La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Www.IT6.ma Sécurité des systèmes d’information au Maroc Etat des lieux www.IT6.ma.

Présentations similaires


Présentation au sujet: "Www.IT6.ma Sécurité des systèmes d’information au Maroc Etat des lieux www.IT6.ma."— Transcription de la présentation:

1 Sécurité des systèmes d’information au Maroc Etat des lieux

2 Enjeux de l’Audit  Le Maroc a adopté un plan national de cyber sécurité en Mars 2009  La DGSSI a été crée en Août 2011  Une stratégie Nationale de la cyber sécurité a été adoptée en 2013  Les Directives Générales de la SSI ont été publiées en Mars 2014  Des session de sensibilisation ont démarré en Mai 2014 Contexte du projet Rappel des objectifs et des enjeux de l’audit de la sécurité SI RappelEnjeux de la sécurité SI 2 2 L’information ne doit pas être divulguée à toute personne, entité ou processus non autorisé. L’information doit être rendue accessible et utilisable sur demande par une entité autorisée. Tous les éléments liés à l'auditabilité et à la preuve des transactions. Le caractère correct et complet des actifs doit être préservé. L’information ne peut être modifiée que par ceux qui ont en le droit. Confidentialité Intégrité Disponibilité Traçabilité

3 Sécurité des systèmes d’information au Maroc Etat des lieux Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale. Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6 Etendu de notre travail: 30 organisations publiques et privées

4 4 Remerciement DéroulementRemerciement Pour la réalisation de ce travail, nous avons effectué les actions suivantes :  Une prise de connaissance des métiers des différentes organisations auditées  Une analyse du système d’information mise en place  Une prise de connaissance des dispositifs (opérationnel et en cours de mise en place) relatifs à la sécurité du système d’information  Une prise de connaissance des exigences en termes de sécurité  Des entretiens auprès des acteurs clés en se basant sur la norme ISO  Une analyse de l’architecture  Des tests d’intrusion internes et externes du SI  Une prise de connaissance de l’environnement de la salle machine/parc informatique. IT6 tient à remercier à remercier l’ensemble de ces clients qui ont exprimé une réelle volonté d’améliorer la sécurité des SI.

5 5 Se référant à la norme ISO 27002, l'audit de la sécurité du SI du Ministère d’Education Nationale consiste à faire, en quelques sortes, un état des lieux de l’organisation auditée, tout en se basant sur les différents domaines (les onze chapitres) préconisés dans la norme. La norme ISO offre un bon cadre de gouvernance et de management du système d’information. En effet, elle aborde la problématique de la sécurité avec une approche équilibrée entre les facteurs techniques, managériaux, humains et procéduraux. La norme traite les axes suivants : Approche d’audit de la sécurité SI

6 6 Sécurité du Système d’information au Maroc  Niveau de moyen maturité des organisations marocaines par rapport à la norme ISO Moyenne = 7,61 / 20Meilleure Note= 15,27 / 20 Note la plus basse = 4,36 / 20

7 7 Constat  Absence d’un document de Politique de Sécurité des Systèmes d’Information (PSSI) qui reflète les orientations stratégiques en matière de la sécurité des systèmes d’informations. Cependant, l’objectif de cette mission est d’accompagner la DSI à élaborer cette PSSI.  Absence d’une charte d’utilisation des ressources informatique. Politique de sécurité Sécurité du Système d’information au Maroc

8 8 Constat  Abscence de nomination formelle du RSS  Rattachement du RSSI n’est pas approprié  Nécessité d’impliquer le Responsable de Sécurité des Systèmes d’Information (RSSI) dans tous les grands projets SI notamment:  Les projets de développement informatique.  Attributions des droits d’accès  Processus de sauvegarde et de restauration de données  Gestion des incidents relatifs à la sécurité.  Tableau de bord de sécurité SI.  Gestion des accès à distance des prestataires  Accompagnement du métier dans son expression des besoins en terme de sécurité ;  Analyse des risques, menaces, impacts, vulnérabilités et mesures de contrôles ;  Contrôle, suivi et audit de la bonne application des mesures de sécurité ;  Veille sécurité;  Sensibilisation permanentes à la problématique sécuritaire auprès des différents intervenants dans le système d’information. Organisation de la sécurité de l’information Sécurité du Système d’information au Maroc

9 9 Constat  Les incidents relatifs à la sécurité SI ne sont supervisés par le RSSI.  La sécurité des postes de travail est très faible vu l’existence de comptes administrateurs (Selon les personnes de la DSI, approximativement 50% des postes de travails sont industrialisés. Les autres contiennent des comptes administrateurs et des licences de logiciels piratés. Gestion des actifs Sécurité du Système d’information au Maroc

10 10 Constat Absence d’une classification formelle des actifs informationnels Gestion des actifs Sécurité du Système d’information au Maroc

11 11 Constat  Absence d’un plan de communication et de sensibilisation sur la sécurité du SI Aucun processus formel de sensibilisation, de qualification et de formation à la sécurité de l’information n’est actuellement prévu pour l’ensemble des collaborateurs qui accèdent à son SI. Cette absence de sensibilisation et de formation est due à l’absence de la politique de sécurité, ce qui entraine une dilution des responsabilités de la sécurité entre les diverses entités assurant le maintien en conditions opérationnelles du Système d’Information et la gestion du contrôle d’accès physique et logique aux ressources et données hébergées. Sécurité liée au personnel Audit organisationnel du Ministère

12 12 Constat  Le partage de mots de passe est une pratique courante Sécurité liée au personnel Audit organisationnel du Ministère

13 13 Constat Manque des procédures d’exploitation permettant de couvrir les éléments suivants : Restriction sur l'utilisation des systèmes Instruction pour gérer les erreurs ou autres conditions exceptionnelles susceptibles d'apparaître lors de l'exécution de la tâche. Le redémarrage et la récupération du système à appliquer en cas de panne La gestion des informations contenues/à contenir dans les journaux d'enregistrement. Gestion de la prestation de service par un tiers afin de s’assurer que les tiers assurent le service pour lequel ils sont mandatés et qu’ils respectent les exigences de sécurité édictées dans cette politique Surveillance de l’exploitation du système. La mise en rebut du matériel après utilisation La politique antivirale incluant la composition de la cellule de crise en cas de pandémie virale ainsi que le plan de traitement Sécurité de l’Exploitation et Réseaux Audit organisationnel du Ministère

14 14 Constat  Absence de gestion et de consolidation des fichiers logs (pour la traçabilité).  Absence des procédure de sauvegarde  Absence de procédures de mise en rebus des matériels informatiques Sécurité de l’Exploitation et Réseaux Audit organisationnel du Ministère

15 15 Sécurité des accès logiques Constat Pour les droits des accès, nous avons constaté :  Absence d’une politique de Gestion des mots de passe.  Absence d’une procédure de gestion des droits d’accès pour le SI de la DSI  Absence des contrôles réguliers des accès Une politique de gestion des droits privilégiés sur les équipements réseaux, systèmes et applicatifs s’appuyant sur une analyse préalable des exigences de sécurité, basées sur les besoins métiers doit être appliquée. L’ensemble des processus relatifs aux différents contrôles d’accès, (création, modification et suspension des comptes) doit être renseigné dans une procédure spécifique. Aussi, les mesures de sécurité à prendre lors de l’accès distant au SI de la DSI doivent être mentionnées dans une procédure dédiée. Sécurité du Système d’information au Maroc

16 Audit organisationnel du Ministère Sécurité des accès logiques Développement et maintenance  Absence d’une séparation des tâches entre les équipes de développement et d’exploitation (Les développeurs accèdent à l’environnement de Production) Durant notre étude, nous avons relevé que les développeurs accèdent à certains environnements de production. En effet, les activités liées au développement et aux tests peuvent causer de graves problèmes, tels qu’une modification indésirable des fichiers ou de l’environnement système, ou une panne du système. Ce constat est dû à des contraintes techniques au sein de la DSI et au fait que plusieurs chantier sont en cours. Il est également recommandé d’empêcher tout accès inapproprié des développeurs. Lorsque le personnel de développement et de test ont accès au système en exploitation et aux informations qu’il renferme, ils risquent d’y introduire du code non autorisé ou non soumis à essai ou de modifier les données d’exploitation.  Absence de documentation des interventions.  Absence d’une formalisation de la gestion des incidents des BDD  La non implication du RSSI dans le processus de développement Plan de continuité

17 Audit organisationnel du Ministère Sécurité des accès logiques Développement et maintenance Plan de continuité Absence de spécifications en matière de sécurité des prestations de services, les projets de développement externalisés sont gérés comme toute autre prestation. Dans ce sens, nous recommandons de formaliser une procédure pour les spécifications techniques des applications incluant les axes suivants : Validation des données d’entrée Mesures relatives au traitement interne Validation des données de sortie

18 18 Sécurité des accès logiques Développement et maintenance  Absence d’un site de secours informatique.  Absence des procédures de reprise d’activité incluant les activités informatiques  Absence de PVs de tests de restauration formalisés  Les cartouches de sauvegardes ne sont pas externalisées. Plan de continuité Lors de notre audit, nous avons constaté: Aucun processus de gestion de la continuité d’activité n’est formalisé au sein du MEN pour pallier aux risques d’arrêt des services informatiques. Il convient la mise en place d’un processus de gestion du plan de continuité de service visant à réduire le plus possible l’impact sur la société de tout arrêt brutal et à récupérer les actifs informationnels perdus (notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés). Sécurité du Système d’information au Maroc

19 19 Conformité Constat  Absence d’une sensibilisation des utilisateurs sur la loi  Existence des logiciels piratés qui sont installées au niveau des PCs des utilisateurs  Absence de conformité par rapport à la nouvelle loi marocaine (09-08) relative à la protection des données personnelles. Pour plus de détail: Sécurité du Système d’information au Maroc

20 Conclusion un long chemin à faire … mais avec vous Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale. Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6


Télécharger ppt "Www.IT6.ma Sécurité des systèmes d’information au Maroc Etat des lieux www.IT6.ma."

Présentations similaires


Annonces Google