EBIOS Risk Manager

Livret stagiaire
V.2 • Mars 2024

Formation CFSSI

Correction étude de cas SGTIN

EBIOS Risk Manager
Etude de cas

Etude de cas – Renouvellement de titre d’identité numérique

Introduction
Vous êtes amené à réfléchir sur un cas d’étude se basant sur la démarche administrative de
renouvellement d’un titre d’identité numérique (TIN).
Bien que s’appuyant sur une démarche concrète, l’ensemble des éléments présentés dans la
suite de ce dossier est fictif (les noms des organisations, les vulnérabilités énoncées,
l’architecture des différents systèmes d’information, etc.).
Les éléments décrits dans le présent dossier ont vocation à accompagner le participant à :
• visualiser la démarche de renouvellement d’un titre d’identité numérique,
• visualiser l’écosystème dans lequel cette démarche s’inscrit,
• présenter l’architecture des différents systèmes d’information,
• identifier les vulnérabilités disséminées alimentant l’étude de cas.

Contexte
Généralités
Dans le cadre de l’homologation du système d’information utilisé pour la démarche
administrative de renouvellement de titre d’identité numérique, la Société de Gestion des
Titres d’Identité Numérique (SGTIN) vous sollicite pour constituer le dossier
d’homologation. À ce titre, vous êtes chargé de la réalisation d’une étude des risques cyber
dont le périmètre couvre la mission de renouvellement de titres d’identité numérique.
Le système d’information étudié étant déjà en production, l’autorité d’homologation, afin de
prononcer l’homologation, a commandité un audit de la sécurité du système d’information
qui doit permettre de vérifier les pratiques de sécurité d’un point de vue organisationnel,
physique et technique.
Les éléments fournis dans la suite du présent dossier de l’étude de cas sont issus :
• des entretiens avec les « métiers » pour la compréhension de la démarche de
renouvellement d’un titre d’identité numérique,
• des entretiens avec les « opérationnels » pour la compréhension du système
d’information, et les interconnexions associées, mis en œuvre dans le cadre du
renouvellement d’un titre d’identité numérique,
• des résultats de l’audit SSI du système étudié qui présentent, entre autres, les points
faibles relevés.
Réglementation
Compte-tenu de la nature des acteurs et des services étudiés, le Référentiel Général de Sécurité
est pleinement applicable aux acteurs et aux systèmes d’information suivants :
• acteurs : la mairie et la SGTIN,
• systèmes d’information : les systèmes d’information sous la responsabilité des acteurs
listés ci-après.

2 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

Présentation de la démarche administrative : renouvellement de titre

d’identité numérique
L’étude de cas se penche, comme rappelé en introduction, sur la démarche administrative de
renouvellement de titre d’identité numérique. La Figure 1 illustre le déroulé de ladite démarche.
Renouveler le TIN

Volonté de faire
Oui une pré-demande Non
?
Inscription auprès de la Prendre rendez-vous en
SGTIN mairie

Remplir le formulaire de Générer numéro de pré-

pré-demande demande + QR code
Remplir Cerfa XXXXX*XX ou
XXXXX*XX
Prendre rendez-vous en
mairie

Fournir les pièces

S’authentifier sur le
système d’information

Créer le dossier (upload

des documents)

Créer le TIN

Envoyer le TIN en mairie

Notifier le citoyen de la
mise à disposition de son
TIN

Détruire le TIN Oui 3 mois écoulés depuis

notification ? Action relevant du citoyen

Non Action relevant de la mairie

Retirer le TIN Action relevant de la SGTIN

Action interagissant avec un système
d’information
TIN renouvelé

Figure 1 : Diagramme de flux de la démarche de renouvellement de titres d’identité numérique

N.B. : sont exclus de la présente étude des risques :

• le processus de déclaration de perte ou de vol du titre d’identité numérique,
• le processus de destruction du titre d’identité numérique.

Présentation de l’écosystème entourant la démarche de renouvellement

de titres d’identité numérique
Les acteurs

3 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

Dans le cadre de cette démarche, nous avons retenu un certain nombre d’acteurs qui
participent directement à la démarche de renouvellement de titres d’identité numérique. Ainsi
nous identifions :
• l’Autorité Nationale de Gestion des Titres d’identité numérique (ANGT) : autorité en
charge des questions relatives aux TIN, à savoir :
o définition des caractéristiques relatives aux titres d’identité numérique,
o agrément (définition du processus et acte de délivrance de l’agrément) des
sociétés à produire des titres d’identité numérique,
o contrôle des sociétés produisant des titres d’identité numérique,
• le citoyen : il est l’acteur à l’origine du processus,
• la mairie : elle est l’acteur en charge de :
o la prise en compte de la demande de renouvellement,
o la saisie de la demande dans le système d’information de renouvellement de
TIN et le contrôle des pièces justificatives,
o la remise du titre d’identité numérique (il n’est pas utile de prendre rendez-vous
pour récupérer son TIN en mairie),
• la Société de Gestion des Titres d’Identité Numérique (SGTIN) : la SGTIN est la société
qui s’occupe de l’édition des titres d’identité numérique. L’agent de cette société a pour
rôle de traiter les informations contenues dans la demande saisie par la mairie, pour
l’édition et l’envoi du TIN à cette dernière. Cette société fait l’objet d’inspections
annuelles de la part de l’ANGT afin de s’assurer du respect des exigences contractuelles
de qualité et de sécurité ;
• la société d’administration du SI de renouvellement de TIN : la société a pour rôle
d’infogérer le système d’information (Maintien en Condition Opérationnelle (MCO),
Maintien en Condition de Sécurité (MCS), évolutions fonctionnelles…) mis en œuvre
dans le cadre du renouvellement des TIN ainsi que de prendre en main à distance le
poste de travail de l’agent en mairie si besoin ; l’équipe en charge de l’administration
du SI de renouvellement des titres d’identité numérique sera appelée « service
d’administration » dans la suite de ce dossier d’étude. Cette société, sélectionnée via
un marché interministériel (pour lequel des exigences de niveau de service et de
sécurité sont définies), dispose d'une certification valide selon la norme ISO 9001:2015
sur le domaine d’application couvrant notamment les activités de MCO / MCS
d’infrastructures et d’application ;
• Héberweb, la société d’hébergement du SI de renouvellement des TIN, sélectionnée via
un marché interministériel (pour lequel des exigences de niveau de service et de
sécurité sont définies). Cette société dispose d’une certification valide selon la norme
ISO/CEI 27001:2013 sur le domaine d’application couvrant les activités d’hébergement
et de services associées à l’hébergement. Elle assure notamment :
o l’hébergement physique du SI,
o la fourniture des gestes de proximité (redémarrage d’un serveur, installation
physique d’équipement, câblage, etc.),
o la fourniture d’un accès internet,
o le contrôle d’accès physique,

4 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

o la fourniture des dispositifs de protection contre les menaces

environnementales (protection incendie, dispositifs de refroidissement,
dispositifs de protection électrique),
• la société d’acheminement des titres d’identité numérique qui livre les TIN, imprimés
par la SGTIN, à la mairie concernée. Le contrat entre la société d’acheminement des
titres d’identité numérique et la SGTIN ne mentionne pas de clauses de sécurité
particulières.
Les systèmes d’information en présence
A l’exception de la société d’acheminement des TIN, nous considérons l’ensemble des systèmes
d’information de l’ensemble des acteurs listés ci-dessus. Nous détaillons ici le rôle de chacun
des systèmes d’information (SI) :
• le SI du citoyen : architecture basique qui se compose :
o du poste de travail de l’utilisateur ;
o du routeur/pare-feu fourni et préconfiguré par le FAI (fournisseur d’accès à
Internet) permettant à l’utilisateur d’accéder à Internet ;
• le SI de la mairie, qui est constitué :
o du poste de travail de l’agent en mairie ;
o d’un routeur qui permet aux agents de mairie d’accéder à Internet et qui assure
également la fonction de pare-feu ;
• le SI de renouvellement de TIN : hébergé chez Héberweb, un hébergeur spécialisé,
c’est le système central qui permet de gérer le processus de renouvellement de titres
d’identité numérique. Il se présente sous la forme d’une architecture trois tiers classique
avec le frontal qui permet à l’utilisateur d’interagir avec le SI (couche de présentation),
un serveur de traitement des requêtes faites par l’utilisateur (couche application) et la
base de données contenant les dossiers de renouvellement (couche base de données).
Les fonctions assurées par le SI sont les suivantes :
o l’enregistrement des prises de rendez-vous en mairie,
o la saisie d’une nouvelle demande et le téléversement (upload) des pièces
fournies,
o la notification à la SGTIN de l’existence d’une nouvelle demande de
renouvellement à prendre en compte,
o le partage d’informations entre le SI de la mairie et le SI de la SGTIN au moyen
d’un serveur de fichiers sur lequel sont déposées les nouvelles demandes de
titres d’identité numérique via une extraction quotidienne depuis la base de
données ;
• le SI de la SGTIN qui se décompose en deux sous-systèmes :
o le SI de pré-demande, permettant aux citoyens de faciliter la démarche en
mairie en effectuant une pré-demande en ligne et dont l’architecture est
similaire à celle du SI de renouvellement de titres d’identité numérique détaillée
précédemment,
o le SI d’impression des TIN dans lequel nous retrouvons un serveur de fichiers
qui permet le rapatriement des dossiers de renouvellement de titres d’identité

5 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

numérique sur le SI de la SGTIN et le serveur d’impression pour l’impression des

TIN.
Il est à noter que l’interconnexion entre le SI de la mairie et le SI de renouvellement de TIN
repose sur un réseau homologué. Les besoins de sécurité de ce réseau sont en adéquation
avec les besoins du SI de renouvellement de TIN.
Le schéma ci-après donne une représentation simplifiée des différents SI et de leurs
interactions.

6 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

Héberweb SGTIN
Réseau Réseau admin
bureautique

Serveur de BD

PC agent PC admin
4
Réseau de production
Backend
9
Mairie 3
Serveur d’impression
3 Serveur de fichier
PC agent Serveur de fichier 1 8
5 Frontal web

1
7
6
1

2
Internet 1

PC admin

Citoyen
Société d’administration

Figure 2 : Schéma d'infrastructure réseau

7 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

SGTIN – Définir le périmètre métier et technique

Mission Renouveler des titres d’identité numérique

Nom de la Gestion des pré- Gestion des demandes de Distribution des Informations des
Impression des TIN
valeur métier demandes renouvellement de TIN TIN citoyens et TIN

Nature de la
Processus Processus Processus Processus Information
valeur métier

SGTIN
Propriétaire
(Responsable de la valeur métier même si elle peut déléguer l’exécution des processus à un prestataire)

Nom du/des SI de SI SI
SI de pré- SI de la
biens supports Locaux renouvellement Locaux d’impression Locaux Coursier d’impression
demande mairie
associés de TIN des TIN des TIN

Entité ou
SGTIN Société
personne en Mairie et
SGTIN et SGTIN SGTIN SGTIN d’acheminement Mairie SGTIN
charge de la Hébergeur
Mairie des TIN
mise en œuvre

8 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

SGTIN – Identifier les événements redoutés

9 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

SGTIN – Évaluer les couples SR/OV

10 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

SGTIN – Établir le lien entre les événements redoutés et les couples SR/OV

11 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

SGTIN – Construire la cartographie de menace de l’écosystème

Maturité Niveau de
Catégorie Nom Dépendance Pénétration Confiance
cyber menace

Utilisateur Citoyen 1 1 1 1 1

Partenaire Mairie 2 3 1 3 2

Autorité Nationale de Gestion

Partenaire 1 3 1 4 0,75
des Titres (ANGT)

Prestataire Société d’administration 3 4 2 3 2

Prestataire Hébergeur (Héberweb) 3 4 3 3 1,3

Société d’acheminement des

Prestataire 1 3 1 1 3
TIN

12 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

13 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

SGTIN – Élaborer des scénarios stratégiques

14 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

Les conclusions de l’audit

Les conclusions de l’audit ont remonté un certain nombre de points dont voici une synthèse.
Sécurité de Héberweb
L’audit de la sécurité physique de l’hébergeur du SI de renouvellement de titres d’identité
numérique a permis de vérifier qu’un contrôle d’accès strict était mis en œuvre pour permettre
aux seules personnes en ayant le besoin, d’accéder aux zones d’hébergement. Les personnes
amenées à intervenir ponctuellement dans les locaux de Héberweb (prestataires, fournisseurs,
visiteurs, etc.) sont systématiquement accueillies et enregistrées dans un cahier d’émargement.
Elles sont accompagnées en permanence, pendant toute la durée de leur intervention dans les
zones d’hébergement.
La sécurité physique chez Héberweb a permis de vérifier que des bonnes pratiques quant au
dimensionnement et au maintien en condition de sécurité des équipements de sûreté
environnementale (refroidissement, protection incendie, protection électrique) étaient en
place.
De plus l’audit a permis de démontrer un bon maintien en condition de sécurité des
équipements sous la responsabilité de l’hébergeur (parc homogène avec des systèmes
d’exploitation et des applicatifs maintenus par leurs éditeurs et pour lesquels les correctifs de
sécurité très récents avaient été appliqués).
En revanche, l’audit a mis en évidence une absence de gestion de l’acquisition, de la
maintenance et de la fin de vie des équipements informatiques. En effet les auditeurs ont
constaté que les équipements en attente de mise en production ou désengagés étaient
entreposés dans un local dont l’accès était ouvert à l’ensemble du personnel de Héberweb.
Pour le cas particulier de la fin de vie, l’hébergeur a confié attendre d’avoir accumulé un volume
conséquent de matériels avant de les jeter dans un point de collecte.
De même, pour ces équipements informatiques, les entrevues ont permis d’identifier que
l’hébergeur ne disposait pas de procédure de renvoi au fournisseur et que les informations
sensibles (règles de filtrage, fichiers de configuration, mots de passe, etc.) pouvaient être
amenées à sortir de l’organisation sans contrôle particulier (échange ou réparation de matériel
dans le cas d’une garantie par exemple).
Sécurité des moyens d’administration du SI de renouvellement de TIN
Lors de cette phase de l’audit, les auditeurs ont pu observer les pratiques suivantes :
• la connexion de l’administrateur sur les équipements du SI de renouvellement de mot
de passe s’effectue via le protocole SSH 1 sur le pare-feu qui sert de machine rebond
0F

pour administrer les équipements du SI. La configuration du service d’authentification

SSH est une authentification simple par mot de passe,
• le poste de travail de l’administrateur est utilisé aussi bien pour des tâches bureautiques
(messagerie, navigation sur Internet, etc.) que pour des tâches d’administration du SI
de renouvellement de titres d’identité numérique,

1Secure SHell : protocole d’authentification et de communication, successeur de Telnet, apportant des fonctions
de sécurité liées à la confidentialité (chiffrement) et l’intégrité (somme de contrôle) des échanges.

15 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

• le frontal web, bien que privilégiant le protocole HTTPS 2, autorise, lors de 1F

l’établissement de la session, l’utilisation de SSL 3v3. De plus, un aperçu des ports a

2F

permis d’identifier que les ports TCP 137, 139 et 445 (SMBv1 4) n’étaient pas filtrés alors
3F

que les services SMB sont actifs sur ce frontal.

• Globalement, les audits de configuration effectués sur le SI de renouvellement de TIN
(dont le service d’administration à la charge) ont montré une forte hétérogénéité et
l’existence de serveurs Windows 2008 R2, notamment pour le serveur de fichier. Ce
constat est renforcé par l’observation d’outils de télé-administration (TeamViewer) sur
ces serveurs pour lesquels l’administrateur n’a su fournir d’explication ; les entretiens
ont mis en évidence que l’authentification par l’agent de mairie sur le SI de
renouvellement de titres d’identité numérique s’effectue par mot de passe, sans
application d’une politique contraignante de format de mot de passe. De plus, les
comptes utilisateurs ne sont pas automatiquement verrouillés après saisie d’un certain
nombre de tentatives de connexion infructueuses consécutives. Ces constats ont été
confirmés par l’audit de configuration.
Sécurité de la mairie
L’audit a mis en évidence des lacunes au niveau de la sécurité physique, compte tenu du fait
que la zone d’accueil des visiteurs est mitoyenne à la zone de travail, sans présence de contrôle
d’accès.
De plus, les entretiens ont montré que le poste de travail de l’agent en mairie était utilisé aussi
bien pour les aspects bureautiques (messagerie, navigation sur Internet, etc.) que pour les
actions relevant de la mairie dans le cadre de la démarche de renouvellement de TIN. Pour des
raisons opérationnelles, le poste de travail de l’agent est portable. Il utilise un système
d’exploitation maintenu par l’éditeur et, afin d’alléger le service d’administration, les droits
d’administration ont été octroyés à l’utilisateur pour lui permettre d’installer les outils dont il a
besoin dans la limite définie dans la charte informatique. L’audit a permis, également,
d’identifier qu’aucun mécanisme de chiffrement de disque n’était mis en œuvre.
Sécurité du SI de la SGTIN
L’audit de la SGTIN a permis d’identifier qu’aucune vérification particulière n’était effectuée sur
les dossiers de demande de renouvellement de titres d’identité numérique qu’elle récupérait
depuis le serveur de fichier du SI de renouvellement de TIN. Ce constat a été appuyé, lors de
l’entretien, par la survenance par le passé d’incidents de qualité impliquant des informations
erronées sur les titres d’identité numérique imprimés pour lesquels aucune investigation n’avait
été menée mais qui avaient contraint la SGTIN à réimprimer les TIN incriminés.
De plus, les entretiens avec les personnes de la SGTIN ont permis d’identifier que la
récupération des dossiers de demande de renouvellement depuis le serveur de fichier du SI de

2 HyperText Transfer Protocol Secure : protocole de communication sur Internet apportant les fonctions de
sécurité (confidentialité, intégrité, authenticité) qui manquaient au protocole HTTP
3 Secure Socket Layer : protocole de sécurisation des échanges dont les fonctions de sécurité sont la confidentialité,

l’intégrité et l’authenticité. Au moment de l’écriture de l’étude de cas, le protocole SSL est reconnu vulnérable à
différentes attaques et les experts du domaine conseillent l’adoption du protocole TLSv1.2 (TLSv1.3 ayant fait l’objet
d’une approbation en mars 2018 par l’IETF, son implémentation n’est pas encore répandue)
4 Server Message Block : protocole de partage de ressources (fichiers et imprimantes)

16 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

renouvellement de titres d’identité numérique s’effectue via le protocole d’échange de fichier

FTP 5.
4F

L’authentification au sein de la SGTIN est centralisée au moyen du SSO 6 qui s’appuie sur un
5F

annuaire d’entreprise géré par un Active Directory. Les entretiens ont permis de constater que
le serveur de fichiers est utilisé pour d’autres activités de la SGTIN (RH, Achat, etc.) et que le
cloisonnement entre les différentes activités est assuré par des répertoires distincts pour
chaque activité. Cependant, un contrôle plus poussé a permis aux auditeurs de constater que
l’accès au répertoire propre à l’activité de renouvellement des TIN était ouvert à l’ensemble des
collaborateurs de la SGTIN.

5File Transfer Protocol : protocole de transfert de fichier qui ne fournit pas de fonction de sécurité particulière
6Single Sign On : dispositif de centralisation de l’authentification permettant aux utilisateurs grâce à un moyen
unique d’authentification, d’accéder à un ensemble de ressources (serveurs, applications, fichiers, etc.)

17 | EBIOS Risk Manager | Support de formation CFSSI

EBIOS Risk Manager
Etude de cas

SGTIN – Élaborer des scénarios opérationnels

18 | EBIOS Risk Manager | Support de formation CFSSI