1 Pourquoi lhomologation de scurit ? Lorsquun responsable (autorit administrative, lu, dirigeant dentreprise) dcide de faire dmnager ses quipes dans de nouveaux locaux ou douvrir un tablissement recevant du public, il sassure que les lieux sont conformes la rglementation et que les btiments sont solides, afn que lensemble puisse fonctionner en toute scurit pour les personnes et les biens. Il doit sen assu- rer mme sil nest pas un spcialiste de la construction et il sappuie pour cela sur des garanties et des arguments ports sa connaissance par des experts du domaine. En matire dinformatique, lhomologation de scurit joue le mme rle. Elle permet un responsable, en sappuyant sur lavis des experts, de sinformer et dattester aux utilisateurs dun systme dinformation que les risques qui psent sur eux, sur les informations quils manipulent et sur les services rendus, sont connus et matriss. Lhomologation est dautant plus ncessaire, aujourdhui, que les systmes dinformation sont de plus en plus complexes et que les impacts potentiels dun incident sont de plus en plus graves. La dmarche dhomologation, recommande depuis plusieurs annes par lAgence nationale de la scurit des systmes dinformation (ANSSI), est donc un pralable linstauration de la confance dans les systmes dinformation et dans leur exploitation. Pour un certain nombre de systmes, cette recommandation est rendue obliga- toire par des textes, tels que linstruction gnrale interministrielle n 1300, le rfrentiel gnral de scurit (RGS) et la politique de scurit des systmes dinformation de ltat (PSSIE). 2 Quest-ce quune homologation de scurit ? En informatique, comme dans les autres domaines, le risque zro nexiste pas. La dmarche dhomologation de scurit est destine faire connatre et faire comprendre aux responsables les risques lis lexploitation dun systme din- formation. Il sagit dun processus dinformation et de responsabilisation qui aboutit une dcision, prise par le responsable de lorganisation. Cette dcision constitue un acte formel par lequel il: atteste de sa connaissance du systme dinformation et des mesures de scurit (techniques, organisationnelles ou juridiques) mises en uvre; accepte les risques qui demeurent, quon appelle risques rsiduels. La dcision sappuie sur lensemble des documents que le responsable estime ncessaire et sufsant sa prise de dcision. La dmarche dhomologation doit tre adapte aux enjeux de scurit du sys- tme, notamment au contexte demploi, la nature des donnes contenues, ainsi quaux utilisateurs: dans les cas de systmes complexes ou fort enjeu de scurit, il est sou- haitable que le responsable sentoure dexperts techniques et fonctionnels (la commission dhomologation). Il peut dlguer la prise de dcision lun de ses reprsentants qui prsidera ce comit dexperts; dans le cas de systmes simples, le responsable peut mettre en place des procdures simplifes associant un nombre plus limit dacteurs. 3 Comment homologuer un systme dinformation ? La dmarche dhomologation peut tre dcompose en neuf tapes, dont la mise en uvre est directement lie la complexit du systme homologuer. Les questions poses lors de ces neuf tapes permettent de constituer un dossier, sur lequel lautorit dhomologation sappuie pour prendre sa dcision. Dfnition de la stratgie dhomologation tape n1: Quel systme dinformation dois-je homologuer et pourquoi? Dfnir le rfrentiel rglementaire applicable et dlimiter le primtre du systme homologuer. tape n2: Quel type de dmarche dois-je mettre en uvre? Estimer les enjeux de scurit du systme et en dduire la profondeur ncessaire de la dmarche mettre en uvre. tape n3: Qui contribue la dmarche? Identifer les acteurs de l homologation et leur rle (dcisionnaire, assistance, expertise technique, etc.). tape n 4 : Comment sorganise-t-on pour recueillir et prsenter les infor- mations? Dtailler le contenu du dossier d homologation et dfnir le planning. Matrise des risques tape n5: Quels sont les risques pesant sur le systme? Analyser les risques pesant sur le systme en fonction du contexte et de la nature de lorganisme et fxer les objectifs de scurit. 4 tape n6: La ralit correspond-elle lanalyse? Mesurer l cart entre les objectifs et la ralit. tape n7: Quelles sont les mesures de scurit supplmentaires mettre en uvre pour couvrir ces risques? Analyser et mettre en uvre les mesures ncessaires la rduction des risques pesant sur le systme d information. Identifer les risques rsiduels. Prise de dcision tape n8: Comment raliser la dcision dhomologation? Accepter les risques rsiduels: lautorit d homologation signe une attestation formelle autorisant la mise en service du systme d information, du point de vue de la scurit. Suivi a posteriori tape n9: Quest-il prvu pour maintenir la scurit et continuer de lam- liorer? Mettre en place une procdure de rvision priodique de l homologation et un plan daction pour traiter les risques rsiduels et les nouveaux risques qui apparatraient. 5 Table des matires Objectifs de lhomologation de scurit tape n 1 : Quel systme dinformation dois-je faire homologuer et pourquoi? tape n2: Quel type de dmarche dois-je mettre en uvre? tape n3: Qui contribue la dmarche? tape n 4 : Comment sorganise-t-on pour recueillir et prsenter les informations? tape n5: Quels sont les risques pesant sur le systme? tape n6: La ralit correspond-elle lanalyse? tape n 7 : Quelles sont les mesures de scurit supplmentaires pour couvrir ces risques? tape n8: Comment raliser la dcision dhomologation? tape n9: Quest-il prvu pour continuer damliorer la scurit? Conseils pratiques Annexe 1 : Estimation rapide du besoin de scurit dun systme dinformation Annexe2: Estimation rapide du niveau de maturit de lorganisme Annexe3: Liste des documents pouvant tre contenus dans un dos- sier dhomologation Annexe 4 : Liste de menaces, issue de la base de connaissance EBIOS 7 9 13 17 23 29 33 37 41 45 48 52 59 61 71 7 Objectifs de lhomologation de scurit En informatique, comme dans les autres domaines, le risque zro nexiste pas. Lobjectif de la dmarche d homologation dun systme dinformation (SI) est de trouver un quilibre entre le risque acceptable et les cots de scurisation, puis de faire arbitrer cet quilibre, de manire formelle, par un responsable qui a autorit pour le faire. Cette dmarche permet damliorer la scurit pour un cot optimal, en vitant la sur-scurit , mais en prenant galement en compte le cot dun ventuel incident de scurit. Elle permet de sassurer que les risques pesant sur le SI, dans son contexte dutilisation, sont connus et matriss de manire active, prventive et continue. La dmarche dhomologation doit sintgrer dans le cycle de vie du sys- tme dinformation. Elle comprend plusieurs tapes cls, dtailles au sein du prsent document. Il est ncessaire de les suivre en mme temps que les phases de dveloppement du systme: opportunit, faisabilit, conception, ralisation, validation, exploitation, maintenance et fn de vie. En outre cette dmarche doit tre lance sufsamment tt, afn de pouvoir dterminer les exigences de scurit qui seront intgres dans les cahiers des charges de dveloppement ou dacquisition. La dcision d homologation est le rsultat du processus. Son objet est de vrifer que le responsable a analys les risques de scurit et a mis en uvre les dispositifs adapts la menace. Le terme homologation recouvre donc deux notions distinctes: la dmarche dhomologation, avant tout destine faire connatre et faire comprendre aux responsables les risques lis lexploitation dun systme dinformation. Elle se conclut par une dcision, soutenue par la constitution et lanalyse dun dossier de scurit; la dcision formelle dhomologation (galement appele attestation for melle). 8 Se lancer dans une dmarche dhomologation est relativement simple: il sagit de vrifer que la scurit na pas t oublie avant la mise en place du systme dinformation et dappliquer les mesures de scurit ncessaires et proportion- nes. Les neuf tapes simples prsentes dans ce document permettront un chef de projet ou un comit de pilotage SSI de prparer un dossier dhomolo- gation et de le prsenter au responsable, dsign autorit d homologation. Lautorit dhomologation pourra alors prendre une dcision claire sur la base de ce dossier, qui doit apporter des rponses pertinentes lensemble des questions quelle se pose. Quel systme dinformation dois-je faire homologuer et pourquoi ? 1 tape n 10 QUEL SYSTME DINFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ? Durant la premire tape, vous allez prciser le rfrentiel rglemen- taire applicable et dlimiter le primtre du systme homologuer. 1 . Prciser le rfrentiel rglementaire La dmarche dhomologation est recommande depuis plusieurs annes par lAgence nationale de la scurit des systmes dinformation (ANSSI). Pour un certain nombre de systmes, cette recommandation est rendue obligatoire par: linstruction gnrale interministrielle n 1300 (IGI 1300), pour les systmes traitant dinformations classifes de dfense; le rfrentiel gnral de scurit (RGS), pour les systmes permettant des changes entre une autorit administrative et les usagers ou entre autorits administratives; la politique de scurit des systmes dinformation de ltat (PSSIE), pour les systmes des administrations de ltat. Il est indispensable de dterminer quel titre le systme dinformation doit tre homologu. En efet, mme si la dmarche dhomologation reste identique dans tous les cas, le rfrentiel rglementaire constitue un lment crucial pour la dlimitation du primtre et la constitution du dossier dhomologation. 2 . Dlimiter le primtre du systme Le primtre du systme dinformation homologuer doit comporter tous les lments indispensables au fonctionnement du systme. La dlimitation du p- rimtre ne doit comporter aucune ambigut, car elle permet de dterminer et de caractriser prcisment les systmes qui seront homologus. La description de ce primtre comprend: des lments fonctionnels et dorganisation : fonctionnalits du sys- QUEL SYSTME DINFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ? tme, type dutilisateurs, contexte et rgles demploi, procdures forma- lises, conditions demploi des produits de scurit, gestion des droits, dispositifs de dtection et de gestion des incidents; des lments techniques: architecture du systme (en prcisant notam- ment les interconnexions avec dautres systmes), possibilit dutilisation de supports amovibles, daccs distance ou de cloisonnement, mca- nismes de maintenance, dexploitation ou de tlgestion du systme, notamment lorsque ces oprations sont efectues par des prestataires externes; le primtre gographique et physique : localisations gographiques et caractristiques des locaux. Le primtre peut voluer au cours de la dmarche dhomologation, mais il est recommand daboutir rapidement une dlimitation stable de celui-ci. Il est galement recommand dappliquer une dmarche dhomologation pour chaque service applicatif ou systme dinformation. Les questions qui se posent la premire tape Le systme dinformation est (ou sera) compos de certaines briques matrielles et logicielles que je ne matrise pas, car je les achte un industriel, un diteur ou un intgrateur. Comment garantir leur niveau de scurit? Lorsque ces briques sont des composants essentiels de scurit, elles doivent de pr- frence faire lobjet dune labellisation de scurit (qualifcation ou dfaut certi- fcation). Lorsque ces briques sont des composants essentiels de la fonction applicative, il faut 11 12 QUEL SYSTME DINFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ? exiger auprs du fournisseur un cahier de scurit, qui ofre des garanties, prcise les conditions demploi et dfnit des rgles de scurit. Le cas chant, des audits de code peuvent tre raliss (cf. tapes suivantes). Ces documents sont verss au dossier d homologation du systme. Plusieurs services applicatifs, ncessitant chacun une homologa- tion, sont hbergs sur une mme plate-forme technique avec des ressources mutualises. Dois-je inclure la plate-forme dans toutes les homologations? Dans ce cas, il est recommand d homologuer sparment la plate-forme technique, en tudiant les risques qui lui sont propres et qui impactent potentiellement tous les services applicatifs quelle hberge. Jaurais d faire homologuer le systme dinformation avant sa mise en service, mais je ne lai pas fait et le service est oprationnel. Est-il trop tard? Non. La dmarche d homologation doit s inscrire dans un processus itratif dam- lioration continue de la scurit. Il est prfrable et plus efcace de la dmarrer avant les phases de dveloppement et d intgration, mais si le service est dj op- rationnel, les objectifs de l homologation restent les mmes. Le contenu du dossier d homologation sera lgrement difrent et certaines mesures de scurit ne pourront tre mises en uvre que lors des prochaines volutions du systme. Si les risques identifs sont trop importants et que les mesures de scurit sont impossibles mettre en uvre, il faut envisager larrt du service. Quel type de dmarche dois-je mettre en uvre ? 2 tape n 14 QUEL TYPE DE DMARCHE DOIS-JE METTRE EN UVRE ? Durant la deuxime tape, vous allez dfnir le niveau de profondeur de la dmarche dhomologation, afn que celle-ci soit adapte aux en- jeux de scurit du systme, dune part, et aux capacits de votre orga- nisme la mener, dautre part. La dmarche la plus adapte lhomologation du systme doit tre dfnie en fonction du contexte, du niveau de complexit et de criticit du systme, du niveau de sensibilit des donnes hberges et du niveau de maturit en matire de SSI de lorganisme qui met en uvre lhomologation. 1 . Autodiagnostiquer les besoins de scurit du systme et le niveau de maturit SSI de lorganisme Deux outils dautodiagnostic vous sont proposs. Ils sont dtaills en annexe du prsent document. Lannexe1 permet dvaluer les besoins de scurit du systme dinforma- tion homologuer, en estimant la gravit des consquences potentielles dune dfaillance du SI, la sensibilit des donnes, le degr dexposition aux menaces et limportance des vulnrabilits potentielles du systme. Un questionnaire simple et rapide vous permet de dterminer si le besoin de scurit du systme est nul, faible, moyen ou fort. Lannexe 2 permet de dterminer le niveau de maturit SSI de lorga- nisme, cest--dire le niveau de matrise et de rigueur atteint par lorganisme, dans la gestion de la scurit des systmes dinformation. Un questionnaire simple et rapide vous permet de dterminer si la matu- rit SSI de votre organisme est lmentaire, moyenne ou avance. 15 QUEL TYPE DE DMARCHE DOIS-JE METTRE EN UVRE ? 2 . En dduire la dmarche approprie En fonction des rsultats de lautodiagnostic des besoins de scurit et du ni- veau de maturit, vous pouvez dterminer, laide du tableau infra, le type de dmarche dhomologation mettre en uvre dans le cadre de votre projet. Les autodiagnostics doivent tre raliss avec srieux et objectivit. Ladoption dune dmarche inadapte aux enjeux ou aux capacits de lorga- nisme hypothquerait les chances de russite du projet dhomologation. Les dmarches possibles sont les suivantes: Pianissimo: dmarche autonome a minima, que lautorit dhomologa- tion peut mener sans recours une assistance conseil externe, par lappli- cation des outils et des indications donns dans le prsent guide. Mezzo-Piano : dmarche autonome approfondie, que lautorit dho- mologation peut mener sans recours une assistance conseil externe, par lapplication des outils et des indications donns dans le prsent guide et ses ressources internes. Mezzo-Forte: dmarche assiste approfondie, que lautorit dhomolo- gation mne avec laide dune assistance conseil externe, en plus des outils et des indications donnes dans le prsent guide. Forte : le niveau de maturit de lorganisme en matire de scurit des systmes dinformation dispense lautorit dhomologation de la lecture du prsent guide qui apporte des outils quelle matrise dj. Cette d- marche nest donc pas traite dans ce guide. 16 QUEL TYPE DE DMARCHE DOIS-JE METTRE EN UVRE ? Besoin de scurit du Systme Faible Moyen Fort Niveau SSI de lorganisme lmentaire Pianissimo: dmarche autonome a minima Mezzo-Forte: dmarche assiste approfondie Mezzo-Forte: dmarche assiste approfondie moyen Pianissimo: dmarche autonome a minima Mezzo-Piano: dmarche autonome approfondie Mezzo-Forte: dmarche assiste approfondie avanc Pianissimo: dmarche autonome a minima Forte: hors champ de ce guide Forte: hors champ de ce guide Qui contribue la dmarche ? 3 tape n 18 QUI CONTRIBUE LA DMARCHE ? Durant la troisime tape, vous allez identifer lensemble des acteurs de lhomologation et bien dfnir leur rle (dcision, assistance ou expertise technique notamment). Une homologation sappuie sur plusieurs acteurs distincts auxquels sont associs difrents rles et niveaux de responsabilit. 1 . Lautorit dhomologation (AH) Lautorit dhomologation est la personne physique qui, aprs instruction du dossier dhomologation, prononce lhomologation de scurit du systme din- formation, cest--dire prend la dcision daccepter les risques rsiduels identi- fs sur le systme. Lautorit dhomologation doit tre dsigne un niveau hirarchique suf- fsant pour assumer toutes les responsabilits. Il est donc ncessaire que lauto- rit dhomologation se situe un niveau de direction dans lorganisme. Lautorit dhomologation dsigne un responsable du processus dhomo- logation, qui mnera le projet dhomologation en son nom. Lorsque cela est ncessaire, elle peut rdiger une lettre de mission lat- tention de la personne charge dorganiser les tches du processus dhomolo- gation, en lui indiquant de quelle manire la synthse des rsultats de chaque tape de la dmarche dhomologation lui sera communique. Lorsque le systme est sous la responsabilit de plusieurs autorits, lauto- rit dhomologation est dsigne conjointement par les autorits concernes 2 . La commission dhomologation La commission dhomologation assiste lautorit dhomologation pour lins- truction de lhomologation et est charge de prparer la dcision dhomologa- tion. La taille et la composition de cette commission doivent tre adaptes 19 QUI CONTRIBUE LA DMARCHE ? la nature du systme et proportionnes ses enjeux. Cette commission, runit les responsables mtier concerns par le service homologuer et des experts techniques. Elle peut donc tre de taille trs rduite dans des cas trs simples. La commission dhomologation est charge du suivi des plannings, de lanalyse de lensemble des documents verss au dossier dhomologation. Elle se prononce sur la pertinence des livrables et peut les valider dans certains cas. 3 . Les acteurs de lhomologation La matrise douvrage La matrise douvrage reprsente les acteurs mtier et assure la bonne prise en compte des contraintes lies lutilisation du systme dinformation. Elle joue un rle-cl dans plusieurs tapes de la matrise des risques, y compris dans les arbitrages sur le traitement des risques. Le RSSI Lorsque lentit dispose dun responsable de la scurit des systmes dinfor- mation, celui-ci est impliqu dans la dmarche dhomologation. Selon les cas, il peut tre dsign responsable du processus dhomologation, charg du secr- tariat de la commission dhomologation ou tre membre de droit de cette com- mission. Le responsable dexploitation du systme Le responsable dexploitation du systme, ou autorit demploi, remplit le rle oprationnel. Il sagit de lentit exploitant le systme dinformation destin tre homologu. Les prestataires En fonction de leur statut (interne ou externe), de leur implication dans le projet et de leurs relations avec lautorit dhomologation, les prestataires peuvent tre intgrs dans la commission dhomologation, ou simplement consults en cas de besoin. 20 QUI CONTRIBUE LA DMARCHE ? Ils remplissent un rle dassistance et produisent des livrables qui seront verss au dossier dhomologation ainsi que des rponses aux interrogations de la com- mission dhomologation. Les systmes interconnects Les autorits dhomologation des systmes interconnects au systme concern peuvent jouer un rle dans lhomologation et tre associs la dmarche lorsque: le systme homologuer a un impact sur leurs propres systmes; ils mettent des avis ou des certifcats qui peuvent concerner le systme. Les questions qui se posent la troisime tape Qui doit tre dsign autorit dhomologation? Lautorit d homologation doit tre choisie au niveau hirarchique sufsant pour assumer toutes les responsabilits, y compris ventuellement pnale, afrentes cette dcision d homologation. Lautorit dhomologation doit-elle tre unique? Cest trs largement prfrable, car il sagit dune prise de responsabilit indivi- duelle. Lorsque le systme est sous la responsabilit de plusieurs autorits qualifes, une autorit d homologation multiple peut toutefois tre envisage, mais le partage des responsabilits doit demeurer absolument limpide. Lautorit dhomologation peut-elle tre dlgue? Parfois, une autorit d homologation est dsigne pour un systme complexe ou ensemble de systmes. Dans certains cas, elle souhaite dlguer la prise de dcision 21 QUI CONTRIBUE LA DMARCHE ? pour un systme particulier ou un sous-systme. Cest possible, mais avec beaucoup de prcautions et ds le dbut du projet: la dlgation doit tre donne en accord avec lautorit qui a dsign lauto- rit d homologation initiale; lautorit d homologation doit rester un niveau hirarchique sufsant pour assumer toutes les responsabilits qui lui incombent; il ne doit pas exister de mlange des genres et lautorit d homologation doit garder lobjectivit ncessaire; le dlgataire doit conserver une vue sur les systmes dploys, les programmes en cours et les travaux de maintien en condition de scurit. Au sein dun organisme, les membres de la commission dhomolo- gation sont-ils dsigns une fois pour toutes? Cela dpend beaucoup du nombre et de la nature des systmes d information homologuer au sein de lorganisme. La composition de la commission d homologa- tion peut tre dfnie: par projet, s ils sont difrents les uns des autres; pour lensemble des projets de la direction, s ils sont similaires les uns aux autres; de manire mixte avec un noyau stable et des intervenants spcifques au projet. Comment sorganise-t-on pour recueillir et prsenter les informations ? 4 tape n 24 COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ? Durant la quatrime tape, vous allez inventorier le contenu du dos- sier dhomologation et dfnir le planning de la dmarche qui permet- tra de le constituer et de linstruire. 1 . Le contenu du dossier dhomologation Le dossier dhomologation est aliment pendant toutes les phases de la d- marche, essentiellement avec des documents ncessaires la conception, la ralisation, la validation du projet ou la maintenance du SI aprs sa mise en service, ainsi que des documents produits spcifquement pour lhomologation. Lannexe3 propose une liste complte des documents qui peuvent tre intgrs dans un dossier dhomologation. Le contenu du dossier pourra varier selon la dmarche choisie. Le tableau ci-dessous synthtise les lments constitutifs du dossier dhomologation en fonction de la dmarche adopte. Lannexe3 tablit la liste plus complte des documents pouvant tre contenus dans un dossier dhomologation et en pro- pose une description dtaille. Pianissimo Mezzo-Piano Mezzo Forte Stratgie dhomologation Indispensable Rfrentiel de scurit Si existant Document prsentant les risques identifs et les objectifs de scurit Indispensable Politique de scurit des systmes dinformation Recommand Fortement recommand Procdures dexploitation scurise du systme Indispensable 25 COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ? Journal de bord de lhomologation Recommand Fortement recommand Certifcats de qualifcation des produits ou prestataires Si existant Rsultats daudits Si existant Recommand Fortement recommand Liste des risques rsiduels Indispensable Dcision dhomologation Indispensable Spcifquement pour les systmes dj en service: Tableau de bord des incidents et de leur rsolution Recommand Fortement recommand Indispensable Rsultats daudits intermdiaires Si existant Recommand Journal des volutions du systme Si existant Dmarche Pianissimo: Tous les documents dcrivant les procdures de scurit en vigueur au sein de lorganisme peuvent tre intgrs au dossier, par exemple: la charte dutilisation des postes informatiques; les rgles de contrle daccs physique et logique au systme; les clauses de scurit des contrats de sous-traitance informatique. Dmarche Mezzo-Piano et Mezzo Forte: Les documents constitutifs du rfrentiel de scurit de lorganisme peuvent tre intgrs au dossier. En particulier: la politique de scurit des systmes dinformation (PSSI) de lorganisme; 26 COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ? la lgislation ou la rglementation particulire au contexte de lorganisme; le dossier de scurit des systmes interconnects au systme homolo- guer. La PSSI, quand elle existe, est un document de rfrence pour lhomologation, car elle contient des lments stratgiques (primtre du systme, principaux besoins de scurit et origine des menaces), ainsi que les rgles en vigueur au sein de lorganisme. Lhomologation peut aussi tre loccasion de complter (ou de rdiger) la PSSI, par exemple pour gnraliser des rgles indispensables au SI homologu. 2 . Planning Lhomologation doit tre prononce pralablement la mise en service opra- tionnelle du systme dinformation. La dmarche visant lhomologation doit donc tre lance en amont puis tre totalement intgre au projet ds les phases dtude pralable et de concep- tion, afn dviter tout risque calendaire. Le calendrier de lhomologation est directement dpendant du calendrier du projet dont il doit tenir compte en permanence. Les principales tapes de lhomologation sont fxes dans la stratgie dhomologation. Il est indispensable de dterminer les tches de chacun des acteurs de lhomologation et les formaliser dans un planning associ, reprenant les prin- cipales tapes. Au besoin, en fonction de lvolution du projet, ces chances peuvent tre rvises, avec laccord de lautorit dhomologation. Ainsi, une homologation est rythme par deux temps forts: la construction du rfrentiel documentaire et lanalyse de risque (dont la mise en uvre peut tre longue); le dploiement, laudit, lhomologation et la mise en service oprationnel (a contrario, il sagit dune tape courte et trs rapide). 27 COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ? Les chances prvues pour les difrentes tapes de la dmarche dhomologa- tion doivent fgurer dans le planning: 1. lancement de la procdure dhomologation (par exemple date de formali- sation de la stratgie dhomologation); 2. dbut et de fn de lanalyse des risques (dates des entretiens avec lautorit); 3. remise des difrents documents du dossier dhomologation (cf. section suivante); 4. engagements lis dventuels contrats avec des prestataires impliqus dans le systme (hbergeurs, fournisseurs de sous-systmes, dapplica- tions); 5. runions de la commission dhomologation; 6. audits ventuels sur les composants du systme (techniques ou organisa- tionnels), logiciels plates-formes matrielles, interfaces rseaux; 7. homologation du systme; 8. mise en service du systme. Les questions qui se posent la quatrime tape Un audit sera-t-il ncessaire au cours de la dmarche dhomologation? Un contrle sera systmatiquement efectu la sixime tape, mais ce contrle ne prendra la forme dun audit technique formel que si les enjeux de scurit le justifent. Quelle que soit la dmarche adopte, cest lautorit d homologation de dcider s il est ncessaire defectuer un audit sur le systme d information, et quel niveau. Cet audit permettra de mettre en vidence d ventuelles failles sur le systme, et d identifer rapidement les risques encourus par lorganisme en cons- quence. Quels sont les risques pesant sur le systme ? 5 tape n 30 QUELS SONT LES RISQUES PESANT SUR LE SYSTME ? Durant la cinquime tape, vous allez identifer et ordonner les risques qui psent sur le systme dinformation homologuer. 1 . Lanalyse de risque Un risque est la combinaison dun vnement redout (susceptible davoir un impact ngatif sur la mission de lentit) et dun scnario de menaces. On me- sure le niveau du risque en fonction de sa gravit (hauteur des impacts) et de sa vraisemblance (possibilit quil se ralise). Il sagit didentifer les risques pesant sur la scurit des systmes dinfor- mation, de les hirarchiser et de dterminer des objectifs gnraux qui permet- tront de diminuer certains dentre eux et, terme, de les amener un niveau acceptable. La dure et le cot de la ralisation dune analyse de risques sont fonc- tion de la complexit du systme dinformation et de la sensibilit des donnes (donnes propres ou donnes de tiers, telles que celles des usagers ou des par- tenaires). Lanalyse des risques pesant sur le systme peut tre simplife dans le cadre dune dmarche Pianissimo. Dans le cas dune dmarche Mezzo-Piano ou Mezzo-Forte, on privilgiera lutilisation dune mthode prouve danalyse de risque. Dmarche Pianissimo Le tableau dautodiagnostic de lannexe1 vous a permis didentifer, lors de la deuxime tape, que les enjeux de scurit du systme dinformation taient limits et que les besoins de scurit taient faibles. Pour une analyse de risque simplife, vous pouvez alors procder de la manire suivante: 1. Partez de la liste des menaces courantes prsente dans lannexe 4. Ces menaces sont dordre volontaire ou accidentel (inondation, panne de cli- matisation entranant une panne des quipements informatiques, erreur de saisie), de nature physique (intrusion sur le systme) ou logique (intru- 31 QUELS SONT LES RISQUES PESANT SUR LE SYSTME ? sion rseau, dfguration de site, etc.). 2. cartez celles qui ne sont pas pertinentes dans le contexte du systme dinformation tudi; 3. Pour chaque menace conserve, dterminez un ou plusieurs biens essen- tiels qui pourraient tre afects. Les biens essentiels sont les informations traites au sein du systme, ainsi que leurs processus de traitement. Ils constituent la valeur ajoute du systme dinformation pour lorganisme. 4. Pour chaque lien identif entre une menace et un bien essentiel, dcrivez limpact ngatif sur la disponibilit, lintgrit ou la confdentialit de ce bien essentiel. Vous obtenez un scnario de risque. 5. Hirarchisez les scnarios de risque obtenus, en identifant les plus pro- bables et ceux dont limpact est le plus pnalisant. 6. Si un scnario de risque plausible aboutit un impact trs fort, cela signife que le besoin de scurit valu lors de la deuxime tape a t sous-va- lu. Envisagez alors une dmarche plus complte, de type Mezzo-Piano ou Mezzo Forte.
Dmarche Mezzo-Piano ou Mezzo-forte Dans le cadre de la mise en uvre dune dmarche Mezzo-Piano ou Mezzo- Forte, la mise en uvre dune mthode danalyse de risque prouve est trs fortement recommande. La mthode EBIOS2010 est une mthode danalyse de risque dveloppe par lANSSI. La mthode EBIOS2010 prsente les risques et les objectifs de scurit identifs dans une Fiche dExpression Rationnelle des Objectifs de Scurit (FEROS). Dans le cadre dune dmarche Mezzo-Piano, lanalyse est efectue par lautorit dhomologation, avec ou sans lassistance dun consultant ayant une exprience confrme de la mthode. Elle ncessite la participation des ac- teurs cls du systme homologuer, qui sont interrogs sur leurs besoins, leur contexte demploi du systme et les vnements quils redoutent. Cest la direc- tion de lentreprise ou lautorit administrative, par exemple, qui fournissent les informations sur les besoins de disponibilit ou de confdentialit du systme, ce qui permet didentifer les objectifs de scurit du systme. 32 QUELS SONT LES RISQUES PESANT SUR LE SYSTME ? Pour la dmarche Mezzo-Piano, le rsultat de lanalyse (la FEROS) peut en- suite constituer un lment du cahier des clauses techniques particulires dun appel dofres pour la ralisation ou la mise en conformit du systme homolo- guer. Les soumissionnaires doivent y rpondre en indiquant de quelle manire ils proposent datteindre les objectifs de scurit identifs par lautorit d homo- logation. 2 . Identifier les mesures de scurit lissue de lanalyse de risque, il convient de dfnir les mesures de scurit permettant de couvrir les risques identifs. Ceux qui demeurent aprs lappli- cation des mesures sont considrs comme des risques rsiduels qui doivent tre accepts dans le cadre de lhomologation. Dmarche Pianissimo Pour dterminer les mcanismes de scurit mettre en uvre, vous pouvez galement vous rfrer plusieurs documents publis par lANSSI (sur http://www.ssi.gouv.fr): le guide des 40 rgles dhygine informatique; le guide dexternalisation pour les systmes dinformation; le guide sur la virtualisation; les notes techniques, notamment celle sur la scurit web. Dmarche Mezzo-Piano et Mezzo-Forte Dans le cadre dune dmarche Mezzo-Piano et Mezzo Forte, les objectifs de scurit identifs au cours de lanalyse de risque selon la mthode EBIOS per- mettront de dfnir les mesures de scurit destines couvrir les risques consi- drs comme inacceptables. Outre les documents prsents dans le paragraphe prcdent, de nom- breux rfrentiels de scurit proposent des catalogues de mesures. La ralit correspond-elle lanalyse ? 6 tape n 34 LA RALIT CORRESPOND-ELLE LANALYSE ? Durant la sixime tape, vous devez mesurer lcart entre les rsultats de ltude de risque et la ralit, en ralisant un contrle plus ou moins formalis du sys- tme. Ce contrle peut intervenir tout moment du cycle de vie du systme: en amont, avant la mise en service voir au cours de la conception, mais galement en aval, si le systme est dj oprationnel. Le degr de formalisation du contrle dpend de la dmarche entreprise. Vous avez dtermin lors de la quatrime tape quel type daudit tait adapt. Certains systmes nappellent quune vrifcation peu formelle. En revanche, un audit complet et indpendant se justife dans le cas de systmes fort enjeu de scurit. 1 . Ralisation du contrle Dmarche Pianissimo Pour la dmarche Pianissimo, un audit technique est optionnel. Dmarche Piano Pour la dmarche Piano, il est recommand de procder un audit formalis sur les segments les moins matriss du systme. Dmarche Mezzo-forte Pour la dmarche Mezzo-Forte, il est fortement recommand defectuer un audit technique du systme dinformation. Cet audit permettra de mettre en vidence dventuelles failles et didentifer rapidement les risques encourus par lorganisme. Les audits doivent tre mens dans les formes prvues par le rfrentiel dexigences relatif aux prestataires daudit de la scurit des systmes dinfor- mation, disponible sur le site de lANSSI . 35 LA RALIT CORRESPOND-ELLE LANALYSE ? 2 . Dfinition du primtre du contrle Le contrle efectu, qui peut prendre la forme dun audit formalis, porte sur un systme dont le primtre doit tre soigneusement dlimit par lautorit dhomologation. Les lments contrler peuvent tre de difrente nature (code source, confguration des quipements, architecture du systme, organi- sation mise en place, etc.). Dans certains cas, des tests dintrusions peuvent tre efectus. 3 . Consquences de laudit sur le dossier dhomologation Le contrle de scurit doit faire lobjet dune trace crite. A fortiori, sil sagit dun audit de scurit, celui-ci doit faire lobjet dun rapport, qui doit faire appa- ratre: une volution des menaces sur le systme; la dcouverte ventuelle de nouvelles vulnrabilits; la prconisation de mesures correctrices, le cas chant. Le rapport daudit est intgr au dossier dhomologation, qui doit tre complt en tenant compte des nouveaux risques mis en lumire. Quelles sont les mesures de scurit supplmentaires pour couvrir les risques ? 7 tape n 38 QUELLES SONT LES MESURES DE SCURIT SUPPLMENTAIRES POUR COUVRIR CES RISQUES ? Durant la septime tape, vous devez dfnir un plan daction pour amener le risque identif un niveau acceptable. 1 . Le traitement du risque Au vu des rsultats de lanalyse de risques et du contrle de scurit, lautorit dhomologation se prononce sur lensemble des risques qui ne sont pas, ce stade, compltement couverts par des mesures de scurit. Il convient ainsi, pour tout ou partie de chaque risque de choisir parmi les options suivantes: lviter: changer le contexte de telle sorte quon ny soit plus expos; le rduire: prendre des mesures de scurit pour diminuer limpact et/ou la vraisemblance; lassumer : en supporter les consquences ventuelles sans prendre de mesure de scurit supplmentaire; le transfrer : partager les pertes occasionnes par un sinistre ou faire assumer la responsabilit un tiers. On peut choisir plusieurs options pour chaque risque. Par exemple, un risque peut tre partiellement rduit par la mise en uvre de mesures de scurit, partiellement transfr par le recours une assurance et partiellement assum pour ce qui subsiste. 2 . La mise en uvre de mesures de scurit Les mesures de scurit peuvent tre de nature technique, organisationnelle ou juridique. Elles sont dcides par lautorit dhomologation sur proposition de la commission dhomologation. En cas de recours un prestataire externe (hbergement de site ou de services par exemple), les mesures de scurit peuvent tre intgralement mises en uvre travers un contrat garantissant, par exemple, que les processus et les donnes sont protgs et accessibles uniquement aux utilisateurs lgitimes. 39 QUELLES SONT LES MESURES DE SCURIT SUPPLMENTAIRES POUR COUVRIR CES RISQUES ? 3 . Dfinition du plan daction Les risques rsiduels identifs lors du contrle et de lanalyse de risques et qui ne peuvent pas tre couverts par des mesures techniques ou organisationnelles sont identifs dans un plan daction. Ce dernier indique les vulnrabilits ven- tuelles, leur degr (critique, majeure, mineure), laction correctrice envisage, le pilote dsign, ainsi que lchance associe. Comment raliser la dcision dhomologation ? 8 tape n 42 COMMENT RALISER LA DCISION DHOMOLOGATION ? Durant la huitime tape, vous devez concrtiser la dcision dhomo- logation par une attestation formelle autorisant, du point de vue de la scurit, lexploitation du systme dinformation. La dcision dhomologation est lacte par lequel le responsable de lautorit administrative atteste de lexistence dune analyse de scurit et de sa prise en compte. La dcision dhomologation doit ncessairement comprendre un cer- tain nombre dlments, rfrencs ci-dessous. 1 . Le primtre de lhomologation Il doit, au minimum, tenir compte des lments suivants: rfrentiel rglementaire; rfrences des pices du dossier dhomologation; primtre gographique et physique (localisations gographiques, locaux, etc.); primtre fonctionnel et organisationnel (fonctionnalits, types dinfor- mations traites par le systme et sensibilit, types dutilisateurs, rgles demploi, procdures, conditions demploi des produits de scurit, etc.); primtre technique (cartographie, architecture dtaille du systme, pro- duits agrs, prestataires qualifs, etc.). 2 . Les conditions accompagnant lhomologation Lautorit dhomologation peut, en fonction des risques rsiduels identifs, as- sortir lhomologation de conditions dexploitation ainsi que dun plan daction visant maintenir et amliorer le niveau de scurit du systme dans le temps. chaque action, ce plan associe une personne pilote ainsi quune chance. 43 COMMENT RALISER LA DCISION DHOMOLOGATION ? 3 . La dure de lhomologation Lhomologation doit tre dcide pour une dure maximale. Cette dure doit prendre en compte lexposition du systme dinformation aux nouvelles menaces, ainsi que les enjeux de scurit du systme, cest--dire le degr de criticit des informations et des processus du systme. Pour un systme bien matris, avec peu de risques rsiduels et ne pr- sentant pas de difcults particulires, il est recommand de prononcer une homologation dune dure maximale de cinq (5) ans, avec revue annuelle. Cette dure maximale doit tre rduite trois (3) ans pour un systme avec de nom- breux risques rsiduels ou un an (1) pour un systme prsentant de nombreux risques rsiduels. 4 . Conditions de suspension ou de retrait de lhomologation Lhomologation de scurit ne demeure valide que tant que le systme dinfor- mation est exploit dans le contexte dcrit dans le dossier dhomologation. Les changements suivants doivent impliquer un rexamen du dossier, pouvant conduire une nouvelle dcision dhomologation ou un retrait de la dcision: raccordement dun nouveau site sur le systme dinformation; ajout dune fonctionnalit majeure; succession de modifcations mineures; rduction de lefectif afect une tche impactant la scurit; changement dun ou de plusieurs prestataires; prise de fonction dune nouvelle autorit dhomologation; non-respect dau moins une des conditions de lhomologation; changement du niveau de sensibilit des informations traites et, plus gnralement, du niveau du risque; volution du statut de lhomologation des systmes interconnects; 44 COMMENT RALISER LA DCISION DHOMOLOGATION ? publication dincidents de nature remettre en cause les garanties recueil- lies dans le dossier de scurit; dcision de lautorit dhomologation. ce titre, il est recommand que la commission dhomologation soit runie annuellement par lautorit dhomologation, afn de procder une revue du respect des conditions de lhomologation. Les questions qui se posent la huitime tape La dmarche dhomologation a mis en vidence que les risques rsiduels restent trop levs pour une homologation, mais des contraintes dordre suprieur imposent une mise en service opra- tionnelle du systme. Comment faire? Si lautorit d homologation considre que les conditions ne sont pas runies pour une homologation, la meilleure solution est de refuser l homologation. Si cette pos- sibilit nest pas envisageable, il est toujours possible de prononcer une autorisation provisoire demploi (APE) pour une dure courte (3 ou 6 mois), assortie de condi- tions strictes et dun plan daction prcis, destin supprimer ces risques trop levs et qui doit tre ralis durant le temps de lAPE. Certaines mesures de scurit ne pourront tre mises en place que dans deux ans pour une homologation de 3 ans. Est-ce trop long? Il est impratif de spcifer dans la dcision d homologation que la mise en place des mesures est progressive, planife et suivie. Elle doit commencer ds la date de publication de la dcision. Quest-il prvu pour continuer damliorer la scurit ? 9 tape n 46 QUEST-IL PRVU POUR CONTINUER DAMLIORER LA SCURIT ? Durant cette dernire tape, qui intervient aprs la dcision dhomolo- gation proprement dite, vous devez mettre en uvre une procdure de rvision priodique de lhomologation, ainsi que le plan daction pour traiter les risques rsiduels et les nouveaux risques dans le cycle de vie du systme. 1 . Suivi de lhomologation la suite de la dcision proprement dite, lautorit dhomologation doit veiller au maintien du niveau de scurit du systme. La commission dhomologation ralise annuellement un suivi de lhomologation. Cette tape nest pas une nou- velle instruction. Elle doit donc rester simple et se limiter une mise jour du dossier et une analyse succincte des volutions et des incidents intervenus au cours de lanne, afn de juger de lopportunit dune rvision plus approfondie de lhomologation. En prparation du renouvellement de lhomologation, le dossier dhomo- logation est rgulirement complt par les ventuelles analyses de vulnrabi- lits, les comptes rendus de contrle et les rapports daudits complmentaires. La version consolide est transmise aux membres de la commission dhomolo- gation Il est recommand de runir priodiquement la commission dhomologa- tion pour reprendre la liste des critres et vrifer que les conditions dhomo- logation sont toujours respectes. Cela permet galement dviter de reprendre lhomologation zro au terme de sa dure de validit. 2 . Maintien en conditions de scurit Il est ncessaire que les conditions de lhomologation soient respectes dans le temps. ce titre, lentit en charge du maintien du dossier dhomologation doit galement assurer une veille technologique. Celle-ci permet didentifer les vul- 47 QUEST-IL PRVU POUR CONTINUER DAMLIORER LA SCURIT ? nrabilits qui apparatraient sur le systme et sassurer quelles soient corriges, notamment les plus srieuses. Il est galement ncessaire de vrifer: les clauses de scurit et de maintien en conditions de scurit du systme, le cas chant en se rfrant au guide dexternalisation publi par lANSSI; les capacits dvolution et dinteroprabilit de son systme, notamment au regard de ses capacits de dveloppement ou de ses contrats de presta- tions de service. Les questions qui se posent la neuvime tape Si une nouvelle vulnrabilit est dcouverte, dois-je relancer le processus dhomologation? Cela dpend de limpact de la vulnrabilit sur le systme. Sil est fort, il faudrait efectivement relancer le processus dhomologation sans attendre lissue de la dure dhomologation en cours. XXXXX CONSEILS PRATIQUES La dmarche dhomologation est un projet en soi, qui doit sintgrer compl- tement au projet global et au cycle de vie du systme dinformation. Cest une dmarche qui peut se rvler complexe et qui se heurte parfois des difcults organisationnelles, techniques ou calendaires. Les conseils contenus dans cette fche vous permettront daboutir plus facilement un rsultat satisfaisant. Conseils dordre gnral Les conseils dordre gnral lists ci-dessous doivent, dans la mesure du pos- sible, tre suivis pour maximiser les chances de russite dune dmarche dhomologation: dbuter sufsamment tt la dmarche dhomologation; prvoir une validation formelle des dcisions au niveau hirarchique adquat; dsigner un vritable chef de projet, qui sera disponible tout au long du projet; matriser le calendrier et ne pas tre trop contraint par des ncessits oprationnelles; bien dfnir le primtre et disposer dune architecture prcise du systme; bien prendre en compte les interconnexions ventuelles; sappuyer sur des documents crits, explicites, sans ambigut, afn dviter les quiproquos entre les parties prenantes au projet. 48 XXXXX Avant ltude Une rfexion mene en amont permet de bien prparer la dmarche dhomolo- gation et dassurer sa russite de faon optimale. Au pralable, il faut que la dmarche soit porte haut niveau par lauto- rit dhomologation et que lensemble des acteurs concerns soit impliqu et motive. Il faut galement dsigner un chef de projet, qui disposera des moyens pour mener bien sa mission et rapporter toute difcult lautorit dhomo- logation. Enfn, ds que les acteurs de lhomologation sont identifs, il est indis- pensable de les sensibiliser sur la dmarche, les concepts et le vocabulaire qui seront utiliss. Pendant ltude Pour chaque activit raliser, il est conseill de sorganiser en mode projet, en identifant un responsable de lactivit, en constituant un groupe de travail et en lui confant une mission prcise, associe une date de ralisation. Certaines missions sont essentielles pour la russite du projet: > la sensibilisation des acteurs rappeler lobjectif de lactivit prsenter les concepts, le vocabulaire sassurer que lensemble des acteurs ait une vision commune de la problmatique > la collecte des informations raliser des entretiens rassembler les documents existants sur lorganisme, le projet 49 XXXXX > le suivi du projet prsenter des exemples pour lancer les discussions synthtiser les informations rcoltes pour validation par le groupe de travail nommer des responsables et fxer des chances se rencontrer priodiquement Il est galement ncessaire dadapter les livrables aux destinataires en ce qui concerne: la forme: tableaux, textes, schmas, etc.; le niveau dinformation: recherche dexhaustivit ou forme synthtique; lintgration aux documents existants; ladaptation au vocabulaire habituel de lorganisme, leur nomenclature, qui doit tre explicite, leur libell, qui doit tre court et descriptif. Enfn, il est recommand de faire valider chaque tape par la commission dhomologation. Cela permet dviter les retours en arrire improductifs, tout en impliquant les autorits tout au long de la ralisation du dossier de scurit. 50 ANNEXES 52 ANNEXE 1 Annexe 1 Estimation rapide du besoin de scurit dun systme dinformation Le tableau suivant permet dvaluer les besoins de scurit du systme dinforma- tion (SI) homologuer, en estimant la gravit des consquences potentielles dune dfaillance du SI, la sensibilit des donnes, le potentiel des attaquants, le degr dexposition aux menaces et limportance des vulnrabilits intrinsques du SI. Si vous rpondez Je ne sais pas plus de deux questions, faites-vous aider par la matrise douvrage, qui connat les enjeux du systme. Note Question n 1 : Votre systme est-il important pour remplir vos missions? 1 2 3 4 Non, le systme est accessoire laccomplis- sement des missions Oui, les missions seraient forte- ment perturbes par un dysfonc- tionnement du SI. Oui, les missions dpendent totalement du SI Je ne sais pas Question n 2 : Si un sinistre atteint votre SI, causant un dysfonction- nement ou une perte de donnes, les consquences en interne (pour vos ser- vices) seraient-elles graves? Exemple: une panne lectrique ne permet pas dutiliser le systme, le contenu dune base de donnes a t supprim, etc. 53 ANNEXE 1 Note 1 2 3 4 Non, les consquences internes dun sinistre seraient ngligeables Oui, les consquences internes dun sinistre seraient signifcatives Oui, les consquences internes dun sinistre seraient graves, voire fatales Je ne sais pas Question n 3 : Si un sinistre touche la scurit de votre systme (il ne fonctionne plus ou pas bien, vol dinformations), les consquences pour lextrieur (pour vos usagers, administrs) seraient-elles graves? 1 2 3 4 Non, les consquences dun sinistre pour lextrieur seraient ngligeables Oui, les consquences dun sinistre pour lextrieur seraient signifcatives Oui, les consquences dun sinistre pour lextrieur seraient graves, voire fatales Je ne sais pas Gravit des consquences potentielles (reportez ici la valeur maximale des rponses aux questions1 3) Question n4: Le fait que les donnes de votre systme soient inacces- sibles est-il grave? Exemple : vous ne pouvez pas accder aux donnes en raison dune panne matrielle. 1 2 3 4 Non, le fait quil ne soit pas accessible ne gne quasiment pas lactivit Oui, le fait quil ne soit pas accessible perturbera lactivit de manire signifcative Oui, le fait quil ne soit pas accessible peut tre fatal pour lactivit Je ne sais pas 54 ANNEXE 1 Note Question n5: Le fait que les donnes de votre systme soient altres est-il grave? Exemple: un virus a modif des valeurs dans une base de donnes, les remet- tant toutes 0. 1 2 3 4 Non, le fait que les donnes soient altres ne gne quasiment pas lactivit Oui, le fait que les donnes soient altres perturbera lactivit de manire signifcative Oui, le fait que les donnes soient altres peut tre fatal pour lactivit Je ne sais pas Question n6: Le fait que les donnes de votre systme ne soient pas ou plus confdentielles est-il grave? Exemple: la liste des bnfciaires du service social est dvoile. 1 2 3 4 Non, le dfaut de confdentialit ne gne quasiment pas lactivit Oui, le dfaut de confdentialit perturbera lactivit de manire signifcative Oui, le dfaut de confdentialit peut tre fatal pour lactivit Je ne sais pas Sensibilit des donnes du systme (reportez ici la valeur maximale des rponses aux questions4 6) Question n7: Quel est le niveau de comptence maximal prsum de lattaquant ou du groupe dattaquants susceptibles de porter atteinte au sys- tme? 55 ANNEXE 1 Note 1 2 3 4 Individu isol de niveau de comptence lmentaire Individu isol de niveau de comptence avanc Groupe dindi- vidus organiss, de niveaux individuels de comptence faibles moyens, ou individu isol aux comptences expertes Groupe dindividus experts, organiss, aux moyens quasi illimits Question n 8 : Quelle est la prcision des attaques potentielles envers le SI? 1 2 3 4 Attaques au hasard sur le cyberespace Attaques orientes vers le continent europen ou la France Attaques ciblant un groupe de victimes prsentant des caractristiques communes Attaques visant prcisment le systme Question n9: Quel est le niveau de sophistication des attaques poten- tielles contre le SI? 1 2 3 4 Outils dattaque triviaux (logiciel de scan de ports, virus connus, etc.) Outils labors gnriques prts lemploi (rseaux de botnet lous, faille connue, etc.) Outils sophistiqus, adapts pour le SI (zro-day, etc.) Bote outils trs hautement sophistique. 56 ANNEXE 1 Note Question n10: Quelle est la visibilit des attaques potentielles contre le SI? 1 2 3 4 Attaque annonce (revendications dhacktivistes, ranon, etc.) Attaque constate immdiatement par ses efets sur le SI Attaque discrte, qui laisse des traces dans les journaux dv- nements, mais ne perturbe pas le fonctionnement du SI Attaque invisible, ralise en laissant le minimum de traces Question n11: Quelles sont la frquence et la persistance des attaques potentielles contre le SI? 1 2 3 4 Unique: lattaque ne se produit sur la cible quune seule fois Ponctuelle: lattaque survient plusieurs fois sans rgularit dans sa frquence (elle peut tre lie lactualit). Rcurrente: attaque par vagues successives importantes Permanente. Base destimation des potentiels dattaques cyber (reportez ici la valeur maximale des rponses aux questions7 11) Question n12: Quel est le niveau dhtrognit du systme? Exemple: plusieurs logiciels, matriels ou rseaux difrents pour un mme systme. 57 ANNEXE 2 Note 1 2 3 4 Le systme est jug comme homogne Le systme est jug comme faiblement htrogne Le systme est jug comme fortement htrogne Je ne sais pas Question n 13 : Quel est le degr douverture/interconnexion du sys- tme? Exemple: Internet, un autre systme interne ou externe (celui dun prestataire, dune autre autorit administrative) 1 2 3 4 Le SI nest pas ouvert Le SI nest ouvert qu des systmes internes matriss Le systme est ouvert des systmes internes non matriss ou externes Je ne sais pas Question n14: Le contexte dans lequel se trouve le SI et ses composants (matriels, logiciels, rseaux) volue-t-il rgulirement? 1 2 3 4 Le SI et son contexte sont jugs stables Le SI et son contexte changent souvent Le SI et son contexte voluent en permanence Je ne sais pas Question n15: Les composants du SI sont-ils mis rgulirement jour? 1 2 3 4 Les composants du SI sont tous tenus jour en permanence Une partie des composants du SI est rgulirement mise jour Les mises jour sont efectues de manire irrgulire Je ne sais pas 58 ANNEXE 1 Exposition et vulnrabilits (reportez ici la valeur maximale des rponses aux questions12 15) Additionner les valeurs maximales des rponses aux questions TOTAL Avec ces rsultats que lon additionne, on estime ainsi le besoin de scurit de son systme: Somme des quatre valeurs Besoin de scurit du systme De 4 6 1 - Faible De 7 9 2 - Moyen De 10 16 3 - Fort 59 ANNEXE 2 Annexe 2 Estimation rapide du niveau de maturit de lorganisme Le tableau suivant permet dvaluer le niveau de maturit en scurit de votre organisme. Le niveau de maturit en scurit ne correspond pas au niveau rel de scurit, mais la capacit de lorganisme grer les risques, pour chaque sys- tme dinformation. Questions Oui / Non Les activits de scurit sont-elles ralises en utilisant des pratiques de base (bonnes pratiques de scurit, rfrentiels de mesures)? Si la case prcdente est Oui, alors votre organisme a un niveau de maturit lmentaire en scurit, sinon, une dmarche assiste est indispensable. Les activits de scurit sont-elles planifes? Les acteurs afects des activits de scurit sont-ils forms (en interne ou par un organisme de formation) la SSI (niveau de com- ptence en scurit jug sufsant)? Certaines pratiques de scurit sont-elles formalises dans des documents spcifques (procdures)? Des mesures de scurit sont-elles en place? 60 ANNEXE 2 Les autorits comptentes sont-elles informes des mesures efec- tues? Si toutes les cases prcdentes sont Oui, alors votre organisme a un niveau de maturit moyen en scurit. Les processus de scurit sont-ils dfnis, standardiss et formaliss (dfnir la stratgie, grer les risques, grer les rgles, superviser)? Des acteurs spcifques sont-ils afects la gestion des processus de scurit et sont forms en consquence? Lorganisme dans sa globalit soutient-il les processus de scurit (les difrents niveaux hirarchiques)? Les processus de scurit sont-ils coordonns dans tout le primtre choisi? Lefcacit des mesures de scurit en place est-elle mesure? Des audits sont-ils efectus pour vrifer la sufsance des mesures en place? (Les mesures de scurit efectues sont-elles contrles [audites]?) Les processus de scurit sont-ils amliors en fonction des mesures de scurit efectues? Si toutes les cases prcdentes sont Oui, alors votre organisme a un niveau de maturit avanc en scurit. 61 ANNEXE 3 Annexe 3 Liste des documents pouvant tre contenus dans un dossier dhomologation Le dossier dhomologation peut contenir, en fonction de leur pertinence au regard du contexte et de la complexit du systme, les lments suivants. 1 . La stratgie dhomologation Lautorit dhomologation, ou son reprsentant, formalise lorganisation de lhomologation dans un document de synthse. Cette stratgie d homologation dcrit les modalits de ralisation du processus dhomologation. Elle rappelle lensemble des parties prenantes lhomologation et prcise: le cadre rglementaire applicable (rgles de protection des informations confdentielles, rgles sectorielles, etc.); lorganisation (acteurs, missions, etc.); la dmarche; le primtre; le calendrier; la criticit des informations utilises dans le cadre de lhomologation; les pices constitutives du dossier dhomologation. 2 . Lanalyse de risques Elle peut tre mene selon une mthode prouve conforme aux normes exis- tantes en matire de gestion des risques SSI 62 ANNEXE 3 3 . La politique de scurit du systme dinformation (PSSI) La PSSI dfnit les principes et les exigences techniques et organisationnelles de scurit du systme dinformation. Il sagit du document de rfrence SSI applicable lensemble de lorganisme ou ddi un systme. Lhomologation peut aussi tre loccasion dlaborer ou de complter la politique de scurit des systmes dinformation (PSSI) de lorganisme, par exemple afn de gnraliser des rgles indispensables au systme dinformation homologu. Le guide [PSSI] de lANSSI fournit une aide pour laborer une PSSI . Ce document revt difrentes formes en fonction des interlocuteurs (directives, procdures, codes de conduite, rgles organisationnelles et tech- niques, etc.) La PSSI inclut: les lments stratgiques; le primtre du SI, les enjeux lis, les orientations stratgiques, les aspects lgaux et rglementaires; les principes de scurit par domaine (organisationnel, technique, mise en uvre, etc.). Elle peut tre complte par une ou plusieurs politiques dapplication, par exemple les procdures dexploitation de la scurit (PES). 4 . Le journal de bord de lhomologation Il sagit du registre des dcisions et des principaux vnements qui sont interve- nus pendant la dmarche dhomologation. Il prsente les caractristiques sui- vantes: il senrichit au fur et mesure du projet (document de travail, feuille de route) pour adapter le processus aux volutions du projet, notamment pour le planning; 63 ANNEXE 3 Il permet de formaliser les prises de dcisions et les mises au point ncessaires et de disposer dun point de situation sur lavancement du pro- cessus dhomologation (et les blocages ventuels); Il constitue la base pour raliser le plan daction associ la dcision dho- mologation; Il peut se prsenter sous plusieurs formes: documents isols (comptes rendus de runions, notes, etc.); document unique (registre formel de dcisions, ou tableau de syn- thse avec renvois des documents isols par exemple). 5 . Les rfrentiels de scurit La dmarche dhomologation doit tre ralise conformment aux exigences dcrites dans les rfrentiels de scurit de lautorit et en particulier: la politique de scurit des systmes dinformation (PSSI) de lautorit; la lgislation ou la rglementation particulire applicable lautorit administrative; les exigences de scurit des systmes interconnects au systme homo- loguer. 6 . Le tableau de bord de lapplication des rgles dhygine informatique Les 40 rgles dhygine informatique publies par lANSSI sont applicables dans toutes les situations. Un tableau de bord mesurant lapplication de ces mesures dhygine montre la progression au sein du systme, lobjectif tant de toutes les appliquer. 64 ANNEXE 3 7 . La cartographie des systmes dinformation de lorganisme La cartographie complte du rseau local doit tre tablie. Elle comprend: la cartographie physique du rseau qui correspond la rpartition gographique des quipements et permet de connatre la position dun quipement rseau au sein des difrents sites. la cartographie logique du rseau (plan dadressage IP, noms de sous- rseaux, liens logiques entre ceux-ci, principaux quipements actifs, etc.). Elle fait notamment apparatre les points dinterconnexion avec des enti- ts extrieures (partenaires, fournisseurs de services, etc.) ainsi que lensemble des interconnexions avec Internet. la cartographie des applications. Le point de vue applicatif corres- pond aux applications mtier et logiciels dinfrastructure utilisant larchi- tecture rseau comme support la cartographie de ladministration du systme dinformations. Elle reprsente le primtre et le niveau de privilges des administrateurs sur les ressources du parc informatique. Ce point de vue permet, en cas de compromission dun compte dadministration, didentifer le niveau de privilge de lattaquant et la portion du parc potentiellement impacte. 8 . Les schmas dtaills des architectures du systme Les schmas dtaills des architectures techniques et fonctionnelles dpendent avant tout du primtre choisi de lhomologation du SI, ainsi que du niveau de maturit de lorganisme. Les schmas doivent permettre de savoir quelle est la fonction principale du SI et comment ce SI fonctionne. cette fn, il faut disposer, au minimum, de lannuaire (gestion des comptes), du plan dadressage, de la liste des fonctions de scurit et de la car- tographie du SI. 65 ANNEXE 3 Cette documentation doit tre mise jour afn de suivre les modifcations subies par le SI. Par exemple, si le primtre de lhomologation est une application de tl- service, il faut fournir les lments suivants: les procdures dexploitation de scurit (PES); le plan du maintien en condition oprationnelle; la matrice des fux entrant/sortant (interconnexions); la documentation de la gestion des comptes de lapplication; la documentation de ladministration du SI et de linstallation; plan de sauvegarde et darchivage des donnes; plan de continuit ou de reprise dactivit. 9 . Le document prsentant les risques identifis et les objectifs de scurit Ce document doit tre labor lissue dune analyse de risques, ralise (sauf pour la dmarche Pianissimo) en suivant une mthode prouve et maintenue, si possible respectant la norme ISO27005. Il prsente les caractristiques sui- vantes: il dcrit les besoins et objectifs de scurit du systme en termes de dispo- nibilit, dintgrit et de confdentialit par rapport aux menaces identi- fes. Au besoin, il peut tre prsent sous la forme dune Fiche dExpres- sion Rationnelle des Objectifs de Scurit (FEROS) . il indique la nature et la sensibilit des informations traites par le systme et prcise les contraintes qui restreignent la conception, lexploitation et la maintenance du systme. il doit prendre en compte les architectures dinterconnexion, les moyens partags avec dautres entits, leurs conditions dexploitation et de contrle. sa rdaction ncessite la participation des acteurs cls du systme homolo- guer, qui sont interrogs sur leurs besoins, le contexte demploi du systme et les vnements susceptibles dimpacter positivement ou ngativement le systme. 66 ANNEXE 3 dans le cadre des systmes OTAN, il est demand un nonc des impra- tifs de scurit (SRS) (ou un quivalent national). Le SRS est un nonc complet et explicite des principes de scurit dtaills satisfaire. Il existe plusieurs types de SRS: CSRS, nonc des impratifs de scurit applicables un ensemble dinterconnexions lorsque plusieurs SI sont interconnects; SSRS, nonc des impratifs de scurit propres un systme dans des situations simples (systme autonome, par exemple); SISRS, nonc des impratifs de scurit applicables une intercon- nexion de systmes, lorsque deux SIC doivent tre connects entre eux pour changer des informations, le SISRS constitue la base dun accord entre les deux autorits dexploitation des SIC et les deux autorits dapprobation ou dhomologation de scurit; le SEISRS qui est la cible de scurit (ou nonc des impratifs de scurit lectronique propres un systme. 10 . Les procdures dexploitation du systme Ces procdures doivent tre dtailles et directement applicables. Elles exposent les mesures de scurit permettant de rpondre aux objectifs de scurit fxs par lautorit dhomologation. Elles prsentent les droits et les devoirs des accdants au systme ainsi que les actions raliser dans le cadre de lutilisation quotidienne du systme. Ces procdures sont tablies par les quipes dexploitation internes lor- ganisme et/ou par les fournisseurs du systme homologuer, ventuellement laide des guides publis par lANSSI . Lautorit dhomologation doit sassurer que les procdures fournies ont t testes avec succs avant de prononcer lhomologation. Un dossier de tests compltera utilement le dossier dhomologation. 67 ANNEXE 3 11 . Les exigences de scurit destination des systmes interconnects Les systmes contenant des informations sensibles ne doivent pas tre connec- ts directement aux rseaux publics tels quInternet ou les rseaux WiFi des htels, des gares ou des aroports. 12 . Les dcisions dhomologation des systmes interconnects Si les systmes connects au systme concern, ont dj fait lobjet dune homologation, il faut joindre les dcisions dhomologation associes aux sys- tmes ainsi que les dossiers associs, si possible et si ncessaire. En efet, il est impratif de savoir, au minimum, par qui le systme a t homologu, quelle date et quelle est la rfrence de cette dernire homologation. 13 . Les certificats de scurit des produits utiliss Les agrments des dispositifs de scurit, prononcs en application des disposi- tions de lIGI1300, doivent fgurer dans le dossier dhomologation. Les dcisions de ne pas faire agrer par lANSSI un dispositif de scurit, lui-mme utilis comme moyen de protection contre les accs non autoriss aux informations classifes ou au systme, doivent tre galement jointes au dossier, ainsi que les lments ayant contribu ces dcisions. 68 ANNEXE 3 14 . Les attestations de qualification des produits ou prestataires Dans la mesure o le systme met en uvre des produits de scurit certifs ou qualifs ou encore des services de confance qualifs, il est ncessaire dinclure les attestations correspondantes dans le dossier dhomologation. Si elles sont disponibles, les analyses de scurit des produits de scurit, en particulier les instructions techniques demploi, peuvent galement tre int- gres au dossier dhomologation. 15 . Les plans de tests et daudits Des documents doivent identifer formellement les tests et les audits ncessaires et prciser par qui ils doivent tre efectus et selon quel planning. Pour mmoire, des audits doivent tre prvus aprs la dcision dhomo- logation, afn dassurer le maintien en conditions oprationnelles du systme. 16 . Les rapports de tests et daudits et les plans daction associs Pour les systmes dj en production depuis un an ou plus, il est recommand de procder demble un audit technique sur le systme homologuer, le cas chant avant lanalyse des risques. Pour les systmes en cours de conception, laudit pourra tre ralis loc- casion de la procdure de recette applicative. Pour les systmes existants requrant un besoin particulier de scurit, il est recommand de procder, en premire action, un audit technique et orga- nisationnel afn doptimiser la procdure dhomologation. Laudit doit mener la ltablissement dune liste des vulnrabilits dtec- tes et du plan daction afrent. 69 ANNEXE 3 Les audits doivent tre raliss par des quipes pralablement valides par lautorit dhomologation. Ils doivent porter sur les mesures de scurit lies lexploitation du sys- tme et les comparer ltat de lart. Les audits doivent tre mens dans les formes prvues par le rfrentiel dexigences relatif aux prestataires daudit de la scurit des systmes dinfor- mation. 17 . Le dossier des risques rsiduels Ce dossier comporte une analyse de la couverture des risques et de latteinte des objectifs de scurit au travers: des procdures dexploitation scurise du systme; de la PSSI. Il prsente galement les vulnrabilits rsiduelles constates lors des tests et des audits et non corriges ainsi que les plans daction associs. 18 . Les ventuelles dcisions dhomologation antrieures Le dossier doit comporter tous les documents relatifs aux ventuelles homolo- gations prcdentes. 19 . Le tableau de bord des incidents et de leur rsolution Ce tableau recueille lensemble des incidents survenus sur le SI avec lidenti- fcation de leur(s) cause(s), les consquences et les modalits de rsolution de lincident. Il prcise galement le plan daction associ. 70 ANNEXE 3 20 . Le journal des volutions Ce journal consigne les volutions du systme, notamment celles ayant une incidence sur les critres et conditions de lhomologation. Il comprend, en particulier, la liste des mesures de scurit apportes en prvention de risques ou en correction danomalies ou de vulnrabilits consta- tes dans les audits. 71 ANNEXE 4 Annexe 4 Liste de menaces, issue de la base de connaissance EBIOS Menaces sur les matriels Usage dun quipement ou dun matriel: utilisation abusive dun ordinateur des fns personnelles, voire pour un usage inappropri ou illicite; stockage de fchiers personnels sur lordinateur de bureau (ex. vidos non professionnelles); usage dune imprimante des fns personnelles ou au dtriment dautrui; stockage dinformations sensibles sur des supports inappropris (disque dur non protg, cl USB, CDROM laiss sur un bureau); perte ou vol dun ordinateur (surtout portable), ou dun support de don- nes lectronique (cl USB, CDROM, disque dur amovible) notamment lors dun dplacement ou dun dmnagement. Observation dun quipement: observation dun cran travers une fentre; observation de la saisie dun code au clavier; coute dune conversation difuse sur les haut-parleurs de lordinateur; golocalisation dun matriel ( partir de son adresse IP ou par le rseau tlphonique); interception de signaux compromettants mis par lafchage lcran ou les touches du clavier; pose dun dispositif-espion matriel (keylogger) sur la face arrire dun poste de travail. 72 ANNEXE 4 Fonctionnement du matriel: surcharge dun disque dur ou dun serveur aboutissant une panne; perturbations lectriques ou lectromagntiques; panne lectrique involontaire (remplacement dun poste par un ordinateur plus consommateur en nergie, rupture de cbles lectriques suite des travaux de terrassement, court-circuit d la foudre, erreur de branche- ment ou incident lectrique); vieillissement du matriel susceptible dentraner un crash du disque dur; multiples dplacements du matriel (ordinateur portable); ordinateur travaillant dans un milieu pollu, humide, ou corrosif (atelier industriel), ou en prsence dondes lectromagntiques ou de vibra- tions; chute du matriel pendant une installation ou un dmnagement (voir vandalisme); efacement des donnes par passage dun aimant sur un disque dur; prsence dun code malveillant destin empcher le fonctionnement de tout ou partie du matriel. Menaces sur les logiciels Menaces sur lusage de logiciels un logiciel est pig (keylogger), ou corrompu par un code malveillant; un logiciel accde ou copie de manire inapproprie voire illicite des don- nes mtiers, des donnes de confguration dquipements, ou collecte des donnes mtiers partages dans un rseau; un logiciel supprime de manire inapproprie des donnes, journaux dvnements, enregistrements de conversations, etc. quils soient en m- moire, sur un disque dur ou sur un support; un logiciel cre ou modife des donnes de manire inapproprie: mes- sages injurieux sur un forum, confguration dun systme, insertion dune page web ou dfguration sur un site Internet, lvation de privilges dun 73 ANNEXE 4 compte utilisateur, efacement de traces doprations dans un journal dvnements, fraude; un logiciel collecte des donnes de confguration dun rseau, balaie les adresses internes rseau ou recense les ports ouverts; un logiciel exploite des donnes de base pour en extraire des informations confdentielles (recoupement, infocentre); un logiciel utilise des mcanismes de stganographie pour transmettre des donnes discrtement; un agent utilise un logiciel professionnel pour des besoins personnels; un agent connecte son ordinateur portable personnel compromis par un attaquant au rseau; un agent transfre systmatiquement tous les messages quil reoit sur un compte de messagerie personnel dont le mot de passe a t cass par un groupe dattaquant notoire; une machine du rseau est compromise pour raliser un envoi massif din- formations par courrier lectronique (spam); un utilisateur utilise, volontairement une copie dun logiciel dont le fonc- tionnement nest pas garanti (par exemple une contrefaon); un logiciel est utilis sans achat de la licence correspondante, ou la licence nest pas renouvele; un logiciel est analys par lattaquant en vue dtre corrompu: observation de son fonctionnement, observation de lemploi de son espace mmoire, ingnierie inverse, etc. ; tout ou partie du logiciel est dtruit par un virus (bombe logique); le logiciel est modif de manire involontaire: mise jour avec une mau- vaise version, modifcation de la confguration en maintenance, activation ou dsactivation de fonctions, changement de paramtrage du rseau, modifcation des rgles de routage ou de rsolution des noms de domaine. 74 ANNEXE 4 Menaces sur les rseaux un attaquant coute les informations circulant sur le rseau informatique ou tlphonique, et rmet un message confdentiel vers ladresse dun forum public; un attaquant sature le rseau par un envoi massif de messages; un point daccs sans fl mal confgur permet lcoute de lensemble des donnes qui transitent par Wif; un attaquant sectionne les cbles dune ligne tlphonique (tord la fbre optique) empchant physiquement la transmission des messages; une quipe de maintenance remplace un cble existant par un autre de moins grande capacit, etc. ; des voleurs drobent les cbles de transmission en cuivre pour les revendre la ferraille. Menaces sur les personnels lunique administrateur dune application critique est victime dune pi- dmie de grippe une grve des transports paralyse laccs au site hbergeant les postes de travail; une contamination dans le restaurant dentreprise cre une intoxication alimentaire chez de nombreux agents; lun des agents se dplaant rgulirement bavarde avec des inconnus rencontrs au wagon-bar du TGV des anomalies de fonctionnement du systme; un agent, perturb par une surcharge de tches, commet des erreurs de manipulation du systme; lergonomie du poste de travail (mauvais clairage, sige inconfortable, etc.) nuit au bon usage du logiciel; un agent passe une part signifcative de son temps de travail sur les sites de jeux en ligne, ce qui nuit lefcacit du systme; 75 ANNEXE 4 lagent expert dans lusage dune fonction critique du systme demande sa mutation pour se rapprocher de son conjoint; une rorganisation ou un dmnagement rompent les changes entre per- sonnes qui staient tablies pour pallier les faiblesses fonctionnelles du systme. Menaces sur les locaux il existe un risque quun incendie se dclenche dans les locaux sans tre dtect; le btiment hbergeant le systme se situe dans une zone industrielle comportant des entreprises soumises autorisation prfectorale (ex. SEVESO) susceptibles de gnrer un accident industriel (explosion); emploi de mauvais matriaux, construction dfectueuse, mouvements de terrain sapant les fondations, infltration deau dans le sol, etc. Version 2.0 - Juin 2014 20140604-1555 Licence Ouverte/Open Licence (Etalab - V1) AGENCE NATIONALE DE LA SCURIT DES SYSTMES DINFORMATION ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP www.ssi.gouv.fr / communication@ssi.gouv.fr