Audit et optimisation du réseau informatique du programme d’Aspersion Intra Domiciliaire (A.I.D)

Les risques

Dans le domaine de la sécurité informatique on peut identifier plusieurs risques que sont

Les risques Humain

Les risques humains sont les plus importants, ils concernent les utilisateurs mais également les informaticiens. Malveillances : Certains utilisateurs peuvent volontairement mettre en danger le système d’information en y introduisant en connaissance de cause des virus, ou en mettant volontairement de mauvaises informations dans une base de données Maladresse : Comme dans toute activité, les humains commettent des erreurs, ils leur arrivent donc plus ou moins fréquemment d’exécuter un traitement non souhaité, d’effacer involontairement des données ou des programmes. Inconscience : De nombreux utilisateurs d’outils informatiques sont encore inconscients ou ignorants des risques qu’ils encourent aux systèmes qu’ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. 

Les risques Techniques 

Programmes malveillants : C’est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants : • Le virus : Programme se dupliquant sur d’autres ordinateurs. Le ver : Exploite les ressources d’un ordinateur afin d’assurer sa reproduction. • Le Cheval de Troie : Programme à apparence légitime qui exécute des routines nuisibles sans l’autorisation de l’utilisateur. Accidents : il s’agit là d’un évènement perturbant les flux de données en l’absence de dommages aux équipements (panne, incendie, dégâts des eaux d’un serveur ou centre informatique,..). 22 Erreurs : que ce soit une erreur de conception, de programmation de paramétrage ou de manipulation de données ou de leurs supports, l’erreur désigne les préjudices consécutifs à une intervention humaine dans le processus de traitement automatisé des données. Technique d’attaques par messagerie : en dehors de nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques tels que : • Le Pourriel (Spam) : Un courrier électronique non sollicité, la plus part du temps de la publicité. Ils encombrent le réseau. • l’Hameçonnage : un courrier électronique dont l’expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles. .Attaques sur le réseau : les principales techniques d’attaques sur le réseau sont : Le Sniffing : technique permettant de récupérer toutes informations transitant sur le réseau. Elle est généralement utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas leurs communications. La Mystification (Spoofing) : technique consistant à prendre l’identité d’une autre personne ou d’une autre machine. Elle est généralement utilisée pour récupérer des informations sensibles. Attaques sur les mots de passe : les attaques sur les mots de passe peuvent consister à faire de nombreux essais jusqu’à trouver le bon mot de passe. Dans ce cadre, notons les deux méthodes suivantes : L’attaque par dictionnaire : le mot testé est pris dans une liste prédéfinie contenant les mots de passe les plus courants. L’attaque par force brute : toutes les possibilités sont faites dans le désorde jusqu’à trouver la bonne solution (par exemple de « aaaaaa « jusqu’à « zzzzzz » pour un mot de passe composé strictement de six caractères alphabétiques) avec la possibilité d’utiliser des majuscules et de chiffres de 0 à 9. 

Méthode d’analyse des risques

Il existe de nombreux outils performants d’analyse des risques : Méhari, Marion, Octave, Ebios, Cobit etc. Pour cette étude, nous allons opter pour MEHARI (Méthodes Harmonisées d’analyses des risques) qui est une méthode complète d’évaluation et de management des risques liés à l’information. Elle a été mise en place par CLUSIF et son utilisation est gratuite et sa distribution est réalisée selon les dispositions du logiciel libre (Open Source).Elle se présente sous forme d’un classeur Excel composé de plusieurs modules. Méhari comporte des outils et bases de connaissance pour : • analyser les enjeux majeurs, 23 • étudier les vulnérabilités, • réduire la gravité des risques, • piloter la sécurité de l’information. Capture 8 : fichier de la méthode MEHARI 

Présentation des feuilles de calcul contenues dans le classeur

Les feuilles de calcul contenues dans le classeur distribué par le CLUSIF sont de plusieurs types  Des feuilles générales de mise en œuvre • Intro • Dossier • Nav • Licence  4 Feuilles relatives aux résultats de l’analyse des enjeux de la classification • T1, T2 etT3 : exigences de sécurité pour les processus métiers et transverses • Classif : report des niveaux de classification des actifs à partir de T1,T2 et T3  Des feuilles relatives au diagnostic des services de sécurité • 01 Org à 14 ISM :feuilles de questionnaires de diagnostic (une par domaine) • Services : feuille récapitulative des résultats des diagnostics par service 24 • Thèmes : feuille récapitulative, par thème de sécurité • Score ISO : résultats des diagnostics selon la classification ISO 27001/27002et table de déclaration d’applicabilité (SOA)  Des feuilles relatives à l’évaluation des risques : • Expo : feuille d’évaluation de l’exposition naturelle aux risques • Scénarios : feuilles descriptives des scénarios • Risk%actif et Risk%event :feuilles récapitulatives de la gravité des scénarios par type d’actif et par type d’événement  Des feuilles relatives à la préparation de plans d’action : • Plans_d’action : Récapitulatif des scénarios par famille et des plans d’actions possibles • Obj_PA : Récapitulatif des objectifs issus des plans d’action • Obj_Projects : objectifs par projet  4 Feuilles d’éléments permanents et de paramétrage de la méthode • Vulnérabilités types • 2 Feuilles de paramétrage : Grille-IP et gravité • 1 feuille de correspondance entre les services de Mehari 2010 et Mehari 2007 • 1 feuille de codes (masquée) servant dans la description des scénarios On peut choisir un module et masquer certaines feuilles pour faire un meilleur ciblage et être en conformité avec le périmètre d’audit qu’on avait défini plus haut. Dans notre cas, nous utiliserons le module d’analyse de risque (identification, estimation et évaluation des risques).

Module d’analyse de risques

Comme on l’a décrit plus haut ce module est composé de 4 feuilles : Expo, Risk%actif, Risk%event, Scénarios 1. Remplissage de la feuille Expo : Cette feuille contient le tableau des évènements déclencheurs de scénarios dont la probabilité constitue la Potentialité Intrinsèque des scénarios. Les colonnes A à D contiennent les types d’événements et les codes correspondants. La colonne E contient la valeur (de 0 à 4) de l’exposition proposée en standard par le CLUSIF. La colonne F permet de forcer une valeur spécifique pour l’entité si la valeur standard ne s’applique pas à sa situation ou à son environnement. La colonne G contient par défaut la valeur standard et, si une valeur a été entrée en colonne F, cette dernière valeur est prise en compte. Par défaut la colonne H qui est à 1 permet de désélectionner (valeur 0) des menaces, et de ce fait tous les scénarios correspondants sont automatiquement désélectionnés..