Cartographie Des Risques [PDF]
ANTIC (AGENCE NATIONALE DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION) CARTOGRAPHIE DES RISQUES Version 1 Di
39 0 178KB
Papiere empfehlen
![Cartographie Des Risques [PDF]](https://vdoc.tips/img/200x200/cartographie-des-risques.jpg)
- Author / Uploaded
- Mbang Abdoul Kader
Datei wird geladen, bitte warten...
Zitiervorschau
ANTIC (AGENCE NATIONALE DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION)
CARTOGRAPHIE DES RISQUES Version 1 Division de l’Audit de Sécurité
Table des Matiè res
1.
Contexte et objectifs......................................................................................................................3
2.
Démarche.......................................................................................................................................3
3.
Description du contexte.................................................................................................................4 3.1.
Présentation de l’ANTIC..........................................................................................................4
3.1.1.
Missions..............................................................................................................................4
3.1.2.
Activités..............................................................................................................................4
3.1.3.
Organisation.......................................................................................................................5
3.2.
Etat des lieux..........................................................................................................................5
4.
Périmètre.......................................................................................................................................6
5.
Identification..................................................................................................................................6 5.1.
Identification des actifs...........................................................................................................6
3.3.
Identification des Menaces et des vulnérabilités....................................................................7
6.
Classification des actifs.................................................................................................................10
7.
Evaluation.....................................................................................................................................13
8.
3.4.
Evaluation de l’impact..........................................................................................................13
3.5.
Evaluation de la probabilité d’occurrence............................................................................14
3.6.
Evaluation et classification du risque....................................................................................14
Traitement du risque....................................................................................................................19
Conclusion............................................................................................................................................19
Cartographie des Risques Informatiques de l’ANTIC
1. CONTEXTE ET OBJECTIFS L’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC), au vu des missions à elles assignées, à savoir entre autres, la promotion des TIC, la régulation de l’internet, la régulation de l’activité des audits de sécurité au Cameroun, sécurisation du cyberespace national, se voit soumis à un devoir d’exemplarité en matière de sécurité informatique ; d’autre part, et eu égard à la criticité des données, et infrastructures qu’elle gère, l’ANTIC est dans l’obligation d’assurer un niveau de sécurité très élevé conformément aux normes et bonnes pratiques. Ce document a donc pour objectif de ressortir une cartographie des risques majeurs auxquels est soumis le système d’information de l’Agence, ainsi qu’un plan d’actions correctives à mettre en œuvre pour mitiger les risques identifiés.
2. DÉMARCHE La réalisation de cette cartographie des risques de l’Agence s’est essentiellement appuyé sur la démarche d’analyse des risques proposée par la norme ISO 27005 qui elle-même suggère entre autres :
l’apport d’autres standards tels que ISO 27002 pour l’évaluation des mesures de contrôle implémentées ; une personnalisation de la démarche standard pour s’adapter au mieux au contexte spécifique de l’Organisation faisant l’objet de l’analyse des risques.
Les méthodes de collecte d’informations employées sont les suivantes :
Analyse documentaire Organigramme, anciens rapports d’audit, Schéma Directeur, Politique de sécurité, … Interviews des différentes parties prenantes Responsables des services en charge des activités couvertes dans le périmètre, Opérateurs Observations sur les sites physiques Scans de vulnérabilités
Ainsi, notre démarche se décline en quatre principales étapes comme suit :
Description du contexte ; Définition du périmètre ; Identification ; Ici, nous identifierons les processus, les actifs, les menaces et vulnérabilités Classification des actifs ; Evaluation ; Traitement du risque
Agence Nationale des Technologies de l’Information et de la Communication
2
Cartographie des Risques Informatiques de l’ANTIC
3. DESCRIPTION DU CONTEXTE
3.1. PRÉSENTATION DE L’ANTIC L’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC) est un établissement public administratif doté de la personnalité juridique et de l’autonomie financière. Elle est placée sous la tutelle technique du Ministère en charge des télécommunications et sous la tutelle financière du Ministère en charge des finances. Son siège social est fixé à Yaoundé, au lieu-dit MINIPRIX-BASTOS et elle dispose de deux (02) autres sites répartis comme suit :
Le Centre d’Infrastructure à Clé Publique au lieu dit POSTE CENTRALE ; Les Services Techniques en charge de la gestion du ‘’.cm’’ et des infrastructures du Centre d’Alerte et de Réponse aux Incidents Informatiques au lieu dit DRAGGAGES.
3.1.1. MISSIONS L’ANTIC a pour missions principales :
la promotion et le suivi de l'action des pouvoirs publics en matière des Technologies de l'Information et de la Communication (TIC) ; la régulation, le contrôle et le suivi des activités liées à la sécurité des systèmes d'information et des réseaux de communication électroniques ainsi qu’à la certification électronique, en collaboration avec l’Agence de Régulation des Télécommunications (ART).
3.1.2. ACTIVITÉS Les activités menées par l’ANTIC peuvent être réparties en deux grands processus :
les processus de pilotage qui veillent à l'atteinte des objectifs de l'entreprise : o Promotion et suivi de l'action des pouvoirs publics en matière des Technologies de l'Information et de la Communication (TIC) à travers l’amélioration de la gouvernance des TIC et de l’Internet et le Suivi de la mise en œuvre de la Stratégie Nationale de Développement des TIC ; o Sécurisation du cyberespace national à travers le renforcement de la veille sécuritaire, la réalisation des audits de sécurité des systèmes d’information et des réseaux de communications électroniques et le développement de la certification électronique. les processus supports qui concourent à la réalisation des processus de pilotage à l’instar de l’amélioration de la gouvernance interne de l’Agence par le développement des ressources humaines, le renforcement des capacités organisationnelles et l’appui à la mise en œuvre des activités de pilotage.
Agence Nationale des Technologies de l’Information et de la Communication
3
Cartographie des Risques Informatiques de l’ANTIC
3.1.3. ORGANISATION L’ANTIC emploie cent (100) personnels qui contribuent au quotidien à son fonctionnement suivant les proportions ci-après :
69% de cadres ; 21% d’agents de maîtrise ; 10% d’agents d’exécution.
L’effectif de la DEDT représente environ 5% des ressources humaines permanentes de l’ANTIC. L’ANTIC dispose au sommet d’un Conseil d’Administration conduit par un Président nommé par décret du Président de la République et assisté de onze (11) membres représentant l'Etat. Elle est dirigée par un Directeur Général assisté d’un Directeur Général-Adjoint. La Direction Générale est constituée de :
Services Rattachés ; - Deux (02) Conseillers Techniques ; - L’Inspection des Services ; - La Cellule de Suivi ; - La Cellule de Communication et de Relations publiques ; - La Cellule de Traduction et d’Interprétariat ; - L’Attaché de Direction ; - Le Service du courrier, de la documentation et des archives ;
Services Centraux ; - Le Centre de Réponse aux Incidents de Sécurité Informatique ou Computer Incident Response Team (CIRT) ; - La Brigade Spéciale d’Interception ; - La Division de la Normalisation et de la Coopération ; - La Division des Etudes et du Développement des TIC ; - La Division de l’Audit de Sécurité ; - Le Centre d’Infrastructure à Clé Publique ou Public Key Infrastructure (PKI) ; - La Direction des Affaires Juridiques ; - La Direction des Affaires Générales.
3.2. ETAT DES LIEUX La présente cartographie des risques est faite dans un contexte où la gouvernance informatique est un concept encore embryonnaire au sein de l’Agence. Cela se traduit par l’absence de documents Agence Nationale des Technologies de l’Information et de la Communication
4
Cartographie des Risques Informatiques de l’ANTIC
fondamentaux formellement approuvés par la Direction Générale et le Conseil d’Administration, en occurrence, le Schéma Directeur Informatique et la Politique de sécurité. Ceci a pour conséquence un développement très peu coordonné du Système d’Information, une répartition non optimale des responsabilités liées à la sécurité de l’information. De plus, la relative sécurité physique des locaux et l’utilisation des postes personnels au sein de l’Agence sont des facteurs qui accroissent l’exposition de l’ANTIC à de nombreux risques en rapport avec la sécurité des données et des infrastructures critiques.
4. PÉRIMÈTRE La présente cartographie des risques aura couvert l’ensemble des structures organisationnelles de l’Agence, tout en focalisant de manière spécifique sur les activités et processus les plus critiques regroupés en deux catégories : les processus opérationnels, et les processus supports. Le choix de ces processus et activités a été guidé par les considérations suivantes :
contribution à la réalisation des missions et l’atteinte des objectifs stratégiques de l’Agence; impact sur les finances ; impact sur la réputation ; impact sur la légalité et la conformité ; impact sur la santé et la sécurité des employés ; criticité des données et informations manipulées.
5. IDENTIFICATION
5.1. IDENTIFICATION DES ACTIFS
SERVIC E DAS
DNC
ACTIVITES
ACTIFS
Audits de sécurité
Ordinateurs sur lesquels sont déployés les logiciels utilitaires Rapports d'audit Documentation collectée auprès des structures auditées
Administration de la plateforme de messagerie Administration du site web de l’ANTIC
Serveur de messagerie (virtuel) Serveur web (virtuel)
CPKI Agence Nationale des Technologies de l’Information et de la Communication
5
Cartographie des Risques Informatiques de l’ANTIC
Gestion des certificats électroniques Sécurisation des applications
CIRT
DEDT DRH
Veille sécuritaire Assistance aux forces de l'ordre
01 serveur pour l’autorité de certification gouvernementale 01 serveur pour l’autorité d’enregistrement 01 serveur pour le stockage des certificats Base de données des certificats Toolkits Rapports de scan des sites web Statistiques des attaques et vulnérabilités Répertoire des contacts des points focaux Réquisitions des officiers de police judiciaire ou INTERPOL Ordinateurs sur lesquels sont déployés des logiciels utilitaires(BYOD)
Gestion interne de la fonction informatique
Parc informatique ANTIC
Gestion des ressources humaines
Système de gestion de la paie
4. 5.2. IDENTIFICATION DES MENACES ET DES VULNÉRABILITÉS Nous nous servirons du catalogue proposé par ISO 27005, tout en tenant compte des spécificités du SI de l’ANTIC.
MENACES Abus de droits
Violation de la maintenabilité du système d'information
VULNERABILITES Manque de procédure de surveillance des installations de traitement de l'information Manque d'audits réguliers Manque de procédures d'identification et d'évaluation des risques Manque de gestion des rapports d'incident dans les journaux et logs systèmes Non existence ou insuffisante des tests de logiciels Défauts bien connus dans le logiciel Mise hors service ou la réutilisation des supports de stockage sans nettoyage approprié Non déconnexion de l'utilisateur quand il quitte le poste de travail Manque de piste d'audit Mauvaise répartition des droits d'accès Un entretien insuffisant / mauvaise installation de supports de stockage Réponse inadéquate du service de maintenance
Agence Nationale des Technologies de l’Information et de la Communication
6
Cartographie des Risques Informatiques de l’ANTIC
Violation de la disponibilité du personnel Corruption ou perte des données Données provenant de sources non fiables Refus (répudiation) d'actions Destruction de matériel ou de supports La poussière, la corrosion, la congélation Écoute Erreur en cours d'utilisation
Défaillance de l'équipement Défaillance du matériel de télécommunication Inondation Escalade des droits
Traitement illicite de données Perte d'alimentation Phénomène météorologique Incendie
Absence de procédures de contrôle des changements Absence de personnel Manque de manuels de procédures Manque de procédure formelle de gestion des archives Le manque de processus formel d'autorisation de l'information publique disponible Manque de juste répartition des responsabilités dans la sécurité de l'information Manque de preuve de l'envoi ou de réception d'un message Le manque de programmes de remplacement périodiques Insuffisance dans les procédures d'acquisition (mesures de sécurité) L'utilisation inadéquate ou négligente du contrôle d'accès physique aux bâtiments et des salles La sensibilité à l'humidité, la poussière, les salissures Lignes de communication non protégés Trafic sensible non protégés Manque de procédures pour l'installation des logiciels dans les systèmes d'exploitation Manque de procédures pour le traitement des informations classifiées Absence de mention sur la responsabilité de la sécurité de l'information dans les descriptions d'emploi Le manque de documentation (Technique, Utilisateur) Formation à la sécurité insuffisante Le manque de sensibilisation à la sécurité L'utilisation incorrecte des logiciels et du matériel Absence de politique d'utilisation des e-mails Absence de plans de continuité Absence de redondance Situation dans une zone sensible aux inondations Le manque d'identification et d'authentification de l'expéditeur et du récepteur Manque de mécanismes d'identification et d'authentification tels que l'authentification des utilisateurs Tables de mots de passe non protégés Gestion des mots de passe faible Manque ou insuffisance des dispositions concernant la sécurité de l'information dans le contrat avec les employés Services inutiles activées Absence de mécanismes de surveillance La sensibilité aux variations de tension Réseau électrique instable La sensibilité aux variations de température Absence de dispositif de détection d’incendie
Agence Nationale des Technologies de l’Information et de la Communication
7
Cartographie des Risques Informatiques de l’ANTIC
Espionnage à distance Saturation du système d'information Altération de logiciels Vol de médias ou documents
Vol de matériels
Utilisation non autorisée de l'équipement
Absence d’extincteurs à proximité des locaux sensibles Architecture de réseau non sécurisé Transfert de mots de passe en clair Gestion de réseau insuffisante (résilience du routage) Absence de système de monitoring du réseau Manque de copies de sauvegarde Téléchargement et utilisation de logiciels non contrôlé Manque de politiques de verrouillage de bureau et d'écran Absence de mécanismes de suivi mis en place pour les failles de sécurité Supports de stockage non protégés Le manque de prudence dans la disposition Copie incontrôlée Manque de protection physique du bâtiment, les portes et les fenêtres. Travail sans supervision par le personnel extérieur ou de nettoyage Manque de processus disciplinaire défini en cas d'incident de sécurité de l'information Absence de politique officielle sur l'utilisation de l'ordinateur portable Manque de contrôle des actifs hors des locaux Manque de protection physique du bâtiment, portes et fenêtres Connexions aux réseaux publics non protégés Manque de politiques pour l'utilisation correcte des moyens de télécommunication et de messagerie Manque de contrôles de gestion réguliers Manque de procédures pour rendre compte des faiblesses de sécurité Absence de procédures de respect des dispositions légales et de propriété intellectuelle
Agence Nationale des Technologies de l’Information et de la Communication
8
6. CLASSIFICATION DES ACTIFS
La classification des actifs vise deux objectifs principalement, à savoir :
apprécier la criticité d’une activité pour l’Organisation ; évaluer de manière pertinente la gravité de l’impact (du point de vue métier) d’une menace sur actif donné.
Le tableau suivant présente l’échelle de classification des données suivant le critère Confidentialité Confidentialité Secret Confidentiel Privé Public
Le tableau suivant présente un récapitulatif des actifs par processus, avec le niveau de classification des données ainsi que la nature et le nombre d’utilisateurs.
Agence Nationale des Technologies de l’Information et de la Communication
9
Activités
Description
Service en charge
Audits de sécurité
Réalisation des audits de sécurité des conformément à l’article 7 alinéa 2 de la loi N°2010/012 du 21 décembre 2010 relative à la cyber sécurité et à la cybercriminalité au Cameroun
DAS
Classification des données Confidentiel
Messagerie
Plateforme de messagerie professionnelle [mail.antic.cm] Site web vitrine de l’ANTIC
DNC
Confidentiel
DNC
Public
Emission des certificats nécessaires à la sécurisation des transactions et gestion de leur cycle de vie : L’émission d’un certificat ; La génération d’une paire de clés ; La signature de la clé par l’Autorité de certification ; La révocation d’un certificat L’intégration des toolkits au code source des applications à sécuriser Monitoring des sites web ; Scan de vulnérabilités ; Emission des bulletins de sécurité ; scruter l’internet pour rechercher les activistes ;
CPKI
Secret
CPKI
Confidentiel
CIRT
Public (Alertes) ; Confidentiel (statistiques et analyses de trafic,
Site web antic.cm Gestion des certificats électroniques
Sécurisation des applications Veille sécuritaire
Agence Nationale des Technologies de l’Information et de la Communication
Actifs Documents collectés auprès des structures auditées ; Rapports d'audit ; Ordinateurs (comportant les utilitaires d'audit) Serveur virtuel dédié (local technique ARMP) Serveur virtuel dédié (local technique ARMP) 01 serveur pour l’autorité de certification gouvernementale ; 01 serveur pour l’autorité d’enregistrement ; 01 serveur pour le stockage des certificats Toolkits Serveur de tests ; Ordinateurs sur lesquels sont déployés les utilitaires
Utilisateurs (Effectif) Experts auditeurs de l’ANTIC(20)
Incidents
Personnels ANTIC (100) Grand public
Crash du serveur /
/
/
Développeur s ANTIC Personnels CIRT/ANTIC
/
/
/
10
Gestion du .cm
Assistance des forces de l'ordre (cybersécurité)
Gestion de la paie Fonction Informatique interne
Publications des alertes de sécurité des vulnérabilités critiques Administration de l’infrastructure de gestion des noms de domaine en .cm Assistance des forces de l’ordre dans la lutte contre la cybercriminalité en effectuant les investigations nécessaires en réponse aux réquisitions des officiers de police L’application permet de gérer la paie des salariés de l’agence La DEDT s’occupe globalement de la conduite des activités liées à la fonction informatique en interne
M. PAGOU
rapports de scan de vulnérabilités) Confidentiel
CIRT
Secret
DRH
Privé
DEDT
Privé
Agence Nationale des Technologies de l’Information et de la Communication
Serveurs du .cm Base de données des noms de domaine Réquisitions des officiers de police judiciaire ou INTERPOL Ordinateurs sur lesquels sont déployés des logiciels utilitaires(BYOD) Poste utilisateur sur lequel est déployée l'application Parc informatique ANTIC Routeurs internet ; Postes de travail utilisateurs
M. PAGOU
/
Personnels CIRT/ANTIC
/
Personnels DRH (3) Personnels DEDT
/ /
11
7. EVALUATION 6. 7.1. EVALUATION DE L’IMPACT L’évaluation de l’impact devra tenir compte des paramètres suivants :
Disponibilité, Intégrité, Confidentialité ; Impact sur la réputation ; Impact sur les relations avec les partenaires et prestataires ; Impact sur la conformité ; Impact financier sur l’agence ; Impact sur la capacité de l’agence à atteindre ses objectifs et missions régaliennes ; Coût de remplacement ; Temps de remplacement ; Sécurité et santé des employés/prestataires ; Autres indicateurs pertinents (éventuellement)
IMPACT Classification
Valeur
Insignifiant
0
Mineur
1
Modéré
2
Majeur
3
Catastrophique
4
Description Aucun impact sur les performances et la sécurité de l’activité Système apte à poursuivre sa mission en mode nominal Aucun retard Aucune victime pas de compromission des données Dégradation des performances du système sans impact sur la sécurité Système apte à poursuivre sa mission en mode dégradé Retard faible n'empêchant pas le déroulement de la mission Pas de mort, blessés très légers Compromission de données peu sensibles Forte dégradation ou échec des performances du système sans impact sur la sécurité Système apte à poursuivre sa mission en mode dégradé Retard assez important perturbant le déroulement de la mission Pas de mort, nombre assez élevé de blessés Compromission de données classifiées Privé Dégradation de la sécurité ou de l’intégrité du système Système apte à poursuivre sa mission en mode fortement dégradé Retard important remettant en cause le déroulement de la mission Blessés graves Compromission de données classifiées Confidentiel Forte dégradation ou perte totale du système avec atteinte grave à la sécurité Système inapte à poursuivre sa mission Retard très important entrainant un échec de la mission
Agence Nationale des Technologies de l’Information et de la Communication
12
Morts Compromission de données classifiées Secret
7.2. EVALUATION DE LA PROBABILITÉ D’OCCURRENCE Elle devra tenir compte des éléments suivants :
Fréquence d’occurrence de la menace o Statistiques (si disponibles) o Incidents passés répertoriés o Expérience de l’auditeur Exposition de l’actif à la menace (considérations d’ordre conceptuel) Contrôles implémenté (Niveau de maturité. Ici, on pourra s’inspirer des contrôles définis par la norme ISO 27002 sur chacun des axes, Organisationnel, Physique et Technique)
Le tableau suivant présente l’échelle d’évaluation de la probabilité d’occurrence
PROBABILITE Classification Très Peu Probable
Valeur 0
Peu Probable
1
Probable
2
Très Probable
3
Fréquent
4
Description
7.3. EVALUATION ET CLASSIFICATION DU RISQUE Pour l’évaluation de la valeur du risque, nous utiliserons donc une échelle semi-qualitative matérialisée par les matrices suivantes, proposée par la norme ISO 27005. PROBABILITE
IMPACT
Très Peu Probable Peu Probable
Probabl Très Probable Fréquent e
Insignifiant
0
1
2
3
4
Mineur
1
2
3
4
5
Modéré
2
3
4
5
6
Majeur
3
4
5
6
7
Catastrophique
4
5
6
7
8
Agence Nationale des Technologies de l’Information et de la Communication
13
CLASSIFICATION [0, 2]
Faible
Négligeable
[3, 5]
Modéré
Critique
[6, 8]
Elevé
Inacceptable
Le risque peut être accepté Des mesures de traitement du risque doivent être prises dans un délai court Des mesures doivent être prises pour éviter la situation à défaut, l’activité doit être suspendue
Evaluation des risques par Activité/Processus 1. DAS (Audit de sécurité) MENACES
IMPACT
PROBABILITE
RISQUE
Abus de droit
Modéré
Très Probable
5
MODERE
Corruption ou perte des données
Modéré
Très Probable
5
MODERE
Erreur en cours d'utilisation
Mineur
Probable
3
MODERE
Traitement illicite de données
Majeur
Fréquent
7
ELEVE
Espionnage à distance
Majeur
Probable
5
MODERE
Altération de logiciels
Modéré
Peu Probable
3
MODERE
Vol de médias ou documents
Majeur
Très Probable
6
ELEVE
MENACES
IMPACT
PROBABILITE
Abus de droit Violation de la maintenabilité du système d'information
Majeur
Probable
5
MODERE
Modéré
Peu Probable
3
MODERE
Violation de la disponibilité du personnel
Mineur
Peu Probable
2
FAIBLE
Destruction de matériel ou de supports
Majeur
Très Peu Probable
3
MODERE
Erreur en cours d'utilisation
Modéré
Probable
4
MODERE
Défaillance de l'équipement
Majeur
Probable
5
MODERE
Défaillance du matériel de télécommunication
Majeur
Peu Probable
4
MODERE
Inondation
Catastrophique
Très Peu Probable
4
MODERE
Perte d'alimentation
Majeur
Peu Probable
4
MODERE
Espionnage à distance
Modéré
Peu Probable
3
MODERE
Vol de médias ou documents
Modéré
Peu Probable
3
MODERE
PKI
Agence Nationale des Technologies de l’Information et de la Communication
RISQUE
14
Vol de matériels
Majeur
Peu Probable
4
MODERE
Utilisation non autorisée de l'équipement
Mineur
Probable
3
MODERE
MENACES
IMPACT
PROBABILITE
Violation de la maintenabilité du système d'information
Mineur
Peu Probable
2
FAIBLE
Destruction de matériel ou de supports
Majeur
Très Peu Probable
3
MODERE
Erreur en cours d'utilisation
Modéré
Probable
4
MODERE
Défaillance de l'équipement
Modéré
Probable
4
MODERE
Défaillance du matériel de télécommunication
Mineur
Probable
3
MODERE
Inondation
Majeur
Très Peu Probable
3
MODERE
Escalade des droits
Majeur
Peu Probable
4
MODERE
Perte d'alimentation
Modéré
Fréquent
6
ELEVE
Espionnage à distance
Majeur
Probable
5
MODERE
Saturation du système d'information
Mineur
Très Peu Probable
1
FAIBLE
Vol de matériels
Majeur
Probable
5
MODERE
Utilisation non autorisée de l'équipement
Majeur
Probable
5
MODERE
MENACES
IMPACT
PROBABILITE
Abus de droit
Modéré
Probable
4
MODERE
Corruption ou perte des données
Modéré
Probable
4
MODERE
Données provenant de sources non fiables
Mineur
Probable
3
MODERE
Destruction de matériel ou de supports
Majeur
Très Peu Probable
3
MODERE
Écoute
Modéré
Très Peu Probable
2
FAIBLE
Défaillance de l'équipement
Modéré
Probable
4
MODERE
Défaillance du matériel de télécommunication
Modéré
Probable
4
MODERE
Inondation
Majeur
Très Peu Probable
3
MODERE
Escalade des droits
Modéré
Probable
4
MODERE
Traitement illicite de données
Modéré
Peu Probable
3
MODERE
Perte d'alimentation
Modéré
Fréquent
6
ELEVE
Espionnage à distance
Modéré
Peu Probable
3
MODERE
Site Web RISQUE
Messagerie
Agence Nationale des Technologies de l’Information et de la Communication
RISQUE
15
Saturation du système d'information
Mineur
Très Peu Probable
1
FAIBLE
Vol de médias ou documents
Modéré
Probable
4
MODERE
Vol de matériels
Majeur
Probable
5
MODERE
Utilisation non autorisée de l'équipement
Majeur
Probable
5
MODERE
MENACES
IMPACT
PROBABILITE
Corruption ou perte des données
Modéré
Probable
4
MODERE
Refus (répudiation) d’actions
Modéré
Très Probable
5
MODERE
Erreur en cours d’utilisation
Modéré
Probable
4
MODERE
Défaillance de l'équipement
Modéré
Très Probable
5
MODERE
MENACES
IMPACT
PROBABILITE
Abus de droit Violation de la maintenabilité du système d'information
Majeur
Probable
4
MODERE
Mineur
Très Probable
4
MODERE
Violation de la disponibilité du personnel
Majeur
Probable
4
MODERE
Corruption ou perte des données
Catastrophique
Probable
5
MODERE
Destruction de matériel ou de supports
Catastrophique
Probable
6
ELEVE
Erreur en cours d'utilisation
Majeur
Très Peu Probable
3
MODERE
Défaillance de l'équipement
Catastrophique
Peu Probable
5
MODERE
Défaillance du matériel de télécommunication
Catastrophique
Probable
6
ELEVE
Inondation
Catastrophique
Très Peu Probable
4
MODERE
Escalade des droits
Catastrophique
Très Peu Probable
4
MODERE
Traitement illicite de données
Majeur
Probable
5
MODERE
Perte d'alimentation
Modéré
Probable
4
MODERE
Incendie
Catastrophique
Peu Probable
5
MODERE
Espionnage à distance
Modéré
Probable
4
MODERE
Vol de matériels
Catastrophique
Probable
6
ELEVE
Utilisation non autorisée de l'équipement
Modéré
Peu Probable
3
MODERE
Processus de Gestion de la Paie RISQUE
CIRT : Gestion du .cm RISQUE
DEDT
Agence Nationale des Technologies de l’Information et de la Communication
16
MENACES
IMPACT
PROBABILITE
Abus de droit
Majeur
Fréquent
7
ELEVE
Violation de la maintenabilité du système d'information
Modéré
Fréquent
6
ELEVE
Violation de la disponibilité du personnel
Modéré
Très Probable
5
MODERE
Corruption ou perte des données
Majeur
Fréquent
7
ELEVE
Destruction de matériel ou de supports
Majeur
Très Probable
6
ELEVE
Erreur en cours d'utilisation
Mineur
Très Probable
4
MODERE
Défaillance de l'équipement
Mineur
Probable
3
MODERE
Défaillance du matériel de télécommunication
Modéré
Probable
4
MODERE
Inondation
Majeur
Fréquent
7
ELEVE
Escalade des droits
Mineur
Fréquent
5
MODERE
Traitement illicite de données
Majeur
Très Probable
6
ELEVE
Perte d'alimentation
Modéré
Probable
4
MODERE
Incendie
Majeur
Très Probable
6
ELEVE
Agence Nationale des Technologies de l’Information et de la Communication
RISQUE
17
Cartographie des risques par activité
PKI
Site WEB
Messagerie
Gestion de la Paie
CIRT
DEDT
Abus de droit Violation de la maintenabilité du système d'information Violation de la disponibilité du personnel Corruption ou perte des données Données provenant de sources non fiables Refus (répudiation) d'actions Destruction de matériel ou de supports La poussière, la corrosion, la congélation Écoute Erreur en cours d'utilisation Défaillance de l'équipement Défaillance du matériel de télécommunication Inondation Incendie Escalade des droits Traitement illicite de données Perte d'alimentation Phénomène météorologique Espionnage à distance Saturation du système d'information Altération de logiciels Vol de médias ou documents Vol de matériels Utilisation non autorisée de l'équipement
DAS
Agence Nationale des Technologies de l’Information et de la Communication
18
8. TRAITEMENT DU RISQUE
CONCLUSION A l’issu de ce travail de cartographie des risques informatiques de l’Agence, il importe de relever le constat global qui se dégage, ainsi que les principaux facteurs d’incertitude ou d’incomplétude de notre analyse. Du constat global : De l’incertitude :
Agence Nationale des Technologies de l’Information et de la Communication
19