D Utilisation des équipements terminaux

Objectif : Contrôler l’emploi des fonctions avancées des services de télécommunication.

Résultats attendus : Faire en sorte que des informations sensibles transitant par les équipements de télécommunica-

tion ne soient accessibles qu’aux interlocuteurs souhaitant entrer en relation.


— 12D01 : Contrôle des configurations mises en œuvre — 12D02 : Formation et sensibilisation des utilisateurs — 12D03 : Utilisation des terminaux chiffrants

12E Contrôle des droits d’administration

Objectif : Gérer avec rigueur l’attribution et l’utilisation de droits privilégiés sur les équipements, les systè-

mes et applications


d’administration ou que des procédures réservées à l’administration des équipements soient utili-sées en dehors du contexte normalement prévu.


— 12E01 : Gestion des attributions de droits privilégiés sur les équipements et les systèmes (droits d’administrateur)

— 12E02 : Authentification et contrôle des droits d’accès des administrateurs et personnels d’exploitation

— 12E03 : Surveillance des actions d’administration des équipements et des systèmes



Version 2010

décembre 2009


MEHARI 2010 281/308 © CLUSIF 2010


12A01 Prise en compte de la sécurité dans les rela tions avec le per-sonnel d’exploitation (salariés et prestataires)


supports d’information sensibles, des engagements de respect de la politique de sécurité.


l’information pour éviter des erreurs ou négligences conduisant à une divulgation, une altération ou une indisponibilité d’information sensible.

Dissuader également ledit personnel d’un acte malveillant, par une reconnaissance préalable du caractère délictueux d’un tel acte.


Mesures organisationnelles — Rédiger la politique de sécurité concernant le personnel d’exploitation des télécommunications — Rédiger et faire signer des clauses de respect de la politique de sécurité au personnel

d’exploitation — Introduire une clause de respect de la politique de sécurité dans les contrats de prestataires ame-

nés à intervenir sur le matériel (en particulier le personnel de maintenance) — Assurer une formation du personnel en conséquence

Qualité de service — L’efficacité du service est essentiellement liée à la rédaction de la politique de sécurité concernant

le personnel d’exploitation et à la mise en place de clauses contractuelles, en particulier à la géné-ralité de l’engagement contractuel, à la durée de l’engagement, ainsi qu’au formalisme du proces-sus :

� Directives couvrant aussi bien l’interdiction d’action directe (divulgation, altération ou destruction) que l’obligation des précautions à prendre pour éviter les actions de tiers

� Directives couvrant tout le personnel y compris celui des sous-traitants (dans ce cas, après acceptation et validation par l’entreprise contractante, le contrat doit stipuler l’obligation par le sous-traitant de faire signer de telles clauses par son personnel).

� Obligation s’étendant après la fin du contrat, sans limite de durée (en particulier pour le respect de la confidentialité)

� Obligation de reconnaître formellement avoir été tenu au courant de l’ensemble des règles à adopter et de les avoir acceptées

� Formation obligatoire de l’ensemble du personnel d’exploitation — La robustesse du service est liée à la conservation et à la protection des engagements du person-





Version 2010

décembre 2009


MEHARI 2010 282/308 © CLUSIF 2010

12A02 Contrôle de la mise en production de nouv eaux équipements ou d’évolutions de systèmes existants

Objectif : Gérer avec rigueur les problèmes de sécurité que peut poser la mise en production de nouveaux équi-

pements (matériel, logiciel opératoire) ou de nouvelles versions de systèmes existants.

Résultats attendus : Éviter que la mise en production de nouveaux équipements (matériel ou logiciel opératoire) ou de

nouvelles versions de systèmes existants n’ouvre une faille de sécurité non suspectée (nouvelle faille ou faille connue dont la correction pourrait être inhibée par la nouvelle mise en production).


Mesures organisationnelles Le problème que peuvent poser, du point de vue de la sécurité, ces installations de systèmes

tient au fait que les équipes d’exploitation n’ont pas forcément les outils ni la formation pour envisa-ger les risques pouvant être créés par ces installations ou évolutions.



— L’analyse des nouvelles fonctionnalités et des risques nouveaux éventuels, de même que pour un nouveau projet :

� Identification formelle des nouvelles fonctionnalités apportées par la mise en production projetée � Analyse des risques que ces nouvelles fonctionnalités peuvent induire ou faciliter � Jugement sur le caractère acceptable ou non de ces risques nouveaux � Prise de décision sur les mesures complémentaires éventuelles à mettre en œuvre.

— La vérification que les paramétrages et dispositifs de sécurité prévus sur les versions précédentes, en cas d’évolution, sont bien toujours en place et actifs :

� Tenue à jour d’une liste des paramètres de sécurité et des points de contrôle � Vérification de l’activation de tous les processus de sécurité




l’installation ou de l’évolution et, en particulier : � Au formalisme de l’analyse de risque et des conclusions qui en sont tirées � Aux capacités de support de la part d’une cellule spécialisée � À la formation préalable des équipes d’exploitation à ce type de démarche. � Au formalisme de la tenue à jour des paramétrages de sécurité de chaque version et du contrôle de

conformité de ces paramètres sur une nouvelle version. — La robustesse du service est liée à :

� La volonté de la Direction de ne pas déroger aux procédures formelles d’analyse de risque et de contrôle de conformité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un membre de la Direction). La principale cause de contournement vient, en effet, de la tendance à déroger aux procédures d’analyse de ris-que ou de contrôle de conformité sous la pression des délais.

� L’impossibilité de procéder à des mises production pour du personnel n’ayant pas cette fonction et à la solidité des contrôles correspondants (rigueur dans l’attribution des profils et authentification forte)



Version 2010

décembre 2009


MEHARI 2010 284/308 © CLUSIF 2010

12A03 Contrôle des opérations de maintenance


nance sur les équipements ou systèmes de télécommunication

Résultats attendus : Éviter qu’une intervention de maintenance sur un équipement ou un système ouvre une faille de

sécurité non suspectée.



tion de maintenance : — Des paramètres de sécurité (fichiers cachés, paramétrages des contrôles d’accès, etc.) — Des paramètres d’enregistrement des événements de sécurité (types d’événements, durées de ré-

tention, etc .) — Des paramètres de contrôle de l’administration des équipements — etc.


mètres à contrôler sur chaque type de système et sur chaque système particulier. — La robustesse du service est liée à deux types de facteurs :

� D’une part au contrôle précis que les paramètres de contrôle de l’administration du système n’ont pas été modifiés dans le sens d’une ouverture possible de droits d’administration à des personnes non autorisées

� D’autre part à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle des pa-ramètres de sécurité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des délais.




Version 2010

décembre 2009


MEHARI 2010 285/308 © CLUSIF 2010



Résultats attendus : Éviter que la ligne de télémaintenance soit utilisée pour pénétrer un système par des personnes

non autorisées.


Mesures techniques Les mesures techniques de base consistent essentiellement en une authentification forte de

l’agent de maintenance, l’idéal étant que cette authentification couvre à la fois : — Le lieu depuis lequel est initialisée la liaison de télémaintenance (par exemple par une liaison de



Les mesures techniques additionnelles consistent en la mise sous contrôle de l’utilisation de la ligne de télémaintenance :

— Chiffrement ou scellement des échanges pour éviter une intrusion après la phase d’authentification — Enregistrement de toute utilisation de la ligne de télémaintenance et des actions effectuées — Audit de la pertinence de ces actions et de leur acceptation par les responsables de la mainte-

nance




Dans certains cas d’équipements sensibles, il peut être utile de prévoir, au titre des mesures or-ganisationnelles une procédure d’ouverture de session de télémaintenance pour que l’utilisation de la ligne de télémaintenance soit totalement sous le contrôle de l’entreprise.






éléments secrets � La protection du système sur lequel est connectée la ligne de télémaintenance contre toute modification

qui pourrait rendre la ligne de télémaintenance utilisable sans les contrôles ci-dessus. � Les mesures organisationnelles complémentaires pour éviter que les procédures de gestion

d’exceptions ne soient utilisées pour obtenir à tort une autorisation d’accès



Version 2010

décembre 2009


MEHARI 2010 286/308 © CLUSIF 2010

— La mise sous contrôle est réalisée par des audits réguliers : � des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès effectué lors de l’utilisation de




Version 2010

décembre 2009


MEHARI 2010 287/308 © CLUSIF 2010

12A05 Gestion des procédures opérationnelles d’exp loitation des té-lécommunications

Objectif : Faire en sorte que les procédures opérationnelles d’exploitation des télécommunications soient

décrites, documentées, connues de ceux qui doivent les appliquer et intangibles, sauf accord à un niveau suffisant du management et conduisant des révisions documentées à leur tour.


opérationnelles.


















Version 2010

décembre 2009


MEHARI 2010 288/308 © CLUSIF 2010

12A06 Gestion des prestataires ou fournisseurs de s ervice de télé-communication


ne permettent pas de réaliser de nombreuses opérations liées à l’exploitation et à la sécurisation des télécommunications. Il est alors nécessaire de confier ces opérations, temporairement ou de fa-çon permanente, à des personnels externes et des prestataires de service.


















Version 2010

décembre 2009


MEHARI 2010 289/308 © CLUSIF 2010


12B01 Paramétrage des équipements et contrôle de l a conformité des configurations

Objectif : Traduire de manière concrète les diverses règles de filtrage, définies au niveau de l’architecture,

en règles de contrôle paramétrées dans les équipements et systèmes et contrôler leur permanence dans le temps.

Résultats attendus : Éviter que, pour une raison quelconque (défaillance de l’installation ou de la maintenance ou ac-

tion volontaire d’une personne voulant nuire à l’entreprise ou abuser de droits), les paramétrages des équipements et systèmes ne soient pas conformes à la politique décidée.


Mesures organisationnelles — Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques, faits au ni-

veau de l’architecture, en paramètres et options des divers outils installés. Le résultat est un en-semble de documents fixant ces règles et un fichier de paramétrage par équipement ou système, y compris les logiciels de pilotage et d’administration, paramétrage effectué lors de la mise en service de chaque équipement.


— Enfin, il est nécessaire de prévoir les mesures d’exceptions, c’est-à-dire le moyen de sortir d’une si-tuation où les mesures de sécurité constitueraient un blocage de l’activité (il est clair en effet que de telles situations peuvent arriver et qu’il vaut mieux y être préparé par des procédures d’alerte et d’escalade permettant alors de prendre les bonnes décisions au bon niveau de responsabilité)


contrôle de la permanence et de la pertinence des paramétrages décidés : — Recherche et remplacement des comptes génériques fournis par les constructeurs et éditeurs ainsi

que des mots de passe éventuels par des mots de passe renforcés, — Synchronisation des horloges sur un référentiel garanti, — Séparation des systèmes de développement, de test et d’intégration des systèmes opérationnels. — Protection des fichiers de paramétrages par des techniques de scellement ou de signature électro-

nique (voire des techniques de chiffrement) — Mécanismes de contrôle des paramètres installés par rapport aux paramètres théoriques. — Contrôle de tout changement de paramétrage effectué avec alerte auprès d’un responsable.


� la précision et le formalisme de la liste des paramètres à configurer sur chaque système. � L’automatisme des opérations de configuration des paramétrages, pour éviter tout oubli ou erreur.

— La robustesse du service est liée à deux types de facteurs : � La solidité des automatismes de scellement et de contrôle des sceaux, pour éviter une altération de la

liste des paramétrages avant configuration � La protection des systèmes contre une modification non autorisée des paramétrages ainsi que la détec-

tion de l’inhibition de tout système de contrôle de l’authenticité des paramétrages. — La mise sous contrôle est réalisée par des audits réguliers :

� de la liste des paramétrages et des paramétrages réellement installés



Version 2010

décembre 2009


MEHARI 2010 290/308 © CLUSIF 2010

� de l’application des procédures de modification des paramétrages et d’escalade en cas de difficulté.



Version 2010

décembre 2009


MEHARI 2010 291/308 © CLUSIF 2010

12B02 Contrôle de la conformité des programmes de référence (Sour-ces et exécutables)

Objectif : Contrôler que les programmes de référence, sources ou exécutables, pouvant être utilisés par

l’exploitation des télécommunications à la suite d’un incident nécessitant de réinitialiser un système ou une application télécom sont bien conformes à ce qu’ils devraient être.

Résultats attendus : Éviter que pour une raison quelconque, la réinitialisation d’un système ou d’une application

















Version 2010

décembre 2009


MEHARI 2010 292/308 © CLUSIF 2010

12C Continuité de fonctionnement

12C01 Organisation de la maintenance des équipemen ts

Objectif : Assurer la maintenance des équipements pour les cas de panne ou d’évolutions nécessaires.















— La robustesse du service est liée à deux types de facteurs : � La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité) � Les possibilités d’action ou de pression en cas de grève du personnel � L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire





Version 2010

décembre 2009


MEHARI 2010 293/308 © CLUSIF 2010

12C02 Organisation de la maintenance du logiciel ( système et servi-ces attachés)

Objectif : Assurer la maintenance des logiciels pour les cas de bogues (bugs) ou d’évolutions nécessai-

res.





fournisseurs de logiciels et de progiciels. L’élaboration des clauses adéquates dans le contrat né-cessite néanmoins quelques actions préliminaires et précautions :

� Identifier les logiciels critiques et, pour ceux-ci, le délai d’intervention souhaitable et le délai maximum to-lérable en cas de bug bloquant

� Négocier avec le fournisseur le délai maximum d’intervention � Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et












Version 2010

décembre 2009


MEHARI 2010 294/308 © CLUSIF 2010

12C03 Sauvegarde des configurations logicielles (l ogiciels de base, de services et/ou paramètres de configuration)

Objectif : Organiser la sauvegarde des configurations et des logiciels installés, pour les systèmes opéra-

toires et les logiciels de services.

Résultats attendus : Permettre une reprise rapide de l’exploitation des systèmes et des services télécoms en cas

d’effacement accidentel d’une configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.


Mesures organisationnelles — Les mesures organisationnelles de base consistent à planifier (à fréquence fixe et à chaque évolu-

tion majeure) et organiser les sauvegardes de l’ensemble des logiciels et des paramètres de confi-guration, de sorte que l’on puisse rebâtir complètement l’environnement d’exploitation en cas de nécessité.


� contrôles de relecture périodiques � stockage d’un jeu de sauvegardes de recours en dehors du site de production





� l’exhaustivité des paramètres sauvegardés des configurations et des logiciels dont les sauvegardes sont assurées

� la fréquence des sauvegardes � l’automatisation des opérations de sauvegardes proprement dites


— La mise sous contrôle est réalisée par : � des essais réguliers de relecture des sauvegardes � des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer complè-

tement l’environnement d’exploitation � des audits des procédures de sauvegardes et de la protection des automatismes �



Version 2010

décembre 2009


MEHARI 2010 295/308 © CLUSIF 2010

12C04 Plans de reprise d’activité

Objectif : Assurer la reprise d’activité des équipements et systèmes de télécommunication en cas

d’accident grave empêchant une reprise d’activité à court terme par une simple opération de main-tenance.

Résultats attendus : Permettre une reprise de l’exploitation des télécommunications en cas d’accident grave surve-

nant sur une partie plus ou moins importante du site d’exploitation, et ceci dans un délai compatible avec les besoins des utilisateurs.

Chaque fois que nécessaire, ces plans doivent s’intégrer dans des plans de continuité des acti-vités des métiers.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à :

� identifier les scénarios de sinistre ou d’accident à analyser en détail (sinistre global, sinistre partiel sur telle ou telle partie, etc.)

� analyser, pour chaque scénario, compte tenu des équipements impactés, les conséquences d’un acci-dent grave sur la continuité des services concernés

� identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et le fonctionnement en mode secours (en prévoyant, éventuellement, plu-sieurs étapes, avec des services progressivement repris).

� Documenter les scénarios et les plans de reprise en incluant leur conservation en lieu sûr, � Constituer des équipes propres à réaliser les procédures et former les acteurs directs et attachés (help

desk, utilisateurs, etc.). — Les mesures de base visent ensuite à déterminer la solution de secours, à décrire en détail les ac-

tions à mener quand survient le sinistre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions des systèmes ou des équipements.

Mesures techniques — Les mesures techniques de base consistent à assurer une solution de secours pour tous les scé-

narios de sinistre retenus, ces solutions pouvant être : � des redondances d’équipements � des solutions de secours sur un site distant, avec des équipements propres ou mutualisés � l’installation de nouveaux matériels dans des salles prévues en conséquence (salles blanches) � etc.


� l’exhaustivité des scénarios analysés � l’adéquation des délais de mise en œuvre des diverses solutions de secours prévues avec les besoins

des utilisateurs � la qualité et la rigueur de détail du plan de reprise d’activité � les ressources humaines et leur niveau de préparation à l’occurrence des sinistres.


— La mise sous contrôle est réalisée par : � des tests de PRA représentatifs de la réalité � des audits de la rigueur de gestion des procédures appelées par le plan de secours.



Version 2010

décembre 2009


MEHARI 2010 296/308 © CLUSIF 2010

12C05 Gestion des systèmes critiques (vis-à-vis de la permanence de la maintenance)


d’un équipement ou d’un logiciel de service ou du prestataire chargé d’en assurer la maintenance

Résultats attendus : Éviter que la disparition d’un fournisseur mette en péril la continuité des services de télécommu-

nication.


Mesures organisationnelles — Les mesures organisationnelles initiales visent à analyser, pour chaque équipement ou logiciel, les

conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble des services de té-lécommunication et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance admissible entre le moment où cette disparition serait constatée et le moment où une solution de repli pourrait être mise en œuvre


� Le changement d’équipement ou de logiciel par celui d’un autre fournisseur � La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à

une documentation de maintenance suffisante, dans des conditions à définir de manière précise) � Une évolution radicale de l’architecture télécom permettant de se passer de l’équipement ou du logiciel

posant problème







Version 2010

décembre 2009


MEHARI 2010 297/308 © CLUSIF 2010

12D Utilisation des équipements terminaux

12D01 Contrôle des configurations utilisateurs mis es en œuvre

Objectif : Contrôler l’emploi des fonctions avancées des services de télécommunication.

Résultats attendus : Faire en sorte que des informations sensibles transitant par les équipements de télécommunica-

tion ne soient accessibles qu’aux interlocuteurs souhaitant entrer en relation. Les équipements de télécommunication et les services qui y sont rattachés comprennent des

fonctions avancées pouvant être employées de manière indélicate : — Le transfert d’un poste sur un autre poste peut être déclenché à distance, avec des possibilités ainsi

ouvertes de transférer une ligne fax sur un autre fax, à l’insu éventuellement du destinataire — Une conférence à trois peut être ouverte à l‘insu des deux interlocuteurs entrés en relation

Mécanismes et solutions Les mécanismes à mettre en œuvre s’appuient sur les mécanismes prévus par le fournisseur

des équipements de télécommunication, mais sont essentiellement organisationnels.

Mesures organisationnelles Les mesures organisationnelles consistent à définir une politique de sécurité de l’emploi des

équipements de télécommunication: — Possibilités de fonctions avancées supprimées en option de base de chaque poste — Ouverture de fonctions avancées soumise à autorisation (à préciser par qui : hiérarchie, fonction sé-

curité, etc.) — Vérification qu’un poste à fonctions avancées ouvertes ne correspond pas à un fax — Contrôle des fonctions avancées par mot de passe personnalisé non standard Les mesures organisationnelles complémentaires consistent à mettre en place cette politique et

à la garder sous contrôle : — Mise en place de la fonction gérant les autorisations de fonctions avancées et l’ouverture et la ferme-

ture effective de ces fonctions — Mise en place d’un circuit de dérogation pour les cas difficiles ou n’entrant pas dans les standards — Possibilités d’audit et contrôle régulier des postes ayant des fonctions avancées

Mesures techniques Les mesures techniques complémentaires, outre la gestion des options avancées, consistent à

contrôler : — L’usage de la ligne de télémaintenance éventuelle — L’usage et les possibilités d’administration des équipements de télécommunication:

� Gestion des droits d’administration � Protocoles et mécanisme de login et d’authentification avec des droits d’administration

Qualité de service — L’efficacité du service est liée à la rigueur de gestion des autorisations d’options avancées :

� Configurations standards par défaut sans options � Rigueur du processus d’autorisation de fonctions avancées

— La robustesse du service est liée : � Au contrôle de la ligne de télémaintenance � Au contrôle des droits d’administration

— La mise sous contrôle est réalisée par des audits réguliers : � De l’application des procédures � Des postes disposant effectivement de fonctions avancées � Des possibilités d’administration et de la gestion des droits correspondants



Version 2010

décembre 2009


MEHARI 2010 298/308 © CLUSIF 2010

12D02 Formation et sensibilisation des utilisateur s

Objectif : Former et sensibiliser les utilisateurs sur les risques liés à l’utilisation des services de télécom-

munication et les procédures destinées à les réduire.

Résultats attendus : Faire en sorte que les utilisateurs contribuent volontairement et efficacement à la protection des

informations sensibles transitant par les services de télécommunication.

Mécanismes et solutions Les mesures sont essentiellement organisationnelles.

Mesures organisationnelles Les mesures organisationnelles consistent à réaliser des actions de sensibilisation et de forma-

tion concernant la sécurité de l’emploi des équipements de télécommunication: — Sur les risques d’écoute, — Sur les utilisations potentiellement malveillantes des équipements et des terminaux qui leur sont

confiés, — Sur les procédures et les moyens permettant de réduire les risques.

Qualité de service — L’efficacité du service est liée à la bonne appropriation par les utilisateurs :

� Des risques auxquels leurs communications sont exposées, � Des procédures et des protections qu’ils peuvent mettre en œuvre pour les réduire.



Version 2010

décembre 2009


MEHARI 2010 299/308 © CLUSIF 2010

12D03 Utilisation de terminaux chiffrants

Objectif : Rechercher et mettre à la disposition des utilisateurs les mécanismes de chiffrement justifiés par

les besoins de confidentialité lors de leurs communications.

Résultats attendus : Faire en sorte que les informations sensibles émises ou reçues par les équipements de télé-

communication ne soient pas accessibles à des tiers.

Mécanismes et solutions Les mécanismes à mettre en œuvre s’appuient sur les possibilités de chiffrement réalisables sur

les équipements de télécommunication, mais sont essentiellement organisationnels.

Mesures organisationnelles Les mesures organisationnelles consistent à analyser les besoins de confidentialité lors de

l’emploi des équipements de télécommunication: — Pour les utilisateurs de ces équipements, — Selon les équipements et les liaisons considérés, — En plein accord avec les dits utilisateurs.

Mesures techniques Les mesures techniques consistent à installer les fonctions de chiffrement nécessaires sur les

équipements.


� à la rigueur de l’analyse des exigences de protection des échanges, � à la mise en place des fonctions de chiffrement appropriées nécessaires.



Version 2010

décembre 2009


MEHARI 2010 300/308 © CLUSIF 2010

12E Contrôle des droits d’administration

12E01 Gestion des attributions de droits privilégi és sur les équipe-ments et les systèmes (droits d’administrateur)

Objectif : Déterminer quelles catégories de personnel ont de réels besoin d’avoir des droits privilégiés,

dans quelles conditions et dans quelles limites, sur des équipements ou systèmes de télécommuni-cation et gérer avec rigueur l’attribution de tels droits, afin de pouvoir empêcher l’utilisation abusive de ces droits par ceux qui n’en ont pas le besoin.


n’ayant pas (ou plus) la nécessité d’accéder aux équipements et systèmes avec des droits privilé-giés.


Mesures organisationnelles — Identifier tous les profils de personnel d’exploitation nécessitant, pour leur travail, des droits

d’administration, par exemple : � administrateurs systèmes � personnel chargé du pilotage de l’exploitation des télécommunications � opérateurs chargés d’opérations de routine telles que des sauvegardes � etc.


de cette attribution, par exemple : � hiérarchie pour le personnel interne � signataire de la commande pour un prestataire




— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisa-tions d’accès (super administrateur des administrateurs, par exemple le RSSI ou le DSI).

— Les tables listant les administrateurs chargés de renseigner les autorisations d’accès — Les tables ou documents matérialisant ces décisions.

Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut éven-tuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et docu-ments.







Version 2010

décembre 2009


MEHARI 2010 301/308 © CLUSIF 2010

12E02 Authentification et contrôle des droits d’ac cès des administra-teurs et personnels d’exploitation

Objectif : S’assurer lors de l’accès aux équipements et systèmes télécoms avec des droits privilégiés que

la personne qui tente de se connecter est bien celle qu’elle prétend être.


n’étant pas (ou plus) autorisées individuellement à accéder aux équipements et systèmes avec des droits privilégiés.



Mesures techniques — Les mesures techniques de base concernent le contrôle des droits d’accès d’une part et

l’authentification d’autre part, c'est-à-dire le contrôle d’une caractéristique que la personne, indivi-duellement, possède ou connaît :

� Vérification des droits d’accès en fonction du contexte d’accès (local ou à distance, par lien sécurisé ou non, horaire, etc.)

� Contrôle du mot de passe ou du secret partagé entre la personne et un équipement de contrôle � Contrôle d’un objet physique reconnaissable possédé par la personne (généralement en association

avec un secret partagé entre la personne et l’objet) � Contrôle d’une caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la

voix, etc.) — Les mesures complémentaires concernent la protection contre les tentatives d’usurpation

d’identité : � Protection du processus de diffusion initiale des conventions secrètes (mots de passe) � Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué. � Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant







éléments secrets � les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement





Version 2010

décembre 2009


MEHARI 2010 302/308 © CLUSIF 2010

� des profils et des droits privilégiés ainsi que leur attribution à es personnes � des paramètres supports des mécanismes d’authentification, � des systèmes de détection des violations et des arrêts du contrôle d’accès � des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures



Version 2010

décembre 2009


MEHARI 2010 303/308 © CLUSIF 2010

12E03 Surveillance des actions d’administration de s équipements et des systèmes

Objectif : Détecter en temps différé des anomalies de comportement des administrateurs systèmes ou de



d’administration.



— les systèmes d’enregistrement de diverses traces et la journalisation des opérations effectuées par les équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les re-configurations de systèmes et les actions sur des logs





dés









Version 2010

décembre 2009

Domaine 13 : Processus de management

MEHARI 2010 304/308 © CLUSIF 2010


13A Protection des renseignements personnels

13B Communication financière

13C Respect de la réglementation concernant la vé rification de la comp-tabilité informatisée (VCI)

13D Protection de la propriété intellectuelle

13E Protection des systèmes informatisés

13F Sécurité des personnes et protection de l’env ironnement

Ces 6 sous-domaines concernent des processus de management et sont traités de manière identi-que (à une petite différence près pour la vérification de la comptabilité.

Objectif : Faire en sorte que la réglementation correspondant au domaine considéré soit effectivement et

correctement appliquée par l’ensemble du personnel.

Résultats globaux attendus : Éviter que l’entreprise se mette en infraction vis-à-vis de la législation ou dela réglementation.

Services de sécurité : Les services de sécurité nécessaires sont relatifs à quatre types de mesures :

— 13A/B/C/D/E/F 01 et 13C02 : Politique et directives relatives au domaine considéré — 13A/B/ D/E/F 02 et 13C03 : Programme de formation et de sensibilisation correspondant — 13A/B/ D/E/F 03 et 13C04 : Applicabilité de la politique — 13A/B/ D/E/F 04 et 13C05 : Contrôle de l'application de la politique



Version 2010

décembre 2009


MEHARI 2010 305/308 © CLUSIF 2010

13A/B/C/D/E/F 01 Politique et directives relatives au domaine considéré

13C02

Objectif : Identifier les contraintes d’ordre légal, réglementaire ou contractuel et en déduire les politiques

et directives nécessaires à destination de l’ensemble du personnel


ger de son personnel, en fonction de la réglementation extérieure et de la législation.


Mesures organisationnelles Les mesures organisationnelles nécessaires consistent à

— Identifier les différentes contraintes ou exigences réglementaires ou législatives, voire contractuel-les, méritant une explicitation des devoirs de chacun.

— Définir, pour chaque domaine, la politique suivie par l’entreprise — Définir le directives précises et règles de comportement qui devront être suivies par le personnel.

Les mesures organisationnelles complémentaires ont pour objet de mettre en place une organi-sation qui puisse gérer les évolutions, suivre l’application des directives et apporter les améliorations éventuellement nécessaires :

— Nommer un responsable pour le domaine considéré — Mettre en place un comité de pilotage — Formaliser et documenter les politiques et directives établies


� L’exhaustivité de l’étude des contraintes et exigences externes � L’efficacité des moyens de pilotage

— La mise sous contrôle est directement liée à : � L’existence d’une procédure de revue des textes réglementaires � L’audit des procédures et directives décidées



Version 2010

décembre 2009


MEHARI 2010 306/308 © CLUSIF 2010

13A/B/ D/E/F 02 Programmes de formation et de sensi bilisation du person-nel

13C03 pour chaque domaine considéré

Objectif : Faire en sorte que tous les personnels (utilisateurs, managers et informaticiens) comprennent

les exigences propres au domaine considéré et sachent quelle conduite tenir.

Résultats attendus : Limiter l'exposition à des manquements aux exigences légales, réglementaires ou contractuel-

les, par manque d'attention, par inadvertance ou par méconnaissance de la politique et des directi-ves en vigueur dans l’entité.


Mesures organisationnelles Les programmes sont de deux types : sensibilisation et formation :

— La sensibilisation a pour objectif de convaincre chacun, d’une part de l’existence de contraintes ex-ternes et de l’impact d’un manquement sur le fonctionnement de l’entreprise, d’autre part qu’il est concerné par le respect des règles décidées par l’entreprise.

— La formation a pour objectif, en complément, d’apprendre à chacun les bonnes pratiques qui sont nécessaires pour être conforme aux exigences.

Il s’agit donc de mesures complémentaires, la formation sans sensibilisation étant sans effet de même que la sensibilisation sans formation.

Qualité de service — L’efficacité de la sensibilisation et/ou de la formation est impossible à mesurer. Les seuls aspects

quantifiables sont : � L’étendue des programmes de sensibilisation : ont-ils touché l’ensemble des collaborateurs � L’étendue des programmes de formation : ont-ils touché l’ensemble des métiers � La facilité d’accès aux outils de formation et aux solutions face à chaque problème (documentation,

FAQ, Intranet, etc.) � La répétition ou la fréquence des messages et des sensibilisations, étant entendu qu’avec l’usage et

l’habitude, le personnel fait progressivement moins attention qu’au tout début et que le renouvelle-ment des campagnes de sensibilisation est la seule garantie de leur efficacité.

— La mise sous contrôle des plans de sensibilisation consiste en des audits réguliers : � De la conformité des actions menées aux directives établies � Des indices de satisfaction, s’ils ont été recueillis



Version 2010

décembre 2009


MEHARI 2010 307/308 © CLUSIF 2010

13A/B/ D/E/F 03 Applicabilité de la politique relat ive à chaque domaine

13C04

Objectif : Faire en sorte que tous les personnels (utilisateurs, managers et informaticiens) soient à même

d’appliquer la politique et les directives décidées.


les, par impossibilité d’appliquer la politique ou les directives dans le contexte de l’entité.


Mesures organisationnelles Une des causes possibles de non application de la politique et des procédures établies réside

dans le fait qu’elles puissent être inapplicables à un instant donné. Les mesures consistent ainsi à vérifier :

— Que les directives ne sont pas en contradiction avec les usages locaux ou les objectifs par ailleurs fixés au personnel

— Que les moyens matériels ou humains requis pour l’application des directives ont bien été alloués et sont disponibles.


� L’exhaustivité de l’étude des conditions d’applicabilité � L’efficacité des mécanismes de mobilisation des ressources nécessaires

— La mise sous contrôle est directement liée à : � L’existence d’une procédure de revue des contraintes d’applicabilité � L’audit des procédures d’allocation des ressources nécessaires



Version 2010

décembre 2009


MEHARI 2010 308/308 © CLUSIF 2010

13A/B/ D/E/F 04 Contrôle de l’application de la pol itique relative à chaque domaine

13C05

Objectif : Faire en sorte que tous les personnels (utilisateurs, managers et informaticiens) appliquent ef-

fectivement la politique décidée et les directives correspondantes.


les, par négligence ou par volonté délibérée de déroger aux règles établies.


Mesures organisationnelles Une des causes possibles de non application de la politique et des procédures établies réside

dans le fait qu’elles soient volontairement ignorées ou inappliquées. Les mesures consistent ainsi à vérifier :

— Que les directives sont effectivement appliquées — Qu’en cas d’inapplication, des sanctions sont prises à l’encontre du personnel

Les mesures d’accompagnement consistent en l’établissement d’un règlement précisant les sanctions en cas d’inapplication de la politique et des directives associées.


� L’exhaustivité des contrôles effectués � Leur fréquence � Le niveau des sanctions en cas d’inapplication des directives

— La mise sous contrôle est directement liée à : � L’existence d’une procédure de revue des procédures d’audit � L’audit des procédures de contrôle et des sanctions prises en cas d’inapplication

mehari 2010meharipedia.x10host.com/wp/wp-content/uploads/2016/12/mehari-20… · recommandés par...

Documents