Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

(PROJET) Exercice 2018 REPUBLIQUE DU CAMEROUN Paix – Travail – Patrie ---------

(PROJET) Exercice 2018 REPUBLIQUE DU CAMEROUN Paix – Travail – Patrie ---------- AGENCE NATIONALE DES TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION ---------- REPUBLIC OF CAMEROON Peace – Work – Fatherland ---------- NATIONAL AGENCY FOR INFORMATION AND COMMUNICATION TECHNOLOGIES ---------- DIVISION DE L’AUDIT DE SECURITE DEPARTMENT OF SECURITY AUDIT AUDIT DE SÉCURITÉ DES SYSTÈMES D’INFORMATION DES ETABLISSEMENTS PUBLICS ET ADMINISTRATIFS (EPA) Destinataires : - ANTIC - ART - MINPOSTEL Agence Nationale des Technologies de l’Information et de la Communication Rapport de Synthèse – Audit des Départements Ministériels 2 SOMMAIRE I. INTRODUCTION...............................................................................................................................3 I.1. CONTEXTE...........................................................................................................................................3 I.2. OBJECTIF.............................................................................................................................................3 I.3. ETENDUE DE L’AUDIT ET PLANNING D’EXECUTION.............................................................................3 II. AUDIT ORGANISATIONNEL...............................................................................................................5 II.1. DESCRIPTION ET INTERPRETATION DES KKIINSUFFISANCES CONSTATEES.......................................5 II.2. ANALYSE SYNTHETIQUE DES POINTS DE CONTROLE......................................................................6 III. AUDIT PHYSIQUE.............................................................................................................................8 III.1. DESCRIPTION ET INTERPRETATION DES KKIINSUFFISANCES CONSTATEES.......................................8 III.2. ANALYSE SYNTHETIQUE DES POINTS DE CONTROLES...................................................................10 IV. AUDIT TECHNIQUE.........................................................................................................................11 IV.1. DESCRIPTION ET INTERPRETATION DES INSUFFISANCES..............................................................11 IV.2. ANALYSE SYNTHETIQUE DES POINTS DE CONTROLE....................................................................13 V. SYNTHESE ET ANALYSE DES RISQUES..............................................................................................16 V.1. TABLEAU SYNTHETIQUE DE CLASSIFICATION DU KKINIVEAU DE GRAVITE DES RISQUES IDENTIFIES 16 V.2. ANALYSE RESULTANTE..................................................................................................................17 VI. CONCLUSION.................................................................................................................................20 INTRODUCTION I.1. CONTEXTE ans l'optique d’évaluer et d’apprécier le niveau de sécurité du système d’information des Etablissements Publics Administratifs et les Sociétés à Capitaux Publics, la Division de l’Audit de Sécurité (DAS) de l’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC) a procédé pour le compte de l’exercice 2018 à un examen méthodique et minutieux de leurs ressources organisées de traitement, de diffusion et de stockage de l’information. D I.2. OBJECTIF L’objectif de ce rapport est d’effectuer un tour d’horizon des vulnérabilités rencontrées au niveau de ces Etablissements Publics Administratifs et les Sociétés à Capitaux Publics et de se faire une idée globale du niveau de sécurité des Systèmes d’Information de nos Administrations Publiques pour le compte de l’exercice 2018. Il s’est agi d’évaluer de manière globale les moyens de protection mis en place par les Etablissements Publics Administratifs et les Sociétés à Capitaux Publics pour sécuriser leur patrimoine informationnel afin d’assurer la conformité de leurs systèmes d’information aux standards de sécurité en la matière en minimisant les pertes et en maximisant le retour sur investissement et les opportunités. I.3. ETENDUE DE L’AUDIT ET PLANNING D’EXECUTION Onze (11) Etablissements Publics Administratifs et les Sociétés à Capitaux Publics initialement prévus, ont effectivement subi les audits réalisés par l’ANTIC, cette année. Ces missions d’audit ont essentiellement couvert les aspects organisationnels, physiques et techniques. Le tableau ci-dessous dresse un état des lieux des Etablissements Publics Administratifs et les Sociétés à Capitaux Publics dont les rapports d’audit sont déjà disponibles, ainsi que la durée d’exécution de la mission d’audit correspondante. STRUCTURES PERIODE DUREE 01 ANOR 26 Fév-09 Mars 10 Jours 02 SIC 26 Mars- 10 Avril 15 Jours 03 03- 21 Avril 15 Jours 04 17 Avril- 05 Mai 15 Jours 05 MINFI 02 Mai – 02 Juin 30 Jours 06 MINTP 16 Janv– 03 Fév 15 Jours 07 MINATD 05 – 23 Juin 15 Jours 08 MINEFOP 16 Janv – 03 fév 15 Jours 09 MINDCAF 05 – 23 Juin 15 Jours 10 MINRESI 16 Oct – 10 Nov 15 Jours Agence Nationale des Technologies de l’Information et de la Communication Rapport de Synthèse – Audit des Départements Ministériels 5 AUDIT ORGANISATIONNEL I.4. DESCRIPTION ET INTERPRETATION DES kkiINSUFFISANCES CONSTATEES Les points de contrôles scrutés au cours des différentes missions ont été développés suivant les axes ci-après : politique de sécurité ; organisation de la sécurité de l'information ; gestion des actifs : inventaire et classification ; sécurité liée aux ressources humaines. Le tableau qui va suivre est en réalité la moyenne des niveaux de sécurité des Ministères précédemment évoqués. Il nous permettra de dégager le niveau global des mesures de sécurité implémentées par les Administrations Publiques. AXE ADMINISTRATIONS PUBLIQUES NIVEAU REEL MATURITE 01 ORGANIATIONNEL SPM 36,12% 60% 02 MINEE 18,59% 60% 03 MINEPAT 37% 60% 04 MINPOSTEL 20,68% 60% 05 MINFI 27,75% 60% 06 MINTP 17,9% 60% 07 MINATD 23,35% 60% 08 MINEFOP 25,66% 60% 09 MINDCAF 23,1% 60% 10 MINRESI 19% 60% Agence Nationale des Technologies de l’Information et de la Communication Rapport de Synthèse – Audit des Départements Ministériels 6 0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00% 80.00% 90.00% 100.00% NIVEAU MATURITE REEL NIVEAU MATURITE REQUIS NIVEAU MATURITE MAX Le diagramme ci-dessus permet de constater que le niveau réel de sécurité des actifs informationnels des Départements Ministériels est loin de la maturité. En effet, le Plan Organisationnel se situe globalement à 24,92%. Le niveau global d’organisation de la sécurité est à déplorer pour l’ensemble des Départements Ministériels. Tout cela s’explique par le fait que la fonction de sécurité des systèmes d’information n’est pas encore effective dans les ministères et n’existe même pas dans l’organigramme, les tâches de sécurité sont encore marginalisées, les procédures et politiques de gestion ne sont pas formalisées et la hiérarchie ne s’implique pas suffisamment dans l’organisation de la sécurité. Cela démontre la nécessité d’une organisation minimale de la fonction de Sécurité, qui apparait comme maintenue au second plan. I.5. ANALYSE SYNTHETIQUE DES POINTS DE CONTROLE Nous évoquons dans cette section et sans être exhaustif, les constats effectués de manière récurrente lors de nos différentes missions d’audit ainsi que le niveau de criticité correspondant. L’échelle des niveaux de criticité est définie ainsi qu’il suit : Niveau de criticité majeur : Niveau de criticité modéré : Niveau de criticité mineur : Agence Nationale des Technologies de l’Information et de la Communication Rapport de Synthèse – Audit des Départements Ministériels 7 1. Politique de sécurité Niveau de criticité Constats : Inexistence d’une politique formelle de sécurité du système d’information et des réseaux de communications électroniques. Observations : Aucun Département ministériel n’a mis sur pied une Politique de Sécurité en bonne et due forme. Les mesures de sécurisation, quand elles existent, ne sont pas formalisées. 2. Organisation de la Sécurité de l’Information Niveau de criticité Constats : Tous les domaines de compétence de la Sécurité des Systèmes d’Information ne sont pas couverts. Observations : Les tâches des cadres des Structures en charge des SI ne sont pas clairement définies dans les différents organigrammes. 3. Gestion des actifs : inventaire et classification Niveau de criticité Constats : 1. Inexistence d’un document formel contenant la classification des actifs informationnels en fonction de leur criticité et de leur impact sur le SI et les réseaux de communication électronique. Observations : Nous observons ici que 4. Sécurité liée aux ressources humaines Niveau de criticité Agence Nationale des Technologies de l’Information et de la Communication Rapport de Synthèse – Audit des Départements Ministériels 8 Constats : 1. Insuffisance dans le cadre du renforcement de capacités des personnels de la Cellule Informatique dans divers domaines informatique (Administration du réseau, Administration des BD, sécurité des SI, etc ) ; 2. Absence d’une sensibilisation régulière du personnel des ministères sur les aspects liés cybercriminalité et sur les risques liées l’utilisation des TIC. Observations : 5. Relation avec les tiers Niveau de criticité Constats : Inexistence d’une politique de sécurité encadrant les relations avec les prestataires et les tiers ; Observations : AUDIT PHYSIQUE I.6. DESCRIPTION ET INTERPRETATION DES kkiINSUFFISANCES CONSTATEES Les points de contrôles scrutés au cours des différentes missions ont été développés suivant les axes ci-après : 1. Sécurité Physique et Environnementale Le tableau qui va suivre traduit la moyenne des niveaux de sécurité des Ministères précédemment évoqués. Il nous permettra de dégager le niveau global des mesures de sécurité physique implémentées par les Administrations Publiques. SECTION ADMINISTRATIONS PUBLIQUES NIVEAU REEL MATURITE 01 PHYSIQUE SPM 59% 60% 02 MINEE 30,06% 60% 03 MINEPAT 43% 60% 04 MINPOSTEL 20,03% 60% 05 MINFI 36,2% 60% 06 MINTP 21,60% 60% Agence Nationale des Technologies de l’Information et de la Communication Rapport de Synthèse – Audit des Départements Ministériels 9 07 MINATD 32,50% 60% 08 MINEFOP 24% 60% 09 MINDCAF 29,04% 60% 10 MINRESI 50% 60% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% NIVEAU MATURITE REEL NIVEAU MATURITE REQUIS NIVEAU MATURITE MAX Le diagramme ci-dessus permet de constater que le niveau réel de sécurité des actifs informationnels des Départements Ministériels est loin de la maturité. En effet, la sécurité Physique globale se trouve à 34,54%. Notons toutefois les bonnes dispositions prises par le SPM, et le MINRESI dans la gestion des accès aux locaux techniques et la gestion des incidents (Incendies, Coupures d’électricité, etc.) Néanmoins la tendance générale s’explique par la non-conformité des locaux abritant les infrastructures techniques (Serveurs, équipements de nœuds de réseau, etc.) aux normes en matière de sécurité. Nous avons noté entre autres, l’absence de faux planchers, de contrôleurs d’accès automatique, de détecteurs d’incendie, etc. I.7. ANALYSE SYNTHETIQUE DES POINTS DE CONTROLES Nous évoquons dans cette section et sans être exhaustifs, les constats effectués de manière récurrente lors de nos différentes missions d’audit ainsi que le niveau de criticité correspondant. L’échelle des niveaux de criticité est définie ainsi qu’il suit : Agence Nationale des Technologies de l’Information et de la Communication Rapport de Synthèse – Audit des Départements Ministériels 10 Niveau de criticité majeur : uploads/Management/ rapport-de-synthese-audit-epa-2018.pdf