Logiciel Ebios Etudedecassc3a9curitc3a9servicecloud 2011 07 E280a6

PREMIER MINISTRE
Secrétariat général de la défense et de la sécurité nationale

Agence nationale de la sécurité des systèmes d’information
Sous-direction assistance, conseil et expertise
Bureau assistance et conseil
EBIOS 2010
ETUDE DE CAS : SECURITE D’UN
SERVICE DU CLOUD
Version du 20 juillet 2011

SGDN / ANSSI / ACE / BAC EBIOS 2010 – Etude de cas – 20 juillet 2011
Les commentaires et suggestions sont encouragés et peuvent être adressés à l'adresse suivante
(voir formulaire de recueil de commentaires en fin de guide) :

Agence nationale de la sécurité des systèmes d'information
51 boulevard de La Tour-Maubourg
75700 PARIS 07 SP
[email protected]
Page 2 sur 61
Historique des modifications

Date Objet de la modification Statut
20/07/2011 Création du document Validé
Table des matières

1 MODULE 1 – ETUDE DU CONTEXTE............................................................................................ 4
1.1 ACTIVITE 1.1 – DEFINIR LE CADRE DE LA GESTION DES RISQUES .................................................... 4
1.1.1 Identifier les sources de menaces ..................................................................................... 5
1.2 ACTIVITE 1.2 – PREPARER LES METRIQUES ................................................................................... 6
1.2.1 Activité 1.2.1 – Définir les critères de sécurité et élaborer les échelles de besoins .......... 6
1.2.2 Activité 1.2.2 –Elaborer une échelle de niveaux de gravité............................................... 7
1.2.3 Activité 1.2.3 –Elaborer une échelle de niveaux de vraisemblance .................................. 7
1.2.4 Echelle de niveaux de risque ............................................................................................. 7
1.2.5 Critères de gestion des risques ......................................................................................... 7
1.3 ACTIVITE 1.3 – IDENTIFIER LES BIENS ........................................................................................... 8
1.3.1 Biens essentiels ................................................................................................................. 8
1.3.2 Biens supports ................................................................................................................... 8
1.3.3 Liens entre biens supports et biens essentiels .................................................................. 8
1.3.4 Mesures de sécurité existantes ......................................................................................... 9
2 MODULE 2 – ÉTUDE DES EVENEMENTS REDOUTES ............................................................. 11
3 MODULE 3 – ÉTUDE DES SCENARIOS DE MENACES............................................................ 13

3.1 SYSTEME D’ACCES (SYS_AIN) .................................................................................................. 13
3.2 SYSTEME DU PRESTATAIRE (SYS_EXT)..................................................................................... 15
3.3 SYSTEME D’ACCES DU PRESTATAIRE (SYS_APR)....................................................................... 18
3.4 ORGANISATION INTERNE (ORG_INT)......................................................................................... 20
3.5 ORGANISATION DU PRESTATAIRE (ORG_PRE) ........................................................................... 22
4 MODULE 4 – ÉTUDE DES RISQUES ........................................................................................... 24
4.1 ANALYSE ET EVALUATION DES RISQUES ...................................................................................... 24
4.1.1 Divulgation des données de déclaration de sinistre ........................................................ 24
4.1.2 Altération des données de déclaration de sinistre ........................................................... 26
4.1.3 Indisponibilité des données de déclaration de sinistre .................................................... 26
4.1.4 Divulgation des données de sécurité ............................................................................... 26
4.1.5 Altération des données de sécurité ................................................................................. 26
4.1.6 Indisponibilité des données de sécurité........................................................................... 26
4.1.7 Divulgation de la fonction de traitement des données de déclaration de sinistre............ 26
4.1.8 Dysfonctionnement de la fonction de traitement des données de déclaration de sinistre26
4.1.9 Arrêt de la fonction de traitement des données de déclaration de sinistre...................... 26
4.2 IDENTIFICATION DES OBJECTIFS DE SECURITE ............................................................................. 26
4.3 IDENTIFICATION DES RISQUES RESIDUELS ................................................................................... 26
5 MODULE 5 - ÉTUDE DES MESURES DE SECURITE................................................................ 26
5.1 DEFINITION DES MESURES DE SECURITE ..................................................................................... 26
5.2 ANALYSE DES RISQUE RESIDUELS ............................................................................................... 26
5.3 DECLARATION D’APPLICABILITE................................................................................................... 26
5.4 MISE EN ŒUVRE DES MESURES DE SECURITE .............................................................................. 26
Page 3 sur 61
1 Module 1 – Etude du contexte

Les risques évoqués dans ce document sont décrit dans le document de référence publié par l’ENISA
(« Cloud computing : Benefits, risks and recommendations for information security »,
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-
assessment/at_download/fullReport) et dans celui publié par l’ANSSI « Externalisation des systèmes
d’information ».
Un assureur s’attend à un pic de déclaration en cas d’évènements catastrophiques. Il fait appel à un service
de type IAAS pour héberger et traiter les données de déclaration de sinistre. Ces données sont rapatriées
dans son SI une fois instruites par les experts d’assurance.
Personnel interne
Opérateur en
charge de la saisie Personnel externe
Opérateur en
charge de l’instruction
Auditeur
Administrateur
technique
Postes
utilisateurs Portail d’accès
Internet
Serveurs
internes
Référentiel
d’identité
Cloud
Système d’accès
Système interne
1.1 Activité 1.1 – Définir le cadre de la gestion des risques
La définition détaillée du cadre de la gestion des risques sera faite avec le logiciel.
Page 4 sur 61
1.1.1 Identifier les sources de menaces
Types de sources de menaces Retenu Exemple

ou non
Source humaine interne, malveillante, avec de faibles Employé malveillant
Oui
capacités Employé du prestataire malveillant
Source humaine interne, malveillante, avec des
Oui
capacités importantes
Source humaine interne, malveillante, avec des Administrateur malveillant
Oui
capacités illimitées Administrateur du prestataire malveillant
Source humaine externe, malveillante, avec de faibles
Non
capacités
Source humaine externe, malveillante, avec des Pirate
Oui
capacités importantes Concurrent
Source humaine externe, malveillante, avec des
Non
capacités illimitées
Source humaine interne, sans intention de nuire, avec de Employé peu sérieux
Oui
faibles capacités Employé du prestataire peu sérieux
Source humaine interne, sans intention de nuire, avec
Oui
des capacités importantes
Source humaine interne, sans intention de nuire, avec Administrateur peu sérieux
Oui
des capacités illimitées Administrateur du prestataire peu sérieux
Source humaine externe, sans intention de nuire, avec
Non
de faibles capacités
Non
des capacités importantes
Non
des capacités illimitées
Code malveillant d’origine inconnue Non
Panne de matériel
Phénomène naturel Oui
Panne de réseau
Inondation
Catastrophe naturelle ou sanitaire Oui Tempête
Tremblement de terre
Activité animale Non
Evènement interne Oui Faille dans l’application
Décision du cloud provider
Mauvaise gestion du prestataire
Evènement externe Oui
Décision de justice
Changement de juridiction
Page 5 sur 61
1.2 Activité 1.2 – Préparer les métriques
1.2.1 Activité 1.2.1 – Définir les critères de sécurité et élaborer les échelles de
besoins
Afin d’exprimer les besoins de sécurité, les critères de sécurité retenus sont les suivants :
Critères de sécurité Définitions

Disponibilité Propriété d’accessibilité au moment voulu des biens essentiels
Intégrité Propriété d’exactitude et de complétude des biens essentiels
Confidentialité Propriété des biens essentiels de n’être accessibles que par utilisateurs autorisés
L’échelle suivante sera utilisée pour exprimer les besoins de sécurité en termes de disponibilité :
Niveau de l’échelle Description détaillée de l’échelle

Plus de 48h Le bien essentiel peut être indisponible plus de 48 heures
Entre 24 et 48h Le bien essentiel doit être disponible dans les 48 heures
Entre 4 et 24h Le bien essentiel doit être disponible dans les 24 heures
Moins de 4h Le bien essentiel doit être disponible dans les 4 heures
L’échelle suivante sera utilisée pour exprimer les besoins de sécurité en termes d’intégrité :

Détectable Le bien essentiel peut ne pas être intègre si l’altération est identifiée
Maîtrisé Le bien essentiel peut ne pas être intègre, si l’altération est identifiée et l’intégrité du bien
essentiel retrouvée
Intègre Le bien essentiel doit être rigoureusement intègre
L’échelle suivante sera utilisée pour exprimer les besoins de sécurité en termes de confidentialité :

Public Le bien essentiel est public
Limité Le bien essentiel ne doit être accessible qu’au personnel et aux partenaires
Réservé Le bien essentiel ne doit être accessible qu’au personnel interne impliqué
Privé Le bien essentiel ne doit être accessible qu’à des personnes identifiées et ayant le besoin
d’en connaître
Page 6 sur 61
1.2.2 Activité 1.2.2 –Elaborer une échelle de niveaux de gravité
L’échelle suivante sera utilisée pour estimer la gravité des évènements redoutés et des risques.

0. Insignifiant L’évènement redouté n’est pas retenu dans le contexte de cette étude
1. Négligeable La société surmontera les impacts sans aucune difficulté
2. Limitée La société surmontera les impacts malgré quelques difficultés
3. Importante La société surmontera les impacts avec de sérieuses difficultés
4. Critique La société surmontera les impacts avec de très sérieuses difficultés et sur une très longue
période
1.2.3 Activité 1.2.3 –Elaborer une échelle de niveaux de vraisemblance
L’échelle suivante sera utilisée pour estimer la vraisemblance des scénarios de menaces et des risques.

1. Minime Cela ne devrait pas se (re)produire dans les 3 ans / Besoin des privilèges d’administrateur
2. Significative Cela pourrait se (re)produire dans les 3 ans / Besoin de connaissances et d’un accès aux
utilisateurs
3. Forte Cela devrait se (re)produire dans l’année / Sans besoin de connaissances et avec un
besoin d’accès aux utilisateurs
4. Maximale Cela va certainement se (re)produire plusieurs fois dans l’année / Sans besoin de
connaissances ni d’accès aux utilisateurs
1.2.4 Echelle de niveaux de risque
4 4. Intolérable
Gravite
3 Significatif
2 2. Limité
1 1. Négligeable 2. Limité
1 2 3 4
Vraisemblance
1.2.5 Critères de gestion des risques
Ce point sera à complété avec le logiciel.
Page 7 sur 61
1.3 Activité 1.3 – Identifier les biens
1.3.1 Biens essentiels
• Système • Données de déclaration de sinistre

d’information • Données de sécurité (Clés de chiffrement, logs, référentiel d’identité et des
externalisé droits)
• Fonctions • Traitement des données
externalisées
1.3.2 Biens supports
• Système d’accès • Réseau de l’organisme

(SYS_AIN) • Réseau internet
• Système externalisé • Serveurs du prestataire
(SYS_EXT) • Postes de travail du prestataire
• Logiciel d’administration du prestataire
• Portail d’accès
• Système d’accès du • Réseau du prestataire
prestataire
(SYS_APR)
• Organisation interne • Utilisateurs (opérateurs en charge de la saisie, opérateurs en charge de
(ORG_INT) l’instruction, auditeurs)
• Administrateurs fonctionnels
• Administrateurs techniques
• Organisation du • Administrateurs du cloud
prestataire • Sous-traitants du Cloud Provider
(ORG_PRE)
1.3.3 Liens entre biens supports et biens essentiels
Biens essentiels Données de Données de Traitement des

déclaration de sécurité données
sinistre
Biens supports
Système d’accès (SYS_AIN) x x
Système externalisé (SYS_EXT) x x
Système d’accès du prestataire x x
(SYS_APR)
Organisation interne (ORG_INT) x x
Organisation du prestataire (ORG_PRE) x x
Page 8 sur 61
1.3.4 Mesures de sécurité existantes
Récupération
Prévention
Protection
N° Thème ISO 27002 Mesure de sécurité Description Bien support
Protéger les zones contenant des informations et des moyens de

traitement de l’information par des périmètres de sécurité. Les serveurs Système du
1 9.1 Zones sécurisée Périmètre de sécurité physique x x
doivent être inaccessibles par des personnes non autorisées et donc prestataire
dans des salles hautement sécurisées.
Protéger les zones sécurisées pas des contrôles à l’entrée adéquats
pour s’assurer que seul le personnel habilité soit admis. Le prestataire
Système du
2 9.1 Zones sécurisée Contrôle physique des accès doit donc surveiller et contrôler les accès aux datacenters et doit X x
prestataire
s’assurer que le personnel de maintenance ou de support ne peut
menacer la sécurité des données, des matériels ou des logiciels.
Concevoir et appliquer des mesures de protection physiques contre les
dommages causés par les incendies, les inondations, les tremblements
Protection contre les menaces
de terre, les explosions, les troubles civils et autres formes de Système du
3 9.1 Zones sécurisée extérieures et x X
catastrophes naturelles ou de sinistre provoqués par l’homme. Les prestataire
environnementales
datacenters du prestataire devront satisfaire les exigences de sécurité
liées à la protection physique des serveurs.
Protéger le matériel des coupures de courant et autres perturbations Système du
4 9.2 Sécurité du matériel Services généraux x x x
dues à une défaillance de services généraux. prestataire
Protéger les câbles électriques ou de télécommunications transportant Système d’accès
5 9.2 Sécurité du matériel Sécurité du câblage x
des données contre toute interception ou dommage. du prestataire
La documentation décrivant l’ensemble du système doit être gardée Organisation
10.7 Manipulation des Sécurité de la documentation avec un niveau de sécurité suffisant pour ne pas permettre à des interne /
6 x
supports système personnes malveillantes d’avoir une connaissance poussée de Organisation du
l’architecture (mesures de « diffusion restreinte » systématiques). prestataire
11.2 Gestion de l’accès Restreindre et contrôler l’attribution et l’utilisation des privilèges (gestion Organisation
7 Gestion des privilèges x x
utilisateur des habilitations). interne
Définir une procédure formelle d’enregistrement et de désinscription
11.2 Gestion de l’accès Organisation
8 Enregistrement des utilisateurs des utilisateurs destinée à accorder et à supprimer l’accès au cloud ou x x
utilisateur interne
à son administration.
11.2 Gestion de l’accès Gestion du mot de passe L’attribution de mots de passe doit être réalisée dans le cadre d’un Organisation
9 x
utilisateur utilisateur processus formel. interne / Système
Page 9 sur 61
d’accès
Organisation
11.3 Responsabilités Demander aux utilisateurs de respecter les bonnes pratiques de
10 Utilisation du mot de passe x x interne / Système
utilisateurs sécurité lors de la sélection et de l’utilisation de mots de passe.
d’accès
Afin d’accéder aux fonctions d’administration, les administrateurs
11.4 Contrôle d’accès au Authentification des doivent être authentifiés. L'authentification doit se faire de manière Système du
11 x
réseau administrateurs sécurisée (chiffrage des mots de passe, authentification à deux prestataire
facteurs).
11.4 Contrôle d’accès au L'authentification des utilisateurs doit se faire de manière sécurisée par Système du
12 Authentification des utilisateurs x
réseau un cryptage des mots de passe et une authentification à deux facteurs. prestataire
Le prestataire doit fournir les garanties de continuité de l’activité au
travers d’un plan de continuité de l’activité. Ce PCA doit prendre en
14.1 Aspects de la sécurité compte les exigences en matière de sécurité de l’information, les
Plan de continuité de l’activité Système du
13 de l’information en matière de évènements pouvant être à l’origine d’interruption des processus x x
du prestataire prestataire
gestion de l’activité métier, les mesures de restauration et de maintien de la disponibilité du
système d’information, ainsi que la mise à l’essai dudit plan de
continuité de l’activité.
Page 10 sur 61
2 Module 2 – Étude des évènements redoutés

N° Evènement Redouté Besoin Sources de menaces Impacts Gravité
Données de déclaration de sinistre
• Pirate • Perte de notoriété
• Employé du prestataire peu • Perte de confiance vis-à-vis des
sérieux clients
• Employé du prestataire • Impossibilité de remplir des
ER1 Divulgation des données Privé malveillant obligations légales 4. Critique
• Bogue logiciel • Action en justice à l’encontre de la
• Hébergeur/Faille dans société
l’application • Non-conformité aux labels de sécurité
• Employé peu sérieux • Chute de valeur en bourse
• Pirate • Impossibilité de remplir les
• Employé du prestataire peu obligations légales
sérieux • Impossibilité d’assurer le traitement
ER2 Altération des données Intègre 3. Importante
• Employé peu sérieux • Perte de confiance vis-à-vis des
• Hébergeur/Faille dans clients
• Pirate
• Employé du prestataire peu
sérieux
• Employé du prestataire
malveillant
• Impossibilité d’assurer le traitement
• Hébergeur/Faille dans
ER3 Indisponibilité des données 24h • Perte de confiance vis-à-vis des 2. Limitée
l’application
clients
• Entreprise tierce
• Changement de juridiction
• Panne de serveur
• Bogue logiciel
• Catastrophe naturelle
Données de sécurité
• Mise en péril du système
d’information externalisé
• Impossibilité de remplir les
obligations légales
Divulgation des données de
ER4 Privé • Pirate • Non-conformité aux labels de sécurité 4. Critique
sécurité
• Perte de notoriété
• Perte de confiance vis-à-vis des
clients
• Chute de valeur en bourse
• Pirate • Perte de contrôle sur le système
Altération des données de
ER5 Intègre • Employé peu sérieux d’information externalisé 3. Importante
sécurité
• Employé malveillant • Impossibilité d’assurer le traitement
Indisponibilité des données • Pirate • Perte de contrôle sur le système
ER6 48h 2. Limitée
de sécurité • Employé malveillant d’information externalisé
Traitement des données
• Employé malveillant
Divulgation de la fonction • Employé du prestataire
ER7 Réservé • Perte d’un avantage concurrentiel 0. Insignifiant
de traitement malveillant
• Pirate
• Traitement des données non valide
Altération de la fonction de • Employé du prestataire
ER8 Intègre clients 0. Insignifiant
traitement malveillant
• Pirate
• Perte de crédibilité
• Mauvaise gestion du
prestataire • Impossibilité d’assurer le traitement
Indisponibilité de la fonction • Pirate • Perte de confiance vis-à-vis des
ER9 24h 3. Importante
de traitement • Concurrent clients
• Employé malveillant • Perte de notoriété
• Panne de réseau
Page 11 sur 61
L’importance relative des évènements redoutés précédemment analysés est évaluée à l’aide du tableau
suivant :
Gravité Evénements redoutés

• ER1 Divulgation des données
4. Critique • ER4 Divulgation des données de sécurité
• ER2 Altération des données

3. Importante • ER5 Altération des données de sécurité
• ER9 Indisponibilité de la fonction de traitement
• ER3 Indisponibilité des données

2. Limitée • ER6 Indisponibilité des données de sécurité
1. Négligeable
• ER7 Divulgation de la fonction de traitement

0. Insignifiant • ER8 Altération de la fonction de traitement
Page 12 sur 61
3 Module 3 – Étude des scénarios de menaces
3.1 Système d’accès (SYS_AIN)

Bien Support Scénario de Critèr Sources de menaces Types de menace Menaces Vraisemblance
menace e
Système • Blocage d’un lot
d’accès • Entreprise tierce • M15 RSX-DEP Saturation d’adresses IP
Menace sur le
(SYS_AIN) • Pirate du canal informatique • Occupation de la
réseau internet
D • Concurrent • M16 RSX-DET bande passante 4. Maximale
causant une
indisponibilité • Employé malveillant Dégradation d’un canal (déni de service)
• Panne de réseau informatique • Rupture du canal
d’accès au cloud
Menace sur le
• Pirate • M13 RSX-USG Attaque du • Attaque de type
réseau internet Man in the Middle
I • Concurrent milieu sur un canal 3. Forte
causant une
altération • Employé malveillant informatique
Menace sur le
• Pirate • M14 RSX-ESP Ecoute • Acquisition de
réseau internet données par écoute
C • Concurrent passive d’un canal 3. Forte
causant une passive
compromission • Employé malveillant informatique
Menace Vulnérabilités Pré-requis Vraisemblance
Blocage d’un lot d’adresses IP • Possibilité d’être impliqué dans les • Serveurs partagés (cloud public)
activités frauduleuses d’une entreprise 3. Forte
tierce sur le cloud
Occupation de la bande passante • Réseau d’accès au cloud unique • Accès à la table de routage
(déni de service) • Dimensionnement insuffisant de la • Accès aux utilisateurs 2. Significative
bande passante
Rupture du canal d’accès au cloud • Réseau d’accès au cloud unique • Contrôle insuffisant du matériel
• Dimensionnement insuffisant de la • Accès physique au réseau 4. Maximale
bande passante
Acquisition de données par écoute • Réseau perméable • Accès à la table de routage
3. Forte
passive • Données transmises interprétables • Accès aux utilisateurs
Attaque de type Man in the Middle • Possibilité de falsification du service • Accès à la table de routage
appelé • Accès aux utilisateurs 3. Forte
• Routage altérable
Mesures de sécurité existantes
Thème ISO Mesures de Récupération

Prévention
Protection
N° Description Bien support

27002 sécurité existantes
Organisation
11.2 Gestion de
Gestion du mot de L’attribution de mots de passe doit être réalisée dans le cadre d’un processus interne /
9 l’accès x
passe utilisateur formel. Système
utilisateur
d’accès
Organisation
11.3
Utilisation du mot Demander aux utilisateurs de respecter les bonnes pratiques de sécurité lors de interne /
10 Responsabilités x x
de passe la sélection et de l’utilisation de mots de passe. Système
utilisateurs
d’accès
Mesures de sécurité complémentaires

Récupération
Thème ISO Mesures de

Prévention
Protection

27002 sécurité
Système
Les ressources doivent correspondre aux besoins. Il est nécessaire de faire des d’accès /
10.3
projections et des tests de performance pour connaître les limites du système et Système du
Planification et
9 Dimensionnement pouvoir anticiper toute surcharge. Ainsi, le prestataire doit s’assurer que les x prestataire /
acceptation du
ressources allouées aux différents utilisateurs du service sont suffisantes pour Système
système
couvrir les besoins. d’accès du
prestataire
Protection des équipements de journalisation et les informations journalisées Système
Protection des contre le sabotage et les accès non autorisés. Analyser les journaux à l’aide d’un d’accès /
10.10
11 informations logiciel de contrôle de l’intégrité des fichiers ou de détection des modifications x x Système du
Surveillance
journalisées pour s’assurer que les données contenues dans les journaux ne peuvent pas prestataire /
être modifiées sans entraîner le déclenchement d’une alerte. Système
Page 13 sur 61
d’accès du
prestataire
Système
d’accès /
Journal
Système du
10.10 administrateur et La journalisation des opérations des administrateurs permet de garder une trace
12 x x prestataire /
Surveillance journal des des actions des administrateurs.
Système
opérations
d’accès du
prestataire
Système
d’accès /
Système du
10.10 Journaliser et analyser les éventuels défauts et prendre les mesures
13 Rapports de défaut x x prestataire /
Surveillance appropriées.
Système
d’accès du
prestataire
Audit de la La passerelle d’accès au cloud doit être soumise à un audit régulier (annuel)
10.10 Système
14 passerelle d’accès pour vérifier que les mesures de sécurité sont effectives et en adéquation avec x
Surveillance d’accès
au cloud les objectifs de sécurité.
11.4 Contrôle Contrôle du S’assurer que l’organisation mette en œuvre des mesures de routage des
Système
17 d’accès au routage réseau réseaux afin d’éviter que les connexions réseau et les flux d’informations ne x x
d’accès
réseau interne portent atteinte à la politique de contrôle d’accès des applications de gestion.
12.3 Mesures
Chiffrement des Les flux contenant des informations sensibles ou à caractère personnel doivent Système
20 cryptographiqu x
flux être chiffrées. d’accès
es
Système du
12.3 Mesures
Une procédure de gestion des clés doit venir à l’appui de la politique de prestataire /
21 cryptographiqu Gestion des clés x
l’organisme en matière de chiffrement. Système
es
d’accès
Page 14 sur 61
3.2 Système du prestataire (SYS_EXT)

menace e
Système du • Employé du
prestataire prestataire peu • M9 LOG-DEP
(SYS_EXT) sérieux Dépassement des limites • Surexploitation du
• Employé du d’un logiciel système du
prestataire • M12 LOG-PTE Disparition prestataire
malveillant d’un logiciel • Cessation d’activité
• Décision du cloud • M6 MAT-PTE Perte d’un du prestataire
Menace sur le
provider matériel • Serveurs du
système du
D • Concurrent • M7 LOG-USG prestataire saisis 3. Forte
prestataire causant
une indisponibilité • Pirate Détournement de l’usage par la justice
• Hébergeur/Faille prévu d’un logiciel • Perte ou effacement
dans l’application • M4 MAT-PTE des données
• Décision de justice Détérioration d’un • Changement des
• Panne de matériel matériel données du portail
• Bogue logiciel • M11 LOG-MOD d’accès au cloud
• Catastrophe Modification d’un logiciel
naturelle
• Employé du
prestataire peu
sérieux • M7 LOG-USG
Menace sur le • Données rendues
• Employé du Détournement de l’usage
système du accessibles à
I prestataire prévu d’un logiciel 3. Forte
prestataire causant d’autres utilisateurs
une altération malveillant • M11 LOG-MOD
du cloud
• Pirate Modification d’un logiciel
• Hébergeur/Faille
dans l’application
• Collecte de données
d’accès au SI
externalisé
• Décision du cloud • Prestataire racheté
provider par une société
• Pirate investissant moins
• Concurrent dans la sécurité
• Employé peu • Serveurs du
sérieux • M8 LOG-ESP Analyse d’un prestataire saisis
Menace sur le • Employé du logiciel par la justice
système du prestataire peu • M6 MAT-PTE Perte d’un • Vol de serveurs
prestataire causant C sérieux matériel • Données non 4. Maximale
une • Employé du • M7 LOG-USG effacées des
compromission prestataire Détournement de l’usage serveurs du
malveillant prévu d’un logiciel prestataire et
• Hébergeur/Faille rendues accessibles
dans l’application • Données rendues
• Bogue logiciel accessibles à
• Panne de matériel d’autres utilisateurs
• Décision de justice du cloud
• Changement des
données du portail
d’accès au cloud
Surexploitation du système du • Manque de compétence du personnel • Ressources allouées par le prestataire

prestataire du prestataire insuffisantes
1. Minime
• Négligence du personnel du
prestataire
Cessation d’activité du prestataire • Portabilité des données non assurée • Fébrilité économique du prestataire
2. Significative
Serveurs du prestataire saisis par la • Juridiction liée à la position • Changement de juridiction dans le pays
justice géographique des données où sont situés les serveurs
Ou
• Une entreprise tierce mène des
2. Significative
activités frauduleuses sur le cloud
Ou
• Juridiction relative au stockage des
données personnelles
Perte ou effacement des données • Données accessibles avec les droits • Privilèges élevés sur l’application
adéquats Ou
• Matériel peu fiable • Contrôle insuffisant du matériel
• Matériel inapproprié aux conditions Ou
d’utilisation • Bogue dans le logiciel utilisé
3. Forte
• Datacenter mal protégé contre les Ou
catastrophes naturelles • Datacenter dans une zone à risque de
• Mauvaise compartimentation du catastrophes naturelles
logiciel Ou
• Serveurs partagés (cloud public)
Page 15 sur 61
Collecte de données d’accès au SI • SI du sous-traitant mal sécurisé • Accès physique ou logique au SI du

externalisé • Faille dans l’application sous-traitant
• Connaissance de l’existence du logiciel 4. Maximale
• Connaissance de l’existence du portail
d’accès
Changement des données du portail • Faille dans le portail d’accès au cloud • Accès physique ou logique au portail
d’accès au cloud • Négligence du personnel du d’accès
3. Forte
prestataire • Connaissance de l’existence du portail
d’accès
Prestataire racheté par une société • Manque de compétence du personnel • Fébrilité économique du prestataire
investissant moins dans la sécurité du prestataire
2. Significative
• Négligence du personnel du
prestataire
Données non effacées des serveurs • Mauvais effacement des données par • Serveurs partagés ou réutilisés
3. Forte
du prestataire et rendues accessibles le prestataire
Données rendues accessibles à • Mauvaise compartimentation du • Serveurs partagés ou réutilisés
3. Forte
d’autres utilisateurs du cloud logiciel
Vol de serveurs • Manque de sécurisation des • Accès physique aux serveurs
datacenters • Connaissance de l’existence et de la
• Négligence du personnel du localisation des serveurs
3. Forte
prestataire • Possibilité de déplacer un serveur
• Négligence du personnel de sécurité
du datacenter
Récupération
Prévention
Protection
Protéger les zones contenant des informations et des moyens de traitement de

9.1 Zones Périmètre de l’information par des périmètres de sécurité. Les serveurs doivent être Système du
1 x x
sécurisée sécurité physique inaccessibles par des personnes non autorisées et donc dans des salles prestataire
hautement sécurisées.
Protéger les zones sécurisées pas des contrôles à l’entrée adéquats pour
s’assurer que seul le personnel habilité soit admis. Le prestataire doit donc
9.1 Zones Contrôle physique Système du
2 surveiller et contrôler les accès aux datacenters et doit s’assurer que le X x
sécurisée des accès prestataire
personnel de maintenance ou de support ne peut menacer la sécurité des
données, des matériels ou des logiciels.
Protection contre
dommages causés par les incendies, les inondations, les tremblements de terre,
9.1 Zones les menaces Système du
3 les explosions, les troubles civils et autres formes de catastrophes naturelles ou x X
sécurisée extérieures et prestataire
de sinistre provoqués par l’homme. Les datacenters du prestataire devront
environnementales
satisfaire les exigences de sécurité liées à la protection physique des serveurs.
9.2 Sécurité du Protéger le matériel des coupures de courant et autres perturbations dues à une Système du
4 Services généraux x x x
matériel défaillance de services généraux. prestataire
11.4 Contrôle Authentification Afin d’accéder aux fonctions d’administration, les administrateurs doivent être
Système du
11 d’accès au des authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage des x
prestataire
réseau administrateurs mots de passe, authentification à deux facteurs).
11.4 Contrôle
Authentification L'authentification des utilisateurs doit se faire de manière sécurisée par un Système du
12 d’accès au x
des utilisateurs cryptage des mots de passe et une authentification à deux facteurs. prestataire
réseau
14.1 Aspects Le prestataire doit fournir les garanties de continuité de l’activité au travers d’un
de la sécurité plan de continuité de l’activité. Ce PCA doit prendre en compte les exigences en
Plan de continuité
de l’information matière de sécurité de l’information, les évènements pouvant être à l’origine Système du
13 de l’activité du x x
en matière de d’interruption des processus métier, les mesures de restauration et de maintien prestataire
prestataire
gestion de de la disponibilité du système d’information, ainsi que la mise à l’essai dudit plan
l’activité de continuité de l’activité.

Récupération

Prévention
Protection

27002 sécurité
Vérifier tout le matériel contenant des supports de stockage pour s’assurer que
Mise au rebut ou toute donnée sensible a bien été supprimée et que tout logiciel sous licence a
9.2 Sécurité du Système du
5 recyclage sécurisé bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. Le x x
matériel prestataire
du matériel prestataire devra préciser les mesures mises en œuvre pour assurer la mise au
rebut de ses matériels.
S’assurer que les mesures de sécurité, les définitions du service et les niveaux
10.2 Gestion de de prestation prévus dans l’accord de prestation de service tiers sont mis en
la prestation de Prestation de œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation Système du
6
service par un service et contrat de service doit inclure les éléments liés à la journalisation d’évènements, au suivi prestataire
tiers du service hébergé (mise à jour, maintenances, sauvegardes…), aux modalités
de prévention d’une attaque et à la réaction suite à un incident.
Page 16 sur 61
10.2 Gestion de Clause

Le contrat de prestation de service doit préciser les conditions de restitution des
la prestation de contractuelle de Système du
7 données (conditions, délais, formats) pour permettre le rapatriement des x x
service par un restitution des prestataire
données ou le changement de prestataire sans interruption de service.
tiers données
Gérer les changements effectués dans la prestation de service, comprenant le
10.2 Gestion de
Gestion des maintien et l’amélioration des politiques, procédures et mesures existantes.
la prestation de Système du
8 modifications dans Notamment, le contrat doit permettre la validation des choix du prestataire lors de x x
service par un prestataire
les services tiers la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la
tiers
perte de sécurité).
Système
10.3
Planification et
acceptation du
système
prestataire
Le prestataire doit prendre toutes les mesures qui s’imposent en termes de
Sauvegarde des
10.5 sauvegarde et de restauration pour se conformer au niveau de service exigé. Il Système du
10 informations - x x x
Sauvegarde doit notamment effectuer un double exemplaire des sauvegardes et doit les prestataire
backups
conserver dans des locaux physiquement séparés.
Système
Protection des équipements de journalisation et les informations journalisées d’accès /
Protection des contre le sabotage et les accès non autorisés. Analyser les journaux à l’aide d’un Système du
10.10
11 informations logiciel de contrôle de l’intégrité des fichiers ou de détection des modifications x x prestataire /
Surveillance
journalisées pour s’assurer que les données contenues dans les journaux ne peuvent pas Système
être modifiées sans entraîner le déclenchement d’une alerte. d’accès du
prestataire
Système
d’accès /
Journal
Système du
Système
opérations
d’accès du
prestataire
Système
d’accès /
Système du
Système
d’accès du
prestataire
Système du
Protection des
11.4 Contrôle prestataire /
ports de diagnostic Le prestataire doit contrôler l’accès physique et logique aux ports de diagnostic
15 d’accès au x x Système
et de configuration et de configuration à distance.
réseau d’accès du
à distance
prestataire
Politique
12.3 Mesures Elaboration et mise en œuvre d’une politique d’utilisation des mesures
d’utilisation des Système du
19 cryptographiqu cryptographiques en vue de protéger l’information. Par exemple, employer un x
mesures prestataire
es logiciel de chiffrement des données externalisées.
cryptographiques
Système du
12.3 Mesures
es
d’accès
Le prestataire doit tenir informé l’organisation (assureur) en temps voulu de toute
12.6 Gestion
Mesures relatives vulnérabilité technique des systèmes d’information en exploitation, évaluer
des Système du
22 aux vulnérabilités l’exposition de l’organisation auxdites vulnérabilités et entreprendre les actions x
vulnérabilités prestataire
techniques appropriées pour traiter le risque associé. Cette démarche doit être formalisée
techniques
dans le contrat de service.
Le prestataire doit satisfaire les exigences de protection et de confidentialité des
Protection des
15.1 données à caractère personnel telles que l’exigent la législation ou les
données et
Conformité réglementations applicables.
confidentialité des Système du
23 avec les Le transfert des données à caractère personnel en dehors des frontières de x
informations prestataire
exigences l’Union européenne est réglementé par la directive européenne 95/46/CE et la loi
relatives à la vie
légales n°78-17 du 6 janvier 1978 modifiée relative à l’inf ormatique, aux fichiers et aux
privée
libertés.
L’hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non
Hébergement non mutualisé). Ainsi, les données de l’organisation (assureur) ne risquent pas de Système du
24 x
mutualisé subir les conséquences d’une activité frauduleuse d’un autre client du cloud. Les prestataire
problèmes de compartimentation sont de plus écartés.
15.1
Conformité
Localisation des Le prestataire doit être en mesure d’indiquer la localisation des données pour Système du
25 avec les x
données informer l’organisation prestataire
exigences
légales
Page 17 sur 61
3.3 Système d’accès du prestataire (SYS_APR)

menace e
Système • Pirate • M15 RSX-DEP Saturation
Menace sur le
d’accès du • Employé du du canal informatique • Perte de liaison
réseau du
prestataire D prestataire • M16 RSX-DET entre les serveurs 3. Forte
(SYS_APR) prestataire causant
une indisponibilité malveillant Dégradation d’un canal du prestataire
• Panne de réseau informatique
• M13 RSX-USG Attaque du • Attaque de type
Menace sur le • Pirate
milieu sur un canal Man in the Middle
réseau du • Employé du
I informatique • Changement des 3. Forte
prestataire causant prestataire
une altération • M11 LOG-MOD données du portail
malveillant
Modification d’un logiciel d’accès au cloud
Menace sur le • Acquisition de
• Pirate
réseau du • M14 RSX-ESP Ecoute données par écoute
• Employé du
prestataire causant C passive d’un canal passive entre les 3. Forte
prestataire
une informatique serveurs du
compromission malveillant
prestataire
Perte de liaison entre les serveurs du • Réseau d’accès au cloud unique • Accès à la table de routage
prestataire • Dimensionnement insuffisant de la • Accès aux utilisateurs 3. Forte
bande passante
Acquisition de données par écoute • Perméabilité du réseau • Accès à la table de routage
passive entre les serveurs du • Données observables lors du transfert • Accès aux utilisateurs 3. Forte
prestataire
Changement des données du portail • Données du portail d’accès modifiables • Accès physique ou logique au portail
d’accès au cloud • Données du portail d’accès accessibles d’accès
3. Forte
avec les droits adéquats • Connaissance de l’existence du portail
d’accès
Récupération
Prévention
Protection
Système
9.2 Sécurité du Sécurité du Protéger les câbles électriques ou de télécommunications transportant des
5 x d’accès du
matériel câblage données contre toute interception ou dommage.
prestataire

Récupération

Prévention
Protection

27002 sécurité
Système
10.3
Planification et
acceptation du
système
prestataire
Système
10.10
Surveillance
prestataire
Système
d’accès /
Journal
Système du
Système
opérations
d’accès du
prestataire
Page 18 sur 61
Système
d’accès /
Système du
Système
d’accès du
prestataire
Système du
Protection des
à distance
prestataire
Pour les réseaux partagés, en particulier les réseaux qui s’étendent au-delà des
11.4 Contrôle Mesure relative à limites de l’organisme du prestataire, il convient de vérifier que le prestataire Système
16 d’accès au la connexion restreigne la capacité de connexion réseau des utilisateurs, conformément à la x x d’accès du
réseau réseau politique de contrôle d’accès et les exigences relatives aux applications de prestataire
gestion.
11.4 Contrôle Contrôle du S’assurer que le prestataire mette en œuvre des mesures de routage des Système
18 d’accès au routage réseau du réseaux afin d’éviter que les connexions réseau et les flux d’informations ne x x d’accès du
réseau prestataire portent atteinte à la politique de contrôle d’accès des applications de gestion. prestataire
Page 19 sur 61
3.4 Organisation interne (ORG_INT)

menace e
Organisation • Collecte de données
interne d’accès au SI
(ORG_INT) Menace sur externalisé
• Employé peu
l’organisation • M23 PER-MOD Influence • Suppression des
D sérieux 2. Significative
interne causant sur une personne données par le
une indisponibilité • Pirate
personnel sous
influence d’un
pirate
• Mauvaise
Menace sur répartition des rôles
• M21 PER-DEP Surcharge
l’organisation • Employé peu entre le personnel
I des capacités d’une 1. Minime
interne causant sérieux interne et le
une altération personne
personnel du
prestataire
Menace sur
l’organisation
• M23 PER-MOD Influence
interne causant C • Employé malveillant • L’employé se venge 3. Forte
une sur une personne
compromission
Mauvaise répartition des rôles entre le • Manque de compétence du personnel • Partage de l’administration entre le
personnel interne et le personnel du • Négligence du personnel personnel interne et le personnel du 1. Minime
prestataire prestataire
Collecte de données d’accès au SI • Personne influençable ou manipulable • Etablissement d’une relation avec la
externalisé personne 2. Significative
Suppression des données par le • Personne influençable ou manipulable • Etablissement d’une relation avec la
2. Significative
personnel sous influence d’un pirate personne
L’employé se venge • Personne influençable ou manipulable • Privilèges élevés sur l’application
3. Forte
• Motivation de la vengeance
Récupération
Thème ISO Mesures de Prévention
Protection
La documentation décrivant l’ensemble du système doit être gardée avec un Organisation

10.7 Sécurité de la
niveau de sécurité suffisant pour ne pas permettre à des personnes malveillantes interne /
6 Manipulation documentation x
d’avoir une connaissance poussée de l’architecture (mesures de « diffusion Organisation
des supports système
restreinte » systématiques). du prestataire
11.2 Gestion de
Gestion des Restreindre et contrôler l’attribution et l’utilisation des privilèges (gestion des Organisation
7 l’accès x x
privilèges habilitations). interne
utilisateur
11.2 Gestion de Définir une procédure formelle d’enregistrement et de désinscription des
Enregistrement des Organisation
8 l’accès utilisateurs destinée à accorder et à supprimer l’accès au cloud ou à son x x
utilisateurs interne
utilisateur administration.
Organisation
11.2 Gestion de
9 l’accès x
utilisateur
d’accès
Organisation
11.3
utilisateurs
d’accès

Récupération

Prévention
Protection

27002 sécurité
Attribution des Organisation

6.1 Il convient de définir clairement toutes les responsabilités en matière de sécurité
responsabilités en interne /
1 Organisation de l’information. La répartition des responsabilités entre le personnel interne et le x
matière de sécurité Organisation
interne personnel du prestataire doit être formalisée et respectée.
de l’information externe
Page 20 sur 61
Sensibilisation,
8.2 Pendant la qualification et Le personnel interne doit être formé aux bonnes pratiques de sécurité. Il doit
Organisation
2 durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par x x
interne
contrat matière de sécurité des sessions de formation et des missives d’information concernant la sécurité.
de l’information
Mettre en place un processus disciplinaire clair pour toute ayant enfreint les
8.2 Pendant la
Procédures règles de sécurité pour réduire les risques d’influence et de corruption. Par Organisation
3 durée du x x
disciplinaires exemple, les sanctions peuvent être précisées dans une charte définissant les interne
contrat
engagements de responsabilités.
8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur aux données et aux
Retrait des droits Organisation
4 modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas x
d’accès interne
contrat de changement de contrat ou de responsabilités.
Page 21 sur 61
3.5 Organisation du prestataire (ORG_PRE)

menace e
Organisation du • Collecte de données
prestataire d’accès au SI
(ORG_PRE) Menace sur • Employé du externalisé
l’organisation du prestataire peu • M23 PER-MOD Influence • Suppression des
D 2. Significative
prestataire causant sérieux sur une personne données par le
une indisponibilité • Pirate personnel sous
influence d’un
pirate
• Mauvaise
Menace sur répartition des rôles
• M21 PER-DEP Surcharge
l’organisation du • Employé peu entre le personnel
I des capacités d’une 1. Minime
prestataire causant sérieux interne et le
une altération personne
personnel du
prestataire
Menace sur
l’organisation du
• M23 PER-MOD Influence
prestataire causant C • Employé malveillant • L’employé se venge 3. Forte
une sur une personne
compromission
Mauvaise répartition des rôles entre le • Manque de compétence du personnel • Partage de l’administration entre le
personnel interne et le personnel du • Négligence du personnel personnel interne et le personnel du 1. Minime
prestataire prestataire
2. Significative
3. Forte
Récupération
Protection


Récupération

Prévention
Protection

27002 sécurité

Page 22 sur 61
L’importance relative des scénarios de menaces précédemment analysés est évaluée de la façon suivante :
Vraisemblance Scénarios de menaces

• Menace sur le réseau internet causant une indisponibilité
4. Maximale • Menace sur le système du prestataire causant une compromission
• Menace sur le réseau internet causant une altération
• Menace sur le réseau internet causant une compromission
• Menace sur le système du prestataire causant une indisponibilité
•Menace sur le système du prestataire causant une altération
3. Forte • Menace sur le réseau du prestataire causant une indisponibilité
• Menace sur le réseau du prestataire causant une altération
• Menace sur le réseau du prestataire causant une compromission
• Menace sur l’organisation interne causant une compromission
• Menace sur l’organisation du prestataire causant une compromission
• Menace sur l’organisation interne causant une indisponibilité
2. Significative • Menace sur l’organisation du prestataire causant une indisponibilité
• Menace sur l’organisation interne causant une altération

1. Minime • Menace sur l’organisation du prestataire causant une altération
Page 23 sur 61
4 Module 4 – Étude des risques
4.1 Analyse et évaluation des risques
4.1.1 Divulgation des données de déclaration de sinistre
Scénarios décrits dans les documents (ANSSI et ENISA)

Bien(s) support(s) Scénario(s) de menace
Système du prestataire – Le Cloud Provider fait appel à un prestataire offrant de plus faibles garanties de
Logiciel d’administration du sécurité : un pirate accède aux données via le SI de ce prestataire.
prestataire
Système du prestataire – Le Cloud Provider est racheté par une société investissant moins dans la sécurité : une
Logiciel d’administration du faille permet à un pirate de s’introduire dans le système.
prestataire
Système du prestataire – Les données confidentielles et soumises à des réglementations sont stockées à
Serveurs du prestataire l’étranger. La réglementation du pays où sont stockées les données permet une
divulgation de ces données. Les données peuvent être saisies par la justice.
Système du prestataire – Les données confidentielles soumises à des réglementations sont stockées dans le
Logiciel d’administration du cloud. Cette externalisation rend possible l’accès aux données par un pirate.
prestataire
Système du prestataire – L’administrateur du cloud n’efface délibérément pas les données stockées sur les
Logiciel d’administration du serveurs.
prestataire
Système du prestataire – L’administrateur du cloud oublie d’effacer tout ou partie des données stockées sur le
Logiciel d’administration du serveur.
prestataire
Système du prestataire – Un bogue logiciel laisse des traces de données sur les serveurs.
Logiciel d’administration du
prestataire
Système du prestataire – Les données de plusieurs sociétés sont stockées sur un même support : leur mauvaise
Logiciel d’administration du séparation entraîne une divulgation non-intentionnelle des données.
prestataire
Système du prestataire – Le piratage des droits d’un administrateur du cloud permet l’accès à tout le système.
prestataire
Personnel interne ou Un pirate utilise les techniques de « social engineering » pour obtenir l’accès aux
personnel du prestataire données.
Personnel du prestataire Un employé du prestataire souhaitant se venger divulgue des données.
Système d’accès – Internet Un pirate intercepte sur Internet les données transitant entre le système interne et le
cloud.
Système d’accès du Un pirate ou un employé du Cloud Provider intercepte les données transitant entre les
prestataire – Réseau du serveurs du cloud.
prestataire
Système du prestataire - Un pirate ou un employé du Cloud Provider obtient de manière frauduleuse l’accès aux
Serveurs du prestataire serveurs de données
Système du prestataire - Un pirate ou un employé du Cloud Provider dérobe les serveurs de backup des données
Serveurs du prestataire

• Pirate • Perte de notoriété
• Employé du prestataire peu • Perte de confiance vis-à-vis des
sérieux clients
• Employé du prestataire • Impossibilité de remplir des
ER1 Divulgation des données Privé malveillant obligations légales 4. Critique
• Bogue logiciel • Action en justice à l’encontre de la
• Hébergeur/Faille dans société
• Employé peu sérieux • Chute de valeur en bourse
Résultat obtenu par le logiciel

Bien support Scénarios de Critèr Vraisembla
Sources de menaces Types de menace Menaces
menace e nce
Page 24 sur 61
Système Menace sur le

• Pirate • M14 RSX-ESP Ecoute • Acquisition de données
d’accès réseau internet par écoute passive
(SYS_AIN) causant une
Système du • Collecte de données
prestataire d’accès au SI externalisé
(SYS_EXT) • Prestataire racheté par
une société investissant
• Décision du cloud
moins dans la sécurité
provider
• Serveurs du prestataire
• Pirate
• M8 LOG-ESP Analyse saisis par la justice
• Employé peu sérieux
d’un logiciel • Accès physique aux
Menace sur le • Employé du prestataire
• M6 MAT-PTE Perte serveurs
système du peu sérieux
d’un matériel • Vol de serveur 4.
prestataire C • Employé du prestataire
• M7 LOG-USG • Données non effacées Maximale
causant une malveillant
Détournement de des serveurs du
compromission • Hébergeur/Faille dans
l’usage prévu d’un prestataire et rendues
l’application
logiciel accessibles
• Bogue logiciel
• Données rendues
• Panne de matériel
accessibles à d’autres
• Décision de justice
utilisateurs du cloud
• Changement des
données du portail
d’accès au cloud
• Acquisition de données
d’accès du réseau du • Pirate • M14 RSX-ESP Ecoute
par écoute passive entre
prestataire prestataire C • Employé du prestataire passive d’un canal 3. Forte
les serveurs du
(SYS_APR) causant une malveillant informatique
compromission prestataire
Organisation Menace sur
interne l’organisation • M23 PER-MOD
(ORG_INT) interne causant C • Employé malveillant Influence sur une • L’employé se venge 3. Forte
une personne
compromission
du l’organisation du • M23 PER-MOD
prestataire prestataire C • Employé malveillant Influence sur une • L’employé se venge 3. Forte
(ORG_PRE) causant une personne
compromission

3. Forte
Serveurs du prestataire saisis par la • Juridiction liée à la position • Changement de juridiction dans le
justice géographique des données pays où sont situés les serveurs
Ou
2. Significative
Ou
Données rendues accessibles à • Mauvaise compartimentation du logiciel • Serveurs partagés (cloud public) ou
2. Significative
d’autres utilisateurs du cloud réutilisés
Collecte de données d’accès au SI • SI du sous-traitant mal sécurisé • Accès physique ou logique au SI du
externalisé • Faille dans l’application sous-traitant
• Connaissance de l’existence du
4. Maximale
logiciel
portail d’accès
Changement des données du portail • Faille dans le portail d’accès au cloud • Accès physique ou logique au
d’accès au cloud • Négligence du personnel du prestataire portail d’accès
3. Forte
portail d’accès
Prestataire racheté par une société • Manque de compétence du personnel • Fébrilité économique du prestataire
investissant moins dans la sécurité du prestataire 2. Significative
• Négligence du personnel du prestataire
Données non effacées des serveurs • Mauvais effacement des données par le • Serveurs partagés ou réutilisés
du prestataire et rendues prestataire 3. Forte
accessibles
Accès physique aux serveurs • Manque de sécurisation des datacenters • Accès physique aux serveurs
• Négligence du personnel du prestataire • Connaissance de l’existence et de la 3. Forte
localisation des serveurs
Vol de serveurs • Manque de sécurisation des datacenters • Accès physique aux serveurs
• Négligence du personnel du prestataire • Connaissance de l’existence et de la
3. Forte
• Négligence du personnel de sécurité du localisation des serveurs
datacenter • Possibilité de déplacer un serveur
prestataire
3. Forte
Niveau de risque avant application des mesures
Page 25 sur 61
Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable
Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique
Vraisemblance 1. Minime 2. Significative 3. Forte 4. Maximale
Récupération
Prévention
Protection

1 x x
Système
5 x d’accès du
prestataire
11.2 Gestion de
7 l’accès x x
utilisateur
Organisation
11.2 Gestion de
9 l’accès x
utilisateur
d’accès
Organisation
11.3
utilisateurs
d’accès
Système du
prestataire
11.4 Contrôle
12 d’accès au x
réseau
Plan de continuité
prestataire
Niveau de risque après application des mesures de sécurité existantes


Récupération

Prévention
Protection

27002 sécurité
Sensibilisation,
Organisation
interne
de l’information
Page 26 sur 61
8.2 Pendant la
3 durée du x x
contrat
d’accès interne
Vérifier tout le matériel contenant des supports de stockage pour s’assurer que
Mise au rebut ou toute donnée sensible a bien été supprimée et que tout logiciel sous licence a
9.2 Sécurité du Système du
5 recyclage sécurisé bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. Le x x
matériel prestataire
du matériel prestataire devra préciser les mesures mises en œuvre pour assurer la mise au
rebut de ses matériels.
6
10.2 Gestion de
tiers
Sauvegarde des
backups
Système
10.10
Surveillance
prestataire
Système
d’accès /
Journal
Système du
Système
opérations
d’accès du
prestataire
Système
d’accès /
Système du
Système
d’accès du
prestataire
10.10 Système
Système du
Protection des
à distance
prestataire
gestion.
Système
d’accès
Politique
12.3 Mesures Elaboration et mise en œuvre d’une politique d’utilisation des mesures
d’utilisation des Système du
19 cryptographiqu cryptographiques en vue de protéger l’information. Par exemple, employer un x
mesures prestataire
es logiciel de chiffrement des données externalisées.
cryptographiques
12.3 Mesures
20 cryptographiqu x
es
Système du
12.3 Mesures
es
d’accès
12.6 Gestion Le prestataire doit tenir informé l’organisation (assureur) en temps voulu de toute
Mesures relatives
des vulnérabilité technique des systèmes d’information en exploitation, évaluer Système du
22 aux vulnérabilités x
vulnérabilités l’exposition de l’organisation auxdites vulnérabilités et entreprendre les actions prestataire
techniques
Page 27 sur 61

Protection des
données et
relatives à la vie
privée
libertés.
24 x
15.1
Conformité
25 avec les x
exigences
légales
Niveau de risque après application des mesures de sécurité complémentaires
4.1.2 Altération des données de déclaration de sinistre

Personnel interne et La répartition des rôles entre le personnel interne et celui du Cloud Provider n’est pas
personnel du prestataire claire et provoque des conflits pouvant compromettre l’intégrité des données.
Système d’accès du Un pirate ou un employé malveillant réalise une attaque de type Man in the Middle et
prestataire – Réseau du altère les données circulant sur le réseau du prestataire.
prestataire
Logiciel d’administration du séparation entraîne une altération non-intentionnelle des données par un utilisateur
prestataire d’une autre société.

• Pirate • Impossibilité de remplir les
• Employé du prestataire peu obligations légales
sérieux • Impossibilité d’assurer le traitement
ER2 Altération des données Intègre 3. Importante
• Employé peu sérieux • Perte de confiance vis-à-vis des
• Hébergeur/Faille dans clients

menace e nce
• Pirate • M13 RSX-USG
d’accès réseau internet • Attaque de type Man in
I • Concurrent Attaque du milieu sur 3. Forte
(SYS_AIN) causant une the Middle
• Employé malveillant un canal informatique
altération
Système du • Employé du prestataire • M7 LOG-USG
prestataire Menace sur le peu sérieux Détournement de
(SYS_EXT) système du • Employé du prestataire l’usage prévu d’un • Données rendues
prestataire I malveillant logiciel accessibles à d’autres 3. Forte
causant une • Pirate • M11 LOG-MOD utilisateurs du cloud
altération • Hébergeur/Faille dans Modification d’un
l’application logiciel
Système • M13 RSX-USG
d’accès du Menace sur le • Attaque de type Man in
Attaque du milieu sur
prestataire réseau du • Pirate the Middle
un canal informatique
prestataire I • Employé du prestataire • Changement des 3. Forte
(SYS_APR) • M11 LOG-MOD
causant une malveillant données du portail
altération Modification d’un
d’accès au cloud
logiciel
Organisation Menace sur • M21 PER-DEP • Mauvaise répartition des
interne l’organisation Surcharge des rôles entre le personnel
(ORG_INT) I • Employé peu sérieux 1. Minime
interne causant capacités d’une interne et le personnel
une altération personne du prestataire
du l’organisation du Surcharge des rôles entre le personnel
prestataire I • Employé peu sérieux 1. Minime
prestataire capacités d’une interne et le personnel
(ORG_PRE) causant une personne du prestataire
Page 28 sur 61
altération
Données rendues accessibles à • Mauvaise compartimentation du logiciel • Serveurs partagés (cloud public) ou
2. Significative
d’autres utilisateurs du cloud réutilisés
Changement des données du portail • Données du portail d’accès modifiables • Accès physique ou logique au
d’accès au cloud • Données du portail d’accès accessibles portail d’accès
3. Forte
avec les droits adéquats • Connaissance de l’existence du
portail d’accès
Mauvaise répartition des rôles entre • Manque de compétence du personnel • Partage de l’administration entre le
le personnel interne et le personnel • Négligence du personnel personnel interne et le personnel du 1. Minime

Récupération
Prévention
Protection

1 x x
Système
5 x d’accès du
prestataire
11.2 Gestion de
7 l’accès x x
utilisateur
Organisation
11.2 Gestion de
9 l’accès x
utilisateur
d’accès
Organisation
11.3
utilisateurs
d’accès
Système du
prestataire
11.4 Contrôle
12 d’accès au x
réseau
Plan de continuité
prestataire

Page 29 sur 61
Récupération
Prévention
Protection
27002 sécurité

Sensibilisation,
Organisation
interne
de l’information
8.2 Pendant la
3 durée du x x
contrat
d’accès interne
6
Sauvegarde des
backups
Système
10.10
Surveillance
prestataire
Système
d’accès /
Journal
Système du
Système
opérations
d’accès du
prestataire
Système
d’accès /
Système du
Système
d’accès du
prestataire
10.10 Système
Système du
Protection des
à distance
prestataire
gestion.
Système
d’accès
12.3 Mesures Politique Elaboration et mise en œuvre d’une politique d’utilisation des mesures Système du
19 x
cryptographiqu d’utilisation des cryptographiques en vue de protéger l’information. Par exemple, employer un prestataire
Page 30 sur 61
es mesures logiciel de chiffrement des données externalisées.

cryptographiques
12.3 Mesures
20 cryptographiqu x
es
Système du
12.3 Mesures
es
d’accès
12.6 Gestion
des Système du
techniques
Protection des
données et
relatives à la vie
privée
libertés.
24 x

Page 31 sur 61
4.1.3 Indisponibilité des données de déclaration de sinistre

Système d’accès – Réseau Une entreprise tierce mène des activités frauduleuses au sein du même cloud et conduit
internet au blocage d’un lot d’adresses IP incluant celles d’entreprises innocentes.
Système du prestataire – Une entreprise tierce mène des activités frauduleuses au sein du même cloud et conduit
Serveurs du prestataire à la confiscation des serveurs par la Justice.
Système du prestataire – Les données étant localisées dans différents pays, un changement de juridiction dans
Serveurs du prestataire l’un de ces pays peut entrainer la confiscation des serveurs par la Justice.
Système du prestataire – L’administrateur du cloud efface de manière non délibérée tout ou partie des données
Logiciel d’administration du stockées sur les serveurs.
prestataire
Système du prestataire – L’administrateur du cloud efface de manière délibérée tout ou partie des données
Logiciel d’administration du stockées sur les serveurs.
prestataire
Système du prestataire – Crash d’un serveur du cloud.
Système du prestataire – Un bogue logiciel entraîne la perte de tout ou partie des données.
prestataire
Système du prestataire – Une personne non autorisée accède aux fonctionnalités d’administration du cloud et
Logiciel d’administration du efface délibérément tout ou partie des données.
prestataire
Personnel interne et Un pirate utilise les techniques de « social engineering » pour effacer des données.
personnel du prestataire
Logiciel d’administration du séparation entraîne une perte de données lors de l’effacement d’autres données.
prestataire
Système du prestataire – Une catastrophe naturelle détruit tout ou partie des données.

• Pirate
• Employé du prestataire peu
sérieux
• Employé du prestataire
malveillant
• Impossibilité d’assurer le traitement
• Hébergeur/Faille dans
ER3 Indisponibilité des données 24h • Perte de confiance vis-à-vis des 2. Limitée
l’application
clients
• Entreprise tierce
• Changement de juridiction
• Panne de serveur
• Bogue logiciel
• Catastrophe naturelle

menace e nce
• M15 RSX-DEP
d’accès • Entreprise tierce d’adresses IP
Menace sur le Saturation du canal
(SYS_AIN) • Pirate • Occupation de la bande
réseau internet informatique 4.
D • Concurrent passante (déni de
causant une • M16 RSX-DET Maximale
indisponibilité • Employé malveillant service)
Dégradation d’un
• Panne de réseau • Rupture du canal d’accès
canal informatique
au cloud
Système du • Employé du prestataire • M9 LOG-DEP
prestataire peu sérieux Dépassement des • Surexploitation du
(SYS_EXT) • Employé du prestataire limites d’un logiciel système du prestataire
malveillant • M12 LOG-PTE • Cessation d’activité du
Menace sur le • Décision du cloud Disparition d’un prestataire
système du provider logiciel • Serveurs du prestataire
prestataire D • Concurrent • M6 MAT-PTE Perte saisis par la justice 3. Forte
causant une • Pirate d’un matériel • Perte ou effacement des
indisponibilité • Hébergeur/Faille dans • M7 LOG-USG données
l’application Détournement de • Changement des
• Décision de justice l’usage prévu d’un données du portail
• Panne de matériel logiciel d’accès au cloud
• Bogue logiciel • M4 MAT-PTE
Page 32 sur 61
• Catastrophe naturelle Détérioration d’un

matériel
• M11 LOG-MOD
Modification d’un
logiciel
Système • M15 RSX-DEP
Menace sur le
d’accès du • Pirate Saturation du canal
réseau du
prestataire • Employé du prestataire informatique • Perte de liaison entre les
prestataire D 3. Forte
(SYS_APR) malveillant • M16 RSX-DET serveurs du prestataire
causant une
indisponibilité • Panne de réseau Dégradation d’un
canal informatique
interne Menace sur d’accès au SI externalisé
• M23 PER-MOD 2.
(ORG_INT) l’organisation • Employé peu sérieux • Suppression des
D Influence sur une Significativ
interne causant • Pirate données par le personnel e
personne
une indisponibilité sous influence d’un
pirate
du Menace sur
d’accès au SI externalisé
l’organisation du • Employé du prestataire • M23 PER-MOD 2.
prestataire • Suppression des
(ORG_PRE) prestataire D peu sérieux Influence sur une Significativ
données par le personnel
causant une • Pirate personne e
indisponibilité sous influence d’un
pirate
tierce sur le cloud
bande passante
bande passante
Surexploitation du système du • Manque de compétence du personnel • Ressources allouées par le
prestataire du prestataire prestataire insuffisantes 1. Minime
Cessation d’activité du prestataire • Portabilité des données non assurée • Fébrilité économique du prestataire 2. Significative
Ou
2. Significative
Ou
adéquats Ou
• Matériel peu fiable • Contrôle insuffisant du matériel
3. Forte
catastrophes naturelles • Datacenter dans une zone à risque
• Mauvaise compartimentation du logiciel de catastrophes naturelles
Ou
3. Forte
portail d’accès
Perte de liaison entre les serveurs • Réseau d’accès au cloud unique • Accès à la table de routage
du prestataire • Dimensionnement insuffisant de la • Accès aux utilisateurs 3. Forte
bande passante
2. Significative

Page 33 sur 61
Récupération
Prévention
Protection

1 x x
Protection contre
environnementales
Système
5 x d’accès du
prestataire
11.2 Gestion de
7 l’accès x x
utilisateur
Organisation
11.2 Gestion de
9 l’accès x
utilisateur
d’accès
Organisation
11.3
utilisateurs
d’accès
Système du
prestataire
11.4 Contrôle
12 d’accès au x
réseau
Plan de continuité
prestataire


Récupération

Prévention
Protection

27002 sécurité
Sensibilisation,
Organisation
interne
de l’information
3 8.2 Pendant la Procédures Mettre en place un processus disciplinaire clair pour toute ayant enfreint les x x Organisation
Page 34 sur 61
durée du disciplinaires règles de sécurité pour réduire les risques d’influence et de corruption. Par interne
contrat exemple, les sanctions peuvent être précisées dans une charte définissant les
d’accès interne
6
tiers données
10.2 Gestion de
tiers
Système
10.3
Planification et
acceptation du
système
prestataire
Sauvegarde des
backups
Système
10.10
Surveillance
prestataire
Système
d’accès /
Journal
Système du
Système
opérations
d’accès du
prestataire
Système
d’accès /
Système du
Système
d’accès du
prestataire
10.10 Système
Système du
Protection des
à distance
prestataire
gestion.
Système
d’accès
12.6 Gestion
des Système du
techniques
24 x
Page 35 sur 61
15.1
Conformité
25 avec les x
exigences
légales

Page 36 sur 61
4.1.4 Divulgation des données de sécurité

Système du prestataire – Un pirate récupère les données du portail d’accès permettant un accès à tout le
Portail d’accès système

• Mise en péril du système
d’information externalisé
• Impossibilité de remplir les
obligations légales
Divulgation des données de
ER4 Privé • Pirate • Non-conformité aux labels de sécurité 4. Critique
sécurité
clients
• Chute de valeur en bourse

menace e nce
• Pirate • M14 RSX-ESP Ecoute • Acquisition de données
d’accès réseau internet par écoute passive
• Acquisition de données
d’accès du réseau du • Pirate • M14 RSX-ESP Ecoute
par écoute passive entre
prestataire prestataire C • Employé du prestataire passive d’un canal 3. Forte
les serveurs du
(SYS_APR) causant une malveillant informatique
compromission prestataire
interne l’organisation • M23 PER-MOD
(ORG_INT) interne causant C • Employé malveillant Influence sur une • L’employé se venge 3. Forte
une personne
compromission
du l’organisation du • M23 PER-MOD
prestataire prestataire C • Employé malveillant Influence sur une • L’employé se venge 3. Forte
(ORG_PRE) causant une personne
compromission

3. Forte
prestataire
3. Forte


Récupération

Prévention
Protection


1 x x
9.1 Zones Contrôle physique Protéger les zones sécurisées pas des contrôles à l’entrée adéquats pour Système du
2 X x
sécurisée des accès s’assurer que seul le personnel habilité soit admis. Le prestataire doit donc prestataire
Page 37 sur 61
surveiller et contrôler les accès aux datacenters et doit s’assurer que le

Système
5 x d’accès du
prestataire
11.2 Gestion de
7 l’accès x x
utilisateur
Organisation
11.2 Gestion de
9 l’accès x
utilisateur
d’accès
Organisation
11.3
utilisateurs
d’accès
Système du
prestataire
11.4 Contrôle
12 d’accès au x
réseau

Récupération
Protection
27002 sécurité
Sensibilisation,
Organisation
interne
de l’information
8.2 Pendant la
3 durée du x x
contrat
d’accès interne
10.2 Gestion de
tiers
Sauvegarde des
backups
Système
10.10
Surveillance
prestataire
Système
Journal
d’accès /
12 x x Système du
prestataire /
opérations
Système
Page 38 sur 61
d’accès du
prestataire
Système
d’accès /
Système du
Système
d’accès du
prestataire
10.10 Système
Système du
Protection des
à distance
prestataire
gestion.
Système
d’accès
12.3 Mesures
20 cryptographiqu x
es
Système du
12.3 Mesures
es
d’accès
12.6 Gestion
des Système du
techniques
Protection des
données et
relatives à la vie
privée
libertés.

Page 39 sur 61
4.1.5 Altération des données de sécurité

Système du prestataire – Un administrateur fonctionnel interne ou un pirate modifie le référentiel des identités et
Portail d’accès des droits pour permettre l’accès au système à des personnes non autorisées.

• Pirate • Perte de contrôle sur le système
Altération des données de
ER5 Intègre • Employé peu sérieux d’information externalisé 3. Importante
sécurité
• Employé malveillant • Impossibilité d’assurer le traitement

menace e nce
• Pirate • M13 RSX-USG • Attaque de type Man in
d’accès réseau internet the Middle
I • Concurrent Attaque du milieu sur 3. Forte
altération • Employé malveillant un canal informatique
Système • M13 RSX-USG
d’accès du Menace sur le • Attaque de type Man in
Attaque du milieu sur
prestataire réseau du • Pirate the Middle
un canal informatique
prestataire I • Employé du prestataire • Changement des 3. Forte
(SYS_APR)
causant une • M11 LOG-MOD
malveillant données du portail
altération Modification d’un
d’accès au cloud
logiciel
interne l’organisation Surcharge des rôles entre le personnel
(ORG_INT) I • Employé peu sérieux 1. Minime
interne causant capacités d’une interne et le personnel
une altération personne du prestataire
• M21 PER-DEP • Mauvaise répartition des
du l’organisation du
Surcharge des rôles entre le personnel
prestataire prestataire I • Employé peu sérieux 1. Minime
capacités d’une interne et le personnel
(ORG_PRE) causant une
altération personne du prestataire
3. Forte
portail d’accès
Mauvaise répartition des rôles entre • Manque de compétence du personnel • Partage de l’administration entre le
le personnel interne et le personnel • Négligence du personnel personnel interne et le personnel du 1. Minime


Récupération

Prévention
Protection


1 x x
9.1 Zones Contrôle physique s’assurer que seul le personnel habilité soit admis. Le prestataire doit donc Système du
2 X x
sécurisée des accès surveiller et contrôler les accès aux datacenters et doit s’assurer que le prestataire
Page 40 sur 61
Système
5 x d’accès du
prestataire
11.2 Gestion de
7 l’accès x x
utilisateur
Organisation
11.2 Gestion de
9 l’accès x
utilisateur
d’accès
Organisation
11.3
utilisateurs
d’accès
Système du
prestataire
11.4 Contrôle
12 d’accès au x
réseau

Récupération
Prévention
Protection
27002 sécurité

Sensibilisation,
Organisation
interne
de l’information
8.2 Pendant la
3 durée du x x
contrat
Système
10.10
Surveillance
prestataire
Système
d’accès /
Journal
Système du
Système
opérations
d’accès du
prestataire
Système
d’accès /
Système du
Système
d’accès du
prestataire
Page 41 sur 61
10.10 Système
Système du
Protection des
à distance
prestataire
gestion.
Système
d’accès
12.3 Mesures
20 cryptographiqu x
es
Système du
12.3 Mesures
es
d’accès

Page 42 sur 61
4.1.6 Indisponibilité des données de sécurité

Système du prestataire – Un pirate ou un employé voulant se venger compromet les mécanismes d’accès au
Portail d’accès cloud tels que les référentiels d’identité ou les clés de chiffrement

Indisponibilité des données • Pirate • Perte de contrôle sur le système
ER6 48h 2. Limitée
de sécurité • Employé malveillant d’information externalisé

menace e nce
• M15 RSX-DEP
d’accès • Entreprise tierce d’adresses IP
Menace sur le Saturation du canal
(SYS_AIN) • Pirate • Occupation de la bande
réseau internet informatique 4.
D • Concurrent passante (déni de
causant une • M16 RSX-DET Maximale
indisponibilité • Employé malveillant service)
Dégradation d’un
• Panne de réseau • Rupture du canal d’accès
canal informatique
au cloud
Système • M15 RSX-DEP
Menace sur le
d’accès du • Pirate Saturation du canal
réseau du
prestataire • Employé du prestataire informatique • Perte de liaison entre les
prestataire D 3. Forte
(SYS_APR)
causant une malveillant • M16 RSX-DET serveurs du prestataire
indisponibilité • Panne de réseau Dégradation d’un
canal informatique
interne Menace sur d’accès au SI externalisé
• M23 PER-MOD 2.
(ORG_INT) l’organisation • Employé peu sérieux • Suppression des
D Influence sur une Significativ
interne causant • Pirate données par le personnel
personne e
une indisponibilité sous influence d’un
pirate
du Menace sur
d’accès au SI externalisé
l’organisation du • Employé du prestataire • M23 PER-MOD 2.
prestataire • Suppression des
(ORG_PRE) prestataire D peu sérieux Influence sur une Significativ
données par le personnel
causant une • Pirate personne e
indisponibilité sous influence d’un
pirate
tierce sur le cloud
bande passante
bande passante
Perte de liaison entre les serveurs • Réseau d’accès au cloud unique • Accès à la table de routage
du prestataire • Dimensionnement insuffisant de la • Accès aux utilisateurs 3. Forte
bande passante
2. Significative

Page 43 sur 61
Récupération
Prévention
Protection

1 x x
Système
5 x d’accès du
prestataire
11.2 Gestion de
7 l’accès x x
utilisateur
Organisation
11.2 Gestion de
9 l’accès x
utilisateur
d’accès
Organisation
11.3
utilisateurs
d’accès
Système du
prestataire
11.4 Contrôle
12 d’accès au x
réseau
Plan de continuité
prestataire


Récupération

Prévention
Protection

27002 sécurité
Sensibilisation,
Organisation
interne
de l’information
8.2 Pendant la
3 durée du x x
contrat
8.3 Fin ou Retrait des droits Les droits d'accès de tout utilisateur ou administrateur aux données et aux Organisation
4 x
modification de d’accès logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas interne
Page 44 sur 61
6
10.2 Gestion de
tiers
Système
10.3
Planification et
acceptation du
système
prestataire
Sauvegarde des
backups
Système
10.10
Surveillance
prestataire
Système
d’accès /
Journal
Système du
Système
opérations
d’accès du
prestataire
Système
d’accès /
Système du
Système
d’accès du
prestataire
10.10 Système
Système du
Protection des
à distance
prestataire
gestion.
Système
d’accès
12.6 Gestion
des Système du
techniques
24 x
15.1
Conformité
25 avec les x
exigences
légales

Page 45 sur 61
Page 46 sur 61
4.1.7 Divulgation de la fonction de traitement des données de déclaration de

sinistre
La divulgation de la fonction de traitement est considérée comme insignifiante dans le contexte de cette
étude. Le risque n’est donc pas considéré.

Divulgation de la fonction • Employé du prestataire 0.
ER7 Réservé • Perte d’un avantage concurrentiel
de traitement malveillant Insignifiant
• Pirate
Page 47 sur 61
4.1.8 Dysfonctionnement de la fonction de traitement des données de

déclaration de sinistre
L’altération de la fonction de traitement est considérée comme insignifiante dans le contexte de cette étude.
Le risque n’est donc pas considéré.

• Traitement des données non valide
Altération de la fonction de • Employé du prestataire 0.
ER8 Intègre clients
traitement malveillant Insignifiant
• Pirate
• Perte de crédibilité
Page 48 sur 61
4.1.9 Arrêt de la fonction de traitement des données de déclaration de sinistre

Système du prestataire – Le Cloud Provider a mal estimé les ressources à allouer et provoque une indisponibilité
Logiciel d’administration du du système d’information.
prestataire
Système d’accès du Une panne dans le réseau du prestataire empêche l’accès au cloud.
prestataire – Réseau du
prestataire
Système d’accès du Un employé malveillant provoque une perte de liaison entre les serveurs du prestataire
prestataire – Réseau du et empêche l’accès au cloud.
prestataire
Système du prestataire – Le Cloud Provider fait faillite alors que la portabilité des données, des applications et
Logiciel d’administration du des services n’est pas assurée.
prestataire
Système d’accès – Réseau Un pirate, un concurrent ou un employé souhaitant se venger provoque un déni de
internet service empêchant l’accès au cloud.
Système d’accès – Réseau Une panne de réseau empêche l’accès au cloud.
internet

• Mauvaise gestion du
prestataire • Impossibilité d’assurer le traitement
Indisponibilité de la fonction • Pirate • Perte de confiance vis-à-vis des
ER9 24h 3. Importante
de traitement • Concurrent clients
• Employé malveillant • Perte de notoriété
• Panne de réseau

menace e nce
Système du • M9 LOG-DEP
prestataire Dépassement des
(SYS_EXT) • Employé du prestataire limites d’un logiciel
peu sérieux • M12 LOG-PTE
• Surexploitation du
• Employé du prestataire Disparition d’un
système du prestataire
malveillant logiciel
• Cessation d’activité du
• Décision du cloud • M6 MAT-PTE Perte
Menace sur le prestataire
provider d’un matériel
système du • Serveurs du prestataire
• Concurrent • M7 LOG-USG
prestataire D saisis par la justice 3. Forte
• Pirate Détournement de
causant une • Perte ou effacement des
indisponibilité • Hébergeur/Faille dans l’usage prévu d’un
données
l’application logiciel
• Changement des
• Décision de justice • M4 MAT-PTE
données du portail
• Panne de matériel Détérioration d’un
d’accès au cloud
• Bogue logiciel matériel
• Catastrophe naturelle • M11 LOG-MOD
Modification d’un
logiciel
Surexploitation du système du • Manque de compétence du personnel • Ressources allouées par le

prestataire du prestataire prestataire insuffisantes 1. Minime
Cessation d’activité du prestataire • Portabilité des données non assurée • Fébrilité économique du prestataire 2. Significative
Ou
2. Significative
Ou
adéquats Ou
• Matériel peu fiable • Contrôle insuffisant du matériel 3. Forte
Page 49 sur 61

catastrophes naturelles • Datacenter dans une zone à risque
• Mauvaise compartimentation du logiciel de catastrophes naturelles
Ou
3. Forte
portail d’accès

Récupération
Prévention
Protection

1 x x
Protection contre
environnementales
Système
5 x d’accès du
prestataire
11.2 Gestion de
7 l’accès x x
utilisateur
Organisation
11.2 Gestion de
9 l’accès x
utilisateur
d’accès
Organisation
11.3
utilisateurs
d’accès
Système du
prestataire
11.4 Contrôle
12 d’accès au x
réseau
Plan de continuité
prestataire

Page 50 sur 61
Récupération
Prévention
Protection
27002 sécurité
Sensibilisation,
Organisation
interne
de l’information
8.2 Pendant la
3 durée du x x
contrat
d’accès interne
6
tiers données
Système
10.3
Planification et
acceptation du
système
prestataire
Sauvegarde des
backups
Système
10.10
Surveillance
prestataire
Système
d’accès /
Journal
Système du
Système
opérations
d’accès du
prestataire
Système
d’accès /
Système du
Système
d’accès du
prestataire
12.6 Gestion
des Système du
techniques
24 x
15.1
Conformité
25 avec les x
exigences
légales
Page 51 sur 61

Page 52 sur 61
4.2 Identification des objectifs de sécurité

L’assureur décide de réduire tous les risques jugés comme significatifs ou intolérables. Tous les risques ont
au moins le niveau de gravité significatif et ils seront donc tous réduits.
Le tableau suivant présente les objectifs de sécurité identifiés :
Risque Evitement Réduction Prise Transfert

Divulgation des données de déclaration de sinistre x
Altération des données de déclaration de sinistre x
Indisponibilité des données de déclaration de sinistre x
Divulgation des données de sécurité x
Altération des données de sécurité x
Indisponibilité des données de sécurité x
Indisponibilité de la fonction de traitement des données de
déclaration de sinistre
x
Page 53 sur 61
4.3 Identification des risques résiduels

A l’issue de l’identification des objectifs de sécurité, l’organisation a mis en évidence les risques résiduels
suivants :
Risques résiduels Gravité Vraisemblance

Divulgation des données de déclaration de sinistre 2. Significatif 2. Significatif
Altération des données de déclaration de sinistre 2. Significatif 2. Significatif
Indisponibilité des données de déclaration de sinistre 3. Forte 3. Forte
Divulgation des données de sécurité 2. Significatif 2. Significatif
Altération des données de sécurité 2. Significatif 2. Significatif
Indisponibilité des données de sécurité 2. Significatif 3. Forte
Indisponibilité de la fonction de traitement des données
3. Forte 3. Forte
de déclaration de sinistre
Page 54 sur 61
5 Module 5 - Étude des mesures de sécurité
5.1 Définition des mesures de sécurité
Récupération
Prévention
Protection
N° Thème ISO 27002 Mesure de sécurité Description Bien support
Il convient de définir clairement toutes les responsabilités en matière de Organisation

Attribution des responsabilités
sécurité de l’information. La répartition des responsabilités entre le interne /
1 6.1 Organisation interne en matière de sécurité de x
personnel interne et le personnel du prestataire doit être formalisée et Organisation
l’information
respectée. externe
Le personnel interne doit être formé aux bonnes pratiques de sécurité. Il
Sensibilisation, qualification et
8.2 Pendant la durée du doit avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela Organisation
2 formations en matière de x x
contrat passe par des sessions de formation et des missives d’information interne
sécurité de l’information
concernant la sécurité.
Mettre en place un processus disciplinaire clair pour toute ayant enfreint
8.2 Pendant la durée du les règles de sécurité pour réduire les risques d’influence et de Organisation
3 Procédures disciplinaires x x
contrat corruption. Par exemple, les sanctions peuvent être précisées dans une interne
charte définissant les engagements de responsabilités.
Les droits d'accès de tout utilisateur ou administrateur aux données et
8.3 Fin ou modification de Organisation
4 Retrait des droits d’accès aux logiciels doivent être supprimés en fin de contrat ou doivent être x
contrat interne
modifiés en cas de changement de contrat ou de responsabilités.
Vérifier tout le matériel contenant des supports de stockage pour
s’assurer que toute donnée sensible a bien été supprimée et que tout
Mise au rebut ou recyclage logiciel sous licence a bien été désinstallé ou écrasé de façon Système du
5 9.2 Sécurité du matériel x x
sécurisé du matériel sécurisée, avant sa mise au rebut. Le prestataire devra préciser les prestataire
mesures mises en œuvre pour assurer la mise au rebut de ses
matériels.
S’assurer que les mesures de sécurité, les définitions du service et les
niveaux de prestation prévus dans l’accord de prestation de service
10.2 Gestion de la prestation tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Système du
6 Prestation de service et contrat
de service par un tiers Notamment, le contrat de prestation de service doit inclure les éléments prestataire
liés à la journalisation d’évènements, au suivi du service hébergé (mise
à jour, maintenances, sauvegardes…), aux modalités de prévention
Page 55 sur 61
d’une attaque et à la réaction suite à un incident.
Le contrat de prestation de service doit préciser les conditions de

10.2 Gestion de la prestation Clause contractuelle de restitution des données (conditions, délais, formats) pour permettre le Système du
7 x x
de service par un tiers restitution des données rapatriement des données ou le changement de prestataire sans prestataire
interruption de service.
Gérer les changements effectués dans la prestation de service,
comprenant le maintien et l’amélioration des politiques, procédures et
10.2 Gestion de la prestation Gestion des modifications dans Système du
8 mesures existantes. Notamment, le contrat doit permettre la validation x x
de service par un tiers les services tiers prestataire
des choix du prestataire lors de la mise en œuvre de nouvelles
solutions logicielles ou matérielles (pour éviter la perte de sécurité).
Les ressources doivent correspondre aux besoins. Il est nécessaire de Système d’accès /
faire des projections et des tests de performance pour connaître les Système du
10.3 Planification et
9 Dimensionnement limites du système et pouvoir anticiper toute surcharge. Ainsi, le x prestataire /
acceptation du système
prestataire doit s’assurer que les ressources allouées aux différents Système d’accès
utilisateurs du service sont suffisantes pour couvrir les besoins. du prestataire
Le prestataire doit prendre toutes les mesures qui s’imposent en termes
de sauvegarde et de restauration pour se conformer au niveau de
Sauvegarde des informations - Système du
10 10.5 Sauvegarde service exigé. Il doit notamment effectuer un double exemplaire des x x x
backups prestataire
sauvegardes et doit les conserver dans des locaux physiquement
séparés.
Protection des équipements de journalisation et les informations
Système d’accès /
journalisées contre le sabotage et les accès non autorisés. Analyser les
Système du
Protection des informations journaux à l’aide d’un logiciel de contrôle de l’intégrité des fichiers ou de
11 10.10 Surveillance x x prestataire /
journalisées détection des modifications pour s’assurer que les données contenues
Système d’accès
dans les journaux ne peuvent pas être modifiées sans entraîner le
du prestataire
déclenchement d’une alerte.
Système du
Journal administrateur et La journalisation des opérations des administrateurs permet de garder
12 10.10 Surveillance x x prestataire /
journal des opérations une trace des actions des administrateurs.
Système d’accès
du prestataire
Système du
Journaliser et analyser les éventuels défauts et prendre les mesures
13 10.10 Surveillance Rapports de défaut x x prestataire /
appropriées.
Système d’accès
du prestataire
La passerelle d’accès au cloud doit être soumise à un audit régulier
Audit de la passerelle d’accès
14 10.10 Surveillance (annuel) pour vérifier que les mesures de sécurité sont effectives et en x Système d’accès
au cloud
adéquation avec les objectifs de sécurité.
Protection des ports de Système du
11.4 Contrôle d’accès au Le prestataire doit contrôler l’accès physique et logique aux ports de
15 diagnostic et de configuration à x x prestataire /
réseau diagnostic et de configuration à distance.
distance Système d’accès
Page 56 sur 61
du prestataire
Pour les réseaux partagés, en particulier les réseaux qui s’étendent au-
delà des limites de l’organisme du prestataire, il convient de vérifier que
11.4 Contrôle d’accès au Mesure relative à la connexion Système d’accès
16 le prestataire restreigne la capacité de connexion réseau des x x
réseau réseau du prestataire
utilisateurs, conformément à la politique de contrôle d’accès et les
exigences relatives aux applications de gestion.
S’assurer que l’organisation mette en œuvre des mesures de routage
11.4 Contrôle d’accès au Contrôle du routage réseau des réseaux afin d’éviter que les connexions réseau et les flux
17 x x Système d’accès
réseau interne d’informations ne portent atteinte à la politique de contrôle d’accès des
applications de gestion.
S’assurer que le prestataire mette en œuvre des mesures de routage
11.4 Contrôle d’accès au Contrôle du routage réseau du des réseaux afin d’éviter que les connexions réseau et les flux Système d’accès
18 x x
réseau prestataire d’informations ne portent atteinte à la politique de contrôle d’accès des du prestataire
applications de gestion.
Elaboration et mise en œuvre d’une politique d’utilisation des mesures
12.3 Mesures Politique d’utilisation des Système du
19 cryptographiques en vue de protéger l’information. Par exemple, x
cryptographiques mesures cryptographiques prestataire
employer un logiciel de chiffrement des données externalisées.
12.3 Mesures Les flux contenant des informations sensibles ou à caractère personnel
20 Chiffrement des flux x Système d’accès
cryptographiques doivent être chiffrées.
Système du
12.3 Mesures Une procédure de gestion des clés doit venir à l’appui de la politique de
21 Gestion des clés x prestataire /
cryptographiques l’organisme en matière de chiffrement.
Système d’accès
Le prestataire doit tenir informé l’organisation (assureur) en temps voulu
de toute vulnérabilité technique des systèmes d’information en
12.6 Gestion des Mesures relatives aux Système du
22 exploitation, évaluer l’exposition de l’organisation auxdites vulnérabilités x
vulnérabilités techniques vulnérabilités techniques prestataire
et entreprendre les actions appropriées pour traiter le risque associé.
Cette démarche doit être formalisée dans le contrat de service.
Le prestataire doit satisfaire les exigences de protection et de
confidentialité des données à caractère personnel telles que l’exigent la
Protection des données et législation ou les réglementations applicables.
15.1 Conformité avec les Système du
23 confidentialité des informations Le transfert des données à caractère personnel en dehors des x
exigences légales prestataire
relatives à la vie privée frontières de l’Union européenne est réglementé par la directive
européenne 95/46/CE et la loi n°78-17 du 6 janvier 1978 modifiée
relative à l’informatique, aux fichiers et aux libertés.
L’hébergement doit être réalisé sur une ou plusieurs machines
spécifiques (non mutualisé). Ainsi, les données de l’organisation
Système du
24 Hébergement non mutualisé (assureur) ne risquent pas de subir les conséquences d’une activité x
prestataire
frauduleuse d’un autre client du cloud. Les problèmes de
compartimentation sont de plus écartés.
15.1 Conformité avec les Le prestataire doit être en mesure d’indiquer la localisation des données Système du
25 Localisation des données x
exigences légales pour informer l’organisation prestataire
Page 57 sur 61
5.2 Analyse des risque résiduels
Divulgation des données de déclaration de sinistre

Altération des données de déclaration de sinistre

Indisponibilité des données de déclaration de sinistre

Divulgation des données de sécurité

Altération des données de sécurité

Indisponibilité des données de sécurité

Arrêt de la fonction de traitement des données de déclaration de sinistre

Page 58 sur 61
5.3 Déclaration d’applicabilité
5.4 Mise en œuvre des mesures de sécurité
Page 59 sur 61
Formulaire de recueil de commentaires

Ce formulaire peut être envoyé à l'adresse suivante :

Agence nationale de la sécurité des systèmes d'information
51 boulevard de La Tour-Maubourg
75700 PARIS 07 SP
[email protected]
Identification de la contribution
Nom et organisme (facultatif) : ..................................................................................................................
Adresse électronique : ...............................................................................................................................
Date : .........................................................................................................................................................
Remarques générales sur le document

Le document répond-il à vos besoins ? Oui Non
Si oui :
Pensez-vous qu'il puisse être amélioré dans son fond ? Oui Non
Si oui :
Qu'auriez-vous souhaité y trouver d'autre ?

.................................................................................................................
.................................................................................................................
Quelles parties du document vous paraissent-elles inutiles ou mal

adaptées ?
.................................................................................................................
.................................................................................................................
Pensez-vous qu'il puisse être amélioré dans sa forme ? Oui Non
Si oui :
Dans quel domaine peut-on l'améliorer ?

- lisibilité, compréhension
- présentation
- autre
Précisez vos souhaits quant à la forme :

.................................................................................................................
.................................................................................................................
Si non :
Précisez le domaine pour lequel il ne vous convient pas et définissez ce qui vous
aurait convenu :
..........................................................................................................................................
..........................................................................................................................................
Quels autres sujets souhaiteriez-vous voir traiter ?

..........................................................................................................................................
..........................................................................................................................................
Page 60 sur 61
Remarques particulières sur le document

Des commentaires détaillés peuvent être formulés à l'aide du tableau suivant.
"N°" indique un numéro d'ordre.
"Type" est composé de deux lettres :
La première lettre précise la catégorie de remarque :
- O Faute d'orthographe ou de grammaire
- E Manque d'explications ou de clarification d'un point existant
- I Texte incomplet ou manquant
- R Erreur
La seconde lettre précise son caractère :
- m mineur
- M Majeur
"Référence" indique la localisation précise dans le texte (numéro de paragraphe, ligne…).
"Énoncé de la remarque" permet de formaliser le commentaire.
"Solution proposée" permet de soumettre le moyen de résoudre le problème énoncé.
N° Type Référence Énoncé de la remarque Solution proposée

1
Merci de votre contribution
Page 61 sur 61

Logiciel Ebios Etudedecassc3a9curitc3a9servicecloud 2011 07 E280a6

Transféré par

Droits d'auteur :

Formats disponibles

Logiciel Ebios Etudedecassc3a9curitc3a9servicecloud 2011 07 E280a6

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Logiciel Ebios Etudedecassc3a9curitc3a9servicecloud 2011 07 E280a6

Transféré par

Droits d'auteur :

Formats disponibles

PREMIER MINISTRE

Secrétariat général de la défense et de la sécurité nationale

Version du 20 juillet 2011

Secrétariat général de la défense et de la sécurité nationale

Historique des modifications

20/07/2011 Création du document Validé

Table des matières

3 MODULE 3 – ÉTUDE DES SCENARIOS DE MENACES............................................................ 13

1 Module 1 – Etude du contexte

1.1 Activité 1.1 – Définir le cadre de la gestion des risques

1.1.1 Identifier les sources de menaces

Types de sources de menaces Retenu Exemple

1.2 Activité 1.2 – Préparer les métriques

Critères de sécurité Définitions

Niveau de l’échelle Description détaillée de l’échelle

Niveau de l’échelle Description détaillée de l’échelle

Niveau de l’échelle Description détaillée de l’échelle

1.2.2 Activité 1.2.2 –Elaborer une échelle de niveaux de gravité

Niveau de l’échelle Description détaillée de l’échelle

1.2.3 Activité 1.2.3 –Elaborer une échelle de niveaux de vraisemblance

Niveau de l’échelle Description détaillée de l’échelle

1.2.4 Echelle de niveaux de risque

1.2.5 Critères de gestion des risques

Ce point sera à complété avec le logiciel.

1.3 Activité 1.3 – Identifier les biens

1.3.1 Biens essentiels

• Système • Données de déclaration de sinistre

1.3.2 Biens supports

• Système d’accès • Réseau de l’organisme

1.3.3 Liens entre biens supports et biens essentiels

Biens essentiels Données de Données de Traitement des

1.3.4 Mesures de sécurité existantes

Protéger les zones contenant des informations et des moyens de

2 Module 2 – Étude des évènements redoutés

Gravité Evénements redoutés

• ER2 Altération des données

• ER3 Indisponibilité des données

• ER7 Divulgation de la fonction de traitement

3 Module 3 – Étude des scénarios de menaces

3.1 Système d’accès (SYS_AIN)

Menace Vulnérabilités Pré-requis Vraisemblance

Mesures de sécurité existantes

Thème ISO Mesures de Récupération

N° Description Bien support

Mesures de sécurité complémentaires

Thème ISO Mesures de

N° Description Bien support

3.2 Système du prestataire (SYS_EXT)

Menace Vulnérabilités Pré-requis Vraisemblance

Surexploitation du système du • Manque de compétence du personnel • Ressources allouées par le prestataire

Collecte de données d’accès au SI • SI du sous-traitant mal sécurisé • Accès physique ou logique au SI du

Mesures de sécurité existantes

Protéger les zones contenant des informations et des moyens de traitement de

Mesures de sécurité complémentaires

Thème ISO Mesures de

N° Description Bien support

10.2 Gestion de Clause

3.3 Système d’accès du prestataire (SYS_APR)

Menace Vulnérabilités Pré-requis Vraisemblance