Td corrigé 1 Étude des risques pdf

1 Étude des risques

Sujet de l'étude .... Dans le cadre du sujet d'étude, les informations et fonctions suivantes ont été retenues en tant que biens essentiels : ..... ISO 27001.




part of the document
































Document de travail du [DATE]









Historique des modifications

DateObjet de la modificationStatut

Table des matières

 TOC \o "1-3" \h \z \u  HYPERLINK \l "_Toc253391810" 1 Étude des risques  PAGEREF _Toc253391810 \h 3
 HYPERLINK \l "_Toc253391811" Étude du contexte  PAGEREF _Toc253391811 \h 3
 HYPERLINK \l "_Toc253391812" Le cadre de la gestion des risques  PAGEREF _Toc253391812 \h 3
 HYPERLINK \l "_Toc253391813" Les métriques utilisées  PAGEREF _Toc253391813 \h 7
 HYPERLINK \l "_Toc253391814" Les biens identifiés  PAGEREF _Toc253391814 \h 9
 HYPERLINK \l "_Toc253391815" Étude des événements redoutés  PAGEREF _Toc253391815 \h 12
 HYPERLINK \l "_Toc253391816" Événements redoutés  PAGEREF _Toc253391816 \h 12
 HYPERLINK \l "_Toc253391817" Évaluation des événements  PAGEREF _Toc253391817 \h 12
 HYPERLINK \l "_Toc253391818" Étude des scénarios de menaces / menaces  PAGEREF _Toc253391818 \h 13
 HYPERLINK \l "_Toc253391819" Scénarios de menaces  PAGEREF _Toc253391819 \h 13
 HYPERLINK \l "_Toc253391820" Évaluation des scénarios de menaces  PAGEREF _Toc253391820 \h 13
 HYPERLINK \l "_Toc253391821" Étude des risques  PAGEREF _Toc253391821 \h 14
 HYPERLINK \l "_Toc253391822" Les risques  PAGEREF _Toc253391822 \h 14
 HYPERLINK \l "_Toc253391823" Évaluation des risques :  PAGEREF _Toc253391823 \h 15
 HYPERLINK \l "_Toc253391824" Les objectifs de sécurité :  PAGEREF _Toc253391824 \h 16
 HYPERLINK \l "_Toc253391825" Étude des mesures de sécurité  PAGEREF _Toc253391825 \h 17
 HYPERLINK \l "_Toc253391826" Les mesures de sécurité : une défense en profondeur pour réduire les risques  PAGEREF _Toc253391826 \h 17
 HYPERLINK \l "_Toc253391827" Risques résiduels  PAGEREF _Toc253391827 \h 18
 HYPERLINK \l "_Toc253391828" Plan d’action  PAGEREF _Toc253391828 \h 19
 HYPERLINK \l "_Toc253391829" Homologation de sécurité  PAGEREF _Toc253391829 \h 19
 HYPERLINK \l "_Toc253391830" 2 Livrables émanant de l’étude EBIOS  PAGEREF _Toc253391830 \h 20
 HYPERLINK \l "_Toc253391831" Fiche d’expression rationnelle des objectifs de sécurité (FEROS)  PAGEREF _Toc253391831 \h 20
 HYPERLINK \l "_Toc253391832" Politique de sécurité (PSSI)  PAGEREF _Toc253391832 \h 20
 HYPERLINK \l "_Toc253391833" Dossier des risques résiduels  PAGEREF _Toc253391833 \h 20
 HYPERLINK \l "_Toc253391834" Décision d’homologation  PAGEREF _Toc253391834 \h 20
 HYPERLINK \l "_Toc253391835" 3 Annexe : liste détaillée des scénarii de menaces  PAGEREF _Toc253391835 \h 21

Étude des risques
Étude du contexte
Le cadre de la gestion des risques
Objectif de l'étude

Plan d'action
Pour réaliser l’étude des risques SSI, la structure de travail prévue est la suivante :

Activités d'EBIOSResponsable projetResponsable TechniqueResponsable de l’étudeDocuments à produireRessources estimées (en h.j)Durée (en jours)1.1 – Définir le cadre de la gestion des risquesÉtude des risques1.2 – Préparer les métriques1.3 – Identifier les biens2.1 – Apprécier les événements redoutés3.1 – Apprécier les scénarios de menaces4.1 – Apprécier les risques4.2 – Identifier les objectifs de sécuritéFEROS5.1 – Formaliser les mesures à mettre en œuvrePSSI5.2 – Mettre en œuvre les mesures de sécuritéDécision d’homologationLégende : R = Réalisation ; A = Approbation ; C = Consultation ; I = Information
Sujet de l'étude





Enjeux

Paramètres à prendre en compte
Un ensemble de contraintes à prendre en compte a été identifié :
Les références qui impacteront l’étude des risques de sécurité sont les suivantes :

Les contraintes qui impacteront l’étude des risques de sécurité sont les suivantes :

Les hypothèses qui impacteront l’étude des risques de sécurité sont les suivantes :
 Les sources de menaces
Les sources de menaces contre lesquelles on souhaite s'opposer sont suivantes :

Types de sources de menacesRetenu ou nonExemplesSource humaine interne, malveillante, avec de faibles capacitésSource humaine interne, malveillante, avec des capacités importantesSource humaine interne, malveillante, avec des capacités illimitéesSource humaine externe, malveillante, avec de faibles capacitésSource humaine externe, malveillante, avec des capacités importantesSource humaine externe, malveillante, avec des capacités illimitéesSource humaine interne, sans intention de nuire, avec de faibles capacitésSource humaine interne, sans intention de nuire, avec des capacités importantesSource humaine interne, sans intention de nuire, avec des capacités illimitéesSource humaine externe, sans intention de nuire, avec de faibles capacitésSource humaine externe, sans intention de nuire, avec des capacités importantesSource humaine externe, sans intention de nuire, avec des capacités illimitéesCode malveillant d'origine inconnuePhénomène naturelCatastrophe naturelle ou sanitaireActivité animaleÉvénement interne
Les métriques utilisées
Les critères de sécurité retenus : disponibilité, intégrité et confidentialité
Afin d'exprimer les besoins de sécurité, les critères de sécurité retenus sont les suivants :

Critères de sécuritéDéfinitionsDisponibilitéPropriété d'accessibilité au moment voulu des biens essentiels.IntégritéPropriété d'exactitude et de complétude des biens essentiels.ConfidentialitéPropriété des biens essentiels de n'être accessibles qu'aux utilisateurs autorisés.Échelle de disponibilité
L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en termes de disponibilité :

Niveaux de l'échelleDescription détaillée de l'échelleJournéeLe bien essentiel doit être disponible dans la journéedemi-journéeLe bien essentiel doit être disponible dans la demi-journée.30 minutesLe bien essentiel doit être disponible dans la demi-heure.Échelle d'intégrité
L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en termes d'intégrité :

Niveaux de l'échelleDescription détaillée de l'échelleNégligeableLe bien essentiel peut ne pas être intègre.AcceptableLe bien essentiel peut ne pas être intègre, mais son altération doit être détectée ou suffisamment faible pour ne pas gêner les opérationnels.IntègreLe bien essentiel doit être parfaitement intègre.Échelle de confidentialité
L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en termes de confidentialité :

Niveaux de l'échelleDescription détaillée de l'échellePublicLe bien essentiel est public.Restreint projetLe bien essentiel ne doit être accessible qu'aux personnes du projet.ConfidentielLe bien essentiel ne doit être accessible qu'aux personnes dirigeantes.Échelle de gravité
L'échelle suivante sera utilisée pour estimer la gravité des événements redoutés et des risques :

Niveaux de l'échelleDescription détaillée de l'échelle1. NégligeableL'organisme surmontera les impacts sans aucune difficulté.2. LimitéeL'organisme surmontera les impacts malgré quelques difficultés.3. ImportanteL'organisme surmontera les impacts avec de sérieuses difficultés.4. CritiqueL'organisme ne jouera pas sa survie mais sera impacté très fortement.Échelle de vraisemblance
L'échelle suivante sera utilisée pour estimer la vraisemblance des scénarios de menaces et des risques :

Niveaux de l'échelleDescription détaillée de l'échelle1. MinimeCela ne s'est jamais produit et ne devrait pas se produire.2. SignificativeCela ne s'est jamais produit, mais pourrait se produire.3. ForteCela s'est rarement produit et pourrait se reproduire.4. MaximaleCela se produit régulièrement et devrait se reproduire prochainement. Les critères de gestion des risques : la liste des règles à utiliser dans l'étude
Les critères de gestion des risques retenus sont les suivants :

ActionCritère de gestion des risques (règle choisie pour réaliser l'action)Expression des besoinsLes besoins de sécurité des biens essentiels sont exprimés à l'aide des échelles correspondantes, selon le critère de sécurité étudié.
Les biens essentiels publics (dont le besoin en confidentialité est nul) n'engendrent pas d'événements redoutés en termes de confidentialité.Estimation des événements redoutésLes événements redoutés sont estimés en termes de gravité et de vraisemblance à l'aide des échelles définies à cet effet.Évaluation des événements redoutésLes événements redoutés sont classés selon leur gravité et leur vraisemblance.
Les événements redoutés dont la gravité est négligeable ou la vraisemblance est invraisemblable sont jugés comme insignifiants.
Ceux dont la gravité est importante ou critique et la vraisemblance est très vraisemblable ou certaine sont importants.Estimation des scénarios de menacesLes scénarios de menaces sont estimés en termes de vraisemblance à l'aide de l'échelle définie à cet effet.Évaluation des scénarios de menaces des risquesLes scénarios de menaces sont classés par ordre décroissant de vraisemblance.Estimation des risquesLa gravité d'un risque est égale à celle de l'événement redouté considéré.
La vraisemblance d'un risque est égale à la vraisemblance maximale de tous les scénarios de menaces liés à l'événement redouté considéré.Évaluation des risquesLes risques doivent être triés par ordre décroissant de leur gravité et de leur vraisemblance.
Les risques les plus importants sont donc les premiers de la liste triée.Choix de traitement des risquesLes risques dont les niveaux sont maximums doivent être refusés ou réduits.
Les autres peuvent être refusés, réduits ou transférés.Validation du traitement des risquesLe traitement des risques ne peut être validé que s'il est démontré que les risques résiduels sont acceptables et que les mesures de sécurité destinées à traiter les risques peuvent être mises en œuvre dans un délai raisonnable. Les biens identifiés
Biens essentiels
Chaque métier sélectionné précédemment dans l’étude est lié à plusieurs processus. Ces processus sont des fonctions qui traitent des informations essentielles en entrée et en sortie.

Dans le cadre du sujet d'étude, les informations et fonctions suivantes ont été retenues en tant que biens essentiels :

ServicesInformations concernées

Biens supports
Le schéma suivant présente les biens supports identifiés pour le sujet de l'étude :






















Schéma des biens supports
Note : les types de biens supports, sur lesquels ces biens essentiels reposent, sont les suivants :
les locaux (LOC), qui hébergent/abritent/contiennent des :
organisations (ORG), qui peuvent être décomposées en :
personnes (PER),
supports papier (SUP)
canaux interpersonnels (CAN) ;
systèmes informatiques et de téléphonie (SYS), qui peuvent être décomposés en :
matériels (MAT),
logiciels (LOG),
canaux informatique et de téléphonie (RSX) 
Etc …
Liens entre les biens essentiels et les biens supports
Le tableau suivant présente les biens supports et leurs liens avec les biens essentiels :

Type




Biens essentiels





Biens supportsImageVoixSignalisationNuméro de visioconférence
Mesures de sécurité déjà mis en place sur les biens supports
Il a été recensé les mesures de sécurité existantes suivantes, bien support par bien support :

Biens supportsImageVoixSignalisationNuméro de visioconférenceMesures de sécurité
portées par les biens supports
Étude des événements redoutés
Événements redoutés
Chaque ligne du tableau suivant représente un événement redouté (bien essentiel, critère de sécurité, besoin de sécurité selon les échelles de besoin, sources de menaces et impacts).

La gravité de chaque évènement redouté est estimée en ne tenant pas compte des mesures de sécurité existantes (cf. échelles de gravité).

Événement redoutéBesoin de sécuritéImpactsSources de menacesGravité
Évaluation des événements
L'importance relative des événements redoutés précédemment analysés (identifiés et estimés) est évaluée à l'aide du tableau suivant (cf. critères de gestion des risques) :

CritiqueImportanteLimitéeNégligeable
Étude des scénarios de menaces / menaces
Scénarios de menaces
Les pages suivantes présentent les scénarios de menaces potentiellement réalisables dans le cadre du sujet de l'étude. Les sources de menaces susceptibles d'en être à l'origine sont identifiées et la vraisemblance de chaque scénario de menace est estimée (cf. échelle de vraisemblance). Le détail des scénarios de menaces est présenté en annexe (bien support, critère de sécurité, sources de menaces, menaces, vulnérabilités et pré-requis).

Scénarii de menacesSources de menacesVraisemblanceÉvaluation des scénarios de menaces
L'importance relative des scénarios de menaces précédemment analysés (identifiés et estimés) est évaluée de la façon suivante (cf. critères de gestion des risques) :

4. Maximale3. Forte2. Significative1. Minime
Étude des risques
Les risques
La liste des risques a été établie à partir des événements redoutés et des scénarios de menaces précédemment appréciés.

Les mesures de sécurité existantes, ayant un effet sur chaque risque, ont également été identifiées.
La gravité et la vraisemblance ont finalement été estimées, sans, puis avec, les mesures de sécurité (les niveaux sur fond gris correspondent aux valeurs avant application de ces mesures).
Risque XXX
01234GravitéNégligeableLimitéeImportanteCritiqueVraisemblanceMinimeSignificativeForteMaximale
Impacts :


Scénarii de menaces :
Scénarii de menacesSources de menacesVraisemblance
Mesures existantes :
Mesures de sécuritéBiens supportsPréventionProtectionRécupération
Justification de la ré-estimation :

Évaluation des risques :
Hiérarchie des risques avant application des mesures de sécurité existantes
RisquesGravité estiméeVraisemblance estimée1
Hiérarchie des risques après application des mesures de sécurité existantes
RisquesGravité estiméeVraisemblance estimée1
Les objectifs de sécurité :
Le tableau suivant présente les objectifs de sécurité retenus :

RisqueÉvitementRéductionPriseTransfert1
Étude des mesures de sécurité
Les mesures de sécurité : une défense en profondeur pour réduire les risques
Le tableau suivant présente la liste des mesures de sécurité destinées à réduire les risques :

Mesures de sécuritéBiens supportsRisque XXXRisque XXXISO 27001PréventionProtectionRécupération

Risques résiduels
Si les mesures de sécurité précédemment identifiées sont mises en œuvre, alors le niveau des risques jugés comme intolérables ou significatifs peut être ré-estimé comme suit :
Risque XXX
01234GravitéNégligeableLimitéeImportanteCritiqueVraisemblanceMinimeSignificativeForteMaximale
En synthèse, les risques résiduels sont donc les suivants :

Risques résiduelsGravitéVraisemblance
Plan d action
Les échelles de valeurs suivantes ont été utilisées pour élaborer le plan d'action :

DifficultéCoût financierÉchéanceAvancement1. Faible1. Nul1. Trimestre1. Non démarré2. Moyenne2. Moins de 1000¬ 2. Année2. En cours3. Élevée3. Plus de 1000¬ 3. 3 ans3. Terminé
Le plan d'action est établi comme suit :

Mesure de sécuritéResponsableDifficultéCoût financierÉchéanceAvancementMesures du trimestreHomologation de sécurité

Livrables émanant de l’étude EBIOS
Fiche d’expression rationnelle des objectifs de sécurité (FEROS)
[Synthèse de l’étude EBIOS (quelques pages) jusqu’au niveau des objectifs de sécurité]
Politique de sécurité (PSSI)
[Organisation des mesures de sécurité de l’étude EBIOS sur la base des chapitres de l’ISO 27002]
Dossier des risques résiduels
[Émane de l’étude EBIOS]
Décision d’homologation
[Acceptation formelle des risques résiduels]
Annexe : liste détaillée des scénarii de menaces























  >?GHefŒ’¥¦§¾¿ÀÁÝÞßàáõíçÛçÎçÈçÀ繬£™çÀç†x†kb^bJkb'jRh7mJhÏ;k>*B*UphÿhÏ;kh7mJhÏ;k0Jjh7mJhÏ;k0JUhÏ;k0J5;OJQJ\$jhÏ;k0J5;OJQJU\hÏ;k^JmH sH hÂ3NhÏ;k^JhÂ3NhÏ;k^JmH sH
hÏ;k5^JhÏ;kCJ(^J
huYÈ^JhÏ;k5B*\^JphÿjhÏ;kCJU^J
hÏ;k^Jjh‹YlUjh–}šU^J
  
úõíèèèèèèèèèàààààààààààààà$a$gdÏ;kgdÏ;k$a$gduYÈgdÏ;kgdÏ;k >?@ABCDEFGHefk„‹úòòòòòòòòòòòâ»ò¶¦¦¦$¤x¤x$Ifa$gd ÙgdÏ;k&$d%d&d'dNÆÿOÆÿPÆÿQÆÿgdÏ;k$„„^„`„a$gduYÈ$a$gdÏ;kgduYÈ‹ŒŽugYg$¤*B*UphÿhÏ;kjh7mJhÏ;k0JUjÏhÏ;kUjhÏ;kU hÏ;kh7mJhÏ;k0J#hÏ;k5;CJOJQJ\^JaJ*Í Î Ï Ð ì í î ï 


"
#
$
%
&
'
(
)
*
F
G
H
I
]
^
_
y
z
{
|
}
~

€


ž
Ÿ
 
½
¾
¿
Ù
ïâÙÕÙÁâÙ¼²¼§²¼²âïâÙÕٓâÙ¼²¼ˆ²¼²âïâÙÕÙtâÙ¼²¼'j4h7mJhÏ;k>*B*Uphÿj·hÏ;kU'j:h7mJhÏ;k>*B*Uphÿj½hÏ;kUjhÏ;kU hÏ;k'j@h7mJhÏ;k>*B*UphÿhÏ;kh7mJhÏ;k0Jjh7mJhÏ;k0JU hÏ;k6CJOJQJ]^JaJ+Ù
Ú
Û
Ý
Þ
ß
à
á
â
þ
ÿ
    0 1 2 4 5 6 7 8 9 U V W X q r s  Ž  ‘ ’ “ ” • – ² ³ ôêåêØÉØÀ¼À¨ØÀåêåêåê،ØÀ¼ÀxØÀåêåmêåê،ØÀ¼Àj¥hÏ;kU'j(h7mJhÏ;k>*B*Uphÿ hÏ;k6CJOJQJ]^JaJj«hÏ;kU'j.h7mJhÏ;k>*B*UphÿhÏ;kh7mJhÏ;k0JhÏ;k:CJOJQJ^JaJjh7mJhÏ;k0JU hÏ;kjhÏ;kUj±hÏ;kU*
à
7 ” X ¿ 
c
¿
dµyý]¾’¤¶ÙúõõúõõúõõõúõõõõðõõõõðçâÝØgdÏ;kgdÏ;kgdÏ;k„Éý^„ÉýgdÏ;kgdÏ;kgdÏ;kgdÏ;k³ ´ µ Ý Þ ß ù ú û ý þ ÿ     ! 5 6 7 Q R S U V W X Y Z v w x y œ  ž ¸ ëÞÕÐÆлÆÐÆÞ¬ÞըՔÞÕÐÆЉÆÐÆÞxÞÕ¨ÕdÞÕÐÆÐ'j h7mJhÏ;k>*B*Uphÿ hÏ;k6CJOJQJ]^JaJj™
hÏ;kU'j
h7mJhÏ;k>*B*UphÿhÏ;khÏ;k:CJOJQJ^JaJjŸ hÏ;kUjhÏ;kU hÏ;kh7mJhÏ;k0Jjh7mJhÏ;k0JU'j" h7mJhÏ;k>*B*Uphÿ&¸ ¹ º ¼ ½ ¾ ¿ À Á Ý Þ ß à ñ ò ó









2
3
4
5
@
A
B
\
]
^
`
a
b
c
d
e

‚
ôêåêØÇؾº¾¦Ø¾åêå›êåê،ؾº¾xؾåêåmêåêØÇؾº¾j‡
hÏ;kU'j
h7mJhÏ;k>*B*UphÿhÏ;k:CJOJQJ^JaJj hÏ;kU'j h7mJhÏ;k>*B*UphÿhÏ;kh7mJhÏ;k0J hÏ;k6CJOJQJ]^JaJjh7mJhÏ;k0JU hÏ;kjhÏ;kUj“ hÏ;kU*‚
ƒ
„
œ

ž
¸
¹
º
¼
½
¾
¿
À
Á
Ý
Þ
ß
à
û
ü
ý
 ?\]^xyzëÞÕÐÆлÆÐÆÞªÞզՒÞÕÐÆЇÆÐÆÞªÞÕ¦ÕsÞÕÐÆÐhƁjuhÏ;kU'jøh7mJhÏ;k>*B*Uphÿj{hÏ;kU'jþh7mJhÏ;k>*B*UphÿhÏ;k hÏ;k6CJOJQJ]^JaJjhÏ;kUjhÏ;kU hÏ;kh7mJhÏ;k0Jjh7mJhÏ;k0JU'jh7mJhÏ;k>*B*Uphÿ(z|}~€žŸ ìíî 
 
-./0ABC]^_abcdef‚ƒúðãÔãËÇ˳ãËúðú¨ðúðã—ãËÇ˃ãËúðúxðúðã—ãËÇˁjihÏ;kU'jìh7mJhÏ;k>*B*Uphÿ hÏ;k6CJOJQJ]^JaJjohÏ;kU'jòh7mJhÏ;k>*B*UphÿhÏ;kh7mJhÏ;k0JhÏ;k:CJOJQJ^JaJjh7mJhÏ;k0JUjhÏ;kU hÏ;k(ƒ„…’“”®¯°²³´µ¶·ÓÔÕÖîïð
  /01234VWëÞÕÐÆлÆÐÆÞªÞզՒÞÕÐÆЇÆÐÆÞªÞÕ¦ÕsÞÕaÕÐ#hÏ;k5;CJOJQJ\^JaJ'jÚh7mJhÏ;k>*B*Uphÿj]hÏ;kU'jàh7mJhÏ;k>*B*UphÿhÏ;k hÏ;k6CJOJQJ]^JaJjchÏ;kUjhÏ;kU hÏ;kh7mJhÏ;k0Jjh7mJhÏ;k0JU'jæh7mJhÏ;k>*B*Uphÿ&WXrstvwxyz{—˜™šÚÛÜö÷øúûüýþÿ:;*B*UphÿhÏ;kh7mJhÏ;k0J#hÏ;k5;CJOJQJ\^JaJjh7mJhÏ;k0JUjWhÏ;kU hÏ;kjhÏ;kU*_{|}~›œ·¸¹»¼½¾¿ÀÜÝÞßö÷ø789:;*B*Uphÿ hÏ;k6CJOJQJ]^JaJjEhÏ;kUjhÏ;kU hÏ;kjh7mJhÏ;k0JU'jÈh7mJhÏ;k>*B*Uphÿh7mJhÏ;k0JhÏ;k&Ý"â#²%€* €ò€ô€Ò Â€ò€ò Öà
tàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö†6ööÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿ4Ö4Ö
laöpÖ
ÿÿÿ̊Tz¢£¤¥¦§¨öêêêÚêê$
& F$Ifa$gd Ù $$Ifa$gd Ù $Ifgd Ù¨©ðkd{!$$IfT–F4Ö”Ñ֞”ÿn>Ý"â#²%€* €ò€ô€Ò Â€ò€ò Öà
tàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö†6ööÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿ4Ö4Ö
laöpÖ
ÿÿÿ̊T©ÒÓÔÕÖ×ØöêêêÚêê$
& F$Ifa$gd Ù $$Ifa$gd Ù $Ifgd ÙØÙðkdj"$$IfT–F4Ö”Ñ֞”ÿn>Ý"â#²%€* €ò€ô€Ò Â€ò€ò Öà
tàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö†6ööÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿ4Ö4Ö
laöpÖ
ÿÿÿ̊TÙõö÷øùúûöêêêÚêê$
& F$Ifa$gd Ù $$Ifa$gd Ù $Ifgd ÙûüðkdY#$$IfT–F4Ö”Ñ֞”ÿn>Ý"â#²%€* €ò€ô€Ò Â€ò€ò Öà
tàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö†6ööÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿ4Ö4Ö
laöpÖ
ÿÿÿ̊Tü'()*012öêêêÚêê$
& F$Ifa$gd Ù $$Ifa$gd Ù $Ifgd Ù23ïkdH$$$IfT–FÖ”Ñ֞”ÿn>Ý"â#²%€* €ò€ô€Ҁ€ò€ò Öà
tàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö†6ööÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿ4Ö4Ö
laöpÖ
ÿÿÿ̊T3bcdejklöêêêÚêê$
& F$Ifa$gd Ù $$Ifa$gd Ù $Ifgd Ùlmïkd/%$$IfT–FÖ”Ñ֞”ÿn>Ý"â#²%€* €ò€ô€Ҁ€ò€ò Öà
tàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö†6ööÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿ4Ö4Ö
laöpÖ
ÿÿÿ̊Tm›œž¶·¸öêêêÚêê$
& F$Ifa$gd Ù $$Ifa$gd Ù $Ifgd Ù¸¹ïkd&$$IfT–FÖ”Ñ֞”ÿn>Ý"â#²%€* €ò€ô€Ҁ€ò€ò Öà
tàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö†6ööÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿÖÿÿÿÿÿÿÿ4Ö4Ö
laöpÖ
ÿÿÿ̊T¹
 !()IŠÞßàúõððððúõúõúèÓÓ„ª„ª¤x¤x$If]„ª^„ªgd Ù
& F#gdÏ;kgd:(ƒgdÏ;kgdÏ;kÞßàáâãäå9:;?@A•–—˜™š›ž³8z{Âà 
LM”•ÛÜ)*|}ÎÏo÷ëå÷ÛåÔÐÔ÷Çå÷Çå¾Ð÷²å¦—åАЈzzzzzzzzzz hö/€hÏ;k h€_ÈhÏ;khï[3hÏ;k5 h×whÏ;khy0hÏ;khqzw6]^JhÏ;khqzw5\^Jhy0hÏ;k6]^JhËtwhÏ;k^JhÏ;k6]^JhÏ;k hŠMjhÏ;kh2U)hÏ;k6^J
hÏ;k^Jh2U)hÏ;k6]^JhÏ;k5\^J0àáâã}hh„ª„ª¤x¤x$If]„ª^„ªgd فkdý&$$IfT4ÖÖ0ûÿû#€  ÖàÖ
ÿÿ̙Ö0ÿÿÿÿÿÿö#ööÖÿÿÖÿÿÖÿÿÖÿÿaöf4pÖ
ÿÿ̙ŠTãäå:;*^JmH nH sH tH hÏ;k>*^JmH nH sH tH hÏ;k h×whÏ;k h€_ÈhÏ;k hö/€hÏ;k5ÁÂæçè‡{{k$
& F$Ifa$gdï[3 $$Ifa$gdï[3wkdt1$$If–FÖF”ÿ€˜"€„€h€
tàö6öÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö4Ö
laöpÖÿÿÿÿÿÿytï[3èéûüý‡{{k$
& F$Ifa$gdï[3 $$Ifa$gdï[3wkdù1$$If–FÖF”ÿ€˜"€„€h€
tàö6öÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö4Ö
laöpÖÿÿÿÿÿÿytï[3ýþ!"#‡{{k$
& F$Ifa$gdï[3 $$Ifa$gdï[3wkd~2$$If–FÖF”ÿ€˜"€„€h€
tàö6öÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö4Ö
laöpÖÿÿÿÿÿÿytï[3#$567‡{{k$
& F$Ifa$gdï[3 $$Ifa$gdï[3wkd3$$If–FÖF”ÿ€˜"€„€h€
tàö6öÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö4Ö
laöpÖÿÿÿÿÿÿytï[378JKL‡{{k$
& F$Ifa$gdï[3 $$Ifa$gdï[3wkdˆ3$$If–FÖF”ÿ€˜"€„€h€
tàö6öÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö4Ö
laöpÖÿÿÿÿÿÿytï[3LMNg¶*6‡‚}xrrff $$Ifa$gd Ù*$gdÏ;kgdÏ;kgdÏ;kgdÏ;kwkd
4$$If–FÖF”ÿ€˜"€„€h€
tàö6öÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö4Ö
laöpÖÿÿÿÿÿÿytï[367E…o^P

Ƹp#$Ifgd Ù$
Ƹp#$Ifa$gd ِkd’4$$IfT–FÖÖ0ºÿÈT$€€Œ ÖààÖÿÿ̙ÿÿ̙Ö0ÿÿÿÿÿÿöš$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
FaöpÖÿÿ̙ÿÿ̙ŠT…†Îwkb $Ifgd Ù $$Ifa$gd وkd\5$$IfT–F4ÖÖ0ºÿÈT$€€Œ ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöš$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
Faöf4pÖ
ÿÿÿ̊TÎÏß3wkb $Ifgd Ù $$Ifa$gd وkd6$$IfT–F4ÖÖ0ºÿÈT$€€Œ ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöš$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
Faöf4pÖ
ÿÿÿ̊T34M±²Çêwrmmaa $$Ifa$gd ÙgdÏ;kgdÏ;kˆkdÐ6$$IfT–F4ÖÖ0ºÿÈT$€€Œ ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöš$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
Faöf4pÖ
ÿÿÿ̊T²êëò )*+7dsuv€¬º¼½ÐÑÔÛ. / 1 i j u v ¡ ¢ £ ­ Ú ;!=!>!b!n!x!y!“!”!—!ž!ø!ù!û!3"4"Y"Z"j"š"›"œ"¯"±"²"¾"ù"#####%#K#L#S#T#õëåÜåÜåÜÕåÜåÜÕåÜåÜÕÑÊŽŽÅõëåÜåÜÕåÜåÜÕÜåÜÕÑÊŽŽÅõëÜÕåÜåÜåÜÕåÜåÜնŽŽŽ h×whÏ;kh×whÏ;k] hÏ;k] hò)ËhÏ;khÏ;k hÏ;k6]hªBçhÏ;k^J
hÏ;k^JhÏ;k56\]hªBçhÏ;k5^JHêëó*off $Ifgd ِkdŠ7$$IfT–FÖÖ0ºÿÁb$€€¡ ÖààÖÿÿ̙ÿÿ̙Ö0ÿÿÿÿÿÿö¨$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
FaöpÖÿÿ̙ÿÿ̙ŠT*+8uwnn $Ifgd وkdT8$$IfT–F4ÖÖ0ºÿÁb$€€¡ ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö¨$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
Faöf4pÖ
ÿÿÿ̊Tuv¼wnn $Ifgd وkd9$$IfT–F4ÖÖ0ºÿÁb$€€¡ ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö¨$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
Faöf4pÖ
ÿÿÿ̊T¼½Ñ0 1 F i wrmmaa $$Ifa$gd ÙgdÏ;kgdÏ;kˆkdÈ9$$IfT–F4ÖÖ0ºÿÁb$€€¡ ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö¨$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
Faöf4pÖ
ÿÿÿ̊Ti j v ¢ off $Ifgd ِkd‚:$$IfT–FÖÖ0ºÿÁr$€€± ÖààÖÿÿ̙ÿÿ̙Ö0ÿÿÿÿÿÿö¸$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
FaöpÖÿÿ̙ÿÿ̙ŠT¢ £ ® =!wnn $Ifgd وkdL;$$IfT–F4ÖÖ0ºÿÁr$€€± ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿö¸$ööÖÿÿÖÿÿÖÿÿÖÿÿ4Ö
Faöf4pÖ
ÿÿÿ̊T=!>!F!x!wnn $Ifgd وkdX>f>úúòúúæææ $$Ifa$gd Ù
& FgdÏ;kgdÏ;k8>9>g>h>i>j>k>l>m>n>o>p>q>r>s>t>u>v>w>>Ó>Ô>Ù>Ú>ß>à>å>æ>ë>ì>ñ>õçÜÐĹ®¢–‹®¢–‹®¢–‹‡wpcpVOVOVOV h'äh:(ƒh'äh:(ƒCJ^JaJh'ähÏ;kCJ^JaJ h'ähÏ;kh'ähÏ;k5CJ\^JaJhÏ;khýI h:(ƒCJaJhÙ_Wh:(ƒCJ]aJh.£h:(ƒCJ]aJh¹žh:(ƒCJaJhýI hÏ;kCJaJhÙ_WhÏ;kCJ]aJh.£hÏ;kCJ]aJh¹žhÏ;kCJaJhýI hÏ;k5CJ]aJhÏ;k5CJ]aJf>g>h>i>NE)$
& F
Æî„î„%ÿ$If^„î`„%ÿa$gd Ù $Ifgd Ù±kdau$$IfT–F4ÖÖF·ÿuº±#ŒJ² ÖàààÖÿÿ̙ÿÿ̙ÿÿ̙Ö0ÿÿÿÿÿÿöˆ6ööÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö
FaöýÿpÖÿÿ̙ÿÿ̙ÿÿ̙ŠTi>j>k>l>m>n>óVM1ó$
& F
Æî„î„%ÿ$If^„î`„%ÿa$gd Ù $Ifgd ٜkdbv$$IfT–FÖÖF·ÿuº±#Œ€J€² ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö
FaöýÿpÖ
ÿÿÿÌyt:(ƒŠT $$Ifa$gd Ùn>o>p>q>r>bY=1 $$Ifa$gd Ù$
& F
Æî„î„%ÿ$If^„î`„%ÿa$gd Ù $Ifgd ٜkd2w$$IfT–FÖÖF·ÿuº±#Œ€J€² ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö
FaöýÿpÖ
ÿÿÿÌyt:(ƒŠTr>s>t>u>v>bY=1 $$Ifa$gd Ù$
& F
Æî„î„%ÿ$If^„î`„%ÿa$gd Ù $Ifgd ٜkdx$$IfT–FÖÖF·ÿuº±#Œ€J€² ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö
FaöýÿpÖ
ÿÿÿÌyt:(ƒŠTv>w>x>e`gdÏ;k™kdÒx$$IfT–FÖÖF·ÿuº±#Œ€J€² ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿÖ ÿÿÿ4Ö
FaöýÿpÖ
ÿÿÿ̊Tx>>¡>°>¹kkM$$EƀIfa$gd ÙFEƀgdÏ;k°>»>Æ>Ó>©©©U$„q„q$EƀIf]„q^„qa$gd ÙÓ>Ô>ñkdªy$$If–F4Ö”èÖrºÿ:Q­ "´#€–
€Œ½Œ½Œè Ö
àààààÖ2ÿÿ̙ÿÿ̙ÿÿ̙ÿÿ̙ÿÿ̙Ö0ÿÿÿÿÿÿöˆ6ööÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿ4Ö4Ö
Faöf4pÖ2ÿÿ̙ÿÿ̙ÿÿ̙ÿÿ̙ÿÿ̙Ô>Õ>Ö>×>Ø>Ù>±±cccM$$EƀIfa$gd ÙM$$EƀIfa$gd ÙÙ>Ú>Û>& $$Ifa$gd ÙÙkdØz$$If–F4Ö”ÔÖrºÿ:Q­ "´#€–
€€½€½€è ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿ4Ö4Ö
Faöf4pÖ2ÿÿÿÌÿÿÿÿÿÿÿÿÛ>Ü>Ý>Þ>ß>óççç $$Ifa$gd Ù $$Ifa$gd Ùß>à>á>& $$Ifa$gd ÙÙkdÐ{$$If–F4Ö”ÔÖrºÿ:Q­ "´#€–
€€½€½€è ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿ4Ö4Ö
Faöf4pÖ2ÿÿÿÌÿÿÿÿÿÿÿÿá>â>ã>ä>å>óççç $$Ifa$gd Ù $$Ifa$gd Ùå>æ>ç>& $$Ifa$gd ÙÙkdÈ|$$If–F4Ö”ÔÖrºÿ:Q­ "´#€–
€€½€½€è ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿ4Ö4Ö
Faöf4pÖ2ÿÿÿÌÿÿÿÿÿÿÿÿç>è>é>ê>ë>óççç $$Ifa$gd Ù $$Ifa$gd Ùë>ì>í>& $$Ifa$gd ÙÙkdÀ}$$If–F4Ö”ÔÖrºÿ:Q­ "´#€–
€€½€½€è ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿ4Ö4Ö
Faöf4pÖ2ÿÿÿÌÿÿÿÿÿÿÿÿí>î>ï>ð>ñ>óççç $$Ifa$gd Ù $$Ifa$gd Ùñ>ò>ó>?&!!gdÏ;kÙkd¸~$$If–F4Ö”ÔÖrºÿ:Q­ "´#€–
€€½€½€è ÖàÖ
ÿÿÿÌÖ0ÿÿÿÿÿÿöˆ6ööÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿÖÿÿÿÿÿ4Ö4Ö
Faöf4pÖ2ÿÿÿÌÿÿÿÿÿÿÿÿñ>ò>&?/?2?3??˜?™?®?¯?°?´?µ?¶?¹?º?»?¾?¿?À?Ã?Ä?Å?@*@+@@@A@B@F@G@H@K@L@M@P@Q@R@U@V@W@t@u@¶@·@â@ã@æ@ùõîõîõâÙâÒÌÃÒ½´­½´­½´­£õâÙâÒÌÃÒ½´­½´­½´­™õîõ…õ|hï[3hÏ;k^Jhï[3hÏ;k5hï[3hÏ;k5\^Jh\z9hÏ;k\]h„jÃhÏ;k\] hæ-.h:(ƒhæ-.h:(ƒ^J
h:(ƒ^Jhæ-.hÏ;k^J
hÏ;k^J hæ-.hÏ;khÏ;k5\^Jhæ-.hÏ;k5\^J h×whÏ;khÏ;k h'äh:(ƒ0??3??€?ˆ?˜?®?¹´¯£——— $$Ifa$gd Ù $$Ifa$gd ÙgdÏ;kgdÏ;kFEƀgdÏ;k®?¯?±?²?³?´?TH $$Ifa$gd Ù $$Ifa$gd ÙgdÏ;kgdÏ;kžkdfƒ$$If–F”ÍÖ\ºÿ“pˆ #€€$å €$Qÿÿÿÿ€$Qÿÿÿÿ ÖààÖÿÿÿÌÿÿÿÌö}ööÖÿÿÿÿÖÿÿÿÿÿÿÿÿÿÿÖÿÿÿÿÖÿÿÿÿ4Ö4Ö
FaöpÖ(ÿÿÿÌÿÿÿÌÿÿÿÿyt:(ƒ@@A@C@D@E@F@QE999 $$Ifa$gd Ù $$Ifa$gd Ù­kdL„$$If–F4”ÿÖ\ºÿ“pˆ #€$å €$Qÿÿÿÿ€$Qÿÿÿÿ ÖààààÖ(ÿÿ̙ÿÿ̙ÿÿ̙ÿÿ̙ö}ööÖÿÿÿÿÖÿÿÿÿÿÿÿÿÿÿÖÿÿÿÿÖÿÿÿÿ4Ö4Ö
Faöf4pÖ(ÿÿ̙ÿÿ̙ÿÿ̙ÿÿ̙yt:(ƒF@G@H@I@J@K@]QEEE $$Ifa$gd Ù $$Ifa$gd Ù¡kdV…$$If–F4”ÍÖ\ºÿ“pˆ #€€$å €$Qÿÿÿÿ€$Qÿÿÿÿ ÖààÖÿÿÿÌÿÿÿÌö}ööÖÿÿÿÿÖÿÿÿÿÿÿÿÿÿÿÖÿÿÿÿÖÿÿÿÿ4Ö4Ö
Faöf4pÖ(ÿÿÿÌÿÿÿÌÿÿÿÿyt:(ƒK@L@M@N@O@P@]QEEE $$Ifa$gd Ù $$Ifa$gd Ù¡kdB†$$If–F4”ÍÖ\ºÿ“pˆ #€€$å €$Qÿÿÿÿ€$Qÿÿÿÿ ÖààÖÿÿÿÌÿÿÿÌö}ööÖÿÿÿÿÖÿÿÿÿÿÿÿÿÿÿÖÿÿÿÿÖÿÿÿÿ4Ö4Ö
Faöf4pÖ(ÿÿÿÌÿÿÿÌÿÿÿÿyt:(ƒP@Q@R@S@T@U@]QEEE $$Ifa$gd Ù $$Ifa$gd Ù¡kd.‡$$If–F4”ÍÖ\ºÿ“pˆ #€€$å €$Qÿÿÿÿ€$Qÿÿÿÿ ÖààÖÿÿÿÌÿÿÿÌö}ööÖÿÿÿÿÖÿÿÿÿÿÿÿÿÿÿÖÿÿÿÿÖÿÿÿÿ4Ö4Ö
Faöf4pÖ(ÿÿÿÌÿÿÿÌÿÿÿÿyt:(ƒU@V@W@u@µ@¶@·@]XSXXG $$Ifa$gdï[3gdÏ;kgdÏ;k¡kdˆ$$If–F4”ÍÖ\ºÿ“pˆ #€€$å €$Qÿÿÿÿ€$Qÿÿÿÿ ÖààÖÿÿÿÌÿÿÿÌö}ööÖÿÿÿÿÖÿÿÿÿÿÿÿÿÿÿÖÿÿÿÿÖÿÿÿÿ4Ö4Ö
Faöf4pÖ(ÿÿÿÌÿÿÿÌÿÿÿÿyt:(ƒ·@¾@È@Ò@Ø@â@óßßßß$„q„q$If]„q^„qa$gdï[3 $$Ifa$gdï[3â@ã@ïkd‰$$IfT–F4”ֈHÿݶ!h#A%ü€LŒŒŒŒ Ö àààààà
tàÖ
 :