Etude de sécurité sur la plateforme « Jason »

Déroulement de la prestation

Calendrier L’exécution de la prestation devra débuter au maximum 5 jours après la demande du ministère, sauf accord préalable.

Étapes Le déroulement de la mission se fera selon deux étapes. La première sera l’étude de risques, conformément à la méthode EBIOS, et la seconde la recette technique SSI. La recette technique peux démarrer avant la fin de l’étude EBIOS.

Étude de risques 

La méthode d’analyse de risque à utiliser est la méthode EBIOS (2010). Cette méthode est disponible ici : http://www.ssi.gouv.fr/site_rubrique41.html. Elle doit être utilisée de façon adaptée au contexte de l’étude, tout en respectant les différentes étapes, ainsi que le vocabulaire associé.
Les menaces retenues pour l’ensemble du ministère de la culture et de la communication dans le cadre du schéma directeur SSI sont les suivantes : 1 Incendie ; 2 Dégâts des eaux ; 4 Accidents majeurs ; 8 Phénomène météorologique ; 9 Crue ; 10 Défaillance de la climatisation ; 11 Perte d’alimentation énergétique ; 12 Perte des moyens de télécommunications ; 17 Espionnage à distance ; 18 Ecoute passive ; 19 Vol de supports ou de documents ; 20 Vol de matériels ; 21 Divulgation interne ; 22 Divulgation externe ; 23 Panne matérielle ; 24 Dysfonctionnement matériel ; 25 Saturation du matériel ;
– 26 Dysfonctionnement logiciel ; 27 Destruction de matériels ; 28 Atteinte à la maintenabilité du système d’information ; 29 Informations sans garantie de l’origine ; 30 Piégeage du matériel ; 31 Utilisation illicite des matériels ; 32 Altération du logiciel ; 33 Piégeage du logiciel ; 34 Copie frauduleuse de logiciels ; 35 Utilisation de logiciels contrefaits ou copies ; 36 Altération des données ; 37 Erreur de saisie ; 38 Erreur d’utilisation ; 39 Abus de droit ; 40 Usurpation de droit ; 41 Reniement d’actions ; 42 Fraude 43 Atteinte à la disponibilité du personnel. Les menaces non-retenues sont les suivantes : 3 Pollution : Le groupe de travail n’a pas mis en évidence de menace concrète générale en terme de pollution. Cette menace devrait être prise en considération lors d’étude de sécurité par site ou lors de projets immobiliers, sur la base d’une analyse de l’environnement industriel. 5 Risque climatique : Le groupe de travail n’a pas mis en évidence de menace concrète générale. Une étude locale de sécurité pourra prendre en considération cette menace, en particulier outre-mer (ex. : cyclone). 6 Phénomène sismique : Le groupe de travail n’a pas mis en évidence de menace concrète générale. Une étude locale de sécurité pourra prendre en considération cette menace, en particulier outre-mer et dans quelques secteurs de la métropole. 7 Phénomène volcanique : Le groupe de travail n’a pas mis en évidence de menace concrète générale. Une étude locale de sécurité pourra prendre en considération cette menace, en particulier à la Réunion et dans les Antilles. 13 Rayonnements électromagnétiques : Le groupe de travail n’a pas mis en évidence de menace concrète générale. 14 Rayonnements thermiques : Pas de risque particulier identifié. 15 Impulsions électromagnétiques : Pas de risque particulier identifié. 16 Interception de signaux parasites compromettants : Pas de risque particulier identifié. 44 Géolocalisation : Pas de risque particulier identifié. L’objectif étant toujours d’une part d’obtenir un résultat opérationnel et adapté au contexte, et non une liste d’exigences directement issues des bonnes pratiques, et d’autre part d’identifier la liste des risques résiduels dans l’objectif d’une homologation du système, au sens RGS.

LIRE AUSSI :  Introduction aux réseaux de transports urbains collectifs

Recette technique SSI Les objectifs du ministère sont :

• obtenir un avis extérieur et indépendant sur le niveau de sécurité des configurations mises en œuvre ; • s’assurer que l’architecture et les mesures de sécurisation mises en place sont en adéquation avec les objectifs de confidentialité et d’intégrité des données traitées par ces applications, le niveau de sécurité exprimé dans le CCTP, les règles de bonnes pratiques de la profession. • obtenir, le cas échéant, des propositions concrètes en vue d’améliorer la sécurité de la plateforme et de l’application auditées.
L’audit sera conduit suivant une approche d’«audit intrusif», articulé autour des composantes suivantes : • audit de configuration des éléments jugés critiques de la plate-forme ; • test d’intrusion (boîte blanche), afin de conforter/infirmer les vulnérabilités mises en œuvre lors de la phase d’audit de configuration. Les auditeurs auront accès à l’organisation, aux données et traitements réalisés, aux documents et processus appliqués.

Livraisons attendues

La rédaction des comptes rendu de réunions associées à cette prestation est à la charge du titulaire. Les livrables finaux seront systématiquement déclinés en 3 niveaux de documents (hormis les comptes rendu de réunion). •Un premier constituant le document détaillé •Un second adapté à la prise de décision (entre 1 et 5 pages maximum) •Un troisième servant de support de communication (entre 3 et 10 pages maximum). La mission réalisée par le prestataire produira les rapports suivants (ils seront remis en version papier et électronique en format OpenOffice ).

Pour l’analyse de risques 

Un livrable intermédiaire sera livré à la fin de chacune des 5 étapes de la méthode. Les livrables finaux sont une fiche d’expression rationnelle des objectifs de sécurité (FEROS), et la liste des mesures de sécurité (appelées exigences dans la version précédente d’EBIOS). Les livrables devront intégrer les conclusions de la recette SSI, en particulier sur la couverture ou non des mesures préconisées par les moyens techniques mis en œuvre et prendre en compte les pratiques ayant cours au ministère dans le domaine de la sécurité, dans le choix des mesures proposées. FEROS : Fiche d’Expression Rationnelle des Objectifs de Sécurité. Le contenue est indiqué dans la documentation de la méthode EBIOS. La rédaction d’une FEROS dans le but d’homologuer un système d’information ne requiert pas de réaliser les dernières activités de la démarche EBIOS et doit être suffisamment synthétique et claire pour être lue dans le cadre d’une commission d’homologation ; l’étude pourra être détaillée, mais le style rédactionnel sera adapté en ce sens.

Cours gratuitTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *