Thème 7 : Système d'information d'une communauté urbaine :cas

de la communauté urbaine de Douala(CUD)

Noms Prénoms Matricule

MATEUZEM NGUEKENG Calixte 16w2263
ONGOH Ghislain Noël 16w2293
SIGNE KAMEGNI Cedric Gislain 16w2304
BOUGUEM SIHOUTE Joel 16w2221
NKOTO EMINI Laurent Patrick 16w2283
MOUNCHILI Chou aibou 16w2269
NGOUH MUNSHIKPU Gareth 16w2280
NLEND MAKANG Yves

1. Présentation de la communauté urbaine de Douala

Les Communes de Douala et Yaoundé créées par le Gouverneur français au Cameroun, au

terme du décret du 23 avril 1941 qui reconnait au gouverneur la faculté de créer les
communes mixtes vont évoluer et subir plusieurs mutations. La CUD couvre cinq communes
d’arrondissement et une commune rurale. Elle a une superficie de 21000 hectares ou 210 Km2
et est situé entre 4°03’ de latitude Nord et 9°42’ de longitude Est [1]. Elle est Dirigée, par un
Délégué du gouvernement assisté des Délégués adjoints, tous nommés par décret présidentiel,
la CUD est une collectivité publique décentralisée et une personne morale de droit public. Elle
est dotée de la personnalité juridique et de l’autonomie financière. La CUD gère, sous tutelle
de l’Etat camerounais les affaires locales en vue du développement économique, social et
culturelle de ses population. (Question à poser comment es ce que les communes
communiquent avec la communauté

2. Contexte et problématique

Le système d’information peut être définit comme étant l’ensemble des ressources
matérielles et logicielles permettant la collecte, le traitement et la diffusion d’une
information.la communauté urbaine dispose de nombreuses ressources qu’il est
 nécessaire de protéger pour garantir son bon fonctionnement cependant le
fonctionnement du SI fait face à des multiples difficultés tels que la pluralité des
communes, la croissance démographique, mauvaise utilisation des ressources du
système. D’où l’importance de l’établissement d’une politique de sécurité.

3. Parties prenantes

Les acteurs pouvant influencer de près ou de loin l’accomplissement des missions de

la communauté urbaine sont :

 Décideurs publics
 Acteurs économiques
 Société civile
 Professionnels de l’aménagement etc. ….

4. Les différentes missions de la communauté urbaine de Douala sont :

 Aménagement et développement économie social culturel de l’espace communautaire
 Equilibre social de l’habitat
 Equilibre social de l’habitat
 Politique de la ville
 Protection et mise en valeur de l’environnement
 Politique du cadre de vie
 Gestion des services d’intérêt collectif.
 Urbanisme et aménagement urbain
 Equipement et infrastructure d’intérêt communautaire
 Eclairage publique et approvisionnement en eau potable
 Circulation et transport
 Parking public et parc de stationnement
 Abattoir municipaux
 Marchés et foire
 Musée municipaux
 Parc et jardin
 Cimetière
 Exécution des mesures foncière et domaniale du permis de construction
 Dénomination des rues places et édifices publics
 Hygiène et salubrité
 5. Identifications des biens à sécuriser de la communauté urbaine

a. matériel (ordinateurs, onduleurs, serveurs…)

b. physique
c. logiciel
d. humain
e. documents
f. immatériels
g. immobiliers

6. Menaces potentielles

Les types de menaces auxquelles pourraient être exposée la communauté urbaine sont :

a. Menaces accidentelles (non humaine)

- Catastrophes naturelles dit « action of GOD »

- Actes humains involontaires (mauvaise entrée de données, erreur de frappe)
- etc.

b. Menaces délibérées (humaines)

- Vol de systèmes
- Attaque
- Vol d’information
- Modification non-autorisées des systèmes
- etc.
Comme quelque cas de figure de scenarios de risques nous avons :

- un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un

système d'information a pour origine un utilisateur, généralement insouciant. Il n'a pas
le désir de porter atteinte à l'intégrité du système sur lequel il travaille, mais son
comportement favorise le danger ;
- une personne malveillante : une personne parvient à s'introduire sur le système,
légitimement ou non, et à accéder ensuite à des données ou à des programmes
auxquels elle n'est pas censée avoir accès. Le cas fréquent est de passer par des
logiciels utilisés au sein du système, mais mal sécurisés ;
- un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du
système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte
à des intrusions ou modifiant les données ; des données confidentielles peuvent être
collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ;
- un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une
malveillance entraînant une perte de matériel et/ou de données.

7. Dommages pouvant affecter le système d’information de la communauté urbaine

Quatre types de dommages peuvent affecter le système d'information d'une organisation

a. Les dommages financiers :

 Sous forme de dommages directs, c'est l'action de reconstituer des bases de

données qui ont disparu, de reconfigurer un parc de postes informatiques ou de
réécrire une application.

b. La perte de l'image de marque :

 Perte directe par la publicité négative faite autour d'une sécurité insuffisante tel

que l'hameçonnage.

c. Les dommages réglementaires :

 L'indisponibilité d'un système d'informations peut mettre en défaut le

traitement des dossiers ;

8. Les menaces auxquelles pourraient être exposée la communauté urbaine sont :

a. Menaces matérielles
- Vol de serveurs
- Vol d’ordinateurs
 - Vol du pare-feu etc.

b. Menaces logicielles

- Virus informatique (chevaux de Troie, vers informatiques…)

- Vol d’information
- Intrusion
- Le phishing

9. Politique de sécurité

1. Politique du courrier électronique

i. Aperçu
Le courrier électronique est répandu dans presque tous les secteurs verticaux de l'industrie et
est souvent le principal Méthode de communication et de sensibilisation au sein d'une
organisation. Parallèlement, une mauvaise utilisation du courrier électronique Peut afficher de
nombreux risques juridiques, de protection de la vie privée et de sécurité, il est donc important
pour les utilisateurs de comprendre Utilisation appropriée des communications électroniques.

ii. Objectifs
Le but de cette politique de courrier électronique est d'assurer l'utilisation correcte du système
de messagerie et de sensibiliser les utilisateurs à ce que l’entreprise juge acceptables et
inacceptable de son système de messagerie. Cette politique décrit les exigences minimales
pour l'utilisation du courrier électronique.

iii. Portée
Cette politique couvre l'utilisation appropriée de tout courrier électronique envoyé par une
adresse de courrier électronique de la communauté urbaine et s'applique à tous les employés,
fournisseurs et agents opérant pour le compte de la communauté.

iv. Politique

 Toute utilisation de courrier électronique doit être conforme aux politiques et

aux procédures de la communauté urbaine et de la conduite éthique de la
sécurité, du respect des lois applicables et des pratiques commerciales
appropriées
  La communication personnelle est permise sur une base limitée, mais les
utilisations commerciales non commerciales sont interdites
 Toutes les données de la communauté urbaine contenues dans un message
électronique ou une pièce jointe doivent être sécurisées conformément au
standard de protection des données.
 Le courrier électronique qui est identifié comme un dossier métier de la
communauté urbaine doit être conservé selon le Calendrier de conservation
des enregistrements.
 Le système de courrier électronique ne doit pas être utilisé pour la création ou
la distribution de messages perturbateurs ou offensants, y compris des
commentaires offensants sur la race, le sexe, la couleur des cheveux, les
handicaps, l'âge, l'orientation sexuelle, la pornographie, les croyances
religieuses et la pratique politique Les croyances ou l'origine nationale. Les
employés qui reçoivent des courriels avec ce contenu de n'importe quel
employé doivent signaler la question à leur superviseur immédiatement.
 Il est interdit aux utilisateurs de transmettre automatiquement le courrier
électronique de la communauté urbaine à un système de messagerie tiers. Les
messages individuels transmis par l'utilisateur ne doivent pas contenir des
informations confidentielles.
 Les utilisateurs sont interdits d'utiliser des systèmes de messagerie tiers et des
serveurs de stockage tels que Google, Yahoo et MSN Hotmail, etc. pour mener
des affaires de l’entreprise, créer ou commémorer des transactions
contraignantes ou stocker ou conserver des courriels pour l’entreprise. Ces
communications et ces transactions devraient être effectuées par des canaux
appropriés.
 L'utilisation d'une quantité raisonnable de ressources de la communauté
urbaine pour les courriels personnels est acceptable, mais le courrier
électronique non lié au travail doit être enregistré dans un dossier distinct à
partir des courriels liés au travail. Il est interdit d'envoyer des lettres en chaîne
ou des courriels de plaisanterie à partir d'un compte de courrier électronique de
la structure.

v. Non-conformité

Un employé qui a violé cette politique peut être assujetti à des mesures disciplinaires, jusqu'à
la cessation d'emploi.

2. Politique de protection du mot de passe

i. Aperçu
Les mots de passe sont un aspect important de la sécurité informatique. Un mot de passe mal
choisi peut entraîner un accès et / ou une exploitation non autorisés des ressources de
l’entreprise. Tous les utilisateurs, y compris les entrepreneurs et les fournisseurs ayant accès
aux systèmes de la communauté urbaine, sont responsables de prendre les mesures
appropriées, comme indiqué ci-dessous, pour sélectionner et sécuriser leurs mots de passe.
 ii. Objectifs

Le but de cette politique est d'établir une norme pour la création de mots de passe forts, la
protection de ces mots de passe et la fréquence des changements.

iii. Portée
Le champ d'application de cette politique comprend tout le personnel qui a un compte ou qui
est responsable d'un compte (ou de toute forme d'accès prenant en charge ou nécessite un mot
de passe) sur tout système de la communauté urbaine.

iv. Politique

 Tous les mots de passe au niveau de l'utilisateur et au niveau du

système doivent être conformes aux directives de construction du mot
de passe
 Les utilisateurs ne doivent pas utiliser le même mot de passe pour les
comptes de la communauté que pour les autres accès.
 Tous les mots de passe au niveau de l'utilisateur (par exemple, courrier
électronique, site Web, ordinateur de bureau, etc.) doivent être
modifiés au moins tous les six mois. L'intervalle de changement
recommandé est tous les quatre mois.
 Les mots de passe ne doivent pas être insérés dans des messages
électroniques, des cas d'alliance ou d'autres formes de communication
électronique
 Les mots de passe ne doivent pas être révélés par téléphone à
personne.
 N'utilisez pas la fonction "Remember Password" des applications (par
exemple, les navigateurs Web).
 Tout utilisateur soupçonnant que son mot de passe a pu être
compromis doit signaler l'incident et modifier tous les mots de passe

3. Politique de sécurité du serveur

i. Aperçu
Les serveurs non garantis et vulnérables continuent d'être un point d'entrée majeur pour les
acteurs de menaces malveillants. Les règles cohérentes d'installation du serveur, la gestion de
la propriété et de la configuration concernent bien les bases.

ii. Objectifs
Le but de cette politique est d'établir des normes pour la configuration de base du serveur
interne Équipement appartenant et / ou exploité par la communauté. Mise en œuvre efficace
de cette La politique réduira l'accès non autorisé aux informations.
 iii. Portée
Tous les employés, entrepreneurs, consultants, travailleurs temporaires et autres à la CUD et
Ses filiales doivent adhérer à cette politique. Cette politique s'applique aux équipements de
serveur détenus, exploités ou loués par la CUD ou enregistrés dans un domaine de réseau
interne de la CUD.

iv. Politique

 Les changements de configuration pour les serveurs de production doivent suivre les
procédures de gestion de changement appropriées.
 La configuration du système d'exploitation doit être conforme aux directives
approuvées par la communauté urbaine.
 Les services et les applications qui ne seront pas utilisés doivent être désactivés
lorsque cela est pratique.
 L'accès aux services devrait être enregistré et / ou protégé par des méthodes de
contrôle d'accès telles qu'un pare-feu d'application Web, si possible.
 Les relations de confiance entre les systèmes sont un risque de sécurité, et leur
utilisation devrait être évitée. N’utilisez pas une relation de confiance quand une autre
méthode de communication est suffisante.
 Toujours utiliser les principes de sécurité standard de l'accès le moins requis pour
effectuer une fonction. N’utilisez pas root lorsqu'un compte non privilégié fera.
 Si une méthodologie pour la connexion de canal sécurisé est disponible (c'est-à-dire
techniquement faisable), un accès privilégié doit être effectué sur des canaux sécurisés
(par exemple, des connexions de réseau cryptées utilisant SSH ou IPSec).
 Les serveurs devraient être physiquement situés dans un environnement contrôlé par
l'accès.
 Les serveurs sont expressément interdits de fonctionner à partir de zones de cabine
incontrôlées.
 Tous les événements liés à la sécurité sur les systèmes critiques ou sensibles doivent
être enregistrés et les pistes d'audit enregistrées comme suit:
- Tous les fichiers journaux liés à la sécurité seront mis en ligne pendant au moins 1 semaine
- Les sauvegardes de bande incrémentales quotidiennes seront conservées pendant au moins 1
mois.
- Les sauvegardes hebdomadaires en bandes complète des journaux seront conservées pendant au
moins 1 mois
- Les sauvegardes complètes mensuelles seront conservées pendant au moins 2 ans

 Les événements liés à la sécurité incluent, sans s'y limiter:

- Scan des ports attaqués
- Preuve de l'accès non autorisé aux comptes privilégiés
- Les occurrences anormales qui ne sont pas liées à des applications spécifiques sur l'hôte

4. Politique de sécurité sur la base de données

i. Aperçu
Les informations d'authentification de la base de données sont une partie nécessaire de
l'application d'autorisation pour se connecter aux bases de données internes. Cependant, une
utilisation, un stockage et une transmission incorrecte de ces informations de compétence
pourraient entraîner un compromis d'actifs très sensibles et être un tremplin pour un
compromis plus large au sein de l'organisation.

ii. Objectifs
Cette politique indique les exigences pour stocker et récupérer les noms d'utilisateur et les
mots de passe de la base de données (c.-à-d., Les informations d'identification de la base de
données) pour être utilisés par un programme qui accède à une base de données s'exécutant
sur l'un des réseaux de la communauté.

iii. La porté
Cette politique s'adresse à tous les responsables de l'implémentation du système et / ou du
logiciel qui peuvent coder Les applications qui accéderont à un serveur de base de données de
production sur le Réseau. Cette politique s'applique à tous les logiciels (programmes,
modules, bibliothèques ou APIS qui auront accès à une base de données de production de la
communauté, multi-utilisateurs. Il est recommandé de mettre en place des exigences
similaires pour les serveurs et les environnements sans production, utiliser toujours des
informations désinfectées.

iv. Politique

 Les noms d'utilisateurs et les mots de passe de la base de données peuvent

être stockés dans un fichier distinct de l'organe d'exécution du code du
programme. Ce fichier ne doit pas être lisible et modifiable par une tierce
personne.
 Les informations d'identification de base de données peuvent résider sur le
serveur de base de données. Dans ce cas, un numéro de fonction hash
identifiant les informations d'identification peut être stocké dans l'organe
d'exécution du code du programme.
 Les informations d'identification de base de données peuvent ne pas
résider dans l'arborescence des documents d'un serveur Web
 Les mots de passe ou les mots de passe utilisés pour accéder à une base de
données doivent respecter la Politique de mot de passe
 Les mots de passe de base de données utilisés par les programmes sont des
mots de passe au niveau du système tels que définis par la Politique de mot
de passe.

 Les groupes de développeurs doivent avoir un processus en place pour

s'assurer que les mots de passe de la base de données sont contrôlés et
modifiés conformément à la Politique de mot de passe.

5. Politique de reprise après sinistre

 i. Aperçu
Étant donné que les catastrophes se produisent si rarement, la direction ignore souvent le
processus de planification de la reprise après sinistre. Il est important de se rendre compte
qu'avoir un plan de contingence en cas de sinistre. Cette politique exige que la direction
appuie financièrement et assiste avec diligence aux efforts de planification d'urgence en cas de
catastrophe. Les catastrophes ne se limitent pas aux conditions météorologiques défavorables.
Tout événement susceptible de provoquer un délai prolongé de service devrait être pris en
considération. Le plan de rétablissement des sinistres fait souvent partie du plan de continuité
des activités.

ii. Objectifs

Cette politique définit l'exigence d'un plan de récupération après sinistre de base à développer
et à mettre en œuvre par la communauté urbaine qui décrira le processus de récupération des
systèmes informatiques, des applications et des données de tout type de catastrophe qui
entraîne une panne majeure.

iii. La portée

Cette politique s'adresse au personnel de gestion des TI qui sont responsable de s'assurer que
le plan est développé, testé et mis à jour. Cette politique consiste uniquement à déclarer
l'obligation d'avoir un plan de reprise après sinistre, il ne fournit pas d'exigences concernant
ce qui se trouve dans le plan ou les sous-programmes.

iv. Politique

1. Plan d’urgence

Les plans d'urgence suivants doivent être créés:

 Plan d'intervention en cas d'urgence informatique: qui doit être contacté, quand et
comment? Quelles actions immédiates doivent être prises en cas de certaines
occurrences?
 Plan de relève: Décrivez le flux de responsabilité lorsque le personnel normal n'est pas
disponible pour s'acquitter de ses fonctions.
 Étude de données: Déterminez les données stockées sur les systèmes, sa criticité et sa
confidentialité.
 Il explique également l'ordre de récupération dans les délais à court terme et à long
terme
 Plan de sauvegarde et de restauration des données: détermine les données
sauvegardées, les médias sur lesquels elles sont enregistrées, où ce média est stocké et
la fréquence de la sauvegarde. Il devrait également décrire comment ces données
pourraient être récupérées
 Plan de remplacement de l'équipement: décris le matériel requis pour commencer à
fournir des services, énumère l'ordre dans lequel il est nécessaire et notez où acheter
l'équipement.
  Gestion des médias de masse: qui est chargé de donner des informations aux médias?
 Fournissez également des directives sur les données appropriées à fournir.

Après avoir créé les plans, il est important de les pratiquer dans la mesure du possible. La
direction devrait réserver un délai pour tester la mise en œuvre du plan de reprise après
sinistre. Au cours de ces tests, les problèmes susceptibles de provoquer l'échec du plan
peuvent être découverts et corrigés dans un environnement qui présente peu de conséquences.

Le plan, au minimum, devrait être revu sur une base annuelle.

Conclusion
L’informatique est devenue un outil incontournable de gestion, d’organisation, de production
et de communication. Le réseau informatique de l’entreprise met en œuvre des données
sensibles, les stockent, les partagent en interne, les communiquent parfois à d’autres
entreprises ou personnes et les importent à partir d’autres sites .cet ouverture vers l’extérieur
conditionne les gains de productivités et de compétitivités. Nous nous sommes intéressés à la
sécurité du système d’information de la communauté urbaine ceci nous a permis d’évaluer le
niveau de vulnérabilité sur ce réseau. Les recommandations de notre politique de sécurité si
elles sont suivis permettrons de renfoncer le niveau de sécurité sur le réseau informatique de
la communauté urbaine.
Toutefois, la sécurité d’un SI est un secteur très sensible, nous n’avons travaillé que dans la
limite des possibilités offertes.
Enfin, l’élaboration d’une charte d’utilisation du réseau informatique et surtout une
sensibilisation des utilisateurs du réseau sur le bien-fondé de ces mesures de sécurité ainsi que
leurs importances sur la pérennité du SI est une étape non négligeable pour l’effectivité de ces
mesures.