CasPratiqueMehari_Senilom

CLUB DE LA SECURITE DES SYSTEMES DINFORMATION FRANCAIS

30, rue Pierre Semard, 75009 PARIS Tl. : +33 153 25 08 80 Fax : +33 1 53 25 08 88

e-mail : [email protected] - Web : http://www.clusif.asso.fr

tude de cas Senilom ralise partir de la mthode

MEHARI

Novembre 2003

Document ralis par la socit MOLINES CONSULTANTS en accord avec le CLUSIF pour lusage et la diffusion

MOLINES CONSULTANTS 1862 Avenue du gnral De GAULLE 59910 - BONDUES Tl. : +33 (0) 603 588 032 Fax : +33 (0) 320 035 914

AVERTISSEMENT DE L'AUTEUR

Ce document est labor partir d'ouvrages et des bases de connaissances de la mthode

MEHARI du CLUSIF.

Document ralis par MOLINES CONSULTANTS en accord avec CLUSIF 1

Sommaire

1 INTRODUCTION ............................................................................................. 3 2 Dossier de prsentation de lentreprise Senilom ........................................................................................................................... 5

2.1 Prsentation gnrale de lentreprise ....................................... 5 2.2 Prestation fournie .......................................................................................... 5 2.3 Structure de la socit ............................................................................. 5

2.3.1 Organigramme.................................................................................................... 5 2.3.2 La Direction Gnrale ....................................................................................... 6 2.3.3 Le secrtariat........................................................................................................ 6 2.3.4 La Direction Technique ..................................................................................... 6 2.3.5 La Direction des ressources Humaines.......................................................... 6 2.3.6 La Direction Marketing ...................................................................................... 7 2.3.7 La Direction Administration Finances ............................................................ 7 2.3.8 La Direction Commerciale ............................................................................... 8 2.3.9 La Direction des TIC ............................................................................................ 8 2.3.10 La Direction des Achats .................................................................................. 8 2.3.11 La Direction Juridique...................................................................................... 8

2.4 Caractristiques de la socit .......................................................... 8 2.5 Structure informatique.............................................................................. 9

2.5.1 Matriel .................................................................................................................. 9 2.5.2 Logiciel ................................................................................................................... 9 2.5.3 Les autocommutateurs ..................................................................................... 9 2.5.4 Le rseau local Courbevoie......................................................................... 9 2.5.5 Le rseau local Abbeville ........................................................................... 10 2.5.6 Le rseau tendu "Global Intranet" FT ........................................................ 10

2.6 Scurit ................................................................................................................ 10 2.6.1 Scurit du Systme d'Information .............................................................. 10 2.6.2 Scurit gnrale du sige Courbevoie ................................................ 10 2.6.3 Scurit gnrale de l'usine Abbeville ................................................... 11

2.7 Contexte ............................................................................................................. 11 2.8 Schma du systme d'information ............................................. 12

3 Dmarche MEHARI ........................................................................ 13 3.1 PHASE 1 Le Plan stratgique de Scurit .......................... 13

3.1.1 Mtrique des risques et objectifs de scurit ........................................... 14 3.1.2 Valeurs de lentreprise : classification des ressources ............................ 18

3.1.2.1 Etape 1: Dfinir les domaines d'activits et processus..................................... 19 3.1.2.2 Etape 2: Dtecter les processus sensibles......................................................... 21 3.1.2.3 Etape 3: Dterminer les critres d'impact......................................................... 21 3.1.2.4 Etape 4: Dfinir les seuils de gravit................................................................ 22 3.1.2.5 Etape 5: Recenser les ressources...................................................................... 24 3.1.2.6 Etape 6: Classifier les ressources ..................................................................... 25

Document ralis par MOLINES CONSULTANTS en accord avec CLUSIF 2

3.1.3 Politique de scurit......................................................................................... 26 3.1.4 Charte de management................................................................................ 27

3.2 PHASE 2 Plans Oprationnels de Scurit .......................... 28 3.2.1 Prliminaire.......................................................................................................... 30

3.2.1.1 Etape 1 : Dfinir le domaine couvert ou primtre de l'tude.......................... 30 3.2.1.2 Etape 2 : Base de scnarios .............................................................................. 30 3.2.1.3 Etape 3 : Raliser la dcomposition cellulaire ................................................. 30 3.2.1.4 Etape 4 : Reprise de la classification................................................................ 33

3.2.2 Audit de l'existant.............................................................................................. 34 3.2.2.1 Etape 1 : Raliser l'audit................................................................................... 34 3.2.2.2 Etape 2 : Produire le rsultat d'audit................................................................. 35

3.2.3 Evaluation de la gravit des scnarios....................................................... 37 3.2.3.1 Etape 1 : La rplication d'un scnario type ...................................................... 37 3.2.3.2 Etape 2 : Calcul de l'efficacit.......................................................................... 38 3.2.3.3 Etape 3 : Calcul des status dtaills ................................................................. 39 3.2.3.4 Etape 4 : Calcul de la potentialit..................................................................... 39 3.2.3.5 Etape 5 : Calcul de la rduction d'impact......................................................... 40 3.2.3.6 Etape 6 : Calcul de l'impact.............................................................................. 41 3.2.3.7 Etape 7 : Calcul de la gravit ........................................................................... 41

3.2.4 Expression des besoins de scurit .............................................................. 42 3.2.4.1 Etape 1 : L'expression des besoins de mesures spcifiques ............................. 42 3.2.4.2 Etape 2 : L'expression des besoins de mesures gnrales ................................ 48

3.3 PHASE 3 Plans Oprationnels d'Entreprise .......................... 51 3.3.1 Choix d'indicateurs reprsentatifs ................................................................ 52 3.3.2 Elaboration d'un tableau de bord de la scurit de l'entreprise ....... 53 3.3.2 Rquilibrages et arbitrages entre les units............................................ 55

A1 Bibliographie ............................................................................................. 57 A2 Glossaire .......................................................................................................... 59

tude MEHARI Senilom tude de cas

Document ralis par MOLINES CONSULTANTS en accord avec CLUSIF

3

1 INTRODUCTION Ce document prsente une tude ralise laide des ouvrages dcrits dans le chapitre "Bibliographie" de la mthode MEHARI du CLUSIF et du logiciel RISICARE de la socit BUC S.A. Il est destin complter la mthode dans le but dapporter un exemple concret de son utilisation. La premire partie du document constitue le dossier de prsentation de lentreprise Senilom. La suite dcrit ltude de scurit, propose des exercices et des solutions. Toutes les tapes et activits seront prsentes brivement (en italique), avec un petit schma prcisant le niveau davancement dans la mthode (activit courante noircie).

Mtriquedes risqueset objectifsde scurit

Politiquede

scurit

Plan Stratgique de scurit Phase 1

Audit del'existant

Plan Oprationnel de scuritPhase 2

Phase 2 - Unit X

Rquilibrageset arbitragesentre units

Plan Oprationnel d'entreprisePhase 3

Charte demanagement

Valeurs del'entreprise :classification

des ressources

Phase 2 - Unit YPhase 2 - Unit Z

Prliminaire :

domaine couvert, base de scnarios, reprise de classification,dcomposition cellulaire..

Expressiondes besoinsde scurit

Evaluation dela gravit

des scnarios

Elaboration d'untableau de bordde la scuritde l'entreprise

Choixd'inidicateursreprsentatifs

Figure 1 tapes de la mthode MEHARI Source CLUSIF



4


Document ral

2 Dossi prse de lentreprise Senilom Le dossier de informations sera bien sr pcomplmentadinformatio

2.1 Prse Lentreprise Sfabrication et constitue de

2.2 Presta Lentreprise Svisualisation pd'Abbeville. Lentreprise Stechniques inninternationaleextrmement Lentreprise Sremis et plus trs prcise de

2.3 Struc

2.3.1 Orga

Direction Technique er deis par MOLINES CO

prsentation prsente lont t rassembles sui

recourir di it de ralisn de cette entreprise.

ntation gnr

enilom est une socitla vente de meubles. C121 personnes. Son ch

tion fournie

enilom ralise des plaour les clients ainsi qu

enilom commence ovantes. Cette entrepr

s. Elle sappuie pour crapidement aux appels

enilom attache galemprcisment aux visual la solution propose.

ture de la soci

nigramme

Direction Marketing

Direction Ressources Humaines

A

Secrtariatntationes informations relatives lentreprise Senilom. Ces te un entretien avec les responsables de lentreprise. Il e nouveaux entretiens ou de demander des informations er lanalyse de risques MEHARI du systme ossible deres. Il sagNSULTANTS en accord avec CLUSIF 5

ale de lentreprise

de type priv dont les activits principales sont la ette PME parisienne avec son usine Abbeville est iffre d'affaires est de 8.000.000 uros).

ns de meubles. Pour cela elle labore des plans de e les plans techniques pour la fabrication sur le site

tre rpute grce des solutions originales bases sur des ise preste pour des grandes enseignes nationales ou ela sur son systme dinformation qui lui permet de ragir doffre ou aux demandes des clients.

ent une importance extrme la qualit des documents isations 3D qui permettent de donner aux clients une ide

t

Direction Commerciale

Direction dministration

Finances

Direction des TIC

Direction Achats

Direction Juridique

Direction Gnrale



6

Figure 2 Organigramme de la socit

2.3.2 La Direction Gnrale Elle est compose du directeur et de son adjoint. Ladjoint est directeur du site d'Abbeville et assure la fonction de responsable scurit de lentreprise et coordonne le comit de pilotage de la scurit. Ils disposent dun micro-ordinateur portable scuris avec une cl dauthentification forte et le cryptage du disque dur et une communication scurise avec lentreprise de bout en bout par un rseau priv virtuel et quip dune suite bureautique messagerie, un logiciel de dcision et de visualisation.

2.3.3 Le secrtariat Il est anim par une quipe de cinq secrtaires au sige social Courbevoie. Lune delles effectue galement laccueil tlphonique. Elles disposent dun micro-ordinateur quip dune suite bureautique messagerie (connect au serveur). Sur le site d'Abbeville il y a deux secrtaires qui effectuent galement laccueil tlphonique. Celles-ci disposent dun micro-ordinateur quip dune suite bureautique messagerie.

2.3.4 La Direction Technique Elle est situe sur le site d'Abbeville et est compose de trois dpartements :

Le bureau dtudes, La production, La logistique.

Le bureau dtudes est compos de quatre ingnieurs et de trois techniciens et ralise les activits suivantes :

Elabore des plans techniques destins au dpartement production, Elabore des plans de visualisation 3D sous une forme la plus sduisante possible

destins aux clients. La production est compose de trente personnes et ralise les activits suivantes :

Dcoupage automatique des pices pilot par un micro-ordinateur, Confection de meubles, Contrle qualit, Conditionnement.

La logistique est compose de quinze personnes et ralise les activits suivantes :

Gestion des stocks, Prparation des commandes, Envoi les commandes vers le rseau de distribution franchiss.

2.3.5 La Direction des ressources Humaines



7

Elle est anime par une quipe de quatre personnes au sige social Courbevoie. Lune delles effectue galement ladministration des personnes (badge, cl daccs, code tlphonique, code tlcopieur, etc.). Elles disposent dun micro-ordinateur quip dune suite bureautique messagerie (connect au serveur). Sur le site d'Abbeville il y a une personne qui effectue galement ladministration des personnes (badge, cl daccs, code tlphonique, code tlcopieur, etc.). Celle-ci dispose dun micro-ordinateur quip dune suite bureautique messagerie.

2.3.6 La Direction Marketing Elle est anime par une quipe de quatre personnes au sige social Courbevoie. Chaque personne dispose dun micro-ordinateur portable scuris avec une cl dauthentification forte et le cryptage du disque dur et une communication scurise avec lentreprise de bout en bout par un rseau priv virtuel. Lquipe a de nombreux contacts avec le bureau dtudes Abbeville.

2.3.7 La Direction Administration Finances Elle est anime par une quipe de dix personnes au sige social Courbevoie. La direction est compose de 4 dpartements :

Comptabilit, Contentieux, Contrle de gestion, Trsorerie.

La Comptabilit est compose de cinq personnes et ralise les activits suivantes :

Comptabilit gnrale, Comptabilit clients, Comptabilit fournisseurs, Comptabilit analytique.

Le contentieux est compos de deux personnes. Ces personnes sont en contact avec la logistique Abbeville et la comptabilit (clients et fournisseurs) au sige social. Le contrle de gestion est compose de deux personnes et ralise les activits suivantes :

Surveillance des activits industrielles (production, logistique) et des activits lies aux TIC,

Surveillance des activits administratives et commerciales et ressources humaines. La trsorerie est compose dune personne. Cette personne est en contact avec les services de Douanes Sur le site d'Abbeville une personne assume lactivit de trsorerie et est en relation :

avec les services de Douanes, avec les Banques et les problmes affrents.



8

2.3.8 La Direction Commerciale Elle est anime par une quipe de quinze personnes au sige social Courbevoie. Douze personnes sont itinrantes et sont quipes de micro-ordinateur portable scuris avec une cl (token) dauthentification forte et le cryptage du disque dur et une communication scurise avec lentreprise de bout en bout par un rseau priv virtuel.

2.3.9 La Direction des TIC Elle est anime par une quipe de trois personnes au sige social Courbevoie et assure le support aux utilisateurs. Sur le site d'Abbeville une autre quipe de onze personnes grent lensemble des ressources (infrastructure, les nergies [lectriques, onduleurs, groupe lectrogne, ], le rseau dentreprise, le support aux utilisateurs, serveurs mtiers, support pour le progiciel intgr de gestion, .).

2.3.10 La Direction des Achats Elle est anime par une quipe de deux personnes au sige social Courbevoie et assure le relais de la fonction achats au sige social. Sur le site d'Abbeville une autre quipe de quatre personnes grent la fonction achats de lentreprise.

2.3.11 La Direction Juridique Elle est anime par une quipe de cinq personnes au sige social Courbevoie et assure :

La gestion des brevets, enregistrement des dpts et des accords de licence, recouvrement des droits.

Gestion des accords et contrats, enregistrement et conservation des pices contractuelles.

2.4 Caractristiques de la socit Cette entreprise compte de nombreux clients, privs ou appartenant des rseaux de distribution franchiss. Les diffrentes statistiques menes depuis 5 ans montrent qui n'y a pas de priodes de pointe et que la conjoncture est bonne. Dans un contexte de rude concurrence, rapidit, qualit, prcision et originalit des travaux sont des composantes essentielles de son activit.



9

2.5 Structure informatique

2.5.1 Matriel L'infrastructure du systme d'information est constitue d'quipements homognes :

Les ordinateurs de bureau et portables sont de type PC Les serveurs mtiers sont des systmes UNIX Les serveurs de rseau, messagerie et bureautique sont de type Windows NT Les rseaux LAN pour le sige de Courbevoie et l'usine d'Abbeville sont de type

Ethernet Le rseau WAN d'interconnexion et d'accs Internet est gr en infogrance par un

contrat de type "Global Intranet" de France Tlcom.

2.5.2 Logiciel Tous les logiciels ont t acquis lgalement et possdent un numro de licence officielle. L'entreprise a acquis le logiciel ARC+ pour la visualisation, le logiciel SIFRA pour le travail partir de la tablette. La bureautique peut tre traite sur les ordinateurs de bureau partir des logiciels sur les serveurs. Les ordinateurs portables ont une suite bureautique pour leur autonomie. L'outil de PAO (Pagemaker) est compatible avec les outils de CAO. Les systmes d'exploitation sont Windows NT et UNIX. L'outil de visualisation permet de donner aux projets un aspect de photo raliste.

2.5.3 Les autocommutateurs L'autocommutateur du sige Courbevoie et celui de l'usine Abbeville sont grs par le dpartement des TIC. Une politique de scurit propre aux autocommutateurs existe et dfini de manire restrictive la configuration standard (pas de substitution de poste, pas de transfert d'appel command distance, etc.). Cette politique de scurit contient et met en vidence les risques lis certaines options et a reu l'approbation du Directeur Adjoint. La liste des postes autoriss accder aux options spciales est limite sur chaque site et fait l'objet d'un audit externe une fois par an la demande de la Direction Gnrale. L'accs aux options spciales est protg par un mot de passe non standard et personnalis.

2.5.4 Le rseau local Courbevoie Le rseau local Courbevoie est quip d'lments actifs avec administration distance et respecte les bonnes pratiques et "l'tat de l'art ".



10

2.5.5 Le rseau local Abbeville Le rseau local Abbeville est quip d'lments actifs avec administration distance et respecte les bonnes pratiques et "l'tat de l'art ".

2.5.6 Le rseau tendu "Global Intranet" FT Le rseau tendu "Global Intranet" FT est quip d'lments actifs avec administration distance et respecte les bonnes pratiques et "l'tat de l'art ". FT a mis un contrat de service 24 heures/24 et 7 jours/7 et gre tous les lments actifs de son primtre.

2.6 Scurit

2.6.1 Scurit du Systme d'Information Il y a une politique de scurit du Systme d'Information, elle fait partie de la politique globale de la scurit de l'entreprise. Une charte d'utilisation des ressources informatiques et des services Internet a t labore et diffuse l'ensemble du personnel. Cette charte prcise les droits et devoirs de chaque utilisateur. Des affiches de sensibilisation sont apposes aux panneaux d'affichage contenant les rgles suivantes :

Le contrle d'accs se fait par identifiant/mot de passe complt par un "token" pour les quipements mobiles (PC portable).

Principe de sauvegarde de tout fichier. Chaque utilisateur est responsable du fichier qu'il traite, les fichiers sont sauvegards

sur les serveurs ; paralllement, les documents papiers sont rangs dans une armoire forte.

Chaque utilisateur est responsable des ressources informatiques mises sa disposition dans le cadre de son activit.

Chaque utilisateur doit signaler toute anomalie dans les meilleurs dlais vers le "support utilisateurs" du dpartement des TIC.

2.6.2 Scurit gnrale du sige Courbevoie Nous avons pu recueillir les informations suivantes :

Les moyens rglementaires de lutte contre l'incendie sont en place ; des exercices d'vacuation sont raliss 1 fois par semestre avec les services de scurit de l'immeuble.

Il existe des consignes de fermetures cl des bureaux, mais aucune procdure de contrle n'a t mise en place.

Les bureaux sont climatiss. Une alarme anti-intrusion est active durant les heures de fermeture (19h-7h), de

frquentes rondes de gardiens ont lieu dans le btiment. Le service de nettoyage externe l'entreprise intervient de 7h 8h.



11

Les bureaux sont situs au 4me et 5me tage en couronne priphrique d'un immeuble ; l'accs se fait par 4 ascenseurs dans un hall central ; des portes coulissantes en verre donnent accs aux couloirs aprs dverrouillage par un badge ou une gche lectrique actionn depuis l'accueil de l'entreprise ; plusieurs socits constituent son voisinage dans les tages infrieurs et suprieurs.

Les clients sont reus par les commerciaux, dans des salles de runions spcifiques dans une zone avec vidosurveillance ; avec possibilit de connecter des quipements informatiques.

Les ressources informatiques (serveurs) sont situes dans une pice isole contigu au bureau du "support utilisateurs" de la direction des TIC; bnficiant d'une alimentation secourue.

2.6.3 Scurit gnrale de l'usine Abbeville Nous avons pu recueillir les informations suivantes :

Les moyens rglementaires de lutte contre l'incendie sont en place ; des essais d'vacuation sont effectus chaque trimestre.

Il existe un poste de gardiennage qui filtre les entres et sorties sur le site de l'usine ; une gestion technique centralise pour l'ensemble des alarmes du site avec 2 personnes en permanence.

Il existe des consignes de fermetures cl des bureaux ; mais aucune procdure de contrle n'a t mise en place.

Les bureaux sont climatiss ; et contigus au poste de gardiennage ; l'entre de l'usine ; l'cart des zones de production.

Une alarme anti-intrusion est active durant les heures de fermeture des bureaux (19h-7h), de frquentes rondes de gardiens ont lieu dans le btiment.

Le service de nettoyage externe l'entreprise intervient de 7h 8h. Plusieurs socits constituent son voisinage ; de frquentes rondes de police ont lieu

dans la zone d'activit. Les clients sont reus, sous la responsabilit de la personne visite aprs avoir dpos

une pice d'identit contre la remise d'un badge visiteur au poste de gardiennage, dans des salles de runions spcifiques ; avec possibilit de connecter des quipements informatiques.

Le site possde la redondance pour les fournitures nergtiques (arrive lectrique provenant de 2 cabines "Haute Tension", groupe lectrogne, onduleurs, arrive lignes tlphoniques sur 2 centraux tlphoniques diffrents, etc.).

2.7 Contexte La mise en rseau du systme d'information s'est effectue avec succs et a permis de rduire encore plus les dlais de ralisation des travaux. L'entreprise a rpondu au souhait de la majorit des clients qui est de correspondre directement avec les diffrentes directions via Internet pour transmettre tous les types de documents (dossiers techniques, devis, appel d'offres, messages, ). D'autre part, un important contrat avec une chane de magasins franchiss est conditionn par la capacit de l'entreprise assurer :

La confidentialit relative aux aspects techniques La disponibilit et la rapidit de fournir les produits finis



12

2.8 Schma du systme d'information Le schma du systme d'information est reprsent de faon synthtique ci-aprs :



13

3 Dmarche MEHARI La dmarche comporte trois phases :

Plan Stratgique de Scurit (PSS) : - Mtrique des risques et objectifs de scurit, - Valeurs de l'entreprise : classification des ressources, - Politique de scurit, - Charte de management ;

Plans Oprationnels de Scurit (POS) : - Audit de l'existant, - Evaluation de la gravite des scnarios, - Expression des besoins de scurit - Construction du plan oprationnel de scurit ;

Plan Oprationnel d'Entreprise (POE) : - Choix d'indicateurs reprsentatifs, - Elaboration d'un tableau de bord de la scurit de l'entreprise, - Rquilibrage et arbitrages entre units.

3.1 PHASE 1 Le Plan stratgique de Scurit Le Plan Stratgique de Scurit (PSS) est labor avec la Direction Gnrale. Il a pour but de fixer les objectifs de scurit de lentreprise de manire ce que toutes les actions entreprises et mises en place dans lensemble de lentreprise (sites distants inclus) tendent vers ces mmes objectifs et protgent les ressources en fonction de leur classification. Il est la rfrence des units oprationnelles pour ce qui concerne les dcisions prendre en matire de scurit

Cette phase a ncessit plusieurs runions avec la participation de la direction gnrale de l'entreprise ainsi que celle des cadres suprieurs responsable de chaque direction oprationnelle.



14

Mtrique

des risques et objectifs de scurit

Politique de

scurit


Audit de l'existant

Plan Oprationnel de scurit Phase 2

Phase 2 - Unit X


Plan Oprationnel d'entreprise Phase 3

Charte demanagement

Valeurs de l'entreprise : classification

des ressources


Etape prparatoire : domaine couvert, base de scnarios, reprise de classification, ..

Expression des besoinsde scurit

Evaluation de la gravit

des scnarios

Elaboration d'un tableau de bord de la scurit de l'entreprise

Choix d'inidicateurs reprsentatifs

1

3.1.1 Mtrique des risques et objectifs de scurit L'objectif est de fournir, sous forme de grilles ou de tables standard, valable pour toute l'entreprise, les lments de jugement permettant :

D'une part, d'affecter une valeur la gravit de chaque scnario de sinistre ; D'autre part, de fixer de faon cohrente les objectifs de scurit en fonction de niveaux

prtablis d'acceptation ou de refus, total ou sous condition, des risques encourus. Lors de la runion avec la Direction Gnrale et les directions oprationnelles, nous validons les diffrentes grilles de status fourni par la mthode MEHARI et par le logiciel RISICARE. Mesures de protection :

STATUS-PROT Effet des mesures de protection sur l'impact du scnario 1 Effet de protection trs faible : le sinistre ne sera dtect quau bout dun dlai important. Les

mesures qui pourront alors tre prises ne pourront limiter la propagation de lincident initial et se limiteront la borner dans le temps. Ltendue des consquences du sinistre est difficilement cerner.

2 Effet de protection moyen : le dbut de sinistre ne sera pas identifi trs vite et les mesures prises le seront tardivement. Le sinistre aura pris une grande ampleur mais ltendue de ses consquences sera encore identifiable.

3 Effet important : le sinistre sera dtect rapidement et des mesures de protection seront prises sans dlai. Le sinistre aura nanmoins eu le temps de se propager, mais les dgts seront circonscrits et facilement identifiables.

4 Effet trs important : le dbut de sinistre sera dtect en temps rel et les mesures dclenches immdiatement. Le sinistre sera limit aux dtriorations directes provoques par laccident, lerreur ou la malveillance.

Source CLUSIF

Mesures palliatives :

STATUS-PALL Effet des mesures palliatives sur l'impact du scnario 1 Effet trs faible : les solutions de secours ventuellement ncessaires doivent tre improvises. Il

nest pas assur que les activits de lentreprise touches par le sinistre pourront tre poursuivies. Lactivit de lensemble des acteurs touchs par le sinistre est trs fortement perturbe.

2 Effet moyen : les solutions de secours ont t prvues globalement et pour lessentiel, mais lorganisation de dtail reste faire. Les activits principales touches pourront se poursuivre aprs un temps dadaptation qui peut tre long. La reprise des autres activits et le retour ltat dorigine demandera des efforts importants et occasionnera une forte perturbation des quipes.

3 Effet important : les solutions de secours ont t prvues, organises dans le dtail et valides. Les activits principales pourront se poursuivre aprs un temps de reconfiguration acceptable et connu. La reprise des autres activits et le retour ltat dorigine ont galement t prvus et se drouleront avec des efforts importants mais supportables.

4 Effet trs important : le fonctionnement des activits de lentreprise est assur sans discontinuit notable. La reprise de lactivit en mode normal est planifie et sera assure sans perturbation notable.

Source CLUSIF

1 Source CLUSIF



15

Mesures de rcupration :

STATUS-RECUP

Effet des mesures prises sur l'impact du scnario

1 Effet trs faible : ce que lon peut esprer rcuprer des assurances ou dun recours en justice est ngligeable devant lampleur des dgts subis.

2 Effet moyen : ce que lon peut raisonnablement esprer rcuprer nest pas ngligeable, mais les sinistres majeurs restent la charge de lentreprise (sinistre non couvert et responsable non solvable).

3 Effet important : lentreprise est couverte pour les sinistres majeurs, mais ce qui reste sa charge (franchise) demeure important quoique supportable.

4 Effet trs important : lentreprise est suffisamment couverte pour que limpact financier rsiduel soit ngligeable.

Source CLUSIF

Le STATUS-RI, dduit de la grille propre au critre de scurit considr (D, I, ou C), est dfini selon le tableau standard ci-aprs : STATUS -RI Effet des mesures prises sur la rduction d'impact du scnario

1 Effet trs faible 2 Effet moyen : impact maximum jamais suprieur un impact grave : I



16

Mesures dissuasives :

STATUS-DISS Effet des mesures dissuasives sur la potentialit du scnario 1 Effet trs faible : Lauteur nencourrait aucun risque : il na pratiquement aucun risque dtre identifi

et de toutes faons cela naurait pour lui aucune consquence. 2 Effet moyen : Lauteur encourrait un risque faible : le risque dtre identifi est faible et les sanctions

ventuelles, sil tait dcouvert, resteraient supportables. 3 Effet important : Lauteur de lerreur ou de la malveillance encourrait un risque important : il existe

une forte probabilit quil soit dcouvert et les sanctions encourues pourraient tre graves. 4 Effet trs important : Seul un inconscient pourrait courir un tel risque : il sera dmasqu coup sr,

les sanctions seront trs lourdes et tout cela est bien connu. Source CLUSIF

Mesures prventives :

STATUS-PREV Effet des mesures prventives sur la potentialit du scnario 1 Effet trs faible : Toute personne de lentreprise ou tout initi la connaissant un minimum est

capable de dclencher un tel scnario, avec des moyens quil est facile dacqurir. Des circonstances tout fait courantes (maladresse, erreur, conditions mto dfavorables rares mais nayant rien dexceptionnel) sont mme de dclencher un tel scnario.

2 Effet moyen : Le scnario peut tre mis en oeuvre par un professionnel sans autres moyens que ceux dont font usage les personnels de la profession. Des circonstances naturelles rares mais non exceptionnelles peuvent aboutir ce rsultat.

3 Effet important : Seul un spcialiste ou une personne dote de moyens importants dcide y consacrer du temps peut aboutir dans la ralisation dun tel scnario. Des concours de circonstances peuvent rendre le scnario plausible.

4 Effet trs important : Seuls quelques experts sont capables, avec des moyens trs importants, de mettre en oeuvre un tel scnario. Au niveau des vnements naturels, seules des circonstances exceptionnelles peuvent conduire de tels rsultats (catastrophes naturelles).

Source CLUSIF Le niveau de la potentialit "P" est apprci conformment la grille standard ci-aprs

STATUS-P Potentialit 1 Potentialit faible, ne surviendra sans doute jamais 2 Possible, bien que potentialit faible 3 Potentialit certaine, devrait arriver un jour 4 Trs forte potentialit, surviendra srement court terme

Source CLUSIF La dfinition des objectifs de scurit fera l'objet d'une rflexion approfondie au plus haut niveau de l'entreprise puisqu'elle concrtise ses choix stratgiques en matire de scurit. Dans la mesure o il est utopique de penser supprimer les risques, dfinir les objectifs de scurit c'est fixer les niveaux de risque que l'entreprise jugera acceptables, inadmissibles bien que supportables, ou insupportables parce que n'ayant pas les moyens de faire face ses consquences. L'accord s'tant fait sur ces trois termes, leur dfinition et les limites qu'ils recouvrent; l'objectif sera de ramener, par des mesures de scurit appropries, tous les risques au niveau "acceptable". La mthode propose une grille d'aversion au risque, construite sur la base de l'apprciation du risque par rapport son impact et sa potentialit. Cette grille est valide lors de la runion avec la Direction Gnrale et les directions oprationnelles. C'est sur une grille comme celle reprsente ci-aprs, qu'au moyen d'un graphisme simple, que sont situs les niveaux de risque.



17

P 0 1 2 3 4 4 Risque insupportable I 4 0 3 4 4 4 3 Risque inadmissible 3 0 2 3 3 3 2 0 1 2 2 3 Risque tolr 1 0 0 0 1 1

Source CLUSIF

La Direction Gnrale de SENILOM demande pour objectifs, que soient assures : La disponibilit des moyens de communications du sige Courbevoie, La disponibilit des moyens de communications de l'usine Abbeville, La disponibilit des moyens de communications avec l'entreprise SENILOM, La disponibilit de la messagerie, La production; La confidentialit et lintgrit des secrets de fabrication; La mise jour du programme de production.



18

Mtrique


Politique de

scurit


Audit de l'existant


Phase 2 - Unit X



Charte demanagement


des ressources





des scnarios



2

3.1.2 Valeurs de lentreprise : classification des ressources Cette partie a pour but de classifier les ressources de l'entreprise

Source CLUSIF

Etape 2 : Dtecter les processus sensibles

Etape 3 : Dterminer les critres dimpact

Etape 4 : Dfinir les seuils de gravit

Etape 5 : Recenser les ressources

Etape 6 : Classer les ressources

Etape 1 : Dfinir les domaines dactivits

2 Source CLUSIF



19

3.1.2.1 Etape 1: Dfinir les domaines d'activits et processus

Nous dfinissons les domaines d'activits de l'entreprise partir de la grille suivante :

PROCESSUS MAJEURS DE L'ENTREPRISE

DOMAINES PROCESSUS DESCRIPTION

Source CLUSIF Lors d'une runion avec la Direction Gnrale et les directions oprationnelles, nous validons la cartographie des domaines fonctionnels dans le tableau des processus majeurs de l'entreprise ci-aprs :



20

DOMAINES PROCESSUS DESCRIPTION

MANAGEMENT Prise de Dcisions Ensemble des lments contribuant la prise de dcisions (acquisition, cession, donnes budgtaires et prvisionnels, etc.)

Dir. Technique R&D

Recherche Travaux de recherche avance conduisant des nouveaux projets de produits

Dir. Technique R&D

Dveloppement Elaboration des plans de visualisation 3D sous une forme la plus sduisante possible, destins aux clients.

Dir. Technique Production

Production Dcoupage automatique des pices, Confection de vtements, Contrle qualit, Conditionnement.

Dir. Technique Logistique

Logistique Gestion de stocks, Prparation des commandes, Expdition vers le rseau de distribution franchiss.

PERSONNEL Paie Gestion de la paie et des comptes personnels associs (intressement).

PERSONNEL Frais Gestion des frais (avances sur frais, paiement des notes de frais, etc.).

MARKETING Marketing Recherche des lments significatifs du march et laboration d'une stratgie de vente.

FINANCE Comptabilit Comptabilit gnrale et gestion des obligations lgales affrentes (fisc, comptes sociaux, etc.)

FINANCE Contentieux Gestion du contentieux entre la logistique et la comptabilit (clients et fournisseurs).

FINANCE Contrle de Gestion Consolidation des comptes, soldes de gestion et tableau de bord.

FINANCE Trsorerie Gestion et optimisation des flux de trsorerie. Gestion des relations avec les organismes financiers et les Douanes

COMMERCIAL Commercialisation Elaboration des outils de vente spcifiques d'un type de produit ou de service.

COMMERCIAL Proposition commerciale

Elaboration de l'offre spcifique d'un client (pour les offres sur devis).

COMMERCIAL Gestion des commandes

Gestion et suivi des commandes client, depuis l'offre jusqu' la livraison (incluant ou non la maintenance).

COMMERCIAL Suivi clientle Gestion permanente des clients, de leurs particularits. Gestion des cibles commerciales.

Dir. des TIC Infrastructures

Architecture Exploitation Informatique

Architecture rseaux & systmes, Administration et exploitation des centres informatiques.

Dir. des TIC Projets

Projets informatiques Dveloppements d'applications informatiques. Maintenance des applications existantes.

Dir. des TIC Support Util.

Support aux Utilisateurs

Assistance aux utilisateurs, Formation, conseil

ACHATS Achats Gestion des commandes (produits et services) et des fournisseurs

JURIDIQUE Brevets Gestion des brevets, enregistrement des dpts et des accords de licence. Recouvrement des droits.

JURIDIQUE Accords et contrats Gestion des accords et contrats. Enregistrement et conservation des pices contractuelles.

SUPPORT Services gnraux Ensemble des processus des services gnraux, courrier, standard tlphonique, entretien, etc.



21

3.1.2.2 Etape 2: Dtecter les processus sensibles D'aprs la Direction Gnrale et les cadres suprieurs de l'entreprise, les processus vitaux sont : "Achats" dans le domaine "Achat" "Production" dans le domaine "Direction Technique Production" "Gestion des commandes" dans le domaine "Commercial" Sachant que la dmarche doit tre identique pour chaque processus sensible, on ne dveloppe ici que le processus "Achats". Ce dernier permet au responsable des achats de mieux choisir les fournisseurs de matires premires en prenant en compte les cots, la qualit et les dlais. Il en rsulte pour SENILOM une meilleure comptitivit et un chiffre d'affaire en consquence.

3.1.2.3 Etape 3: Dterminer les critres d'impact Dans cette tape, il s'agit de demander aux responsables, quel serait l'impact sur l'entreprise en termes oprationnels, financiers ou d'image en cas de dysfonctionnement d'un des processus vitaux. Nous dfinissons les critres d'impact pour les processus de chaque domaine partir du tableau suivant :

IMPACTS

DOMAINES DESCRIPTION DE L'IMPACT

Source CLUSIF Lors d'une runion avec la Direction Gnrale et les directions oprationnelles, nous validons les critres d'impact des processus de chaque domaine fonctionnel dans le tableau des critres d'impact ci-aprs :



22

Dir. Technique R&D Divulgation de plans de nouveaux produits ou de savoir-faire

Dir. Technique R&D Perte de savoir-faireDir. Technique R&D Non tenue des dlais de dveloppment

Dir. Technique R&D Augmentation des charges de dveloppement

Commercial Incapacit exploiter des opportunits commercialesCommercial Perte de chiffre d'affaireCommercial Baisse d'efficacit commercialeCommercial Augmentation des charges commercialesCommercial Perte de comptitivitCommercial Perte de confiance des clientsCommercial Incapacit remplir des obligations contractuelles

Dir. Technique Production Non tenue des dlais de productionDir. Technique Production Augmentation des charges de productionDir. Technique Production Perte de productivitDir. Technique Production Dtrioration de la qualit de la production

Finance Paiement de pnalits contractuellesFinance Dtournement de fondsFinance Augmentation des charges administrativesFinance Augmentation du risque de fraude

Juridique Mise en examen d'un membre du DirectoireJuridique Poursuite judiciaire de la socitJuridique Perte de protection juridique du patrimoine (brevets)

Personnel Divulgation de renseignements concernant la vie prive

Management Prise de mauvaises dcisions de management

IMPACTS

DOMAINES DESCRIPTION DE L'IMPACT

Source CLUSIF

3.1.2.4 Etape 4: Dfinir les seuils de gravit Il est ncessaire, dans cette tape, d'tablir les quatre seuils de gravit associs chaque critre d'impact retenu : Seuil 1: Sans dommage significatif sur les oprations de lentreprise. Seuil 2: Dommage important sur les oprations de lentreprise sur sa comptitivit. Seuil 3: Grave dommage ne compromettant pas un domaine de lentreprise. Seuil 4: Dommage extrmement grave mettant en danger lentreprise. Nous dfinissons les seuils de gravit d'impact pour chaque critre d'impact retenu partir du tableau suivant :



23

SEUILS D'IMPACTSIndiquer pour chaque critre d'impact, les seuils de gravit, en se basant sur les dfinitions suivantes :Gravit 1 : impact non significatif au niveau de l'entreprise.Gravit 2 : Impact signficatif, rsorb facilement et rapidement.Gravit 3 : Sinistre grave dont l'entreprise mettra plusieurs mois se remettre.Gravit 4 : Sinistre extrmement grave menaant la survie de l'entreprise ou dont elle mettra plusieurs annes se remettre.

TYPE D'IMPACT SEUILSGravit 1 Gravit 2 Gravit 3 Gravit 4

Source CLUSIF Lors d'une runion avec la Direction Gnrale et les directions oprationnelles, nous validons les seuils de gravit d'impact dans le tableau des seuils de gravit d'impact ci-aprs :

SEUILS D'IMPACTSIndiquer pour chaque critre d'impact, les seuils de gravit, en se basant sur les dfinitions suivantes :Gravit 1 : impact non significatif au niveau de l'entreprise.Gravit 2 : Impact signficatif, rsorb facilement et rapidement.Gravit 3 : Sinistre grave dont l'entreprise mettra plusieurs mois se remettre.Gravit 4 : Sinistre extrmement grave menaant la survie de l'entreprise ou dont elle mettra plusieurs annes se remettre.

TYPE D'IMPACT SEUILSGravit 1 Gravit 2 Gravit 3 Gravit 4

Divulgation de plans de nouveaux produits ou de savoir-faire

divulgation partielle ne permettant pas la concurrence de rattraper son retard.

divulgation partielle permettant la concurrence de nous rattraper plus de 6 mois aprs le lancement.

divulgation permettant la concurrence de nous rattraper au dbut du lancement d'un produit stratgique (entre 0 et 6 mois).

Perte de savoir-faire Destruction de la copie d'un ou plusieurs fichiers d'un reprsentant en tourne.

Indisponibilit de la base d'informations techniques pour la maintenance, pendant une dure infrieure 1 semaine

Destruction de l'ensemble de l'aide automatise la maintenance (reconstitution : plusieurs mois) ou indisponibilit > 1 semaine

Dpart d'une quipe hautement spcialise, seule capable d'assurer la maintenance d'un produit majeur de l'entreprise.

Non tenue des dlais de dveloppment

retard infrieur un mois retard compris entre 1 et 3 mois

retard compris entre 3 et 12 mois

retard suprieur 1 an

Augmentation des charges de dveloppement

< 5 % 5% < Delta < 20% > 20%



24

3.1.2.5 Etape 5: Recenser les ressources Une fois le niveau de dcomposition choisi (en fonction de la granularit d'analyse souhaite) et aprs avoir confirm les limites du domaine tudi et prcis les intentions en matire d'investigation plus ou moins pousse, nous recensons, l'aide d'un tableau du modle ci-aprs, les ressources que l'on veut classifier.

RESSOURCES Indiquer les resources que l'on souhaite clasifier, leur type, ainsi que leur domaine et ventuellement le processus auxquels elles appartiennent.

Dans les colonnes domaines et processus, "tous" signif ie que la ressource est unique pour tous les domaines, "chaque" sinif ie que l'on identif ie une ressource diffrente pour chaque domaine.

NOM DE LA RESSOURCE : TYPE DOMAINES PROCESSUS

Source CLUSIF Nous validons ce travail (dont dpend la suite de l'analyse) en nous assurant (excutants et hirarchie) que, pour chaque processus majeur identifi dans le tableau des processus, toutes les ressources ncessaires bien incluses dans le tableau des ressources ci-aprs. RESSOURCES Indiquer les ressources que l'on souhaite classifier, leur type, ainsi que leur domaine et ventuellement les processus auxquels elles appartiennent.

Dans les colonnes domaines et processus, "tous" signif ie que la ressource est unique pour tous les domaines, "chaque" sinif ie que l'on identif ie une ressource diffrente pour chaque domaine.

NOM TYPE DOMAINES PROCESSUS

Site Courbevoie Site et Btiments TousSite Abbeville Site et Btiments TousLocal Technique Courbevoie Locaux TousLocal technique Abbeville Locaux TousCentre de Production Abbeville Locaux TousRseau Local Courbevoie Rseau TousRseau Local Abbeville Rseau TousRseau Global Intranet (FT) Rseau TousServeur IBM Systme TousServeurs "mtiers" Systme TousServeur Messagerie Systme TousAppli GESCOM Logiciel Commercial tousAppli GESPER Logiciel Personnel tousPersonnel informatique Ressource humaine



25

3.1.2.6 Etape 6: Classifier les ressources Le but de l'tape 6 est de classifier les ressources retenues dans l'tape 5. L'tablissement de la classification des ressources, qui consiste analyser si une perte de disponibilit, d'intgrit ou de confidentialit d'une ressource peut conduire un des critres d'impacts retenus et, dans l'affirmative, quel niveau maximum. Ce niveau est alors la classification de la ressource pour l'aspect considr (disponibilit, intgrit ou confidentialit). Pour chacune de ces ressources, on se pose les questions suivantes :

Que se passerait-il si la ressource tait non disponible ? (Disponibilit) Que se passerait-il si la ressource tait non fiable ? (Intgrit) Que se passerait-il si la ressource tait accde par des tiers non autoriss ? (Confidentialit)

Cette tape permet donc de trouver une valeur propre pour chaque ressource. Source JAA Lors d'une runion avec la Direction Gnrale et les directions oprationnelles, nous validons la classification des ressources dans le tableau de synthse de la classification des ressources ci-aprs :

NOM DISPONIBILITE INTEGRITE CONFIDENTIALITE

Site Courbevoie 1 1 2Site Abbeville 2 1 2Local Technique Courbevoie 2 2 1Local technique Abbeville 2 2 1Centre de Production Abbeville 2 2 2Rseau Local Courbevoie 4 4 4Rseau Local Abbeville 4 4 4Rseau Global Intranet (FT) 4 4 4Serveur IBM 2 2 2Serveurs "mtiers" 2 2 2Serveur Messagerie 4 4 4Appli GESCOM 2 2 2Appli GESPER 2 2 2Personnel informatique 2 2 2

RESSOURCES

Ressource : Application GESCOMImpact Disponibilit Intgrit ConfidentialitPerte de chiffre d'affaire 2 2 1Perte de confiance des Clients 1 1 2Baisse d'efficacit commerciale 2 1 1Synthse de Classification* 2 2 2



26

Mtrique


Politique de

scurit


Audit de l'existant


Phase 2 - Unit X

Rquilibrages et arbitrages entre units


Charte de management


des ressources



Expression des besoins de scurit


des scnarios



3

3.1.3 Politique de scurit Nous prenons en compte la politique globale de scurit de l'entreprise qui intgre la politique de la scurit du systme d'information. La politique de scurit du systme d'information base sur les normes nationales et internationales, nous constatons que le chapitre sur le personnel n'est pas conforme la lgislation franaise. Aprs vrification et modification par la Direction Juridique du texte dudit chapitre est de nouveau insr dans la politique de la scurit du systme d'information.

3 Source CLUSIF



27

Mtrique


Politiquede

scurit


Audit del'existant


Phase 2 - Unit X



Charte demanagement


des ressources





des scnarios


Choix d'inidicateursreprsentatifs

4

3.1.4 Charte de management La Direction Gnrale et les directions oprationnelles nous prsentent leur charte "Charte de Management pour l'usage des ressources Informatiques et des services Internet l'entreprise SENILOM" Cette charte permet : De renforcer la scurit des systmes dinformation en informant et en responsabilisant les

utilisateurs. De prciser les prrogatives et le cadre de travail de chaque type dacteur pour viter des

actions dangereuses voire illgales, pouvant engager la responsabilit civile ou pnale de leurs auteurs et/ou de la Direction Gnrale et la Direction des TIC

De vous mettre en conformit avec la loi. Cette charte doit galement informer les Utilisateurs de lexistence de dispositifs de contrle et dventuelles sanctions. Voici un extrait de cette charte :

4 Source CLUSIF



28

3.2 PHASE 2 Plans Oprationnels de Scurit Le plan oprationnel est obligatoirement prcd d'un plan stratgique (voir la phase 1 ci-dessus) dans la mesure o la dfinition d'une mtrique des risques et une classification des ressources sont indispensables, quelle que soit l'importance de l'entreprise considre, l'valuation des risques et la dtermination objective des besoins en services de scurit. L'laboration d'un plan oprationnel de scurit rsulte soit :

de la dcision d'une unit indpendante ou d'un responsable d'activit (cas des petites entreprises, professions librales, etc.). Dans ce cas, on peut considrer que, bien que faisant l'objet d'tapes pralables spcifiques (imprativement la dfinition de la mtrique des risques et la classification des ressources), le plan stratgique sera pratiquement intgr dans le plan oprationnel,

de la dcision d'une unit autonome, qui devra se plier aux exigences dfinies dans le plan stratgique aux fins de coordination et de cohrence,

de la mise en oeuvre de la politique de scurit dcide au niveau central et dont le plan oprationnel est un des composants.

Le plan oprationnel peut tre labor :

soit partir d'une approche analytique base sur un audit des services de scurit en place assur principalement, parce que ce sont eux qui en ont la meilleure connaissance, par des techniciens,

soit partir d'une valuation des facteurs de risque, c'est dire d'une apprciation de leur incidence sur la gravit du risque. Une telle approche globale, fait d'abord appel l'apprciation et au raisonnement des utilisateurs des systmes informatiques.



29

Source CLUSIF Nous utilisons l'approche analytique avec le logiciel RISICARE qui supporte la mthode MEHARI.

Expositionnaturelle- attrait

- ciblage

rduisent

Mesuresstructurelles- localisation- architecture- organisation

augmentent

augmentent Potentialit

caractrisent

caractrise

Mesuresdissuasives- identification- journalisation

- sanctions

Mesuresprventives

- contrle d'accs- dtection

- interception

Risque del'agresseur

- tre identifi- sanction

Moyensrequis

- matriels-intellectuels

- temps

caractrise

Approcheanalytique :

audit desservices de

scurit

Approcheglobale :

valuation des facteurs

de risque

Consquencesdirectes

- matrielles- donnes

rduisent

Mesuresde protection

- dtection- intervention

- non propagation

rduisent

rduisent Impact

caractrisent

caractrisent

Mesurespalliatives

- restauration- reconfiguration

- secours

Mesuresde rcupration

- assurances- actions en justice

Consquencesindirectes

- oprationnelles- financires

- image

Pertesfinales

- financires

caractrisent

Gravitdu risque

Valeurs des ressources :Classification



30

Mtrique


Politique de

scurit


Audit de l'exis tant


Phase 2 - Unit X



Charte demanagem ent


des ressources


Prlim inaire :

dom aine couvert, base de scnarios, reprise de classif ication, dcomposition cellulaire..



des scnarios

Elaboration d'un tableau de bord

de la scurit de l'entreprise


5

3.2.1 Prliminaire

3.2.1.1 Etape 1 : Dfinir le domaine couvert ou primtre de l'tude Le domaine couvert par l'tude la demande de la Direction Gnrale est l'entreprise SENILOM avec :

les 2 sites, les locaux techniques au sige Courbevoie et Abbeville, le centre de production Abbeville, les rseaux locaux au sige Courbevoie et Abbeville, Le rseau tendu "Global Intranet" FT Les serveurs Les applications GESCOM et GESPER

3.2.1.2 Etape 2 : Base de scnarios Lors de la runion avec la Direction Gnrale et les Directions Oprationnelles, nous avons dcid de garder la base de scnarios telle que et de tenir compte des propositions qui sera fait par le logiciel RISICARE.

3.2.1.3 Etape 3 : Raliser la dcomposition cellulaire Dans une entreprise comme Senilom possdant plusieurs sites et plusieurs systmes informatiques, les rponses aux questions daudit seront diffrentes selon les lments audits. La ralisation de laudit doit mettre en lumire toutes ces diffrences afin davoir une vue relle de la vulnrabilit des systmes existants. Cette tche est facilite par la dcomposition cellulaire. Les services de scurit (et donc les questions appartenant ces services) sont rassembls dans des types de cellules au niveau de la base de connaissances, ce qui facilite lidentification du profil des rpondants (un type de cellule rassemblant les questions destines un profil de rpondant). Concrtement la question se poser pour chacun de ces groupes de questions est : combien dois-je faire de photocopies de ce paquet de questions pour aller voir les rpondants qui apporteront des rponses diffrentes ces questions. On aboutit ainsi au nombre de cellules que doit contenir chaque type de cellule, ce travail aboutissant la dcomposition cellulaire. 5 Source CLUSIF



31

Nous avons retenu pour l'entreprise Senilom la dcomposition suivante : Entit : Entreprise SENILOM Sites : Sige social situ COURBEVOIE (92) Usines ABBEVILLE Locaux : Local Technique Sige Courbevoie Local Technique Abbeville Centre de Production d'Abbeville Bureaux Sige Courbevoie Bureaux Usine Abbeville Architecture rseaux et tlcom : Rseau Local Sige Courbevoie Rseau Local Usine d'Abbeville Rseau tendu "Global Intranet" FT Exploitation rseaux et tlcom : Exploitation rseaux et tlcom Architecture des systmes Serveur IBM Serveur mtier Serveur Messagerie Production Informatique Exploitation des serveurs Applications oprationnelles Application GESCOM Application GESPER Dveloppements Application GESCOM Application GESPER La dcomposition cellulaire sera prpare par le logiciel RISIBASE pour personnaliser la base de connaissances CLUSIF ; et servira l'tude de risques par le logiciel RISICARE comme ci-aprs :



32



33

3.2.1.4 Etape 4 : Reprise de la classification Nous reprenons la classification des ressources du chapitre "3.1.2.6 Etape 6: Classifier les ressources" trait plus dans le document Dans le logiciel RISICARE et pour chaque cellule, nous entrons les valeurs D, I, C.



34

Mtrique


Politique de

scurit


Audit de l'existant


Phase 2 - Unit X



Charte demanagement


des ressources





des scnarios



6

3.2.2 Audit de l'existant

Source CLUSIF

3.2.2.1 Etape 1 : Raliser l'audit Pour chaque cellule, on rencontre la ou les personnes concernes par celle-ci et ayant le profil associ au type de cellule auquel appartient cette cellule. Les questions d'audit tant dichotomiques, le rpondant doit indiquer une rponse OUI ou NON pour chaque question (en cas d'hsitation ou de rponse partiellement affirmative, on choisira de rpondre NON par prudence). Les questions d'audit ne concernant pas l'tude (hors sujet), le rpondant doit indiquer une rponse "Sans Objet" (S.O.). Dans l'tude de cas, l'ensemble des questionnaires sera prpar, l'exception des cellules concernant l'architecture des rseaux et tlcom et l'exploitation des rseaux, qui sera dvelopp dans le chapitre "Travaux Pratiques". Dans le logiciel RISICARE, nous validons les rponses des questionnaires en cliquant dans la zone "Votre rponse" sur les boutons "Oui, Non, Sans objet" comme sur la figure ci-aprs.

6 Source CLUSIF



35

3.2.2.2 Etape 2 : Produire le rsultat d'audit Les rponses apportes aux questions sont consolides en vue d'obtenir une note pour le sous service auxquelles elles appartiennent. Ce calcul fait intervenir une moyenne pondre norme de 0 4 plus, ventuellement, une notion de seuil maximum et minimum. Le seuil Max est utilis pour les questions indispensables au sein d'un sous service, il correspond la limite maximum de niveau de qualit que peut atteindre le sous service lorsqu'on a rpondu Non ces questions. A l'inverse le seuil Min est utilis pour les questions suffisantes au sein d'un sous service, il correspond la note minimale atteinte lorsqu'on a rpondu Oui ces questions. Naturellement si plusieurs questions au sein d'un sous service dclenchent des seuils Max diffrents, on retiendra le seuil MAX le plus faible. A l'inverse si plusieurs questions au sein d'un sous service dclenchent des seuils Min diffrents, on retiendra le seuil MIN le plus lev. En cas de conflit entre seuil MAX et MIN (c'est dire un dclenchement de seuil MAX de valeur infrieure celle d'un dclenchement de seuil MIN), c'est le seuil MAX qui prvaudra. Ces rsultats d'audit peuvent tre utiliss pour produire des tableaux de vulnrabilit pour chacune des cellules et pour construire des graphiques associs (rosaces ou plus gnralement tout graphe classiquement utilis pour reprsenter un ensemble de valeurs).



36

Ces tableaux et graphiques permettent un reporting sur la vulnrabilit de la socit. Bien que ce ne soit pas la finalit de la mthode MEHARI, cela nous facilite la comparaison de diverses cellules du mme type et nous permettra un suivi dans le temps de cette vulnrabilit. titre d'exemple, la cotation des services et sous services pour la cellule site "Usine Abbeville" sera :

titre d'exemple, les graphiques fournis par le logiciel RISICARE pour la cellule site "Usines Abbeville" seront :

Le logiciel RISICARE propose une palette tendue de type de graphiques, ainsi qu'une personnalisation possible (tiquette, couleurs, etc..).



37

Mtrique


Politique de

scurit


Audit de l'existant


Phase 2 - Unit X



Charte demanagement


des ressources





des scnarios



7

3.2.3 Evaluation de la gravit des scnarios

3.2.3.1 Etape 1 : La rplication d'un scnario type La base de connaissances MEHARI nous donne une liste de scnarios types ainsi que les six formules indiquant les sous services utiliss pour chaque type de mesure (Structurelle, Dissuasive, Prventive, de Protection, Palliative, de Rcupration).

Source CLUSIF Base de Connaissances v2.5

Par exemple pour le scnario 6.22: Altration de donnes ayant pour cause une erreur de saisie et pour origine lors de la saisie, nous avons pour quantifier les mesures structurelles la formule : MIN (01B05, 01C01), cela signifie que les sous services 01B05 : "Sensibiliser et former la scurit" et 01C01: "Motiver le personnel" sont impliqus dans la quantification de ces mesures structurelles. Quand on regarde l'ensemble des sous services impliqus dans la quantification des six types de mesures pour ce scnario, on constate qu'ils appartiennent au type de cellule Entit, Production Informatique et Scurit Applicative, nous dirons donc que ce scnario s'appuie pour se raliser sur ces trois types de cellules. 7 Source CLUSIF



38

Comme nous avons dans notre dcomposition cellulaire, 1 entit et 2 domaines techniques (Production informatiques et scurit applicative), nous avons deux possibilits de ralisation de ce scnario (rsultat de toutes les combinaisons possibles de cellules). C'est ce que nous appelons la rplication d'un scnario type issu de la base de connaissances dans les cellules, il conviendra de quantifier l'ensemble des scnarios jugs pertinents.

3.2.3.2 Etape 2 : Calcul de l'efficacit Pour un scnario type et les cellules associes (par exemple le scnario 622 vu prcdemment se ralisant dans les cellules Entit et Production Informatique et Scurit Applicative), on calcule pour chaque type de mesure (Structurelle, Dissuasive, Prventive, de Protection, Palliative, de Rcupration), l'efficacit de celle-ci : EFF-STRU, EFF-DISS, EFF-PREV, EFF-PROT, EFF-PALL, EFF-RECUP. Pour cela, on utilise les formules associes chaque type de mesure du scnario type tudi.

Pour notre scnario, lefficacit des mesures de protection est gale 2.



39

3.2.3.3 Etape 3 : Calcul des status dtaills

La valeur de chaque efficacit doit tre ajuste afin dobtenir les 6 STATUS : STATUS-EXPO, STATUS-DISS, STATUS-PREV, STATUS-PROT, STATUS-PALL, STATUS-RECUP.

3.2.3.4 Etape 4 : Calcul de la potentialit On dduit la potentialit STATUS-P partir des trois STATUS de potentialit (STATUS-EXPO, STATUS-DISS, STATUS-PREV) en utilisant la grille correspondant au type de scnario (P-MALVEILLANCE, P-ERREUR, P-ACCIDENT). Le scnario 06.22 : Altration de donnes par erreur lors de la saisie est de type Erreur.

Source CLUSIF Base de Connaissances v2.5

Avec : STATUS-EXPO = 1 STATUS-PREV = 2 La potentialit est donc gale 2.



40

3.2.3.5 Etape 5 : Calcul de la rduction d'impact On dduit la rduction dimpact STATUS-RI partir des trois STATUS d'impact (STATUS-PROT, STATUS-PALL, STATUS-RECUP) en utilisant la grille correspondant la nature du scnario (RI_DISPONIBILITE, RI_INTEGRITE, RI_CONFIDENTIALITE). Le scnario 06.22 : Altration de donnes par erreur lors de la saisie est de nature Intgrit.

Source CLUSIF Base de Connaissances V2.5

On obtient : STATUS-PROT = 2 STATUS-PALL = 2 STATUS-RECUP = 4 La rduction dimpact est donc gale 3.



41

3.2.3.6 Etape 6 : Calcul de l'impact On dtermine l'impact STATUS-I partir du STATUS-RI et de la classification (valeur) de la ressource en utilisant la grille valide par la Direction Gnrale dans le Plan Stratgique Scurit correspondante :

Sachant que le STATUS-RI = 3, et que la ressource Application GESPER a une valeur gale 2, on obtient un impact gal 2.

3.2.3.7 Etape 7 : Calcul de la gravit On dduit la valeur de la gravit du sinistre en fonction du STATUS-P et du STATUS-I en utilisant la grille daversion aux risques.

Source CLUSIF



42

Sachant que le STATUS-P = 2 et le STATUS-I = 2, on obtient une gravit gale 2 pour le scnario 06.22 : Altration de donnes par erreur lors de la saisie .

Mtrique


Politiquede

scurit


Audit del'existant


Phase 2 - Unit X



Charte demanagement


des ressources





des scnarios


Choix d'inidicateursreprsentatifs

8

3.2.4 Expression des besoins de scurit Les besoins de scurit sont dduits de l'valuation de la gravit des scnarios et de l'apprciation, aussi objective que possible des services de scurit ayant une influence sur cette gravit. Le premier souci de tout gestionnaire sera, naturellement, de rduire, s'il ne peut les supprimer, les risques insupportables (d'abord) puis inadmissibles, jusqu' ce que le niveau du sinistre potentiel passe sous la barre du seuil fix comme ne devant pas tre franchi. L'expression des besoins de scurit sera donc, d'abord, l'expression des besoins de mesures spcifiques rpondant aux risques majeurs (insupportables puis inadmissibles) dcoulant de l'tude des scnarios les plus graves. Mais, s'il est impratif de rduire ces risques majeurs, il est galement important de veiller ce que chaque entit applique des mesures de scurit gnrale qui soient conformes aux choix dfinis par la politique de l'entreprise et rpondent ses risques courants. C'est pourquoi l'expression des besoins se traduira, outre la mise en place des mesures spcifiques au domaine tudi, par un ensemble de mesures rsultant d'une comparaison entre le niveau de qualit des mesures en place et le niveau spcifi par la politique de scurit de l'entreprise.

3.2.4.1 Etape 1 : L'expression des besoins de mesures spcifiques Toutes les mesures requises ne peuvent tre mises en place et en mme temps. Une hirarchisation et une chronologie s'imposent, fonctions elles-mmes des services de scurit qui les assurent et des possibilits existantes de les mettre en place ou de les amliorer. Les choix retenir pourraient tre le rsultat d'une analyse scnario par scnario mais compte tenu de l'ampleur du domaine tudi, cela conduirait vraisemblablement des choix non optimiss.

8 Source CLUSIF



43

Partant du fait que l'efficacit des mesures retenues pour rpondre aux risques majeurs est fonction de la qualit des services de scurit qui y contribuent, MEHARI propose une autre solution qui consiste valuer le besoin de chacun des services appels pour assurer les diffrentes mesures spcifiques retenues.

Au niveau de chaque cellule, le "BESOIN DE SERVICE" est l'expression de la ncessit de ce service face un scnario donn. I Le "besoin de service", pour un service spcifique et vis vis d'un scnario donn, sera d'autant plus important :

que son efficacit (traduite par son coefficient d'efficacit), pour ce scnario, sera forte, que la gravit du scnario considr sera leve. que la qualit actuelle du service sera faible

Ainsi, pour un service i face un scnario k, le besoin de service sera calcul par la formule : BS ik = eik * Gk * (4-i) dans laquelle :

BS = besoin de service pour le service i face au scnario k eik = coefficient d'efficacit du service i face au scnario k Gk = gravit du scnario k i = qualit du service i; [(4-i) en tant donc le complment 4]

Source CLUSIF Par exemple : Si le service i est jug trs efficace vis vis du scnario k, ce que les rgles de calcul traduiront par un coefficient de 2, si la gravit du scnario k est estime 3 et si la qualit actuelle du service i vis vis de ce scnario est de 1, le Besoin de service est valu : 2x3x(4-1) = 18. Pour l'ensemble des cellules de l'entit tudie, le besoin de service pour un service i donn, qui doit participer la scurit vis vis des scnarios envisags, est valu par sommation des besoins de service de chaque service vis vis de chaque scnario, ce qui se traduit par la formule : BSi = k BSik Ainsi, trs logiquement, on obtient un besoin de service BSi d'autant plus important :

que le service a t demand par de nombreux scnarios, que ces scnarios sont graves, que le service peut avoir une influence directe sur la gravit des scnarios (et qu'au moment de l'valuation, il n'est pas ou peu oprationnel).

Cependant le choix d'installer un tel service peut ne pas tre cohrent avec le choix pris pour l'ensemble de l'entreprise au niveau du Plan Stratgique Scurit. Lorsque l'on a dfini la Politique de scurit. Aussi MEHARI propose t'elle la dmarche suivante :

Trier les scnarios pour faire apparatre en premier ceux faisant appel aux services ayant le plus fort besoin global,

Dterminer, par rfrence aux directives de politique gnrale, si ce service peut tre retenu. Une rponse ngative peut ventuellement entraner une remise en cause de la politique gnrale.



44

Dans l'affirmative, valuer le niveau de qualit du service, en fonction des dcisions prises le concernant (adjonction, modification des mcanismes)

R estimer les gravits rsultantes et les nouveaux Besoins de service, Recommencer le processus.

Avec le logiciel RISICARE les tapes fastidieuses dcrites ci-dessus sont traites de faon automatique. Aprs le choix du scnario 6.22 Altration de donnes par erreur lors de la saisie .

Pour mmoire le rappel des diffrentes mesures permettant de rduire l'impact et la potentialit du scnario 6.22 Altration de donnes par erreur lors de la saisie



45

Le logiciel RISICARE quantifiera l'expression des besoins de scurit pour les mesures spcifiques suivantes :

Comme l'tude de cas traite de deux applications oprationnelles :

Application GESCOM Application GESPER

Chaque services ou sous services du domaine de la scurit applicative sont doubls Le plan d'action scurit dfinit la priorit des actions mener en fonction de la gravit des consquences des scnarios auxquelles elles s'opposent. Ainsi seront prioritaires les actions rpondant aux sinistres insupportables (dont la ralisation mettrait l'entreprise en pril) puis inadmissibles (dont le rsultat aurait des consquences ngatives qui dpasseraient un seuil critique fix). A partir de maintenant nous pourrons laborer le plan d'action des mesures spcifiques soit de faon manuelle soit de faon automatique, en redressant les notes des questions de chaque sous service impliqu. En manuel nous aurons :



46

Nous rpondrons alors chaque question comme ceci, avec la possibilit de quantifier le cot pour chaque question.



47

Quand l'ensemble des questions concernant un sous service sera rpondu, le logiciel RISICARE fournira alors les informations suivantes :

Et ainsi de suite pour l'ensemble des sous services traiter dans les besoins de scurit. Le logiciel fournira les informations suivantes en fonction bien sr des rponses valides par la direction oprationnelle et des budgets estims. A ce niveau, le budget est globalis, il contiendra la partie investissements, les frais de fonctionnements, les charges, les cots d'implmentation par des ressources humaines internes ou externes, etc...

L'ensemble des besoins est trait (vide) Plan d'action avec ordre des priorits Budget global



48

3.2.4.2 Etape 2 : L'expression des besoins de mesures gnrales Hors l'imprative ncessit de rpondre aux besoins spcifiques dcoulant de la ncessit de combattre les risques majeurs jugs graves, l'entreprise se doit de satisfaire les conditions gnrales de scurit rpondant aux risques dits courants, gnralement rpertories dans un "Code de scurit gnrale" pouvant tre labor en s'appuyant sur la norme ISO/IEC 17799 "Code of pratice for information security management". Remarque : Dans le cadre de l'tude de cas, le traitement des mesures gnrales se fera partir du rfrentiel existant "La politique globale de la scurit de l'entreprise SENILOM, vrifie et valide lors du Plan Stratgique Scurit. La comparaison entre le niveau de qualit des mesures gnrales observ et le niveau de qualit spcifi par la politique de l'entreprise permet de dduire les actions ncessaires conduire. Nous aurons l'expression des besoins de mesures gnrales traites pour chaque type de cellules et par scnario choisi. Par exemple : pour l'entit "Entreprise SENILOM" nous aurons :

Pour la cellule scurit de la Production Informatique "Exploitation des serveurs" nous aurons :



49

Pour la cellule scurit applicative "Application GESCOM" nous aurons :

Pour laborer le plan d'action des mesures gnrales, nous prendrons en compte les contraintes organisationnelles, techniques mais aussi financires. Pour l'ensemble des mesures gnrales nous pourrons traiter les sous services traitant des aspects lgaux ou rglementaires (preuve et contrle, traabilit, auditabilit, ). Pour l'tude de cas concernant une PME (l'entreprise SENILOM), nous traiterons les sous services suivants :

08F01 Identification de l'origine (signature, .),



50

08F06 Localisation d'un vnement dans le temps (horodatage, ), 08F05 Notarisation (anti-rpudiation)

Ce chapitre "3.2 PHASE 2 Plans Oprationnels de Scurit" devra tre effectu pour chaque unit oprationnelle de l'entreprise en fonction :

de sa structure, de sa rpartition gographique, de son statut juridique (filiale, ..), etc.

Remarque : Dans certains cas, l'tude peut tre initialise par une direction oprationnelle pour son primtre, le Plan Stratgique Scurit n'tant pas initialis au niveau de l'entreprise, devra tre intgr dans l'tape "Prliminaire" vu au chapitre 3.2.1 ci-dessus. Le droulement du Plan Stratgique Scurit dans la phase prliminaire devra tre fait avec un recul pour que la validation des mtriques et des objectifs de scurit soit applicable l'ensemble de l'entreprise.



51

3.3 PHASE 3 Plans Oprationnels d'Entreprise

Le Plan Oprationnel dEntreprise (POE) est la consolidation des actions de scurit engages dans chaque unit. Cest dans cette phase que lon doit positionner des indicateurs de scurit pour suivre lvolution du niveau de scurit globale de lentreprise. Ces indicateurs permettront de surveiller les points sensibles ou nvralgiques de lentreprise et la Direction Gnrale de suivre lvolution du niveau global de scurit en fonction de objectifs dfinis. Le POE donnera lieu ltablissement dun tableau de bord et pourra aussi tre loccasion dun quilibrage entre les units de lentreprise. Remarque : Si de nouveaux besoins apparaissent (en raison de la vie mme de lentreprise) la politique et les objectifs de scurit doivent tre modifis et les phases 1 3 ritres.



52


Politiquede

scurit


Audit del'existant


Phase 2 - Unit X



Charte demanagement


des ressources


Etape prparatoire :domaine couvert, base de scnarios, reprise de classification, ..



des scnarios



9

3.3.1 Choix d'indicateurs reprsentatifs En raison des objectifs de scurit dfinis par la Direction Gnrale en phase 1 (PSS) le choix des indicateurs portera sur les scnarios suivants : Pour assurer la production :

01.12 Dpart de personnel stratgique d'exploitation Ce scnario concerne directement les ressources humaines

02.21 Incendie dans une corbeille papier Ce scnario concerne directement les locaux

Pour assurer la confidentialit et lintgrit des secrets de fabrication :

05.14 Bombe logique dans un logiciel par un utilisateur Ce scnario concerne directement les traitements informatiques

10.51 Perte de fichiers par vol dans un bureau Ce scnario concerne directement les structures support

Pour assurer la disponibilit des moyens de communications avec l'usine :

01.23 Accidents ou panne grave rendant indisponible une ressource matrielle informatique (serveur, rseau, LAN, WAN, etc.) Ce scnario concerne directement les traitements informatiques

Pour assurer la mise jour du programme de production :

04.12 Destruction malveillante d'un logiciel par une personne non autorise Ce scnario concerne directement les traitements informatiques

06.22 Altration de donnes par erreur lors de la saisie Ce scnario concerne directement les donnes

D'autres indicateurs peuvent tre choisis partir de l'ouvrage du CLUSIF "Indicateurs de Scurit publis en 2001.

9 Source CLUSIF



53


Politiquede

scurit


Audit del'existant


Phase 2 - Unit X



Charte demanagement


des ressources


Etape prparatoire :domaine couvert, base de scnarios, reprise de classification, ..



des scnarios



10

3.3.2 Elaboration d'un tableau de bord de la scurit de l'entreprise

Le tableau de bord pourra permettre dapprcier par exemple la gravit des scnarios retenus l'tape prcdente. Lapprciation du niveau de cette gravit sera ractualise une frquence dtermine par l'entreprise

Le logiciel RISICARE fourni un tableau de bord bas sur la gravit initiale et finale par famille de scnarios.

Une reprsentation graphique du tableau bord est possible :

10 Source CLUSIF



54

D'autre tableau de bord avec des indicateurs spcifiques11 avec le temps d'indisponibilit et/ou retour une situation normale pourra tre fourni vers la direction sous la forme suivante :

03/2003 04/2003Nombre Temps (H) Nombre Temps (H)

Nombre d'incidents lis au mot de passe 7 3 7 3Nombre de tentatives infructueuses de connexions sur le systme 4 4 9 9

Nombre de tentatives d'intrusion 5 2 2 1Nombre de blocage du logiciel mtier 10 15

CasPratiqueMehari_Senilom

Documents

Transcript of CasPratiqueMehari_Senilom