Sécurité des systèmes d’information au Maroc www.IT6.ma Sécurité des systèmes d’information au Maroc Etat des lieux
Enjeux de la sécurité SI Rappel des objectifs et des enjeux de l’audit de la sécurité SI Contexte du projet Enjeux de l’Audit Rappel Enjeux de la sécurité SI Confidentialité Le Maroc a adopté un plan national de cyber sécurité en Mars 2009 La DGSSI a été crée en Août 2011 Une stratégie Nationale de la cyber sécurité a été adoptée en 2013 Les Directives Générales de la SSI ont été publiées en Mars 2014 Des session de sensibilisation ont démarré en Mai 2014 L’information ne doit pas être divulguée à toute personne, entité ou processus non autorisé. Traçabilité Intégrité Tous les éléments liés à l'auditabilité et à la preuve des transactions. Le caractère correct et complet des actifs doit être préservé. L’information ne peut être modifiée que par ceux qui ont en le droit. Disponibilité L’information doit être rendue accessible et utilisable sur demande par une entité autorisée. 2
Sécurité des systèmes d’information au Maroc Etat des lieux Etendu de notre travail: 30 organisations publiques et privées Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale. Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6
Remerciement Déroulement Remerciement Pour la réalisation de ce travail, nous avons effectué les actions suivantes : Une prise de connaissance des métiers des différentes organisations auditées Une analyse du système d’information mise en place Une prise de connaissance des dispositifs (opérationnel et en cours de mise en place) relatifs à la sécurité du système d’information Une prise de connaissance des exigences en termes de sécurité Des entretiens auprès des acteurs clés en se basant sur la norme ISO 27002 Une analyse de l’architecture Des tests d’intrusion internes et externes du SI Une prise de connaissance de l’environnement de la salle machine/parc informatique. IT6 tient à remercier à remercier l’ensemble de ces clients qui ont exprimé une réelle volonté d’améliorer la sécurité des SI.
Approche d’audit de la sécurité SI Se référant à la norme ISO 27002, l'audit de la sécurité du SI du Ministère d’Education Nationale consiste à faire, en quelques sortes, un état des lieux de l’organisation auditée, tout en se basant sur les différents domaines (les onze chapitres) préconisés dans la norme. La norme ISO 27002 offre un bon cadre de gouvernance et de management du système d’information. En effet, elle aborde la problématique de la sécurité avec une approche équilibrée entre les facteurs techniques, managériaux, humains et procéduraux. La norme traite les axes suivants :
Sécurité du Système d’information au Maroc Niveau de moyen maturité des organisations marocaines par rapport à la norme ISO 27002 Moyenne = 7,61 / 20 Meilleure Note= 15,27 / 20 Note la plus basse = 4,36 / 20
Sécurité du Système d’information au Maroc Absence d’un document de Politique de Sécurité des Systèmes d’Information (PSSI) qui reflète les orientations stratégiques en matière de la sécurité des systèmes d’informations. Cependant, l’objectif de cette mission est d’accompagner la DSI à élaborer cette PSSI. Absence d’une charte d’utilisation des ressources informatique. Constat Politique de sécurité
Organisation de la sécurité de l’information Sécurité du Système d’information au Maroc Constat Abscence de nomination formelle du RSS Rattachement du RSSI n’est pas approprié Nécessité d’impliquer le Responsable de Sécurité des Systèmes d’Information (RSSI) dans tous les grands projets SI notamment: Les projets de développement informatique. Attributions des droits d’accès Processus de sauvegarde et de restauration de données Gestion des incidents relatifs à la sécurité. Tableau de bord de sécurité SI. Gestion des accès à distance des prestataires Accompagnement du métier dans son expression des besoins en terme de sécurité ; Analyse des risques, menaces, impacts, vulnérabilités et mesures de contrôles ; Contrôle, suivi et audit de la bonne application des mesures de sécurité ; Veille sécurité; Sensibilisation permanentes à la problématique sécuritaire auprès des différents intervenants dans le système d’information. Organisation de la sécurité de l’information
Sécurité du Système d’information au Maroc Constat Les incidents relatifs à la sécurité SI ne sont supervisés par le RSSI. La sécurité des postes de travail est très faible vu l’existence de comptes administrateurs (Selon les personnes de la DSI, approximativement 50% des postes de travails sont industrialisés. Les autres contiennent des comptes administrateurs et des licences de logiciels piratés . Gestion des actifs
Sécurité du Système d’information au Maroc Constat Absence d’une classification formelle des actifs informationnels Gestion des actifs
Audit organisationnel du Ministère Constat Absence d’un plan de communication et de sensibilisation sur la sécurité du SI Aucun processus formel de sensibilisation, de qualification et de formation à la sécurité de l’information n’est actuellement prévu pour l’ensemble des collaborateurs qui accèdent à son SI. Cette absence de sensibilisation et de formation est due à l’absence de la politique de sécurité, ce qui entraine une dilution des responsabilités de la sécurité entre les diverses entités assurant le maintien en conditions opérationnelles du Système d’Information et la gestion du contrôle d’accès physique et logique aux ressources et données hébergées. Sécurité liée au personnel
Audit organisationnel du Ministère Constat Le partage de mots de passe est une pratique courante Sécurité liée au personnel
Sécurité de l’Exploitation et Réseaux Audit organisationnel du Ministère Manque des procédures d’exploitation permettant de couvrir les éléments suivants : Restriction sur l'utilisation des systèmes Instruction pour gérer les erreurs ou autres conditions exceptionnelles susceptibles d'apparaître lors de l'exécution de la tâche. Le redémarrage et la récupération du système à appliquer en cas de panne La gestion des informations contenues/à contenir dans les journaux d'enregistrement. Gestion de la prestation de service par un tiers afin de s’assurer que les tiers assurent le service pour lequel ils sont mandatés et qu’ils respectent les exigences de sécurité édictées dans cette politique Surveillance de l’exploitation du système. La mise en rebut du matériel après utilisation La politique antivirale incluant la composition de la cellule de crise en cas de pandémie virale ainsi que le plan de traitement Constat Sécurité de l’Exploitation et Réseaux
Sécurité de l’Exploitation et Réseaux Audit organisationnel du Ministère Absence de gestion et de consolidation des fichiers logs (pour la traçabilité). Absence des procédure de sauvegarde Absence de procédures de mise en rebus des matériels informatiques Constat Sécurité de l’Exploitation et Réseaux
Sécurité des accès logiques Sécurité du Système d’information au Maroc Constat Pour les droits des accès, nous avons constaté : Absence d’une politique de Gestion des mots de passe. Absence d’une procédure de gestion des droits d’accès pour le SI de la DSI Absence des contrôles réguliers des accès Une politique de gestion des droits privilégiés sur les équipements réseaux, systèmes et applicatifs s’appuyant sur une analyse préalable des exigences de sécurité, basées sur les besoins métiers doit être appliquée. L’ensemble des processus relatifs aux différents contrôles d’accès, (création, modification et suspension des comptes) doit être renseigné dans une procédure spécifique. Aussi, les mesures de sécurité à prendre lors de l’accès distant au SI de la DSI doivent être mentionnées dans une procédure dédiée. Sécurité des accès logiques
Sécurité des accès logiques Développement et maintenance Audit organisationnel du Ministère Absence d’une séparation des tâches entre les équipes de développement et d’exploitation (Les développeurs accèdent à l’environnement de Production) Durant notre étude, nous avons relevé que les développeurs accèdent à certains environnements de production. En effet, les activités liées au développement et aux tests peuvent causer de graves problèmes, tels qu’une modification indésirable des fichiers ou de l’environnement système, ou une panne du système. Ce constat est dû à des contraintes techniques au sein de la DSI et au fait que plusieurs chantier sont en cours. Il est également recommandé d’empêcher tout accès inapproprié des développeurs. Lorsque le personnel de développement et de test ont accès au système en exploitation et aux informations qu’il renferme, ils risquent d’y introduire du code non autorisé ou non soumis à essai ou de modifier les données d’exploitation. Absence de documentation des interventions . Absence d’une formalisation de la gestion des incidents des BDD La non implication du RSSI dans le processus de développement Sécurité des accès logiques Développement et maintenance Plan de continuité
Développement et maintenance Sécurité des accès logiques Audit organisationnel du Ministère Absence de spécifications en matière de sécurité des prestations de services, les projets de développement externalisés sont gérés comme toute autre prestation. Dans ce sens, nous recommandons de formaliser une procédure pour les spécifications techniques des applications incluant les axes suivants : Validation des données d’entrée Mesures relatives au traitement interne Validation des données de sortie Développement et maintenance Sécurité des accès logiques Plan de continuité
Sécurité des accès logiques Développement et maintenance Sécurité du Système d’information au Maroc Sécurité des accès logiques Lors de notre audit, nous avons constaté: Absence d’un site de secours informatique. Absence des procédures de reprise d’activité incluant les activités informatiques Absence de PVs de tests de restauration formalisés Les cartouches de sauvegardes ne sont pas externalisées. Développement et maintenance Aucun processus de gestion de la continuité d’activité n’est formalisé au sein du MEN pour pallier aux risques d’arrêt des services informatiques. Il convient la mise en place d’un processus de gestion du plan de continuité de service visant à réduire le plus possible l’impact sur la société de tout arrêt brutal et à récupérer les actifs informationnels perdus (notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés). Plan de continuité
Sécurité du Système d’information au Maroc Absence d’une sensibilisation des utilisateurs sur la loi 09-08. Existence des logiciels piratés qui sont installées au niveau des PCs des utilisateurs Absence de conformité par rapport à la nouvelle loi marocaine (09-08) relative à la protection des données personnelles. Constat Pour plus de détail: http://www.cndp.ma/ Conformité
un long chemin à faire … mais avec vous www.IT6.ma Conclusion un long chemin à faire … mais avec vous Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale. Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6