LHOMOLOGATION DE SCURIT

en neuf tapes simples

1
Pourquoi lhomologation de scurit ?
Lorsquun responsable (autorit administrative, lu, dirigeant dentreprise)
dcide de faire dmnager ses quipes dans de nouveaux locaux ou douvrir
un tablissement recevant du public, il sassure que les lieux sont conformes
la rglementation et que les btiments sont solides, afn que lensemble puisse
fonctionner en toute scurit pour les personnes et les biens. Il doit sen assu-
rer mme sil nest pas un spcialiste de la construction et il sappuie pour cela
sur des garanties et des arguments ports sa connaissance par des experts du
domaine.
En matire dinformatique, lhomologation de scurit joue le mme rle. Elle
permet un responsable, en sappuyant sur lavis des experts, de sinformer et
dattester aux utilisateurs dun systme dinformation que les risques qui psent
sur eux, sur les informations quils manipulent et sur les services rendus, sont
connus et matriss. Lhomologation est dautant plus ncessaire, aujourdhui,
que les systmes dinformation sont de plus en plus complexes et que les impacts
potentiels dun incident sont de plus en plus graves.
La dmarche dhomologation, recommande depuis plusieurs annes par
lAgence nationale de la scurit des systmes dinformation (ANSSI), est donc
un pralable linstauration de la confance dans les systmes dinformation et
dans leur exploitation.
Pour un certain nombre de systmes, cette recommandation est rendue obliga-
toire par des textes, tels que linstruction gnrale interministrielle n 1300,
le rfrentiel gnral de scurit (RGS) et la politique de scurit des systmes
dinformation de ltat (PSSIE).
2
Quest-ce quune homologation de scurit ?
En informatique, comme dans les autres domaines, le risque zro nexiste pas.
La dmarche dhomologation de scurit est destine faire connatre et faire
comprendre aux responsables les risques lis lexploitation dun systme din-
formation.
Il sagit dun processus dinformation et de responsabilisation qui aboutit une
dcision, prise par le responsable de lorganisation. Cette dcision constitue un
acte formel par lequel il:
atteste de sa connaissance du systme dinformation et des mesures de
scurit (techniques, organisationnelles ou juridiques) mises en uvre;
accepte les risques qui demeurent, quon appelle risques rsiduels.
La dcision sappuie sur lensemble des documents que le responsable estime
ncessaire et sufsant sa prise de dcision.
La dmarche dhomologation doit tre adapte aux enjeux de scurit du sys-
tme, notamment au contexte demploi, la nature des donnes contenues, ainsi
quaux utilisateurs:
dans les cas de systmes complexes ou fort enjeu de scurit, il est sou-
haitable que le responsable sentoure dexperts techniques et fonctionnels
(la commission dhomologation). Il peut dlguer la prise de dcision
lun de ses reprsentants qui prsidera ce comit dexperts;
dans le cas de systmes simples, le responsable peut mettre en place des
procdures simplifes associant un nombre plus limit dacteurs.
3
Comment homologuer un systme dinformation ?
La dmarche dhomologation peut tre dcompose en neuf tapes, dont la
mise en uvre est directement lie la complexit du systme homologuer.
Les questions poses lors de ces neuf tapes permettent de constituer un dossier,
sur lequel lautorit dhomologation sappuie pour prendre sa dcision.
Dfnition de la stratgie dhomologation
tape n1: Quel systme dinformation dois-je homologuer et pourquoi?
Dfnir le rfrentiel rglementaire applicable et dlimiter le primtre du systme
homologuer.
tape n2: Quel type de dmarche dois-je mettre en uvre?
Estimer les enjeux de scurit du systme et en dduire la profondeur ncessaire de la
dmarche mettre en uvre.
tape n3: Qui contribue la dmarche?
Identifer les acteurs de l homologation et leur rle (dcisionnaire, assistance, expertise
technique, etc.).
tape n 4 : Comment sorganise-t-on pour recueillir et prsenter les infor-
mations?
Dtailler le contenu du dossier d homologation et dfnir le planning.
Matrise des risques
tape n5: Quels sont les risques pesant sur le systme?
Analyser les risques pesant sur le systme en fonction du contexte et de la nature de
lorganisme et fxer les objectifs de scurit.
4
tape n6: La ralit correspond-elle lanalyse?
Mesurer l cart entre les objectifs et la ralit.
tape n7: Quelles sont les mesures de scurit supplmentaires mettre en
uvre pour couvrir ces risques?
Analyser et mettre en uvre les mesures ncessaires la rduction des risques pesant sur
le systme d information. Identifer les risques rsiduels.
Prise de dcision
tape n8: Comment raliser la dcision dhomologation?
Accepter les risques rsiduels: lautorit d homologation signe une attestation formelle
autorisant la mise en service du systme d information, du point de vue de la scurit.
Suivi a posteriori
tape n9: Quest-il prvu pour maintenir la scurit et continuer de lam-
liorer?
Mettre en place une procdure de rvision priodique de l homologation et un plan
daction pour traiter les risques rsiduels et les nouveaux risques qui apparatraient.
5
Table des matires
Objectifs de lhomologation de scurit
tape n 1 : Quel systme dinformation dois-je faire homologuer
et pourquoi?
tape n2: Quel type de dmarche dois-je mettre en uvre?
tape n3: Qui contribue la dmarche?
tape n 4 : Comment sorganise-t-on pour recueillir et prsenter
les informations?
tape n5: Quels sont les risques pesant sur le systme?
tape n6: La ralit correspond-elle lanalyse?
tape n 7 : Quelles sont les mesures de scurit supplmentaires
pour couvrir ces risques?
tape n8: Comment raliser la dcision dhomologation?
tape n9: Quest-il prvu pour continuer damliorer la scurit?
Conseils pratiques
Annexe 1 : Estimation rapide du besoin de scurit dun systme
dinformation
Annexe2: Estimation rapide du niveau de maturit de lorganisme
Annexe3: Liste des documents pouvant tre contenus dans un dos-
sier dhomologation
Annexe 4 : Liste de menaces, issue de la base de connaissance
EBIOS
7
9
13
17
23
29
33
37
41
45
48
52
59
61
71
7
Objectifs de lhomologation de scurit
En informatique, comme dans les autres domaines, le risque zro nexiste pas.
Lobjectif de la dmarche d homologation dun systme dinformation (SI) est de
trouver un quilibre entre le risque acceptable et les cots de scurisation, puis
de faire arbitrer cet quilibre, de manire formelle, par un responsable qui a
autorit pour le faire.
Cette dmarche permet damliorer la scurit pour un cot optimal, en
vitant la sur-scurit , mais en prenant galement en compte le cot dun
ventuel incident de scurit. Elle permet de sassurer que les risques pesant
sur le SI, dans son contexte dutilisation, sont connus et matriss de manire
active, prventive et continue.
La dmarche dhomologation doit sintgrer dans le cycle de vie du sys-
tme dinformation. Elle comprend plusieurs tapes cls, dtailles au sein du
prsent document. Il est ncessaire de les suivre en mme temps que les phases
de dveloppement du systme: opportunit, faisabilit, conception, ralisation,
validation, exploitation, maintenance et fn de vie. En outre cette dmarche
doit tre lance sufsamment tt, afn de pouvoir dterminer les exigences de
scurit qui seront intgres dans les cahiers des charges de dveloppement ou
dacquisition.
La dcision d homologation est le rsultat du processus. Son objet est de
vrifer que le responsable a analys les risques de scurit et a mis en uvre les
dispositifs adapts la menace.
Le terme homologation recouvre donc deux notions distinctes:
la dmarche dhomologation, avant tout destine faire connatre et
faire comprendre aux responsables les risques lis lexploitation dun
systme dinformation. Elle se conclut par une dcision, soutenue par la
constitution et lanalyse dun dossier de scurit;
la dcision formelle dhomologation (galement appele attestation for melle).
8
Se lancer dans une dmarche dhomologation est relativement simple: il sagit
de vrifer que la scurit na pas t oublie avant la mise en place du systme
dinformation et dappliquer les mesures de scurit ncessaires et proportion-
nes.
Les neuf tapes simples prsentes dans ce document permettront un
chef de projet ou un comit de pilotage SSI de prparer un dossier dhomolo-
gation et de le prsenter au responsable, dsign autorit d homologation.
Lautorit dhomologation pourra alors prendre une dcision claire sur
la base de ce dossier, qui doit apporter des rponses pertinentes lensemble des
questions quelle se pose.
Quel systme dinformation dois-je
faire homologuer et pourquoi ?
1
tape n
10
QUEL SYSTME DINFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?
Durant la premire tape, vous allez prciser le rfrentiel rglemen-
taire applicable et dlimiter le primtre du systme homologuer.
1 . Prciser le rfrentiel rglementaire
La dmarche dhomologation est recommande depuis plusieurs annes par
lAgence nationale de la scurit des systmes dinformation (ANSSI). Pour un
certain nombre de systmes, cette recommandation est rendue obligatoire par:
linstruction gnrale interministrielle n 1300 (IGI 1300), pour les
systmes traitant dinformations classifes de dfense;
le rfrentiel gnral de scurit (RGS), pour les systmes permettant
des changes entre une autorit administrative et les usagers ou entre
autorits administratives;
la politique de scurit des systmes dinformation de ltat (PSSIE),
pour les systmes des administrations de ltat.
Il est indispensable de dterminer quel titre le systme dinformation doit tre
homologu. En efet, mme si la dmarche dhomologation reste identique dans
tous les cas, le rfrentiel rglementaire constitue un lment crucial pour la
dlimitation du primtre et la constitution du dossier dhomologation.
2 . Dlimiter le primtre du systme
Le primtre du systme dinformation homologuer doit comporter tous les
lments indispensables au fonctionnement du systme. La dlimitation du p-
rimtre ne doit comporter aucune ambigut, car elle permet de dterminer et
de caractriser prcisment les systmes qui seront homologus. La description
de ce primtre comprend:
des lments fonctionnels et dorganisation : fonctionnalits du sys-
QUEL SYSTME DINFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?
tme, type dutilisateurs, contexte et rgles demploi, procdures forma-
lises, conditions demploi des produits de scurit, gestion des droits,
dispositifs de dtection et de gestion des incidents;
des lments techniques: architecture du systme (en prcisant notam-
ment les interconnexions avec dautres systmes), possibilit dutilisation
de supports amovibles, daccs distance ou de cloisonnement, mca-
nismes de maintenance, dexploitation ou de tlgestion du systme,
notamment lorsque ces oprations sont efectues par des prestataires
externes;
le primtre gographique et physique : localisations gographiques et
caractristiques des locaux.
Le primtre peut voluer au cours de la dmarche dhomologation, mais il
est recommand daboutir rapidement une dlimitation stable de celui-ci. Il
est galement recommand dappliquer une dmarche dhomologation pour
chaque service applicatif ou systme dinformation.
Les questions qui se posent la premire tape
Le systme dinformation est (ou sera) compos de certaines
briques matrielles et logicielles que je ne matrise pas, car je les
achte un industriel, un diteur ou un intgrateur. Comment
garantir leur niveau de scurit?
Lorsque ces briques sont des composants essentiels de scurit, elles doivent de pr-
frence faire lobjet dune labellisation de scurit (qualifcation ou dfaut certi-
fcation).
Lorsque ces briques sont des composants essentiels de la fonction applicative, il faut
11
12
QUEL SYSTME DINFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?
exiger auprs du fournisseur un cahier de scurit, qui ofre des garanties, prcise
les conditions demploi et dfnit des rgles de scurit. Le cas chant, des audits de
code peuvent tre raliss (cf. tapes suivantes).
Ces documents sont verss au dossier d homologation du systme.
Plusieurs services applicatifs, ncessitant chacun une homologa-
tion, sont hbergs sur une mme plate-forme technique avec des
ressources mutualises. Dois-je inclure la plate-forme dans toutes
les homologations?
Dans ce cas, il est recommand d homologuer sparment la plate-forme technique,
en tudiant les risques qui lui sont propres et qui impactent potentiellement tous les
services applicatifs quelle hberge.
Jaurais d faire homologuer le systme dinformation avant sa
mise en service, mais je ne lai pas fait et le service est oprationnel.
Est-il trop tard?
Non. La dmarche d homologation doit s inscrire dans un processus itratif dam-
lioration continue de la scurit. Il est prfrable et plus efcace de la dmarrer
avant les phases de dveloppement et d intgration, mais si le service est dj op-
rationnel, les objectifs de l homologation restent les mmes.
Le contenu du dossier d homologation sera lgrement difrent et certaines mesures
de scurit ne pourront tre mises en uvre que lors des prochaines volutions du
systme.
Si les risques identifs sont trop importants et que les mesures de scurit sont
impossibles mettre en uvre, il faut envisager larrt du service.
Quel type de dmarche dois-je
mettre en uvre ?
2
tape n
14
QUEL TYPE DE DMARCHE DOIS-JE METTRE EN UVRE ?
Durant la deuxime tape, vous allez dfnir le niveau de profondeur
de la dmarche dhomologation, afn que celle-ci soit adapte aux en-
jeux de scurit du systme, dune part, et aux capacits de votre orga-
nisme la mener, dautre part.
La dmarche la plus adapte lhomologation du systme doit tre dfnie en
fonction du contexte, du niveau de complexit et de criticit du systme, du
niveau de sensibilit des donnes hberges et du niveau de maturit en matire
de SSI de lorganisme qui met en uvre lhomologation.
1 . Autodiagnostiquer les besoins de scurit du
systme et le niveau de maturit SSI de lorganisme
Deux outils dautodiagnostic vous sont proposs. Ils sont dtaills en annexe du
prsent document.
Lannexe1 permet dvaluer les besoins de scurit du systme dinforma-
tion homologuer, en estimant la gravit des consquences potentielles dune
dfaillance du SI, la sensibilit des donnes, le degr dexposition aux menaces
et limportance des vulnrabilits potentielles du systme.
Un questionnaire simple et rapide vous permet de dterminer si le besoin
de scurit du systme est nul, faible, moyen ou fort.
Lannexe 2 permet de dterminer le niveau de maturit SSI de lorga-
nisme, cest--dire le niveau de matrise et de rigueur atteint par lorganisme,
dans la gestion de la scurit des systmes dinformation.
Un questionnaire simple et rapide vous permet de dterminer si la matu-
rit SSI de votre organisme est lmentaire, moyenne ou avance.
15
QUEL TYPE DE DMARCHE DOIS-JE METTRE EN UVRE ?
2 . En dduire la dmarche approprie
En fonction des rsultats de lautodiagnostic des besoins de scurit et du ni-
veau de maturit, vous pouvez dterminer, laide du tableau infra, le type de
dmarche dhomologation mettre en uvre dans le cadre de votre projet.
Les autodiagnostics doivent tre raliss avec srieux et objectivit.
Ladoption dune dmarche inadapte aux enjeux ou aux capacits de lorga-
nisme hypothquerait les chances de russite du projet dhomologation.
Les dmarches possibles sont les suivantes:
Pianissimo: dmarche autonome a minima, que lautorit dhomologa-
tion peut mener sans recours une assistance conseil externe, par lappli-
cation des outils et des indications donns dans le prsent guide.
Mezzo-Piano : dmarche autonome approfondie, que lautorit dho-
mologation peut mener sans recours une assistance conseil externe, par
lapplication des outils et des indications donns dans le prsent guide et
ses ressources internes.
Mezzo-Forte: dmarche assiste approfondie, que lautorit dhomolo-
gation mne avec laide dune assistance conseil externe, en plus des outils
et des indications donnes dans le prsent guide.
Forte : le niveau de maturit de lorganisme en matire de scurit des
systmes dinformation dispense lautorit dhomologation de la lecture
du prsent guide qui apporte des outils quelle matrise dj. Cette d-
marche nest donc pas traite dans ce guide.
16
QUEL TYPE DE DMARCHE DOIS-JE METTRE EN UVRE ?
Besoin de scurit du Systme
Faible Moyen Fort
Niveau SSI
de lorganisme
lmentaire
Pianissimo:
dmarche
autonome
a minima
Mezzo-Forte:
dmarche
assiste
approfondie
Mezzo-Forte:
dmarche
assiste
approfondie
moyen
Pianissimo:
dmarche
autonome
a minima
Mezzo-Piano:
dmarche
autonome
approfondie
Mezzo-Forte:
dmarche
assiste
approfondie
avanc
Pianissimo:
dmarche
autonome
a minima
Forte:
hors champ
de ce guide
Forte:
hors champ
de ce guide
Qui contribue la dmarche ?
3
tape n
18
QUI CONTRIBUE LA DMARCHE ?
Durant la troisime tape, vous allez identifer lensemble des acteurs
de lhomologation et bien dfnir leur rle (dcision, assistance ou
expertise technique notamment).
Une homologation sappuie sur plusieurs acteurs distincts auxquels sont associs
difrents rles et niveaux de responsabilit.
1 . Lautorit dhomologation (AH)
Lautorit dhomologation est la personne physique qui, aprs instruction du
dossier dhomologation, prononce lhomologation de scurit du systme din-
formation, cest--dire prend la dcision daccepter les risques rsiduels identi-
fs sur le systme.
Lautorit dhomologation doit tre dsigne un niveau hirarchique suf-
fsant pour assumer toutes les responsabilits. Il est donc ncessaire que lauto-
rit dhomologation se situe un niveau de direction dans lorganisme.
Lautorit dhomologation dsigne un responsable du processus dhomo-
logation, qui mnera le projet dhomologation en son nom.
Lorsque cela est ncessaire, elle peut rdiger une lettre de mission lat-
tention de la personne charge dorganiser les tches du processus dhomolo-
gation, en lui indiquant de quelle manire la synthse des rsultats de chaque
tape de la dmarche dhomologation lui sera communique.
Lorsque le systme est sous la responsabilit de plusieurs autorits, lauto-
rit dhomologation est dsigne conjointement par les autorits concernes
2 . La commission dhomologation
La commission dhomologation assiste lautorit dhomologation pour lins-
truction de lhomologation et est charge de prparer la dcision dhomologa-
tion.
La taille et la composition de cette commission doivent tre adaptes
19
QUI CONTRIBUE LA DMARCHE ?
la nature du systme et proportionnes ses enjeux. Cette commission, runit
les responsables mtier concerns par le service homologuer et des experts
techniques. Elle peut donc tre de taille trs rduite dans des cas trs simples.
La commission dhomologation est charge du suivi des plannings, de
lanalyse de lensemble des documents verss au dossier dhomologation. Elle
se prononce sur la pertinence des livrables et peut les valider dans certains cas.
3 . Les acteurs de lhomologation
La matrise douvrage
La matrise douvrage reprsente les acteurs mtier et assure la bonne prise en
compte des contraintes lies lutilisation du systme dinformation. Elle joue
un rle-cl dans plusieurs tapes de la matrise des risques, y compris dans les
arbitrages sur le traitement des risques.
Le RSSI
Lorsque lentit dispose dun responsable de la scurit des systmes dinfor-
mation, celui-ci est impliqu dans la dmarche dhomologation. Selon les cas,
il peut tre dsign responsable du processus dhomologation, charg du secr-
tariat de la commission dhomologation ou tre membre de droit de cette com-
mission.
Le responsable dexploitation du systme
Le responsable dexploitation du systme, ou autorit demploi, remplit le rle
oprationnel. Il sagit de lentit exploitant le systme dinformation destin
tre homologu.
Les prestataires
En fonction de leur statut (interne ou externe), de leur implication dans le projet
et de leurs relations avec lautorit dhomologation, les prestataires peuvent tre
intgrs dans la commission dhomologation, ou simplement consults en cas
de besoin.
20
QUI CONTRIBUE LA DMARCHE ?
Ils remplissent un rle dassistance et produisent des livrables qui seront verss
au dossier dhomologation ainsi que des rponses aux interrogations de la com-
mission dhomologation.
Les systmes interconnects
Les autorits dhomologation des systmes interconnects au systme concern
peuvent jouer un rle dans lhomologation et tre associs la dmarche lorsque:
le systme homologuer a un impact sur leurs propres systmes;
ils mettent des avis ou des certifcats qui peuvent concerner le systme.
Les questions qui se posent la troisime tape
Qui doit tre dsign autorit dhomologation?
Lautorit d homologation doit tre choisie au niveau hirarchique sufsant pour
assumer toutes les responsabilits, y compris ventuellement pnale, afrentes
cette dcision d homologation.
Lautorit dhomologation doit-elle tre unique?
Cest trs largement prfrable, car il sagit dune prise de responsabilit indivi-
duelle.
Lorsque le systme est sous la responsabilit de plusieurs autorits qualifes, une
autorit d homologation multiple peut toutefois tre envisage, mais le partage des
responsabilits doit demeurer absolument limpide.
Lautorit dhomologation peut-elle tre dlgue?
Parfois, une autorit d homologation est dsigne pour un systme complexe ou
ensemble de systmes. Dans certains cas, elle souhaite dlguer la prise de dcision
21
QUI CONTRIBUE LA DMARCHE ?
pour un systme particulier ou un sous-systme. Cest possible, mais avec beaucoup
de prcautions et ds le dbut du projet:
la dlgation doit tre donne en accord avec lautorit qui a dsign lauto-
rit d homologation initiale;
lautorit d homologation doit rester un niveau hirarchique sufsant pour
assumer toutes les responsabilits qui lui incombent;
il ne doit pas exister de mlange des genres et lautorit d homologation doit
garder lobjectivit ncessaire;
le dlgataire doit conserver une vue sur les systmes dploys, les programmes
en cours et les travaux de maintien en condition de scurit.
Au sein dun organisme, les membres de la commission dhomolo-
gation sont-ils dsigns une fois pour toutes?
Cela dpend beaucoup du nombre et de la nature des systmes d information
homologuer au sein de lorganisme. La composition de la commission d homologa-
tion peut tre dfnie:
par projet, s ils sont difrents les uns des autres;
pour lensemble des projets de la direction, s ils sont similaires les uns aux
autres;
de manire mixte avec un noyau stable et des intervenants spcifques au
projet.
Comment sorganise-t-on
pour recueillir et prsenter
les informations ?
4
tape n
24
COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ?
Durant la quatrime tape, vous allez inventorier le contenu du dos-
sier dhomologation et dfnir le planning de la dmarche qui permet-
tra de le constituer et de linstruire.
1 . Le contenu du dossier dhomologation
Le dossier dhomologation est aliment pendant toutes les phases de la d-
marche, essentiellement avec des documents ncessaires la conception, la
ralisation, la validation du projet ou la maintenance du SI aprs sa mise en
service, ainsi que des documents produits spcifquement pour lhomologation.
Lannexe3 propose une liste complte des documents qui peuvent tre intgrs
dans un dossier dhomologation.
Le contenu du dossier pourra varier selon la dmarche choisie. Le tableau
ci-dessous synthtise les lments constitutifs du dossier dhomologation en
fonction de la dmarche adopte. Lannexe3 tablit la liste plus complte des
documents pouvant tre contenus dans un dossier dhomologation et en pro-
pose une description dtaille.
Pianissimo Mezzo-Piano Mezzo Forte
Stratgie dhomologation Indispensable
Rfrentiel de scurit Si existant
Document prsentant les
risques identifs et
les objectifs de scurit
Indispensable
Politique de scurit des
systmes dinformation
Recommand Fortement recommand
Procdures dexploitation
scurise du systme
Indispensable
25
COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ?
Journal de bord
de lhomologation
Recommand Fortement recommand
Certifcats de qualifcation des
produits ou prestataires
Si existant
Rsultats daudits Si existant Recommand
Fortement
recommand
Liste des risques rsiduels Indispensable
Dcision dhomologation Indispensable
Spcifquement pour les systmes dj en service:
Tableau de bord des incidents
et de leur rsolution
Recommand
Fortement
recommand
Indispensable
Rsultats daudits
intermdiaires
Si existant Recommand
Journal des volutions
du systme
Si existant
Dmarche Pianissimo:
Tous les documents dcrivant les procdures de scurit en vigueur au sein de
lorganisme peuvent tre intgrs au dossier, par exemple:
la charte dutilisation des postes informatiques;
les rgles de contrle daccs physique et logique au systme;
les clauses de scurit des contrats de sous-traitance informatique.
Dmarche Mezzo-Piano et Mezzo Forte:
Les documents constitutifs du rfrentiel de scurit de lorganisme peuvent
tre intgrs au dossier. En particulier:
la politique de scurit des systmes dinformation (PSSI) de lorganisme;
26
COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ?
la lgislation ou la rglementation particulire au contexte de lorganisme;
le dossier de scurit des systmes interconnects au systme homolo-
guer.
La PSSI, quand elle existe, est un document de rfrence pour lhomologation,
car elle contient des lments stratgiques (primtre du systme, principaux
besoins de scurit et origine des menaces), ainsi que les rgles en vigueur au
sein de lorganisme.
Lhomologation peut aussi tre loccasion de complter (ou de rdiger) la
PSSI, par exemple pour gnraliser des rgles indispensables au SI homologu.
2 . Planning
Lhomologation doit tre prononce pralablement la mise en service opra-
tionnelle du systme dinformation.
La dmarche visant lhomologation doit donc tre lance en amont puis
tre totalement intgre au projet ds les phases dtude pralable et de concep-
tion, afn dviter tout risque calendaire.
Le calendrier de lhomologation est directement dpendant du calendrier
du projet dont il doit tenir compte en permanence. Les principales tapes de
lhomologation sont fxes dans la stratgie dhomologation.
Il est indispensable de dterminer les tches de chacun des acteurs de
lhomologation et les formaliser dans un planning associ, reprenant les prin-
cipales tapes. Au besoin, en fonction de lvolution du projet, ces chances
peuvent tre rvises, avec laccord de lautorit dhomologation.
Ainsi, une homologation est rythme par deux temps forts:
la construction du rfrentiel documentaire et lanalyse de risque (dont la
mise en uvre peut tre longue);
le dploiement, laudit, lhomologation et la mise en service oprationnel
(a contrario, il sagit dune tape courte et trs rapide).
27
COMMENT SORGANISE-T-ON POUR RECUEILLIR ET PRSENTER LES INFORMATIONS ?
Les chances prvues pour les difrentes tapes de la dmarche dhomologa-
tion doivent fgurer dans le planning:
1. lancement de la procdure dhomologation (par exemple date de formali-
sation de la stratgie dhomologation);
2. dbut et de fn de lanalyse des risques (dates des entretiens avec lautorit);
3. remise des difrents documents du dossier dhomologation (cf. section
suivante);
4. engagements lis dventuels contrats avec des prestataires impliqus
dans le systme (hbergeurs, fournisseurs de sous-systmes, dapplica-
tions);
5. runions de la commission dhomologation;
6. audits ventuels sur les composants du systme (techniques ou organisa-
tionnels), logiciels plates-formes matrielles, interfaces rseaux;
7. homologation du systme;
8. mise en service du systme.
Les questions qui se posent la quatrime tape
Un audit sera-t-il ncessaire au cours de la dmarche dhomologation?
Un contrle sera systmatiquement efectu la sixime tape, mais ce contrle
ne prendra la forme dun audit technique formel que si les enjeux de scurit le
justifent.
Quelle que soit la dmarche adopte, cest lautorit d homologation de
dcider s il est ncessaire defectuer un audit sur le systme d information, et
quel niveau. Cet audit permettra de mettre en vidence d ventuelles failles sur le
systme, et d identifer rapidement les risques encourus par lorganisme en cons-
quence.
Quels sont les risques
pesant sur le systme ?
5
tape n
30
QUELS SONT LES RISQUES PESANT SUR LE SYSTME ?
Durant la cinquime tape, vous allez identifer et ordonner les
risques qui psent sur le systme dinformation homologuer.
1 . Lanalyse de risque
Un risque est la combinaison dun vnement redout (susceptible davoir un
impact ngatif sur la mission de lentit) et dun scnario de menaces. On me-
sure le niveau du risque en fonction de sa gravit (hauteur des impacts) et de sa
vraisemblance (possibilit quil se ralise).
Il sagit didentifer les risques pesant sur la scurit des systmes dinfor-
mation, de les hirarchiser et de dterminer des objectifs gnraux qui permet-
tront de diminuer certains dentre eux et, terme, de les amener un niveau
acceptable.
La dure et le cot de la ralisation dune analyse de risques sont fonc-
tion de la complexit du systme dinformation et de la sensibilit des donnes
(donnes propres ou donnes de tiers, telles que celles des usagers ou des par-
tenaires).
Lanalyse des risques pesant sur le systme peut tre simplife dans le
cadre dune dmarche Pianissimo. Dans le cas dune dmarche Mezzo-Piano
ou Mezzo-Forte, on privilgiera lutilisation dune mthode prouve danalyse
de risque.
Dmarche Pianissimo
Le tableau dautodiagnostic de lannexe1 vous a permis didentifer, lors de la
deuxime tape, que les enjeux de scurit du systme dinformation taient
limits et que les besoins de scurit taient faibles.
Pour une analyse de risque simplife, vous pouvez alors procder de la manire
suivante:
1. Partez de la liste des menaces courantes prsente dans lannexe 4. Ces
menaces sont dordre volontaire ou accidentel (inondation, panne de cli-
matisation entranant une panne des quipements informatiques, erreur
de saisie), de nature physique (intrusion sur le systme) ou logique (intru-
31
QUELS SONT LES RISQUES PESANT SUR LE SYSTME ?
sion rseau, dfguration de site, etc.).
2. cartez celles qui ne sont pas pertinentes dans le contexte du systme
dinformation tudi;
3. Pour chaque menace conserve, dterminez un ou plusieurs biens essen-
tiels qui pourraient tre afects. Les biens essentiels sont les informations
traites au sein du systme, ainsi que leurs processus de traitement. Ils
constituent la valeur ajoute du systme dinformation pour lorganisme.
4. Pour chaque lien identif entre une menace et un bien essentiel, dcrivez
limpact ngatif sur la disponibilit, lintgrit ou la confdentialit de ce
bien essentiel. Vous obtenez un scnario de risque.
5. Hirarchisez les scnarios de risque obtenus, en identifant les plus pro-
bables et ceux dont limpact est le plus pnalisant.
6. Si un scnario de risque plausible aboutit un impact trs fort, cela signife
que le besoin de scurit valu lors de la deuxime tape a t sous-va-
lu. Envisagez alors une dmarche plus complte, de type Mezzo-Piano
ou Mezzo Forte.

Dmarche Mezzo-Piano ou Mezzo-forte
Dans le cadre de la mise en uvre dune dmarche Mezzo-Piano ou Mezzo-
Forte, la mise en uvre dune mthode danalyse de risque prouve est trs
fortement recommande. La mthode EBIOS2010 est une mthode danalyse
de risque dveloppe par lANSSI.
La mthode EBIOS2010 prsente les risques et les objectifs de scurit
identifs dans une Fiche dExpression Rationnelle des Objectifs de Scurit
(FEROS).
Dans le cadre dune dmarche Mezzo-Piano, lanalyse est efectue par
lautorit dhomologation, avec ou sans lassistance dun consultant ayant une
exprience confrme de la mthode. Elle ncessite la participation des ac-
teurs cls du systme homologuer, qui sont interrogs sur leurs besoins, leur
contexte demploi du systme et les vnements quils redoutent. Cest la direc-
tion de lentreprise ou lautorit administrative, par exemple, qui fournissent les
informations sur les besoins de disponibilit ou de confdentialit du systme,
ce qui permet didentifer les objectifs de scurit du systme.
32
QUELS SONT LES RISQUES PESANT SUR LE SYSTME ?
Pour la dmarche Mezzo-Piano, le rsultat de lanalyse (la FEROS) peut en-
suite constituer un lment du cahier des clauses techniques particulires dun
appel dofres pour la ralisation ou la mise en conformit du systme homolo-
guer. Les soumissionnaires doivent y rpondre en indiquant de quelle manire
ils proposent datteindre les objectifs de scurit identifs par lautorit d homo-
logation.
2 . Identifier les mesures de scurit
lissue de lanalyse de risque, il convient de dfnir les mesures de scurit
permettant de couvrir les risques identifs. Ceux qui demeurent aprs lappli-
cation des mesures sont considrs comme des risques rsiduels qui doivent tre
accepts dans le cadre de lhomologation.
Dmarche Pianissimo
Pour dterminer les mcanismes de scurit mettre en uvre, vous pouvez
galement vous rfrer plusieurs documents publis par lANSSI (sur
http://www.ssi.gouv.fr):
le guide des 40 rgles dhygine informatique;
le guide dexternalisation pour les systmes dinformation;
le guide sur la virtualisation;
les notes techniques, notamment celle sur la scurit web.
Dmarche Mezzo-Piano et Mezzo-Forte
Dans le cadre dune dmarche Mezzo-Piano et Mezzo Forte, les objectifs de
scurit identifs au cours de lanalyse de risque selon la mthode EBIOS per-
mettront de dfnir les mesures de scurit destines couvrir les risques consi-
drs comme inacceptables.
Outre les documents prsents dans le paragraphe prcdent, de nom-
breux rfrentiels de scurit proposent des catalogues de mesures.
La ralit correspond-elle lanalyse ?
6
tape n
34
LA RALIT CORRESPOND-ELLE LANALYSE ?
Durant la sixime tape, vous devez mesurer lcart entre les rsultats de ltude
de risque et la ralit, en ralisant un contrle plus ou moins formalis du sys-
tme. Ce contrle peut intervenir tout moment du cycle de vie du systme: en
amont, avant la mise en service voir au cours de la conception, mais galement
en aval, si le systme est dj oprationnel.
Le degr de formalisation du contrle dpend de la dmarche entreprise.
Vous avez dtermin lors de la quatrime tape quel type daudit tait adapt.
Certains systmes nappellent quune vrifcation peu formelle. En revanche, un
audit complet et indpendant se justife dans le cas de systmes fort enjeu de
scurit.
1 . Ralisation du contrle
Dmarche Pianissimo
Pour la dmarche Pianissimo, un audit technique est optionnel.
Dmarche Piano
Pour la dmarche Piano, il est recommand de procder un audit formalis sur
les segments les moins matriss du systme.
Dmarche Mezzo-forte
Pour la dmarche Mezzo-Forte, il est fortement recommand defectuer un
audit technique du systme dinformation. Cet audit permettra de mettre en
vidence dventuelles failles et didentifer rapidement les risques encourus par
lorganisme.
Les audits doivent tre mens dans les formes prvues par le rfrentiel
dexigences relatif aux prestataires daudit de la scurit des systmes dinfor-
mation, disponible sur le site de lANSSI .
35
LA RALIT CORRESPOND-ELLE LANALYSE ?
2 . Dfinition du primtre du contrle
Le contrle efectu, qui peut prendre la forme dun audit formalis, porte sur
un systme dont le primtre doit tre soigneusement dlimit par lautorit
dhomologation. Les lments contrler peuvent tre de difrente nature
(code source, confguration des quipements, architecture du systme, organi-
sation mise en place, etc.).
Dans certains cas, des tests dintrusions peuvent tre efectus.
3 . Consquences de laudit sur le dossier
dhomologation
Le contrle de scurit doit faire lobjet dune trace crite. A fortiori, sil sagit
dun audit de scurit, celui-ci doit faire lobjet dun rapport, qui doit faire appa-
ratre:
une volution des menaces sur le systme;
la dcouverte ventuelle de nouvelles vulnrabilits;
la prconisation de mesures correctrices, le cas chant.
Le rapport daudit est intgr au dossier dhomologation, qui doit tre complt
en tenant compte des nouveaux risques mis en lumire.
Quelles sont les mesures de scurit
supplmentaires pour couvrir
les risques ?
7
tape n
38
QUELLES SONT LES MESURES DE SCURIT SUPPLMENTAIRES POUR COUVRIR CES RISQUES ?
Durant la septime tape, vous devez dfnir un plan daction pour
amener le risque identif un niveau acceptable.
1 . Le traitement du risque
Au vu des rsultats de lanalyse de risques et du contrle de scurit, lautorit
dhomologation se prononce sur lensemble des risques qui ne sont pas, ce
stade, compltement couverts par des mesures de scurit. Il convient ainsi,
pour tout ou partie de chaque risque de choisir parmi les options suivantes:
lviter: changer le contexte de telle sorte quon ny soit plus expos;
le rduire: prendre des mesures de scurit pour diminuer limpact et/ou
la vraisemblance;
lassumer : en supporter les consquences ventuelles sans prendre de
mesure de scurit supplmentaire;
le transfrer : partager les pertes occasionnes par un sinistre ou faire
assumer la responsabilit un tiers.
On peut choisir plusieurs options pour chaque risque. Par exemple, un risque
peut tre partiellement rduit par la mise en uvre de mesures de scurit,
partiellement transfr par le recours une assurance et partiellement assum
pour ce qui subsiste.
2 . La mise en uvre de mesures de scurit
Les mesures de scurit peuvent tre de nature technique, organisationnelle ou
juridique. Elles sont dcides par lautorit dhomologation sur proposition de
la commission dhomologation.
En cas de recours un prestataire externe (hbergement de site ou de
services par exemple), les mesures de scurit peuvent tre intgralement mises
en uvre travers un contrat garantissant, par exemple, que les processus et
les donnes sont protgs et accessibles uniquement aux utilisateurs lgitimes.
39
QUELLES SONT LES MESURES DE SCURIT SUPPLMENTAIRES POUR COUVRIR CES RISQUES ?
3 . Dfinition du plan daction
Les risques rsiduels identifs lors du contrle et de lanalyse de risques et qui
ne peuvent pas tre couverts par des mesures techniques ou organisationnelles
sont identifs dans un plan daction. Ce dernier indique les vulnrabilits ven-
tuelles, leur degr (critique, majeure, mineure), laction correctrice envisage,
le pilote dsign, ainsi que lchance associe.
Comment raliser la dcision
dhomologation ?
8
tape n
42
COMMENT RALISER LA DCISION DHOMOLOGATION ?
Durant la huitime tape, vous devez concrtiser la dcision dhomo-
logation par une attestation formelle autorisant, du point de vue de la
scurit, lexploitation du systme dinformation.
La dcision dhomologation est lacte par lequel le responsable de lautorit
administrative atteste de lexistence dune analyse de scurit et de sa prise en
compte. La dcision dhomologation doit ncessairement comprendre un cer-
tain nombre dlments, rfrencs ci-dessous.
1 . Le primtre de lhomologation
Il doit, au minimum, tenir compte des lments suivants:
rfrentiel rglementaire;
rfrences des pices du dossier dhomologation;
primtre gographique et physique (localisations gographiques, locaux,
etc.);
primtre fonctionnel et organisationnel (fonctionnalits, types dinfor-
mations traites par le systme et sensibilit, types dutilisateurs, rgles
demploi, procdures, conditions demploi des produits de scurit, etc.);
primtre technique (cartographie, architecture dtaille du systme, pro-
duits agrs, prestataires qualifs, etc.).
2 . Les conditions accompagnant lhomologation
Lautorit dhomologation peut, en fonction des risques rsiduels identifs, as-
sortir lhomologation de conditions dexploitation ainsi que dun plan daction
visant maintenir et amliorer le niveau de scurit du systme dans le temps.
chaque action, ce plan associe une personne pilote ainsi quune chance.
43
COMMENT RALISER LA DCISION DHOMOLOGATION ?
3 . La dure de lhomologation
Lhomologation doit tre dcide pour une dure maximale.
Cette dure doit prendre en compte lexposition du systme dinformation aux
nouvelles menaces, ainsi que les enjeux de scurit du systme, cest--dire le
degr de criticit des informations et des processus du systme.
Pour un systme bien matris, avec peu de risques rsiduels et ne pr-
sentant pas de difcults particulires, il est recommand de prononcer une
homologation dune dure maximale de cinq (5) ans, avec revue annuelle. Cette
dure maximale doit tre rduite trois (3) ans pour un systme avec de nom-
breux risques rsiduels ou un an (1) pour un systme prsentant de nombreux
risques rsiduels.
4 . Conditions de suspension ou de retrait de
lhomologation
Lhomologation de scurit ne demeure valide que tant que le systme dinfor-
mation est exploit dans le contexte dcrit dans le dossier dhomologation.
Les changements suivants doivent impliquer un rexamen du dossier, pouvant
conduire une nouvelle dcision dhomologation ou un retrait de la dcision:
raccordement dun nouveau site sur le systme dinformation;
ajout dune fonctionnalit majeure;
succession de modifcations mineures;
rduction de lefectif afect une tche impactant la scurit;
changement dun ou de plusieurs prestataires;
prise de fonction dune nouvelle autorit dhomologation;
non-respect dau moins une des conditions de lhomologation;
changement du niveau de sensibilit des informations traites et, plus
gnralement, du niveau du risque;
volution du statut de lhomologation des systmes interconnects;
44
COMMENT RALISER LA DCISION DHOMOLOGATION ?
publication dincidents de nature remettre en cause les garanties recueil-
lies dans le dossier de scurit;
dcision de lautorit dhomologation.
ce titre, il est recommand que la commission dhomologation soit runie
annuellement par lautorit dhomologation, afn de procder une revue du
respect des conditions de lhomologation.
Les questions qui se posent la huitime tape
La dmarche dhomologation a mis en vidence que les risques
rsiduels restent trop levs pour une homologation, mais des
contraintes dordre suprieur imposent une mise en service opra-
tionnelle du systme. Comment faire?
Si lautorit d homologation considre que les conditions ne sont pas runies pour
une homologation, la meilleure solution est de refuser l homologation. Si cette pos-
sibilit nest pas envisageable, il est toujours possible de prononcer une autorisation
provisoire demploi (APE) pour une dure courte (3 ou 6 mois), assortie de condi-
tions strictes et dun plan daction prcis, destin supprimer ces risques trop levs
et qui doit tre ralis durant le temps de lAPE.
Certaines mesures de scurit ne pourront tre mises en place que
dans deux ans pour une homologation de 3 ans. Est-ce trop long?
Il est impratif de spcifer dans la dcision d homologation que la mise en place
des mesures est progressive, planife et suivie. Elle doit commencer ds la date de
publication de la dcision.
Quest-il prvu pour continuer
damliorer la scurit ?
9
tape n
46
QUEST-IL PRVU POUR CONTINUER DAMLIORER LA SCURIT ?
Durant cette dernire tape, qui intervient aprs la dcision dhomolo-
gation proprement dite, vous devez mettre en uvre une procdure de
rvision priodique de lhomologation, ainsi que le plan daction pour
traiter les risques rsiduels et les nouveaux risques dans le cycle de vie du
systme.
1 . Suivi de lhomologation
la suite de la dcision proprement dite, lautorit dhomologation doit veiller
au maintien du niveau de scurit du systme. La commission dhomologation
ralise annuellement un suivi de lhomologation. Cette tape nest pas une nou-
velle instruction. Elle doit donc rester simple et se limiter une mise jour du
dossier et une analyse succincte des volutions et des incidents intervenus au
cours de lanne, afn de juger de lopportunit dune rvision plus approfondie
de lhomologation.
En prparation du renouvellement de lhomologation, le dossier dhomo-
logation est rgulirement complt par les ventuelles analyses de vulnrabi-
lits, les comptes rendus de contrle et les rapports daudits complmentaires.
La version consolide est transmise aux membres de la commission dhomolo-
gation
Il est recommand de runir priodiquement la commission dhomologa-
tion pour reprendre la liste des critres et vrifer que les conditions dhomo-
logation sont toujours respectes. Cela permet galement dviter de reprendre
lhomologation zro au terme de sa dure de validit.
2 . Maintien en conditions de scurit
Il est ncessaire que les conditions de lhomologation soient respectes dans le
temps. ce titre, lentit en charge du maintien du dossier dhomologation doit
galement assurer une veille technologique. Celle-ci permet didentifer les vul-
47
QUEST-IL PRVU POUR CONTINUER DAMLIORER LA SCURIT ?
nrabilits qui apparatraient sur le systme et sassurer quelles soient corriges,
notamment les plus srieuses.
Il est galement ncessaire de vrifer:
les clauses de scurit et de maintien en conditions de scurit du systme,
le cas chant en se rfrant au guide dexternalisation publi par lANSSI;
les capacits dvolution et dinteroprabilit de son systme, notamment
au regard de ses capacits de dveloppement ou de ses contrats de presta-
tions de service.
Les questions qui se posent la neuvime tape
Si une nouvelle vulnrabilit est dcouverte, dois-je relancer le
processus dhomologation?
Cela dpend de limpact de la vulnrabilit sur le systme. Sil est fort, il
faudrait efectivement relancer le processus dhomologation sans attendre
lissue de la dure dhomologation en cours.
XXXXX
CONSEILS PRATIQUES
La dmarche dhomologation est un projet en soi, qui doit sintgrer compl-
tement au projet global et au cycle de vie du systme dinformation. Cest une
dmarche qui peut se rvler complexe et qui se heurte parfois des difcults
organisationnelles, techniques ou calendaires. Les conseils contenus dans cette
fche vous permettront daboutir plus facilement un rsultat satisfaisant.
Conseils dordre gnral
Les conseils dordre gnral lists ci-dessous doivent, dans la mesure du pos-
sible, tre suivis pour maximiser les chances de russite dune dmarche
dhomologation:
dbuter sufsamment tt la dmarche dhomologation;
prvoir une validation formelle des dcisions au niveau hirarchique
adquat;
dsigner un vritable chef de projet, qui sera disponible tout au long du
projet;
matriser le calendrier et ne pas tre trop contraint par des ncessits
oprationnelles;
bien dfnir le primtre et disposer dune architecture prcise du systme;
bien prendre en compte les interconnexions ventuelles;
sappuyer sur des documents crits, explicites, sans ambigut, afn
dviter les quiproquos entre les parties prenantes au projet.
48
XXXXX
Avant ltude
Une rfexion mene en amont permet de bien prparer la dmarche dhomolo-
gation et dassurer sa russite de faon optimale.
Au pralable, il faut que la dmarche soit porte haut niveau par lauto-
rit dhomologation et que lensemble des acteurs concerns soit impliqu et
motive.
Il faut galement dsigner un chef de projet, qui disposera des moyens
pour mener bien sa mission et rapporter toute difcult lautorit dhomo-
logation.
Enfn, ds que les acteurs de lhomologation sont identifs, il est indis-
pensable de les sensibiliser sur la dmarche, les concepts et le vocabulaire qui
seront utiliss.
Pendant ltude
Pour chaque activit raliser, il est conseill de sorganiser en mode projet, en
identifant un responsable de lactivit, en constituant un groupe de travail et en
lui confant une mission prcise, associe une date de ralisation.
Certaines missions sont essentielles pour la russite du projet:
> la sensibilisation des acteurs
rappeler lobjectif de lactivit
prsenter les concepts, le vocabulaire
sassurer que lensemble des acteurs ait une vision commune de la
problmatique
> la collecte des informations
raliser des entretiens
rassembler les documents existants sur lorganisme, le projet
49
XXXXX
> le suivi du projet
prsenter des exemples pour lancer les discussions
synthtiser les informations rcoltes pour validation par le groupe de
travail
nommer des responsables et fxer des chances
se rencontrer priodiquement
Il est galement ncessaire dadapter les livrables aux destinataires en ce qui
concerne:
la forme: tableaux, textes, schmas, etc.;
le niveau dinformation: recherche dexhaustivit ou forme synthtique;
lintgration aux documents existants;
ladaptation au vocabulaire habituel de lorganisme,
leur nomenclature, qui doit tre explicite,
leur libell, qui doit tre court et descriptif.
Enfn, il est recommand de faire valider chaque tape par la commission
dhomologation. Cela permet dviter les retours en arrire improductifs, tout
en impliquant les autorits tout au long de la ralisation du dossier de scurit.
50
ANNEXES
52
ANNEXE 1
Annexe 1
Estimation rapide du besoin de scurit dun systme dinformation
Le tableau suivant permet dvaluer les besoins de scurit du systme dinforma-
tion (SI) homologuer, en estimant la gravit des consquences potentielles dune
dfaillance du SI, la sensibilit des donnes, le potentiel des attaquants, le degr
dexposition aux menaces et limportance des vulnrabilits intrinsques du SI.
Si vous rpondez Je ne sais pas plus de deux questions, faites-vous
aider par la matrise douvrage, qui connat les enjeux du systme.
Note
Question n 1 : Votre systme est-il important pour remplir vos
missions?
1 2 3 4
Non, le systme
est accessoire
laccomplis-
sement des
missions
Oui, les missions
seraient forte-
ment perturbes
par un dysfonc-
tionnement du
SI.
Oui, les missions
dpendent
totalement du SI
Je ne sais pas
Question n 2 : Si un sinistre atteint votre SI, causant un dysfonction-
nement ou une perte de donnes, les consquences en interne (pour vos ser-
vices) seraient-elles graves?
Exemple: une panne lectrique ne permet pas dutiliser le systme, le contenu
dune base de donnes a t supprim, etc.
53
ANNEXE 1
Note
1 2 3 4
Non, les
consquences
internes dun
sinistre seraient
ngligeables
Oui, les
consquences
internes dun
sinistre seraient
signifcatives
Oui, les
consquences
internes dun
sinistre seraient
graves, voire
fatales
Je ne sais pas
Question n 3 : Si un sinistre touche la scurit de votre systme (il ne
fonctionne plus ou pas bien, vol dinformations), les consquences pour
lextrieur (pour vos usagers, administrs) seraient-elles graves?
1 2 3 4
Non, les
consquences
dun sinistre
pour lextrieur
seraient
ngligeables
Oui, les
consquences
dun sinistre
pour lextrieur
seraient
signifcatives
Oui, les
consquences
dun sinistre
pour lextrieur
seraient graves,
voire fatales
Je ne sais pas
Gravit des consquences potentielles (reportez ici la valeur maximale
des rponses aux questions1 3)
Question n4: Le fait que les donnes de votre systme soient inacces-
sibles est-il grave?
Exemple : vous ne pouvez pas accder aux donnes en raison dune panne
matrielle.
1 2 3 4
Non, le fait
quil ne soit pas
accessible ne
gne quasiment
pas lactivit
Oui, le fait
quil ne soit
pas accessible
perturbera
lactivit
de manire
signifcative
Oui, le fait
quil ne soit pas
accessible peut
tre fatal pour
lactivit
Je ne sais pas
54
ANNEXE 1
Note
Question n5: Le fait que les donnes de votre systme soient altres
est-il grave?
Exemple: un virus a modif des valeurs dans une base de donnes, les remet-
tant toutes 0.
1 2 3 4
Non, le fait que
les donnes
soient altres ne
gne quasiment
pas lactivit
Oui, le fait que
les donnes
soient altres
perturbera
lactivit
de manire
signifcative
Oui, le fait que
les donnes
soient altres
peut tre fatal
pour lactivit
Je ne sais pas
Question n6: Le fait que les donnes de votre systme ne soient pas ou
plus confdentielles est-il grave?
Exemple: la liste des bnfciaires du service social est dvoile.
1 2 3 4
Non, le dfaut de
confdentialit
ne gne
quasiment pas
lactivit
Oui, le dfaut de
confdentialit
perturbera
lactivit
de manire
signifcative
Oui, le dfaut de
confdentialit
peut tre fatal
pour lactivit
Je ne sais pas
Sensibilit des donnes du systme (reportez ici la valeur maximale des
rponses aux questions4 6)
Question n7: Quel est le niveau de comptence maximal prsum de
lattaquant ou du groupe dattaquants susceptibles de porter atteinte au sys-
tme?
55
ANNEXE 1
Note
1 2 3 4
Individu isol
de niveau de
comptence
lmentaire
Individu isol
de niveau de
comptence
avanc
Groupe dindi-
vidus organiss,
de niveaux
individuels de
comptence
faibles moyens,
ou individu isol
aux comptences
expertes
Groupe
dindividus
experts,
organiss, aux
moyens quasi
illimits
Question n 8 : Quelle est la prcision des attaques potentielles envers
le SI?
1 2 3 4
Attaques au
hasard sur le
cyberespace
Attaques
orientes vers
le continent
europen ou la
France
Attaques ciblant
un groupe
de victimes
prsentant des
caractristiques
communes
Attaques visant
prcisment le
systme
Question n9: Quel est le niveau de sophistication des attaques poten-
tielles contre le SI?
1 2 3 4
Outils dattaque
triviaux (logiciel
de scan de ports,
virus connus,
etc.)
Outils labors
gnriques
prts lemploi
(rseaux de
botnet lous,
faille connue,
etc.)
Outils
sophistiqus,
adapts pour le
SI (zro-day,
etc.)
Bote outils
trs hautement
sophistique.
56
ANNEXE 1
Note
Question n10: Quelle est la visibilit des attaques potentielles contre
le SI?
1 2 3 4
Attaque
annonce
(revendications
dhacktivistes,
ranon, etc.)
Attaque
constate
immdiatement
par ses efets sur
le SI
Attaque discrte,
qui laisse des
traces dans les
journaux dv-
nements, mais ne
perturbe pas le
fonctionnement
du SI
Attaque
invisible, ralise
en laissant le
minimum de
traces
Question n11: Quelles sont la frquence et la persistance des attaques
potentielles contre le SI?
1 2 3 4
Unique:
lattaque ne se
produit sur la
cible quune
seule fois
Ponctuelle:
lattaque survient
plusieurs fois
sans rgularit
dans sa
frquence (elle
peut tre lie
lactualit).
Rcurrente:
attaque
par vagues
successives
importantes
Permanente.
Base destimation des potentiels dattaques cyber (reportez ici la valeur
maximale des rponses aux questions7 11)
Question n12: Quel est le niveau dhtrognit du systme?
Exemple: plusieurs logiciels, matriels ou rseaux difrents pour un mme
systme.
57
ANNEXE 2
Note
1 2 3 4
Le systme est
jug comme
homogne
Le systme est
jug comme
faiblement
htrogne
Le systme est
jug comme
fortement
htrogne
Je ne sais pas
Question n 13 : Quel est le degr douverture/interconnexion du sys-
tme?
Exemple: Internet, un autre systme interne ou externe (celui dun prestataire,
dune autre autorit administrative)
1 2 3 4
Le SI nest pas
ouvert
Le SI nest
ouvert qu des
systmes internes
matriss
Le systme est
ouvert des
systmes internes
non matriss ou
externes
Je ne sais pas
Question n14: Le contexte dans lequel se trouve le SI et ses composants
(matriels, logiciels, rseaux) volue-t-il rgulirement?
1 2 3 4
Le SI et son
contexte sont
jugs stables
Le SI et son
contexte
changent
souvent
Le SI et son
contexte
voluent en
permanence
Je ne sais pas
Question n15: Les composants du SI sont-ils mis rgulirement jour?
1 2 3 4
Les composants
du SI sont tous
tenus jour en
permanence
Une partie des
composants
du SI est
rgulirement
mise jour
Les mises jour
sont efectues
de manire
irrgulire
Je ne sais pas
58
ANNEXE 1
Exposition et vulnrabilits (reportez ici la valeur maximale des rponses
aux questions12 15)
Additionner les valeurs maximales des rponses aux questions
TOTAL
Avec ces rsultats que lon additionne, on estime ainsi le besoin de scurit de
son systme:
Somme des quatre valeurs Besoin de scurit du systme
De 4 6 1 - Faible
De 7 9 2 - Moyen
De 10 16 3 - Fort
59
ANNEXE 2
Annexe 2
Estimation rapide du niveau de maturit de lorganisme
Le tableau suivant permet dvaluer le niveau de maturit en scurit de votre
organisme.
Le niveau de maturit en scurit ne correspond pas au niveau rel de
scurit, mais la capacit de lorganisme grer les risques, pour chaque sys-
tme dinformation.
Questions Oui / Non
Les activits de scurit sont-elles ralises en utilisant des pratiques
de base (bonnes pratiques de scurit, rfrentiels de mesures)?
Si la case prcdente est Oui, alors votre organisme a un niveau
de maturit lmentaire en scurit, sinon, une dmarche assiste est
indispensable.
Les activits de scurit sont-elles planifes?
Les acteurs afects des activits de scurit sont-ils forms (en
interne ou par un organisme de formation) la SSI (niveau de com-
ptence en scurit jug sufsant)?
Certaines pratiques de scurit sont-elles formalises dans des
documents spcifques (procdures)?
Des mesures de scurit sont-elles en place?
60
ANNEXE 2
Les autorits comptentes sont-elles informes des mesures efec-
tues?
Si toutes les cases prcdentes sont Oui, alors votre organisme a
un niveau de maturit moyen en scurit.
Les processus de scurit sont-ils dfnis, standardiss et formaliss
(dfnir la stratgie, grer les risques, grer les rgles, superviser)?
Des acteurs spcifques sont-ils afects la gestion des processus de
scurit et sont forms en consquence?
Lorganisme dans sa globalit soutient-il les processus de scurit
(les difrents niveaux hirarchiques)?
Les processus de scurit sont-ils coordonns dans tout le primtre
choisi?
Lefcacit des mesures de scurit en place est-elle mesure?
Des audits sont-ils efectus pour vrifer la sufsance des mesures
en place? (Les mesures de scurit efectues sont-elles contrles
[audites]?)
Les processus de scurit sont-ils amliors en fonction des mesures
de scurit efectues?
Si toutes les cases prcdentes sont Oui, alors votre organisme a
un niveau de maturit avanc en scurit.
61
ANNEXE 3
Annexe 3
Liste des documents pouvant tre contenus dans un dossier dhomologation
Le dossier dhomologation peut contenir, en fonction de leur pertinence au
regard du contexte et de la complexit du systme, les lments suivants.
1 . La stratgie dhomologation
Lautorit dhomologation, ou son reprsentant, formalise lorganisation de
lhomologation dans un document de synthse. Cette stratgie d homologation
dcrit les modalits de ralisation du processus dhomologation. Elle rappelle
lensemble des parties prenantes lhomologation et prcise:
le cadre rglementaire applicable (rgles de protection des informations
confdentielles, rgles sectorielles, etc.);
lorganisation (acteurs, missions, etc.);
la dmarche;
le primtre;
le calendrier;
la criticit des informations utilises dans le cadre de lhomologation;
les pices constitutives du dossier dhomologation.
2 . Lanalyse de risques
Elle peut tre mene selon une mthode prouve conforme aux normes exis-
tantes en matire de gestion des risques SSI
62
ANNEXE 3
3 . La politique de scurit du systme
dinformation (PSSI)
La PSSI dfnit les principes et les exigences techniques et organisationnelles
de scurit du systme dinformation. Il sagit du document de rfrence SSI
applicable lensemble de lorganisme ou ddi un systme.
Lhomologation peut aussi tre loccasion dlaborer ou de complter la
politique de scurit des systmes dinformation (PSSI) de lorganisme, par
exemple afn de gnraliser des rgles indispensables au systme dinformation
homologu. Le guide [PSSI] de lANSSI fournit une aide pour laborer une
PSSI .
Ce document revt difrentes formes en fonction des interlocuteurs
(directives, procdures, codes de conduite, rgles organisationnelles et tech-
niques, etc.)
La PSSI inclut:
les lments stratgiques;
le primtre du SI, les enjeux lis, les orientations stratgiques, les
aspects lgaux et rglementaires;
les principes de scurit par domaine (organisationnel, technique, mise
en uvre, etc.).
Elle peut tre complte par une ou plusieurs politiques dapplication, par
exemple les procdures dexploitation de la scurit (PES).
4 . Le journal de bord de lhomologation
Il sagit du registre des dcisions et des principaux vnements qui sont interve-
nus pendant la dmarche dhomologation. Il prsente les caractristiques sui-
vantes:
il senrichit au fur et mesure du projet (document de travail, feuille de
route) pour adapter le processus aux volutions du projet, notamment pour
le planning;
63
ANNEXE 3
Il permet de formaliser les prises de dcisions et les mises au point
ncessaires et de disposer dun point de situation sur lavancement du pro-
cessus dhomologation (et les blocages ventuels);
Il constitue la base pour raliser le plan daction associ la dcision dho-
mologation;
Il peut se prsenter sous plusieurs formes:
documents isols (comptes rendus de runions, notes, etc.);
document unique (registre formel de dcisions, ou tableau de syn-
thse avec renvois des documents isols par exemple).
5 . Les rfrentiels de scurit
La dmarche dhomologation doit tre ralise conformment aux exigences
dcrites dans les rfrentiels de scurit de lautorit et en particulier:
la politique de scurit des systmes dinformation (PSSI) de lautorit;
la lgislation ou la rglementation particulire applicable lautorit
administrative;
les exigences de scurit des systmes interconnects au systme homo-
loguer.
6 . Le tableau de bord de lapplication des rgles
dhygine informatique
Les 40 rgles dhygine informatique publies par lANSSI sont applicables
dans toutes les situations. Un tableau de bord mesurant lapplication de ces
mesures dhygine montre la progression au sein du systme, lobjectif tant de
toutes les appliquer.
64
ANNEXE 3
7 . La cartographie des systmes dinformation
de lorganisme
La cartographie complte du rseau local doit tre tablie. Elle comprend:
la cartographie physique du rseau qui correspond la rpartition
gographique des quipements et permet de connatre la position dun
quipement rseau au sein des difrents sites.
la cartographie logique du rseau (plan dadressage IP, noms de sous-
rseaux, liens logiques entre ceux-ci, principaux quipements actifs, etc.).
Elle fait notamment apparatre les points dinterconnexion avec des enti-
ts extrieures (partenaires, fournisseurs de services, etc.) ainsi que
lensemble des interconnexions avec Internet.
la cartographie des applications. Le point de vue applicatif corres-
pond aux applications mtier et logiciels dinfrastructure utilisant larchi-
tecture rseau comme support
la cartographie de ladministration du systme dinformations.
Elle reprsente le primtre et le niveau de privilges des administrateurs
sur les ressources du parc informatique. Ce point de vue permet, en cas
de compromission dun compte dadministration, didentifer le niveau de
privilge de lattaquant et la portion du parc potentiellement impacte.
8 . Les schmas dtaills des architectures du
systme
Les schmas dtaills des architectures techniques et fonctionnelles dpendent
avant tout du primtre choisi de lhomologation du SI, ainsi que du niveau de
maturit de lorganisme.
Les schmas doivent permettre de savoir quelle est la fonction principale
du SI et comment ce SI fonctionne.
cette fn, il faut disposer, au minimum, de lannuaire (gestion des
comptes), du plan dadressage, de la liste des fonctions de scurit et de la car-
tographie du SI.
65
ANNEXE 3
Cette documentation doit tre mise jour afn de suivre les modifcations
subies par le SI.
Par exemple, si le primtre de lhomologation est une application de tl-
service, il faut fournir les lments suivants:
les procdures dexploitation de scurit (PES);
le plan du maintien en condition oprationnelle;
la matrice des fux entrant/sortant (interconnexions);
la documentation de la gestion des comptes de lapplication;
la documentation de ladministration du SI et de linstallation;
plan de sauvegarde et darchivage des donnes;
plan de continuit ou de reprise dactivit.
9 . Le document prsentant les risques
identifis et les objectifs de scurit
Ce document doit tre labor lissue dune analyse de risques, ralise (sauf
pour la dmarche Pianissimo) en suivant une mthode prouve et maintenue,
si possible respectant la norme ISO27005. Il prsente les caractristiques sui-
vantes:
il dcrit les besoins et objectifs de scurit du systme en termes de dispo-
nibilit, dintgrit et de confdentialit par rapport aux menaces identi-
fes. Au besoin, il peut tre prsent sous la forme dune Fiche dExpres-
sion Rationnelle des Objectifs de Scurit (FEROS) .
il indique la nature et la sensibilit des informations traites par le systme
et prcise les contraintes qui restreignent la conception, lexploitation et la
maintenance du systme.
il doit prendre en compte les architectures dinterconnexion, les moyens
partags avec dautres entits, leurs conditions dexploitation et de contrle.
sa rdaction ncessite la participation des acteurs cls du systme homolo-
guer, qui sont interrogs sur leurs besoins, le contexte demploi du systme
et les vnements susceptibles dimpacter positivement ou ngativement le
systme.
66
ANNEXE 3
dans le cadre des systmes OTAN, il est demand un nonc des impra-
tifs de scurit (SRS) (ou un quivalent national). Le SRS est un nonc
complet et explicite des principes de scurit dtaills satisfaire. Il existe
plusieurs types de SRS:
CSRS, nonc des impratifs de scurit applicables un ensemble
dinterconnexions lorsque plusieurs SI sont interconnects;
SSRS, nonc des impratifs de scurit propres un systme dans
des situations simples (systme autonome, par exemple);
SISRS, nonc des impratifs de scurit applicables une intercon-
nexion de systmes, lorsque deux SIC doivent tre connects entre
eux pour changer des informations, le SISRS constitue la base dun
accord entre les deux autorits dexploitation des SIC et les deux
autorits dapprobation ou dhomologation de scurit;
le SEISRS qui est la cible de scurit (ou nonc des impratifs de
scurit lectronique propres un systme.
10 . Les procdures dexploitation du systme
Ces procdures doivent tre dtailles et directement applicables. Elles exposent
les mesures de scurit permettant de rpondre aux objectifs de scurit fxs par
lautorit dhomologation. Elles prsentent les droits et les devoirs des accdants au
systme ainsi que les actions raliser dans le cadre de lutilisation quotidienne du
systme.
Ces procdures sont tablies par les quipes dexploitation internes lor-
ganisme et/ou par les fournisseurs du systme homologuer, ventuellement
laide des guides publis par lANSSI .
Lautorit dhomologation doit sassurer que les procdures fournies ont
t testes avec succs avant de prononcer lhomologation. Un dossier de tests
compltera utilement le dossier dhomologation.
67
ANNEXE 3
11 . Les exigences de scurit destination des
systmes interconnects
Les systmes contenant des informations sensibles ne doivent pas tre connec-
ts directement aux rseaux publics tels quInternet ou les rseaux WiFi des
htels, des gares ou des aroports.
12 . Les dcisions dhomologation des systmes
interconnects
Si les systmes connects au systme concern, ont dj fait lobjet dune
homologation, il faut joindre les dcisions dhomologation associes aux sys-
tmes ainsi que les dossiers associs, si possible et si ncessaire. En efet, il est
impratif de savoir, au minimum, par qui le systme a t homologu, quelle
date et quelle est la rfrence de cette dernire homologation.
13 . Les certificats de scurit des produits
utiliss
Les agrments des dispositifs de scurit, prononcs en application des disposi-
tions de lIGI1300, doivent fgurer dans le dossier dhomologation.
Les dcisions de ne pas faire agrer par lANSSI un dispositif de scurit,
lui-mme utilis comme moyen de protection contre les accs non autoriss aux
informations classifes ou au systme, doivent tre galement jointes au dossier,
ainsi que les lments ayant contribu ces dcisions.
68
ANNEXE 3
14 . Les attestations de qualification des
produits ou prestataires
Dans la mesure o le systme met en uvre des produits de scurit certifs ou
qualifs ou encore des services de confance qualifs, il est ncessaire dinclure
les attestations correspondantes dans le dossier dhomologation.
Si elles sont disponibles, les analyses de scurit des produits de scurit,
en particulier les instructions techniques demploi, peuvent galement tre int-
gres au dossier dhomologation.
15 . Les plans de tests et daudits
Des documents doivent identifer formellement les tests et les audits ncessaires
et prciser par qui ils doivent tre efectus et selon quel planning.
Pour mmoire, des audits doivent tre prvus aprs la dcision dhomo-
logation, afn dassurer le maintien en conditions oprationnelles du systme.
16 . Les rapports de tests et daudits et les
plans daction associs
Pour les systmes dj en production depuis un an ou plus, il est recommand
de procder demble un audit technique sur le systme homologuer, le cas
chant avant lanalyse des risques.
Pour les systmes en cours de conception, laudit pourra tre ralis loc-
casion de la procdure de recette applicative.
Pour les systmes existants requrant un besoin particulier de scurit, il
est recommand de procder, en premire action, un audit technique et orga-
nisationnel afn doptimiser la procdure dhomologation.
Laudit doit mener la ltablissement dune liste des vulnrabilits dtec-
tes et du plan daction afrent.
69
ANNEXE 3
Les audits doivent tre raliss par des quipes pralablement valides par
lautorit dhomologation.
Ils doivent porter sur les mesures de scurit lies lexploitation du sys-
tme et les comparer ltat de lart.
Les audits doivent tre mens dans les formes prvues par le rfrentiel
dexigences relatif aux prestataires daudit de la scurit des systmes dinfor-
mation.
17 . Le dossier des risques rsiduels
Ce dossier comporte une analyse de la couverture des risques et de latteinte des
objectifs de scurit au travers:
des procdures dexploitation scurise du systme;
de la PSSI.
Il prsente galement les vulnrabilits rsiduelles constates lors des tests et
des audits et non corriges ainsi que les plans daction associs.
18 . Les ventuelles dcisions dhomologation
antrieures
Le dossier doit comporter tous les documents relatifs aux ventuelles homolo-
gations prcdentes.
19 . Le tableau de bord des incidents et de leur
rsolution
Ce tableau recueille lensemble des incidents survenus sur le SI avec lidenti-
fcation de leur(s) cause(s), les consquences et les modalits de rsolution de
lincident. Il prcise galement le plan daction associ.
70
ANNEXE 3
20 . Le journal des volutions
Ce journal consigne les volutions du systme, notamment celles ayant une
incidence sur les critres et conditions de lhomologation.
Il comprend, en particulier, la liste des mesures de scurit apportes en
prvention de risques ou en correction danomalies ou de vulnrabilits consta-
tes dans les audits.
71
ANNEXE 4
Annexe 4
Liste de menaces, issue de la base de connaissance EBIOS
Menaces sur les matriels
Usage dun quipement ou dun matriel:
utilisation abusive dun ordinateur des fns personnelles, voire pour un
usage inappropri ou illicite;
stockage de fchiers personnels sur lordinateur de bureau (ex. vidos non
professionnelles);
usage dune imprimante des fns personnelles ou au dtriment dautrui;
stockage dinformations sensibles sur des supports inappropris (disque
dur non protg, cl USB, CDROM laiss sur un bureau);
perte ou vol dun ordinateur (surtout portable), ou dun support de don-
nes lectronique (cl USB, CDROM, disque dur amovible) notamment
lors dun dplacement ou dun dmnagement.
Observation dun quipement:
observation dun cran travers une fentre;
observation de la saisie dun code au clavier;
coute dune conversation difuse sur les haut-parleurs de lordinateur;
golocalisation dun matriel ( partir de son adresse IP ou par le rseau
tlphonique);
interception de signaux compromettants mis par lafchage lcran ou
les touches du clavier;
pose dun dispositif-espion matriel (keylogger) sur la face arrire dun
poste de travail.
72
ANNEXE 4
Fonctionnement du matriel:
surcharge dun disque dur ou dun serveur aboutissant une panne;
perturbations lectriques ou lectromagntiques;
panne lectrique involontaire (remplacement dun poste par un ordinateur
plus consommateur en nergie, rupture de cbles lectriques suite des
travaux de terrassement, court-circuit d la foudre, erreur de branche-
ment ou incident lectrique);
vieillissement du matriel susceptible dentraner un crash du disque dur;
multiples dplacements du matriel (ordinateur portable);
ordinateur travaillant dans un milieu pollu, humide, ou corrosif (atelier
industriel), ou en prsence dondes lectromagntiques ou de vibra-
tions;
chute du matriel pendant une installation ou un dmnagement (voir
vandalisme);
efacement des donnes par passage dun aimant sur un disque dur;
prsence dun code malveillant destin empcher le fonctionnement de
tout ou partie du matriel.
Menaces sur les logiciels
Menaces sur lusage de logiciels
un logiciel est pig (keylogger), ou corrompu par un code malveillant;
un logiciel accde ou copie de manire inapproprie voire illicite des don-
nes mtiers, des donnes de confguration dquipements, ou collecte des
donnes mtiers partages dans un rseau;
un logiciel supprime de manire inapproprie des donnes, journaux
dvnements, enregistrements de conversations, etc. quils soient en m-
moire, sur un disque dur ou sur un support;
un logiciel cre ou modife des donnes de manire inapproprie: mes-
sages injurieux sur un forum, confguration dun systme, insertion dune
page web ou dfguration sur un site Internet, lvation de privilges dun
73
ANNEXE 4
compte utilisateur, efacement de traces doprations dans un journal
dvnements, fraude;
un logiciel collecte des donnes de confguration dun rseau, balaie les
adresses internes rseau ou recense les ports ouverts;
un logiciel exploite des donnes de base pour en extraire des informations
confdentielles (recoupement, infocentre);
un logiciel utilise des mcanismes de stganographie pour transmettre des
donnes discrtement;
un agent utilise un logiciel professionnel pour des besoins personnels;
un agent connecte son ordinateur portable personnel compromis par un
attaquant au rseau;
un agent transfre systmatiquement tous les messages quil reoit sur un
compte de messagerie personnel dont le mot de passe a t cass par un
groupe dattaquant notoire;
une machine du rseau est compromise pour raliser un envoi massif din-
formations par courrier lectronique (spam);
un utilisateur utilise, volontairement une copie dun logiciel dont le fonc-
tionnement nest pas garanti (par exemple une contrefaon);
un logiciel est utilis sans achat de la licence correspondante, ou la licence
nest pas renouvele;
un logiciel est analys par lattaquant en vue dtre corrompu: observation
de son fonctionnement, observation de lemploi de son espace mmoire,
ingnierie inverse, etc. ;
tout ou partie du logiciel est dtruit par un virus (bombe logique);
le logiciel est modif de manire involontaire: mise jour avec une mau-
vaise version, modifcation de la confguration en maintenance, activation
ou dsactivation de fonctions, changement de paramtrage du rseau,
modifcation des rgles de routage ou de rsolution des noms de domaine.
74
ANNEXE 4
Menaces sur les rseaux
un attaquant coute les informations circulant sur le rseau informatique
ou tlphonique, et rmet un message confdentiel vers ladresse dun
forum public;
un attaquant sature le rseau par un envoi massif de messages;
un point daccs sans fl mal confgur permet lcoute de lensemble des
donnes qui transitent par Wif;
un attaquant sectionne les cbles dune ligne tlphonique (tord la fbre
optique) empchant physiquement la transmission des messages;
une quipe de maintenance remplace un cble existant par un autre de
moins grande capacit, etc. ;
des voleurs drobent les cbles de transmission en cuivre pour les revendre
la ferraille.
Menaces sur les personnels
lunique administrateur dune application critique est victime dune pi-
dmie de grippe
une grve des transports paralyse laccs au site hbergeant les postes de
travail;
une contamination dans le restaurant dentreprise cre une intoxication
alimentaire chez de nombreux agents;
lun des agents se dplaant rgulirement bavarde avec des inconnus
rencontrs au wagon-bar du TGV des anomalies de fonctionnement du
systme;
un agent, perturb par une surcharge de tches, commet des erreurs de
manipulation du systme;
lergonomie du poste de travail (mauvais clairage, sige inconfortable,
etc.) nuit au bon usage du logiciel;
un agent passe une part signifcative de son temps de travail sur les sites
de jeux en ligne, ce qui nuit lefcacit du systme;
75
ANNEXE 4
lagent expert dans lusage dune fonction critique du systme demande sa
mutation pour se rapprocher de son conjoint;
une rorganisation ou un dmnagement rompent les changes entre per-
sonnes qui staient tablies pour pallier les faiblesses fonctionnelles du
systme.
Menaces sur les locaux
il existe un risque quun incendie se dclenche dans les locaux sans tre
dtect;
le btiment hbergeant le systme se situe dans une zone industrielle
comportant des entreprises soumises autorisation prfectorale (ex.
SEVESO) susceptibles de gnrer un accident industriel (explosion);
emploi de mauvais matriaux, construction dfectueuse, mouvements de
terrain sapant les fondations, infltration deau dans le sol, etc.
Version 2.0 - Juin 2014
20140604-1555
Licence Ouverte/Open Licence (Etalab - V1)
AGENCE NATIONALE DE LA SCURIT DES SYSTMES DINFORMATION
ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
www.ssi.gouv.fr / communication@ssi.gouv.fr