Les implications politiques de la dématérialisation révèlent des enjeux cruciaux pour CAMTEL, notamment en matière de sécurité et de traçabilité. Cette recherche innovante propose une plateforme intégrée, transformant les défis en opportunités avec un retour sur investissement de sécurité impressionnant de 108,7 % par an.
Réalisation du SMSI
Etude du contexte de l’entreprise
La réalisation de la méthode EBIOS commence par l’étude du contexte de l’entreprise. Cette étape vise à de déceler les différentes vulnérabilités.
3 Un IDE (Environnement de Développement Intégré) facilite l’édition du code source des logiciels et leurs compilations.
- Présentation de l’entreprise et Contraintes
La présentation de CAMTEL a déjà été faite à l’introduction générale. Dans la réalisation de ses missions, elle a pour ministère de tutelle le MINPOSTEL. Pour se doter d’infrastructures et des technologies de pointe, elle s’appuie sur des équipementiers de télécommunications tels que HUAWEI, ZTE, CISCO, … et s’entoure d’entreprises du secteur des télécommunications comme partenaires. Elle se doit de protéger les données relatives à ses abonnées et aux différentes installations et de garantir l’ubiquité de ses services avec un budget provenant des subventions de l’Etat Camerounais.
Les catégories du personnel sont diversifiées et les horaires de travaux précises. Un service de sécurité permet de contrôler les entrées sur site. Elle utilise : des applications professionnelles du domaine des télécommunications, la technologie VPN, des technologies RAID pour la sauvegarde des données et des pare feux. La maintenance de certains équipements est externalisée et le mode de fonctionnement des applications est orienté services.
Elle est repartie sur plusieurs sites géographiques distincts dans tous les dix régions du Cameroun. Dans les dix régions du Cameroun, elle dispose des délégations urbaines et prévoit l’extension de son réseau en Afrique. Son siège social est à Yaoundé. Les décisions stratégiques sont validées par la Direction générale. Les contraintes d’ordre réglementaire sont régies en grande partie par les lois en vigueur relatives à la communication électronique, à la cybersécurité et la cybercriminalité du Cameroun.
- Système cible de l’étude
Notre étude portera uniquement sur une partie du système d’information appelée système cible qui est constituée de :
- F1 : services de demandes d’abonnements aux installations et de suivi de dossiers
- F2 : gestion des études des dossiers de demandes d’installations
- F3 : analyse des données d’installation
- F4 : La gestion des ressources humaines et matérielles de l’installation
- F5 : La gestion des formats de demandes, d’études et de rapports d’installation
- Architecture du SI concernant le système cible
CAMTEL pour des raisons de sécurité dispose d’une zone démilitarisée (DMZ) qui contient les ressources partagées entre l’intranet et le public. Les directions, les sous directions, les clients et le personnel mobile de CAMTEL accèdent aux services de dématérialisation à partir de leurs navigateurs via le protocole HTTP (HyperText Transfer Protocol). Le système NGBSS, les clients
et personnels mobiles doivent communiquer avec la plateforme en utilisant des e-services. Avec le système NGBSS ce mode est obligatoire. Mais avec les clients et personnels mobiles, ce mode de communication n’est applicable que lorsqu’ils utilisent l’application Android. La figure 3.2 présente l’architecture du SI de dématérialisation.
[9_implications-politiques-de-la-dematerialisation-chez-camtel_11]
Source: URL
Figure 3.2 : Architecture de la plateforme de dématérialisation
- Règles de sécurité du système d’informations
CAMTEL pour assurer la sécurité de son SI fixe les règles suivantes : l’accès à la salle de serveurs se fait par carte magnétique ; les salles de serveurs sont climatisées ; les salles serveurs disposent des caméras pour la vidéo-surveillance ; l’accès aux applications est régi par un système d’utilisateur/mot de passe ; des extincteurs sont installés dans les salles serveurs ; les salles serveurs disposent de sorties de secours ; les sauvegardes automatiques sont faites ; les réseaux sont segmentés ; un système de groupes électrogènes
existe et entre en fonctionnement après quelques secondes de coupures ; des onduleurs disposant de batteries de quelques minutes sont présents dans les réseaux dans le but d’éviter les fluctuations de tensions ; les équipements des salles serveurs sont déposés sur des planchers pour éviter les inondations ; les câbles réseaux sont véhiculés dans des tubes résistants aux rongeurs.
- Enjeux du système cible
CAMTEL veut fournir à ses clients une plateforme Web/Mobile disponible à 99.999% pour le suivi en temps réels de leurs installations. Les informations personnelles des clients circulent alors via INTERNET, pour ce CAMTEL se doit de les protéger. Le personnel mobile de CAMTEL doit pouvoir accéder à la plateforme partout, n’importe et en toute sécurité ; la signature des documents électroniques doit être fiable, à cet effet le serveur de certificats doit être sécurisé et le temps d’horodatage utilisé pour la signature doit être fiable ; Le système de facturation NGBSS doit communiquer avec la plateforme. A cet effet, ces échanges doivent être fortement sécurisés.
- Eléments essentiels du SI
Il s’agit particulièrement des éléments de la table 3.6. Ces éléments sont au cœur du métier et permettent la traçabilité des opérations dans le workflow du processus d’installation.
Tableau 3.6 : éléments essentiels du SI
|
|
- Liste des Ressources utilisées par le système cible
Le système cible utilise les ressources spécifiées dans la table suivante.
Tableau 3.7 : ressources utilisées par le système cible.
E1 : Intranet. E2 : Internet. E3 : Réseau Local E4 : Système NGBSS E5: SGBD Oracle E6 : Serveur GlassFish E7 : serveur de stockages certificats E8 : serveur de temps E9: Système d’exploitation E10: Matériel ordinateur portable. | E11 : Périphérique de traitement : Imprimante réseaux. E12 : Support (bandes magnétiques). E13 : Support papier. E14 : Energie électrique. E15: Equipements réseaux (Switch, router). E16: Messagerie d’entreprise et outil de collaboration E17 : Locaux (bâtiments). E18 : Groupe électrogène. E19 : Onduleurs. E20 : Climatisation. |
La table 3.8 présente comment les processus du système cible, exploitent ces ressources.
Tableau 3.8 : Matrice d’utilisation de ressources par le système cible.
E1 | E2 | E3 | E4 | E5 | E6 | E7 | E8 | E9 | E10 | E11 | E12 | E13 | E14 | E15 | E16 | E17 | E18 | E19 | E20 | |
F1 | x | x | X | x | x | x | x | x | x | x | x | x | x | |||||||
F2 | x | x | x | X | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
F3 | x | x | X | x | x | x | x | x | x | x | x | x | ||||||||
F4 | x | x | X | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | ||
F5 | x | x | X | x | x | x | x | x | x | x | x | x | x |
Il se dégage donc que les ressources systèmes qui sont les plus convoitées sont : Internet, le réseau local, le SGBD Oracle, le Serveur GlassFish, le serveur de stockage de certificats, le serveur de temps, les systèmes d’exploitation, le matériel ordinateur portable, les supports (bandes magnétiques), l’énergie électrique, les équipements réseaux (Switch, routeur), la messagerie d’entreprise et les outils de collaboration, les Locaux (bâtiments), les groupes électrogènes, les onduleurs et équipements de climatisation.
Expression des besoins de sécurité et étude des vulnérabilités du système
- Critères de sécurité
Afin de rendre cette étude plus précise, il est nécessaire d’établir une graduation et de déterminer des valeurs de références pour chacun des critères de sécurité déterminés précédemment. A partir des enquêtes et interviews effectués auprès des clients et techniciens, nous obtenons la classification de la table 3.9.
Tableau 3.9 : Echelle des besoins de sécurité
Note | Confidentialité | Disponibilité | Intégrité | ||||
0 | L’élément est accessible à tous sans restriction. | L’élément définitivement impact. | peut être indisponible ou pas sans que cela ait un | Il n y a aucun besoin de garantir l’intégrité de l’entité. | |||
1 | L’élément n’est accessible qu’aux employés de CAMTEL et au client concerné. | L’élément peut être indisponible plus d’un mois sans que cela ait un impact. | |||||
2 | L’élément n’est accessible qu’aux employés de CAMTEL | L’élément doit être disponible dans le mois. | Besoin d’intégrité moyen. | ||||
3 | L’élément n’est accessible qu’aux employés de la direction responsable du projet. | L’élément doit être disponible dans la semaine. | |||||
4 | L’élément n’est accessible qu’aux responsables des directions concernées, à la direction générale de CAMTEL, et à certains systèmes internes et partenaires (comme l’Etat). | L’élément doit être disponible en temps réel. | L’élément intègre. | doit | être | parfaitement | |
- Expression des besoins de sécurité
Afin de déterminer les besoins en sécurité des entités sensibles et des unités fonctionnelles déterminées à l’étape précédente, nous avons dans un premier temps, déterminé des impacts pertinents en collaboration avec la direction générale qui sont présentés ci-après : Arrêt total de fonctionnement de la plateforme de dématérialisation, Perte totales de l’historique des transactions, Perte de données de facturation, Perte du d’une part du chiffre d’affaire, Perte d’image de marque ou Infraction aux lois et règlements.
Après analyse, nous avons pu classer les entités essentielles dans la table 3.10 ci-après :
Tableau 3.10 : expressions des besoins de sécurité des actifs de la plateforme
Confidentialité | Intégrité | Disponibilité | |
I1 | 0 | 4 | 4 |
I2 | 0 | 4 | 1 |
I3 | 1 | 4 | 4 |
I4 | 1 | 4 | 4 |
I5 | 1 | 4 | 4 |
I6 | 2 | 4 | 4 |
I7 | 1 | 4 | 4 |
I8 | 4 | 4 | 4 |
I9 | 0 | 4 | 4 |
I10 | 3 | 4 | 4 |
F1 | 0 | 4 | 4 |
F2 | 3 | 4 | 4 |
F3 | 3 | 2 | 1 |
F4 | 4 | 4 | 3 |
F5 | 4 | 4 | 1 |
Ces statistiques montrent l’inéluctable nécessité d’accorder beaucoup plus d’intérêts aux services d’intégrité et de disponibilité en faveur des actifs de CAMTEL.
- Etude des vulnérabilités
Nous avons déterminé les vulnérabilités potentielles pesant sur notre système en les regroupant selon les trois niveaux d’appréhension de la sécurité informatique qui sont [7] : Sécurité Organisationnelle, Sécurité Physique et Sécurité Technologique. Ces vulnérabilités recensées sont consignées dans le tableau 3.11. Les colonnes représentent les vulnérabilités et les risques ; les lignes reprennent les trois niveaux d’appréhension de la sécurité informatique.
Tableau 3.11 : vulnérabilités de la plateforme
Type de de menaces | Vulnérabilités | Risques |
Organisationnel | Politique de sécurité globale existante mais pas de politique de sécurité particulière pour la plateforme | Plateforme exposée à tous types d’attaques |
charte d’utilisation de la plateforme non encore existante | Négligence des utilisateurs pouvant être fatale à leurs sécurités et compromettre la sécurité de la plateforme | |
Politique d’accès et classification de données pas encore existent pour la plateforme | Divulgation des informations | |
Politique de sauvegarde spécifique non existent pour la plateforme | Capacité de reprise après incident affaiblie | |
Les applications de la plateforme ne sont pas encore documentées | Maintenances très difficile | |
Politique d’échanges de données de la plateforme avec l’extérieur non définie | Divulgation de l’information confidentielle | |
Politique de gestion de mot de passe inexistant | Intrusion au réseau, attaque d’accès | |
Politique de gestion de clés de cryptographie | Falsification des documents, signature frauduleuse, atteinte à la confidentialité des données | |
Physique | Absence de matériel de destruction de documents | Confidentialités des documents affaiblies |
Système de sauvegarde hors site spécifique absent pour la plateforme | Capacité de reprise après incident limitée | |
Le serveur de certificat est dans la DMZ | Attaque d’accès, compromission de l’intégrité des documents électronique | |
Le serveur de temps est dans la DMZ | Dos du service de temps, paralysie du système de signature, compromission, compromission de l’intégrité des documents électronique | |
La BD de la plateforme est dans la DMZ | Attaque par l’accès, reconnaissance, Dos, intégrité et confidentialité affaiblies |
Vidéosurveillance mais aucun agent de sécurité pour garder les serveurs | Attaque par l’accès, reconnaissance, Dos | |
Technologique | Protocole d’échange http | Intrusions réseaux, attaque de l’homme du milieu |
Les agences et les directions communiquent avec la plateforme via INTERNET | Dos, intrusions dans le Réseau | |
Aucun IDS Réseau ou machine | Intrusion, | |
Aucun IDS applicatif n’existe pour ORACLE | injection SQL, perte de données, affaiblissement de l’intégrité et de la confidentialité | |
Le protocole d’e-service d’échange n’est pas spécifié | Intrusions réseaux, attaque de l’homme du milieu | |
Aucun protocole sécurisé d’échange de clés n’est définie | Intrusions réseaux, attaque de l’homme du milieu | |
Les ports de certains PC et serveurs non utilisé sont ouverts | Attaques par reconnaissance, accès | |
Aucun mécanisme de journalisation n’est défini pour la plateforme | Reniement d’action | |
Les PCs possèdent au plus qu’un antivirus de mise à jour non contrôlées | Attaque par les logiciels malveillants | |
Protocole d’échange avec NGBSS et extérieur non spécifiée |
________________________
3 Auchan Les 4 Temps, La Défense. ↑
Questions Fréquemment Posées
Quelles sont les contraintes réglementaires de CAMTEL concernant la dématérialisation ?
Les contraintes d’ordre réglementaire sont régies en grande partie par les lois en vigueur relatives à la communication électronique, à la cybersécurité et la cybercriminalité du Cameroun.
Comment CAMTEL assure-t-elle la sécurité de son système d’information ?
CAMTEL fixe des règles de sécurité telles que l’accès à la salle de serveurs par carte magnétique, la climatisation des salles, la vidéo-surveillance, et un système d’utilisateur/mot de passe pour accéder aux applications.
Quels services sont inclus dans le système cible de dématérialisation de CAMTEL ?
Le système cible comprend des services de demandes d’abonnements, la gestion des études des dossiers de demandes d’installations, l’analyse des données d’installation, et la gestion des ressources humaines et matérielles.