PROSIT ALLER 4

Mots clés :

 RPO/DSI/ RTO
 DMZ
 RSSI
 Répudiation
 Type de malware
 MEHAR
 Norme iso CEI 27000
 PRA PCA
 Critère commun
 ITIL
 Audit
 Intramuros
 Convoyeur
 Chaine de logistique

Contexte :

La DSI nous propose d’assurer la sécurité du SI en accompagnant l’entreprise dans l’évolution de son
activité.

Pistes de solutions

La méthode MEHARI permettra d’effectuer une analyse des risques

Fiabiliser le SI via les logiciels, programmes

Le PRA/PCA permet de fidéliser l SI

Objectif :

Sécuriser et fiabiliser le SI

Trouver des alternatives en cas d’urgence

Problématique :

Comment fiabiliser le SI ?

Quel rôle a le RSSI ?

Qu’est-ce que la méthode MEHARI ?

Quels sont les objectifs des normes visées ?

Généralisation :

Sécurité du SI
Contraintes :

 Normes précises (ISO/CE 27000)

 Rédiger un PCA/PRA
 Infrastructure info défini
 Temps : audit (fin d’année)

Généralisation :

 Sécurité du SI

Plan d’actions :

1. Définir les mots clés

2. Etablir fiche métier du RSSI
3. Etablir les notions de sécurité d’un SI
a. Etablir les étapes de mise en place d’un PCA /PRA
b. Etudier la norme iso/ CE 27000 (critère communs, iso 27000)
c. Etablir toutes les menaces (possibles)
d. établir les solutions face à ces menaces

4. Etudier les différentes méthodes d’analyse des risques.

5. Expliquer le fonctionnement d’un audit

Livrable

Réalisation d’une analyse des risques à l’aide de MEHARI

Réalisation de PCA/PRA
 1) Définition des mots clés

 RTO

Recovery Time Objective (RTO) fait souvent référence au temps pendant lequel une application, un
système et/ou un processus peut être en panne sans causer de dommages importants à l'entreprise, ainsi
qu'au temps passé à restaurer l'application et ses données.

 DSI

Le directeur des systèmes d'information est responsable de l'ensemble des composants matériels
(postes de travail, serveurs, équipements de réseau, systèmes de stockage, de sauvegarde et
d'impression, etc.) et logiciels du système d'information, ainsi que du choix et de l'exploitation des
services de télécommunications mis en œuvre

 RPO

Recovery Point Objective (RPO) fait généralement référence à la quantité de données qui peuvent être
perdues au cours de la période la plus opportune pour une entreprise, avant qu'un préjudice important ne
se produise, à partir d'un événement critique jusqu'à la sauvegarde la plus précédente.

 DMZ

En informatique, une zone démilitarisée, ou DMZ est un sous-réseau séparé du réseau local et isolé de
celui-ci d'Internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées
depuis Internet, et qui n'ont pas besoin d'accéder au réseau local.

 RSSI

RSSI : Le responsable de la sécurité des systèmes d'information (ou RSSI pour Responsable de la
Sécurité des Systèmes d'Information) définit et développe la politique de sécurité de l'information de
son entreprise. Il est garant de sa mise en œuvre et en assure le suivi.

 Non-Répudiation

La non-répudiation est le fait de s'assurer qu'un contrat, notamment un contrat signé via internet, ne
peut être remis en cause par l'une des parties. Dans l'économie globale actuelle, où les parties ne
peuvent souvent pas être face à face pour signer un contrat, la non-répudiation devient extrêmement
importante pour le commerce en ligne.

 Type de malware

Un malware, ou « logiciel malveillant » est un terme générique qui décrit tous les programmes ou codes
malveillants qui peuvent être nocifs pour les systèmes.
  MEHARI

La méthode harmonisée d'analyse des risques (MEHARI) est une méthode de gestion de risque
associée à la sécurité de l'information d'une entreprise ou d'un organisme. MEHARI répond aux
lignes directrices édictées par la norme ISO 27005.

 Norme iso CEI 27000

ISO/CEI 27000 :2018 fournit une vue d'ensemble des systèmes de gestion de la sécurité de
l'information (SMSI). La norme fournit également les termes et les définitions couramment utilisées
dans la famille de normes SMSI.

 PRA

Le plan de reprise d'activité (PRA) d’une entreprise constitue l’ensemble des « procédures
documentées lui permettant de rétablir et de reprendre ses activités en s’appuyant sur des
mesures temporaires adoptées pour répondre aux exigences métier habituelles après un incident
»

 PCA

Le PCA vise à assurer la continuité de l'activité, à plein régime ou en mode dégradé. Au contraire
du PRA, le PCA n'autorise pas de coupure intégrale du service : la continuité, au moins partielle
doit être assurée.

 Critère commun

Les critères communs (CC) sont un ensemble de normes (ISO 15408) internationalement reconnu
dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels
informatiques.

 ITIL

ITIL (Information Technology Infrastructure Library) est un ensemble d'ouvrages recensant les bonnes
pratiques du management du système d'information.

 Audit
Un audit des systèmes d'information consiste en un processus de vérification de l'ensemble de la structure
informatique de l'entreprise, réalisé par des professionnels spécifiques et formés. Ils évalueront le système
dans son ensemble et feront un rapport complet sur son efficacité et ses performances, en tenant compte
de ce que l'entreprise recherche et dont elle a besoin dans ce domaine.

 Chaine de logistique

Se dit aussi « supply chain ». Flux d’information et de produits lors des processus logistiques allant de
l’achat des matières premières jusqu’à la livraison des produits finis au consommateur.
 2) Fiche métier du RSSI

Figure 1 : Fiche métier RSSI

3) Etablir les notions de sécurité d’un SI

a) Généralités SI

La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques,
organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et
garantir la sécurité du système d'information. Assurer la sécurité du système d'information est
une activité du management du système d'information.

b) Principes du SI

Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de

protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles
d'une organisation sont uniquement utilisées dans le cadre prévu » 1.

La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur
sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
 Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut
pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que
par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un
élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un
secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de
gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations
d'échange.

Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de
façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et
complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.

Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille
durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et
régulièrement.

D'autres aspects peuvent aussi être considérés comme des objectifs de la sécurité des systèmes
d'information, tels que :

La traçabilité (ou « preuve ») : garantie que les accès et tentatives d'accès aux éléments
considérés sont tracés et que ces traces sont conservées et exploitables.

La non-répudiation et l'imputation : aucun utilisateur ne doit pouvoir contester les opérations

qu'il a réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s'attribuer
les actions d'un autre utilisateur.

c) Etablir les différentes menaces possibles

 Risques naturels : crues, séismes, marnières

 Pandémies, intoxications
 Grèves
 Actes de sabotage
 Accidents industriels (AZF Toulouse), accidents nucléaires (Fukushima)
 Servitudes : rupture de canalisation d’eau, coup de pelles, panne de courant, défaillance de la
climatisation
 Défaillance matérielle au niveau des serveurs, des stations de travail, du réseau, de l’internet et de la
téléphonie
 Virus informatiques : malwares

Il s’agit d’un logiciel indésirable installé dans votre système sans votre consentement. Il peut se cacher
dans un code légitime, dans des applications ou alors se reproduire sur internet. Les malwares
attaquent donc par le biais d’une vulnérabilité qui télécharge par la suite un logiciel malveillant. Il en
existe plusieurs sous-catégories :

Rançongiciel (ransomeware) :

Comme son nom l’indique, il s’agit d’un logiciel malveillant qui prend en otage vos données dans
l’attente du paiement d’une rançon. Il bloque leur accès puis menace de les supprimer ou les divulguer.
Vos contenus sont alors chiffrés totalement ou partiellement, de façon à les rendre inexploitables sans la
clé de déchiffrement. En général, l’hacker demande à être payé en cryptomonnaie, comme le Bitcoin par
exemple.

Logiciel espion (spyware) :

Il s’agit de programmes installés pour recueillir des informations sur les utilisateurs, sur leurs habitudes
de navigation ou encore sur leur ordinateur. Ces logiciels surveillent à votre insu tous vos faits et gestes
et envoient ces données au(x) cyber-attaquant(s). Ils sont généralement mis en place lors du
téléchargement d’une application gratuite.

Macro-virus :

Ces virus utilisent le langage de programmation d’un logiciel pour en altérer le fonctionnement.
Lorsque le logiciel se télécharge, le macro-virus exécute ses instructions avant de laisser le contrôle à
l’application en question. Ils s’attaquent principalement aux fichiers des utilisateurs et utilisatrices. Leur
expansion est due au fait qu’ils s’intègrent à des fichiers très échangés et que leur programmation est
moins complexe que celle des virus.

Virus polymorphes :

Il s’agit d’un virus informatique qui modifie sa propre représentation lors de sa réplication. Cette
manœuvre empêche alors leur détection par les logiciels antivirus.

Virus furtifs :

Ces types de virus prennent le contrôle de certaines fonctionnalités du système pour se dissimuler.
Pour ce faire, ils compromettent les logiciels de détection. Ces virus peuvent se propager de la même
manière que tout autre virus, par le biais de programmes malveillants, de pièces jointes ou d’installations
créées via divers sites internet.

Cheval de Troie :

Programme en apparence légitime, mais à vocation malveillante. Les cybercriminels usent de

techniques dites d’ingénierie sociale pour vous inciter à charger et à exécuter ce Cheval de Troie. Pour
plusieurs finalités :

Voler, supprimer, bloquer, modifier ou copier des contenus personnels et ou sensibles

Espionner,

Voler des mots de passe…

Bombe logique :

Logiciel malveillant ajouté à une application. Il s’agit de dispositifs programmés dont le déclenchement
s’effectue à un moment déterminé. Ce type de virus est capable de se déclencher à un moment précis
plus ou moins proche, et sur un grand nombre de machines.

On se souvient du virus Tchernobyl, lancé en 1998 par un étudiant taïwanais… Ce virus était programmé
pour se déclencher à la date du 13ème anniversaire de la catastrophe nucléaire, soit le 26 Avril 1999.
Parti de Taïwan, cette bombe logique est donc restée inactive pendant plus d’un an, date à laquelle celle-
ci a mis hors service des milliers d’ordinateurs à travers le monde.

Ver :

Ce sont des logiciels malveillants qui se reproduisent sur plusieurs ordinateurs en utilisant un réseau
informatique. Les Vers ont la capacité de se dupliquer une fois qu’ils ont été exécutés. La propagation la
plus courante se fait au travers de pièces jointes d’emails.

Injecteurs :

Il s’agit d’un programme crée pour injecter un logiciel malveillant sur un système cible. Également
appelé « programme seringue » ou « virus compte-gouttes ». Une fois le logiciel malveillant activé, il
peut arriver que l’injecteur s’autodétruise.

d) Etapes de mise en place d’un PCA/PRA

e) Etude de la famille ISO/CE 27000

4) Etudier les différentes méthodes d’analyse des risques

a) EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les
risques d'un SI et de proposer une politique de sécurité adaptée aux besoins de l'entreprise (ou
d'une administration).

b) MELISA
Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information) Melisa est une
méthode assez lourde basée sur un thésaurus de questions. Elle a vocation à être utilisée par de
grandes entreprises.
c) MARION
Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux,  C'est une méthode
d'audit de la sécurité d'une entreprise, elle ne permet pas de mettre en œuvre une politique de
sécurité en tant que telle. À base d'un questionnaire, elle donne une évaluation chiffrée du risque
informatique. Marion repose sur l'évaluation des aspects organisationnels et techniques de la
sécurité de l'entreprise à auditer. Elle utilise 27 indicateurs classés en six thématiques. Chaque
indicateur se voit attribuer une note entre 0 (insécurité) et 4 (excellent), la valeur 3 indiquant une
sécurité correcte.

Thématiques des indicateurs :

 Sécurité organisationnelle
 Sécurité physique
 Continuité
 Organisation informatique
 Sécurité logique et exploitation
 Sécurité des applications
Phases :

 Préparation
 Audit des vulnérabilités
 Analyse des risques
 Plan d’action
 d) MEHARI

La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les scénarios
redoutés, et en la classification préalable des entités du SI en fonction de trois critères de sécurité de base
(confidentialité, intégrité, disponibilité). Ces enjeux expriment les dysfonctionnements ayant un impact
direct sur l'activité de l'entreprise. Puis, des audits identifient les vulnérabilités du SI. Et enfin, l'analyse des
risques proprement dite est réalisée.

Mehari s'articule autour de trois types de livrables.

Plans de la méthode Mehari

1. Le Plan Stratégique de Sécurité (PSS)

2. Les Plans Opérationnels de Sécurité (POS)
3. Le Plan Opérationnel d'Entreprise (POE)

Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant
de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est
évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs.

Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui
doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les
services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est
réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de
protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite.

Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur

les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir.

Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de
risques, proposent des liens entre menaces et parades…
Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et
fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose permettent la
création de plans d'actions concrètes. Cette méthode permet donc de construire une politique de
sécurité destinée à pallier les vulnérabilités constatées lors des audits du Plans Opérationnels de
Sécurité et d’atteindre le niveau de sécurité correspondant aux objectifs dans le plan stratégique de
sécurité.
 e) OCTAVE

Phases de la méthode Octave

1. Vue organisationnelle
2. Vue technique
3. Stratégie de sécurité

La vue organisationnelle permet d'identifier les actifs de l'entreprise, les menaces qui pèsent sur son
fonctionnement, les vulnérabilités de son organisation, les objectifs de sécurité imposés par la direction
et les mesures actuelles de sécurité. Ce sont trois processus de collecte de l'information qui sont
réalisés durant cette phase, chacun par une population particulière : les cadres supérieurs, les cadres
opérationnels et les équipes de production. La consolidation des informations nées de ces processus
amène à créer des profils de menaces.

La vue technique identifie les éléments essentiels de chaque actif identifié plus haut et les audite afin
d'en connaître les vulnérabilités.

Le développement de la stratégie de sécurité consiste à évaluer les risques identifiés (impact,

probabilité) plus haut et à proposer les mesures permettant de les réduire. Un plan de réduction des
risques est alors élaboré.

La simplicité de la méthode Octave en fait dans le principe une méthode efficace, elle est assez
répandue aux États-Unis et au Québec. Elle est centrée sur la protection des actifs de l'entreprise et le
management du personnel. Elle couvre l'ensemble des processus métier de l'entreprise à tous les
niveaux (organisationnel et technique).

Cette méthode suppose la constitution d'une équipe pluridisciplinaire comprenant des membres de tous
les services de l'entreprise. Elle leur permettra d'améliorer leur connaissance de leur entreprise et de
mutualiser les bonnes pratiques de sécurité.
 f) CRAMM

La méthode Cramm est composée de trois phases.

Phases de la méthode Cramm

1. Identification de l'existant
2. Évaluation des menaces et des vulnérabilités
3. Choix des remèdes

L'identification de l'existant permet de dresser l'inventaire des équipements, des applications,

et des données qui constituent l'infrastructure informatique sur laquelle repose le SI de
l'entreprise. Chacun des éléments de cet inventaire est évalué en termes de coût et d'impact en
cas de compromission (indisponibilité, altération, destruction…).

L'évaluation des menaces et des vulnérabilités met en évidence les problèmes possibles.

Pour cela, la base de connaissances de Cramm fournit une liste importante des risques
possibles dont il faut évaluer le niveau de criticité.

Le choix des remèdes consiste à sélectionner parmi une base de 3000 contre-mesures

possibles classées en 70 thèmes les remèdes aux risques identifiés plus haut. Le logiciel fourni
avec Cramm détermine les remèdes à adopter en fonction des risques, de leur criticité
identifiés précédemment et du niveau de sécurité désiré.

1. MEHARI (ETUDE)

Mehari est l’évolution de la méthode Marion est gratuite.

 - Les enjeux majeurs de l’entreprise et notamment les
dysfonctionnements potentiels et la gravité de ces derniers
- Les vulnérabilités, en évaluant la qualité des mesures de
sécurités en place,
- Les risques de manière à définir les mesures les mieux
adaptées à mettre en œuvre.

La méthode de Mehari passe par la définition des seuils de gravité pour chaque critère
d’impact :
Seuil 1 : Sans dommage significatif
Seuil 2 : Dommage important
Seuil 3 : Grave dommage
Seuil 4 : Dommage extrêmement grave
Il faut ensuit recensé et classifier les ressources suivant 3 critères :

 Disponibilité
 Intégrité
 Confidentialité
Une fois ces classifications terminées, il est possible de s’appuyer sur les questionnaires de la
méthode MEHARI découpé selon les domaines identifiés :
- Domaine d’organisation
- Domaine de locaux
- Domaine du réseau local
- Domaine de l’exploitation des réseaux
- Domaine de la sécurité des systèmes et de leur architecture
- Domaine de la protection de l’environnement de travail
Ensuite, il est nécessaire de penchés sur les réponses négatives pour mettre en lumière les non-
conformités par rapport à la norme ISO 2005 et proposés quand cela étai possible, quelques
améliorations.

5) Solutions pour lutter contre les menaces

Le développement du numérique et l’interconnectivité des systèmes d’information rendent illusoire

le tout-sécurité pour faire face à une Cyber-attaque.
Les entreprises doivent renforcer la sécuritsé de leur(s) système(s) d’information tout en assurant le
les conséquences juridiques et financières d’une cyber-attaque :

 Sécuriser physiquement les équipements

 Sauvegarder les programmes/données sur site ou hors site
 Sécuriser les accès logiques au système d’information
 Se protéger des virus et intrusions (Firewall, Anti-virus)
 Elaborer un plan de sauvegarde et de reprise d’activité
 Disposer d’un dispositif de crise
 S’assurer pour faire face aux conséquences financières
 Formation des personnels / Sensibilisation