Scribd
Importer
68 vues8 pages

Gestion des risques EBIOS en informatique

Ce document décrit l'architecture matérielle, réseau et applicative d'une organisation ainsi que ses utilisateurs. Il identifie les événements redoutés en termes de sécurité comme l'indisponibilité des données et des réseaux, les accès non autorisés aux données confidentielles et leur modification non maîtrisée. Les sources de menaces possibles sont des employés peu sérieux, des attaques externes, des pannes ou des problèmes matériels.

Transféré par

zakguitare
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
68 vues8 pages

Gestion des risques EBIOS en informatique

Ce document décrit l'architecture matérielle, réseau et applicative d'une organisation ainsi que ses utilisateurs. Il identifie les événements redoutés en termes de sécurité comme l'indisponibilité des données et des réseaux, les accès non autorisés aux données confidentielles et leur modification non maîtrisée. Les sources de menaces possibles sont des employés peu sérieux, des attaques externes, des pannes ou des problèmes matériels.

Transféré par

zakguitare
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

TP EBIOS

ETUDE DE CONTEXTE
 Le cadre de gestion de risque (matériels, réseau, logiciels et application, les utilisateurs et les
employés).
 Le périmètre d’étude.
ARCHITECTEUR MATERIELS INFORMATIQUE
Matériels Type/marque observation
Équipé de carte réseau Ethernet et
20 ordinateurs DELL ALL IN ONE
point d’accès sans fil
4 Disques dur (500GO)
Serveur HP G9 RACKABLE
Serveur BDD locale
convertisseur TP-LINK
Switch1 D-LINK 24 port Non configurer
Switch2 D-LINK 24 port Non configurer
Switch3 D-LINK 8 port Non configurer
Switch4 D-LINK 8 port Non configurer
ROUTEUR DLINK Configurer
05 imprimantes Canon 6030 b Partager sur le réseau
Modem adsl Sans fil /
13 onduleurs APC /
ARCHITECTURE RESEAU
Il existe trois réseaux dans notre l’organisme:

Réseau Matériel connectés Observation


10 PCs ( Salle opérationnel) -Accéder a la base de données
nationale
Réseau locale connecté au Réseau
-En peut ajouter de matériels
national haut débit(utiliser une liaison
3 PC (Bureau informatique)
fibre optique)
PC (Bureau directeur)
PC (Bureau de transmission)
Réseau locale a l’intérieur 2 postes (bureau informatique) Accéder a la base de données locale
Connexion internet Tous les PCS peut connectés

ARCHITECTURE DES APPLICATION


Application ,logiciels des fichiers Qui peut accéder observation
Des Applications web connecté au bases de données -Administrateur bureau informatique -Accès totale
national qui permet la recherche, la création ,modification -le directeur -Accès totale
et suppression des données nationale - Personnel de l’organisme -visionner
Des Application desktop connecté au base de données - Administrateur bureau informatique -Accès totale
locale (serveur qui permet la recherche, la - le directeur
création ,modification et suppression des données locale
Application Visio conférence - le directeur
Les fichiers (word,excel,PDF…) - Personnel de l’organisme
Les boites mails internes -Le directeur et le sous directeur
Logiciel de messageries « LOTUS » -l’agent de transmission
Système d‘exploitation PC (Windows 10)
Serveur(Windows Server 2012 R2)
LES UTILISATEURS DE L’ORGANISME
Les employés de l’organisme Les activités Observation

Le directeur - Accès au système d’information


(bdds)
- Peut accéder a tous les bureaux
- peut envoyés des données sur mail
privé
Les responsables (sous directeurs….) - Accès limité au système
d’information
- peut envoyés des données sur mail
privé
Les administrateurs informatiques - Accès au système d’information
(bdd)
- Peut accéder a tous les bureaux
Les employés - Accès limité au système
d’information (réseau nationale et
locale)
Les agents de sécurité - Peut accéder a tous les bureaux e cas
d’urgence
Les femmes de ménage - Peut accéder a tous les bureaux pour
le ménage
Les visiteurs - Peut accéder a des bureaux
ETUDE DES EVENEMENTS REDOUTES ET BESOIN DE SECURITE
- Identifier et estimer les besoins de sécurité des biens essentiels (disponibilité, intégrité et la
confidentialité) ainsi que tous les impacts.
- Le besoin et les sources de menaces (humain, environnement interne et externe, accidentels,
délibérés…).
Evénement Besoin de Source de menace impact gravité
redouté sécurité
Indisponibilité 24/24 h - Employé peu sérieux - Perturber les activités de important
des données - Attaque sur le réseau l’organisme e
- Incendie des locaux - Arrêter quelques
- Panne électriques fonctionnalités de
- Matériels endommagés l’organisme
- Perte des données
intéressantes
Indisponibilité 24/24 h - Panne sur le matériel réseau. - Indisponibilité des
des réseaux - Coupure de câble réseau données important
- Attaque de pirate sur le réseau. - - Indisponibilité de e
l’internet
- - arrêt des applications
réseaux
Accès non maitrisé - Employé autorisé peu sérieux (la - vole de données
autorisé aux perte du support de stockage confidentielles et sensibles Très
données non externe, laisser le compte de - publication de la vie important
autorisés l’application d’accès aux privée des individus e
(confidentiels données ouvertes…) - possibilité de modification
ou sensibles) - Accès d’un utilisateur non non autorisé des données
autorisé au données - la perte de confiance des
confidentiels (employé simple, clients.
femme de ménage, agent de - La perte de la réputation
sécurité, visiteur) de l’organisme
- Attaque de pirate
- Application malveillantes
(application de vol des données)
- hébergeur

Modification maitrisé - Employé peu sérieux (laisser le -manque d’intégrité des


et compte de l’application d’accès données Très
suppression aux données ouvertes, partager - la perte de confiance des important
leur mot de passe aux autres clients. e
des données
personnes) -La perte de la réputation
non autorisés
- attaque de pirate. de l’organisme
- Hébergeur des données.
- Accès une personne non autorisé.
Perte de 24/ 24h -panne de réseau Perturber les activités de important
disponibilité -matériels endommagés l’organisme e
des données (serveur WEB et serveur BDD)
-attaque de pirate
Problème d’électricité
SCENARIO DE MENACE
- Identifier et estimer les scénarios qui peuvent engendrer les événements redoutés

Common questions

Alimenté par l’IA

The primary security concerns for ensuring data availability and integrity include threats from internal employees not following protocols, external attacks such as network breaches, and physical risks like fires and electrical failures . These threats can lead to data unavailability, impaired organizational functions, data loss, and potential reputational damage .

Reliance on specific hardware like Dell and HP systems can impact risk management by potentially reducing costs and complexity but also increasing vulnerability to vendor-specific threats or failures. A comprehensive strategy should include contingency plans for hardware failures and regular updates to minimize risks .

Application security and user access controls are crucial in mitigating risks of data modification and loss by ensuring only authorized users can access specific applications and data. This includes secure authentication processes and regular monitoring of access logs to prevent unauthorized activities .

Human factors contribute significantly to data security issues through carelessness, lack of training, and potential malicious intent. To mitigate these risks, organizations can implement regular training, establish clear protocols, and deploy monitoring systems to detect and address security breaches promptly .

The organization's network architecture allows segmented access through various local networks connected to national databases, reducing the exposure of sensitive systems. Access controls are in place for different user roles, with administrators and directors having broader access, thus supporting secure data access and management .

Threat scenario planning is critical for anticipating potential disruptions, allowing the organization to pre-emptively address vulnerabilities related to data and network security. Improvements could include more frequent simulations and cross-departmental response coordination to enhance preparedness .

The internal communication system, through applications like Lotus and internal email, influences data confidentiality and integrity by providing structured channels for secure data transmission and reducing the risk of data leaks or unauthorized access if configured properly .

The lack of configuration in network devices such as D-Link switches poses risks by leaving potential security vulnerabilities unaddressed, which could be exploited for unauthorized access, affecting overall network security. Proper configurations should include setting up firewalls and segmentation to mitigate these risks .

The unavailability of data around the clock presents risks such as halting critical operations, causing delays in decision-making or service provision, and leading to potential financial losses. Mitigation requires robust backup solutions and redundant systems to ensure continuous data access .

Unauthorized access to confidential data can lead to data breaches, unauthorized data modification, and loss of organizational reputation and client trust. Mitigation measures include strict access control protocols, regular security audits, and employee training to handle sensitive information securely .

Vous aimerez peut-être aussi