Réunion de Présentation des résultats d’Audit

30-10-2015 à 15h

Présentation des Résultats de

l’Audit du Registre Electoral 2014

Présenté par Mr Khemiri Elyes – Consultant en Sécurité des SI

Certifié ISO 27001-Lead Auditor
Certifié ISMS TUV
Certifié ANSI
Concepteur et Développeur des scripts Pentesting (HAIM)
1
Périmètre & Prestations
 Périmètre d’Audit : Environnement
support du Registre électoral 2014
 Audit sur terrain (locaux Siège de l’ISIE +
locaux du CNI) : Période du 17 Août 2015
au 11 Septembre 2015
 Equipe Intervenante:
 Mr Elyes Khemiri, Chef de Projet, Expert Senior en Sécurité des SI, Certifié ISO 27001-
Lead Auditor
 Mr Mohamed Basti, Membre Auditeur, Expert d'Audit informatique , Certifié CISA/CISM,
ISO 27001 Lead Auditor
 Mr Aymen Belkhiria, Membre Auditeur, Expert d'Audit des performances
2
 Prestations
 Tests de performance du SGBD [Noyau de la base de
données / support des données de la Plateforme Registre
électoral 2014]
 Audit du Processus d'importation du Registre
électoral 2011
 Audit Sécurité du Registre électoral 2014

3
 Références Normatives & Méthodes & Outils
 Audit de Conformité ISO 27002:2013
 Estimation des Risques (ISO 27005)
 Méthode d’échantillonnage pour l’examen croisé des registres
2011 et 2014 ainsi que pour l’examen croisé du registre
électoral 2014 et des listes électorales publiées
 Outils et Benchmarks pour les tests de performances
SGBD/OS/Applicatif/Réseau

4
Livrables d’Audit

 Rapport détaillé d’Audit

 Rapport de Synthèse destiné au Conseil de
l’ISIE
 Présentation des Résultats d’Audit

6
Partie - Audit Sécurité Registre
électoral 2014 [Audit de conformité ISO 27002:2013]

7
Politique de Sécurité SI [Réf ISO 27002:2013 – A.5]
 Inexistence d’un Manuel de Politique de Sécurité SI-ISIE

Organisation de la sécurité [Réf ISO 27002:2013 – A.6]

 Inexistence d’une définition d'une organisation de la sécurité du SI-ISIE :
[inexistence d'un comité de sécurité, un RSSI & inexistence d’une définition
des responsabilités/attributions en matière de la Sécurité SI]

La Sécurité des Ressources Humaines [Réf ISO 27002:2013 – A.7]

 Inexistence d’une Charte de Sécurité approuvée par un comité de sécurité,
diffusée et signée par le personnel de l'ISIE englobant des engagements de
confidentialité à respecter pour la plateforme électorale

Gestion des actifs [Réf ISO 27002:2013 – A.8]

 Existence d’une description des composants de l'infrastructure matérielle
 Inexistence d'un document formel d'Appréciation des Risques IT de la
plateforme support du registre électoral 2014 8
Contrôle d’accès[Réf ISO 27002:2013 – A.9]
 Mise en place d'une architecture réseau & sécurité de la plateforme d’inscription
des électeurs

Sécurité liée à l’exploitation [Réf ISO 27002:2013 – A.12]

 Existence d'une solution antivirale réseau (Agents pour Serveurs et pour postes
de travail) de type Symantec Endpoint Protection 12.1.4
 Réalisation des opérations de périodique de sauvegarde des données sous
Postgresql (Base de données électorale)

9
Sécurité liée à l’exploitation [Réf ISO 27002:2013 – A.12]

 Les dossiers applicatifs, code sources et les fichiers de configurations des

serveurs WEB, d'applications et le fichier de configuration du noyau base de
données (Postgresql) ont été sauvegardées (d'une manière manuelle) à chaque
modification effectuée de type mise à jour de version, amélioration et
renforcement de la sécurité des configurations ou corrections appliquées sur le
code
 Sauvegarde des fichiers de configuration d’équipements réseau & sécurité à
chaque modification effectuée
 Inexistence d’une politique formelle de sauvegarde + Inexistence d’une
armoire Anti-feu pour la protection des supports de sauvegarde

Sécurité liée au développement [Réf ISO 27002:2013 – A.14]

 Inexistence d’une politique de sécurité de développement (interne/Externe)
 Inexistence d’un une procédure de gestion de changement / exigence de
sécurité pour la gestion de changement/modification (actifs de la plateforme
d'exploitation du registre électoral)

10
Gestion des incidents liés à la sécurité de l’information [Réf ISO 27002:2013 – A.16]
 Mise en place d’une solution de collecte des journaux de logs de la base de
données électorale (Open Source OSSIM) + une solution d’administration et
supervision des actifs Serveurs/Réseau via des outils open source tel que NAGIOS
 Inexistence d'un outil d'analyse et corrélation des événements de sécurité /
Corrélation des journaux de logs Système/BD/Réseau/Applicatif
 Inexistence pas des outils de gestion des incidents de sécurité et des alertes en
temps réel en cas d’intrusion interne et/ou externe

Continuité de l’activité [Réf ISO 27002:2013 – A.17]

 Inexistence d’une organisation interne pour la continuité d’activité du SI-ISIE
(inexistence d’un comité PCA)
 Inexistence d’un Document de type « Plan de continuité d’activité pour le SI-
ISIE»

Conformité [Réf ISO 27002:2013 – A.18]

 Des mesures de sécurité logique et physique ont été mises en place pour la
protection d’accès aux données à caractère personnel
 Filtrage et restriction d'accès logique aux données de nature confidentielle
11
Résultats de l’Audit de conformité ISO 27002:2013
Le seuil de maturité (valeur 3) n’est pas atteint par la plupart des principes des différents chapitres du
référentiel de sécurité. [Note Globale 1,56 sur un échelle de 4 et un pourcentage de
conformité de l’ordre de 38,9%]
 Rosace de niveau de conformité ISO 27002 : 2013

5 Politiques de sécurité
de l’information
4 6 Organisation de la
18 Conformité sécurité de
3,5 l’information
17 Aspects de la 3
7 La sécurité des
sécurité de 2,5 ressources humaines
l’information dans la…
2
16 Gestion des 1,5
incidents liés à la 1 8 Gestion des actifs
sécurité de… 0,5
0
15 Relations avec les
9 Contrôle d’accès
fournisseurs

14
Acquisition, développe 10 Cryptographie
ment et maintenance…
13 Sécurité des 11 Sécurité physique et
communications environnementale
12 Sécurité liée à
l’exploitation

13
Partie - Audit Sécurité du Registre
électoral 2014 [Suite]

Vérification de la procédure de collecte et de mises à jour des

données auprès des institutions tunisiennes

Vérification des procédures de traitement des doublons dans le

registre électoral

Vérification des procédures de publication des listes électorales

et examen croisé du registre et des listes électorales

14
Processus de collecte et de mise à jour des données

La collecte et la mise à jour des données au niveau de la base de

données électorale 2014 sont assurées par la synchronisation
avec une base de données intermédiaire appelée SandBox
15
Principales observations:
1) Résultats de la vérification de la procédure de
collecte et mises à jour des données
 L’ISIE n’a pas développé une procédure formalisée de
collecte et de mise à jour des données définissant le QUI
(intervenants), le QUOI (tâches, activités et contrôles), le
COMMENT (instruction spécifique ou mode opératoire) et le
QUAND (enchainement des tâches et activités).
 L’ISIE n’a pas développé une procédure formalisée de
gestion des incidents et des problèmes de collecte et mise à
jour des données. Les incidents et les problèmes ne sont
pas répertoriés.

16
Principales observations:
2) Résultats de la vérification de la procédure de
traitement des doublons dans le registre électoral:

 L’examen porté sur des échantillons de tailles

optimales et représentatives de la base électorale
2014 n’a pas résulté à la détection de doublons

17
Principales observations:
3) Résultats de la vérification des procédures de publication
des listes électorales et examen croisé du registre et des listes
électorales:
 L’examen croisé du registre électoral et des listes électorales
publiées s’est porté sur un échantillon de taille optimale et
représentative de la population mère. La population mère définie
représente l’ensemble des bureaux de vote.
 La méthode d’échantillonnage probabiliste choisie est le sondage
aléatoire simple avec une marge d'erreur de plus ou moins 5%.
 L’échantillon choisi comprend 372 bureaux de vote local et 195
bureaux de vote étranger.
 L’examen croisé du registre électoral et des listes
électorales n’a pas identifié d’écarts.

18
Partie - Processus d’importation du
Registre électoral 2011
La vérification de la procédure adoptée pour la passation et
l’importation du registre électoral 2011 au sein du nouveau
registre d’électeurs 2014

L’examen croisé du registre électoral 2011 et du registre

électoral 2014 sur la base d’un échantillon choisi par sondage
aléatoire simple avec une marge d'erreur de plus ou moins 5%

19
Principales observations
 L’ISIE n’a pas développée une procédure formalisée
d’importation du registre électoral 2011 définissant le QUI
(intervenants), le QUOI (tâches, activités et contrôles), le
COMMENT (instruction spécifique ou mode opératoire) et le
QUAND (enchainement des tâches et activités).
 L’ISIE n’a pas développé une procédure formalisée de
gestion des incidents et des problèmes. Les incidents et les
problèmes ne sont pas répertoriés.

20
Principales observations
 Pour les circonscriptions locales, l’examen croisé a permis
d’identifier, que sur les 10 216 électeurs sélectionnés dans
l’échantillon, 176 électeurs (1,7%) inscrits volontairement
lors des élections 2011 ne se retrouvent pas au niveau du
registre électoral 2014.
 Ces écarts ont été, tous, justifiés suite à notre vérification avec
l'équipe de l’ISIE comme suit:
 15 électeurs appartiennent à la Force de Sécurité Intérieure (FSI),
 17 électeurs à la Défense,
 6 électeurs sont en pénitentiaire,
 137 électeurs sont décédés,
 1 électeur avec un numéro CIN n'existant pas dans la base du
ministère intérieur
21
 sélectionné du
Circonscriptio

registre 2011

registre 2014
des électeurs

des électeurs
Nombre total

Nombre total

Pénitentiaire

CIN n'existe
l'échantillon

l'échantillon

pas dans la
intérieure
retrouvés

ministère
Force de

intérieur
Défense
sécurité

base du
dans le

Ecarts

Décès
(FSI)
dans

de
n
1 ‫تىوص‬ 383 377 6 1 0 0 5 0
2 ‫تىوص‬ 383 375 8 2 0 0 6 0
‫به عروش‬ 384 378 6 1 1 0 4 0
‫أرياوت‬ 267 263 4 0 0 0 4 0
‫مىىبت‬ 383 379 4 0 1 0 3 0
‫جىدوبت‬ 383 379 4 0 0 0 4 0
‫انكاف‬ 383 370 13 1 3 2 7 0
‫ضهياوت‬ 382 375 7 2 0 0 5 0
‫بىسرث‬ 384 374 10 0 0 0 10 0
‫باجت‬ 383 373 10 1 1 1 7 0
1 ‫وابم‬ 383 374 9 1 1 0 7 0
2 ‫وابم‬ 383 378 5 0 1 0 4 0
‫زغىان‬ 380 373 7 1 1 0 5 0
‫انقيروان‬ 383 380 3 0 0 0 3 0
‫انقصريه‬ 383 374 9 3 1 0 5 0
‫ضيدي بىزيد‬ 383 375 8 0 3 0 5 0
‫قفصت‬ 383 377 6 1 1 0 4 0
‫تىزر‬ 380 374 6 1 1 1 3 0
‫قبهي‬ 382 376 6 0 0 2 4 0
‫ضىضت‬ 383 378 5 0 0 0 5 0
‫انمهديت‬ 383 376 7 0 0 0 7 0
‫انمىطتير‬ 383 375 8 0 0 0 8 0
1 ‫صفاقص‬ 383 373 10 0 0 0 9 1
2 ‫صفاقص‬ 383 378 5 0 1 0 4 0
‫قابص‬ 383 379 4 0 1 0 3 0
‫مدويه‬ 383 379 4 0 0 0 4 0
‫تطاويه‬ 380 378 2 0 0 0 2 0
Total 10 216 10 040 176 15 17 6 137 1
22
Principales observations
 Pour les circonscriptions à l’étranger, l’examen croisé a
permis d’identifier, que sur les 2 287 électeurs sélectionnés
dans l’échantillon, 1166 électeurs (50,98%) inscrits
volontairement lors des élections 2011 ne se retrouvent pas
au niveau du registre électoral 2014.
 Ces écarts ont été, tous, justifiés suite à notre vérification avec
l'équipe de l’ISIE comme suit:
 698 électeurs sont déjà inscrits par CIN,
 398 électeurs sont inscrits par un nouveau Passeport,
 3 électeurs ont une date de naissance inférieure à 18 ans,
 5 électeurs sont inéligibles,
 17 électeurs sont inscrits dans des centres de vote fermés.

23
 Circonscription

‫أنماويا‬

‫إيطانيا‬
‫باريص‬-‫فروطا‬

‫مرضيهيا‬-‫فروطا‬

‫انعانم انعربي و باقي دول انعـانم‬

‫انقارة األمريكيت و باقي اندول األوروبيـت‬
Nombre total des électeurs dans
l'échantillon sélectionné du registre

380
382
382
378
383
382

2011

2287
Nombre total des électeurs de
l'échantillon retrouvés dans le

171
221
219
180
220
155

1166
registre 2014

Ecarts

1121
209
161
163
198
163
227

Inscription par CIN

698
120
94
115
133
96
140

Inscription par CIN

698
120
94
115
133
96
140

Inscription par nouveau Passeport

398
78
61
45
62
66
86

Date naissance inférieur à 18 ans

3
0
0
2
0
1
0

Inéligibilité
5
0
0
1
3
0
1

Centre de vote fermé

17
11
6
0
0
0
0

24
Partie - Tests de Performances

1. Base de données
2. Applicatif

25
 Base & Applicatif
Outil de test « pgbench »
Le benchmark de la base de données a démontré
qu'une machine physique peut supporter qu'une
seule Machine Virtuelle base de données (Limite
CPU atteint 80%)

Test avec l’outil Jmeter  la

ressource CPU dans l'instance
Glassfish (instance Applicatif -
Machine virtuelle) atteint 100%
d'utilisation dés le lancement du
stress test et que le temps de
réponse au moyenne est de 13
sec
26
Plan d’action

Actions correctives recommandées

 Synthèse des Actions d’ordre

organisationnel, Procédurale, physique et
Techniques à planifier la réalisation dans
l’immédiat & à court terme (4ème
Trimestre 2015 / Début 2016)

27
Partie Architecture matérielle, logicielle &
Performances

28
 Actions à entreprendre

 Revoir le choix du noyau SGBD Postgresql comme support de

données du registre électoral;
Dans la configuration existante (en cas de continuation avec la même
plateforme --> Allocation recommandée de toute une machine
physique pour la Machine virtuelle base de données).

 Avoir des licences d'utilisation du nouveau SGBD en cas d'une

refonte + Assurance du transfert de compétences pour les DBAs +
Solution de Sauvegarde automatique

Budget Chargé de l’action (Charge interne + Priorité de l’action /

Charge assistance / prestation Date de mise en
externe œuvre

En interne + Prestation de service d'étude + Comité de Sécurité SI-ISIE (à

Budget d'acquisition de nouveaux composants créer) + RSSI + Bureau
(Hard+soft) + Acquisition des licences d'étude (dimensionnement de Très Urgent
d'utilisation valide et contrats l'infrastructure virtuelle) + 4ème Trimestre 2015
support/maintenance Intégrateurs des solutions +
[Budget A étudier] Intégrateur Base de données
 Actions à entreprendre

 Amélioration des performances de l'architecture système et réseau

existante : Ajout au moins d'une autre machine physique dans le
Blade (Infra) des Serveurs de données et d'applications &
d'augmenter la bande passante réseau

 Application des mesures de Tunning coté application (JSF)

/OS(Redhat) /GlassFish

Budget Chargé de l’action (Charge interne + Priorité de l’action /

Charge assistance / prestation Date de mise en
externe œuvre

En interne + Prestation de service d'étude de

l'infrastructure virtuelle + Budget d'acquisition
Comité de Sécurité SI-ISIE (à
de nouveaux composants (Hard+soft) créer) + RSSI + Intégrateurs Très Urgent
Systèmes / Applicatifs / Base 4ème Trimestre 2015
[Budget A étudier] de données
 Partie Sécurité
Organisationnelle/Procédurale/Technique

31
 Actions à entreprendre

Elaboration d’un Manuel de Politique de Sécurité du SI-ISIE englobant

la Politique générale, les exigences liées à l’organisation de la sécurité
ainsi que la définition des procédures opérationnelles de la sécurité de
la plateforme d'inscription des électeurs

Budget Chargé de l’action (Charge interne + Priorité de l’action /

Charge assistance / prestation Date de mise en
externe œuvre
Comité de Sécurité SI-ISIE (à Très Urgent
En interne + Prestation de service (Experts en
créer) + RSSI + Bureau 4ème Trimestre 2015
Sécurité) 10 000 DT
d’Audit & Conseil
 Actions à entreprendre

 Création d'un Comité de Sécurité SI-ISIE + Nomination Formelle d’un

RSSI
 Définition des attributions et les responsabilités en matière de la
Sécurité de la plateforme d'inscription des électeurs au niveau du
nouveau document de la PSSI-ISIE à élaborer
 Renforcer la composante ressource humaine en matière de la sécurité
SI-ISIE par le recrutement d'un Profil « Administrateur Sécurité
opérationnelle "

Budget Chargé de l’action (Charge interne + Priorité de l’action /

Charge assistance / prestation Date de mise en
externe œuvre
Très Urgent
En interne + Assistance Post-Audit + Budget Comité de Sécurité SI-ISIE (à
4ème Trimestre 2015
alloué pour le recrutement "Fonction créer) + RSSI + Bureau
Administrateur Sec. Opérationnelle" d’Audit & Conseil
 Actions à entreprendre
Réalisation d’une mission d’appréciation des Risques IT de la
plateforme d'inscription des électeurs englobant les phases
d'élaboration d'inventaire & Classification des actifs, d'étude d’impact
haut niveau / bas niveau ainsi qu'un Plan de traitement des Risques en
s’appuyant sur les méthodologies et/ou approches inspirées de la
norme ISO 27005

Budget Chargé de l’action (Charge interne + Priorité de l’action /

Charge assistance / prestation Date de mise en
externe œuvre

En interne + Prestation de service (Experts en

Sécurité) 10 000 DT
Comité de Sécurité SI-ISIE (à
Très Urgent
créer) + RSSI + Bureau
4ème Trimestre 2015
d’Audit & Conseil
 Actions à entreprendre
 Acquisition d'une armoire anti-feu pour la protection en local des
supports de sauvegarde des données de la plateforme

Budget Chargé de l’action (Charge interne + Priorité de l’action /

Charge assistance / prestation Date de mise en
externe œuvre

Budget d'acquisition d'une armoire anti-feu

(10 000 DT) Comité de Sécurité SI-ISIE (à
créer) + RSSI + Bureau
Très Urgent
d’Audit & Conseil +
4ème Trimestre 2015
Intégrateur de la solution de
sauvegarde
 Actions à entreprendre

 Création d’un comité PCA qu’aura pour mission la mise en place d’une
stratégie de continuité d’activité pour la plateforme support du registre
électorale et le suivi d’élaboration et mise en place du processus de
gestion de continuité d’activité pour (dès la planification, cahier des
charges, élaboration et l’implémentation du manuel PCA et la
réalisation des tests PCA)
 Avoir une plateforme de secours de l'environnement d'exploitation du
registre électorale dans un site éloigné

Budget Chargé de l’action (Charge interne + Priorité de l’action /

Charge assistance / prestation Date de mise en
externe œuvre

40 000 DT Comité de Sécurité SI-ISIE (à

créer) + Comité PCA (à
créer) + RSSI + Bureau Très Urgent
d’Audit & Conseil [Mission 4ème Trimestre 2015
d’élaboration d’un PCA pour
l'ISIE]
 Actions à entreprendre

 Elaboration d'une procédure permettant de définir des actions de

gestion des vulnérabilités techniques et qui sera implémentée via
l'acquisition et la mise en place d'un système d'Audit & Scan

Budget Chargé de l’action (Charge interne +

Charge assistance / prestation
Priorité de l’action /
Date de mise en
externe œuvre
Comité de Sécurité SI-ISIE (à
Budget d'acquisition d'un Système d'Audit & créer) + Administrateurs
Scan} (20 000 DT) Techniques de l'ISIE + Urgent
Intégrateur de la Solution Début 2016
d'Audit & Scan
 Actions à entreprendre

 Acquisition d’un Système d’Analyse & Corrélation des journaux

permettant la consolidation et la corrélation des journaux de log
système, applicatifs, réseau et base de données : Renforcement et
amélioration de la traçabilité ainsi que la gestion sophistiquée des
incidents de sécurité

Budget Chargé de l’action (Charge interne + Priorité de l’action /

Charge assistance / prestation Date de mise en
externe œuvre

60 000 DT Comité de Sécurité SI-ISIE (à

créer) + RSSI +
Administrateurs Techniques de Urgent
l'ISIE + intégrateur de la Début 2016
solution d'analyse et
corrélation des logs
Fin
 Merci pour votre attention

39