Sécurité des systèmes d’information au Maroc

Slides:



Advertisements
Présentations similaires
Le Groupe  ses ACTIVITES :
Advertisements

Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Sécurité du Réseau Informatique du Département de l’Équipement
Pôle 3 - Gestion administrative interne
D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
D ISO 9000 Étapes pour l’implantation d’un système qualité dans une organisation.
Soutenance du rapport de stage
Reconnaissance et validation en Pologne
L’audit assisté par ordinateur
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Journée Technique Régionale PSSI
Gestion des risques Contrôle Interne
Ministère de l’Economie et des Finances
La composante humaine du système d'information (Réfs : chap 8.1 p 231)
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux Rappel du personnel initié Chapitre Lignes de Transport (Aériennes)
B2i Lycée Circulaire BO n°31 du 29/08/2013.
Présentation du port de Bejaia
Pérennité du Secteur de la Réadaptation Physique:
Norme de service - Attractions et événements 1 Introduction à la norme de service Attractions et événements Session de formation 3 P
Fiche de Poste RTR.
Docteur François-André ALLAERT Centre Européen de Normalisation
Le workflow Encadré par: M . BAIDADA Réalisé par: ATRASSI Najoua
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
Missions du conseiller en prévention
Santé au travail Santé durable Une exigence de syndicaliste
Certification OHSAS Version 2007
Type de mission Les missions d'audit peuvent être de plusieurs types: interne, externe et stratégique de la fonction informatique. Elles se caractérisent.
La réforme du secteur financier et ses impacts sur les consommateurs Jean Roy, Ph.D. Professeur titulaire de finance École des HEC.
PRÉSENTATION AU CONGRÈS DE L’ASMAVERMEQ 12 SEPTEMBRE 2014 ASSURER ET CONTRÔLER LA QUALITÉ DES SERVICES.
Les services de santé en français et l’intégration du système de santé en Ontario Forum Santé Centre-Sud-Ouest 2009 Le 23 mars 2009.
Journée technique Aménagement d'ouvrages infranchissables - 19 juin Journée technique Quelle procédure pour l’aménagement d’ouvrages infranchissables.
Titre : Adminsitrateur Unix/Aix. Présentation poste + profil : Rattaché à notre agence de Toulouse, nous recherchons : un Adminsitrateur Unix/Aix. Vos.
Page 1 Présentation à la Commission des finances du Grand Conseil - 14 mai 2014 Préposé cantonal à la protection des données et à la transparence.
ISA 265 Communication des faiblesses du contrôle interne aux personnes constituant le gouvernement d’entreprise et à la direction Norme Focus = norme de.
2014 Nouvelle gestion documentaire du Conservatoire botanique national de Brest.
1 XXXXX Services généraux à Transports Canada (TC) – Priorité accordée aux clients et aux activités Présentation à la Section de la Capitale de l’Institut.
Matinale du 22 mars Club de la Continuité d’Activité MATINALE DU 22 MARS 2011.
Le Dossier Médical Personnel
COMITE REGIONAL DES BLANCHISSEURS HOSPITALIERS DU NORD/PICARDIE
Prise de Décision en Fonction des Risques - Introduction
Management de la qualité
Vue d’ensemble des outils du PRISM Dakar, 3 au 21 Mai 2010
Adam & Dev’ Développeur de Solutions Informatiques.
ROYAUME DU MAROC INSPECTION GENERALE DES FINANCES
Les métiers de l’informatique
Mastère Spécialisé NQCE
Comité d’Hygiène, de Sécurité et des Conditions de Travail (CHSCT)
Les prestations informatiques
Norme de service - Attractions et événements 1 Introduction à la norme de service Attractions et événements Session de formation 4 P
StorageAcademy 21 juin 2007 StorageAcademy ® 1 StorageAcademy ITIFORUMS, 21 juin 2007 La conduite des projets d’archivage numérique Méthodes pour réussir.
Le management de l'IVVQ Processus techniques IVVQ
Supports de formation au SQ Unifié
La Qualité dans les Systèmes d’Information
La norme ISO ISO TOULOUSE Maj: 22 octobre 2012
9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or.
PRESENTATION SYSTEME QUALITE IM Projet
Offre de service Sécurité des systèmes d’information
Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal.
Contact Jean-Marie Chabbal –
Le rôle du RSSI © Claude Maury
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
RECOMMANDATIONS CONTRACTUELLES
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Transformation digitale Comment maîtriser les risques ?
COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.
CONTENU DE L ’ISO Définition métrologie.
Transcription de la présentation:

Sécurité des systèmes d’information au Maroc www.IT6.ma Sécurité des systèmes d’information au Maroc Etat des lieux

Enjeux de la sécurité SI Rappel des objectifs et des enjeux de l’audit de la sécurité SI Contexte du projet Enjeux de l’Audit Rappel Enjeux de la sécurité SI Confidentialité Le Maroc a adopté un plan national de cyber sécurité en Mars 2009 La DGSSI a été crée en Août 2011 Une stratégie Nationale de la cyber sécurité a été adoptée en 2013 Les Directives Générales de la SSI ont été publiées en Mars 2014 Des session de sensibilisation ont démarré en Mai 2014 L’information ne doit pas être divulguée à toute personne, entité ou processus non autorisé. Traçabilité Intégrité Tous les éléments liés à l'auditabilité et à la preuve des transactions. Le caractère correct et complet des actifs doit être préservé. L’information ne peut être modifiée que par ceux qui ont en le droit. Disponibilité L’information doit être rendue accessible et utilisable sur demande par une entité autorisée. 2

Sécurité des systèmes d’information au Maroc Etat des lieux Etendu de notre travail: 30 organisations publiques et privées Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale. Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6

Remerciement Déroulement Remerciement Pour la réalisation de ce travail, nous avons effectué les actions suivantes : Une prise de connaissance des métiers des différentes organisations auditées Une analyse du système d’information mise en place Une prise de connaissance des dispositifs (opérationnel et en cours de mise en place) relatifs à la sécurité du système d’information Une prise de connaissance des exigences en termes de sécurité Des entretiens auprès des acteurs clés en se basant sur la norme ISO 27002 Une analyse de l’architecture Des tests d’intrusion internes et externes du SI Une prise de connaissance de l’environnement de la salle machine/parc informatique. IT6 tient à remercier à remercier l’ensemble de ces clients qui ont exprimé une réelle volonté d’améliorer la sécurité des SI.

Approche d’audit de la sécurité SI Se référant à la norme ISO 27002, l'audit de la sécurité du SI du Ministère d’Education Nationale consiste à faire, en quelques sortes, un état des lieux de l’organisation auditée, tout en se basant sur les différents domaines (les onze chapitres) préconisés dans la norme. La norme ISO 27002 offre un bon cadre de gouvernance et de management du système d’information. En effet, elle aborde la problématique de la sécurité avec une approche équilibrée entre les facteurs techniques, managériaux, humains et procéduraux. La norme traite les axes suivants :

Sécurité du Système d’information au Maroc Niveau de moyen maturité des organisations marocaines par rapport à la norme ISO 27002 Moyenne = 7,61 / 20 Meilleure Note= 15,27 / 20 Note la plus basse = 4,36 / 20

Sécurité du Système d’information au Maroc Absence d’un document de Politique de Sécurité des Systèmes d’Information (PSSI) qui reflète les orientations stratégiques en matière de la sécurité des systèmes d’informations. Cependant, l’objectif de cette mission est d’accompagner la DSI à élaborer cette PSSI. Absence d’une charte d’utilisation des ressources informatique. Constat Politique de sécurité

Organisation de la sécurité de l’information Sécurité du Système d’information au Maroc Constat Abscence de nomination formelle du RSS Rattachement du RSSI n’est pas approprié Nécessité d’impliquer le Responsable de Sécurité des Systèmes d’Information (RSSI) dans tous les grands projets SI notamment: Les projets de développement informatique. Attributions des droits d’accès Processus de sauvegarde et de restauration de données Gestion des incidents relatifs à la sécurité. Tableau de bord de sécurité SI. Gestion des accès à distance des prestataires Accompagnement du métier dans son expression des besoins en terme de sécurité ; Analyse des risques, menaces, impacts, vulnérabilités et mesures de contrôles ; Contrôle, suivi et audit de la bonne application des mesures de sécurité ; Veille sécurité; Sensibilisation permanentes à la problématique sécuritaire auprès des différents intervenants dans le système d’information. Organisation de la sécurité de l’information

Sécurité du Système d’information au Maroc Constat Les incidents relatifs à la sécurité SI ne sont supervisés par le RSSI. La sécurité des postes de travail est très faible vu l’existence de comptes administrateurs (Selon les personnes de la DSI, approximativement 50% des postes de travails sont industrialisés. Les autres contiennent des comptes administrateurs et des licences de logiciels piratés . Gestion des actifs

Sécurité du Système d’information au Maroc Constat Absence d’une classification formelle des actifs informationnels Gestion des actifs

Audit organisationnel du Ministère Constat Absence d’un plan de communication et de sensibilisation sur la sécurité du SI Aucun processus formel de sensibilisation, de qualification et de formation à la sécurité de l’information n’est actuellement prévu pour l’ensemble des collaborateurs qui accèdent à son SI. Cette absence de sensibilisation et de formation est due à l’absence de la politique de sécurité, ce qui entraine une dilution des responsabilités de la sécurité entre les diverses entités assurant le maintien en conditions opérationnelles du Système d’Information et la gestion du contrôle d’accès physique et logique aux ressources et données hébergées. Sécurité liée au personnel

Audit organisationnel du Ministère Constat Le partage de mots de passe est une pratique courante Sécurité liée au personnel

Sécurité de l’Exploitation et Réseaux Audit organisationnel du Ministère Manque des procédures d’exploitation permettant de couvrir les éléments suivants : Restriction sur l'utilisation des systèmes Instruction pour gérer les erreurs ou autres conditions exceptionnelles susceptibles d'apparaître lors de l'exécution de la tâche. Le redémarrage et la récupération du système à appliquer en cas de panne La gestion des informations contenues/à contenir dans les journaux d'enregistrement. Gestion de la prestation de service par un tiers afin de s’assurer que les tiers assurent le service pour lequel ils sont mandatés et qu’ils respectent les exigences de sécurité édictées dans cette politique Surveillance de l’exploitation du système. La mise en rebut du matériel après utilisation La politique antivirale incluant la composition de la cellule de crise en cas de pandémie virale ainsi que le plan de traitement Constat Sécurité de l’Exploitation et Réseaux

Sécurité de l’Exploitation et Réseaux Audit organisationnel du Ministère Absence de gestion et de consolidation des fichiers logs (pour la traçabilité). Absence des procédure de sauvegarde Absence de procédures de mise en rebus des matériels informatiques Constat Sécurité de l’Exploitation et Réseaux

Sécurité des accès logiques Sécurité du Système d’information au Maroc Constat Pour les droits des accès, nous avons constaté  : Absence d’une politique de Gestion des mots de passe. Absence d’une procédure de gestion des droits d’accès pour le SI de la DSI Absence des contrôles réguliers des accès Une politique de gestion des droits privilégiés sur les équipements réseaux, systèmes et applicatifs s’appuyant sur une analyse préalable des exigences de sécurité, basées sur les besoins métiers doit être appliquée. L’ensemble des processus relatifs aux différents contrôles d’accès, (création, modification et suspension des comptes) doit être renseigné dans une procédure spécifique. Aussi, les mesures de sécurité à prendre lors de l’accès distant au SI de la DSI doivent être mentionnées dans une procédure dédiée. Sécurité des accès logiques

Sécurité des accès logiques Développement et maintenance Audit organisationnel du Ministère Absence d’une séparation des tâches entre les équipes de développement et d’exploitation (Les développeurs accèdent à l’environnement de Production) Durant notre étude, nous avons relevé que les développeurs accèdent à certains environnements de production. En effet, les activités liées au développement et aux tests peuvent causer de graves problèmes, tels qu’une modification indésirable des fichiers ou de l’environnement système, ou une panne du système. Ce constat est dû à des contraintes techniques au sein de la DSI et au fait que plusieurs chantier sont en cours. Il est également recommandé d’empêcher tout accès inapproprié des développeurs. Lorsque le personnel de développement et de test ont accès au système en exploitation et aux informations qu’il renferme, ils risquent d’y introduire du code non autorisé ou non soumis à essai ou de modifier les données d’exploitation. Absence de documentation des interventions . Absence d’une formalisation de la gestion des incidents des BDD La non implication du RSSI dans le processus de développement Sécurité des accès logiques Développement et maintenance Plan de continuité

Développement et maintenance Sécurité des accès logiques Audit organisationnel du Ministère Absence de spécifications en matière de sécurité des prestations de services, les projets de développement externalisés sont gérés comme toute autre prestation. Dans ce sens, nous recommandons de formaliser une procédure pour les spécifications techniques des applications incluant les axes suivants : Validation des données d’entrée Mesures relatives au traitement interne Validation des données de sortie Développement et maintenance Sécurité des accès logiques Plan de continuité

Sécurité des accès logiques Développement et maintenance Sécurité du Système d’information au Maroc Sécurité des accès logiques Lors de notre audit, nous avons constaté: Absence d’un site de secours informatique. Absence des procédures de reprise d’activité incluant les activités informatiques Absence de PVs de tests de restauration formalisés Les cartouches de sauvegardes ne sont pas externalisées. Développement et maintenance Aucun processus de gestion de la continuité d’activité n’est formalisé au sein du MEN pour pallier aux risques d’arrêt des services informatiques. Il convient la mise en place d’un processus de gestion du plan de continuité de service visant à réduire le plus possible l’impact sur la société de tout arrêt brutal et à récupérer les actifs informationnels perdus (notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés). Plan de continuité

Sécurité du Système d’information au Maroc Absence d’une sensibilisation des utilisateurs sur la loi 09-08. Existence des logiciels piratés qui sont installées au niveau des PCs des utilisateurs Absence de conformité par rapport à la nouvelle loi marocaine (09-08) relative à la protection des données personnelles. Constat Pour plus de détail: http://www.cndp.ma/ Conformité

un long chemin à faire … mais avec vous www.IT6.ma Conclusion un long chemin à faire … mais avec vous Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale. Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6