Editions ENI Livres | Vidéos | e-Formations
Résultat de l'analyse de risques EBIOS
Introduction
Cette annexe constitue la suite du chapitre L’analyse de risques avec EBIOS.
Module 2 : étude des événements redoutés
1. Appréciation des événements redoutés
Analyse de tous les événements redoutés
Chaque ligne du tableau suivant représente un événement redouté par la société LeCloud.fr (bien essentiel, critère de sécurité, besoin de sécurité selon les échelles de besoins, sources de menaces et impacts). La gravité de chaque événement redouté est estimée (cf. échelle de gravité) sans tenir compte des mesures de sécurité existantes.
|
Événement redouté |
Besoins de sécurité |
Sources de menaces |
Impacts |
Gravité |
|
Exploiter l’infrastructure LeCloud-Infra |
||||
|
Indisponibilité de l’infrastructure LECLOUD-INFRA |
8-24h |
Panne électrique Incendies des locaux Virus non ciblés Attaques Bug logiciel Problème matériel |
Impossibilité de disposer du socle technique pour faire fonctionner les services LECLOUD-IAAS Impossibilité de disposer de la solution APS |
3-Importante |
|
Altération de l’infrastructure LECLOUD-INFRA |
Maîtrisé |
Bug logiciel Erreur humaine |
Dysfonctionnement partiel Perte de crédibilité |
2-Limitée |
|
Compromission de l’infrastructure LECLOUD-INFRA |
Réservé |
Attaques |
Divulgation d’informations confidentielles Dysfonctionnement partiel ou global Perte de crédibilité |
3-Importante |
|
Impossibilité d’auditer l’infrastructure LECLOUD-INFRA |
Enregistrement |
Erreur humaine ou matérielle |
Impossibilité de déterminer la personne à l’origine d’un traitement ou d’un accès aux données, risque d’attaques |
3-Importante |
|
Exploiter les accès internet |
||||
|
Indisponibilité des accès internet |
8-24h |
Panne électrique Incendies des locaux Virus non ciblés Attaques Bug logiciel Problème matériel |
Impossibilité de connexion entre les clients internet et LECLOUD-INFRA accès distants impossibles |
3-Importante |
|
Altération de la plateforme internet BGP |
Maîtrisé |
Bug logiciel Erreur humaine Attaques |
Dysfonctionnement partiel Perte de crédibilité |
3-Importante |
|
Compromission de la plateforme internet... | ||||
Module 3 : étude des scénarios de menaces
L’objectif de ce module est d’identifier de manière systématique les modes opératoires génériques qui peuvent porter atteinte à la sécurité des informations du périmètre de l’étude : les scénarios de menaces. Les réflexions portent sur les biens supports et non plus les biens essentiels.
Analyse des scénarios de menaces
Les sources de menaces susceptibles d’être à l’origine des scénarios de menaces sont identifiées et la vraisemblance de chaque scénario de menace est estimée à l’aide de l’échelle de vraisemblance.
|
Scénarios de menaces |
Sources de menaces |
Vraisemblance |
|
SYS - Réseau LECLOUD-INFRA |
||
|
Menaces sur le réseau LECLOUD-INFRA causant une indisponibilité |
Erreur humaine Attaques Panne matérielle Incendie des locaux Phénomène naturel Virus non ciblés Maintenance informatique |
3 - Forte |
|
Menaces sur le réseau LECLOUD-INFRA causant une altération |
Erreur humaine Panne matérielle Bug logiciel |
2 - Significative |
|
Menaces sur le réseau LECLOUD-INFRA causant une compromission |
Erreur humaine Attaque Bug logiciel |
2 - Significative |
|
Menaces sur le réseau LECLOUD-INFRA causant une impossibilité d’auditabilité |
Erreur humaine Erreur matérielle |
2 - Significative |
|
SYS - Réseau LECLOUD-IAAS |
||
|
Menaces sur le réseau LECLOUD-IAAS causant une indisponibilité |
Erreur humaine Attaques Panne matérielle Incendie des locaux Phénomène naturel Virus non ciblés Maintenance informatique |
3 - Forte |
|
Menaces sur le réseau LECLOUD-IAAS causant une altération |
Erreur humaine Panne matérielle Bug logiciel |
2 - Significative |
|
Menaces sur le réseau LECLOUD-IAAS causant une compromission |
Erreur humaine Attaque Bug logiciel |
2 - Significative |
|
Menaces sur le réseau LECLOUD-IAAS causant une impossibilité d’auditabilité |
Erreur humaine Erreur matérielle |
2 - Significative |
|
SYS - Réseau internet |
||
|
Menaces sur le réseau internet causant une indisponibilité |
Erreur humaine Attaques Panne matérielle Incendie des locaux Phénomène naturel Virus non ciblés Maintenance informatique |
3 - Forte |
|
Menaces... | ||
Module 4 : étude des risques
1. Appréciation des risques
LeCloud.fr a établi la liste des risques à partir des événements redoutés et des scénarios de menaces précédemment appréciés.
Les risques étant liés à l’événement redouté, il existe donc un risque par ligne du tableau ci-après :
|
Événement redouté |
Gravité |
Scénarios de menaces |
Vraisemblance |
|
Indisponibilité de l’infrastructure LECLOUD-INFRA |
3-Importante |
Menaces sur le réseau LECLOUD-INFRA causant une indisponibilité |
3 - Forte |
|
Altération de l’infrastructure LECLOUD-INFRA |
2-Limitée |
Menaces sur le réseau LECLOUD-INFRA causant une altération |
2 - Significative |
|
Compromission de l’infrastructure LECLOUD-INFRA |
3-Importante |
Menaces sur le réseau LECLOUD-INFRA causant une compromission |
2 - Significative |
|
Impossibilité d’auditer l’infrastructure LECLOUD-INFRA |
3-Importante |
Menaces sur le réseau LECLOUD-INFRA causant une impossibilité d’audit |
2 - Significative |
|
Indisponibilité du réseau internet dans l’exploitation |
3-Importante |
Menaces sur le réseau INTERNET causant une indisponibilité |
3 - Forte |
|
Altération de la plateforme internet |
3-Importante |
Menaces sur le réseau INTERNET causant une altération |
2 - Significative |
|
Compromission de la plateforme internet |
2-Limitée |
Menaces sur le réseau INTERNET causant une compromission |
2 - Significative |
|
Impossibilité d’auditer la plateforme internet |
2-Limitée |
Menaces sur le réseau INTERNET causant une impossibilité d’audit |
2 - Significative |
|
Indisponibilité de l’infrastructure LECLOUD-IAAS dans l’exploitation |
3-Importante |
Menaces sur le réseau LECLOUD-IAAS causant une indisponibilité |
3 - Forte |
|
Altération de l’infrastructure LECLOUD-IAAS |
2-Critique |
Menaces sur le réseau LECLOUD-IAAS causant une altération |
2 - Significative |
|
Compromission de l’infrastructure LECLOUD-IAAS |
3-Critique |
Menaces sur le réseau LECLOUD-IAAS causant une compromission |
2 - Significative |
|
Impossibilité d’auditer l’infrastructure LECLOUD-IAAS |
3-mportante |
Menaces sur le réseau LECLOUD-IAAS causant une impossibilité d’audit... |
Module 5 : étude des mesures de sécurité
1. Formalisation des mesures de sécurité à mettre en œuvre
a. Détermination des mesures de sécurité
Risques prioritaires
Vous trouverez en téléchargement un tableau qui présente la liste des mesures de sécurité destinées à réduire ou transférer les risques prioritaires.
Risques non prioritaires (hors auditabilité)
Le tableau suivant présente la liste des mesures de sécurité destinées à réduire ou transférer les risques non prioritaires.
|
Mesure de sécurité |
R 15 |
R 16 |
R 17 |
R 18 |
R 19 |
R 20 |
R 21 |
R 22 |
R 23 |
R 24 |
R 25 |
Prévention |
Protection |
Récupération |
|
Dispositif d’intervention sur les liens internet BGP (intervention des fournisseurs 24/24) |
x |
|
|
|
x |
|
|
|
|
|
|
x |
|
x |
|
Activation d’une alarme anti-intrusion durant les heures de fermeture des bâtiments |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
|
x |
|
|
|
Dispositif de protection des accès aux locaux informatiques |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
|
x |
|
|
|
Consigne de fermetures de fermeture à clef des bureaux du Pôle TFC |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
|
x |
|
|
Dispositif anti-incendie |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
|
|
x |
|
|
Climatisation |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
|
x |
|
|
|
Alimentation secourue |
x |
x |
x |
x |
x |
|
|
|
|
|
|
|
x |
|
|
Installation de système de firewalls |
x |
x |
x |
x |
x |
x |
x |
|
|
|
|
|
x |
|
|
Installation d’antivirus sur les postes sous W10 |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
|
x |
|
|
|
Installation d’antivirus sur les serveurs sous Windows des clients |
x |
x |
x |
x |
x |
|
|
|
|
|
|
x |
|
|
|
Dispositif de détection d’intrusion |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
|
x |
|
|
|
Dispositif de traçabilité et de sauvegarde d’actions de session |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
x |
x |
|
|
|
Contrôle d’accès par mot de passe via un proxy d’authentification |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
|
x |
x |
|
|
Centralisation temps réel des logs sur serveur de logs |
x |
x |
x |
x |
x |
x |
x |
x |
|
|
|
|
|
x |
|
Sauvegarde des logs sur serveur de sauvegarde... |
