Organisation de la sécurité de l’information

5. Article « A.6 ORGANISATION DE LA SECURITE DE L’INFORMATION »

5.1- Principe

Nul n’est qualifié pour connaître des informations de Sécurité d’Etat ou supports s’il n’est habilité au niveau requis et s’il n’a le besoin de les connaître.

5.2- Implication de la direction

a. Le Conseil Supérieur de Défense à Rabat [16] : Partie non diffusée /Contenu Confidentiel

b. L’Ambassadeur de Sa Majesté le Roi [17]:
* Pour le niveau Très Secret :
o Détermine les critères et les modalités d’organisation de la protection et définit des classifications spéciales correspondant aux différentes priorités gouvernementales au sein de l’ambassade et le pays de représentation;
o fixe les conditions dans lesquelles chaque cadre ou agent et département dont il a la charge détermine les informations et supports qu’il y a lieu de classifier à ce niveau;

* Pour les niveaux Secret et Confidentiel :
o Fixe les conditions dans lesquelles chaque ministre, pour le département dont il a la charge, détermine les informations et supports qu’il y a lieu de classifier et les modalités de leur protection;

* Pour les habilitations :
o Définit la procédure préalable à la décision d’habilitation;
o Prend la décision d’habilitation pour le niveau Très Secret et indique les classifications spéciales auxquelles la personne habilitée peut accéder.

Pour l’exercice de ces compétences, l’Ambassadeur est assisté par le conseiller en sécurité, l’attaché militaire et la cellule Sécurité de l’Information.

5.3- Elaboration du Catalogues des Fonctions des Informations de Sécurité d’Etat de l’Ambassade (CFISE)

L’Ambassadeur de Sa Majesté Le Roi assisté par le conseiller en sécurité, l’attaché militaire et la cellule de sécurité de l’Information élaborent les instructions nécessaires pour faire établir au (more…)

La politique de sécurité de l’information

4. Article « A.5 POLITIQUE DE SECURITE »

4.1- Fondements

La politique de sécurité de l’information se base sur la protection de l’information dite de Sécurité d’Etat.
Toutes les informations traitées au sein de l’Ambassade sont considérées des informations de Sécurité d’Etat [16].

Ces informations constituent une cible majeure pour les services étrangers et les groupements ou les individus isolés ayant pour objectif de déstabiliser l’Etat ou la société.
Les informations de Sécurité d’Etat nécessitent une protection particulière, permettant d’en maîtriser et d’en limiter la diffusion, dans des conditions définies dans la présente politique.
L’atteinte à ces informations est considérée selon la législation marocaine comme acte de haute trahison passible à la peine de mort (Article 181 du Code Pénal)23 [18].

Il existe trois niveaux de classification : Très Secret, Secret et Confidentiel.
Les trois niveaux relèvent du périmètre de la défense nationale vue que ce sont des informations de sécurité d’Etat.

Peuvent faire l’objet de ces classifications les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d’un secret de la défense nationale.

Bénéficient également de la protection du secret les lieux qui, en raison des installations ou activités qu’ils abritent, sont classifiés.
L’inobservation des mesures de protection induites par la classification génère la mise en œuvre du dispositif de répression pénale et sera considérée comme un acte de haute trahison. La politique de sécurité vise aussi à rendre responsable, pénalement et administrativement, toute personne ayant accès à des informations ou supports classifiés.

Une information classifiée est (more…)

Implémentation et Mise en œuvre de la norme ISO / CEI 27001

Implémentation et Mise en œuvre de la norme ISO / CEI 27001 – Troisième partie :

1. Introduction

Dans le cadre de ce travail, on procédera à l’implémentation et mise en œuvre de la norme au sein de l’Ambassade du Royaume du Maroc en Tunisie, les services et les départements sous sa tutelle.
Procéder à un travail pareil au sein de la structure nécessite plusieurs autorisations et vérifications au niveau central au Maroc et un suivi rigoureux de la publication des données résultantes de ce travail aux niveaux académiques et professionnel.

Après plusieurs mois de labeur, je ne suis autorisé de diffuser qu’une partie (présente dans ce rapport) de la totalité du travail effectué vu que les informations traitées au sein de l’Ambassade touchent à la sécurité d’Etat.
Après une présentation de la structure d’accueil, on procédera à une présentation succincte de l’audit effectué et les procédures mise en place lors d’implémentation de la norme.

Seules les parties faisant objet d’une approbation centrale et pour les raisons académiques seront présentes dans ce mémoire de Master.

2. Structure d’accueil

Pour un premier lieu, notre travail sera orienté vers la chancellerie diplomatique et sera généralisé sur l’ensemble des services et départements sous la tutelle de l’ambassade.
La chancellerie diplomatique est formée d’une équipe de diplomates et dirigée par l’Ambassadeur.

Elle assiste l’Ambassadeur, en étroite coordination avec les autres responsables des services de l’Ambassade, dans ses fonctions de représentation du Royaume du Maroc en Tunisie, de mise en œuvre de la politique étrangère marocaine, et de promotion auprès des autorités tunisiennes des prises de position du Maroc sur les grands sujets d’actualité .

La chancellerie contribue à la promotion des relations amicales entre le Maroc et la Tunisie par ses (more…)

Phases CHECK et ACT du PDCA de la norme ISO/CEI 27001

La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act) :

4. Phase « CHECK » du PDCA

La phase « Check » du PDCA concerne les moyens de contrôle à mettre en place pour assurer «l’efficacité » du SMSI et sa « conformité » au cahier des charges de la norme ISO/CEI 27001 [10]. Pour répondre à ces deux exigences de la norme, les organismes emploient le contrôle et les audits internes ainsi que les revues de direction.

4.1- Les audits internes

L’audit interne peut s’organiser avec le personnel de l’organisme ou être sous traité à un cabinet conseil. Si l’audit est confié à un collaborateur, il ne faut pas que ce dernier puisse auditer un processus dans lequel il est impliqué au niveau de sa mise en œuvre ou de son exploitation. L’audit a pour but de contrôler la conformité et l’efficacité du SMSI en recherchant les écarts entre la documentation du système (enregistrement, procédures, etc.) et les activités de l’organisme. La norme exige que la méthode utilisée pour l’audit soit documentée dans une procédure et que les rapports soient enregistrés pour être utilisés lors des revues de direction.

4.2- Les contrôles internes

L’objectif du contrôle interne est de s’assurer au quotidien que les collaborateurs appliquent correctement leurs procédures. Contrairement à l’audit interne qui est planifié longtemps à l’avance, les contrôles internes sont inopinés.

4.3- Revues de direction

La revue est une réunion annuelle qui permet aux dirigeants de l’organisme d’analyser les événements qui se sont déroulés sur l’année en cours. Les points passés en revue sont généralement :
– les résultats des audits,
– le retour des parties prenantes,
– l’état des lieux sur les actions préventives et correctives,
– les menaces mal appréhendées lors de l’appréciation des risques,
– (more…)

Phase « DO » du PDCA – la norme ISO/CEI 27001

La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act) :

3. Phase « DO » du PDCA

Cette phase consiste à décrire la mise en œuvre des mesures de sécurité sélectionnées dans le SoA à travers quatre étapes.

3.1- Plan de traitement

Il faut premièrement gérer l’interdépendance des actions à entreprendre. Certaines mesures sont partiellement ou déjà en place, d’autres doivent être intégralement déployées ou nécessitent la mise en œuvre d’une autre action avant de pouvoir être lancées. Ce travail revient à établir un plan de traitement qui peut être assimilé à de la gestion de projet. Une fois ce travail effectué, il faut déployer les mesures de sécurité en suivant le plan de traitement.

Par la suite, le responsable de projet doit définir des « mesures d’efficacité » pour contrôler le bon fonctionnement du SMSI.

3.2- Choix des indicateurs

Ce point consiste à mettre en place des indicateurs de performance pour vérifier l’efficacité des mesures de sécurité ainsi que des indicateurs de conformité pour contrôler la conformité du SMSI. Trouver de bons indicateurs n’est pas une tâche facile. La norme ne préconise pas d’indicateurs précis à utiliser mais l’ISO/CEI 27004 propose une démarche qui peut aider à les sélectionner [10].

L’étape suivante concerne la sensibilisation des collaborateurs aux principes de la sécurité de l’information.

3.3- Formation et sensibilisation des collaborateurs

Nous avons vu que les mesures de sécurité couvrent de nombreux domaines allant de la sécurité organisationnelle à la sécurité physique, en passant par la sécurité des systèmes réseaux etc. Les collaborateurs doivent maîtriser les outils de sécurité déployés dans les domaines très variés. Une formation du personnel peut s’avérer nécessaire.

La sensibilisation à la sécurité du système (more…)