Professional Documents
Culture Documents
Modèle Cartographie Risques 07.02.19
Modèle Cartographie Risques 07.02.19
Côte d’Ivoire
Logiciels - Sécurité - Conseil info@elite-ci.com
www.ELITE-CI.com
Tél.: +225 20 22 61 92
CLIENT : XXX
MOIS ANNEE
Code: CART-RSQ
Version: 0.1
Date de la version: 30-01-2019
Créé par:
Approuvée par: Rockya FOFANA
Niveau de PUBLIC
confidentialité:
XXX
Les activités essentielles des différents Services de la BDU-CI sont répertoriées dans les tableaux ci-dessous.
A- Service Financier et Comptable
Sources :
- « FICHE PROCESSUS(ACTIVITES)_COMPTA_FIN » 02/03/2018.
- « FICHE SERVICE METIER_COMPTA_FIN » 02/03/2018.
B- Service juridique
Sources :
- « FICHE PROCESSUS(ACTIVITES)_JURIDIQUE » 02/03/2018.
- « FICHE SERVICE METIER_JURIDIQUE » 02/03/2018.
C- Service DSI
Sources :
- « FICHE PROCESSUS(ACTIVITES)_DSI » 12/03/2018.
- « FICHE SERVICE METIER_DSI » 12/03/2018.
ACTIVITES ESSENTIELLES OBJECTIFS
Administration systèmes
Administration des bases de données Assurer le fonctionnement optimal des systèmes
Gestion de la monétique d’information
Assistance aux utilisateurs Assurer la sécurité des données des réseaux et des
Formations sauvegardes
Installation / MAJ / administration Assurer la maitrise des outils informatiques à travers la
logiciels formation et la sensibilisation des utilisateurs.
Administration réseaux Identifier les problèmes et trouver des solutions
Etude et développement stratégiques
Négociation de contrat Aligner la vision de la Direction Générale avec l’évolution
Veille technologique des systèmes d’information.
à rendement récurrent
Gérer les canaux de distribution
Garantir la visibilité et la qualité de l’image de la BDM SA
et en accroître l’accessibilité ;
Avoir une visibilité sur chaque site (Agence et bureaux) ;
Gérer la monétique.
ACTIVITES PROCESSUS
Assurance de la permanence des ressources disponibles
Valorisation des flux financiers
Recherche de partenaires et de modes de financement
Gestion de la trésorerie
Analyse de risques et mise en œuvre des couvertures de risques
appropriées
Service juridique
Activités Processus
Sensibilisation et conseil
Service DSI
Activités Processus
Envoyer / recevoir les fichiers de traitement vers /de la maison mère à Bamako
Gestion de la monétique
Commande des cartes des clients
Gestion des réclamations
Gestion des problèmes quotidiens des utilisateurs liés à l’utilisation du système
Assistance aux utilisateurs
d’information
Administration du serveur amplitude
Installation / MAJ / admin
des logiciels Administration de webclearing, SMS banking, B2W, western union, warl,
moneygram
Interco agences
Monitoring des liaisons
Administration réseaux Gestion des VPN avec les partenaires (orange, BCEAO, BDM-SA, Wari)
Activités Processus
Accueil et information du prospect
Activités Processus
Activités Processus
Audit Interne Elaborer des rapports hebdomadaires, mensuels et annuels ;
Assurer la sécurité des biens de la banque et surtout la
sécurité du système informatique ;
Contrôles journaliers
S'assurer que les arrêtés des gab et dab du siège sont bien
effectués,
Contrôles hebdomadaires
Contrôles mensuels
Ordinateur
Amplitude
Gestion de la trésorerie Pack Microsoft office BECEAO
Imprimante
Internet
SAGETIL
Ordinateur
Amplitude
Gestion de la comptabilité Pack Microsoft office BECEAO
Imprimante
Internet
SAGETIL
Ordinateur
Amplitude
Gestion des reportings
Pack Microsoft office
réglementaires
Imprimante
Internet
SAGETIL
Ordinateur
Amplitude
Gestion et suivi des engagements Pack Microsoft office
Imprimante
Internet
SAGETIL
B- Service Juridique
C- Service DSI
messagerie
LAPTOP
Administration des bases de données Accès aux Serveurs de base de Sopra Banking and Software
données
Laptop
Accès aux serveurs
Administration systèmes VIPNET (INTERNET)
TSM (tivoli storage manager)
Internet
Laptop - ICBM
Accès aux serveurs - BDM-SA
Gestion de la monétique
Interco BDU-CI/BDM-SA - VIPNET
Internet - POWERCARD
hote sms banking windows server 10.80.1.160 hote serveur sms banking P
compensation
sica prod windows server Oracle_express 10 Oracle glassfish 10.80.10.138 V
BCEAO
amplitude rh windows server Oracle_express 10 Tomcat 10.80.10.140 gestion des paies BDU V
compensation
sica test windows server Oracle_express 10 10.80.10.139 V
BCEAO test
paie test windows server Oracle_express 10 10.80.10.142 gestion des paie BDU test V
Partage monétique
windows server SFTP 10.80.1.83 Partage de fichiers V
bdm
Serveur d’échange
ProdSwift windows server 10.80.10.131 Opération SWIFT V
de fichiers
DNS, WSUS,AD,Serveur
AD/DNS windows server 10.80.10.134 V
relais, Bitdefender
Redhat 6
PROD
Redhat Apache 10.80.20.23 E-banking V
WEBBANKING
Tomcat
PROD Mysql
WEBBANKING Redhat 10.80.0.103 E-banking V
AMPLITUDE Généro
CENTREON
Supervision des
CENTREON Unix Apache Linux 10.80.1.187 infrastructures V
informatique
Contrôleur d’accès au
CISCO-ISE cisco ios 10.80.1.245 P
réseau
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 24 SUR 56
ELITE-CI 06 BP 1952 Abi
Côte d’Ivoi
Logiciels - Sécurité - Conseil info@elite-ci
www.ELITE-CI.com
Tél.: +225 20 22
TREICHVILLE 1Mbps
BUVPN170122 ORANGE
KM4
2 PLATEAUX
1Mbps VIPNET
VALLON
Noms Activités
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 25 SUR 56
ELITE-CI 06 BP 1952 Abi
Côte d’Ivoi
Logiciels - Sécurité - Conseil info@elite-ci
www.ELITE-CI.com
Tél.: +225 20 22
Dans cette section, les activités menées au sein de chaque service sont analysées pour identifier celles qui sont
critiques à la continuité d’activité de la BDU-CI.
a. Méthodologie
Etape 1 :
Les FICHES PROCESSUS remplies par les différents Services ont permis de déterminer la gravité des
conséquences de l’interruption d’une activité essentielle selon les 9 critères suivants :
- Humain (protection des travailleurs)
- Financier
- Contractuel (pénalités, résiliations)
- Environnement (pollution)
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 26 SUR 56
ELITE-CI 06 BP 1952 Abi
Côte d’Ivoi
Logiciels - Sécurité - Conseil info@elite-ci
www.ELITE-CI.com
Tél.: +225 20 22
Pour chaque critère, chaque Service a attribué un chiffre de 1 à 4 pour qualifier la gravité de la conséquence
d’une interruption de l’activité comme suit :
- 1 : très faible
- 2 : faible
- 3 : fort
- 4 : très fort
Etape 2 :
L’on peut maintenant établir un classement et en déduire les activités critiques, en opérant comme suit :
- Affecter à chaque colonne une pondération, telle que :
o Un poids double pour les pertes financières, la dégradation de l’image et l’aspect opérationnel ;
o Un poids simple pour tous les autres critères.
Etape 3 :
Ainsi, le niveau de gravité sera un chiffre compris entre 12 et 48. Pour chacune des activités d’un service
donné on fait un classement dans l’ordre croissant.
Les activités dont la gravité est au-dessus de la moyenne de 30 sont considérées comme critiques et donc
nécessiteront un traitement prioritaire en cas de sinistre.
Etape 4 :
En cas de sinistre, il faut bien connaitre les processus voire les activités qui devront être remis en marche
prioritairement. Au vu de la gravité de l’interruption des activités on établit un ordre de priorité de reprise.
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 27 SUR 56
ELITE-CI 06 BP 1952 Abidjan 06
Côte d’Ivoire
Logiciels - Sécurité - Conseil info@elite-ci.com
www.ELITE-CI.com
Tél.: +225 20 22 61 92
Lorsqu’on fait un classement en tenant compte de la gravité calculée, on obtient dans l’ordre décroissant une liste des activités les plus critiques aux activités
les moins critiques :
Gestion de la comptabilité (34)
Comptabilisation des engagements (32)
B- Service Juridique
Activités Durée
acceptable en
Envi- Juridique/ Ordre
Financie Opéra- Perte Psycho- Gravité mode
Humain Contractuel ronne- règle- Social DIMA de
r tionnel d’image logique calculée dégradé
mental mentaire priorité
(Informations
attendues)
Gestion juridique 2 2 3 1 4 2 2 3 2 28
3
12 à 48h
Gestion des 1 4 3 1 2 2 2 2 1 26
recouvrements et 12 à 48h 1
contentieux
Gestion des 2 4 3 1 3 2 1 2 1 27
12 à 48h 2
risques
Coefficient 1 2 1 1 1 2 1 2 1
Lorsqu’on fait un classement en tenant compte de la gravité calculée, on obtient dans l’ordre décroissant une liste des activités les plus critiques aux activités
les moins critiques :
Gestion juridique (28)
Gestion des risques (27)
Gestion des recouvrements et contentieux (26)
Toutes les activités du Service Juridique ont un score en dessous de la moyenne (30). Par conséquent, ces activités ne sont pas critiques.
En cas de sinistre, on devra reprendre les activités du service Financier et Comptable dans l’ordre suivant :
C- Service DSI
Lorsqu’on fait un classement en tenant compte de la gravité calculée, on obtient dans l’ordre décroissant une liste des activités les plus critiques aux activités
les moins critiques :
Administration des bases de données (33)
Administration réseaux (32)
Dans notre cas, l’activité a un score (31) qui est au-dessus de la moyenne donc pour ce cas de figure, l’activité du Service des Opérations est une activité
critique.
En cas de sinistre, on devra reprendre prioritairement l’activité :
1- Prendre en compte et traiter correctement les ordres émis par la clientèle
Dans notre cas, toutes les activités ont le même niveau de gravité (25) qui est en dessous la moyenne donc pour ce cas de figure, toutes les activités du Service
des Exploitations ne sont pas des activités critiques.
Cependant, en fonction du délai maximal de reprise affecté à chaque activité on pourra définir l’ordre de reprise d’activité dans le service des Exploitations en
cas de sinistre.
En cas de sinistre on devra reprendre les activités du service des Exploitations dans l’ordre suivant :
1- Vendre les produits et services
2- Gérer l’entrée en relation
F- Service Ressources humaines et Logistiques
Temps mode
Envi- Juridique/ DIMA Ordre
Finan- Contra Opéra- Perte Psycho- Gravité dégradé
Activités Humain ronne- règle- Social (Informations de
cier -ctuel tionnel d’image logique calculée (Informations
mental mentaire attendues) priorité
attendues)
Gestion des
3 3 3 3 1 3 3 2 3 27 1
agents
Logistiques 3 3 3 3 1 3 3 2 3 27 2
Coefficient 1 2 1 1 1 2 1 2 1
Dans notre cas, les deux activités ont un score de (27) qui est en-dessous de la moyenne donc pour ce cas de figure, les deux activités du service ressources
humaines ne sont pas des activités critiques.
En cas de sinistre, on devra reprendre prioritairement l’activité :
1- Gestion des agents
2- Logistiques
En cas de sinistre on devra reprendre les activités du service des Exploitations dans l’ordre suivant :
1- Contrôle permanent et conformité
2- Audit interne
I- CONTEXTE ET OBJECTIF
Il est tentant de se prémunir globalement contre les « coups durs », sans analyser ce qui pourrait se
passer réellement. Cette approche est d’ailleurs la plus naturellement suivie. Elle présente cependant
plusieurs inconvénients :
L’entreprise est préparée à faire face à un événement qui a en fait peu de chance de se
produire, alors qu’elle a négligé des menaces qui, elles, sont bien plus probables.
L’absence de connaissance précise des menaces peut rendre les plans de reprise irréalistes car
ne tenant pas compte de l’ensemble de la situation créée par le sinistre, qui a été trop
caricaturé dans les études.
Il devient donc nécessaire de passer en revue un certain nombre de menaces et d’étudier leurs
conséquences possibles sur l’activité de l’entreprise. C’est la combinaison de ces menaces et de leurs
conséquences néfastes probables que l’on appelle un risque.
L’objectif est de présenter clairement les différents risques encourus par le système d’information de
la BDU et d’en déduire les conséquences.
Ce travail se fera en plusieurs étapes en se basant sur la méthodologie MEHARI.
MEHARI est la méthode harmonisée d'analyse des risques. C’est une méthode de gestion de risque
associée à la sécurité de l'information d'une entreprise ou d'un organisme.
Incendie 3- Moyenne
Vieillissement 3- Moyenne
Endommagement
Erreur de manipulation 4- Forte
physique Accident provoqué par erreur humaine
Erreur de procédure 4- Forte
Accident touchant des éléments nécessaires aux opérations Destruction ou endommagement de clé 1- Très faible
Type de dommage
Type de menace Origine de la menace Vraisemblance
Type de dommage
Type de menace Origine de la menace Vraisemblance
Accident touchant des éléments Indisponibilité des moyens de communication avec le prestataire 2- Faible
Inopérabilité
nécessaires aux opérations Indisponibilité des conditions administratives (contrat, financement) 2- Faible
Action volontaire du personnel Démission collective massive 3- Moyenne
d’exploitation Mouvement social avec arrêt de travail 3- Moyenne
Vraisemblance Menaces
Malveillance par dégradation volontaire et dégradation indirecte
Accident touchant des éléments nécessaires aux opérations : Absence d’énergie, de
climatisation
Action volontaire du personnel d’exploitation : Démission collective massive, Mouvement
2- Faible social avec arrêt de travail
Disparition accidentelle de matériels
Duplication volontaire de l’élément matériel
Accident provoqué par erreur de manipulation
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 46 SUR 56
ELITE-CI 06 BP 1
Cô
Logiciels - Sécurité - Conseil info@
www.ELITE-CI.com
Tél.: +2
Immatériel
Suppression par erreur de dispositifs de sécurité
Falsification de données
Disparition du prestataire
Arrêt volontaire d’activité du prestataire
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 47 SUR 56
ELITE-CI 06 BP 1
Cô
Logiciels - Sécurité - Conseil info@
www.ELITE-CI.com
Tél.: +2
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 48 SUR 56
ELITE-CI 06 BP 1
Cô
Logiciels - Sécurité - Conseil info@
www.ELITE-CI.com
Tél.: +2
physique/virtuel
Risque lié à l’alimentation des
équipements
Risques provoqués
Contrefaçons
Intrusions
Risque lié à la disparition
volontaire du matériel
Vol d’informations sensibles
1- Risque et impact
RISQUES IMPACTS
Contrefaçons
Défaillance du matériel
Risque économique
Risque sanitaire
Risque d’explosion
3- Modéré
Indisponibilité d’alimentation de téléphonie
Manque d’anticipation
Risque lié aux prestataires
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 49 SUR 56
ELITE-CI 06 BP 1
Cô
Logiciels - Sécurité - Conseil info@
www.ELITE-CI.com
Tél.: +2
Concurrence
Risque lié aux clients
Risque lié aux fournisseurs 2- Mineur
Risque accidentel de pollution
Fonction de pilotage déficiente
Absence de coordination
Risque lié à la responsabilité civile et pénale
1- Insignifiant
Risque lié à la protection des travailleurs
Risque lié à la protection de l’environnement
Hétérogénéité des systèmes d’informations décisionnels
Défaillance du matériel
Concurrence 2- Faible
Risque lié aux clients
Risque lié aux fournisseurs
Risque sanitaire
Risque pandémique
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 50 SUR 56
ELITE-CI 06 BP 1
Cô
Logiciels - Sécurité - Conseil info@
www.ELITE-CI.com
Tél.: +2
Risque d’explosion
Risque accidentel de pollution
Indisponibilité d’alimentation de téléphonie
Contrefaçons
Absence de tableau de bord pertinent
Manque d’anticipation
Hétérogénéité des systèmes d’informations décisionnels
Fonction de pilotage déficiente
Très faible 1 6 5 4 3 2
Faible 2 7 6 5 4 3
Moyenne 3 8 7 6 5 4
Forte 4 9 8 7 6 5
Très forte 5 10 9 8 7 6
CARTOGRAPHIE_RISQUES CLIENT_30.01.19
PAGE 51 SUR 56
ELITE-CI 06 BP 1952 Abidjan 06
Côte d’Ivoire
Logiciels - Sécurité - Conseil info@elite-ci.com
www.ELITE-CI.com
Tél.: +225 20 22 61 92
Forte Vol d’informations Risque lié au personnel (grève, conflit social) Risque lié aux
sensibles Indisponibilité du réseau prestataires
Impact
Panne logicielle
Défaillance d’un serveur
3 Erreur touchant des éléments nécessaires aux opérations
physique/virtuel
Attaque en déni de service
Saturation accidentelle (incapacité système à traiter des appels
multiples)
4 Défaillance d’une application Erreur touchant des éléments nécessaires aux opérations
Attaque en déni de service
Panne logicielle
Incendie
5
Accident grave d’environnement Foudroiement
Inondation
Risque lié à l’alimentation des
6 Absence d’énergie, panne d’électricité
équipements
Risque lié à une crise socio-
7 Guerre, crise socio-politique
politique du pays
Risque lié à la disparition
Perte / oubli
8 (accidentelle/volontaire) du
Vol
matériel
Démission collective massive
Mouvement social avec arrêt de travail
Risque lié au personnel (grève, Arrêt volontaire d’activité
9
conflit social, …) Cas de maladie
Accident touchant le personnel
Absence accidentelle de personnel
10 Indisponibilité du réseau Attaque en déni de service
Scenario 1
Indisponibilité de matériel Scenario 2
Indisponibilité d’une Scenario 3
ressource humaine Indisponibili
té d’un
prestataire
Risque lié à la crise socio-politique du
Risque lié à la disparition Risque lié à la crise socio-politique du pays
(accidentelle/volontaire) du matériel (8) (7) pays (7)
Défaillance du matériel (13) Risque lié au personnel (grève, conflit Risque lié aux prestataires (12)
Indisponibilité du réseau (10) social, …) (10)
Scénario 5
Scénario 4 Indisponibilité au siège Scénario 6
Indisponibilité totale Indisponibilité totale de
d’une agence la BDU-CI au niveau
Scénario 5A : Les bureaux et locaux national
Accident grave d’environnement (5)
Scénario 5B : Le datacenter
Scénario 4A : agence d’Abidjan y Vol d’informations sensibles (1) Risque lié à une crise socio-
compris le siège Intrusions (2) politique (7)
Accident grave d’environnement (5) Défaillance d’un serveur physique/virtuel (3)
Risque lié à la crise socio-politique du Défaillance d’une application (4)
pays (7) Risque lié aux erreurs de manipulation ou dans le
Scénario 4B : agence de l’intérieur de la suivi d’une procédure (11)
CI
Accident grave d’environnement (5)
Accident grave d’environnement (5)
Indisponibilité du réseau (10)
Risque lié à la crise socio-politique du
Risque lié à l’alimentation des équipements (6)
pays (7)