Cyber Defense Table Des Matieres

AFRICOM J6

Kelley Barracks

CYBERSECURITE HANDBOOK

ANNEE FISCALE 2016

CYBER DEFENSE TABLE DES MATIERES

Contenu :

Re sume exe cutif ______1 Objectif______2 Aperçu sur la cyberse curite ______3 Le cadre de la cyberse curite ______6 Gestion des cyber-risques ______14 Menaces et vulne rabilite s ______18 Politique ______22 Re fe rences : ______24 Glossaire ______26 Appendice A : Techniques pour atte nuer les menaces internes ______29 Appendice B : Mode le d'un plan pour le de veloppement et la mise en place d'une politique cyber ______31 Appendice C : Politique pour l'identification et l'authentification (Mots de passe) ______38 Appendice D : Protection contre le malware ______40 Appendice E : La de fense approfondie ______42 Appendice F : Outils de cyberse curite a acce s libre ______44 Appendice G : Formation ______46 Appendice H : Centre d'ope rations de cyberse curite (CSOC) ______48 Mode le de maturite de cyberse curite ______52

RESUME EXECUTIF

Re sume exe cutif

La cyberse curite se de finit comme la protection des syste mes d'information contre le vol des ou les dommages aux mate riels, aux logiciels, aux informations traite es dans ces syste mes et contre l'interruption ou la manipulation des services fournis par ceux-ci. Elle comprend le contro le de l'acce s physique aux mate riels ainsi que la protection contre des possibles dommages provoque s par des acce s au re seau, l'introduction des donne es ou des injections de code. Elle cherche a sensibiliser les utilisateurs en matie re de proce dures de se curite afin d'e viter des violations de se curite intentionnelles ou accidentelles.

La cyberse curite est devenue de plus en plus importante du fait de l'utilisation accrue des syste mes informatiques dans la plupart des socie te s. Les re seaux comprennent non seulement l'Internet et les re seaux des donne es prive s mais aussi les re seaux Bluetooth, Wi-Fi et d'autres re seaux sans fil. Dans le cadre de ces re seaux, "l'infrastructure essentielle" se de finit par les syste mes et les moyens physiques ou virtuels qui reve tent d’une telle importance que l’incapacite ou la destruction de ceux-ci provoquerait des effets de bilitants sur la se curite , la se curite e conomique nationale, la sante et la su rete publiques nationales ou bien sur une combinaison de ces secteurs. En raison de la pression accrue des menaces externes et internes, les organisations charge es des infrastructures essentielles doivent appliquer une approche durable et permanente pour identifier, e valuer et ge rer les risques dans le domaine de la cyberse curite . Une telle approche est ne cessaire, quelle que soit la taille de l'organisation, la menace qui se pose ou la sophistication actuelle de la cyberse curite .

La cyberse curite est une question a traiter au niveau exe cutif. Les risques des attaques informatiques touchent les fonctions tant militaires que civiles. E tant donne s les enjeux et la prise des de cisions ne cessaires pour de velopper une re sistance en matie re de cyberse curite , l'engagement et l'appui agissants des plus hauts responsables sont indispensables.

Page 1 OBJECTIF

Objectif

Ce manuel a pour objectif de pre senter un aperçu sur le processus du de veloppement d'un programme de cyberse curite axe sur le personnel, les processus et les technologies ne cessaires pour la protection des ope rations, des informations et des infrastructures informatiques. Le manuel est conçu pour fournir des informations de base, des ressources et des conseils aux hauts responsables et aux spe cialistes en cyberse curite afin de faciliter le de veloppement et la gestion efficaces de leurs programmes de cyberse curite . La cyberse curite est essentielle a la disponibilite , l'inte grite et la confidentialite des informations et des syste mes d'information (SIC). Afin d'aider nos partenaires a e valuer leur niveau de maturite "cyber", ce manuel fournit un mode le de progression a volets qui facilite la mesure et la gestion des cyber-risques. Ce manuel constitue e galement une ressource commune pour permettre la collaboration des cyber- spe cialistes a travers les frontie res nationales et organisationnelles ainsi facilitant l'e tablissement des programmes de cyberse curite plus efficaces. Il est un e le ment essentiel qui favorise les capacite s des SIC de soutenir d'une façon fiable la mission de l'organisation, de prote ger les informations essentielles et de lutter contre les adversaires dans le domaine du cyberespace.

Ce sera un document e volutif, re gulie rement mis a jour d'apre s les exigences de la communaute avec les changements, les meilleures pratiques, et les leçons apprises.

Page 2 APERÇU SUR LA CYBERSECURITE

Aperçu sur la cyberse curite

La plupart des organisations, en particulier les forces arme es, profitent des infrastructures SIC pour assurer la planification, la prise des de cisions et la gestion. Les activite s re alise es dans les infrastructures SIC peuvent se de rouler a travers les pays et les re gions, aux organisations importantes ou bien au niveau des ope rations tactiques. Les risques de cyberse curite et les possibles impacts augmentent en fonction de l'utilisation accrue des SIC.

L'utilisation des ressources et des infrastructures SIC commerciales, telles que l'Internet, les dispositifs mobiles, les services cloud, et les me dias sociaux, ame liore les capacite s organisationnelles et le partage d'informations. L'utilisation des ressources et des infrastructures SIC augmente la possibilite des attaques parce que ces ressources commerciales pourraient permettre aux utilisateurs non autorise s d'acce der aux syste mes avec des vulne rabilite s. Des activite s re centes mondiales de montrent la façon dont les hackers ont vole , manipule ou de truit des donne es et des logiciels afin de leur permettre l'acce s non autorise futur aux re seaux ou aux syste mes ou bien de les rendre non ope rationnels. Les violations de la se curite des re seaux peuvent cou ter aux organisations des millions de dollars en matie re d'activite s de re action et en termes de pertes de productivite et des donne es. Ensuite, et surtout dans les ope rations militaires, une perte ou une compromission des informations peuvent constituer un avantage pour les adversaires qui provoquerait la perte des vies ou bien des ressources pre cieuses.

La cyberse curite constitue une approche pour prote ger la confidentialite , l'inte grite , la disponibilite , la non re pudiation et l'authentification des donne es nume riques (voir la Graphique 1). La cyberse curite est essentielle au succe s de la mission et a la disponibilite des ressources SIC exige es pour re aliser les ope rations Figure 1 - Aspects de la cyberse curite quotidiennes. Un processus de

Page 3 APERÇU SUR LA CYBERSECURITE

gestion des risques peut e tre adapte a l'organisation particulie re afin de faciliter l'identification des menaces, des vulne rabilite s et des techniques pour atte nuer des risques. Il n'existe aucun plan spe cifique ni aucune approche particulie re mais on peut tirer profit des principes essentiels pour ame liorer la cyberse curite et la sensibilisation a travers l'organisation. Il s'agit d'une compre hension des niveaux des risques existants et puis la de termination des priorite s de l'investissement et du de veloppement selon les principes de cyberse curite . Les hauts responsables doivent e tablir les priorite s en matie re de questions de cyberse curite a traitre, les capacite s de l'organisation par rapport a ses questions et ce dont l'organisation doit faire pour renforcer de telles capacite s.

Figure 2 Modèle pour la gestion des cyber-risques (source FFIEC) Un programme efficace de cyberse curite implique une combinaison du personnel, des processus et des technologies pour de velopper une de fense en profondeur. Il doit e tre adapte aux besoins et aux ressources particuliers de l'organisation.

Personnel : La re alisation des objectifs en matie re de cyberse curite commence avec les hauts responsables et leur appui du programme. Ensuite, on doit assurer l'attribution efficace des ro les et des responsabilite s, l'allocation des ressources, la formation et la responsabilisation personnelle.

Page 4 APERÇU SUR LA CYBERSECURITE

Processus : Afin d'assurer la protection durable de l'organisation, les responsables doivent de velopper et garantir l'application des politiques, de proce dures, des analyses et des processus d'audit dans le domaine cyber.

Technologies : Il existe une vaste gamme des technologies conçues pour offrir les services de cyberse curite . E tant donne es les capacite s des adversaires d'exe cuter des attaques venant de plusieurs sources, soit des individus a l'inte rieur ou de l'exte rieur des organisations, ces dernie res doivent imple menter des me canismes de protection aux plusieurs niveaux afin de repousser des divers vecteurs d'attaque.

Page 5 LE CADRE DE LA CYBERSECURITE

Le cadre de la cyberse curite

En 2014, le National Institute of Standards and Technology (l'Instut National des Standards et des Technologies ou NIST) a publie le document “Framework for Improving Critical Infrastructure Cybersecurity” (Un cadre pour l'ame lioration de la cyberse curite des infrastructures essentielles). On a re dige et publie ce document afin d'offrir des normes industrielles et des meilleures pratiques pour aider des organisations a ge rer les cyber-risques. E tant donne es les menaces et les vulne rabilite s accrues en conse quence de la de pendance croissante sur l'infrastructure informatique, de la complexite de celle-ci et des besoins en connectivite , on doit tirer profit d'un cadre de cyberse curite commun conçu en fonction des risques pertinents.

Cette section fournit des extraits et souligne des e le ments essentiels du Cadre de cyberse curite du NIST. Il est conseille aux hauts responsables de profiter du cadre afin d'e tablir, d'ame liorer ou de maintenir un programme de cyberse curite . Le cadre constitue e galement un point de de part pour la collaboration et la coope ration entre les organisations et les partenaires internationaux.

APERÇU SUR LE CADRE DE CYBERSECURITE Le Cadre permet aux organisations - quels que soient le degre de cyber-risques, la taille et la sophistication de cyberse curite de l'organisation - d'appliquer les principes et les meilleures pratiques pour la gestion de risques ainsi ame liorant la se curite et la re sistance des infrastructures essentielles. Le Cadre fournit une organisation et une structure pour des multiples approches de cyberse curite actuelles en regroupant des standards, des conseils et des pratiques e prouve s dans l'industrie. Le Cadre offre e galement un langage commun qui favorise la compre hension, la gestion et la Figure 3 - Aperçu sur le Cadre de gestion des risques du communication interne et externe des NIST

Page 6 LE CADRE DE LA CYBERSECURITE

risques en cyberse curite . En outre, ses re fe rences aux normes de cyberse curite mondialement reconnues se font du Cadre un bon outil pour les organisations situe es a l'exte rieur des E tats-Unis et un mode le pour la coope ration internationale qui vise le renforcement de la cyberse curite .

Le cadre ne constitue pas une approche unique pour la gestion des cyber-risques des infrastructures essentielles. Chaque organisation fera face aux risques particuliers - des menaces, des vulne rabilite s et des tole rances aux risques diffe rentes - et la manie re dont elle imple mente les pratiques du Cadre variera selon ces particularite s. Afin d'optimiser la rentabilite , les organisations peuvent de terminer les activite s les plus importantes par rapport aux prestations des services et identifier leurs investissements prioritaires. En fin de compte, le Cadre a pour objectif la re duction des cyber-risques et la gestion ame liore e de ceux-ci.

Le fondement du Cadre est un ensemble des activite s de cyberse curite , des re sultats et des re fe rences informatives communes a travers tous les secteurs responsables des infrastructures essentielles qui offre des conseils pre cis sur le de veloppement des Profils individuels des organisations. A travers ces Profils particuliers, le Cadre aide a l'organisation d'adapter ses activite s de cyberse curite aux exigences ope rationnelles, aux tole rances des risques et aux ressources. Les "Tiers" (niveaux) constituent un me canisme pour faciliter la manie re dont les organisations voient et comprennent les caracte ristiques de leur approche de gestion des cyber-risques.

A partir de ces normes, ces conseils et ces pratiques, le Cadre fournit aux organisations une taxinomie et un me canisme commun pour :

1) De crire leur posture actuelle en matie re de cyberse curite .

2) De crire leur e tat final souhaite en matie re de cyberse curite .

3) Identifier des possibles ame liorations et e tablir les priorite s en fonction de celles dans le cadre d'un processus permanent continu.

4) E valuer le progre s par rapport a l'e tat final souhaite .

5) Communiquer entre les parties prenantes internes et externes sur le sujet des cyber- risques.

Page 7 LE CADRE DE LA CYBERSECURITE

LE FONDEMENT DU CADRE DE CYBERSECURITE Le fondement du Cadre de cyberse curite ("fondement") sert a pre senter des standards de l'industrie, des conseils et des meilleures pratiques de manie re a permettre la communications en matie re d'activite s de cyberse curite et de re sultats de celles-ci partout dans l'organisation, du niveau des hauts responsables au niveaux de l'imple mentation et des ope rations. Le fondement du Cadre comprend cinq fonctions permanentes qui se de roulent simultane ment: Identifier, Prote ger, De tecter, Re agir, Se remettre. Bien qu'elles ne remplacent pas un processus de gestion des risques, ces cinq fonctions principales permettent aux hauts responsables et aux autres de comprendre clairement les concepts essentiels par rapport aux cyber-risques ainsi favorisant la manie re dont une organisation e value son processus de gestion des risques identifie s et sa conformite aux standards, aux conseils et aux meilleurs pratiques en matie re de cyberse curite . L'ensemble de ces fonctions constitue un aperçu global du cycle de vie de la gestion des cyber-risques chez une organisation.

• Identifier – De velopper la compre hension de l'organisation afin d'assurer la gestion des cyber-risques pose s aux syste mes, aux moyens, aux donne es et aux capacite s. Les activite s lie es a la fonction "Identifier" sont essentielles a l'utilisation efficace du Cadre. La compre hension du contexte commercial, des ressources qui appuient les fonctions essentielles et des cyber-risques permet aux organisations de mieux concentrer leurs activite s et d'e tablir des priorite s de celles-ci en fonction de la strate gie pour la gestion des risques et des besoins commerciaux. • Protéger – De velopper et imple menter les sauvegardes approprie es afin d'assurer la prestation des services apporte s par les infrastructures essentielles. La fonction "Prote ger" favorise la capacite de limiter ou de circonscrire les possibles impacts d'un e ventuel incident de cyberse curite . • Détecter – De velopper et imple menter les activite s approprie es ne cessaires pour identifier les incidents en matie re de cyberse curite . La fonction "De tecter" permet la de couverte au moment opportun des incidents de cyberse curite . • Répondre – De velopper et imple menter les activite s approprie es ne cessaires pour prendre des mesures une fois l'incident de cyberse curite est de tecte .

Page 8 LE CADRE DE LA CYBERSECURITE

• Se remettre - De velopper et imple menter les activite s approprie es pour faire respecter les plans de re silience et pour re tablir des capacite s ou des services perdus lors de l'incident cyber.

LES NIVEAUX DU CADRE DE CYBERSECURITE Les Niveaux de la mise en œuvre du Cadre se re fe rent a la manie re dont une organisation perçoit les cyber-risques et ses processus de gestion des risques. Les Niveaux vont de "Partiel" (Niveau 1) au "Capacite d'adaptation" (Niveau 4) et ils de finissent le degre de rigueur exerce par l'organisation et la sophistication de ses pratiques de gestion des cyber-risques. Le Niveau particulier est se lectionne selon un processus qui implique l'examen des pratiques de gestion des risques, des menaces actuelles, des cadres juridiques et re glementaires applicables, des objectifs de l'entreprise et de ses missions et d'autres contraints particuliers de l'organisation. L'organisation doit de terminer le Niveau souhaite en s'assurant que ce Niveau atteindra les buts de l'organisation, que son exe cution est faisable, et qu'il sert a diminuer le risque pose aux moyens et a ressources essentielles a un niveau acceptable pour l'organisation.

Les Niveaux ne repre sentent pas le niveau de maturite de l'organisation, mais on encourage les organisations de Niveau 1 (Partiel) de viser a une capacite de Niveau 2, au moins. Une progression vers les Niveaux plus hauts est encourage e et surtout si un tel changement sert a re duire les cyber-risques d'une façon rentable et efficace.

Niveau 1: Partiel

Processus de gestion des risques - Les pratiques exerce es par l'organisation pour ge rer les cyber-risques ne sont pas formalise es. On ge re les risques de manie re ad hoc et parfois re active. Les priorite s des activite s de cyberse curite ne sont pas force ment e tablies selon les objectifs de l'organisation, les menaces actuelles ou les exigences de l'entreprise et ses missions.

Programme inte gre de gestion des risques - On constate une faible conscience des risques chez le personnel de l'organisation et l'organisation n'a pas encore e tabli une approche globale pour la gestion des cyber-risques. L'organisation assure la gestion des cyber-risques d'une façon ale atoire et re active selon les informations fournies par les sources exte rieures. Il est possible qu'aucun processus n’existe pour permettre le partage des informations a l'inte rieur de l'organisation.

Page 9 LE CADRE DE LA CYBERSECURITE

Participation externe - Il est possible qu'aucun processus n’existe pour permettre a l'organisation de coordonner ou de collaborer avec d’autres entite s.

Niveau 2: Conscience des risques

Processus de gestion des risques - La Direction a approuve des pratiques de gestion des risques mais une politique globale pertinente n'est pas forcement applique e partout dans l'organisation. Les priorite s des activite s de cyberse curite sont e tablies selon les objectifs de l'organisation, les menaces actuelles ou les exigences de l'entreprise et ses missions.

Programme inte gre de gestion des risques - On constate une conscience des risques chez le personnel de l'organisation mais l'organisation n'a pas encore e tabli une approche globale pour la gestion des cyber-risques. Des processus et des proce dures sont de finis selon les risques actuels, ils sont approuve s et exe cute s. Le personnel est e quipe de manie re approprie pour re aliser ses ta ches en matie re de cyberse curite . Informations sur la cyberse curite sont partage es dans l'organisation de manie re informelle.

Participation externe - L'organisation comprend son ro le global par rapport aux entite s externes mais elle n'a pas de veloppe des capacite s formelles pour collaborer et pour partager les informations avec ces entite s.

Niveau 3: Renouvelable

Processus de gestion des risques - Les pratiques de gestion des risques de l'organisation sont approuve es formellement et elles constituent une politique officielle. Pratiques de cyberse curite sont actualise es re gulie rement conforme ment aux processus de gestion des risques qui refle tent l'e volution des exigences de l'entreprise et de ses missions ainsi que les menaces et les technologies actuelles.

Programme inte gre pour la gestion des risques - L'organisation entie re profite d'une approche pour la gestion des cyber-risques. Des politiques, des processus et des proce dures sont e tablis selon les risques actuels. Ils sont applique s d'une façon approprie e et examine s re gulie rement Ils existent des me canismes cohe rents pour re agir efficacement a l'e volution des risques. Le personnel re unit les connaissances et les compe tences ne cessaires pour s'acquitter de ses responsabilite s.

Participation externe - L'organisation comprend ses obligations et connaî t ses partenaires. Elle reçoit les informations de ces partenaires qui lui permettent de mieux

Page 10 LE CADRE DE LA CYBERSECURITE

collaborer et de prendre des de cisions base es sur les risques lorsqu'un incident se produit.

Niveau 4: Capacité d'adaptation

Processus de gestion des risques - L'organisation modifie ses pratiques de cyberse curite selon le retour d'expe rience et les indicateurs pre dictifs tire s des activite s de cyberse curite en cours et passe es. Gra ce a un processus d'ame lioration continue qui inte gre des technologies et des pratiques de cyberse curite avance es, l'organisation s'adapte efficacement a l'environnement de cyberse curite changeant et re pond aux menaces nouvelles et aux menaces sophistique es au moment opportun.

Le programme inte gre de gestion des risques - Pour traiter des e ventuels incidents cyber, l'organisation a adopte une approche globale de gestion des cyber-risques qui est axe e sur les politiques, les processus et les proce dures de veloppe s en fonction des risques actuelles. La gestion des cyber-risques forme partie de la culture de l'organisation et elle s'adapte en fonction des leçons tire es des e ve nements passe s, des informations partage es par d'autres sources et de la conscience continue des activite s re alise es a travers leurs syste mes et leurs re seaux.

Participation externe - L'organisation ge re les risques et partage activement les informations avec les partenaires afin d'assurer la diffusion et l'exploitation des informations actuelles et exactes pour faciliter l'ame lioration de la cyberse curite avant qu'un incident de cyberse curite ne se produit.

DEVELOPPEMENT OU L'AMELIORATION D'UN PROGRAMME DE CYBERSECURITE Le cadre cyber est un outil pour de terminer l'e tat actuel et les cyber-risques pre sents chez une organisation. Une fois que l'organisation comprend son e tat actuel, les hauts responsables doivent de terminer le niveau de cyberse curite ne cessaire. Pour faciliter ce processus, on peut suivre les mode les de cyber-maturite qui fournissent des conseils pre cis et des jalons de maturite . Un tel mode le de la maturite des capacite s cyber, le "Cyber Capability Maturity Model (C2M2), est fourni par le De partement d'e nergie des E tats-Unis. Ce mode le comprend un aperçu complet des indices des niveaux de maturite ("Maturity Indicator Levels" ou "MIL") Ils existent de nombreux mode les de maturite cyber qu'on peut appliquer mais quel que soit le mode le choisit, il est essentiel que les hauts responsables comprennent, appuient et font respecter le mode le. Veuillez trouver

Page 11 LE CADRE DE LA CYBERSECURITE

le mode le C2M2 ainsi que le lien hypertexte pertinent au programme C2M2 dans l'Appendice I du pre sent manuel. Les e tapes indique es ci-dessous de montrent la manie re dont une organisation pourrait profiter du Cadre et d'un mode le de maturite afin de de velopper un nouveau programme de cyberse curite ou d'ame liorer un programme existant. Il est conseille de re pe ter les e tapes suivantes afin d'assurer une ame lioration continue de cyberse curite .

1. Définir les priorités et le champ d'activités : L'organisation de finit ses objectifs de mission et ses priorite s strate giques. A partir de ces priorite s et ces objectifs, l'organisation prend des de cisions par rapport a l'application de la cyberse curite et de termine le champ d'activite s des syste mes et des moyens qui appuient les ope rations ou les processus se lectionne s. 2. S'orienter : Une fois le champ d'activite s du programme de cyberse curite est de termine pour les ope rations ou les processus, l'organisation identifie les syste mes et les moyens pertinents, les exigences re glementaires et l'approche globale de gestion des risques. Ensuite, l'organisation identifie les menaces pose es a ces syste mes et ces moyens ainsi que les vulne rabilite s de ceux-ci. 3. Réaliser une évaluation des risques : Cette e valuation peut e tre base e sur le processus global de gestion des risques de l'organisation ou sur des e valuations des risques effectue es auparavant L'organisation analyse l'environnement ope rationnel afin de de terminer la possibilite des incidents de cyberse curite et les e ventuels impacts sur l'organisation d'un tel incident. Afin de favoriser une forte compre hension de la probabilite et des impacts d'un incident cyber, il est essentiel que les organisations prennent compte des risques e mergents et des donne es sur les menaces et les vulne rabilite s. 4. Développer un objectif d'état final : L'organisation de veloppe un objectif principal axe sur l'e valuation des fonctions du Cadre et qui de crit l'e tat final souhaite de l'organisation dans le domaine de la cyberse curite . Lors du de veloppement de son objectif d'e tat final, l'organisation peut conside rer e galement les influences et les exigences des parties prenantes exte rieures telles que les organisations du secteur, les clients et d'autres partenaires. 5. Déterminer et analyser les lacunes et établir les priorités de celles-ci : Afin de de terminer les lacunes, l'organisation fait une comparaison entre l'e tat actuel et l'e tat final souhaite . Pour combler ces lacunes et re aliser l'objectif

Page 12 LE CADRE DE LA CYBERSECURITE

final, elle de veloppe un plan d'action axe sur les besoins de mission et base sur une analyse de cou t-efficacite et la compre hension des risques. Ensuite, l'organisation de termine les ressources ne cessaires pour combler les lacunes. Une telle utilisation des objectifs d'e tat final permet aux organisations de prendre des de cisions fonde es sur la connaissance des activite s de cyberse curite et elle facilite la gestion des risques ainsi favorisant la capacite de l'organisation de re aliser des ame liorations cible es et efficaces. 6. Exécuter le plan d'action L'organisation de termine des actions ne cessaires pour combler les lacunes identifie es lors de l'e tape pre ce dente. Ensuite, elle surveille l'application des pratiques de cyberse curite par rapport aux objectifs d'e tat final.

Page 13 GESTION DES CYBER-RISQUES

Gestion des cyber-risques

OBJECTIF Un processus de gestion des cyber-risques facilite l'exe cution des ope rations en prote geant les informations et les infrastructures fondamentales pour la planification, la coordination et l'exe cution des activite s essentielles au succe s des ope rations. Le processus d'analyse et d'atte nuation en matie re de cyber-risques est un excellent mode le a suivre pour ame liorer la posture de cyberse curite et il peut servir en tant que fondement d'un programme de cyberse curite .

Un processus de gestion des risques doit Figure 4 - Zone de risque comprendre les suivantes activite s importantes qu'on peut adapter aux exigences, aux ressources et aux besoins particuliers de l'organisation.

• Identifier les informations et les infrastructures essentielles • Analyser les menaces • Repe rer les vulne rabilite s • E valuer les risques possibles si on exploite ces vulne rabilite s • Appliquer des contre-mesures ou des techniques d'atte nuation.

IDENTIFIER LES INFORMATIONS ET LES INFRASTRUCTURES ESSENTIELLES Les informations et les infrastructures essentielles sont des syste mes, des moyens et des informations (physiques ou virtuelles) tellement importants pour les ope rations que l'incapacite , la modification ou la destruction de ceux-ci provoquerait des effets graves pour la se curite , la prise des de cisions ou la su rete du personnel. Les informations et les infrastructures essentielles peuvent comprendre n'importe quel moyen dont son incapacite pourrait offrir l'avantage a l'adversaire ou bien miner les capacite s des forces amies. Ces e le ments essentiels pourraient comprendre:

• Informations sur les objectives, les priorite s et les plans militaires • Informations sur les capacite s ou les faiblesses de l'organisation

Page 14 GESTION DES CYBER-RISQUES

• Infrastructures qui assurent la prestation des services tels que l'e lectricite , les syste mes HVAC, la connectivite des re seaux, les bases de donne es ou d'autres services essentiels

L'identification des informations et des infrastructures essentielles est important car elle sert a se concentrer le processus de gestion des risques sur la protection des moyens essentiels au lieu d'essayer de prote ger toutes les informations et les infrastructures pertinentes dans le cadre des ope rations militaires. E tant donne es les limitations en matie re de temps, de personnel et de ressources financie res pour le de veloppement des pratiques de cyberse curite efficaces, il est essentiel de se concentrer ces ressources limite es sur la protection des moyens les plus importants pour le succe s des ope rations militaires.

IDENTIFIER LES MENACES Une menace est une force, une organisation ou un individu qui cherche a exploiter une vulne rabilite afin d'obtenir, de compromettre ou de de truire un moyen d'information. Cette activite pourrait impliquer des recherches et des analyses pour repe rer des possibles adversaires qui pourraient essayer d'obtenir des informations essentielles sur les ope rations militaires. En ge ne ral, on classe les menaces de manie re suivante :

Menaces passives : • Interception - un tiers non autorise re ussit a acce der a un e le ment informatique. (attaque contre la confidentialite ) Menaces actives : • Interruption - le syste me n'est plus disponible ou inutilisable (attaque contre la disponibilite ) • Modification - un tiers non autorise acce de au syste me et modifie les e le ments (attaque contre la confidentialite et l'inte grite ) • Fabrication - un tiers non autorise introduit des e le ments faux dans le syste me (attaque contre la confidentialite , l'authenticite et l'inte grite ) Des menaces comprennent : • De sastres naturels tels que les inondations et les incendies • Menaces inte rieures pose es par un employe avec l'intention de nuire ou par un individu qui n'est pas conscient de ses pratiques ne gligentes • Menaces physiques de pose es par des possibles intrus • Menaces a distance, telles que les hackers

Page 15 GESTION DES CYBER-RISQUES

En e tudiant les adversaires avec les capacite s cyber, les planificateurs de cyberse curite doivent traiter les questions suivantes sur les informations essentielles :

• Qui pourrait e tre l'adversaire cyber (par ex., les forces ennemies, des criminels, des hackers motive s par des enjeux politiques, etc.) • Quels sont les objectifs de l'adversaire cyber ? • Quelles seraient des possibles actions de l'adversaire cyber ? • Quelles informations essentielles sur vos ope rations posse de-t-il ? (par exemple, quelles sont les informations disponibles dans le domaine public) • Quel est le niveau de sophistication de l'adversaire et quelles sont ses capacite s pour exe cuter une attaque ?

IDENTIFIER LES VULNERABILITES Une vulne rabilite est une faiblesse dans un syste me ou un programme qu'on peut exploiter par l'acce s non autorise ou en de truisant les informations ou les e le ments d'infrastructure. Cette activite a pour objectif d'identifier les vulne rabilite s de votre organisation dans le domaine de la protection des moyens essentiels. Il s'agit d'un examen de chaque e le ment de se curite conçu pour la protection des moyens essentiels et puis d'une comparaison de ceux-ci avec les menaces identifie s dans l'e tape pre ce dente. Les vulne rabilite s suivantes sont communes chez de nombreuses organisations :

• Dispositifs mobiles de faible se curite qui peuvent acce der aux informations essentielles. • Manque des politiques concernant l'autorisation d'emporter les informations et les dispositifs connecte s en re seau a la maison ou en voyage. • Le stockage des informations essentielles dans les comptes email personnels ou dans d'autres re seaux non contro le s. • Manque des politiques concernant les types d'information qu'on peut publier ou acce der sur les sites des me diaux sociaux.

ÉVALUER LES RISQUES SI LES VULNERABILITES SONT EXPLOITEES Cette activite comporte deux volets : Premie rement, les planificateurs de cyberse curite doivent analyser les vulne rabilite s identifie es lors de la premie re phase et sugge rer des possibles mesures de cyberse curite (approches dans les domaines du personnel, des processus et des technologies) Deuxie mement, on doit se lectionner les mesures de cyberse curite particulie res a exe cuter selon une e valuation des risques (impacts et probabilite ) qui a e te accepte e par les hauts responsables. L'e valuation des risques

Page 16 GESTION DES CYBER-RISQUES

implique une comparaison entre les ressources exige es pour la mise en œuvre de chaque mesure de cyberse curite et les effets ne gatifs potentiels sur les ope rations militaires provoque s par l'exploitation d'une vulne rabilite particulie re.

APPLIQUER DES CONTRE-MESURES OU DES TECHNIQUES D'ATTÉNUATION Les contre-mesures ou les techniques d'atte nuation pourraient implique es des cou ts en termes de temps, de ressources ou de personnel et elles pourraient interrompre les ope rations quotidiennes. Il s'agit d'une mesure inapproprie e si les cou ts ne cessaires pour assurer la cyberse curite de passent les cou ts potentiels lie s aux possibles attaques, E tant donne s les risques lie s a une de cision de ne pas prendre certaines mesures de cyberse curite , cette e tape doit impliquer l'approbation des hauts responsables.

Figure 5 - Informations notionnelles et les cycles de prise de décisions

Page 17 MENACES ET VULNERABILITES

Menaces et vulne rabilite s

Les exemples suivants de montrent les menaces et les vulne rabilite s les plus communes qui pourraient influer directement sur l'infrastructure cyber d'une organisation. Il est fortement conseille d'assurer la sensibilisation de tous les utilisateurs ainsi ve rifiant leur compre hension des vulne rabilite s et leur capacite d'exploiter les moyens de cyber en toute se curite . Cette formation de sensibilisation a la se curite doit e tre obligatoire pour TOUT UTILISATEUR avant qu'il ne puisse acce der le re seau de l'organisation.

Utilisation inappropriée/Menaces posées par membres de l'organisation

Lorsqu'un utilisateur viole la politique de l'utilisation approprie e des SIC, l'organisation et ses syste mes sont expose s aux menaces et aux vulne rabilite s susceptibles de causer des de ga ts. L'utilisation inapproprie e ou mauvaise peut e tre volontaire ou involontaire. Toutes ces actions seraient conside re es comme des menaces internes pose es par des membres de l'organisation et elles sont souvent la source principale des menaces et des vulne rabilite s des syste mes d'information.

Malware (programmes malveillants): Virus, vers et codes malveillants

Malware comprend des virus, des vers ou d'autres codes ou programmes malveillants de veloppe s pour nuire a la se curite d'un syste me. Il est utilise afin de re aliser de nombreux objectifs. Des effets comprennent :

• Interdire aux utilisateurs l'acce s aux informations ou limiter la disponibilite des SIC (disponibilite ) ainsi empe chant la re alisation des objectifs. • Causer de la confusion, de la frustration et entraver la prise des de cisions en provoquant les proble mes d'inte grite et de fiabilite des informations et des syste mes (inte grite ). • Consommer des ressources pre cieuses et limite es afin de re parer ou atte nuer les de ga ts lie s aux infections. • Compromission des informations essentielles (confidentialite ) qu'on peut exploiter afin d'interrompre, de de grader ou d'empe cher les ope rations. Des nouveaux programmes de malware sont de veloppe s et propage s chaque jour. Pour pre venir l'introduction de malware, il est essentiel d'utiliser les logiciels antivirus actualise s, de sensibiliser les utilisateurs en matie re de phishing, et de surveiller le re seau pour de tecter des activite s suspectes.

Page 18 MENACES ET VULNERABILITES

L'une des me thodes les plus courantes pour distribuer le malware est le partage des documents ou des fichiers infecte s. Un utilisateur individuel pourrait atte nuer les risques en re alisant les analyses antivirus des documents et des fichiers avant d'ouvrir, de transfe rer ou de sauvegarder ceux-ci dans un syste me. Cela implique l'analyse des fichiers reçus par courrier e lectronique, les supports amovibles (tels que des lecteurs DVD, des cle s USB, etc.) Les utilisateurs doivent rester vigilants et ne pas pre sumer que les informations sont "propres" et libres de malware, me me si la source des informations est tre s fiable.

E-mail

Bien que le courrier e lectronique favorise de bonnes capacite s de communication, l'utilisation inapproprie e de l'e-mail cre e de nombreuses vulne rabilite s dans un syste me. E-mail commercial (Yahoo, Gmail, Hotmail, etc.) offre plusieurs avantages mais il pre sente e galement des vulne rabilite s qui doivent e tre comprises et atte nue es. On ne doit jamais me langer l'e-mail personnel avec celui de l'entreprise.

Le malware peut se propager a travers des e-mails avec pie ces jointes. On doit e tre prudent en e vitant le te le chargement ou l'installation des programmes envoye s par e- mail par un expe diteur inconnu. En outre, il est possible de recevoir des e-mails d'un contact connu dont le compte e-mail a e te pirate . En ge ne ral, les gens veulent re pondre favorablement aux gens qu'ils connaissent et qu'ils aiment.

Sites web malveillants

Les sites web malveillants posent des risques aux ordinateurs et aux re seaux lorsqu'un utilisateur clique sur le lien d'un site web indique dans un e-mail malveillant. Le malware s'installe dans l'ordinateur automatiquement et re alise des activite s malveillantes.

Phishing

Le phishing est une technique utilise e par les cybercriminels pour faire croire aux gens qu'ils acce dent a un site Web de confiance ou a une autre entite . La sensibilisation des employe s constitue la meilleure de fense pour empe cher que vos utilisateurs ne soient incite s a divulguer aux cybercriminels les noms d'utilisateur et les mots de passe.

Les e-mails de phishing comprennent un lien a un site Web faux qui sert a exploiter votre nom d'utilisateur et votre mot de passe. Les donne es statistiques sur le phishing

Page 19 MENACES ET VULNERABILITES

indiquent que le pirate ne doit envoyer que dix e-mails afin de garantir qu'au moins un utilisateur sera convaincu d'ouvrir l'e-mail. Pour empe cher les attaques de phishing, les utilisateurs ne doivent pas acce der les sites Web a travers les liens dans des e-mails. Il est conseille d'acce der de tels sites par voie des favoris de ja e tablis.

Mots de passe

Le maillon plus faible de la chaî ne de se curite est la personne qui re alise de mauvaise pratiques de se curite et qui permet l'exploitation des vulne rabilite s. La plupart des gens ne comprend pas jusqu'a quel point des hackers peuvent aller pour acce der les re seaux d'une organisation. Afin d'empe cher l'acce s non autorise aux re seaux de l'organisation, chacun a la responsabilite d'utiliser un mot de passe se curise et unique qui ne sera pas partage avec d'autres utilisateurs.

Une des erreurs les plus courantes que les gens commettent est de noter un mot de passe et de laisser le papier pre s de leur poste de travail!

Les politiques de mots de passe doivent encourager tout employe a utiliser des mots de passe les plus forts que possible mais pas si forts qu'il doit les noter ou les re utiliser. Il s'agit des mots de passe ale atoires, complexes et longs (d'au moins 10 caracte res) qu'on prote ge et modifie re gulie rement.

Supports amovibles

Les supports amovibles comprennent les cle s USB ou d'autres supports. Des logiciels malveillants pre installe s dans ces supports pourraient infecter votre ordinateur. Assurez- vous donc de la confiance de la source des supports amovibles avant de les utiliser.

Dispositifs portables

Les dispositifs ou les appareils portables cre ent des proble mes pour la gestion de se curite , surtout en matie re de contro le d'acce s, de conformite et de protection de donne es. La plupart de ces appareils sont pre ts a ope rer des applications et ils sont conçus pour exploiter des ressources Web 2,0. Plusieurs de ces capacite s sont utilise s de manie re interchangeable pour les raisons personnelles et professionnelles. Le nombre des plateformes disponibles pour les dispositifs portables a rapidement augmente . Cette combinaison des dispositifs disponibles et des capacite s augmente les risques pose s aux

Page 20 MENACES ET VULNERABILITES

organisations en termes de dispositifs perdus, de pertes de donne s et d'acce s non autorise s.

Afin de se curiser de tels dispositifs portables, il faut prote ger tous les e le ments du dispositif, voire l'appareil lui-me me et les donne es stocke es dans l'appareil.

Manipulation sociale

Dans le cadre de la se curite d'information, la manipulation sociale se re fe re a la manipulation psychologique qui a pour objectif de convaincre des gens de re aliser des actions ou de divulguer des informations confidentielles. Il s'agit souvent d'un de plusieurs e le ments d'un syste me de fraude plus complexe. De nombreux criminels utilisent la manipulation sociale tant en ligne que hors ligne afin de convaincre des gens peu me fiants de leur donner des informations personnelles ou bien d'installer les logiciels malveillants sur les ordinateurs, les dispositifs ou les re seaux de ces gens.

Page 21 POLITIQUE

Politique

Toute organisation doit de velopper et maintenir une politique pre cise pour la sauvegarde des donne es ope rationnelles essentielles et des informations sensibles, pour la protection des ressources et pour de courager les comportements inapproprie s des utilisateurs des SIC. Une telle politique a pour objectif d'assurer la continuite du re seau et de minimiser le risque de dommages en empe chant les incidents de se curite et en atte nuant des possibles impacts de ceux-ci. Pour e tre efficace, la politique de cyberse curite doit respecter les bonnes pratiques de gouvernance et de design :

• Volume de texte approprie pour la rendre lisible et utilisable • Texte pre cis avec des de tails suffisants ainsi rendant la politique utilisable • La politique est re gulie rement examine e afin d'assurer sa pertinence et d'effectuer des mises a jour en fonction des besoins actuels.

La politique vise a offrir une approche coordonne e pour la cyberse curite globale d'une organisation qui se concentre sur la pre vention des cyber-attaques et le de veloppement de re sistance pour prote ger l'organisation contre les menaces inte rieurs et exte rieures, qu'elle soient de libe re es ou accidentelles. Veuillez consulter les appendices B, C et D pour trouver des exemples des politiques de cyberse curite de veloppe es lors des exercices AFRICA ENDEAVOR.

La politique de cyberse curite veille a ce que :

1. Le processus pour re agir aux incidents respecte les exigences re glementaires et politiques. 2. Les organisations aient la capacite d'e changer les informations sur les incidents et les attaques. 3. Les informations essentielles pour les missions, les infrastructures et les services soient prote ge s. 4. Le personnel soit informe sur les cyber-attaques en cours dans la communaute de cyberse curite . 5. Une vue commune de la situation ope rationnelle (compre hension de la situation cyber) soit e tablie par le de veloppement des plateformes coope ratives, par exemple : E quipes de re action aux urgences informatiques (CERT), E quipes de re action aux incidents de se curite informatique (CSIRT), Responsables de cyberse curite nationale.

Page 22 POLITIQUE

6. La gestion de risques continue et des analyses soient effectue es afin de renforcer les syste mes ainsi les prote geant contre les menaces. 7. Tout cas constate ou soupçonne de violation de se curite d'information soit communique au Centre d'ope rations de se curite (SOC) pertinent et fasse l'objet d'une enque te approfondie. 8. Les contre-mesures de la cyberde fense soient coordonne es. Les exigences politiques comprennent, entre autres:

• Les ro les et les responsabilite s dans le domaine de la cyberse curite : L'une des mesures les plus efficaces et les moins che res pour la pre vention des incidents de cyberse curite importants est le de veloppement d'une politique qui de finit clairement les ro les et les responsabilite s distincts par rapport aux syste mes et les informations stocke es dans ces syste mes. • Politique de l'utilisation de l'Internet : des re gles de comportement sont ne cessaire pour s'assurer que le personnel sait ou se situent les limites et les conse quences du de passement de celles-ci. • Politique sur les me dias sociaux : Les applications de re seaux sociaux pre sentent de nombreux risques difficiles a ge rer avec des solutions techniques ou des proce dures. Tous les utilisateurs des me dias sociaux doivent e tre sensibilise s sur les risques lie s aux applications de mise en re seau social et sur les types de donne es divulgue es automatiquement lorsqu'on exploite les me dias sociaux.

Page 23 REFERENCES :

Re fe rences :

Bibliographie

DHS Homeland Open Security Technology. "DHS" 2015. https://www.dhs.gov/sites/default/files/publications/csd-host-open-soruce-cybersecurity- catalog.pdf. 2015.

https://heimdalsecurity.com/blog/50-cyber-security-online-courses-you-should-know- about/. 2015.

National Institute of Standards and Technology. "Framework for Improving Critical Infrastructure Cybersecurity." 2014. (http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214- final.pdf)

Software Engineering Institute , Carnegie Melon. "Common Sense Guide to Mitigation Insider Threats 4th Edition." 2012.

Zimmerman, Carson. Ten Strategies of a World Class Cybersecurity Operations Center. 2014. (http://www.mitre.org/publications/all/ten-strategies-of-a-world-class- cybersecurity-operations-center)

D'autres ressources :

Le De partement de la se curite inte rieure. “Cybersecurity 101”. 2015 (https://www.dhs.gov/sites/default/files/publications/cybersecurity-101_4.pdf)

Federal Communications Commission (FCC). “Cybersecurity Planning Guide”. 2015 (https://transition.fcc.gov/cyber/cyberplanner.pdf)

US Army CIO/G-6. “Leaders Information Assurance/Cybersecurity Handbook”. 2015 (http://www.calguard.ca.gov/J6/Documents/Army%20Cybersec%20Handbook.pdf)

Le De partement de la se curite inte rieure. “Cyber Risk Management Primer for CEOs”. 2015 (http://www.dhs.gov/sites/default/files/publications/C3%20Voluntary%20Program%20- %20Cyber%20Risk%20Management%20Primer%20for%20CEOs%20_5.pdf)

Page 24 REFERENCES :

Page 25 GLOSSAIRE

Glossaire

Catégorie La division des fonctions selon les e le ments de cyberse curite par rapport aux besoins et aux activite s particulie res du programme. Exemples des cate gories comprennent "la gestion des moyens", "le contro le de l'acce s" et "les processus de de tection".

Infrastructure Les syste mes et les moyens physiques ou virtuels qui reve tent d'une des services telle importance que l'incapacite ou la destruction de ceux-ci essentiels provoquerait des effets de bilitants sur la cyberse curite , la se curite e conomique nationale, la sante ou la su rete publiques nationales ou bien sur une combinaison de ces secteurs.

Cybersécurité Le processus de protection des informations par la pre vention, la de tection et la re action aux attaques.

Incident de Un changement dans le domaine de la cyberse curite qui aurait une cybersécurité incidence sur les ope rations d'une organisation (y compris ses missions, ses capacite s et sa re putation).

Détection De velopper et imple menter les activite s approprie es ne cessaires (fonction) pour identifier les incidents de cyberse curite .

Cadre de Une approche base e sur les risques qui vise a re duire les risques de cybersécurité cyberse curite . Elle constitue trois parties: Le fondement du Cadre, le profil du Cadre et les niveaux d'imple mentation du Cadre. Aussi appele le "Cadre de cyberse curite "

Le fondement L'ensemble d'activite s et de re fe rences de cyberse curite communes du Cadre a travers les secteurs qui assurent la provision de services essentiels. Les activite s se de roulent en fonction des re sultats particuliers souhaite s. Le fondement du Cadre comprend quatre types d'e le ments : Fonctions, cate gories, sous-cate gories et points de re fe rence

La fonction Elle est une des composantes principales du Cadre. Les fonctions e tablissent un haut niveau de structure qui facilite la classification des activite s de cyberse curite fondamentales en cate gories et en

Page 26 GLOSSAIRE

sous-cate gories. Les cinq fonctions sont les suivantes : De tecter, Identifier, Re agir, Se remettre et Prote ger

Code mobile Un programme (par exemple, script, macro ou d'autres instructions portables) qu'on peut envoyer sans modification a un ensemble he te roge ne de plateformes et puis exe cuter avec la se mantique identique.

Protéger De velopper et imple menter les sauvegardes approprie es afin (fonction) d'assurer la prestation des services apporte s par les infrastructures essentielles.

Utilisateur Un utilisateur habilite (voire, de confiance) a re aliser des fonctions privilégié lie es a la se curite dont l'utilisateur ge ne ral ne be ne ficie pas de l'autorisation pertinente.

Se remettre De velopper et imple menter les activite s approprie es pour faire (fonction) respecter les plans de re silience et pour re cupe rer des capacite s ou des services perdus lors de l'incident cyber.

Réagir De velopper et imple menter les activite s approprie es ne cessaires (fonction) pour prendre des mesures une fois l'incident de cyberse curite est de tecte .

Risque La mesure du degre auquel une organisation est menace e par une circonstance ou un e ve nement potentiel. Il est mesure souvent en fonction de : (i) les impacts ne gatifs qui pourraient survenir si la circonstance ou l'e ve nement se produit ; et (ii) la probabilite de survenance.

Gestion des Le processus pour identifier, e valuer et re agir aux risques. risques

Page 27 GLOSSAIRE

Page 28 APPENDICE A : TECHNIQUES POUR ATTENUER LES MENACES INTERNES

Appendice A : Techniques pour atte nuer les menaces internes

Lorsqu'un utilisateur viole la politique d'utilisation acceptable des SIC, l'organisation et ses syste mes seraient expose s a des menaces et des vulne rabilite s susceptibles de causer des de ga ts. L'utilisation inapproprie e ou mauvaise peut e tre volontaire ou involontaire. Toutes ces actions seraient conside re es comme des menaces internes et de telles actions sont souvent la source principale des menaces et des vulne rabilite s des syste mes d'information. Quelques techniques d'atte nuation sont de finies par l'institut du ge nie logiciel de l'universite Carnegie Mellon (Software Engineering Institute, Carnegie Melon):

1. Consigner clairement les politiques et les contro les et s'assurer de l'application de ceux-ci. 2. Dans l'e valuation globale des risques de l'entreprise, contempler des possibles menaces e manant de l'inte rieur de l'organisation et des partenaires commerciaux. 3. Inte grer la sensibilisation a la menace dans la formation de se curite pe riodique suivie par tous les employe s. 4. En commençant par le processus d'embauche, on doit surveiller et re agir aux comportements suspects ou perturbateurs. 5. Anticiper et ge rer les proble mes ne gatifs dans l'environnement de travail. 6. Connaî tre vos atouts 7. Mettre en œuvre des politiques et des pratiques strictes en matie re de gestion des comptes et des mots de passe. 8. S'assurer de la se paration des ta ches conforme ment au principe du "moindre privile ge". 9. De finir des accords particuliers par rapport aux services cloud et il est conseille de pre ciser les restrictions d'acce s et les capacite s de surveillance. 10. Adopter des contro les d'acce s et des politiques de surveillance plus strictes pour les utilisateurs privile gie s. 11. Institutionnaliser les contro les de modifications des syste mes. 12. Utiliser un moteur de corre lation de logs ou un syste me de gestion d'information et d'e ve nements de se curite (SIEM) afin de contro ler et surveiller les actions du personnel et faire les audits pertinents. 13. Surveiller et contro le les acce s a distance de tous les points d'acce s, y compris ceux des dispositifs portables. 14. De velopper une proce dure comple te pour le licenciement d'employe s. 15. Mettre en place des processus pour la sauvegarde et la re cupe ration se curise es. 16. De velopper un programme formel pour lutter contre la menace de l'inte rieur. 17. E tablir une re fe rence pour le comportement normal des dispositfs connecte s au re seau.

Page 29 APPENDICE A : TECHNIQUES POUR ATTENUER LES MENACES INTERNES

18. Faire preuve de la plus grande vigilance lorsqu'il s'agit de me dias sociaux. 19. Empe cher l'exfiltration non autorise e de donne es.

Page 30 APPENDICE B : MODELE D'UN PLAN POUR LE DEVELOPPEMENT ET LA MISE EN PLACE D'UNE POLITIQUE CYBER Appendice B : Mode le d'un plan pour le de veloppement et la mise en place d'une politique cyber

Le suivant projet de plan pour la mise en place d'une politique cyber a e te re dige par le groupe de travail "Cyber" lors des exercices et symposiums d'AFRICA ENDEAVOR.

CONCEPT D'OPÉRATIONS Les syste mes d'information et de communications (SIC) utilise s pour la cre ation, le stockage, le traitement et la distribution d'information doivent e tre configure s, utilise s et ge re s afin d'empe cher la divulgation non autorise e d'informations, de prote ger l'inte grite des donne es et d'assurer la disponibilite , la confidentialite et l'inte grite des donne es et des syste mes.

La protection exige une approche e quilibre e axe e sur les conseils de se curite de SIC et sur des contro les exerce s sur l'administration, les ope rations, les ordinateurs, les communications et le personnel ainsi que d'autres contro les physiques. Les mesures de protection doivent e tre applique es en fonction de la classification des informations pertinentes, de la menace particulie re et des exigences ope rationnelles dans l'environnement SIC en question.

EXIGENCES COMMUNES Identification et la gestion d'authentification

Les besoins d'identification et d'authentification deviennent de plus en plus importants en fonction de la complexite d'un syste me informatique et la risque y associe e. Les contro les d'identification et d'authentification d'un syste me particulier sont ne cessaires pour assurer la limitation d'acce s aux utilisateurs autorise s et selon le principe du "besoin d'en connaî tre". Ces mesures comprennent Identification unique, Connexion, Contro les des donne es, Gestion d'identification et Protection des me thodes d'authentification.

Codes malicieux

Page 31 APPENDICE B : MODELE D'UN PLAN POUR LE DEVELOPPEMENT ET LA MISE EN PLACE D'UNE POLITIQUE CYBER On doit imple menter des politiques et des proce dures e tablies selon l'architecture de l'organisation pour la de tection et la pre vention des incidents provoque s par des codes malveillants tels que les virus ou les modifications non autorise es aux logiciels.

Sécurité du personnel

Tout utilisateur des SIC doit e tre habilite par l'autorite pertinente de l'organisation.

Sécurité physique

La se curite physique est la responsabilite de chaque organisation, de chaque utilisateur, de tout le monde. Il faut qu'on mette en place des mesures de protection pour entraver, de tecter et empe cher l'acce s non autorise aux SIC et la modification non autorise e des mate riels et des logiciels des SIC. Le personnel responsable du maintien qui n'a pas le "besoin d'en connaî tre" et qui n'est pas habilite pour acce der le site sera escorte et surveille .

Accès visuel

Les appareils qui affichent des informations en format lisible seront situe s afin d'empe cher le personnel non autorise de lire les informations (par exemple, lorsqu'on lit l'e cran par-dessus votre e paule)

EXIGENCES DE PROTECTION Cette section explique les exigences pour la mise en place de diverses mesures de protection.

Capacité de faire l'audit et les exigences pertinentes

Le processus pour re aliser les audits implique la reconnaissance, l’enregistrement, le stockage et l’analyse des informations pertinentes aux activite s du syste me. On peut exploiter les dossiers de ve rification pour de terminer les activite s intervenues ainsi que l'utilisateur ou le processus responsable de l'activite particulie re. Les dossiers de ve rification implique s dans les enque tes de cyber-activite doivent e tre disponibles pour l'exploitation du groupe de travail Cyber. Les pays sont encourage s a coope rer avec le groupe de travail Cyber lors des enque tes sur les incidents de se curite .

Sauvegarde et récupération de données (Sauvegarde)

Page 32 APPENDICE B : MODELE D'UN PLAN POUR LE DEVELOPPEMENT ET LA MISE EN PLACE D'UNE POLITIQUE CYBER La sauvegarde continue des informations est ne cessaire pour garantir la continuite des ope rations. Les ve rifications des outils de sauvegarde et les tests pe riodiques sur la capacite de re cupe ration des informations servent a valider le bon fonctionnement du processus global de sauvegarde. Tout re seau SIC connecte au groupe d'AE doit avoir un plan et une politique de sauvegarde approuve au niveau national.

Contrôle des sessions et conditions requises

Toute organisation doit e tablir et appliquer les contro les sur les sessions de re seau qui comprennent des normes et des conditions qui re gissent les connexions aux re seaux.

• VERROUILLAGE DE SESSION - Tous les syste mes, les re seaux et les applications implique s dans le traitement, le stockage ou le transfert de donne es comprendront un me canisme automatique de verrouillage de session ou d'e cran qui sera active lors des pe riodes d'inactivite . Il doit e tre active apre s une pe riode maximum de 15 (quinze) minutes. Le de verrouillage est re alise uniquement par l'utilisateur avec l'identification et l'authentification approprie es. • EXPIRATION DE SESSION - Toute session impliquant l'acce s a distance au re seau et d'autres applications destine es au public qui exigent identification doivent pre voir une EXPIRATION DE SESSION automatique qui aura lieu apre s une pe riode d'inactivite de termine e par les autorite s pertinentes. L'utilisateur doit fournir l'identification et l'authentification approprie es afin de se connecter. • L'acce s aux interconnexions des re seaux de l'organisation a partir de re seaux et de syste mes exte rieurs sera effectue a travers des interfaces contro le es et approuve s.

Rétablissement de systèmes et les exigences

Le concept de re tablissement de syste mes porte sur les fonctions conçues pour la re action aux de faillances ou aux interruptions d'ope rations. Le re tablissement vise a assurer que le syste me en question soit remis dans un e tat qui permet la pleine ope ration des fonctions de se curite pertinentes. Sinon, il faut suspendre les ope rations du syste me.

Les proce dures et les fonctions particulie res de SIC seront imple mente es afin d'assurer le re tablissement de SIC d'une manie re contro le e. Si on constate des conditions irre gulie res lors du processus de re tablissement, le syste me d'information doit e tre acce de uniquement a travers les postes de travail surveille s par l'expert de Cyber.

Accès aux fonctions de protection

Page 33 APPENDICE B : MODELE D'UN PLAN POUR LE DEVELOPPEMENT ET LA MISE EN PLACE D'UNE POLITIQUE CYBER L'acce s aux mate riels, aux logiciels et aux microprogrammes lie s a la se curite ou au fonctionnement des syste mes sera limite au personnel autorise .

Tests de sécurité

Les tests de validation et de se curite continus assurent la ve rification de l'application correcte des mesures de protection de syste mes. De tels services de tests sont offerts aux utilisateurs par le personnel responsable de la cyberse curite et le re sultats de ces tests seront fournis par les repre sentants de cyberse curite autorise s.

Plan d'urgence

Un plan d'urgence est un plan mis en place pre alablement pour re agir aux e ventuelles urgences. Il sert a pre parer les organisations pour faire face aux urgences futures sans interrompre les ope rations. Il s'agit de la formation du personnel, la re alisation des mesures de sauvegarde, la pre paration des installations essentielles et le re tablissement apre s la survenance d'une urgence ou d'une catastrophe ainsi assurant la continuite d'ope rations.

Tout syste me doit avoir son propre plan d'urgence e tabli conforme ment aux re glementations nationales.

INSTRUCTIONS DE COORDINATION Chaque organisation doit de signer des repre sentants de cyberse curite . Les repre sentants de cyberse curite doivent veiller a ce que les pratiques ope rationnelles se curise es soient respecte es et applique es dans tous les e le ments de l'organisation.

Les repre sentants de cyberse curite se chargent de la protection de l'organisation et ils veillent a ce que les exigences minimales en matie re de se curite soient satisfaites selon leurs domaines ou leurs syste mes de responsabilite particuliers. Les repre sentants de cyberse curite doivent identifier les exigences qu'on ne peut pas satisfaire en communiquant ses informations aux responsables de cyberse curite de signe s. Les responsables de cyberse curite doivent e valuer les risques et puis fournir des conseils aux hauts responsables de l'organisation en proposant des solutions possibles.

Les repre sentants de cyberse curite sont charge s d'informer les responsables de cyberse curite des e ve nement ou incidents de se curite pertinents. Les responsables de

Page 34 APPENDICE B : MODELE D'UN PLAN POUR LE DEVELOPPEMENT ET LA MISE EN PLACE D'UNE POLITIQUE CYBER cyberse curite travaillent en collaboration avec les repre sentants afin d'e valuer les impacts d'un tel incident et de de terminer des solutions.

Tous les pays et les organisations doivent appuyer la mission de cyberse curite en s'assurant de leur engagement aux efforts de veloppe s, inte gre s et coordonne es en matie re de cyberse curite .

GESTION DES INCIDENTS Les incidents de cyberse curite se divisent en trois cate gories selon la gravite de la situation et des possibles impacts sur l'infrastructure SIC de l'organisation. Le tableau suivant de crit les types d'incidents et les de lais correspondants pour communiquer les incidents. La cellule de de fense des re seaux informatiques (CND) est inte gre e dans le groupe de travail de Cyber

CRITÈRES POUR LA COMMUNICATION DES INCIDENTS CATEGORIE INCIDENT OU EVENEMENT A SIGNALER CHRONOLOGIE (RAPPORT ENVOYE A LA CELLULE DE CYBERSECURITE) 1 Attaques qui affectent les moyens de C2 Dans 30 minutes essentiels Attaques de type "de ni de service" qui isolent un service essentiel ou qui entravent les performances du re seau Attaques des codes malicieux (virus) qui provoquent l’isolation d’une unite Niveau de racine acce de par personnel non autorise 2 Tendances importantes d’incidents Dans une heure

Page 35 APPENDICE B : MODELE D'UN PLAN POUR LE DEVELOPPEMENT ET LA MISE EN PLACE D'UNE POLITIQUE CYBER Indication des attaques multiples sur le syste me (re ussies ou non) Possible usurpation/falsification des adresses e-mail Des interrogations, des recherches ou des balayages non autorise s re alise s sur un syste me 3 Performances ou comportements du Dans deux heures syste me irre guliers Syste mes tombent en panne ou des de faillances des composants de nature suspecte Modifications de configuration suspectes Fichiers suspects identifie s sur le serveur Pertes des donne es, des fichiers ou des programmes Changements inexplique s des privile ges d’acce s Pratiques de se curite mauvaises Activite irre gulie re sur le syste me apre s les heures de travail De multiples connexions simultane es par un me me utilisateur Activite non autorise e par un utilisateur privile gie Attaques des programmes malveillants (virus)

PROCÉDURES POUR COMMUNIQUER LES INCIDENTS

Page 36 APPENDICE B : MODELE D'UN PLAN POUR LE DEVELOPPEMENT ET LA MISE EN PLACE D'UNE POLITIQUE CYBER Tout utilisateur doit signaler les incidents ou d'autres activite s suspectes au repre sentant de cyberse curite de signe . Lorsqu'un incident est re solu, le rapport pertinent est actualise et puis le dossier est ferme . Le groupe de travail Cyber doit examiner les incidents, de velopper les plans de re action et fournir les re sultats des analyses effectue es sur l'incident signale .

Page 37 APPENDICE C : POLITIQUE POUR L'IDENTIFICATION ET L'AUTHENTIFICATION (MOTS DE PASSE)

Appendice C : Politique pour l'identification et l'authentification (Mots de passe)

Le suivant projet de plan pour la mise en place d'une politique cyber a e te re dige par le groupe de travail "Cyber" lors des exercices et symposiums d'AFRICA ENDEAVOR.

1. Identification unique: a. Chaque utilisateur doit posse der un nom d'utilisateur ou d'un jeton unique qui lui identifie spe cifiquement. b. L'identification d'utilisateur ne doit e tre utilise e que par l'utilisateur lui-me me. c. L'utilisateur doit empe cher la divulgation de l'identification unique aux non utilisateurs. 2. Connexion a. L'utilisateur doit utiliser son identification unique pour se connecter aux syste mes. b. Connexion n'est pas autorise e pour des comptes de groupe. c. L'utilisateur ne doit pas se connecter avec l'identification d'un autre utilisateur 3. Contro les des donne es a. Chaque utilisateur doit avoir l'autorisation des permissions spe cifiques pour acce der des informations et des syste mes. b. L'utilisateur ne doit pas essayer d'acce der des syste mes ou des informations pour lesquels il ne posse de pas l'autorisation pertinente. c. En utilisant des contro les des donne es, les proprie taires des donne es de terminent et autorisent ceux qui auront l'acce s a leurs informations.

Page 38 APPENDICE C : POLITIQUE POUR L'IDENTIFICATION ET L'AUTHENTIFICATION (MOTS DE PASSE)

d. Les proprie taires des syste mes de terminent les utilisateurs et leur autorisent l'acce s aux e quipements et aux re seaux. 4. Gestion d'identification a. Comptes d'utilisateur doivent avoir des dates d'expiration qui conforment aux exigences du syste me, de l'information et de l'emploi de ceux-ci. b. L'utilisateur qui demande un compte devra fournir une pie ce d'identite valide avant d'e tre autorise a utiliser le compte. 5. Protection des me thodes d'authentification a. Chaque compte d'utilisateur unique devra posse der des fortes me thodes d'authentification du syste me et du re seau. Des me thodes fortes comprennent des jetons de certificat (selon disponibilite ), des mots de passe qui conforment aux exigences (15 caracte res, 2 majuscules, 2 minuscules, 2 caracte res spe ciaux), d'autres jetons inte gre s au mate riel informatique. b. L'utiliser doit prote ger les me thodes d'authentification. c. L'utilisateur ne peut pas partager de l'information d'authentification ou des syste mes avec autre personnel, y compris des administrateurs de syste mes.

Page 39 APPENDICE D : PROTECTION CONTRE LE MALWARE

Appendice D : Protection contre le malware

Le suivant projet de plan pour la mise en place d'une politique cyber a e te re dige par le groupe de travail "Cyber" lors des exercices et symposiums d'AFRICA ENDEAVOR.

On doit imple menter des politiques et des proce dures pour la de tection et la pre vention des incidents provoque s par des codes malveillants tels que les virus ou les modifications non autorise es aux logiciels.

1. Logiciels antivirus a. Chaque syste me doit e tre e quipe d'un programme de protection antivirus parfaitement a jour, si un tel logiciel compatible est disponible. b. Le programme antivirus doit e tre actualise , soit manuellement ou automatiquement, au moins deux fois par semaine. c. Dans la mesure du possible, on doit utiliser une gestion centralise e des logiciels antivirus. 2. Syste me de pre vention d'intrusions sur l'ho te a. Syste mes d'utilisateurs doivent e tre e quipe s avec des logiciels de se curite complets. b. Utilisateurs, a l'exception des administrateurs, ne doivent pas changer les configurations des logiciels installe s. 3. Configuration des logiciels a. Les logiciels doivent e tre configure s selon les recommandations du fabricant et avec les parame tres de se curite les plus stricts que possible tout en permettant toujours le fonctionnement requis. b. Le logiciel doit e tre configure a su rete inte gre e 4. Gestion des correctifs logiciels a. L'administrateur du syste me doit appliquer tout correctif logiciel ("patch") pendant les premie res 72 heures apre s la publication du correctif. b. Dans la mesure du possible, les correctifs et les mises a jour doivent e tre teste s dans un environnement de laboratoire semblable a celui du re seau ope rationnel.

Page 40 APPENDICE D : PROTECTION CONTRE LE MALWARE

c. Dans la mesure du possible, les administrateurs du syste me et les spe cialistes cyber doivent enregistrer les logiciels avec leurs fabricants respectifs afin de recevoir des notifications sur des correctifs, des mises a jour et des proble mes de se curite . d. Des correctifs, des mises a jour et d'autres fichiers essentiels ne doivent e tre te le charge s qu'a partir des sources ve rifie es telles que le fabricant ou un organisme gouvernemental. On ne peut pas te le charger des correctifs ou des mises a jour d'un site tiers. 5. Droits d'administrateur a. Des utilisateurs connecte s avec des droits d'administrateur ne doivent pas acce der a l'Internet. Lorsque possible, les comptes d'administrateur doivent e tre configure s pour empe cher l'acce s a l'Internet. b. Les administrateurs doivent posse der des comptes utilisateur a acce s limite pour re aliser des activite s quotidiennes non lie es a l'administration des mate riels ou des re seaux. c. On doit te le charger les correctifs, les mises a jour et d'autres fichiers de l'Internet en utilisant des comptes utilisateur a acce s limite au lieu des comptes administrateur.

Page 41 APPENDICE E : LA DEFENSE APPROFONDIE

Appendice E : La de fense approfondie

Une strate gie pour la se curite d'information qui englobe les personnes, la technologie et les capacite s ope rationnelles afin d'e tablir des barrie res variables a des divers niveaux de l'organisation. Il n'existe pas de me canisme unique de protection comple te d'un syste me qui traiterait la gamme de menaces et de vulne rabilite s. Il est donc ne cessaire de de velopper une strate gie de de fense approfondie pour atte nuer les risques et pour s'assurer que la cyberse curite ne soit pas compromise a cause de l'e chec ou la de faite des mesures de se curite limite es.

La protection efficace contre les virus, les chevaux de Troie et d'autres logiciels malveillants exige une approche de de fense a plusieurs niveaux. Les logiciels antivirus sont essentiels mais ils ne doivent pas e tre la seule mesure de de fense dans l'organisation. Il est conseille d'employer une combinaison de nombreuses techniques de de fense pour assurer la se curite de votre environnement. Le risque d'infection peut e tre conside rablement re duit si on assure une combinaison de filtrage Web, de protection de signature antivirus, de protection efficace contre le malware, de pare-feu, de fortes politiques de se curite et de formation du personnel. La mise a jour re gulie re des logiciels, des syste mes d'exploitation et des applications ame liorera la se curite de vos syste mes.

Des exemples de techniques utilise es pour re aliser tous les objectifs de cyberse curite comprennent :

Cryptographie

• Il s'agit, en effet, de cacher les informations. Elle comprend le chiffrement a cle secre te ou a cle publique ou les fonctions de hachage. • Les pare-feu

Page 42 APPENDICE E : LA DEFENSE APPROFONDIE

• Ils empe chent souvent l'acce s non autorise aux re seaux prive s. Les pare-feu peuvent e tre incorpore s au niveau mate riel ou logiciel, ou aux deux niveaux a la fois. • Surveillance du trafic sur le re seau • Il s'agit de l'examen/l'analyse du trafic sur le re seau et les tendances en matie re d'utilisation. Elle identifie les anomalies dans le trafic sur le re seau. • Tests des vulne rabilite s • Examen approfondi des zones cible es de l'infrastructure du re seau. Il est conseille de re aliser re gulie rement ces tests.

Détection et prévention des intrusions dans le réseau

• Une fonction qui analyse les informations entrantes pour de tecter des activite s suspectes La pre vention bloque en temps re el le trafic malveillant.

Page 43 APPENDICE F : OUTILS DE CYBERSECURITE A ACCES LIBRE

Appendice F : Outils de cyberse curite a acce s libre

Le De partement de la se curite inte rieure des E tats-Unis (DHS) ge re le programme Homeland Open Security Technology (HOST) qui permet aux utilisateurs de trouver facilement les logiciels a acce s libre conçus pour la cyberse curite . Il a compile les informations de re fe rence dans un catalogue. Le catalogue sert comme point de de part pour l'e valuation des diverses solutions a acce s libre. E tant donne e la vaste gamme des syste mes et des exigences, certaines solutions peuvent e tre plus approprie es que d'autres. Le catalogue n'est plus qu'un point de de part. Il demeure important de contempler chaque solution avant son emploi afin d'assurer qu'elle soit approprie e. Ce catalogue est disponible sur le site Web "DHS Host catalog" avec une me thode automatise e de mise a jour des logiciels pour les proprie taires des projets a acce s libre. Le catalogue actuel (DHS Homeland Open Security Technology) publie par le DHS est indique ci-dessous avec des liens aux sites des de veloppeurs des logiciels qui permettent aux utilisateurs d'acce der aux outils.

Catégorie APPLICATION(S) Administration CFengine, Expect, Process Hacker, Webmin Outils contre les logiciels espions Nixory Antivirus ClamAV, ClamWin, Moon Secure Antivirus, Simple Machine Protect Langages des applications et les BASH, Clang, Coccinelle, Cygwin, DDD, Eclipse, Emacs, GCC, environnements de GDB, Gedit, Java, phpHtmlLib, Python, Qlue, Ruby, Vi, VIM développement Module complémentaire de Password Maker, Web of Trust navigateur Continuité des opérations AMANDA, Areca Backup, Partimage Informatique en cloud ABIQUO, Cloudstack, Eucalyptus, Juju, Nimbula, Open Nebula, OpenStack Gestion des configurations CFengine, Puppet, Salt Gestion des contenus Chef, Drupal, Joomla, Juju, Wordpress Sauvegarde de données et Bacula, Open Nebula, PeaZip, Unison l'archivage Base des données MariaDB, MySQL, NetDB, Percona, PostgreSQL, SQLite Suppression des données BleachBit, Darik's Boot and Nuke, Eraser, Wipe Répertoire OpenLDAP Disque BleachBit, DBAN, Gparted, Midnight Commander, Parted, Partimage

Page 44 APPENDICE F : OUTILS DE CYBERSECURITE A ACCES LIBRE

amavisd-new, ASSP, JAMES Mail, Mozilla Thunderbird, Postfix, E-mail Spam Assassin, SquirrelMail, VPOP Email, Zarafa, Zimbra Protection des comptes d'e- amavisd-new, ASSP, Postgrey, Spam Assassin mail et anti-spam Services d'e-mail JAMES Mail, Postfix, SquirrelMail, Zimbra AxCrypt, Crypt, Cryptacular, GNU Privacy Guard, John the Ripper, Chiffrage Mac GNU Privacy Guard, NeoCrypt, Network Security Services (NSS), OpenSSL, TrueCrypt

Open Atrium, Open Source Corporate Management Information Applications d'entreprise Systems (OSCMIS), WorldVistA Transfert des fichiers CyberDuck, FileZilla, Fugu, Samba, vsftpd, WinSCP Filtrage DansGuardian, IP Tables, Java EE PDF uXSS Filter, Web Scarab Devil Linux, Endian Firewall Community, ferm, Firestarter, Firewall Pare-feu Builder, IP Cop, m0n0wall, ModSecurity, NetCop UTM, Open WAF, pfSense, Sentry Firewall, Shorewall, Smoothwall, Turtle Firewall, Untangle, Vuurmuur, Vyatta, Zentyal BackTrack, LibHTP, Maltego, Mobius Forensics Toolkit, mod_sslhaf, Criminalistique informatique ODESSA, tcpdump, tcpindex, The Sleuth Kit/Autopsy Browser, WinDump, WinPcap, Wireshark Systèmes des informations Falcon View, Open Streetmap, Opticks, PGGIS géographiques (GIS) Système de prévention des AFICK (Another File Integrity Checker), Open Source Tripwire, OSSEC intrusions au niveau hôte (HIPS)

Méthodes d'authentification ID WiKID Infrastructures des Dradis, OpenCPI technologies d'information Détection et suivi des ackack, Kismet, Munin, Open Source Tripwire, OpenVAS, Process intrusions Hacker, Suricata, Thicknet, Zabbix

Page 45 APPENDICE G : FORMATION

Appendice G : Formation

Le de veloppement du personnel capable et professionnel est essentiel pour le de veloppement, la planification et l'exe cution d'un programme de cyberse curite . Le niveau de complexite exige une formation particulie re pour de velopper et maintenir des compe tences. Le programme de formation peut comprendre des sessions pour les hauts responsables, les utilisateurs et les spe cialistes en matie re de cyberse curite . Un tel programme peut e tre cou teux. On comprend que de nombreux pays et organisations ne disposent pas des ressources ne cessaires pour assurer la formation efficace du personnel. Cependant, ils existent de nombreux cours de formation professionnelle gratuits en ligne et d'autres ressources qu'on peut acce der a travers le monde. Ils existent e galement une vaste gamme de symposiums qui offrent des occasions pour l'engagement et la collaboration directe.

Veuillez consulter la liste de cours de formation en ligne et gratuits et les liens pertinents indique s ci-dessous. Comme les programmes de formation et les liens changent souvent, les utilisateurs doivent consulter les sites des fournisseurs pour chercher d'autres cours selon leurs besoins. https://heimdalsecurity.com/blog/50-cyber-security-online-courses- you-should-know-about/.

COURS DE CYBERSECURITE, NIVEAU DE BASE Fournisseur Cours FutureLearn Introduction to cyber security – Contenu est bien structure avec des travaux pratiques. Udemy Cyber Security Cyber Criminals Want Your Information: Stop Them Cold! Security Awareness Campaigns (Lite) Canvas Network Introduction to Cybersecurity Cours de l'entreprise 8 Cyber Threat Trends You MUST Know Concise LEAP Cyber Security Fundamentals

COURS DE CYBERSECURITE AVANCES Fournisseur Cours ISIS Laboratory Hack Night

Page 46 APPENDICE G : FORMATION

Cours gratuits en ligne de Network and Computer Security MIT OpenSecurityTraining.info Ces options de formation comprennent des cours de base, interme diaires et avance s Académie Khan Intro to Cryptography Rapid 7 Metasploit Unleashed Cybrary.it Cyberse curite Coursera Designing and Executing Information Security Strategies Hardware Security Software Security Usable Security Internet History, Technology, and Security Information Security and Risk Management in Context Malicious Software and its Underground Economy: Two Sides to Every Story Cybersecurity and Its Ten Domains Cryptography

Udemy Build Your Own Cyber Lab at Home CCNA Security 2015 Free Video Boot Camp: CCP And More! Georgia Tech College of Introduction to information security Computing OpenLearn An introduction to information security Cours de l'entreprise 5 Stages of a Malware Attack Concise Magic Quadrant Strategy and Tactics/ Gartner Analyst Defeat Advanced Malware Regulations and Standards: Where Encryption Applies Phishing User Awareness How To Protect Your Website From Bot Attacks!

Page 47 APPENDICE H : CENTRE D'OPERATIONS DE CYBERSECURITE (CSOC)

Appendice H : Centre d'ope rations de cyberse curite (CSOC)

E tant donne e la complexite accrue des SIC et des missions de cyberse curite , les organisations doivent tirer profit des centres d'ope rations de cyberse curite (CSOC) pour coordonner les mesures de fensives. Les CSOC varient en taille, en ressources et en complexite . Dans l'environnement de cyberse curite en Afrique, il est essentiel que les organisations de veloppent des approches coordonne es pour l'e tablissement des CSOC qui favorisent la collaboration et le partage d'information efficaces ainsi appuyant collectivement la mission complexe de cyberde fense. La socie te ame ricaine MITRE Corporation (www.mitre.org), une socie te a but non lucratif qui appuie de nombreux gouvernements dans le cadre de la cyberse curite , a publie un guide complet intitule “Ten Strategies of a World Class Cybersecurity Operations Center” (Zimmerman). On peut te le charger ce guide gratuitement a partir de la section "books" du site Web MITRE CSOC.

Le texte suivant est un extrait tire du site MITRE.org qui offre un re sume du livre e crit par Carson Zimmerman:

La situation de favorise clairement les de fenseurs. Alors que l'adversaire doit de couvrir une seule façon d'acce der le re seau, les de fenseurs sont oblige s de de fendre contre toutes les possibles manie res d'y acce der, de limiter et e valuer les de ga ts et de trouver et puis supprimer les points de pre sence de l'adversaire dans les syste mes d'entreprise. Les experts en matie re de cyberse curite se rendent compte du fait que les adversaires sophistique s peuvent s'installer et s'installeront d'une manie re durable dans les syste mes d'entreprise. Et comme cela ne suffisait pas, nous sommes souvent nous- me mes nos pires ennemis. Beaucoup de CSOC de pensent plus d'e nergie engage s dans la bataille de la politique et en traitant les questions relatives au personnel pluto t qu'identifier et re agir aux cyber-attaques. Les CSOC sont souvent e tablis et ope rent en fonction de la technologie implique e sans pour autant traiter suffisamment les questions relatives au personnel et aux processus. L'hypothe se principale de ce livre est qu'une approche plus e quilibre e serait plus efficace.

Le livre de crit les dix strate gies des CSOC efficaces -- inde pendamment de leur taille, les capacite s offertes, ou le type de groupe servi par le centre. Il aide a re pondre aux questions sur les structures organisationnelles les plus approprie es, sur la manie re dont

Page 48 APPENDICE H : CENTRE D'OPERATIONS DE CYBERSECURITE (CSOC)

on de veloppe des politiques efficaces, sur les meilleures sources de donne es a exploiter et sur les meilleurs investissements technologiques.

Les pre occupations les plus pressantes se soudent autour de dix the mes dont le livre Ten Strategies of a World-Class Cybersecurity Operations Center s'est inspire . Voici un re sume

1. Confier la responsabilité de défense des réseaux informatiques à une organisation unique.

Cela est le plus e vident mais le moins probable de se produire. Les organisations, tant publiques que prive es, ont tendance de diviser en unite s se pare es les fonctions essentielles de de fense des re seaux informatiques (CND) (suivi des incidents, de tection, re action, coordination et le de veloppement, l'ope ration et le maintien des outils CND). Cependant, une telle fragmentation favorise la me fiance et sape l'efficacite . Il faut que toutes ces fonctions soient re alise es par une organisation unique, le CSOC, et dans un me me lieu unique.

2. Trouver un équilibre entre la taille et la souplesse

Le CSOC fait face a des besoins concurrents. Il faut qu'il soit suffisamment grand pour servir l'organisation entie re tout en restant suffisamment souple pour re agir rapidement aux actions des adversaires. Afin de trouver un tel e quilibre, le CSOC doit appliquer le mode le organisationnel le plus approprie et de terminer qui dans l'organigramme du commandement seraient les responsables ope rationnels des fonctions du centre et ou se de rouleraient de telles fonctions. Dans les grandes organisations en particulier, les fonctions CND se sont divise es ge ne ralement en des divers niveaux et re alise es d'une façon distribue e avec une coordination centralise e.

3. Il faut que le CSOC ait les autorisations pertinentes pour réaliser ses tâches

Chaque CSOC doit fonctionner selon des politiques e crites qui lui autorise a exister, a acque rir des ressources et a effectuer le changement. Il est essentiel de de velopper des politiques solides relatives a l'appui des fonctions de technologie informatique et de cyberse curite . Les CSOC qui ope rent sans les autorisations e crites passent souvent plus de temps en criant a l'aide qu'en avançant. Le livre fournit un mode le pour le de veloppement des politiques qu'on peut modifier selon les processus et les capacite s de l'organisation.

Page 49 APPENDICE H : CENTRE D'OPERATIONS DE CYBERSECURITE (CSOC)

4. Il vaut mieux traiter avec soin un petit nombre de points

En favorisant la quantite au de triment de la qualite , un CSOC pourrait entraver le succe s des me mes organisations qu'il sert. Le CSOC doit de terminer la gamme de responsabilite s a appuyer (telles que l'e valuation des menaces, le traitement des preuves, les consultations de se curite et les relations avec les me dias) et le niveau d'appui (de base, avance ou facultatif). En fonction de sa maturite , le CSOC peut tirer leçons de son succe s, en se concentrant sur de nombreux processus et puis assumer des ro les supple mentaires en matie re de de fense des re seaux.

5. Favoriser la qualité du personnel au lieu de la quantité

Le personnel constitue l'e le ment le plus important dans le domaine de la cyberse curite . Mais qui faut-il embaucher ? Et combien de personnes ? Comment convaincre ces personnes a rester avec l'organisation ? La mentalite et les compe tences de l'individu sont essentielles. La de termination de la quantite approprie e d'analystes peut e tre difficile. Le livre pre sente quelques conside rations ge ne rales, des possibilite s pour l'automation et la consolidation des processus et un plan pour minimiser l'impact des rotations de personnel.

6. Maximiser la valeur des achats technologiques

Le CSOC doit contempler tout achat de technologie par rapport a sa pertinence au groupe appuye , sa durabilite , le retour d'expe rience des ope rateurs, etc. On doit consacrer les ressources aux outils qui visent l'ame lioration continue et qui seraient inte gre s dans une architecture et un flux de travail uniques.

7. Recueillir des données suffisantes

En recueillant peu de donne es, on ne peut pas de tecter les intrusions. Par contre, si on recueille trop de donne es, les indices seraient perdus parmi les donne es non essentielles. Le CSOC doit recueillir la quantite de donne es pertinentes approprie des sources approprie es, tout en exerçant une approche e quilibre e en termes d'effort et de cou ts. Cela veut dire qu'on doit comprendre le meilleur emplacement des capteurs et la manie re pour se lectionner et se connecter avec les sources de donne es. Une approche pragmatique axe e sur les ope rations facilite la de termination des priorite s en matie re de ressources.

Page 50 APPENDICE H : CENTRE D'OPERATIONS DE CYBERSECURITE (CSOC)

8. Protéger la mission du CSOC

Un CSOC doit fonctionner me me lorsque les moyens du groupe appuye ont e te compromis. Les centres les plus capables ope rent d'une façon "hors bande" qui leur permet a isoler les syste mes de surveillance passive, les processus analytiques et le stockage des donne es du reste des processus de l'organisation. Ils doivent e galement s'assurer qu'aucun paquet de donne es soit perdu aux points de pre sence e tabli pour la surveillance tout en empe chant que l'adversaire de tecte (et e vite) leurs capacite s de surveillance. Au me me temps, ils doivent maintenir un niveau de transparence et de communication avec le client ainsi inspirant la confiance et maximisant les impacts.

9. Il faut être un client sophistiqué capable de fournir du renseignement sur les cyber-menaces.

Les de fenseurs actuels doivent adapter constamment les techniques, les tactiques et les proce dures afin de faire face a l'e volution rapide des menaces. Cette approche proactive implique la production de renseignement en matie re de cyber-menaces formule a partir des observations, des analyses et des e changes d'informations avec d'autres CSOC. Une cellule d'analyse des cyber-menaces (un groupe forme par des analystes qui se concentrent sur les menaces avance es permanentes) facilite cet e change de renseignement. Nous fournissons une feuille de route pour cre er une telle cellule.

10. Arrêter, réfléchir, réagir ... avec calme

Le CSOC typique re agit a des milliers de menaces par an et chaque re action doit e tre professionnelle, fiable et efficace. Parmi de nombreuses recommandations, nous sugge rons qu'on de veloppe, affine et suive des proce dures ope rationnelles permanentes, qu'on soit la personne raisonnable qui ge rent les inquie tudes lors d'un incident important, qu'on fasse son mieux pour comprendre la gravite de l'intrusion malgre des limitations en matie re de temps et de ressources et qu'on exploite ces connaissances dans le contexte de la mission ou l'entreprise particulie re.

Page 51 MODELE DE MATURITE DE CYBERSECURITE

Mode le de maturite de cyberse curite

Le présent appendice est tiré des informations fournies par le Département de l'énergie des États-Unis et il comprend un aperçu sur un modèle de maturité. Pour des plus amples informations, veuillez consulter le lien ci-dessous1.

Un modèle de maturité est un ensemble de caractéristiques, de propriétés, d'indicateurs ou de tendances qui représentent les capacités et le progrès par rapport à une discipline particulière. En général, le contenu du modèle illustre les meilleures pratiques et pourrait intégrer des standards ou d'autres normes pratiques liées à la discipline en question. Un modèle de maturité fournit ainsi un point de référence par rapport auquel une organisation peut évaluer le niveau actuel de ses capacités en matière de pratiques, de processus et de méthodes. Il sert également comme un outil pour fixer des priorités et des objectifs d'amélioration. En outre, lorsqu'un même modèle est largement utilisé dans un secteur particulier (et si on partage les résultats pertinents), les organisations peuvent comparer leur performance avec celle des autres organisations. Un secteur pourrait ainsi déterminer son rendement global en examinant les capacités des organisations membres.

Afin de mesurer les progrès accomplis, les modèles de maturité comportent généralement des "niveaux" basés sur une échelle. Ce modèle emploie une échelle de niveaux d'indicateurs de maturité (MIL) de niveau 0 à niveau 3. Chaque niveau est défini par un ensemble d'attributs. Si l'organisation en question démontre les attributs d'un niveau particulier, elle aura réalisé les objectifs et les capacités représentés par ce niveau. Avec des états de transition mesurables entre les niveaux, une organisation peut utiliser l'échelle afin de :

 Définir son état actuel  Déterminer son état et sa maturité futurs  Identifier les capacités à développer pour atteindre cet état futur

Quatre éléments des MIL sont essentiels à la compréhension et l'application du modèle :

1. Les niveaux d'indicateurs de maturité s'appliquent indépendamment à chaque domaine. En conséquence, l'organisation qui exploite ce modèle constatera qu'elle opère

1 http://energy.gov/oe/services/cybersecurity/cybersecurity-capability-maturity-model-c2m2- program/cybersecurity

Page 52 MODELE DE MATURITE DE CYBERSECURITE

selon des divers niveaux MIL en fonction du domaine particulier. Par exemple, une organisation peut opérer au niveau MIL1 dans un domaine, MIL2 dans un autre domaine et MIL3 dans un troisième domaine. 2. Pour chaque domaine, les MIL s'accumulent. Pour réaliser les objectifs d'un niveau MIL pour un domaine particulier, l'organisation doit réaliser toutes les pratiques associées à ce niveau ainsi que les pratiques du niveau(x) inférieur(s). Par exemple, une organisation doit démontrer les performances de toutes les pratiques du niveau MIL1 et MIL2 pour atteindre le niveau MIL2 du domaine en question. De même, l'organisation doit démontrer ses capacités de réaliser les pratiques de MIL1, MIL2 et MIL3 pour atteindre le niveau MIL3. 3. En fixant les objectifs en termes de MIL pour chaque domaine, l'organisation suit une stratégie efficace qui profite du modèle pour renforcer le programme de cybersécurité. Les organisations doivent examiner les pratiques du modèle avant de déterminer les objectifs MIL. Ensuite, les analyses sur les lacunes et les plans d'amélioration doivent porter sur la réalisation de ces objectifs. 4. L'accomplissement des pratiques et la classification des niveaux MIL doivent correspondre avec les objectifs d'entreprise et la stratégie de cybersécurité de l'organisation. S'efforcer d'atteindre les plus hauts niveaux de MIL dans tous les domaines n'est pas forcément la meilleure stratégie. L'organisation ou l'entreprise doit contempler les coûts et les avantages pour atteindre un niveau MIL particulier. Cependant, le modèle est conçu pour permet à toute type d'entreprise, indépendamment de sa taille, d'atteindre le niveau MIL1 dans tous les domaines.

Les descriptions des pratiques de gestion en fonction du MIL figurent dans la liste ci- dessous.

Indicateur de maturité de niveau 0 (MIL0) Dans ce modèle, aucune pratique n'existe au MIL0. La performance de MIL0 signifie qu'on n'a pas encore atteint le MIL1 pour le domaine en question.

Indicateur de maturité de niveau 1 (MIL1) Pour chaque domaine, MIL1 correspond à un ensemble de pratiques de base. Pour atteindre le niveau MIL1, l'organisation peut réaliser les fonctions d'une manière ad hoc, mais il faut qu'elles soient complètement exécutées. Si l'organisation ne démontre pas de capacité dans le domaine de la cybersécurité, elle doit se concentrer d'abord sur la mise en pratique des éléments de niveau MIL1. Le MIL1 est caractérisé par une pratique de gestion unique. 1. On exécute des pratiques de base et, s'il le faut, de manière ad hoc. Dans le contexte de ce modèle, "ad hoc" (par exemple, un pratique ad hoc) se réfère à l'exécution ou la

Page 53 MODELE DE MATURITE DE CYBERSECURITE

performance d'une pratique selon l'initiative ou les capacités d'un individu ou d'une équipe (ou bien les responsables de l'équipe), sans des conseils organisationnels consignés dans un plan, soit verbal ou écrit, sans des politiques et sans formation particulière.

La qualité des résultats variera considérablement en fonction des éléments impliqués : les individus qui réalisent les tâches, la chronologie de l'exécution, le contexte du problème particulier, les méthodes, les outils, les techniques et la priorité accordée à la performance de la pratique dans le cas particulier. Avec le personnel expérimenté et capables, on peut attendre des résultats de qualité malgré le fait que les pratiques soient "ad hoc". Cependant, à ce niveau les leçons tirées ne sont pas saisies régulièrement au niveau de l'organisation ainsi rendant plus difficile l'amélioration ou la répétition des approches ou des résultats favorables.

Indicateur de maturité de niveau 2 (MIL2) Le niveau MIL2 comprend quatre pratiques de gestion dont l'ensemble représente un point de départ pour institutionnaliser les activités dans un domaine particulier : 1. Les pratiques sont consignées. Les pratiques sont exécutées conformément à un plan écrit. L'organisation doit se concentrer sur la planification basée sur le développement des pratiques conçues spécifiquement (ou sélectionnées) pour servir l'organisation. 2. Les parties prenantes liées à chaque pratique sont désignées et engagés. Les parties prenantes liées à chaque pratique sont désignées et impliquées dans l'exécution des pratiques. Selon l'implémentation de la pratique particulière, les parties prenantes comprendront des individus liés directement à la fonction particulière, d'autres individus de l'organisation ou bien des individus de l'extérieur. 3. Des ressources adéquates seront fournies pour appuyer les processus (personnel, financement et outils). Des ressources en personnel, en financement et en outils seront fournies afin d'assurer la réalisation des tâches tel que prévu. L'exécution des processus peut être évaluée en fonction des pratiques non implémentées en raison de manque de ressources. Si les pratiques souhaitées sont exécutées comme prévu, on dirait que les ressources fournies étaient suffisantes. 4. Des standards ou des conseils ont été définis pour faciliter l'implémentation des pratiques. L'organisation a indiqué quelques standards ou des conseils pour faciliter l'implémentation des pratiques dans le domaine en question. Parfois, ce ne sont que les sources de référence consultées par l'organisation lors du développement du plan d'exécution des pratiques. En général, les pratiques de MIL2 sont plus complètes que celles de MIL1 et on ne les réalisent plus de façon irrégulière ou leur implémentation n'est plus de manière ad hoc. Comme résultat, la performance des pratiques de l'organisation est plus stable. Au

Page 54 MODELE DE MATURITE DE CYBERSECURITE

niveau MIL2, l'organisation aurait une meilleure assurance de la durabilité au fil du temps des performances des pratiques du domaine.

Indicateur de maturité de niveau 3 (MIL3) Au niveau MIL3, les activités du domaine en question sont institutionnalisées davantage et elles sont gérées formellement. Ce niveau implique cinq pratiques de gestion : 1. Les activités se déroulent d'après des politiques (ou à d'autres directives de l'organisation) et la gouvernance. Les activités gérées d'un domaine particulier sont orientées selon la direction de l'organisation, voire les politiques et la gouvernance. Les politiques sont une continuation des activités de planification réalisées pour atteindre le niveau MIL2. 2. Les politiques comprennent les exigences en matière de conformité aux standards ou aux conseils particuliers. 3. Les activités sont réexaminées périodiquement pour assurer la conformité aux politiques pertinentes. 4. Les responsabilités et les autorisations pour exécuter les pratiques sont déléguées au personnel. 5. Le personnel qui réalise les fonctions dispose des compétences et des connaissances adéquates. Le personnel chargé de réaliser les activités dispose des compétences et des connaissances adéquates pour accomplir les tâches particulières du domaine en question.

Au niveau MIL3, les pratiques des domaines sont stabilisées davantage et orientées selon des directives stratégiques de l'organisation, telles que les politiques. En conséquence, l'organisation doit être plus sûre de ses capacités de soutenir l'exécution des pratiques de manière durable dans tous les domaines de l'organisation.

MIL0 MIL1Tableau a. 1 - ExempleL'organisation de la progression applique une d'une straté approchegie basée dans sur un le programmedomaine de de la Gestioncybersé curitdu programmeé. cyber MIL2 b. La stratégie du programme de cybersécurité définit les objectifs en matière d’activités de cybersécurité de l'organisation. c. La stratégie du programme de cybersécurité et les priorités pertinentes sont formellement consignées et conformes aux objectifs stratégiques de l'organisation et aux risques qui pèsent sur les infrastructures essentielles. d. La stratégie du programme de cybersécurité définit l'approche de l'organisation en matière de surveillance du programme et de gouvernance des activités de cybersécurité. MIL3 g.e. La strateé gie dudu programmeprogramme de de cybers cyberseé curitcurite é d este finit mise la structure à jour en et fonction l'organisation des changements du programme au de niveau decybers l'entreprise,e curite . au niveau de l'environnement opérationnel et au niveau de la menace (TVM-1d). f. La strate gie du programme de cyberse curite est accepte par les hauts responsables de l'organisation.

Page 55 MODELE DE MATURITE DE CYBERSECURITE

2 Gérer les risques de cybersécurité Pratiques de gestion MIL0 MIL1 a. Risques de cybersécurité sont identifiés 1. On exécute des pratiques de base et, s'il b. Les risques identifiés sont atténués, acceptés, le faut, de manière ad hoc. tolérés ou MIL2 c. Conformtransfertsé ment à la stratégie de gestion de 1. Les pratiques sont consigne es risques, les évaluations des risques sont 2. Les parties prenantes lie es a chaque réalisées afin d'identifier les risques particuliers. pratique sont de signe es et engage s. d. Les risques repe re s sont consigne s 3. Des ressources ade quates seront e. Conforme ment a la strate gie de gestion de fournies pour appuyer les processus risques, on analyse les risques identifie s afin (personnel, financement et outils). d'e tablir les priorite s pour la conduite des activite s 4. Des standards ou des conseils ont e te d'intervention. de finis pour faciliter l'imple mentation des f. Conforme ment a la strate gie de gestion de pratiques. risques, les risques identifie s sont surveille s. MIL3 h.g. LeL'analyse programme des risques de gestion est assur de risquese e par d éfinit et 1. Les activite s se de roulent d'apre s des assurel'architecture l'application de re seau des (ITpolitiques et/ou OT) en matière de politiques (ou d'autres directives de gestion de risques ainsi que l'organisation) et la gouvernance. les procédures pour la mise en œuvre de la 2. Les politiques comprennent les exigences stratégie de gestion de risques en matie re de conformite aux standards i. On exploite une architecture de cyberse curite ou aux conseils particuliers. actualise e pour effectuer les analyses des 3. Les activite s sont re examine es risques pe riodiquement pour assurer la j. Un registre des risques (un registre conformite aux politiques structure des risques identifie s) appuie pertinentes. les fonctions de gestion de risques 4. Les responsabilite s et les autorisations pour exe cuter les pratiques sont de le gue es au personnel. 5. Le personnel qui re alise les fonctions dispose des compe tences et des connaissances ade quates.

Tableau 2 - Pratiques de gestion par rapport aux pratiques particulières des domaines

Niveau Caractéristiques

MIL0 Pratiques non exécutées MIL1 Pratiques de bases exécutées de manière ad hoc, s'il le faut

Page 56 MODELE DE MATURITE DE CYBERSECURITE

MIL2 Institutionnalisation des processus Les pratiques sont consignées Les parties prenantes sont identifiées et engagées Des ressources adéquates sont fournies pour appuyer les processus. Les standards ou des conseils orientent l'exécution des pratiques. Caractéristiques de l'approche : Pratiques sont plus complètes ou plus avancées qu'au niveau MIL1 MIL3 Institutionnalisation des processus Les activités se déroulent d'après des politiques (ou d'autres directives) et la gouvernance. Les politiques comprennent des exigences pour la conformité aux standards ou aux conseils particuliers. Les activités sont réexaminées périodiquement pour assurer la conformité aux politiques Les responsabilités et les autorisations pour exécuter les pratiques sont déléguées au personnel Le personnel qui réalise les fonctions dispose des compétences et des connaissances adéquates Caractéristiques de l'approche : Pratiques sont plus complètes ou plus avancées qu'au niveau MIL2

Tableau 3 - Résumé des caractéristiques des niveaux d'indicateurs de maturité 1. Développer une stratégie pour la gestion de risques de cybersécurité MIL1 Aucune pratique au MIL1 MIL2 a. Il existe une stratégie écrite pour la gestion de risques de cybersécurité b. La stratégie fournit une approche pour l'établissement des priorités de risques et les possibles impacts de ceux-ci MIL3 c. Les critères des risques de l'organisation sont définis et disponibles (des critères objectifs fixés par l'organisation pour orienter les évaluations, la catégorisation et les priorités des risques opérationnels en fonction des possibles impacts, de la tolérance de risque et des approches d'intervention) d. La stratégie de gestion de risques est actualisée périodiquement pour refléter les menaces actuelles. e. Un mécanisme de classification des risques conçu pour l'organisation particulière est consigné et 2. Gérer les risquesexploité depour cybers réaliseré curitdes activité és de gestion de risques.

Page 57 MODELE DE MATURITE DE CYBERSECURITE

MIL1 a. Risques de cybersécurité sont identifiés b. Les risques identifiés sont atténués, acceptés, tolérés ou MIL2 c. Conformément à la stratégie de gestion de risques, les évaluations des risques sont réalisées afin d'identifier les risques particuliers d. Les risques repérés sont consignés e. Conformément à la stratégie de gestion de risques, on analyse les risques identifiés afin d'établir les priorités pour la conduite des activités d'intervention. f. Conformément à la stratégie de gestion de risques, les risques identifiés sont surveillés. MIL3 g.h. L'analyseLe programme des risques de gestion est assur de risquesée par d l'architectureéfinit et assure de l'applicationréseau (IT et/ou des politiquesOT) de gestion de risques ainsi que des procédures pour la mise en œuvre de la stratégie de gestion de risques i. On exploite une architecture de cybersécurité actualisée pour effectuer les analyses de risques j. Un registre des risques (un registre structuré des risques identifiés) appuie les fonctions de gestion de risques Tableau 4 - Résumé des caractéristiques des niveaux d'indicateurs de maturité

Page 58