Guide Homologation de Securite en 9 Etapes

LHOMOLOGATION DE SCURITen neuf tapes simples

1Pourquoi lhomologation de scurit ?

Lorsquun responsable (autorit administrative, lu, dirigeant dentreprise) dcide de faire dmnager ses quipes dans de nouveaux locaux ou douvrir un tablissement recevant du public, il sassure que les lieux sont conformes la rglementation et que les btiments sont solides, afin que lensemble puisse fonctionner en toute scurit pour les personnes et les biens. Il doit sen assu-rer mme sil nest pas un spcialiste de la construction et il sappuie pour cela sur des garanties et des arguments ports sa connaissance par des experts du domaine.

En matire dinformatique, lhomologation de scurit joue le mme rle. Elle permet un responsable, en sappuyant sur lavis des experts, de sinformer et dattester aux utilisateurs dun systme dinformation que les risques qui psent sur eux, sur les informations quils manipulent et sur les services rendus, sont connus et matriss. Lhomologation est dautant plus ncessaire, aujourdhui, que les systmes dinformation sont de plus en plus complexes et que les impacts potentiels dun incident sont de plus en plus graves.

La dmarche dhomologation, recommande depuis plusieurs annes par lAgence nationale de la scurit des systmes dinformation (ANSSI), est donc un pralable linstauration de la confiance dans les systmes dinformation et dans leur exploitation.

Pour un certain nombre de systmes, cette recommandation est rendue obliga-toire par des textes, tels que linstruction gnrale interministrielle n1300, le rfrentiel gnral de scurit (RGS) et la politique de scurit des systmes dinformation de ltat (PSSIE).

2Quest-ce quune homologation de scurit ?

En informatique, comme dans les autres domaines, le risque zro nexiste pas. La dmarche dhomologation de scurit est destine faire connatre et faire comprendre aux responsables les risques lis lexploitation dun systme din-formation.

Il sagit dun processus dinformation et de responsabilisation qui aboutit une dcision, prise par le responsable de lorganisation. Cette dcision constitue un acte formel par lequel il:

atteste de sa connaissance du systme dinformation et des mesures de scurit (techniques, organisationnelles ou juridiques) mises en uvre;

accepte les risques qui demeurent, quon appelle risques rsiduels.

La dcision sappuie sur lensemble des documents que le responsable estime ncessaire et suffisant sa prise de dcision.

La dmarche dhomologation doit tre adapte aux enjeux de scurit du sys-tme, notamment au contexte demploi, la nature des donnes contenues, ainsi quaux utilisateurs:

dans les cas de systmes complexes ou fort enjeu de scurit, il est sou-haitable que le responsable sentoure dexperts techniques et fonctionnels (la commission dhomologation). Il peut dlguer la prise de dcision lun de ses reprsentants qui prsidera ce comit dexperts;

dans le cas de systmes simples, le responsable peut mettre en place des procdures simplifies associant un nombre plus limit dacteurs.

3Comment homologuer un systme dinformation ?

La dmarche dhomologation peut tre dcompose en neuf tapes, dont la mise en uvre est directement lie la complexit du systme homologuer.

Les questions poses lors de ces neuf tapes permettent de constituer un dossier, sur lequel lautorit dhomologation sappuie pour prendre sa dcision.

Dfinition de la stratgie dhomologation

tape n1: Quel systme dinformation dois-je homologuer et pourquoi?Dfinir le rfrentiel rglementaire applicable et dlimiter le primtre du systme homologuer.tape n2: Quel type de dmarche dois-je mettre en uvre?Estimer les enjeux de scurit du systme et en dduire la profondeur ncessaire de la dmarche mettre en uvre.tape n3: Qui contribue la dmarche?Identifier les acteurs de l homologation et leur rle (dcisionnaire, assistance, expertise technique, etc.).tape n4: Comment sorganise-t-on pour recueillir et prsenter les infor-mations?Dtailler le contenu du dossier dhomologation et dfinir le planning.

Matrise des risques

tape n5: Quels sont les risques pesant sur le systme?Analyser les risques pesant sur le systme en fonction du contexte et de la nature de l organisme et fixer les objectifs de scurit.

4tape n6: La ralit correspond-elle lanalyse?Mesurer l cart entre les objectifs et la ralit.tape n7: Quelles sont les mesures de scurit supplmentaires mettre en uvre pour couvrir ces risques?Analyser et mettre en uvre les mesures ncessaires la rduction des risques pesant sur le systme dinformation. Identifier les risques rsiduels.

Prise de dcision

tape n8: Comment raliser la dcision dhomologation?Accepter les risques rsiduels: l autorit dhomologation signe une attestation formelle autorisant la mise en service du systme dinformation, du point de vue de la scurit.

Suivi a posteriori

tape n9: Quest-il prvu pour maintenir la scurit et continuer de lam-liorer?Mettre en place une procdure de rvision priodique de l homologation et un plan daction pour traiter les risques rsiduels et les nouveaux risques qui apparatraient.

5Table des matires

Objectifs de lhomologation de scurit

tape n1: Quel systme dinformation dois-je faire homologuer et pourquoi?tape n2: Quel type de dmarche dois-je mettre en uvre?tape n3: Qui contribue la dmarche?tape n4: Comment sorganise-t-on pour recueillir et prsenter les informations?tape n5: Quels sont les risques pesant sur le systme?tape n6: La ralit correspond-elle lanalyse?tape n7 : Quelles sont les mesures de scurit supplmentaires pour couvrir ces risques?tape n8: Comment raliser la dcision dhomologation?tape n9: Quest-il prvu pour continuer damliorer la scurit?

Conseils pratiques

Annexe1 : Estimation rapide du besoin de scurit dun systme dinformationAnnexe2: Estimation rapide du niveau de maturit de lorganismeAnnexe3: Liste des documents pouvant tre contenus dans un dos-sier dhomologationAnnexe 4 : Liste de menaces, issue de la base de connaissance EBIOS

7

9

131723

293337

4145

48

52

5961

71

7Objectifs de lhomologation de scurit

En informatique, comme dans les autres domaines, le risque zro nexiste pas.

Lobjectif de la dmarche dhomologation dun systme dinformation (SI) est de trouver un quilibre entre le risque acceptable et les cots de scurisation, puis de faire arbitrer cet quilibre, de manire formelle, par un responsable qui a autorit pour le faire.

Cette dmarche permet damliorer la scurit pour un cot optimal, en vitant la sur-scurit, mais en prenant galement en compte le cot dun ventuel incident de scurit. Elle permet de sassurer que les risques pesant sur le SI, dans son contexte dutilisation, sont connus et matriss de manire active, prventive et continue.

La dmarche dhomologation doit sintgrer dans le cycle de vie du sys-tme dinformation. Elle comprend plusieurs tapes cls, dtailles au sein du prsent document. Il est ncessaire de les suivre en mme temps que les phases de dveloppement du systme: opportunit, faisabilit, conception, ralisation, validation, exploitation, maintenance et fin de vie. En outre cette dmarche doit tre lance suffisamment tt, afin de pouvoir dterminer les exigences de scurit qui seront intgres dans les cahiers des charges de dveloppement ou dacquisition.

La dcision dhomologation est le rsultat du processus. Son objet est de vrifier que le responsable a analys les risques de scurit et a mis en uvre les dispositifs adapts la menace.Le terme homologation recouvre donc deux notions distinctes:

la dmarche dhomologation, avant tout destine faire connatre et faire comprendre aux responsables les risques lis lexploitation dun systme dinformation. Elle se conclut par une dcision, soutenue par la constitution et lanalyse dun dossier de scurit;

la dcision formelle dhomologation (galement appele attestation for melle).

8Se lancer dans une dmarche dhomologation est relativement simple: il sagit de vrifier que la scurit na pas t oublie avant la mise en place du systme dinformation et dappliquer les mesures de scurit ncessaires et proportion-nes.

Les neuf tapes simples prsentes dans ce document permettront un chef de projet ou un comit de pilotage SSI de prparer un dossier dhomolo-gation et de le prsenter au responsable, dsign autorit dhomologation.

Lautorit dhomologation pourra alors prendre une dcision claire sur la base de ce dossier, qui doit apporter des rponses pertinentes lensemble des questions quelle se pose.

Quel systme dinformation dois-je faire homologuer et pourquoi ?

1tape n

10

QUEL SYSTME DINFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?

Durant la premire tape, vous allez prciser le rfrentiel rglemen-taire applicable et dlimiter le primtre du systme homologuer.

1 . Prciser le rfrentiel rglementaire

La dmarche dhomologation est recommande depuis plusieurs annes par lAgence nationale de la scurit des systmes dinformation (ANSSI). Pour un certain nombre de systmes, cette recommandation est rendue obligatoire par:

linstruction gnrale interministrielle n 1300 (IGI 1300), pour les systmes traitant dinformations classifies de dfense;

le rfrentiel gnral de scurit (RGS), pour les systmes permettant des changes entre une autorit administrative et les usagers ou entre autorits administratives;

la politique de scurit des systmes dinformation de ltat (PSSIE), pour les systmes des administrations de ltat.

Il est indispensable de dterminer quel titre le systme dinformation doit tre homologu. En effet, mme si la dmarche dhomologation reste identique dans tous les cas, le rfrentiel rglementaire constitue un lment crucial pour la dlimitation du primtre et la constitution du dossier dhomologation.

2 . Dlimiter le primtre du systme

Le primtre du systme dinformation homologuer doit comporter tous les lments indispensables au fonctionnement du systme. La dlimitation du p-rimtre ne doit comporter aucune ambigut, car elle permet de dterminer et de caractriser prcisment les systmes qui seront homologus. La description de ce primtre comprend:

des lments fonctionnels et dorganisation : fonctionnalits du sys-


tme, type dutilisateurs, contexte et rgles demploi, procdures forma-lises, conditions demploi des produits de scurit, gestion des droits, dispositifs de dtection et de gestion des incidents;

des lments techniques: architecture du systme (en prcisant notam-ment les interconnexions avec dautres systmes), possibilit dutilisation de supports amovibles, daccs distance ou de cloisonnement, mca-nismes de maintenance, dexploitation ou de tlgestion du systme, notamment lorsque ces oprations sont effectues par des prestataires externes;

le primtre gographique et physique: localisations gographiques et caractristiques des locaux.

Le primtre peut voluer au cours de la dmarche dhomologation, mais il est recommand daboutir rapidement une dlimitation stable de celui-ci. Il est galement recommand dappliquer une dmarche dhomologation pour chaque service applicatif ou systme dinformation.

Les questions qui se posent la premire tape

Le systme dinformation est (ou sera) compos de certaines briques matrielles et logicielles que je ne matrise pas, car je les achte un industriel, un diteur ou un intgrateur. Comment garantir leur niveau de scurit?Lorsque ces briques sont des composants essentiels de scurit, elles doivent de pr-frence faire l objet dune labellisation de scurit (qualification ou dfaut certi-fication).Lorsque ces briques sont des composants essentiels de la fonction applicative, il faut

11

12


exiger auprs du fournisseur un cahier de scurit, qui offre des garanties, prcise les conditions demploi et dfinit des rgles de scurit. Le cas chant, des audits de code peuvent tre raliss (cf. tapes suivantes).Ces documents sont verss au dossier dhomologation du systme.

Plusieurs services applicatifs, ncessitant chacun une homologa-tion, sont hbergs sur une mme plate-forme technique avec des ressources mutualises. Dois-je inclure la plate-forme dans toutes les homologations?Dans ce cas, il est recommand dhomologuer sparment la plate-forme technique, en tudiant les risques qui lui sont propres et qui impactent potentiellement tous les services applicatifs quelle hberge.

Jaurais d faire homologuer le systme dinformation avant sa mise en service, mais je ne lai pas fait et le service est oprationnel. Est-il trop tard?Non. La dmarche dhomologation doit sinscrire dans un processus itratif dam-lioration continue de la scurit. Il est prfrable et plus efficace de la dmarrer avant les phases de dveloppement et dintgration, mais si le service est dj op-rationnel, les objectifs de l homologation restent les mmes.Le contenu du dossier dhomologation sera lgrement diffrent et certaines mesures de scurit ne pourront tre mises en uvre que lors des prochaines volutions du systme.Si les risques identifis sont trop importants et que les mesures de scurit sont impossibles mettre en uvre, il faut envisager l arrt du service.

Quel type de dmarche dois-je mettre en uvre ?

2tape n

14

QUEL TYPE DE DMARCHE DOIS-JE METTRE EN UVRE ?

Durant la deuxime tape, vous allez dfinir le niveau de profondeur de la dmarche dhomologation, afin que celle-ci soit adapte aux en-jeux de scurit du systme, dune part, et aux capacits de votre orga-nisme la mener, dautre part.

La dmarche la plus adapte lhomologation du systme doit tre dfinie en fonction du contexte, du niveau de complexit et de criticit du systme, du niveau de sensibilit des donnes hberges et du niveau de maturit en matire de SSI de lorganisme qui met en uvre lhomologation.

1 . Autodiagnostiquer les besoins de scurit du systme et le niveau de maturit SSI de lorganisme

Deux outils dautodiagnostic vous sont proposs. Ils sont dtaills en annexe du prsent document.

Lannexe1 permet dvaluer les besoins de scurit du systme dinforma-tion homologuer, en estimant la gravit des consquences potentielles dune dfaillance du SI, la sensibilit des donnes, le degr dexposition aux menaces et limportance des vulnrabilits potentielles du systme.

Un questionnaire simple et rapide vous permet de dterminer si le besoin de scurit du systme est nul, faible, moyen ou fort.

Lannexe 2 permet de dterminer le niveau de maturit SSI de lorga-nisme, cest--dire le niveau de matrise et de rigueur atteint par lorganisme, dans la gestion de la scurit des systmes dinformation.

Un questionnaire simple et rapide vous permet de dterminer si la matu-rit SSI de votre organisme est lmentaire, moyenne ou avance.

15


2 . En dduire la dmarche approprie

En fonction des rsultats de lautodiagnostic des besoins de scurit et du ni-veau de maturit, vous pouvez dterminer, laide du tableau infra, le type de dmarche dhomologation mettre en uvre dans le cadre de votre projet.

Les autodiagnostics doivent tre raliss avec srieux et objectivit. Ladoption dune dmarche inadapte aux enjeux ou aux capacits de lorga-nisme hypothquerait les chances de russite du projet dhomologation.

Les dmarches possibles sont les suivantes:

Pianissimo: dmarche autonome a minima, que lautorit dhomologa-tion peut mener sans recours une assistance conseil externe, par lappli-cation des outils et des indications donns dans le prsent guide.

Mezzo-Piano : dmarche autonome approfondie, que lautorit dho-mologation peut mener sans recours une assistance conseil externe, par lapplication des outils et des indications donns dans le prsent guide et ses ressources internes.

Mezzo-Forte: dmarche assiste approfondie, que lautorit dhomolo-gation mne avec laide dune assistance conseil externe, en plus des outils et des indications donnes dans le prsent guide.

Forte: le niveau de maturit de lorganisme en matire de scurit des systmes dinformation dispense lautorit dhomologation de la lecture du prsent guide qui apporte des outils quelle matrise dj. Cette d-marche nest donc pas traite dans ce guide.

16


Besoin de scurit du Systme

Faible Moyen Fort

Niveau SSI de lorganisme

lmentairePianissimo:

dmarche autonome a minima

Mezzo-Forte: dmarche

assiste approfondie

Mezzo-Forte:dmarche assiste

approfondie

moyen Pianissimo:dmarche autonome a minima

Mezzo-Piano: dmarche autonome

approfondie

Mezzo-Forte:dmarche assiste

approfondie

avanc Pianissimo:dmarche autonome a minima

Forte:hors champ de ce guide

Forte:hors champ de ce guide

Qui contribue la dmarche ?

3tape n

18

QUI CONTRIBUE LA DMARCHE ?

Durant la troisime tape, vous allez identifier lensemble des acteurs de lhomologation et bien dfinir leur rle (dcision, assistance ou expertise technique notamment).

Une homologation sappuie sur plusieurs acteurs distincts auxquels sont associs diffrents rles et niveaux de responsabilit.

1 . Lautorit dhomologation (AH)

Lautorit dhomologation est la personne physique qui, aprs instruction du dossier dhomologation, prononce lhomologation de scurit du systme din-formation, cest--dire prend la dcision daccepter les risques rsiduels identi-fis sur le systme.

Lautorit dhomologation doit tre dsigne un niveau hirarchique suf-fisant pour assumer toutes les responsabilits. Il est donc ncessaire que lauto-rit dhomologation se situe un niveau de direction dans lorganisme.

Lautorit dhomologation dsigne un responsable du processus dhomo-logation, qui mnera le projet dhomologation en son nom.

Lorsque cela est ncessaire, elle peut rdiger une lettre de mission lat-tention de la personne charge dorganiser les tches du processus dhomolo-gation, en lui indiquant de quelle manire la synthse des rsultats de chaque tape de la dmarche dhomologation lui sera communique.

Lorsque le systme est sous la responsabilit de plusieurs autorits, lauto-rit dhomologation est dsigne conjointement par les autorits concernes

2 . La commission dhomologation

La commission dhomologation assiste lautorit dhomologation pour lins-truction de lhomologation et est charge de prparer la dcision dhomologa-tion.

La taille et la composition de cette commission doivent tre adaptes

19


la nature du systme et proportionnes ses enjeux. Cette commission, runit les responsables mtier concerns par le service homologuer et des experts techniques. Elle peut donc tre de taille trs rduite dans des cas trs simples.

La commission dhomologation est charge du suivi des plannings, de lanalyse de lensemble des documents verss au dossier dhomologation. Elle se prononce sur la pertinence des livrables et peut les valider dans certains cas.

3 . Les acteurs de lhomologation

La matrise douvrageLa matrise douvrage reprsente les acteurs mtier et assure la bonne prise en compte des contraintes lies lutilisation du systme dinformation. Elle joue un rle-cl dans plusieurs tapes de la matrise des risques, y compris dans les arbitrages sur le traitement des risques.

Le RSSILorsque lentit dispose dun responsable de la scurit des systmes dinfor-mation, celui-ci est impliqu dans la dmarche dhomologation. Selon les cas, il peut tre dsign responsable du processus dhomologation, charg du secr-tariat de la commission dhomologation ou tre membre de droit de cette com-mission.

Le responsable dexploitation du systmeLe responsable dexploitation du systme, ou autorit demploi, remplit le rle oprationnel. Il sagit de lentit exploitant le systme dinformation destin tre homologu.

Les prestatairesEn fonction de leur statut (interne ou externe), de leur implication dans le projet et de leurs relations avec lautorit dhomologation, les prestataires peuvent tre intgrs dans la commission dhomologation, ou simplement consults en cas de besoin.

20


Ils remplissent un rle dassistance et produisent des livrables qui seront verss au dossier dhomologation ainsi que des rponses aux interrogations de la com-mission dhomologation.

Les systmes interconnectsLes autorits dhomologation des systmes interconnects au systme concern peuvent jouer un rle dans lhomologation et tre associs la dmarche lorsque:

le systme homologuer a un impact sur leurs propres systmes; ils mettent des avis ou des certificats qui peuvent concerner le systme.

Les questions qui se posent la troisime tape

Qui doit tre dsign autorit dhomologation?Lautorit dhomologation doit tre choisie au niveau hirarchique suffisant pour assumer toutes les responsabilits, y compris ventuellement pnale, affrentes cette dcision dhomologation.

Lautorit dhomologation doit-elle tre unique?Cest trs largement prfrable, car il sagit dune prise de responsabilit indivi-duelle. Lorsque le systme est sous la responsabilit de plusieurs autorits qualifies, une autorit dhomologation multiple peut toutefois tre envisage, mais le partage des responsabilits doit demeurer absolument limpide.

Lautorit dhomologation peut-elle tre dlgue?Parfois, une autorit dhomologation est dsigne pour un systme complexe ou ensemble de systmes. Dans certains cas, elle souhaite dlguer la prise de dcision

21


pour un systme particulier ou un sous-systme. Cest possible, mais avec beaucoup de prcautions et ds le dbut du projet:

la dlgation doit tre donne en accord avec l autorit qui a dsign l auto-rit dhomologation initiale;

l autorit dhomologation doit rester un niveau hirarchique suffisant pour assumer toutes les responsabilits qui lui incombent;

il ne doit pas exister de mlange des genres et l autorit dhomologation doit garder l objectivit ncessaire;

le dlgataire doit conserver une vue sur les systmes dploys, les programmes en cours et les travaux de maintien en condition de scurit.

Au sein dun organisme, les membres de la commission dhomolo-gation sont-ils dsigns une fois pour toutes?Cela dpend beaucoup du nombre et de la nature des systmes dinformation homologuer au sein de l organisme. La composition de la commission dhomologa-tion peut tre dfinie:

par projet, s ils sont diffrents les uns des autres; pour l ensemble des projets de la direction, sils sont similaires les uns aux

autres; de manire mixte avec un noyau stable et des intervenants spcifiques au

projet.

Comment sorganise-t-on pour recueillir et prsenter

les informations ?

4tape n

24

COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ?

Durant la quatrime tape, vous allez inventorier le contenu du dos-sier dhomologation et dfinir le planning de la dmarche qui permet-tra de le constituer et de linstruire.

1 . Le contenu du dossier dhomologation

Le dossier dhomologation est aliment pendant toutes les phases de la d-marche, essentiellement avec des documents ncessaires la conception, la ralisation, la validation du projet ou la maintenance du SI aprs sa mise en service, ainsi que des documents produits spcifiquement pour lhomologation. Lannexe3 propose une liste complte des documents qui peuvent tre intgrs dans un dossier dhomologation.

Le contenu du dossier pourra varier selon la dmarche choisie. Le tableau ci-dessous synthtise les lments constitutifs du dossier dhomologation en fonction de la dmarche adopte. Lannexe3 tablit la liste plus complte des documents pouvant tre contenus dans un dossier dhomologation et en pro-pose une description dtaille.

Pianissimo Mezzo-Piano Mezzo Forte

Stratgie dhomologation Indispensable

Rfrentiel de scurit Si existant

Document prsentant les risques identifis et

les objectifs de scuritIndispensable

Politique de scurit des systmes dinformation Recommand Fortement recommand

Procdures dexploitation scurise du systme Indispensable

25


Journal de bord de lhomologation Recommand Fortement recommand

Certificats de qualification des produits ou prestataires Si existant

Rsultats daudits Si existant Recommand Fortement recommand

Liste des risques rsiduels Indispensable

Dcision dhomologation Indispensable

Spcifiquement pour les systmes dj en service:

Tableau de bord des incidents et de leur rsolution Recommand

Fortement recommand Indispensable

Rsultats daudits intermdiaires Si existant Recommand

Journal des volutions du systme Si existant

Dmarche Pianissimo:Tous les documents dcrivant les procdures de scurit en vigueur au sein de lorganisme peuvent tre intgrs au dossier, par exemple:

la charte dutilisation des postes informatiques; les rgles de contrle daccs physique et logique au systme; les clauses de scurit des contrats de sous-traitance informatique.

Dmarche Mezzo-Piano et Mezzo Forte:Les documents constitutifs du rfrentiel de scurit de lorganisme peuvent tre intgrs au dossier. En particulier:

la politique de scurit des systmes dinformation (PSSI) de lorganisme;

26


la lgislation ou la rglementation particulire au contexte de lorganisme; le dossier de scurit des systmes interconnects au systme homolo-

guer.

La PSSI, quand elle existe, est un document de rfrence pour lhomologation, car elle contient des lments stratgiques (primtre du systme, principaux besoins de scurit et origine des menaces), ainsi que les rgles en vigueur au sein de lorganisme.

Lhomologation peut aussi tre loccasion de complter (ou de rdiger) la PSSI, par exemple pour gnraliser des rgles indispensables au SI homologu.

2 . Planning

Lhomologation doit tre prononce pralablement la mise en service opra-tionnelle du systme dinformation.

La dmarche visant lhomologation doit donc tre lance en amont puis tre totalement intgre au projet ds les phases dtude pralable et de concep-tion, afin dviter tout risque calendaire.

Le calendrier de lhomologation est directement dpendant du calendrier du projet dont il doit tenir compte en permanence. Les principales tapes de lhomologation sont fixes dans la stratgie dhomologation.

Il est indispensable de dterminer les tches de chacun des acteurs de lhomologation et les formaliser dans un planning associ, reprenant les prin-cipales tapes. Au besoin, en fonction de lvolution du projet, ces chances peuvent tre rvises, avec laccord de lautorit dhomologation.Ainsi, une homologation est rythme par deux temps forts:

la construction du rfrentiel documentaire et lanalyse de risque (dont la mise en uvre peut tre longue);

le dploiement, laudit, lhomologation et la mise en service oprationnel (a contrario, il sagit dune tape courte et trs rapide).

27


Les chances prvues pour les diffrentes tapes de la dmarche dhomologa-tion doivent figurer dans le planning:

1. lancement de la procdure dhomologation (par exemple date de formali-sation de la stratgie dhomologation);

2. dbut et de fin de lanalyse des risques (dates des entretiens avec lautorit);3. remise des diffrents documents du dossier dhomologation (cf. section

suivante);4. engagements lis dventuels contrats avec des prestataires impliqus

dans le systme (hbergeurs, fournisseurs de sous-systmes, dapplica-tions);

5. runions de la commission dhomologation;6. audits ventuels sur les composants du systme (techniques ou organisa-

tionnels), logiciels plates-formes matrielles, interfaces rseaux;7. homologation du systme;8. mise en service du systme.

Les questions qui se posent la quatrime tape

Un audit sera-t-il ncessaire au cours de la dmarche dhomologation?Un contrle sera systmatiquement effectu la sixime tape, mais ce contrle ne prendra la forme dun audit technique formel que si les enjeux de scurit le justifient.

Quelle que soit la dmarche adopte, cest l autorit dhomologation de dcider sil est ncessaire deffectuer un audit sur le systme dinformation, et quel niveau. Cet audit permettra de mettre en vidence dventuelles failles sur le systme, et didentifier rapidement les risques encourus par l organisme en cons-quence.

Quels sont les risques pesant sur le systme ?

5tape n

30

QUELS SONT LES RISQUES PESANT SUR LE SYSTME ?

Durant la cinquime tape, vous allez identifier et ordonner les risques qui psent sur le systme dinformation homologuer.

1 . Lanalyse de risque

Un risque est la combinaison dun vnement redout (susceptible davoir un impact ngatif sur la mission de lentit) et dun scnario de menaces. On me-sure le niveau du risque en fonction de sa gravit (hauteur des impacts) et de sa vraisemblance (possibilit quil se ralise).

Il sagit didentifier les risques pesant sur la scurit des systmes dinfor-mation, de les hirarchiser et de dterminer des objectifs gnraux qui permet-tront de diminuer certains dentre eux et, terme, de les amener un niveau acceptable.

La dure et le cot de la ralisation dune analyse de risques sont fonc-tion de la complexit du systme dinformation et de la sensibilit des donnes (donnes propres ou donnes de tiers, telles que celles des usagers ou des par-tenaires).

Lanalyse des risques pesant sur le systme peut tre simplifie dans le cadre dune dmarche Pianissimo. Dans le cas dune dmarche Mezzo-Piano ou Mezzo-Forte, on privilgiera lutilisation dune mthode prouve danalyse de risque.

Dmarche PianissimoLe tableau dautodiagnostic de lannexe1 vous a permis didentifier, lors de la deuxime tape, que les enjeux de scurit du systme dinformation taient limits et que les besoins de scurit taient faibles.Pour une analyse de risque simplifie, vous pouvez alors procder de la manire suivante:

1. Partez de la liste des menaces courantes prsente dans lannexe 4. Ces menaces sont dordre volontaire ou accidentel (inondation, panne de cli-matisation entranant une panne des quipements informatiques, erreur de saisie), de nature physique (intrusion sur le systme) ou logique (intru-

31


sion rseau, dfiguration de site, etc.).2. cartez celles qui ne sont pas pertinentes dans le contexte du systme

dinformation tudi;3. Pour chaque menace conserve, dterminez un ou plusieurs biens essen-

tiels qui pourraient tre affects. Les biens essentiels sont les informations traites au sein du systme, ainsi que leurs processus de traitement. Ils constituent la valeur ajoute du systme dinformation pour lorganisme.

4. Pour chaque lien identifi entre une menace et un bien essentiel, dcrivez limpact ngatif sur la disponibilit, lintgrit ou la confidentialit de ce bien essentiel. Vous obtenez un scnario de risque.

5. Hirarchisez les scnarios de risque obtenus, en identifiant les plus pro-bables et ceux dont limpact est le plus pnalisant.

6. Si un scnario de risque plausible aboutit un impact trs fort, cela signifie que le besoin de scurit valu lors de la deuxime tape a t sous-va-lu. Envisagez alors une dmarche plus complte, de type Mezzo-Piano ou Mezzo Forte.

Dmarche Mezzo-Piano ou Mezzo-forteDans le cadre de la mise en uvre dune dmarche Mezzo-Piano ou Mezzo-Forte, la mise en uvre dune mthode danalyse de risque prouve est trs fortement recommande. La mthode EBIOS2010 est une mthode danalyse de risque dveloppe par lANSSI.

La mthode EBIOS2010 prsente les risques et les objectifs de scurit identifis dans une Fiche dExpression Rationnelle des Objectifs de Scurit (FEROS).

Dans le cadre dune dmarche Mezzo-Piano, lanalyse est effectue par lautorit dhomologation, avec ou sans lassistance dun consultant ayant une exprience confirme de la mthode. Elle ncessite la participation des ac-teurs cls du systme homologuer, qui sont interrogs sur leurs besoins, leur contexte demploi du systme et les vnements quils redoutent. Cest la direc-tion de lentreprise ou lautorit administrative, par exemple, qui fournissent les informations sur les besoins de disponibilit ou de confidentialit du systme, ce qui permet didentifier les objectifs de scurit du systme.

32


Pour la dmarche Mezzo-Piano, le rsultat de lanalyse (la FEROS) peut en-suite constituer un lment du cahier des clauses techniques particulires dun appel doffres pour la ralisation ou la mise en conformit du systme homolo-guer. Les soumissionnaires doivent y rpondre en indiquant de quelle manire ils proposent datteindre les objectifs de scurit identifis par lautorit dhomo-logation.

2 . Identifier les mesures de scurit

lissue de lanalyse de risque, il convient de dfinir les mesures de scurit permettant de couvrir les risques identifis. Ceux qui demeurent aprs lappli-cation des mesures sont considrs comme des risques rsiduels qui doivent tre accepts dans le cadre de lhomologation.

Dmarche PianissimoPour dterminer les mcanismes de scurit mettre en uvre, vous pouvez galement vous rfrer plusieurs documents publis par lANSSI (sur http://www.ssi.gouv.fr):

le guide des 40 rgles dhygine informatique; le guide dexternalisation pour les systmes dinformation; le guide sur la virtualisation; les notes techniques, notamment celle sur la scurit web.

Dmarche Mezzo-Piano et Mezzo-ForteDans le cadre dune dmarche Mezzo-Piano et Mezzo Forte, les objectifs de scurit identifis au cours de lanalyse de risque selon la mthode EBIOS per-mettront de dfinir les mesures de scurit destines couvrir les risques consi-drs comme inacceptables.

Outre les documents prsents dans le paragraphe prcdent, de nom-breux rfrentiels de scurit proposent des catalogues de mesures.

La ralit correspond-elle lanalyse ?

6tape n

34

LA RALIT CORRESPOND-ELLE LANALYSE ?

Durant la sixime tape, vous devez mesurer lcart entre les rsultats de ltude de risque et la ralit, en ralisant un contrle plus ou moins formalis du sys-tme. Ce contrle peut intervenir tout moment du cycle de vie du systme: en amont, avant la mise en service voir au cours de la conception, mais galement en aval, si le systme est dj oprationnel.

Le degr de formalisation du contrle dpend de la dmarche entreprise. Vous avez dtermin lors de la quatrime tape quel type daudit tait adapt. Certains systmes nappellent quune vrification peu formelle. En revanche, un audit complet et indpendant se justifie dans le cas de systmes fort enjeu de scurit.

1 . Ralisation du contrle

Dmarche PianissimoPour la dmarche Pianissimo, un audit technique est optionnel.

Dmarche PianoPour la dmarche Piano, il est recommand de procder un audit formalis sur les segments les moins matriss du systme.

Dmarche Mezzo-fortePour la dmarche Mezzo-Forte, il est fortement recommand deffectuer un audit technique du systme dinformation. Cet audit permettra de mettre en vidence dventuelles failles et didentifier rapidement les risques encourus par lorganisme.

Les audits doivent tre mens dans les formes prvues par le rfrentiel dexigences relatif aux prestataires daudit de la scurit des systmes dinfor-mation, disponible sur le site de lANSSI .

35

LA RALIT CORRESPOND-ELLE LANALYSE ?

2 . Dfinition du primtre du contrle

Le contrle effectu, qui peut prendre la forme dun audit formalis, porte sur un systme dont le primtre doit tre soigneusement dlimit par lautorit dhomologation. Les lments contrler peuvent tre de diffrente nature (code source, configuration des quipements, architecture du systme, organi-sation mise en place, etc.).

Dans certains cas, des tests dintrusions peuvent tre effectus.

3 . Consquences de laudit sur le dossier dhomologation

Le contrle de scurit doit faire lobjet dune trace crite. A fortiori, sil sagit dun audit de scurit, celui-ci doit faire lobjet dun rapport, qui doit faire appa-ratre:

une volution des menaces sur le systme; la dcouverte ventuelle de nouvelles vulnrabilits; la prconisation de mesures correctrices, le cas chant.

Le rapport daudit est intgr au dossier dhomologation, qui doit tre complt en tenant compte des nouveaux risques mis en lumire.

Quelles sont les mesures de scurit supplmentaires pour couvrir

les risques ?

7tape n

38

QUELLES SONT LES MESURES DE SCURIT SUPPLMENTAIRES POUR COUVRIR CES RISQUES ?

Durant la septime tape, vous devez dfinir un plan daction pour amener le risque identifi un niveau acceptable.

1 . Le traitement du risque

Au vu des rsultats de lanalyse de risques et du contrle de scurit, lautorit dhomologation se prononce sur lensemble des risques qui ne sont pas, ce stade, compltement couverts par des mesures de scurit. Il convient ainsi, pour tout ou partie de chaque risque de choisir parmi les options suivantes:

lviter: changer le contexte de telle sorte quon ny soit plus expos; le rduire: prendre des mesures de scurit pour diminuer limpact et/ou

la vraisemblance; lassumer : en supporter les consquences ventuelles sans prendre de

mesure de scurit supplmentaire; le transfrer : partager les pertes occasionnes par un sinistre ou faire

assumer la responsabilit un tiers.

On peut choisir plusieurs options pour chaque risque. Par exemple, un risque peut tre partiellement rduit par la mise en uvre de mesures de scurit, partiellement transfr par le recours une assurance et partiellement assum pour ce qui subsiste.

2 . La mise en uvre de mesures de scurit

Les mesures de scurit peuvent tre de nature technique, organisationnelle ou juridique. Elles sont dcides par lautorit dhomologation sur proposition de la commission dhomologation.

En cas de recours un prestataire externe (hbergement de site ou de services par exemple), les mesures de scurit peuvent tre intgralement mises en uvre travers un contrat garantissant, par exemple, que les processus et les donnes sont protgs et accessibles uniquement aux utilisateurs lgitimes.

39

QUELLES SONT LES MESURES DE SCURIT SUPPLMENTAIRES POUR COUVRIR CES RISQUES ?

3 . Dfinition du plan daction

Les risques rsiduels identifis lors du contrle et de lanalyse de risques et qui ne peuvent pas tre couverts par des mesures techniques ou organisationnelles sont identifis dans un plan daction. Ce dernier indique les vulnrabilits ven-tuelles, leur degr (critique, majeure, mineure), laction correctrice envisage, le pilote dsign, ainsi que lchance associe.

Comment raliser la dcision dhomologation ?

8tape n

42

COMMENT RALISER LA DCISION DHOMOLOGATION ?

Durant la huitime tape, vous devez concrtiser la dcision dhomo-logation par une attestation formelle autorisant, du point de vue de la scurit, lexploitation du systme dinformation.

La dcision dhomologation est lacte par lequel le responsable de lautorit administrative atteste de lexistence dune analyse de scurit et de sa prise en compte. La dcision dhomologation doit ncessairement comprendre un cer-tain nombre dlments, rfrencs ci-dessous.

1 . Le primtre de lhomologation

Il doit, au minimum, tenir compte des lments suivants: rfrentiel rglementaire; rfrences des pices du dossier dhomologation; primtre gographique et physique (localisations gographiques, locaux,

etc.); primtre fonctionnel et organisationnel (fonctionnalits, types dinfor-

mations traites par le systme et sensibilit, types dutilisateurs, rgles demploi, procdures, conditions demploi des produits de scurit, etc.);

primtre technique (cartographie, architecture dtaille du systme, pro-duits agrs, prestataires qualifis, etc.).

2 . Les conditions accompagnant lhomologation

Lautorit dhomologation peut, en fonction des risques rsiduels identifis, as-sortir lhomologation de conditions dexploitation ainsi que dun plan daction visant maintenir et amliorer le niveau de scurit du systme dans le temps. chaque action, ce plan associe une personne pilote ainsi quune chance.

43


3 . La dure de lhomologation

Lhomologation doit tre dcide pour une dure maximale.Cette dure doit prendre en compte lexposition du systme dinformation aux nouvelles menaces, ainsi que les enjeux de scurit du systme, cest--dire le degr de criticit des informations et des processus du systme.

Pour un systme bien matris, avec peu de risques rsiduels et ne pr-sentant pas de difficults particulires, il est recommand de prononcer une homologation dune dure maximale de cinq (5) ans, avec revue annuelle. Cette dure maximale doit tre rduite trois (3) ans pour un systme avec de nom-breux risques rsiduels ou un an (1) pour un systme prsentant de nombreux risques rsiduels.

4 . Conditions de suspension ou de retrait de lhomologation

Lhomologation de scurit ne demeure valide que tant que le systme dinfor-mation est exploit dans le contexte dcrit dans le dossier dhomologation.Les changements suivants doivent impliquer un rexamen du dossier, pouvant conduire une nouvelle dcision dhomologation ou un retrait de la dcision:

raccordement dun nouveau site sur le systme dinformation; ajout dune fonctionnalit majeure; succession de modifications mineures; rduction de leffectif affect une tche impactant la scurit; changement dun ou de plusieurs prestataires; prise de fonction dune nouvelle autorit dhomologation; non-respect dau moins une des conditions de lhomologation; changement du niveau de sensibilit des informations traites et, plus

gnralement, du niveau du risque; volution du statut de lhomologation des systmes interconnects;

44


publication dincidents de nature remettre en cause les garanties recueil-lies dans le dossier de scurit;

dcision de lautorit dhomologation.

ce titre, il est recommand que la commission dhomologation soit runie annuellement par lautorit dhomologation, afin de procder une revue du respect des conditions de lhomologation.

Les questions qui se posent la huitime tape

La dmarche dhomologation a mis en vidence que les risques rsiduels restent trop levs pour une homologation, mais des contraintes dordre suprieur imposent une mise en service opra-tionnelle du systme. Comment faire?Si l autorit dhomologation considre que les conditions ne sont pas runies pour une homologation, la meilleure solution est de refuser l homologation. Si cette pos-sibilit nest pas envisageable, il est toujours possible de prononcer une autorisation provisoire demploi (APE) pour une dure courte (3 ou 6 mois), assortie de condi-tions strictes et dun plan daction prcis, destin supprimer ces risques trop levs et qui doit tre ralis durant le temps de l APE.

Certaines mesures de scurit ne pourront tre mises en place que dans deux ans pour une homologation de 3 ans. Est-ce trop long?Il est impratif de spcifier dans la dcision dhomologation que la mise en place des mesures est progressive, planifie et suivie. Elle doit commencer ds la date de publication de la dcision.

Quest-il prvu pour continuer damliorer la scurit ?

9tape n

46

QUEST-IL PRVU POUR CONTINUER DAMLIORER LA SCURIT ?

Durant cette dernire tape, qui intervient aprs la dcision dhomolo-gation proprement dite, vous devez mettre en uvre une procdure de rvision priodique de lhomologation, ainsi que le plan daction pour traiter les risques rsiduels et les nouveaux risques dans le cycle de vie du systme.

1 . Suivi de lhomologation

la suite de la dcision proprement dite, lautorit dhomologation doit veiller au maintien du niveau de scurit du systme. La commission dhomologation ralise annuellement un suivi de lhomologation. Cette tape nest pas une nou-velle instruction. Elle doit donc rester simple et se limiter une mise jour du dossier et une analyse succincte des volutions et des incidents intervenus au cours de lanne, afin de juger de lopportunit dune rvision plus approfondie de lhomologation.

En prparation du renouvellement de lhomologation, le dossier dhomo-logation est rgulirement complt par les ventuelles analyses de vulnrabi-lits, les comptes rendus de contrle et les rapports daudits complmentaires. La version consolide est transmise aux membres de la commission dhomolo-gation

Il est recommand de runir priodiquement la commission dhomologa-tion pour reprendre la liste des critres et vrifier que les conditions dhomo-logation sont toujours respectes. Cela permet galement dviter de reprendre lhomologation zro au terme de sa dure de validit.

2 . Maintien en conditions de scurit

Il est ncessaire que les conditions de lhomologation soient respectes dans le temps. ce titre, lentit en charge du maintien du dossier dhomologation doit galement assurer une veille technologique. Celle-ci permet didentifier les vul-

47

QUEST-IL PRVU POUR CONTINUER DAMLIORER LA SCURIT ?

nrabilits qui apparatraient sur le systme et sassurer quelles soient corriges, notamment les plus srieuses.Il est galement ncessaire de vrifier:

les clauses de scurit et de maintien en conditions de scurit du systme, le cas chant en se rfrant au guide dexternalisation publi par lANSSI;

les capacits dvolution et dinteroprabilit de son systme, notamment au regard de ses capacits de dveloppement ou de ses contrats de presta-tions de service.

Les questions qui se posent la neuvime tape

Si une nouvelle vulnrabilit est dcouverte, dois-je relancer le processus dhomologation?Cela dpend de limpact de la vulnrabilit sur le systme. Sil est fort, il faudrait effectivement relancer le processus dhomologation sans attendre lissue de la dure dhomologation en cours.

XXXXX

CONSEILS PRATIQUES

La dmarche dhomologation est un projet en soi, qui doit sintgrer compl-tement au projet global et au cycle de vie du systme dinformation. Cest une dmarche qui peut se rvler complexe et qui se heurte parfois des difficults organisationnelles, techniques ou calendaires. Les conseils contenus dans cette fiche vous permettront daboutir plus facilement un rsultat satisfaisant.

Conseils dordre gnral

Les conseils dordre gnral lists ci-dessous doivent, dans la mesure du pos-sible, tre suivis pour maximiser les chances de russite dune dmarche dhomologation:

dbuter suffisamment tt la dmarche dhomologation; prvoir une validation formelle des dcisions au niveau hirarchique

adquat; dsigner un vritable chef de projet, qui sera disponible tout au long du

projet; matriser le calendrier et ne pas tre trop contraint par des ncessits

oprationnelles; bien dfinir le primtre et disposer dune architecture prcise du systme; bien prendre en compte les interconnexions ventuelles; sappuyer sur des documents crits, explicites, sans ambigut, afin

dviter les quiproquos entre les parties prenantes au projet.

48

XXXXX

Avant ltude

Une rflexion mene en amont permet de bien prparer la dmarche dhomolo-gation et dassurer sa russite de faon optimale.

Au pralable, il faut que la dmarche soit porte haut niveau par lauto-rit dhomologation et que lensemble des acteurs concerns soit impliqu et motive.

Il faut galement dsigner un chef de projet, qui disposera des moyens pour mener bien sa mission et rapporter toute difficult lautorit dhomo-logation.

Enfin, ds que les acteurs de lhomologation sont identifis, il est indis-pensable de les sensibiliser sur la dmarche, les concepts et le vocabulaire qui seront utiliss.

Pendant ltude

Pour chaque activit raliser, il est conseill de sorganiser en mode projet, en identifiant un responsable de lactivit, en constituant un groupe de travail et en lui confiant une mission prcise, associe une date de ralisation.

Certaines missions sont essentielles pour la russite du projet:> la sensibilisation des acteurs

rappeler lobjectif de lactivit prsenter les concepts, le vocabulaire sassurer que lensemble des acteurs ait une vision commune de la

problmatique

> la collecte des informations raliser des entretiens rassembler les documents existants sur lorganisme, le projet

49

XXXXX

> le suivi du projet prsenter des exemples pour lancer les discussions synthtiser les informations rcoltes pour validation par le groupe de

travail nommer des responsables et fixer des chances se rencontrer priodiquement

Il est galement ncessaire dadapter les livrables aux destinataires en ce qui concerne:

la forme: tableaux, textes, schmas, etc.; le niveau dinformation: recherche dexhaustivit ou forme synthtique; lintgration aux documents existants; ladaptation au vocabulaire habituel de lorganisme, leur nomenclature, qui doit tre explicite, leur libell, qui doit tre court et descriptif.

Enfin, il est recommand de faire valider chaque tape par la commission dhomologation. Cela permet dviter les retours en arrire improductifs, tout en impliquant les autorits tout au long de la ralisation du dossier de scurit.

50

ANNEXES

52

ANNEXE 1

Annexe 1Estimation rapide du besoin de scurit dun systme dinformation

Le tableau suivant permet dvaluer les besoins de scurit du systme dinforma-tion (SI) homologuer, en estimant la gravit des consquences potentielles dune dfaillance du SI, la sensibilit des donnes, le potentiel des attaquants, le degr dexposition aux menaces et limportance des vulnrabilits intrinsques du SI.

Si vous rpondez Je ne sais pas plus de deux questions, faites-vous aider par la matrise douvrage, qui connat les enjeux du systme.

Note

Question n 1 : Votre systme est-il important pour remplir vos missions?

1 2 3 4

Non, le systme est accessoire laccomplis-

sement des missions

Oui, les missions seraient forte-

ment perturbes par un dysfonc-tionnement du

SI.

Oui, les missions dpendent

totalement du SIJe ne sais pas

Question n2: Si un sinistre atteint votre SI, causant un dysfonction-nement ou une perte de donnes, les consquences en interne (pour vos ser-vices) seraient-elles graves?Exemple: une panne lectrique ne permet pas dutiliser le systme, le contenu dune base de donnes a t supprim, etc.

53

ANNEXE 1

Note1 2 3 4

Non, les consquences internes dun

sinistre seraient ngligeables

Oui, les consquences internes dun

sinistre seraient significatives

Oui, les consquences internes dun

sinistre seraient graves, voire

fatales

Je ne sais pas

Question n3: Si un sinistre touche la scurit de votre systme (il ne fonctionne plus ou pas bien, vol dinformations), les consquences pour lextrieur (pour vos usagers, administrs) seraient-elles graves?

1 2 3 4

Non, les consquences dun sinistre

pour lextrieur seraient

ngligeables

Oui, les consquences dun sinistre

pour lextrieur seraient

significatives

Oui, les consquences dun sinistre

pour lextrieur seraient graves,

voire fatales

Je ne sais pas

Gravit des consquences potentielles (reportez ici la valeur maximale des rponses aux questions1 3)

Question n4: Le fait que les donnes de votre systme soient inacces-sibles est-il grave?Exemple : vous ne pouvez pas accder aux donnes en raison dune panne matrielle.

1 2 3 4

Non, le fait quil ne soit pas

accessible ne gne quasiment

pas lactivit

Oui, le fait quil ne soit

pas accessible perturbera lactivit

de manire significative

Oui, le fait quil ne soit pas accessible peut tre fatal pour

lactivit

Je ne sais pas

54

ANNEXE 1

Note

Question n5: Le fait que les donnes de votre systme soient altres est-il grave?Exemple: un virus a modifi des valeurs dans une base de donnes, les remet-tant toutes 0.

1 2 3 4

Non, le fait que les donnes

soient altres ne gne quasiment

pas lactivit

Oui, le fait que les donnes

soient altres perturbera lactivit


Oui, le fait que les donnes

soient altres peut tre fatal pour lactivit

Je ne sais pas

Question n6: Le fait que les donnes de votre systme ne soient pas ou plus confidentielles est-il grave?Exemple: la liste des bnficiaires du service social est dvoile.

1 2 3 4

Non, le dfaut de confidentialit

ne gne quasiment pas

lactivit

Oui, le dfaut de confidentialit

perturbera lactivit


Oui, le dfaut de confidentialit peut tre fatal pour lactivit

Je ne sais pas

Sensibilit des donnes du systme (reportez ici la valeur maximale des rponses aux questions4 6)

Question n7: Quel est le niveau de comptence maximal prsum de lattaquant ou du groupe dattaquants susceptibles de porter atteinte au sys-tme?

55

ANNEXE 1

Note1 2 3 4

Individu isol de niveau de comptence lmentaire

Individu isol de niveau de comptence

avanc

Groupe dindi-vidus organiss,

de niveaux individuels de comptence

faibles moyens, ou individu isol aux comptences

expertes

Groupe dindividus

experts, organiss, aux moyens quasi

illimits

Question n8: Quelle est la prcision des attaques potentielles envers le SI?

1 2 3 4

Attaques au hasard sur le cyberespace

Attaques orientes vers le continent

europen ou la France

Attaques ciblant un groupe de victimes

prsentant des caractristiques

communes

Attaques visant prcisment le

systme

Question n9: Quel est le niveau de sophistication des attaques poten-tielles contre le SI?

1 2 3 4

Outils dattaque triviaux (logiciel de scan de ports,

virus connus, etc.)

Outils labors gnriques

prts lemploi (rseaux de

botnet lous, faille connue,

etc.)

Outils sophistiqus,

adapts pour le SI (zro-day,

etc.)

Bote outils trs hautement sophistique.

56

ANNEXE 1

Note

Question n10: Quelle est la visibilit des attaques potentielles contre le SI?

1 2 3 4

Attaque annonce

(revendications dhacktivistes,

ranon, etc.)

Attaque constate

immdiatement par ses effets sur

le SI

Attaque discrte, qui laisse des traces dans les

journaux dv-nements, mais ne perturbe pas le fonctionnement

du SI

Attaque invisible, ralise

en laissant le minimum de

traces

Question n11: Quelles sont la frquence et la persistance des attaques potentielles contre le SI?

1 2 3 4

Unique: lattaque ne se produit sur la cible quune

seule fois

Ponctuelle: lattaque survient

plusieurs fois sans rgularit

dans sa frquence (elle peut tre lie

lactualit).

Rcurrente: attaque

par vagues successives

importantes

Permanente.

Base destimation des potentiels dattaques cyber (reportez ici la valeur maximale des rponses aux questions7 11)

Question n12: Quel est le niveau dhtrognit du systme?Exemple: plusieurs logiciels, matriels ou rseaux diffrents pour un mme systme.

57

ANNEXE 2

Note1 2 3 4

Le systme est jug comme homogne

Le systme est jug comme faiblement htrogne

Le systme est jug comme fortement htrogne

Je ne sais pas

Question n 13 : Quel est le degr douverture/interconnexion du sys-tme?Exemple: Internet, un autre systme interne ou externe (celui dun prestataire, dune autre autorit administrative)

1 2 3 4

Le SI nest pas ouvert

Le SI nest ouvert qu des

systmes internes matriss

Le systme est ouvert des

systmes internes non matriss ou

externes

Je ne sais pas

Question n14: Le contexte dans lequel se trouve le SI et ses composants (matriels, logiciels, rseaux) volue-t-il rgulirement?

1 2 3 4

Le SI et son contexte sont jugs stables

Le SI et son contexte changent souvent

Le SI et son contexte

voluent en permanence

Je ne sais pas

Question n15: Les composants du SI sont-ils mis rgulirement jour?1 2 3 4

Les composants du SI sont tous tenus jour en permanence

Une partie des composants

du SI est rgulirement

mise jour

Les mises jour sont effectues

de manire irrgulire

Je ne sais pas

58

ANNEXE 1

Exposition et vulnrabilits (reportez ici la valeur maximale des rponses aux questions12 15)

Additionner les valeurs maximales des rponses aux questions TOTAL

Avec ces rsultats que lon additionne, on estime ainsi le besoin de scurit de son systme:

Somme des quatre valeurs Besoin de scurit du systmeDe 4 6 1 - Faible

De 7 9 2 - Moyen

De 10 16 3 - Fort

59

ANNEXE 2

Annexe 2Estimation rapide du niveau de maturit de lorganisme

Le tableau suivant permet dvaluer le niveau de maturit en scurit de votre organisme.

Le niveau de maturit en scurit ne correspond pas au niveau rel de scurit, mais la capacit de lorganisme grer les risques, pour chaque sys-tme dinformation.

Questions Oui / Non

Les activits de scurit sont-elles ralises en utilisant des pratiques de base (bonnes pratiques de scurit, rfrentiels de mesures)?

Si la case prcdente est Oui, alors votre organisme a un niveau de maturit lmentaire en scurit, sinon, une dmarche assiste est indispensable.

Les activits de scurit sont-elles planifies?

Les acteurs affects des activits de scurit sont-ils forms (en interne ou par un organisme de formation) la SSI (niveau de com-ptence en scurit jug suffisant)?

Certaines pratiques de scurit sont-elles formalises dans des documents spcifiques (procdures)?

Des mesures de scurit sont-elles en place?

60

ANNEXE 2

Les autorits comptentes sont-elles informes des mesures effec-tues?

Si toutes les cases prcdentes sont Oui, alors votre organisme a un niveau de maturit moyen en scurit.

Les processus de scurit sont-ils dfinis, standardiss et formaliss (dfinir la stratgie, grer les risques, grer les rgles, superviser)?

Des acteurs spcifiques sont-ils affects la gestion des processus de scurit et sont forms en consquence?

Lorganisme dans sa globalit soutient-il les processus de scurit (les diffrents niveaux hirarchiques)?

Les processus de scurit sont-ils coordonns dans tout le primtre choisi?

Lefficacit des mesures de scurit en place est-elle mesure?

Des audits sont-ils effectus pour vrifier la suffisance des mesures en place? (Les mesures de scurit effectues sont-elles contrles [audites]?)

Les processus de scurit sont-ils amliors en fonction des mesures de scurit effectues?

Si toutes les cases prcdentes sont Oui, alors votre organisme a un niveau de maturit avanc en scurit.

61

ANNEXE 3

Annexe 3Liste des documents pouvant tre contenus dans un dossier dhomologation

Le dossier dhomologation peut contenir, en fonction de leur pertinence au regard du contexte et de la complexit du systme, les lments suivants.

1 . La stratgie dhomologation

Lautorit dhomologation, ou son reprsentant, formalise lorganisation de lhomologation dans un document de synthse. Cette stratgie dhomologation dcrit les modalits de ralisation du processus dhomologation. Elle rappelle lensemble des parties prenantes lhomologation et prcise:

le cadre rglementaire applicable (rgles de protection des informations confidentielles, rgles sectorielles, etc.);

lorganisation (acteurs, missions, etc.); la dmarche; le primtre; le calendrier; la criticit des informations utilises dans le cadre de lhomologation; les pices constitutives du dossier dhomologation.

2 . Lanalyse de risques

Elle peut tre mene selon une mthode prouve conforme aux normes exis-tantes en matire de gestion des risques SSI

62

ANNEXE 3

3 . La politique de scurit du systme dinformation (PSSI)

La PSSI dfinit les principes et les exigences techniques et organisationnelles de scurit du systme dinformation. Il sagit du document de rfrence SSI applicable lensemble de lorganisme ou ddi un systme.

Lhomologation peut aussi tre loccasion dlaborer ou de complter la politique de scurit des systmes dinformation (PSSI) de lorganisme, par exemple afin de gnraliser des rgles indispensables au systme dinformation homologu. Le guide [PSSI] de lANSSI fournit une aide pour laborer une PSSI .

Ce document revt diffrentes formes en fonction des interlocuteurs (directives, procdures, codes de conduite, rgles organisationnelles et tech-niques, etc.)La PSSI inclut:

les lments stratgiques; le primtre du SI, les enjeux lis, les orientations stratgiques, les

aspects lgaux et rglementaires; les principes de scurit par domaine (organisationnel, technique, mise

en uvre, etc.).Elle peut tre complte par une ou plusieurs politiques dapplication, par exemple les procdures dexploitation de la scurit (PES).

4 . Le journal de bord de lhomologation

Il sagit du registre des dcisions et des principaux vnements qui sont interve-nus pendant la dmarche dhomologation. Il prsente les caractristiques sui-vantes:

il senrichit au fur et mesure du projet (document de travail, feuille de route) pour adapter le processus aux volutions du projet, notamment pour le planning;

63

ANNEXE 3

Il permet de formaliser les prises de dcisions et les mises au point ncessaires et de disposer dun point de situation sur lavancement du pro-cessus dhomologation (et les blocages ventuels);

Il constitue la base pour raliser le plan daction associ la dcision dho-mologation;

Il peut se prsenter sous plusieurs formes: documents isols (comptes rendus de runions, notes, etc.); document unique (registre formel de dcisions, ou tableau de syn-

thse avec renvois des documents isols par exemple).

5 . Les rfrentiels de scurit

La dmarche dhomologation doit tre ralise conformment aux exigences dcrites dans les rfrentiels de scurit de lautorit et en particulier:

la politique de scurit des systmes dinformation (PSSI) de lautorit; la lgislation ou la rglementation particulire applicable lautorit

administrative; les exigences de scurit des systmes interconnects au systme homo-

loguer.

6 . Le tableau de bord de lapplication des rgles dhygine informatique

Les 40 rgles dhygine informatique publies par lANSSI sont applicables dans toutes les situations. Un tableau de bord mesurant lapplication de ces mesures dhygine montre la progression au sein du systme, lobjectif tant de toutes les appliquer.

64

ANNEXE 3

7 . La cartographie des systmes dinformation de lorganisme

La cartographie complte du rseau local doit tre tablie. Elle comprend: la cartographie physique du rseau qui correspond la rpartition

gographique des quipements et permet de connatre la position dun quipement rseau au sein des diffrents sites.

la cartographie logique du rseau (plan dadressage IP, noms de sous-rseaux, liens logiques entre ceux-ci, principaux quipements actifs, etc.). Elle fait notamment apparatre les points dinterconnexion avec des enti-ts extrieures (partenaires, fournisseurs de services, etc.) ainsi que lensemble des interconnexions avec Internet.

la cartographie des applications. Le point de vue applicatif corres-pond aux applications mtier et logiciels dinfrastructure utilisant larchi-tecture rseau comme support

la cartographie de ladministration du systme dinformations. Elle reprsente le primtre et le niveau de privilges des administrateurs sur les ressources du parc informatique. Ce point de vue permet, en cas de compromission dun compte dadministration, didentifier le niveau de privilge de lattaquant et la portion du parc potentiellement impacte.

8 . Les schmas dtaills des architectures du systme

Les schmas dtaills des architectures techniques et fonctionnelles dpendent avant tout du primtre choisi de lhomologation du SI, ainsi que du niveau de maturit de lorganisme.

Les schmas doivent permettre de savoir quelle est la fonction principale du SI et comment ce SI fonctionne.

cette fin, il faut disposer, au minimum, de lannuaire (gestion des comptes), du plan dadressage, de la liste des fonctions de scurit et de la car-tographie du SI.

65

ANNEXE 3

Cette documentation doit tre mise jour afin de suivre les modifications subies par le SI.

Par exemple, si le primtre de lhomologation est une application de tl-service, il faut fournir les lments suivants:

les procdures dexploitation de scurit (PES); le plan du maintien en condition oprationnelle; la matrice des flux entrant/sortant (interconnexions); la documentation de la gestion des comptes de lapplication; la documentation de ladministration du SI et de linstallation; plan de sauvegarde et darchivage des donnes; plan de continuit ou de reprise dactivit.

9 . Le document prsentant les risques identifis et les objectifs de scurit

Ce document doit tre labor lissue dune analyse de risques, ralise (sauf pour la dmarche Pianissimo) en suivant une mthode prouve et maintenue, si possible respectant la norme ISO27005. Il prsente les caractristiques sui-vantes:

il dcrit les besoins et objectifs de scurit du systme en termes de dispo-nibilit, dintgrit et de confidentialit par rapport aux menaces identi-fies. Au besoin, il peut tre prsent sous la forme dune Fiche dExpres-sion Rationnelle des Objectifs de Scurit (FEROS) .

il indique la nature et la sensibilit des informations traites par le systme et prcise les contraintes qui restreignent la conception, lexploitation et la maintenance du systme.

il doit prendre en compte les architectures dinterconnexion, les moyens partags avec dautres entits, leurs conditions dexploitation et de contrle.

sa rdaction ncessite la participation des acteurs cls du systme homolo-guer, qui sont interrogs sur leurs besoins, le contexte demploi du systme et les vnements susceptibles dimpacter positivement ou ngativement le systme.

66

ANNEXE 3

dans le cadre des systmes OTAN, il est demand un nonc des impra-tifs de scurit (SRS) (ou un quivalent national). Le SRS est un nonc complet et explicite des principes de scurit dtaills satisfaire. Il existe plusieurs types de SRS:

CSRS, nonc des impratifs de scurit applicables un ensemble dinterconnexions lorsque plusieurs SI sont interconnects;

SSRS, nonc des impratifs de scurit propres un systme dans des situations simples (systme autonome, par exemple);

SISRS, nonc des impratifs de scurit applicables une intercon-nexion de systmes, lorsque deux SIC doivent tre connects entre eux pour changer des informations, le SISRS constitue la base dun accord entre les deux autorits dexploitation des SIC et les deux autorits dapprobation ou dhomologation de scurit;

le SEISRS qui est la cible de scurit (ou nonc des impratifs de scurit lectronique propres un systme.

10 . Les procdures dexploitation du systme

Ces procdures doivent tre dtailles et directement applicables. Elles exposent les mesures de scurit permettant de rpondre aux objectifs de scurit fixs par lautorit dhomologation. Elles prsentent les droits et les devoirs des accdants au systme ainsi que les actions raliser dans le cadre de lutilisation quotidienne du systme.

Ces procdures sont tablies par les quipes dexploitation internes lor-ganisme et/ou par les fournisseurs du systme homologuer, ventuellement laide des guides publis par lANSSI .

Lautorit dhomologation doit sassurer que les procdures fournies ont t testes avec succs avant de prononcer lhomologation. Un dossier de tests compltera utilement le dossier dhomologation.

67

ANNEXE 3

11 . Les exigences de scurit destination des systmes interconnects

Les systmes contenant des informations sensibles ne doivent pas tre connec-ts directement aux rseaux publics tels quInternet ou les rseaux WiFi des htels, des gares ou des aroports.

12 . Les dcisions dhomologation des systmes interconnects

Si les systmes connects au systme concern, ont dj fait lobjet dune homologation, il faut joindre les dcisions dhomologation associes aux sys-tmes ainsi que les dossiers associs, si possible et si ncessaire. En effet, il est impratif de savoir, au minimum, par qui le systme a t homologu, quelle date et quelle est la rfrence de cette dernire homologation.

13 . Les certificats de scurit des produits utiliss

Les agrments des dispositifs de scurit, prononcs en application des disposi-tions de lIGI1300, doivent figurer dans le dossier dhomologation.

Les dcisions de ne pas faire agrer par lANSSI un dispositif de scurit, lui-mme utilis comme moyen de protection contre les accs non autoriss aux informations classifies ou au systme, doivent tre galement jointes au dossier, ainsi que les lments ayant contribu ces dcisions.

68

ANNEXE 3

14 . Les attestations de qualification des produits ou prestataires

Dans la mesure o le systme met en uvre des produits de scurit certifis ou qualifis ou encore des services de confiance qualifis, il est ncessaire dinclure les attestations correspondantes dans le dossier dhomologation.

Si elles sont disponibles, les analyses de scurit des produits de scurit, en particulier les instructions techniques demploi, peuvent galement tre int-gres au dossier dhomologation.

15 . Les plans de tests et daudits

Des documents doivent identifier formellement les tests et les audits ncessaires et prciser par qui ils doivent tre effectus et selon quel planning.

Pour mmoire, des audits doivent tre prvus aprs la dcision dhomo-logation, afin dassurer le maintien en conditions oprationnelles du systme.

16 . Les rapports de tests et daudits et les plans daction associs

Pour les systmes dj en production depuis un an ou plus, il est recommand de procder demble un audit technique sur le systme homologuer, le cas chant avant lanalyse des risques.

Pour les systmes en cours de conception, laudit pourra tre ralis loc-casion de la procdure de recette applicative.

Pour les systmes existants requrant un besoin particulier de scurit, il est recommand de procder, en premire action, un audit technique et orga-nisationnel afin doptimiser la procdure dhomologation.

Laudit doit mener la ltablissement dune liste des vulnrabilits dtec-tes et du plan daction affrent.

69

ANNEXE 3

Les audits doivent tre raliss par des quipes pralablement valides par lautorit dhomologation.

Ils doivent porter sur les mesures de scurit lies lexploitation du sys-tme et les comparer ltat de lart.

Les audits doivent tre mens dans les formes prvues par le rfrentiel dexigences relatif aux prestataires daudit de la scurit des systmes dinfor-mation.

17 . Le dossier des risques rsiduels

Ce dossier comporte une analyse de la couverture des risques et de latteinte des objectifs de scurit au travers:

des procdures dexploitation scurise du systme; de la PSSI.

Il prsente galement les vulnrabilits rsiduelles constates lors des tests et des audits et non corriges ainsi que les plans daction associs.

18 . Les ventuelles dcisions dhomologation antrieures

Le dossier doit comporter tous les documents relatifs aux ventuelles homolo-gations prcdentes.

19 . Le tableau de bord des incidents et de leur rsolution

Ce tableau recueille lensemble des incidents survenus sur le SI avec lidenti-fication de leur(s) cause(s), les consquences et les modalits de rsolution de lincident. Il prcise galement le plan daction associ.

70

ANNEXE 3

20 . Le journal des volutions

Ce journal consigne les volutions du systme, notamment celles ayant une incidence sur les critres et conditions de lhomologation.

Il comprend, en particulier, la liste des mesures de scurit apportes en prvention de risques ou en correction danomalies ou de vulnrabilits consta-tes dans les audits.

71

ANNEXE 4

Annexe 4Liste de menaces, issue de la base de connaissance EBIOS

Menaces sur les matriels

Usage dun quipement ou dun matriel: utilisation abusive dun ordinateur des fins personnelles, voire pour un

usage inappropri ou illicite; stockage de fichiers personnels sur lordinateur de bureau (ex. vidos non

professionnelles); usage dune imprimante des fins personnelles ou au dtriment dautrui; stockage dinformations sensibles sur des supports inappropris (disque

dur non protg, cl USB, CDROM laiss sur un bureau); perte ou vol dun ordinateur (surtout portable), ou dun support de don-

nes lectronique (cl USB, CDROM, disque dur amovible) notamment lors dun dplacement ou dun dmnagement.

Observation dun quipement: observation dun cran travers une fentre; observation de la saisie dun code au clavier; coute dune conversation diffuse sur les haut-parleurs de lordinateur; golocalisation dun matriel ( partir de son adresse IP ou par le rseau

tlphonique); interception de signaux compromettants mis par laffichage lcran ou

les touches du clavier; pose dun dispositif-espion matriel (keylogger) sur la face arrire dun

poste de travail.

72

ANNEXE 4

Fonctionnement du matriel: surcharge dun disque dur ou dun serveur aboutissant une panne; perturbations lectriques ou lectromagntiques; panne lectrique involontaire (remplacement dun poste par un ordinateur

plus consommateur en nergie, rupture de cbles lectriques suite des travaux de terrassement, court-circuit d la foudre, erreur de branche-ment ou incident lectrique);

vieillissement du matriel susceptible dentraner un crash du disque dur; multiples dplacements du matriel (ordinateur portable); ordinateur travaillant dans un milieu pollu, humide, ou corrosif (atelier

industriel), ou en prsence dondes lectromagntiques ou de vibra-tions;

chute du matriel pendant une installation ou un dmnagement (voir vandalisme);

effacement des donnes par passage dun aimant sur un disque dur; prsence dun code malveillant destin empcher le fonctionnement de

tout ou partie du matriel.

Menaces sur les logiciels

Menaces sur lusage de logiciels un logiciel est pig (keylogger), ou corrompu par un code malveillant; un logiciel accde ou copie de manire inapproprie voire illicite des don-

nes mtiers, des donnes de configuration dquipements, ou collecte des donnes mtiers partages dans un rseau;

un logiciel supprime de manire inapproprie des donnes, journaux dvnements, enregistrements de conversations, etc. quils soient en m-moire, sur un disque dur ou sur un support;

un logiciel cre ou modifie des donnes de manire inapproprie: mes-sages injurieux sur un forum, configuration dun systme, insertion dune page web ou dfiguration sur un site Internet, lvation de privilges dun

73

ANNEXE 4

compte utilisateur, effacement de traces doprations dans un journal dvnements, fraude;

un logiciel collecte des donnes de configuration dun rseau, balaie les adresses internes rseau ou recense les ports ouverts;

un logiciel exploite des donnes de base pour en extraire des informations confidentielles (recoupement, infocentre);

un logiciel utilise des mcanismes de stganographie pour transmettre des donnes discrtement;

un agent utilise un logiciel professionnel pour des besoins personnels; un agent connecte son ordinateur portable personnel compromis par un

attaquant au rseau; un agent transfre systmatiquement tous les messages quil reoit sur un

compte de messagerie personnel dont le mot de passe a t cass par un groupe dattaquant notoire;

une machine du rseau est compromise pour raliser un envoi massif din-formations par courrier lectronique (spam);

un utilisateur utilise, volontairement une copie dun logiciel dont le fonc-tionnement nest pas garanti (par exemple une contrefaon);

un logiciel est utilis sans achat de la licence correspondante, ou la licence nest pas renouvele;

un logiciel est analys par lattaquant en vue dtre corrompu: observation de son fonctionnement, observation de lemploi de son espace mmoire, ingnierie inverse, etc. ;

tout ou partie du logiciel est dtruit par un virus (bombe logique); le logiciel est modifi de manire involontaire: mise jour avec une mau-

vaise version, modification de la configuration en maintenance, activation ou dsactivation de fonctions, changement de paramtrage du rseau, modification des rgles de routage ou de rsolution des noms de domaine.

74

ANNEXE 4

Menaces sur les rseaux

un attaquant coute les informations circulant sur le rseau informatique ou tlphonique, et rmet un message confidentiel vers ladresse dun forum public;

un attaquant sature le rseau par un envoi massif de messages; un point daccs sans fil mal configur permet lcoute de lensemble des

donnes qui transitent par Wifi; un attaquant sectionne les cbles dune ligne tlphonique (tord la fibre

optique) empchant physiquement la transmission des messages; une quipe de maintenance remplace un cble existant par un autre de

moins grande capacit, etc. ; des voleurs drobent les cbles de transmission en cuivre pour les revendre

la ferraille.

Menaces sur les personnels

lunique administrateur dune application critique est victime dune pi-dmie de grippe

une grve des transports paralyse laccs au site hbergeant les postes de travail;

une contamination dans le restaurant dentreprise cre une intoxication alimentaire chez de nombreux agents;

lun des agents se dplaant rgulirement bavarde avec des inconnus rencontrs au wagon-bar du TGV des anomalies de fonctionnement du systme;

un agent, perturb par une surcharge de tches, commet des erreurs de manipulation du systme;

lergonomie du poste de travail (mauvais clairage, sige inconfortable, etc.) nuit au bon usage du logiciel;

un agent passe une part significative de son temps de travail sur les sites de jeux en ligne, ce qui nuit lefficacit du systme;

75

ANNEXE 4

lagent expert dans lusage dune fonction critique du systme demande sa mutation pour se rapprocher de son conjoint;

une rorganisation ou un dmnagement rompent les changes entre per-sonnes qui staient tablies pour pallier les faiblesses fonctionnelles du systme.

Menaces sur les locaux

il existe un risque quun incendie se dclenche dans les locaux sans tre dtect;

le btiment hbergeant le systme se situe dans une zone industrielle comportant des entreprises soumises autorisation prfectorale (ex. SEVESO) susceptibles de gnrer un accident industriel (explosion);

emploi de mauvais matriaux, construction dfectueuse, mouvements de terrain sapant les fondations, infiltration deau dans le sol, etc.

Version 2.0 - Juin 2014 20140604-1555

Licence Ouverte/Open Licence (Etalab - V1)

AGENCE NATIONALE DE LA SCURIT DES SYSTMES DINFORMATION

ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP

www.ssi.gouv.fr / [email protected]

Guide Homologation de Securite en 9 Etapes

Documents

Transcript of Guide Homologation de Securite en 9 Etapes