Transcript Masen Politique SI

www.IT6.ma
www.IT6.ma
Sécurité des systèmes d’information au Maroc
Etat des lieux
Rappel des objectifs et des enjeux de l’audit de la sécurité SI
Contexte du projet
Rappel

Le Maroc a adopté un plan national de cyber
sécurité en Mars 2009

La DGSSI a été crée en Août 2011

Une stratégie Nationale de la cyber sécurité a
www.IT6.ma
Enjeux de l’Audit
Enjeux de la sécurité SI
L’information ne doit pas
être divulguée à toute
personne, entité ou
processus non autorisé.
Confidentialité
Traçabilité
Intégrité
été adoptée en 2013

Les Directives Générales de la SSI ont été
publiées en Mars 2014

Des session de sensibilisation ont démarré en
Mai 2014
Tous les éléments
liés à l'auditabilité
et à la preuve des
transactions.
Disponibilité
Le caractère correct et
complet des actifs doit
être préservé.
L’information ne peut
être modifiée que par
ceux qui ont en le droit.
L’information doit être rendue
accessible et utilisable sur demande
par une entité autorisée.
2
www.IT6.ma
Sécurité des systèmes d’information au Maroc
Etat des lieux
Etendu de notre travail: 30 organisations publiques et privées
Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale.
Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6
Remerciement
Déroulement
www.IT6.ma
Remerciement
Pour la réalisation de ce travail, nous avons effectué les actions
suivantes :

Une prise de connaissance des métiers des différentes
organisations auditées

Une analyse du système d’information mise en place

Une prise de connaissance des dispositifs (opérationnel et en
cours de mise en place) relatifs à la sécurité du système
d’information

Une prise de connaissance des exigences en termes de sécurité

Des entretiens auprès des acteurs clés en se basant sur la norme
ISO 27002

Une analyse de l’architecture

Des tests d’intrusion internes et externes du SI

Une prise de connaissance de l’environnement de la salle
machine/parc informatique.
IT6 tient à remercier à remercier
l’ensemble de ces clients qui ont
exprimé une réelle volonté d’améliorer
la sécurité des SI.
4
Approche d’audit de la sécurité SI
www.IT6.ma
Se référant à la norme ISO 27002, l'audit de la sécurité du SI du Ministère d’Education Nationale
consiste à faire, en quelques sortes, un état des lieux de l’organisation auditée, tout en se basant sur
les différents domaines (les onze chapitres) préconisés dans la norme.
La norme ISO 27002 offre un bon cadre de gouvernance et de management du système d’information.
En effet, elle aborde la problématique de la sécurité avec une approche équilibrée entre les facteurs
techniques, managériaux, humains et procéduraux. La norme traite les axes suivants :
5
Sécurité du Système d’information au Maroc
www.IT6.ma
 Niveau de moyen maturité des organisations marocaines par rapport à la norme ISO 27002
Politique de sécurité
3.5
Conformité
3
Organisation de la
sécurité
2.5
2
Plan de continuité
Classification des actifs
1.5
1
0.5
0
Gestion des incidents
Sécurité liée aux RHs
Sécurité des accées
Sécurité réseaux
Moyenne = 7,61 / 20
Sécurité Phyisique
Sécurité de
développement
Meilleure Note= 15,27 / 20
Note la plus basse = 4,36 / 20
6
Sécurité du Système d’information au Maroc
www.IT6.ma
Politique de sécurité
Constat
 Absence d’un document de Politique de Sécurité des Systèmes d’Information (PSSI) qui reflète les
orientations stratégiques en matière de la sécurité des systèmes d’informations. Cependant,
l’objectif de cette mission est d’accompagner la DSI à élaborer cette PSSI.
 Absence d’une charte d’utilisation des ressources informatique.
7
Sécurité du Système d’information au Maroc
www.IT6.ma
Organisation de la sécurité de l’information
Constat
 Abscence de nomination formelle du RSS
 Rattachement du RSSI n’est pas approprié
 Nécessité d’impliquer le Responsable de Sécurité des Systèmes d’Information (RSSI) dans tous les grands
projets SI notamment:
 Les projets de développement informatique.
 Attributions des droits d’accès
 Processus de sauvegarde et de restauration de données
 Gestion des incidents relatifs à la sécurité.
 Tableau de bord de sécurité SI.
 Gestion des accès à distance des prestataires
 Accompagnement du métier dans son expression des besoins en terme de sécurité ;
 Analyse des risques, menaces, impacts, vulnérabilités et mesures de contrôles ;
 Contrôle, suivi et audit de la bonne application des mesures de sécurité ;
 Veille sécurité;
 Sensibilisation permanentes à la problématique sécuritaire auprès des différents intervenants dans le
système d’information.
8
Sécurité du Système d’information au Maroc
www.IT6.ma
Gestion des actifs
Constat
 Les incidents relatifs à la sécurité SI ne sont supervisés par le RSSI.
 La sécurité des postes de travail est très faible vu l’existence de comptes administrateurs (Selon les
personnes de la DSI, approximativement 50% des postes de travails sont industrialisés. Les autres
contiennent des comptes administrateurs et des licences de logiciels piratés .
9
Sécurité du Système d’information au Maroc
www.IT6.ma
Gestion des actifs
Constat
Absence d’une classification formelle des actifs informationnels
10
Audit organisationnel du Ministère
www.IT6.ma
Sécurité liée
au personnel
Constat
 Absence d’un plan de communication et de sensibilisation sur la sécurité du SI
Aucun processus formel de sensibilisation, de qualification et de formation à la sécurité de l’information
n’est actuellement prévu pour l’ensemble des collaborateurs qui accèdent à son SI. Cette absence de
sensibilisation et de formation est due à l’absence de la politique de sécurité, ce qui entraine une dilution
des responsabilités de la sécurité entre les diverses entités assurant le maintien en conditions
opérationnelles du Système d’Information et la gestion du contrôle d’accès physique et logique aux
ressources et données hébergées.
11
Audit organisationnel du Ministère
www.IT6.ma
Sécurité liée
au personnel
Constat
 Le partage de mots de passe est une pratique courante
12
Audit organisationnel du Ministère
www.IT6.ma
Sécurité de l’Exploitation et Réseaux
Constat
Manque des procédures d’exploitation permettant de couvrir les éléments suivants :
Restriction sur l'utilisation des systèmes
Instruction pour gérer les erreurs ou autres conditions exceptionnelles susceptibles d'apparaître
lors de l'exécution de la tâche.
Le redémarrage et la récupération du système à appliquer en cas de panne
La gestion des informations contenues/à contenir dans les journaux d'enregistrement.
Gestion de la prestation de service par un tiers afin de s’assurer que les tiers assurent le service
pour lequel ils sont mandatés et qu’ils respectent les exigences de sécurité édictées dans cette
politique
Surveillance de l’exploitation du système.
La mise en rebut du matériel après utilisation
La politique antivirale incluant la composition de la cellule de crise en cas de pandémie virale
ainsi que le plan de traitement
13
Audit organisationnel du Ministère
www.IT6.ma
Sécurité de l’Exploitation et Réseaux
Constat
 Absence de gestion et de consolidation des fichiers logs (pour la traçabilité).
 Absence des procédure de sauvegarde
 Absence de procédures de mise en rebus des matériels informatiques
14
Sécurité du Système d’information au Maroc
www.IT6.ma
Constat
Sécurité
des accès
logiques
Pour les droits des accès, nous avons constaté :
 Absence d’une politique de Gestion des mots de passe.
 Absence d’une procédure de gestion des droits d’accès pour le SI de la DSI
 Absence des contrôles réguliers des accès
Une politique de gestion des droits privilégiés sur les équipements réseaux, systèmes et applicatifs
s’appuyant sur une analyse préalable des exigences de sécurité, basées sur les besoins métiers doit
être appliquée.
L’ensemble des processus relatifs aux différents contrôles d’accès, (création, modification et
suspension des comptes) doit être renseigné dans une procédure spécifique.
Aussi, les mesures de sécurité à prendre lors de l’accès distant au SI de la DSI doivent être
mentionnées dans une procédure dédiée.
15
Plan de
continuité
Sécurité
Développement
des accès
et maintenance
logiques
Audit organisationnel du Ministère
www.IT6.ma
 Absence d’une séparation des tâches entre les équipes de développement et d’exploitation
(Les développeurs accèdent à l’environnement de Production)
Durant notre étude, nous avons relevé que les développeurs accèdent à certains environnements de
production. En effet, les activités liées au développement et aux tests peuvent causer de graves
problèmes, tels qu’une modification indésirable des fichiers ou de l’environnement système, ou une
panne du système. Ce constat est dû à des contraintes techniques au sein de la DSI et au fait que
plusieurs chantier sont en cours.
Il est également recommandé d’empêcher tout accès inapproprié des développeurs. Lorsque le
personnel de développement et de test ont accès au système en exploitation et aux informations qu’il
renferme, ils risquent d’y introduire du code non autorisé ou non soumis à essai ou de modifier les
données d’exploitation.
 Absence de documentation des interventions .
 Absence d’une formalisation de la gestion des incidents des BDD
 La non implication du RSSI dans le processus de développement
Plan de
continuité
Sécurité
Développement
accès
des
et maintenance
logiques
Audit organisationnel du Ministère
Absence de spécifications en matière de sécurité des prestations de services, les projets de
développement externalisés sont gérés comme toute autre prestation. Dans ce sens, nous
recommandons de formaliser une procédure pour les spécifications techniques des
applications incluant les axes suivants :
Validation des données d’entrée
Mesures relatives au traitement interne
Validation des données de sortie
www.IT6.ma
Sécurité
des accès
logiques
Sécurité du Système d’information au Maroc
www.IT6.ma
Lors de notre audit, nous avons constaté:
Plan de
continuité
Développement
et maintenance
 Absence d’un site de secours informatique.
 Absence des procédures de reprise d’activité incluant les activités informatiques
 Absence de PVs de tests de restauration formalisés
 Les cartouches de sauvegardes ne sont pas externalisées.
Aucun processus de gestion de la continuité d’activité n’est formalisé au sein du MEN pour pallier aux
risques d’arrêt des services informatiques.
Il convient la mise en place d’un processus de gestion du plan de continuité de service visant à réduire le
plus possible l’impact sur la société de tout arrêt brutal et à récupérer les actifs informationnels perdus
(notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes
délibérés).
18
Sécurité du Système d’information au Maroc
www.IT6.ma
Constat
 Absence d’une sensibilisation des utilisateurs sur la loi 09-08.
 Existence des logiciels piratés qui sont installées au niveau des PCs des utilisateurs
 Absence de conformité par rapport à la nouvelle loi marocaine (09-08) relative à la protection des
Conformité
données personnelles.
Pour plus de détail:
http://www.cndp.ma/
19
www.IT6.ma
www.IT6.ma
Conclusion
un long chemin à faire … mais avec vous
Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale.
Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6