Vous êtes sur la page 1sur 115

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

MEMOIRE DE STAGE DE FIN DETUDE


Pour lobtention du

MASTERE PROFESSIONNEL
Nouvelles Technologies des Tlcommunications et Rseaux
Prsent par :

Ayari Amani

Audit de Scurit du Systme Informatique de MTIC

Soutenu le : 05/02/2014 Devant le jury :


Mr : Khaled Ghorbel

Mme : Emna Souissi Mme : Chiraz Houaidia

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

A ma mre pour toute laffection quelle me procure. A mon pre pour ses innombrables et prcieux conseils. A mes frres et leurs conjointes pour leur soutien. Aux petites, Lina et Fatouma pour la joie quils me font vivre. A mon fianc Ahmed Lhomme que jaime tant et avec qui je construirai ma vie A ma tante Mtira Pour son soutien moral A toute ma famille, mes oncles, mes tantes, mes cousins et mes cousines A tous mes amis

Amani
1

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Le travail prsent dans ce rapport a t effectu dans le cadre de ce projet de fin dtudes pour lobtention du diplme de mastre professionnel en Nouvelles Technologies de Tlcommunications et Rseaux lUniversit Virtuelle de Tunis (UVT) Ce travail ralis au sein des locaux du Ministre des Technologies de lInformation et de Communication(MTIC) a pu tre men terme grce la collaboration de certaines personnes quil nous plat de remercier. Je remercie galement Mr Khaled Sammoud mon encadreur pour ses conseils lucides et pertinents. Je tiens remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi Mosly pour la confiance quils ont su me tmoigner au cours de toute la dure de ltude de mon projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux. Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai trs reconnaissant. Je remercie particulirement aux responsables et lquipement informatique au ministre pour leur aide, leur patience et leur disponibilit. Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce travail.

Amani
2

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Table des matires


Introduction Gnrale ..........................................................................................................................7 Chapitre I : ......................................................................................................................................... 10 Gnralits et Etude de lArt ............................................................................................................ 10 123Introduction .................................................................................................................... 11 Gnralit sur la scurit informatique....................................................................... 11 Normes et standards relatives la scurit ................................................................ 11 3.1- ISO/IEC 27001............................................................................................................. 12 3.2- ISO/IEC 27002 ............................................................................................................ 12 3.3- ISO/IEC 27005 ............................................................................................................ 13 45Rle et objectifs daudit ................................................................................................. 13 Cycle de vie dun audit de scurit des systmes dinformation ............................ 14

6Dmarche de ralisation dune mission daudit de scurit des systmes dinformation............................................................................................................................ 15 6.1- Prparation de laudit ............................................................................................ 15 6.2- Audit organisationnel et physique ........................................................................ 16 6.3- Audit technique ...................................................................................................... 16 6.4- Audit intrusif ........................................................................................................... 18 6.5- Rapport daudit ....................................................................................................... 18 78Lois relative la scurit informatique en Tunisie ................................................... 19 Conclusion ....................................................................................................................... 19

Chapitre II : ........................................................................................................................................ 20 Prsentation de lorganisme daccueil et tude de lexistant .......................................................... 20 12Introduction .................................................................................................................... 21 Prsentation de lorganisme daccueil......................................................................... 21 2.1- Prsentation gnrale ............................................................................................. 21 2.2- Rles et attributions ............................................................................................... 21 2.3- Organigramme : ...................................................................................................... 23 2.4- Le bureau des systmes dinformation ............................................................... 25 3Description du systme informatique ......................................................................... 25 3

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

3.1- Inventaire des micro-ordinateurs et serveurs.................................................... 25 3.2- Inventaire des logiciels et systme dexploitation ........................................... 26 3.3- Inventaire des quipements rseaux................................................................... 27 4Architecture et topologie du rseau ............................................................................ 28 4.1- Plan dadressage ...................................................................................................... 28 4.2- Description de larchitecture rseau ................................................................... 28 5Aspects de scurit existante ........................................................................................ 29 5.1- Scurit physique ................................................................................................... 29 5.2- Scurit logique ...................................................................................................... 30 5.3- Scurit rseau......................................................................................................... 31 5.4- Scurit des systmes ............................................................................................. 31 6Conclusion ....................................................................................................................... 32 Chapitre III : ....................................................................................................................................... 33 Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002 .................... 33 123Introduction .................................................................................................................... 34 Approche adopt ............................................................................................................ 34 Droulement de la taxonomie organisationnel et physique .................................... 34 3.1- Prsentation des interviews .................................................................................. 34 3.2- Prsentation et interprtation des rsultats ....................................................... 34 4Conclusion ....................................................................................................................... 40 Chapitre IV: ....................................................................................................................................... 41 Taxonomies des failles techniques .................................................................................................... 41 12Introduction .................................................................................................................... 42 Analyse de larchitecture rseau et systme............................................................... 42 2.1- Reconnaissance du rseau et du plan dadressage ........................................... 42 2.2- Sondage systme et des services rseaux ........................................................... 44 3Analyse des vulnrabilits ............................................................................................ 50 3.1- Serveur Backup Mail.............................................................................................. 50 3.2- Serveur SyGec ......................................................................................................... 51 3.3- Serveur de messagerie Lotus Notes .................................................................... 52 4Analyse de larchitecture de scurit existante .......................................................... 53 4.1- Analyse du Firewall ............................................................................................... 54 4

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

4.2- Analyse du Routeur Cisco..................................................................................... 54 4.3- Analyse du Switch HP Procurve .......................................................................... 55 4.4- Analyse de la politique dusage de mots de passe ........................................... 56 5Conclusion ....................................................................................................................... 57 Chapitre V : ........................................................................................................................................ 58 Recommandations organisationnelles et physiques ........................................................................ 58 12345678910111213Introduction .................................................................................................................... 59 Politique de scurit ....................................................................................................... 59 Organisation de la scurit de linformation.............................................................. 59 Gestion des biens ............................................................................................................ 60 Scurit lie aux ressources humaines ........................................................................ 61 Scurit physique et environnementale ...................................................................... 62 Gestion des communications et de lexploitation ...................................................... 63 Contrle daccs.............................................................................................................. 63 Dveloppement et maintenance des systmes........................................................... 64 Gestion des incidents ..................................................................................................... 65 Gestion de la continuit dactivit ............................................................................... 66 Conformit ...................................................................................................................... 66 Conclusion ....................................................................................................................... 67

Chapitre VI : ...................................................................................................................................... 68 Recommandations techniques ........................................................................................................... 68 123Introduction .................................................................................................................... 69 Recommandations .......................................................................................................... 69 Solution propose........................................................................................................... 72 3.1- Dploiement complet dActive directory (Annexe 4) ...................................... 72 3.2- Windows Server Update Services ...................................................................... 72 3.3- Deuxime Switch HP Procurve ............................................................................ 72 3.4- Nouvelle architecture ............................................................................................. 73 4Conclusion ....................................................................................................................... 73 Conclusion Gnrale.......................................................................................................................... 74 Bibliographie ...................................................................................................................................... 77 Annexes .............................................................................................................................................. 79 5

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

TABLE DES FIGURES


Figure 1:Cycle de vie d'audit scurit ........................................................................................... 14 Figure 2:Processus d'audit ............................................................................................................ 15 Figure 3:Site du ministre(MTIC) ................................................................................................ 22 Figure 4:Organigramme de MTIC ................................................................................................ 23 Figure 5:Stuctures de cabinet ........................................................................................................ 24 Figure 6:Topologie du rseau du ministre(MTIC) ...................................................................... 29 Figure 7:Interface d'administration des onduleurs ........................................................................ 30 Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32 Figure 9:Rsultat de la taxonomie organisationnelle .................................................................... 39 Figure 10:Rseau local .................................................................................................................. 43 Figure 11:Configuration rseau au niveau du poste ..................................................................... 44 Figure 12:Sondage des systmes dexploitation avec GFI LANguard ......................................... 45 Figure 14:Sondage des services en activit du serveur Backup Mail ........................................... 46 Figure 15:Sondage des services avec Zenmap.............................................................................. 46 Figure 16:Sondage des ports ouverts ............................................................................................ 47 Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47 Figure 18:Capture des flux avec wireshark .................................................................................. 48 Figure 19:Partages rseau avec GFI LANguard ........................................................................... 49 Figure 20:Vulnrabilits (GFI LANguard) ................................................................................... 50 Figure 21:Capture du serveur Backup Mail .................................................................................. 51 Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51 Figure 23:Serveur SyGec .............................................................................................................. 52 Figure 24:Serveur primaire messagerie ........................................................................................ 52 Figure 25:Capture PuTTy ............................................................................................................. 55 Figure 26:Capture PuTTy(2)......................................................................................................... 55 Figure 27:Capture de la version du Switch ................................................................................... 56 Figure 28:Capture des adresses IP autorises ............................................................................... 56 Figure 29:Nouvelle architecture scurise .................................................................................... 73

TABLE DES TABLEAUX


Tableau 1:liste des serveurs du MTIC .......................................................................................... 26 Tableau 2:liste des applications du MTIC .................................................................................... 27 Tableau 3:liste des quipements rseaux de MTIC ...................................................................... 27 Tableau 4:liste des plans d'adressage ............................................................................................ 28

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Introduction Gnrale

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Le prsent rapport entre dans le cadre de ralisation dune mmoire du mastre professionnel Nouvelles Technologies des Tlcommunications et Rseaux lUniversit Virtuelle de Tunis pour lobtention dune mission daudit de scurit de systme informatique de Ministre des Technologies de lInformation et de Communication. Les systmes informatiques sont devenus des outils indispensables au fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs professionnels, savoir, le secteur bancaire, les assurances, la mdecine voire dans le domaine aronautique. Cette volution a assouvi par consquent les besoins de nombreux utilisateurs qui ne sont pas forcment de bonne foi. Ils peuvent exploiter les vulnrabilits des rseaux et des systmes dans le but daccder des informations confidentielles et de les utiliser dans leurs propre intrt. Il en dcoule que ces rseaux sont devenus cibls par ce genre de menaces et leurs scurisation recle une proccupation de plus en plus importante. La mise en place dune politique de scurit autour de ces systmes est donc primordiale. Ds lors, la scurit revt une importance qui grandit avec le dveloppement des rseaux IP, les entreprises y voient aujourdhui un avantage concurrentiel et un nouveau dfi battre. La complexit des technologies utilise, la croissance exponentielle des terminaux protger ainsi que la prolifration de nouvelles menaces dmontrent que la scurit est trs importante, et ncessaire. Les oprations informatiques offrent de nouvelles perspectives de rentabilit pour les pirates et les malveillants. Elles constituent un moyen dattaque qui peut tre men des milliers de kilomtres de la cible vise. Ces risques ont gagn du terrain depuis la naissance du rseau mondial Internet. Par consquent, toute organisation qui a des ordinateurs relies internet (ou tout autre rseau externe) doit laborer une politique pour assurer la scurit de chaque systme.

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Ici interviennent les mthodes daudit de scurit des systmes dinformation qui sont la base mme dune politique permettant lentreprise de mettre en uvre une dmarche de gestion de ses risques. Dans ce contexte il nous a t confi de raliser une mission daudit de scurit du systme dinformation du ministre des technologies de linformation et de communication. Le prsent rapport sera structur en six parties : La premire partie prsente des gnralits sur la scurit informatique et sur une mission daudit ainsi quun aperu sur les normes de scurit de linformation. La deuxime partie prsente lorganisme daccueil et ltude de lexistant et lidentification de systme cible. La troisime partie est consacre aux taxonomies des failles organisationnelles et physiques bass sur la norme 27002 et ses rsultats. La quatrime partie sera consacre aux taxonomies des failles techniques qui permettent, travers des outils de dtection des vulnrabilits, dvaluer la scurit mise en place pour la protection du systme dinformation. Enfin, les deux dernires parties de ce rapport comporteront des

recommandations et des conseils suggrs pour remdier ces problmes de scurit.

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre I :

Gnralits et Etude de lArt

10

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction
L'informatique est l'un des lments clefs de la comptitivit d'une entreprise. C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant, rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins. C'est pourquoi raliser un audit permet, par une vision claire et globale, d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit, d'anticiper les problmes et de diminuer les cots de maintenance. (1)

2- Gnralit sur la scurit informatique


Le systme dinformation, considr comme le cur de lentrepr ise, est lensemble des moyens organisationnels, humains et technologiques mis en uvre pour la gestion de linformation. Il doit tre exempt de toute faille de scurit qui risquerait de compromettre linformation qui y circule, du point de vue de la confidentialit, de lintgrit ou de la disponibilit. Ainsi, des normes de scurit ont t dfinies, donnant les rgles respecter afin de maintenir la scurit du systme dinformation de lentreprise. Paralllement, tant donn la complexit de la mise en uvre de ces normes, plusieurs mthodes danalyse des risques ont t mises au point afin de faciliter et dencadrer leur utilisation. Cependant, la plupart de ces mthodes en sont que partiellement compatibles, ne tenant compte que dune partie des rgles nonces dans ces normes.

3- Normes et standards relatives la scurit


Les normes sont des accords documents contenant des spcifications techniques ou autres critres prcis destins tre utiliss systmatiquement en tant que rgles, lignes directrices ou dfinitions de caractristiques pour assurer que des processus, services, produits et matriaux sont aptes leur emploi.(2)

11

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

3.1- ISO/IEC 27001


La norme ISO/IEC a t publie en octobre 2005, intitul Exigences de SMSI , elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui dfinit les conditions pour mettre en uvre et documenter un SMSI (Systme de Management de la
Scurit de l'Information).

3.2- ISO/IEC 27002


Cette norme est issue de la BS 7799-1 (datant de 1995) qui a volu en ISO 17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a t rebaptise en ISO 27002 pour s'intgrer dans la suite ISO 2700x, intitul Code de bonnes pratiques pour la gestion de la scurit de l'information . ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives gnrales sur la slection et l'utilisation de mthodes appropries pour analyser les risques pour la scurit des informations. Elle est compose de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans ses aspects oprationnels (les objectifs de scurit et les mesures prendre). chapitres dfinissant le cadre de la norme: Chapitre n1: Champ d'application Chapitre n2: Termes et dfinitions Chapitre n3: Structure de la prsente norme Chapitre n4: valuation des risques et de traitement Les chapitres dfinissant les objectifs de scurit et les mesures prendre Chapitre n5: Politique de scurit de l'information Chapitre n6: Organisation de la scurit de l'information Chapitre n7: Gestion des actifs Chapitre n8: Scurit lie aux ressources humaines 12

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre n9: Scurits physiques et environnementales Chapitre n10: Exploitation et gestion des communications Chapitre n11: Contrle d'accs Chapitre n12: Acquisition, dveloppement et maintenance des systmes d'informations Chapitre n13: Gestion des incidents Chapitre n14: Gestion de la continuit d'activit Chapitre n15: Conformit.

3.3- ISO/IEC 27005


La norme ISO/IEC 27005, intitul Gestion du risque en scurit de l'information , est une volution de la norme ISO 13335, dfinissant les techniques mettre en uvre dans le cadre dune dmarche de gestion des risques.

4- Rle et objectifs daudit


Laudit scurit est une mission dvaluation de conformit par rapport une politique de scurit ou dfaut par rapport un ensemble de rgles de scurit. Principe : auditer rationnellement et expliciter les finalits de laudit, puis en dduire les moyens dinvestigations jugs ncessaires et suffisants. Lobjectif principal dune mission daudit scurit cest de rpondre aux proccupations concrtes de lentreprise, notamment de ses besoins en scurit, en : Dterminant les dviations par rapport aux bonnes pratiques. Proposant des actions damliorations de niveau de scurit de linfrastructure informatique. Cependant, laudit de scurit peut prsenter un aspect prventif. C'est--dire quil est effectu de faons priodiques afin que lorganisme puisse prvenir les failles de scurit. Egalement, laudit peut simposer suite des incidents de scurit.

13

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

5- Cycle de vie dinformation

dun audit

de

scurit

des systmes

Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit un cycle de vie qui est schmatis laide de la figure suivante (3)

Figure 1:Cycle de vie d'audit scurit

Laudit de scurit informatique se prsente essentiellement suivant deux parties comme le prsente le prcdent schma : Laudit organisationnel et physique. Laudit technique. Une troisime partie optionnelle peut tre galement considre. Il sagit de laudit intrusif. Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport prsente une synthse de laudit. Il prsente galement les recommandations mettre en place pour corriger les dfaillances organisationnelles et techniques constates. Une prsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe suivant qui prsente le droulement de laudit.(3)

14

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

6- Dmarche de ralisation dune mission daudit de scurit des systmes dinformation


Tel que prcdemment voqu, laudit de scurit des systmes dinformation se droule gnralement suivant deux principales tapes. Cependant il existe une phase tout aussi importante qui est une phase de prparation. Nous schmatisons lensemble du processus daudit travers la figure suivante :

Figure 2:Processus d'audit

6.1- Prparation de laudit


Cette phase est aussi appele phase de pr audit. Elle constitue une phase importante pour la ralisation de laudit sur terrain. En synthse on peut dire que cette tape permet de : Dfinir un rfrentiel de scurit (dpend des exigence et attentes des responsables du site audit, type daudit).

15

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Elaboration dun questionnaire daudit scurit partir du rfrentiel et des objectifs de la mission.

Planification des entretiens et informations de personnes impliques. 6.2- Audit organisationnel et physique
a- Objectif Dans cette tape, il sagit de sintresser laspect physique et organisationnel de lorganisme cible, auditer. Nous nous intressons donc aux aspects de gestion et dorganisation de la

scurit, sur les plans organisationnels, humains et physiques. Les objectifs viss par cette tape sont donc : Davoir une vue globale de ltat de scurit du systme dinformation, Didentifier les risques potentiels sur le plan organisationnel. b- Droulement Afin de raliser cette tape de laudit, ce volet doit suivre une approche mthodologique qui sappuie sur un ensemble de questions. Ce questionnaire prtabli devra tenir compte et sadapter aux ralits de lorganisme auditer. A lissu de ce questionnaire, et suivant une mtrique, lauditeur est en mesure dvaluer les failles et dapprcier le niveau de maturit en termes de scurit de lorganisme, ainsi que la conformit de cet organisme par rapport la norme rfrentielle de laudit. Dans notre contexte, cet audit prendra comme rfrentiel la norme ISO/27002 :2005.

6.3- Audit technique


a- Objectif Cette tape de laudit sur terrain vient en seconde position aprs celle de laudit organisationnel. Laudit technique est ralis suivant une approche mthodique allant de la dcouverte et la reconnaissance du rseau audit jusquau sondage des services rseaux actifs et vulnrables. Cette analyse devra faire apparatre les failles et les risques, les consquences dintrusions ou de manipulations illicites de donnes. 16

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Au cours de cette phase, lauditeur pourra galement apprcier lcart avec le s rponses obtenues lors des entretiens. Il sera mme de tester la robustesse de la scurit du systme dinformation et sa capacit confidentialit, dintgrit, de disponibilit et dautorisation. b- Droulement Laudit technique sera ralis selon une succession de phases respectant une approche mthodique. Laudit technique permet la dtection des types de prserver les aspects de

vulnrabilits suivante, savoir : Les erreurs de programmation et erreurs darchitecture. Les erreurs de configurations des composants logiques installs tels que les services (ports) ouverts sur les machines, la prsence de fichiers de configuration installs par dfaut, lutilisation des comptes utilisateurs par dfaut. Les problmes au niveau de trafic rseau (flux ou trafic non rpertori, coute rseau,...). Les problmes de configuration des quipements dinterconnexion et de contrle daccs rseau. Les principales phases : Phase 1 : Audit de larchitecture du systme Reconnaissance du rseau et de plan dadressage, Sondage des systmes, Sondage rseau, Audit des applications.

Phase 2 : Analyse des vulnrabilits Analyse des vulnrabilits des serveurs en exploitation,

Analyse des vulnrabilits des postes de travail.


Phase 3 : Audit de larchitecture de scurit existante Cette phase couvre entirement/partiellement la liste ci aprs : 17

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Audit des firewalls et des rgles de filtrage, Audit des routeurs et des ACLs (Liste de contrle daccs), Audit des sondes et des passerelles antivirales, Audit des stations proxy, Audit des serveurs DNS, dauthentification, Audit des commutateurs, Audit de la politique dusage de mots de passe.

6.4-

Audit intrusif

Cet audit permet dapprcier le comportement des installations techniques face des attaques. Egalement, il permet de sensibiliser les acteurs (management, quipes sur site, les utilisateurs) par des rapports illustrant les failles dceles, les tests qui ont t effectus (scnarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifies.

6.5-

Rapport daudit

A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger un rapport de synthse sur sa mission daudit. Cette synthse doit tre rvlatrice des dfaillances enregistres. Autant est-il important de dceler un mal, autant il est galement important dy proposer des solutions. Ainsi, lauditeur est galement invit proposer des solutions (recommandations), dtailles, pour pallier aux dfauts quil aura constats. Les recommandations devront inclure au minimum : Une tude de la situation existante en termes de scurit au niveau du site audit, qui tiendra compte de laudit organisationnel et physique, ainsi que les ventuelles vulnrabilits de gestion des composantes du systme (rseau, systmes, applications, outils de scurit) et les recommandations

correspondantes.

18

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Les actions dtailles (organisationnelles et techniques) urgentes mettre en uvre dans limmdiat, pour parer aux dfaillances les plus graves, ainsi que la proposition de la mise jour ou de llaboration de la politique de scurit instaurer.

7- Lois relative la scurit informatique en Tunisie


Loi n 5 - 2004 du 3 fvrier 2004, relative a la scurit informatique et portant sur l'organisation du domaine de la scurit informatique et fixant les rgles gnrales de protection des systmes informatiques et des rseaux.(6) Dcret n 1250 - 2004 du 25 mai 2004, fixant les systmes informatiques et les rseaux des organismes soumis a l'audit obligatoire priodique de la scurit informatique et les critres relatifs a la nature de l'audit et a sa priodicit et aux procdures de suivi de l'application des recommandations contenues dans le rapport d'audit.(6)

8- Conclusion
Laudit est une dmarche collaborative visant lexhaustivit. Elle est moins raliste quun test mais permet en contrepartie de passer mthodiquement en revue tout le rseau et chacun de ses composants en dtail. Dans le chapitre suivant nous mettons laccent sur ltude de lexistant et lidentification de systme cible.

19

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre II :

Prsentation de lorganisme daccueil et tude de lexistant

20

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction
Notre mmoire de mastre sest droul au sein du Ministre des Technologies de linformation et de la Communication (MTIC) qui est charg principalement du pilotage, de la planification, de la rglementation et lorganisation du secteur des technologies de la communication en Tunisie. Ce chapitre prsente une tude exhaustive sur le systme informatique et les composants qui le constituent. Toutes les informations ont t rassembles suite des visites sur place et des entretiens avec les membres de lquipe informatique.

2- Prsentation de lorganisme daccueil


2.1Prsentation gnrale
Ministre des Technologies de l'information et de la communication Mr Mongi Marzouk Informatique et tlcommunication 230 employs 3, bis rue dAngleterre, 1000 Tunis info@infocom.tn http://www.infocom.tn (+216) 71 359 000

Dnomination Ministre Secteur dactivits Moyens humains (fin 2012) Adresse e-mail Site web Tlphone :

2.2- Rles et attributions


Le ministre a pour mission la mise en place d'un cadre rglementaire qui organise le secteur, la planification, le contrle et la tutelle en vue de permettre au pays d'acqurir les nouvelles technologies. Il assure de mme le soutien du dveloppement, 21

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

attire l'investissement et encourage les efforts d'exportation et la comptitivit des entreprises tunisiennes. Ladresse officielle du site du ministre est : www.mincom.tn[N1]

Figure 3:Site du ministre(MTIC)

A cet effet, le ministre est charg notamment de : Coordonner entre les structures charges des tudes stratgiques dans le domaine de la Poste, des Tlcommunications et de la technologie de l'Information ; laborer des normes techniques ; et encadrer les programmes de la recherche et les activits industrielles en vue de leur adaptation aux besoins du secteur, Elaborer des plans et des tudes stratgiques dans les domaines des tlcommunications et Postal, Elaborer les tudes de rentabilit tarifaires et les modalits de fixation des tarifs des Tlcommunications et des tarifs postaux, Fixer les conditions et les modalits relatives la mise en place et l'exploitation des services valeur ajoute des tlcommunications, Suivre l'activit des Entreprises sous tutelle du ministre du point de vue technique et financier. 22

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Collecter et analyser des statistiques relatives au secteur et proposer des programmes insrer dans les plans de dveloppement et en valuer les rsultats :

Collecter et analyser et diffuser des statistiques relatives aux activits du ministre,

Participer l'laboration des tudes stratgiques et des plans de dveloppement dans le domaine des communications,

Evaluer les rsultats des plans de dveloppement relatifs aux domaines affrents aux attributions du ministre,

2.3- Organigramme :

Figure 4:Organigramme de MTIC

Lorganigramme du ministre comprend principalement : L'inspection gnrale des communications Les directions gnrales tel que : 23

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

-Direction gnrale des technologies de linformation -Direction gnrale des technologies de la communication -Direction gnrale de lconomie Numrique, de linvestissement et des statistiques -Direction gnrale des entreprises et tablissements publics -Direction gnrale des services communs Le cabinet comprend les structures suivantes :

Figure 5:Stuctures de cabinet

-Le bureau d'ordre central -Le bureau de linformation et de la communication -Le bureau des systmes dinformation -Le bureau des relations avec les associations et les organisations -Le bureau de suivi des dcisions du conseil des ministres, des conseils ministriels restreints et des conseils interministriels -Le bureau des affaires gnrales, de la scurit et de la permanence -Le bureau des relations avec le citoyen 24

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

-Le bureau de supervision des projets statistiques -Le bureau de la rforme administrative et de la bonne gouvernance -Le bureau de la coopration internationale, des relations extrieures

2.4-

Le bureau des systmes dinformation

Le bureau des systmes dinformation est charg de : Lexcution du chemin directeur de linformation et sa mise jour, de mme le dveloppement de lutilisation de linformatique au niveau de diffrents services du ministre. Lexploitation et la maintenance des quipements et des programmes informatiques. La fixation de besoins en matire informatique et participation llaboration des cahiers des charges des appels doffres pour lacquisition dquipements informatiques. La participation llaboration des programmes de formation et de recyclage. Le dveloppement des programmes informatiques concernant les produits financiers. Le suivi et lapplication des programmes de maintenance des quipements informatiques au niveau rgional travers les ples rgionaux.

3- Description du systme informatique


Dans cette partie nous allons identifier tous les lments et les entits qui participent au fonctionnement du Systme informatique. Daprs les visites effectues et les documents qui nous ont t fournis, nous rpartissons linventaire des quipements informatiques comme suit :

3.1- Inventaire des micro-ordinateurs et serveurs


Nombre des postes de travail : 220 Tous les ordinateurs sont de type PC 25

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Nombre des serveurs en exploitation est 07 Serveurs :

Serveur en Exploitation Serveur SyGec

Type dApplication Hberge Gestion et suivi des courriers Messagerie Intranet

Serveur primaire messagerie Lotus Domino/Notes Serveur Secondaire messagerie Lotus Domino/Notes Serveur Backup Mail Serveur Antivirus rseau Koss 9.0 Serveur Mangement FW Serveur Fax

Plates formes OS/ SGBD Windows 2008 Server/ SQL serveur 2005 Windows 2003 SP3 Windows 2003 SP3

Adresse rseau 10.0.3.128/24

10.0.3.51/24

Messagerie Intranet

10.0.3.52/24

Sauvegarde des mails Systme Antiviral Console dadministration du FireWall/IDS Gestion lectronique des Fax

Windows XP SP2 Windows 2008 Server Windows 2008 Server R2 Windows 2008 Server

10.0.3.127/24 10.0.3.131/24 10.0.3.131/24

10.0.3.101/24

Tableau 1:liste des serveurs du MTIC

3.2- Inventaire des logiciels et systme dexploitation


Les postes de travail sont quips du systme Windows XP (SP2/SP3) et Windows7 (SP1). Les Serveurs sont quips du systme Windows 2003 Server et Windows 2008 Server Une suite de bureautique (office 2003 et 2007) est installe sur tous les postes. Il y a des applications qui sont exploites sur un rseau physiquement spar du rseau Intranet du ministre et dont les serveurs sont hbergs au Centre National de linformatique, ils sont comme suit : Les applications INSAF Description Application permet la gestion intgre des ressources humaines et de la paie du personnel de Dveloppement Externe/Interne Externe

26

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

RACHED

ADAB Gestion des biens mobiliers de lEtat MANKOULET

Gestion des stocks de lAdministration MAKHZOUN

lEtat Application pour lautomatisation des procdures relatives aux missions effectues a ltranger par les agents de ladministration Application daide a la dcision Budgtaire Application permettant le suivi des diffrentes tapes de gestion des biens mobiliers du ministre, depuis leur acquisition jusqu' la fin de leur utilisation Application de gestion des stocks des produits tenus en stock dans les magasins du ministre
Tableau 2:liste des applications du MTIC

Externe

Externe Externe

Externe

3.3- Inventaire des quipements rseaux


Le site compte les quipements rseaux et scurit suivantes: Marque et Modle Nombre dinterfaces Plusieurs Switch de 24 ports Rj45, 4 ports FO marque Dlink et de modle DGS 3100 Plusieurs Switch de marque Dlink et de modle DGS 1216T Un Routeur CISCO 2850 Un double de FW de marque StoneGate et de modle FW1050e Un commutateur Niv3 de marque HP Procurve de modle 5406zl 16 ports Rj45, 2 ports FO

2 interfaces fast Ethernet et 8 interfaces sries possdent 8 interfaces fast Ethernet.

Possde 08 interfaces FO et 24 Interfaces RJ45

Tableau 3:liste des quipements rseaux de MTIC

27

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

4- Architecture et topologie du rseau


4.1- Plan dadressage
Tous les htes du rseau utilisent des adresses IP prive de classe A (10.0.x.0/24) avec un masque rseau de classe C. Le rseau Interne est segment en 8 sous rseaux : Adresse Sous rseau 10.0.1.1/24 10.1.0.0/24 10.0.2.0/24 10.0.3.0/24 10.0.4.0/24 10.0.5.0/24 10.0.7.0/24 10.0.8.0/24 10.0.13.0/24 Description Zone dadministration Postes utilisateurs zone DGTC Postes utilisateurs zone inspection Zone des serveurs en exploitation Postes utilisateurs zone DAAF Postes utilisateurs zone juridique Postes utilisateurs zone Btiment Postes utilisateurs zone Informatique Postes utilisateurs zone cabinet
Tableau 4:liste des plans d'adressage

4.2- Description de larchitecture rseau


Toute linformatique est relie un rseau de type Ethernet, Cest un rseau local moderne, 100% commut, avec des dbits levs (100/1000 Mb/s). La topologie du site est en toile tendue, le rseau interne est segment physiquement en 8 sous rseaux, et chaque segment sous rseau est reli a un nud central (Switch N3 de marque HP et de modle 5406zl) via des liaisons fibre optique. Le rseau interne est reli au rseau Internet travers une liaison de type Fibre Optique avec un dbit de 10 Mb/s. Le rseau est reli avec des sites distants (des sites des organismes sous tutelle tel que SEILL, ONT, OPT, CNI) via des liaisons permanentes hauts dbits (lignes

spcialises avec un dbit qui varie entre 128 ko/s et 512 ko/s).

28

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Toute larchitecture du rseau Interne est autour dun doublet de firewall (qui fonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps. Les firewalls internes sont relis un doublet de firewall Frontal.

Figure 6:Topologie du rseau du ministre(MTIC)

5- Aspects de scurit existante


Des mesures de scurit ont t prises pour assurer au mieux la scurit des infrastructures et des utilisateurs du rseau.

5.1- Scurit physique


Daprs les visites et les entretiens, nous avons constats les faits suivants : Le service de nettoyage intervient de 8h 9h et de 13h 14h30 Existence des agents daccueil qui contrlent laccs au primtre du site, lenregistrement des informations relatives chaque visiteur et fournir un badge pour accder lintrieur du local. 29

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Salle serveur ferme clef, seuls les personnes autorises et qui possdent la cl peuvent y accder, La climatisation est assure par (deux) climatiseurs domestiques install dans la salle des serveurs. Les prises de courant lectriques ne sont pas ondules. Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de marque APC 1kva) pour assurer la continuit de service des ressources critique en cas de problmes lectrique.

Figure 7:Interface d'administration des onduleurs

Seuls les machines et les composants rseaux importance leve sont protgs par des onduleurs pour liminer les problmes dalimentation lectrique de courte dure. Les extincteurs dincendies sont disponibles dans chaque couloir Absence des camras de surveillance pour les zones sensibles.

5.2- Scurit logique


Pour la scurit logique, les moyens mis en place au sein du S.I sont : Acquisition dune solution matriel de sauvegarde de donnes wooxo security box : qui comprend 2 disques (chacun est de capacit 512Mb), il est administrable via le web, il est scuris contre les risques majeurs tel que : le feu, linondation, et le vol

30

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Des procdures de sauvegarde pour les donnes sensibles sont appliques selon les frquences suivantes : Pour la base de donnes de lapplication SyGec : une image sur disque chaque jour. Pour les Emails au niveau du serveur de messagerie : une sauvegarde est planifie tous les jours (fin de la journe) sur un poste de travail ddi pour backup Mail. Pour la configuration du firewall : une sauvegarde de la configuration chaque mois ou lors dune modification importante, et une sauvegarde des logs est assure chaque semaine. Afin dassurer la continuit des services et viter larrt des services mme partiellement en cas des problmes (panne matriel, crash disque...), une certaine redondance matrielle a t constat notamment au niveau des firewalls ainsi quau niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.

5.3- Scurit rseau


Le rseau est segment physiquement en des sous rseaux autour dun commutateur niveau 3 qui assure le routage. Les filtrages des accs depuis et vers les rseaux externes sont assurs par le Firewall interne de marque StoneGate et de modle 1050. Pour laccs au rseau Internet, le mcanisme du NAT est assur par le doublet de Firewall frontal de marque StoneGate et de modle 1030. Dans la zone des serveurs en exploitation, un systme de dtection des intrusions (IDS/IPS) de marque StoneGate et de modle 1030 est install afin de la protger contre les attaques.

5.4- Scurit des systmes


Le systme Antiviral : Quelque soit les mesures mises en place, on ne peut pas viter 100% que les machines ne seront pas infectes par des virus. 31

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en place avec une architecture client/serveur, et une version client (agent) est installe sur toutes les machines du rseau (une version pour les postes de travail et une version pour les serveurs), le serveur de lantivirus tlcharge les mises jour rgulirement et les installe sur tous les Ordinateurs.

Figure 8:Interface client-Endpoint Security V8

6- Conclusion
Suite la description de lenvironnement de droulement de notre mission daudit et lidentification de larchitecture rseau et principaux serveurs et quipements, nous allons procder, dans le chapitre suivant, aux taxonomies des failles organisationnelles et physiques bass sur la norme 27002.

32

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre III : Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002

33

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction
Ce chapitre vise avoir une vision qualitative et quantitative des diffrents facteurs de la scurit informatique du site audit et identifier les points critiques du systme dinformations. Laudit fonctionnel sera ralis en se basant sur des entretiens avec le responsable, et des observations constats sur le site.

2- Approche adopt
Notre approche consiste mesurer le niveau de maturit en se basant sur un questionnaire inspir de la Norme ISO 27002 (voir annexe 1). Ce questionnaire comporte 11 chapitres, chaque chapitre prsente un thme de scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur les mesures de scurit mettre en uvre et les contrles implmenter.

3- Droulement de la taxonomie organisationnel et physique


Lors de cette phase, je me suis ainsi entretenu avec le chef service informatique : Mr Marouane LADJIMI. Des visites ont t ralises au site afin de vrifier la scurit physique.

3.1- Prsentation des interviews


Voir annexe 1

3.2- Prsentation et interprtation des rsultats


Lors de cette intervention et suivant les rponses aux questionnaires, jai pu dceler les constations suivantes : a- Politique de scurit de linformation

34

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

On remarque linexistence dune politique de scurit formelle et disponible pour tous les personnels et par consquent, labsence dun document de politique de Scurit crit, valid et diffus par la direction gnrale et de norme applique.

La politique de scurit nest pas affecte un responsable, charg de la rvision rgulire de ce document et ladapte priodiquement en cas de changement au niveau de lorganisation ou au niveau de larchitecture, suite un incident de scurit, ou bien cause des changements technologiques.

b- Organisation de la scurit de linformation Linexistence des fonctions suivantes dans la politique de scurit : responsable spcialiste de la scurit physique ; responsable spcialiste de la scurit fonctionnelle et informatique ; directeur responsable de la scurit gnrale. Absence des objectifs de scurit dans la politique globale de lorganisme. Absence de lidentification des informations confidentielles. Linexistence dune politique de rvision et de documentation de la politique dorganisation de la scurit. Absence du mcanisme didentification et de classification des accs. Absence dun contrat qui stipule les clauses relatives la scurit des valeurs de lorganisation, la scurit physique et lexistence dun plan de secours dans le cas dexternalisation du ministre. Absence de comit de pilotage du SI. Absence de lidentification des risques dus aux effets externes.

c- Gestion des biens Il ny a pas une classification des ressources bases sur les 3 axes : Disponibilit, Intgrit et Confidentialit. Manque des Lignes directrices pour la classification des informations en termes de valeur, dexigences lgales, de sensibilit et de criticit, Linexistence dun stock inventori dquipements et de pices dtaches de secours. Absence dune licence dacquisition pour tous les logiciels installs. 35

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Il ny a pas de contrle des logiciels installs. Linexistence des rgles dutilisation des biens et des services dinformation.

d- Scurit lie aux ressources humaines Linexistence dun contrat sign par tous les personnels pour prendre des dcisions en cas de non respect des rgles de scurit, ou bien quils soient sources des failles. Absence dune note prcisant les devoirs et responsabilits du personnel. Absence dun programme de sensibilisation du personnel aux risques d'accident, d'erreur et de malveillance relatifs au traitement de l'information. Les employs doivent noter, signaler toutes les failles et les menaces de scurits observes dans les systmes ou services ou applications, et savoir qui sadressent en cas pareils. Absence dun document de confidentialit des informations sign par les employs lors de lembauche. e- Scurit physique et environnementale Absence dune rglementation spciale contre le fait de fumer, boire, et manger dans les locaux informatiques. Absence dune politique de maintenance pour les quipements sensibles. Absence des procdures de gestion de crise en cas de long arrt du systme et de permettre la reprise du fonctionnement au moins partiellement (favoriser quelques machines sur dautres). Linexistence dun systme de dtection ou dvacuation deau. Absence dun document li la scurit physique et environnementale.

f- Gestion des communications et de lexploitation Absence des procdures formelles pour les oprations dexploitation : backup, maintenance et utilisation des quipements et des logiciels. Linexistence dune distinction entre les phases de dveloppement, de test et dintgration dapplications. Absence dune procdure pour la gestion des incidents. 36

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Absence des procdures formelles pour la prvention contre la dtection et la prvention des logiciels malicieux.

Absence dune politique pour se dbarrasser des documents importants. Linexistence des consignes interdisant lutilisation des logiciels sans licence qui doivent tre respects et contrls.

Absence dune politique de scurit pour les emails.

g- Contrle daccs Absence dune procdure dattribution ou de retrait des privilges qui n cessite laccord formel de la hirarchie. Les utilisateurs non conscients quils doivent verrouiller leurs sessions en quittant leur bureau mme pour quelques instants. Absence du contrle par un dispositif didentification et dauthentification laccs au systme. Linexistence dun dispositif de revue des droits daccs des intervalles rguliers. Absence des conditions respecter lors du choix des mots de passe. Il faut sensibiliser les utilisateurs pour prendre prcautions lutilisation des disquettes, CD, flash h- Dveloppement et maintenance des systmes Absence des procdures de validation en cas dun ou des changements raliss sur les programmes ou bien sur les applications. Absence de lassurance de la scurit de la documentation du systme dinformation. Linexistence des procdures de contrle pour les logiciels dvelopps en soustraitance. Linexistence dune politique de maintenance priodique et assidue des quipements. i- Gestion des incidents Linexistence dune politique de gestion des incidents. 37

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Absence dune politique pour rpartition des responsabilits en cas dincident. Absence dun systme de reporting des incidents lis la scurit de linformation.

Les employs ne sont pas informs du comportement avoir si un incident est survenu.

j- Gestion de la continuit dactivit Absence dune politique de sauvegarde pour dautres actifs de lorganisme. Une analyse de risque partir des divers scnarios nest jamais dvelopp, qui permet didentifier les objets et les vnements qui pourraient causer des interruptions (partielle ou totale). Linexistence des alarmes pour lavertissement lors daccs aux actifs sensibles en dehors des heures de travail ou en cas daccs non autoriss. Absence dun plan de secours, ce qui vient de dire que lorganisme est incapable de rpondre rapidement et efficacement aux interruptions des activits critiques rsultant de pannes, incident, sinistre. Absence des plans crits et implments pour restaurer les activits et les services en cas de problmes. k- Conformit On remarque labsence dune dfinition, dune documentation et dune mise jour explicite de toutes les exigences lgales, rglementaires et contractuelles en vigueur, ainsi que la procdure utilise par lorganisme pour satisfaire ces exigences. Linexistence dun contrle de la conformit technique. La non-conformit des rgles de scurit appliques. Linexistence dune procdure dfinissant une bonne utilisation des technologies de linformation par le personnel. Il faut que le responsable de la scurit de linformation value priodiquement des procdures pour le respect de la proprit intellectuelle. l- Rsultat 38

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Le graphe suivant illustre les rsultats :


PS OS 60 50 40 30 20 10 0 Figure 9:Rsultat de la taxonomie organisationnelle GB SRH SPE GCE CA DMS GI GCA C

70

Lgende : PS : Politique de scurit de linformation (0%) OS: Organisation de la scurit de linformation (30%) GB : Gestion des biens (50%) SRH : Scurit lie aux ressources humaines (23%) SPE : Scurit physique et environnementale (61%) GCE : Gestion des communications et de lexploitation (50%) CA : Contrle daccs (57%) DMS : Dveloppement et maintenance des systmes (38%) GI : Gestion des incidents (0%) GCA : Gestion de la continuit dactivit (45%) C : Conformit (50%) Par consquent, la moyenne est de : 37% Niveau trs bas en terme de scurit physique et organisationnelle

39

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

4- Conclusion
La taxonomie organisationnel et physique a permis davoir une vue globale sur le niveau de scurit du systme dinformation grce un ensemble dentretiens et au questionnaire qui se base sur la norme ISO 27002. Nous entamons dans le chapitre suivant la partie technique.

40

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre IV:

Taxonomies des failles techniques

41

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction
La taxonomie des failles techniques suit une tude organisationnelle et physique permettant davoir une vue globale de ltat de scurit du systme dinformation et didentifier les risques potentiels. A cette tape nous passons la recherche des vulnrabilits fin danalyser le niveau de protection de linfrastructure face aux attaques notamment celles qui exploitent ces vulnrabilits. Nous utilisons tout au long de cette partie un ensemble des outils permettant dobtenir les informations ncessaires et de dceler les diffrentes vulnrabilits.

2- Analyse de larchitecture rseau et systme


2.1- Reconnaissance du rseau et du plan dadressage
Durant cette tape, nous allons procder une inspection du rseau afin de dterminer sa topologie, didentifier les htes connects et les quipements rseau. Pour raliser cette tche, nous commenons par un recueil des donnes concernant les quipements inventoris. Loutil utilis pour l'identification de la topologie rseau est NetworkView sa version 3.6 qui permet de fournir une reprsentation graphique des composantes actives sur le rseau et leurs attributs. Utilisation de loutil NetworkView(9) lintrieur du rseau audit : Concernant le plan dadressage, tous les htes du rseau utilisent des adresses IP prive de classe A (10.0.x.0/24) avec un masque rseau de classe C.

42

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Figure 10:Rseau local

Cette figure montre les postes utilisateurs de la zone inspection, la zone des serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le rseau interne. Le rseau interne est segment en 8 sous rseaux. Tous les htes du rseau utilisent des adresses IP prive de classe A (10.*.*.*/24) avec un masque rseau de classe C ce qui nest pas conforme aux normes en vigueur. La configuration TCP/IP des htes est manuelle, ce quindique quelle est protge contre les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24. Pour laccs au rseau public Internet, une translation dadresse (NAT) est assure par le Firewall frontal. Nous signalons cet gard, que la configuration rseau au niveau des postes nest pas protge contre les modifications. En effet, chaque utilisateur peut changer son adresse ce qui peut gnrer des conflits dadresses. Des attaques de type IP Spoofing (usurpation d'identit) peuvent tre facilement menes et gnrer un dni du service; il suffit de remplacer ladresse IP du poste par celle dun quipement critique (routeur,

43

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

serveur, etc.). Cette attaque permet la dgradation des performances de lquipement concern voir mme son arrt complet.

Figure 11:Configuration rseau au niveau du poste

2.2- Sondage systme et des services rseaux


Lobjectif de cette tape est lidentification des systmes dexploitation et des services rseau ce qui permet de savoir les ports ouverts des quipements audits. Il est galement possible danalyser le trafic, de reconnatre les protocoles et les services prdominant au niveau du rseau. Pour raliser cette tape, nous avons utilis autres outils qui permettent didentifier les OS, les services ouverts, les patches manquants et dautres informations utiles: Nmap(7) est un scanner de ports. Il est conu pour dtecter les ports ouverts, identifier les services hbergs et obtenir des informations sur le systme d'exploitation d'un ordinateur distant. GFI LANguard Network Security : cest un outil qui permet deffectuer un audit rapide de scurit sur le rseau, il regroupe des informations enregistres sur les postes de travail telles que les noms dutilisateurs, les partages, etc.

44

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

a- Identification des systmes dexploitation Des essais de balayage systmatique des ports avec des options de dtection des systmes d exploitation ont permis davoir la liste des O.S au niveau des stations de lensemble du rseau audit de la MTIC. Les rsultats de test ont confirm que le rseau local du site est exclusivement Windows pour les postes utilisateurs (des stations tournant sous le systme Win XP), Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de donnes et dapplication en exploitation. Jai constat que les versions des O.S dtectes sur un chantillon important des serveurs au niveau du rseau local ne sont pas mise jour vu labsence dune solution de gestion centralise des mises jour.

Figure 12:Sondage des systmes dexploitation avec GFI LANguard

b- Identification des services rseaux Il sagit de dterminer les services offerts par les serveurs et les postes de travail qui peuvent tre une source de vulnrabilit. J'ai effectu un balayage des machines (serveurs et postes de travail) du rseau interne, jai pu cerner la liste des ports ouverts sur les stations en activit. Jai retenu utile de prsenter deux petits chantillons de ces prlevs effectu sur le serveur backup mail en utilisant loutil Zenmap et le console sur Back-Track 5(8) :

45

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Figure 13:Sondage des services en activit du serveur Backup Mail

Figure 14:Sondage des services avec Zenmap

Il est ais didentifier les services rseau en activit sur les serveurs dapplications et de donnes en exploitation au niveau du site MTIC et de connatre le type des OS, ainsi que les failles relatives aux versions associes. Certains services en activit sur les stations, dont il faudra dcider de leur utilit et de sassurer priodiquement de labsence des failles, par exemple : HTTP 80 (TCP), TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139 (TCP) et 445 (TCP & UDP). 46

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

c- Identification des ports ouverts Jai appliqu loutil GFI LANguard sur les serveurs et les quipements critiques et jai constat quil existe des ports qui sont ouverts et non utiliss.

Figure 15:Sondage des ports ouverts

Plus

de

dtails

concernant

le

serveur

secondaire

messagerie

Lotus

Domino/Notes qui possde ladresse 10.0.3.52.

Figure 16:Ports ouverts du secondaire messagerie

47

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Les ports ouverts sont : Le port 445 est ouvert pour la plupart des serveurs et peut tre utilis par le ver NIMDA. Le port 139 est ouvert pour la plupart des serveurs, ce port peut tre utilis par les chevaux des Troie(11) suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz. Le port 25 (service SMTP) tant actif sur les serveurs messageries, il prsente un risque de SPAM et par suite un risque de saturation de disque. Ce service doit tre dsactiv sil nest pas utilis. Le port 443 est ouvert au niveau de plusieurs serveurs dapplications, qui peut tre exploit par le trojan Slapper. d- Identification des flux rseaux Cette tape concerne lanalyse du trafic, lidentification des principaux flux, protocoles et applications, le taux d'utilisation ainsi que les flux inter-stations et les protocoles superflu. J'ai utilis pour cela Wireshark qui est un logiciel libre d'analyse de protocole, ou packet sniffer , permet deffectuer de capture sur le rseau ainsi quune analyse du trafic. La capture dcran suivante reprsente linterface dinterception des paquets de Wireshark :

Figure 17:Capture des flux avec wireshark

48

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Une premire analyse du trafic permet didentifier lexistence de plusieurs protocoles actifs superflus qui gnrent des informations gratuites et qui pourraient tre exploites par des personnes malintentionnes pour mener des attaques. Les protocoles identifis sont les suivants : Cisco Discovery Protocol (CDP) : Il est utilis pour obtenir des adresses des priphriques voisins et de dcouvrir leur plate-forme, il utilise le protocole SNMP. CDP peut aussi tre utilis pour voir des informations sur les interfaces quun routeur utilise. ces donnes peuvent tre exploites dans la recherche des vulnrabilits du routeur et mener des attaques. (4) Spanning Tree Protocol (STP) : il permet dapporter une solution la suppression des boucles dans les rseaux ponts et par extension dans les VLANs e- Identification des partages rseaux Jai utilis loutil GFI LANguard sur les serveurs et les quipements critiques pour dterminer les partages rseaux utiliss :

Figure 18:Partages rseau avec GFI LANguard La plupart des partages existants contiennent les partages administratifs et partages cachs par dfaut ADMIN$, C$, D$, IPC$, K$ , En effet, les partages administratifs par dfaut peuvent tre exploits par un intrus pour avoir le contrle total de la machine.

49

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

3- Analyse des vulnrabilits


La recherche de vulnrabilits pendant cette phase se base sur le scanner de vulnrabilit (GFI LANguard) qui teste la rsistance du systme face aux failles connues stockes dans leurs bases de connaissance. Voici une capture gnrale qui indique ltat de vulnrabilits sur les serveurs et les quipements critiques :

Figure 19:Vulnrabilits (GFI LANguard)

Par la suite, je vais mesurer les vulnrabilits des parties les plus sensibles du rseau local pour dgager rapidement les failles rellement dangereuses et dgager partir des outils, des rapports efficaces et exploitables pour une scurisation rapide et efficaces du systme.

3.1- Serveur Backup Mail


Identification du compte administrateur (cr par dfaut lors de linstallation) sans aucune protection de mot de passe. Ceci est un exemple sur le serveur backup mail qui a l'adresse 10.0.3.127 :

50

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Figure 20:Capture du serveur Backup Mail

Identification du port critique ouvert tel que par exemple : port 23 pour le service Telnet. Cela peut mettre en danger le serveur vu la criticit du Telnet (accs distance et flux circulant en clair).

Figure 21:Capture du serveur Backup Mail(2)

3.2- Serveur SyGec


Le schma suivant prsente le rsultat dun test par un scanner de vulnrabilits, ciblant le serveur de gestion et suivi des courriers serveur SyGec qui a l'adresse 10.*.*.* :

51

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Figure 22:Serveur SyGec

Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services rseaux en activit (ports critiques ouverts, comme le port 23), vulnrabilits relatives au systme dexploitation et au systme SGBD (le port 1433 (Microsoft SQL Server) est un port utilis par le cheval de Troie Voyager Alpha Force ).

3.3- Serveur de messagerie Lotus Notes


Le schma suivant prsente le rsultat dun test par un scanner de vulnrabilits, ciblant le serveur primaire messagerie Lotus Domino/Notes qui a l'adresse 10.0.3.51 :

Figure 23:Serveur primaire messagerie

52

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services rseaux en activit et vulnrabilits systmes. Le sondage des ports avec les vulnrabilits associes est prsent comme suit : Sasser (5554|TCP) (Vulnrabilit dordre grave) Utilis en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a t un ver qui a exploit un dbordement de tampon dans Windows LSA service. Le ver a attaqu le port TCP 445 avec l'exploit, puis en cas de succs il a ouvert une commande Shell distance sur le port TCP 9996 et un service ftp sur le port 5554. Le service ftp est pourtant mme exploitable et la tentative de ver Dabber tente d'exploiter cette vulnrabilit. POP3 (110|TCP) (Vulnrabilit dordre grave) Le port 110 est ouvert, dsactiv le service sil nest pas utilis car il est possible de dtecter quels chiffrements SSL qui sont pris en charge par le service pour le

cryptage des communications. SMTP (25|TCP) (Vulnrabilit dordre moyenne) Port SMTP ouvert (cible des spammeurs), il est recommand de le dsactiver sil nest pas utilis, ou filtrer le trafic entrant ce port. HTTP (80|TCP) (Vulnrabilit dordre moyenne) Il est recommand de le dsactiver sil nest pas utilis car il est possible dextraire des informations de configuration et de dterminer le type et la version du serveur web.

4- Analyse de larchitecture de scurit existante


Lobjectif de cette tape est dexpertiser larchitecture technique dploye et de vrifier les configurations des quipements rseaux avec la politique de scurit dfinie et les rgles de lart en la matire.

53

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

4.1- Analyse du Firewall


Cette tape consiste dterminer si le firewall fonctionne correctement. Le rle du firewall consiste contrler laccs selon une politique spcifique adapt pour ces huit interfaces. La dmarche adopte consiste auditer le firewall, les rgles de filtrage et des mcanismes de log. Le firewall utilis est un Stonegate FW-1050. Lors dune runion avec le chef service informatique, j'ai pu laide du Checklist prsent en annexe 2 dterminer les vulnrabilits suivantes du firewall : Absence dune procdure de test priodique des vulnrabilits du Firewall ainsi que des essais de test de pntration pour vrifier la rsistance du systme contre les attaques. Absence dun rapport d'audit long terme prsentant l'historique des incidents survenus au niveau du firewall (violation des ACLS, crash par dbordement du tampon). Ladministration n'est pas informe en temps rel par les vnements les plus critiques.

4.2- Analyse du Routeur Cisco


Lors dune runion avec le chef service informatique, j'ai pu laide du Checklist prsent en annexe 3 dterminer les vulnrabilits suivantes (c'est un routeur Cisco 2850) : Absence de contrle et de suivi de la version IOS du routeur. Absence dune routeur. Les logs du routeur ne sont pas rviss. Identification du port Telnet ouvert. procdure documente pour le backup des configurations du

54

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Figure 24:Capture PuTTy

Figure 25:Capture PuTTy(2)

4.3- Analyse du Switch HP Procurve


Voici les remarques que jai pu dgager lors dune runion avec le chef service informatique concernant le Switch HP Procurve 5406zl : Firmware pas mis jour Software revision : K.15.02.0005 , la dernire tant la K.15.06.0017 55

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Figure 26:Capture de la version du Switch

Il y a seulement trois adresses IP qui sont autorises joindre et manager le Switch, y compris ladresse IP du chef service informatique.

Figure 27:Capture des adresses IP autorises

4.4- Analyse de la politique dusage de mots de passe


Les mthodes d'authentification utilises sont les mots de passe au niveau postes de travail et serveurs. Nous remarquons concernant la politique dusage de mot de passe les points suivants : Pour les serveurs, routeurs et tous les autres quipements rseau les mots de passe sont robustes de point de vue nombre de caractre et la combinaison de minuscules et majuscules, de chiffres, de lettres et de caractres spciaux. 56

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Au niveau poste de travail, chaque utilisateur est responsable de la dfinition de son mot de passe. Certains mots de passe (aux niveaux des postes) ressemblent aux noms des utilisateurs ou sont trop courts (infrieur 10 caractres), ce ne sont pas de bonnes pratiques de scurit. Labsence dune sensibilisation des utilisateurs et de la mise en place dune procdure de contrle a priori. Absence dune charte d'utilisation qui spcifie aux utilisateurs leurs obligations de protection de leurs postes. Absence dune politique qui dfinit notamment quelle est la typologie de mots de passe autoriss, la longueur des mots de passe, les dlais d'expiration, la technique de gnration, l'occurrence d'utilisation des mots de passe,

5- Conclusion
Au cours de cette tape, jai essay de dceler certaines vulnrabilits au niveau rseau et applications en analysant les diffrents flux et les politiques de scurit adopts par les quipements tel que firewall, routeur... Il sagit maintenant de proposer des recommandations et des actions suivre pour remdier ces faiblesses.

57

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre V :

Recommandations organisationnelles et physiques

58

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction
Aprs avoir termin lvaluation de la scurit du systme dinformation suivant la norme 27002, je vais proposer dans ce chapitre des recommandations rparties par thme mettre en uvre pour pallier aux insuffisances. La mise en place de ces recommandations pour remdier aux risques encourus peut tre faite progressivement ressources humaines et budgtaires. selon le degr durgence et la disponibilit des

2- Politique de scurit
Le MTIC est tenu laborer sa politique de scurit qui doit tre valide par les responsables, distribue et publie tout le personnel. Chaque employ doit donner son consentement et signer son adhsion la charte du respect de la confidentialit de linformation. Le message qui doit tre dlivr travers la politique de scurit et la charte informatique est que toute violation de la confidentialit est un dlit punissable selon le degr de sa gravit. Aussi une revue rgulire de cette politique de scurit doit tre planifie pour tenir compte des possibles changements qui surviendront (nouveaux incidents, nouvelles vulnrabilits, changements linfrastructure...)

3- Organisation de la scurit de linformation


Lorganisation de la scurit consiste assurer le dveloppement,

limplmentation et la mise jour des politiques et des procdures de scurit. Pour grer la scurit, il est conseill de prendre en compte les recommandations suivantes : Le management de lorganisation doit tre impliqu dans la scurit de linformation, en particulier dans la dfinition de la politique de scurit, la dfinition des responsabilits, lallocation des ressources, ...

59

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Dfinir la structure et l'organisation du management de la scurit compos dun RSSI et des responsables de toutes les directions du MTIC et prciser leurs rles et responsabilits respectifs et vis--vis des managers oprationnels. Cette structure doit avoir la capacit alerter sans dlai la Direction Gnrale en cas de problme grave. Dfinir les rles des responsables en matire de scurit de linformation. La mise en place dun systme dautorisation concernant les moyens de traitement de linformation (contrle de lusage dquipements ou logiciels personnels). Engagement de personnels vis--vis le respect de la scurit informatique (dfinition des devoirs et responsabilits, des notes prcisant les obligations lgales,...). Assurer une veille technologique en matire de scurit (participation des

cercles, associations, congrs,...). Etablir une revue de la scurit de linformation en fonction des volutions de structures. Analyser les risques lis aux accs de personnel tiers au systme dinfo rmation ou aux locaux et tablir les mesures de scurit ncessaire.

4- Gestion des biens


Les ressources sont rpertoris, mais ils doivent tre classifies selon leur importance base sur les 3 axes : besoin en terme de disponibilit, confidentialit et intgrit. Dfinir les types d'actifs qui doivent tre identifis et inventoris. Les actifs peuvent tre des informations, des logiciels, des quipements matriels, des services et servitudes, des personnes ou du savoir-faire, des actifs intangibles tels que la rputation ou l'image. Tenir jour linventaire des types d'actifs identifis.

60

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Dsigner pour chaque actif identifi et inventori un "propritaire" qui assume la responsabilit du dveloppement, de la maintenance, de l'exploitation, de l'utilisation et de la scurit de cet actif. Dfinir et documenter, pour chaque actif, les rgles d'utilisation acceptables. Dfinir et contrler une procdure de revue priodique des classifications.

5- Scurit lie aux ressources humaines


Etablir une procdure d'information prliminaire auprs du personnel (interne ou contract), en ce qui concerne ses devoirs et responsabilits et les exigences de scurit de la fonction, avant tout changement d'affectation ou embauche. Une note prcisant les devoirs et responsabilits du personnel doit tre diffuse l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu connaissance. Etablir une clause dans les contrats d'embauche ou dans le rglement intrieur, prcisant l'obligation de respecter l'ensemble des rgles de scurit en vigueur. Le personnel est tenu respecter la politique de scurit que le MTIC va la mettre en uvre. A cet effet, une mise niveau des employs dans le domaine de la scurit de linformation doit tre mene en planifiant des cycles de formation priodiques et en organisant des programmes de sensibilisation qui devront expliquer les mthodes de protection de linformation surtout celle qui sont critiques. Ce programme doit expliquer : Les concepts de base de la scurit. La sensibilit de linformation et le type de protection ncessaire. La responsabilit personnelle de chacun dans la gestion de la scurit et lapplication des protocoles scuritaires. Les types de menaces (erreurs humaines, naturelles, techniques..).

61

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Les rgles et mesures gnrales de protection de l'information qui couvrent l'ensemble des domaines concerns (documents, micro-informatique, accs aux locaux, systmes et applications) Les sanctions prendre contre le manque de responsabilit. Ce programme de sensibilisation doit tre ractiv rgulirement. La violation de la politique scurit et des procdures de scurit de l'organisme par des employs devra tre traite au moyen dun processus disciplinaire et les mesures correspondantes doivent tre communiques tous les employs.

6- Scurit physique et environnementale


Il faut mettre des consignes claires propos du fait manger, boire ou fumer dans les locaux informatiques. Contrler de manire globale le mouvement des visiteurs et des prestataires occasionnels (signature de la personne visite, etc.). Dfinir des procdures spcifiques de contrle pour chaque type de prestataire extrieur au service amen intervenir dans les bureaux (socits de

maintenance, personnel de nettoyage, etc.) : port d'un badge spcifique, prsence d'un accompagnateur, autorisation pralable indiquant le nom de l'intervenant, Faire une analyse systmatique et exhaustive de toutes les voies possibles d'arrive d'eau et de tous les risques d'incendie et les risques environnementaux envisageables et prendre des mesures en consquence. Mettre en place des dtecteurs d'humidit et des dtecteurs d'eau proximit de salle machine qui doivent tre relis un poste permanent de surveillance. Dfinir des procdures de gestion de crise en cas de long arrt du systme et de permettre la reprise du fonctionnement au moins partiellement (favoriser quelques machines sur dautres).

62

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

7- Gestion des communications et de lexploitation


Etablir des procdures oprationnelles d'exploitation qui doivent tre

documentes, maintenues jour, rendues disponibles toute personne en ayant besoin et approuves par les responsables concerns. Dfinir, au sein de l'exploitation des rseaux, des profils correspondant chaque type d'activit et attribuer les droits privilgis ncessaires pour chaque profil. Etablir, contrler et tester formellement des mesures de scurit pour remdier aux nouveaux risques avant mise en exploitation. Dfinir une politique afin de lutter contre les risques dattaque par de s codes malveillants (virus, chevaux de Troie, vers,). Dfinir une politique et des mesures de protection pour lutter contre des codes excutables (applets, contrle ActiveX, etc.) non autoriss (blocage ou contrle de lenvironnement dans lequel ces codes sexcute, authentification de lmetteur,...). Etablir une procdure garantissant, en cas de mise en rebut, la non divulgation des informations sensibles jusqu la destruction de leur support. Etablir des documents dfinissant : Les rgles gnrales appliquer en ce qui concerne la protection des moyens et supports de stockage, de traitement et de transport de l'information, Les rgles appliquer en ce qui concerne lexploitation des ressources informatiques (rseau, serveurs,..), des services de communication lectronique et des rseaux sans fil. Mettre en place un service de messagerie lectronique chiffre. Archiver tous les lments ayant permis de dtecter une anomalie ou un incident.

8- Contrle daccs
Etablir une politique de gestion des droits d'accs aux zones de bureaux s'appuyant sur une analyse pralable des exigences de scurit, bases sur les enjeux de lactivit. 63

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Les droits accords aux utilisateurs ds leur enregistrement doivent tre approuvs par les propritaires des ressources concernes. Contrler strictement le processus d'attribution (ou modification ou retrait) de droits privilgis et d'autorisations d'accs un individu. Le processus de cration ou de modification dun authentifiant pour les accs internes doit respecter un ensemble de rgles permettant d'avoir confiance dans sa solidit intrinsque. Effectuer un partitionnement du rseau local en domaines de scurit correspondant des exigences de scurit homognes et des espaces de confiances lintrieur desquels les contrles peuvent tre adapts. Les rgles tablissant les critres de connexion au rseau tendu doivent dfinir les mesures de scurit logique devant protger les quipements de rseau et les quipements de scurit, et doivent prciser les filtrages mettre en place pour contrler les accs entrant aussi bien que pour les accs sortant. Procder rgulirement une revue des connexions autorises (standards et non standards) et de leur pertinence pour le rseau local et tendu. Analyser la sensibilit des systmes gnraux pour mettre en vidence leurs exigences de scurit et en dduit des mesures disolement (physique et logique) appropries pour les serveurs ou quipements concerns. Dvalidation automatique de l'identifiant de l'utilisateur, en cas d'absence d'change aprs un dlai dfini, ncessitant une nouvelle identification authentification.

9- Dveloppement et maintenance des systmes


Dfinir les liens permanents et les changes de donnes devant tre protgs par des solutions de chiffrement et mis en place de telles solutions au niveau de rseau tendu et local.

64

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chiffrer les donnes sensibles contenues ventuellement sur le poste de travail ou sur un disque logique de donnes partages hberg sur un serveur de donnes. La procdure et les mcanismes de conservation, de distribution et dchange de cls, et plus gnralement la gestion des cls, doivent offrir des garanties de solidit dignes de confiance, lors des changes et daccs distant sur le rseau local et tendu. Mettre en place des procdures pour contrler linstallation du logiciel sur les systmes en exploitation. Les installations, les matriels et les logiciels du systme d'information ainsi que ceux qui assurent la protection du systme d'information et la fourniture des services essentiels doivent tre maintenus et tests rgulirement.

10-

Gestion des incidents

Les responsabilits et les procdures doivent tre tablies afin de fournir rapidement des solutions effectives aux incidents de scurit. Mettre en place un systme de dclaration des incidents auprs des correspondants du RSSI avec une synthse de ces incidents transmise au RSSI. Le systme de dclaration et de gestion des incidents doit inclure tous les incidents (exploitation, dveloppement, maintenance, utilisation de SI) physiques, logiques ou organisationnels et les tentatives dactions malveillantes ou non autorises nayant pas abouti. Dfinir des rgles prcisant les processus de reporting des incidents et des anomalies constates et les comportements adapts. Chaque incident rseau (local et tendu) majeur doit faire lobjet dun suivi

spcifique (nature de description, priorit, solutions techniques, tudes en cours,...).

65

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

11-

Gestion de la continuit dactivit

Dfinir des processus, rgulirement mis en uvre, danalyse des risques, lis linformation, pouvant conduire une interruption des activits de lentreprise, dbouchant sur une dfinition des exigences de scurit, des responsabilits, des procdures appliquer et moyens mettre en uvre afin de permettre llaboration des plans de continuit. Analyser la criticit des diffrentes activits pour mettre en vidence les besoins de continuit de service et dduire des plans de continuit dactivit pour chaque activit critique. Ces plans doivent prvoir bien toutes les actions entreprendre pour assurer la continuit de l'activit entre l'alerte et la mise en uvre ventuelle des solutions de remplacement prvues par les plans de secours techniques. Ces plans doivent traiter tous les aspects organisationnels lis la solution de secours "manuel" (personnel, logistique, encadrement,...). Mettre en place une solution de secours pour pallier lindisponibilit de tout quipement ou de toute liaison critique du rseau tendu et local. Identifier prcisment les scnarios de sinistre pouvant affecter lensemble du parc des postes utilisateurs et analyser pour chaque scnario, ses consquences en termes de service rendus impossibles aux utilisateurs.

12-

Conformit

Toutes les exigences lgales, rglementaires et contractuelles doivent tre dfinies explicitement et documentes pour le systme informatique et son application par l'organisation doit figurer dans un document tenu jour. Procder des contrles frquents visant vrifier que les logiciels installs sont conformes aux logiciels dclars ou quils possdent une licence en rgle. Les oprations d'audit ralises pour les donnes critiques doivent tre enregistres. 66

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Dfinir et documenter les rgles concernant les audits mens sur le rseau, les procdures et les responsabilits associes. Les outils d'audit doivent tre protgs afin d'viter toute utilisation indue ou malveillante. Ceci s'applique, en particulier, aux tests de pntration et aux valuations de vulnrabilits. Les rsultats d'audit doivent tre protgs contre toute modification ou divulgation.

13-

Conclusion

Dans cette partie, jai propos des recommandations que je juge ncessaires mettre en uvre pour amliorer la scurit du systme dinformation du MTIC en se basant sur la norme 27002. Dans la partie suivante, je vais aborder laspect technique.

67

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre VI :

Recommandations techniques

68

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction
Aprs avoir termin lvaluation technique, Les outils de scan et les tests techniques effectus ont permis de dceler des failles de scurit et des vulnrabilits des diffrents composant du systme dinformation. Par la suite, je vais proposer des recommandations techniques mettre en uvre pour pallier les insuffisances et les dfaillances dtectes.

2- Recommandations
Les recommandations sont les suivantes : Utiliser SSH au lieu de Telnet pour ladministration distance des quipements rseaux et scurit et pour empcher linterception des donnes. Dsactiver ou fermer les services rseaux inutiles et surtout SNMP sur les quipements critiques (FW, Routeurs, Serveurs,). Mettre en place une solution de gestion centralise des mises jour (WSUS) afin de minimiser les bugs et les failles de scurit et de vrifier que les mises jour sont bien installes. Attribution des mots de passe au niveau de bios sur les machines sensibles afin de protger contre les accs physiques. Utiliser des certificats numriques pour crypter et signer les messages. Prvoir des matriels redondants pour les quipements critiques (les serveurs en exploitation, Routeurs,...). Prvoir des matriels de remplacement en cas de panne dun composant essentiels. Prvoir des cycles de formation pour lquipe informatique sur les aspects : Scurit des systmes dexploitation. Scurit rseaux et systme de gestion de BD. Prvoir des cycles de sensibilisation pour les utilisateurs pour quils tiennent compte de limportance de la scurit et limpact de linscurit. 69

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Effectuer des tests de rcupration et de restauration des systmes et des donnes comme sil y a eu dincident.

Au niveau Firewall
Effectuer un enregistrement dtaill de toutes les traces de connexions qui sont bloques ou passes par le firewall. Etablir des statistiques sur lusage du Firewall. Vrification des derniers patchs et mises jour de manire rgulire et automatiquement partir du site du constructeur. Etablir un rapport d'audit long terme prsentant l'historique des incidents survenus au niveau du firewall. Dfinir un document ou une spcification des rgles de filtrage contenant une description de lutilit de chaque filtre/rgle. Dfinir un document prcisant la configuration du Firewall et le suivi des modifications de cette configuration.

Au niveau Routeur
Etablir une procdure documente pour le backup des configurations du routeur. Toutes les modifications de configuration des routeurs doivent tre documents et conservs dans un endroit scuris afin dassurer la continuit de travail. Enregistrement de toute tentative refuse nimporte quel port, protocole ou service. Assurer le contrle, la vrification et larchivage des logs en concordance avec la politique locale. Mettre jour lIOS chaque publication dune nouvelle version.

Politique dusage de mots de passe


Veillez ce que tous les mots de passe surtout des serveurs et des quipements rseaux et scurit soient des mots de passe robustes et les changer rgulirement.

70

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Une bonne politique de scurisation des accs par mot de passe consiste galement en la dfinition d'un dlai d'expiration du mot de passe. Il est par exemple possible de dfinir le renouvellement des mots de passe par priode de 15, 30 ou 45 jours. Ne divulguez jamais un mot de passe et surtout pas en l'envoyant par courrier lectronique. vitez de noter le mot de passe quelque part ou de le laisser expos (sur cran, sous le clavier, dans un fichier non protg, ...). Proposer des changements rguliers tout en bloquant la possibilit d'utiliser des mots de passe dj employs. Dfinir la frquence des audits afin de s'assurer que la politique est bien respecte. Des outils tels que LophtCrack, John the Ripper ou Crack permettent de contrler rgulirement la robustesse des mots de passe.

Politique de sauvegarde
Mettre en place une stratgie de sauvegarde et de restitution des donnes formellement dcrite et de vrifier le bon fonctionnement des supports de

sauvegarde aprs chaque cycle de ce dernier. Procder rgulirement la vrification des sauvegardes en procdant des essais de restauration des donnes sauvegardes. Sensibiliser rgulirement le personnel de limportance de sauvegarde. Procder une sauvegarde systme, des journaux et sauvegarde des configurations des quipements rseaux. Mettre en place un plan de sauvegarde couvrant lensemble des configurations des rseaux dfinissant les objets sauvegarder et la frquence des sauvegardes. Les accs aux systmes doivent tre journalises avec si possible et au minimum l'identit de l'utilisateur, le systme concern, la date et l'heure de l'accs.

71

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

3- Solution propose
3.1- Dploiement complet dActive directory (Annexe 4)
Lobjectif principal dActive Directory est de fournir des services centraliss didentification et dauthentification un rseau dordinateurs utilisant le systme Windows. Il permet galement lattribution et lapplication de stratgies, la distribution des logiciels, et linstallation de mise jour critique par les administrateurs.(5) Active Directory rpertorie les lments dun rseau administr tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partages, et les administrateurs peuvent contrler leurs utilisations grce des fonctionnalits de distribution, de duplication, de partitionnement et de scurisation des accs aux ressources rpertories.

3.2- Windows Server Update Services


Windows Server Update Services (WSUS) est un service permettant de distribuer les mises jour de Windows et d'autres applications Microsoft sur les diffrentes machines Windows d'un parc informatique. WSUS est un serveur de mises jour local (ou proxy de mises jour) qui se synchronise avec le site public Microsoft Update et permet de contrler la diffusion des mises jour dans le parc. Par dfaut chaque machine Windows faisant ses mises jour, va les chercher sur le site officiel, ce qui demande beaucoup de bande passante sur un parc avec de nombreuses machines.

3.3- Deuxime Switch HP Procurve


Actuellement on se retrouve avec un seul Switch L3, au cas o ce dernier tombe en panne, on peut dire quil ny aura pas de production. De ce fait, je propose de mettre un deuxime Switch HP Procurve 5406zl pour faire de la redondance. Concernant la configuration, je propose dimplmenter une agrgation de liens (Port Trunking), cest une notion de rseau informatique dcrivant l'utilisation de plusieurs cbles ou ports rseau afin d'accrotre le dbit d'un lien au-del des limites d'un seul lien, ainsi que d'accrotre la redondance pour une meilleure disponibilit. 72

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Evidement, avant dimplmenter cette mthode, il faut activer le Spanning Tree (STP) pour viter davoir une boucle.

3.4- Nouvelle architecture


Enfin, suite aux recommandations prcdentes et solutions proposes, je

propose une nouvelle architecture du rseau plus scuris et plus fiable :

Figure 28:Nouvelle architecture scurise

4- Conclusion
Jai propos dans ce chapitre des recommandations sur le plan technique fin de minimiser le risque dexploitation des vulnrabilits du rseau et de protger les diffrents quipements pour assurer une continuit et une disponibilit complte.

73

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Conclusion Gnrale

74

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Lobjectif de lancement de notre mission daudit tait dvaluer le niveau de maturit du SI du MTIC et de dgager les dviations par rapport aux normes de scurit surtout la norme ISO 27002. A travers cet audit, nous tions en contact direct avec les responsables du MTIC et nous avons essay de communiquer avec eux et dchanger les connaissances pour russir l'tape de l'audit organisationnel et physique et nous avons pu travailler avec diffrents outils destins au recensement des failles et des vulnrabilits du systme audit afin d'expertiser l'tape de l'audit technique. Nous avons essay de couvrir le maximum daspects pendant la priode de cette mission, nous avons valu le niveau de maturit des diffrentes clauses qui dfinissent la scurit organisationnelle et physique, puis laudit sest concentr sur les aspects techniques. Pour laudit technique nous avons tudi larchitecture du rseau informatique ainsi que les diffrents quipements critiques. Nous avons aussi consacr une bonne partie de cet audit pour tudier les diffrents systmes applicatifs tel que le service messagerie ou le SGBD vu leur importance dans le SI du MTIC. Nous avons dtaill, examin et classifi les failles trouves, pour enfin proposer diffrentes recommandations couvrant les domaines tudis, et nous avons labor un plan daction permettant lorganisme datteindre ses objectifs et amliorer la faon de grer son SI. Le plan daction propos dtaille les mesures ncessaires pour amliorer la qualit de la scurit du SI, en prcisant les objectifs atteindre et les indicateurs de suivi qui permettent dvaluer la russite des mesures prises. Nous avons aussi propos quelques solutions commerciales et gratuites permettant daider les responsables amliore r la faon de grer le SI surtout la partie concernant le rseau informatique. Nous devons signaler que les responsables du MTIC seront les principaux joueurs et dcideurs en ce qui concerne les estimations financires et lorganisation des ressources humaines impliques dans lexcution de ce plan daction vu leur mthodologie de 75

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

travail et les procdures administratives respecter. Notre rle est principalement de les aider valuer leur SI et de proposer les mesures ncessaires. Il est noter quun effort considrable a t dj fait au sein du MTIC pour amliorer la qualit du SI dans un monde technologique voluant la vitesse de la lumire, mais dautres mesures peuvent tre prises ou planifies pour atteindre un seuil de robustesse honorable. La valeur que prsente le MTIC dans le domaine des tlcommunications et les nouvelles technologies en Tunisie linvite continuer les efforts pour donner lexemple aux autres organismes lchelle nationale et internationale et rester toujours un modle et une rfrence pour les autres. Aujourdhui, leffet de la rflexion humaine est de plus en plus important dans le domaine de la scurit, ce qui laisse les spcialistes en scurit affirmer que "La scurit cest 75% de savoir tre et de savoir-faire et 25% de matriel ", atteindre ses objectifs en matire de scurit dpend essentiellement du facteur humain et de la culture de lorganisme. Leffort quexige le sujet de la scurit na jamais t priodique ou temporaire, mais cest un effort continu qui doit dpasser le fait de prendre des mesures pendant une priode limite pour devenir une approche long terme et une vraie culture inculque dans les bonnes habitudes des individus et des organismes concerns.

76

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Bibliographie

77

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

1 :http://www.pommef.com/audit-informatique-Macintosh-paris.html 2 :http://users.polytech.unice.fr/~hugues/GL/Norme/norme.html 3 :http://www.blog.saeeed.com/2012/11/implementation-et-mise-en-oeuvre-de-lanorme-iso-cei-27001/ 4 :http://cisco.goffinet.org/s2/methode_diagnostic#.UpXKE9JHR-s 5 :http://www.arkeia.com/fr/products/arkeia-network-backup/backupagent/directory-server-agents/active-directory-agent 6 : http://www.ansi.tn/fr/presentation_agence/cadre_juridique.html 7 : http://nmap.org/ 8 :http://www.ehacking.net/p/backtrack-5-tutorial.html 9 : http://www.networkview.com 10 :http://www.cyberinfos.net/modules.php?name=Forums&file=viewtopic&t=59&view=previous 11 :http://www.securiteinfo.com/conseils/portstroyens.shtml 12 :http://forum.cigiema.fr/t235-Les-Ports-Reseaux.html http://www.nessus.org/products/nessus

78

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Annexes

79

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Annexe 1 : Questionnaire conforme aux exigences de la Norme 27002


1. Politique de scurit de linformation Y a-t-il une politique de scurit crite et disponible pour tout le personnel ? La politique de scurit spcifie t elle clairement les objectifs de scurit de lorganisme, ainsi que des mesures de rvision ? Cette politique de scurit est-elle revue intervalles rguliers ou lors du changement significatifs, afin dassurer le maintien de sa pertinence et de son efficacit ? Quelles sont les rgles et principes de scurit qui figurent dans la politique de scurit : Charte de scurit, procdures. est-ce que la politique de scurit a t labore en tenant compte du principe avantages/cots ? Est-ce que cette politique fait rfrence des documents qui aident dans la comprhension et le respect de cette dernire ? La politique de scurit de lorganisme dfinie t-elle : une structure en charge de la dfinition de la politique de scurit des systmes dinformation ainsi que de sa mise en place ? un plan de continuit dexercice, une ducation aux exigences de scurit et aux risques de scurit, les consquences dune violation des rgles de scurit ainsi que les responsabilits des incidents de scurit ? une structure charge de lvaluation des risques et de leurs gestions ? des principes de scurit de l'information tel quils soient conforment la stratgie d'affaires et aux objectifs de lorganisme ? Etablit-on annuellement un plan de scurit des systmes dinformation regroupant lensemble des plans daction, moyens mettre en uvre, planning, budget ? La politique de scurit bnficie t elle de lappuie de la direction gnrale ? Est-ce que cette politique est publie et communique : Aux employs Aux tiers Est-ce que cette politique a un propritaire qui est responsable de sa revue et maintenance selon un processus prdfini ?

N (en cours) N N

N N N N

N N

80

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Est-ce que le processus de revue est dclench suite des changements affectent le recensement du risque tel que : Des incidents de scurit grave Nouvelle vulnrabilits Changement dans lorganigramme Inefficacit des mesures mises en place Evolutions technologiques Lorganisation et la gestion de la scurit sont-elles formalises dans un document chapeau couvrant lensemble du domaine pour le projet ? Une dmarche de certification iso 27002 a-t-elle t prvue pour le projet ? 2. Organisation de la scurit de linformation Quelles sont les fonctions dfinies dans la politique de scurit ? Directeur responsable de la scurit gnrale Responsable spcialiste de la scurit physique Responsable spcialiste de la scurit fonctionnelle et informatique Les objectifs de scurit sont ils identifis, intgrs la politique globale de lorganisme, et sont ils en concordance avec les objectifs de lorganisme ? Les rgles de scurit prcisent t-elles une dfinition claire des tches, rles spcifiques affectation des responsables de scurit de linformation ? Existe t-il une coordination de lexcution des tches de scurit des diffrentes entits en charge de la scurit de linformation au sein lorganisme ? Les informations confidentielles protger sont elles identifies ? Existe t-il une politique de rvision et de documentation de la politique dorganisation de la scurit en vue de la mettre jour ou niveau ? Existe-il un comit de scurit du SI ? Existe-il un RSSI dans le site, avec une fiche de poste, ainsi quune dlgation formelle mentionnant ses attributions et ses moyens dactions ? Lentreprise entretien t elle des relations en cas de besoin avec : Des spcialistes indpendants Des partenaires Des autorits publiques Aucune relation Lentreprise entretien t elle des relations en cas de besoin avec : Audit externe Audit interne Aucun Lentreprise dispose t elle dun mcanisme qui permet : Didentifier les accs De classer les accs De savoir les raisons daccs

N N N

N N O

N N N (en cours) O O

81

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Aucun Y a-t-il un contrat qui stipule les conditions daccs et les recours en cas de panne lors des accs par des tiers ou des sous traitants ? Les risques dus aux effets externes sont ils identifis ? En cas dexternalisation lentreprise prcise t elle dans un contrat les clauses relatives : La scurit des valeurs de lorganisation La scurit physique Lexistence dun plan de secours Aucun Avez-vous appliqu une dmarche mthodologique danalyse et de gestion des risques SSI ? Lorganisation de la scurit est-elle formalise dans un document ? Une politique de confidentialit a-t-elle t labore dans le cadre de ce projet ? Des rvisions priodiques de la mise en uvre de la gestion de la scurit sont-elles prvues ? 3. Gestion des biens Existe-t-il un inventaire des biens du projet ? Existe-t-il une classification des biens par rapport leurs critres de sensibilit (en termes de disponibilit, dintgrit et de confidentialit) ? Les actifs de lorganisme sont ils identifis rpertoris ? Est-ce quon a prvu une classification des informations selon leur importance ? A chaque actif est-il associ un propritaire qui doit en assurer galement la responsabilit ? Quelles sont les valeurs critiques de lentreprise ? Les personnes Le matriel Les logiciels Les donnes Les services Les sous rseaux Limage de marque et rputation Lentreprise procde t elle rgulirement un inventaire de ces avoirs ? Existe-il des fiches concernant les mouvements ? (date dentre, date de sortie, date de mouvement, destination, provenance) Les informations sensibles bnficient elles des procdures dfinissant leurs conservations ou destruction ? Le matriel informatique est-il inventori par un lment identifiable et unique ? (ex : n de srie ? Le matriel en prt est-il clairement identifi sur linventaire ? (nom de la

O N N

N N N N

O N O N O - Donne s - Service s - Matrie ls

O O N O O 82

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

personne ayant fait lemprunt) Existe-t-il un stock inventori dquipements et de pices dtaches de secours ? Les logiciels installs ont-ils tous une licence dacquisition ? Contrlez-vous si des logiciels autres que ceux de votre inventaire sont installs ? (logiciels pirates) Est-ce quil y a un responsable de la bonne tenue des inventaires ? Existe-il des rgles dutilisation des biens et des services dinformation ? Existe-il une procdure pour la d-classification des biens dinformation ? Existe-il des procdures de manipulation des biens dinfirmation par des personnes externes lorganisation ? 4. Scurit lie aux ressources humaines Le contrat employeur employ tient il compte des responsabilits de lemploy vis--vis de la scurit de lorganisme ? Lorganisme saccorde t-il les moyens de vrifier lauthenticit et la vracit des diplmes et documents fournis par les potentiels futurs employs ? Le personnel est il inform de ces responsabilits vis--vis de la scurit des actifs : Avant lembauche, Pendant la priode de son exercice, Aprs remerciement ? Y a t il une politique de rotation du personnel occupant des taches clefs ? Existe-t-il des sessions dinformation du personnel sur la scurit des systmes dinformation de lorganisme ? Le responsable de scurit est il form aux nouvelles technologies ? Est-ce que le personnel a sign un document de confidentialit des informations lors de lembauche ? Existe-t-il des procdures disciplinaires pour les employs sources de failles de scurit ? Y a-t-il une procdure de revue de ce document, surtout en cas de dpart ou une fin de contrat ? Est-ce que les sous traitants ou le personnel contractuel a sign un document pareil ? Est-ce que tout le personnel est inform vers qui et comment rendre compte des incidents de scurit ? Y a-t-il une procdure dapprentissage des accidents et des failles de scurit ? A-t-on organis rgulirement des tests pour vrifier le degr dassimilation du personnel de la politique de scurit ainsi que sa culture en informatique. 5. Scurit physique et environnementale La situation gographique de lorganisme tient elle compte des risques

N N N O N N N

N O N

N O O N N N N N N N

O 83

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

naturels ou industriels ? Le cblage lectrique est il conforme aux rgles de scurit ? Est-ce quune analyse de risque a t effectue pour valuer la scurit physique de la socit ? Parmi ces procdures quels sont ceux qui figurent dans la protection physique des locaux : Contrles des portes dentre Cltures hautes Attribution des badges Contrle la sortie Camra de surveillance Limitation daccs Est-ce que des mesures de scurit particulire ont t instaures pour le centre informatique ? (si oui commenter...) Par badge . Y a-t-il une rglementation spciale contre le fait de fumer, boire, et manger dans les locaux informatiques ? Existe-il une protection de cblage informatique et de tlcommunication lgard des risques lectrique ? (variation de tension) Les quipements acquis suivent ils une politique de maintenance ? Existe-t-il un systme de protection contre les coupures et les micros coupures ? Si oui lesquels ?.............................................Onduleurs Existe-t-il un systme de climatisation conforme aux recommandations du constructeur ? Existe-t-il un groupe lectrogne pour les coupures de longue dure ? Y a-t-il une procdure de crise en cas de long arrt ? (favoriser quelques machines sur dautres) Quelles mesures de scurit contre lincendie figurent parmi ces mesures : Existence dun systme de dtection automatique dincendie pour lensemble de btiment Existence dun systme dextinction automatique pour les salles dordinateur Existence dextincteurs mobiles Existence des meubles rfractaires pour le stockage des documents et des supports informatique vitaux

O O - Limitat ion daccs

N O N O Onduleu rs - Groupe lectrog ne O O N

84

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Formation et information du personnel Visite des pompiers pour prendre connaissance de la configuration des locaux A-t-on prvu des systmes dvacuation en cas dincendie ? Est-ce que vous tes assur que leau ne peut envahir les locaux ? Est-ce quun systme de dtection deau est instaur ? Est-ce quun systme dvacuation deau est instaur ? Existe-t-il une documentation lie la scurit physique et environnementale ? 6. Gestion des communications et de lexploitation Est-ce quil y a des procdures formelles pour les oprations dexploitation : backup, maintenance et utilisation des quipements et des logiciels ? Existe-t-il une distinction entre les phases de dveloppement, de test et dintgration dapplications ? Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers, cheval de Troie,.) ainsi quune mise jour priodique et constante de ces derniers ? Est-ce quil y a des procdures formelles pour la prvention contre la dtection et la prvention contre les logiciels malicieux ? Y a-t-il une procdure dfinie pour la gestion des incidents ? Est-ce que le backup est priodiquement effectu ? Est-ce quil y a des recommandations crites interdisant : lutilisation des logiciels sans licence et le non respect des droits dauteur ? Y a-t-il des procdures crites pour la gestion des supports dtachables ? Y a-t-il une politique prcise pour se dbarrasser des documents ? Y a-t-il une politique de scurit pour email ? Existe-t-il un systme antiviral contre les virus et les vers ? Est-ce que lantivirus est rgulirement mis jour ? Existe-t-il une mise jour contre les programmes malveillants ? Lchange dinfirmations sur le rseau ainsi que les transactions en ligne sont elles scurise ? Avec quel mcanisme de scurit ? Droit daccs

O O N N N

N N O

N N O N N N N O O O O - Certifi cat Numr ique - Protoc ole SSL O

Existe-t-il une DMZ qui se distingue parfaitement du rseau interne de lorganisme ? 7. Contrle daccs A-t-on prvu de protection logique pour les ressources informationnelles

O 85

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

vitales ? Les accs aux locaux (sensibles ou pas) sont ils contrls, enregistrs et analyss travers des logs ? Existe-t-il une politique qui hirarchise les autorisations daccs ? Un ancien employ perd t-il ces droits daccs aux locaux et aux informations sensibles de lorganisme ? Laccs distant (logique) au rseau informatique est-il protg ? Par quel quipement ou outil ou mcanisme ? Laccs au systme est il contrl par un dispositif didentification et dauthentification ? Existe-t-il un dispositif de revue des droits daccs des intervalles rguliers ? Est-ce que les terminaux sensibles sont quips dun conomiseur dcran avec mot de passe ? Est-ce que les utilisateurs verrouillent leur session de travail avant de quitter leur poste de travail mme pour quelques instants ? Les mots de passe sont-ils affects individuellement ? Y a-t-il des conditions respecter lors du choix des mots de passe (ex : min 6 caractres) ? Un ancien employ perd t-il ces droits daccs aux informations et locaux ? Y a-t-il une suite aux tentatives daccs infructueuses ? A- t-on prvu des limitations contre : Lutilisation des applications Le tlchargement dapplication Lutilisation des disquettes, CD 8. Dveloppement et maintenance des systmes Existe-t-il des procdures de validation des changements raliss sur les programmes ? La garantie de la confidentialit, lauthenticit et lintgrit de linformation seffectue-t-elle au moyen de signature lectronique ou de cryptographie ? La scurit de la documentation du systme dinformation est elle assure ? Est-ce que les programmes sont contrles contre les portes drobs et chevaux de trois ? Existe-t-il des procdures de contrle pour les logiciels dvelopps en soustraitance ? Sassure-t-on que lquipement acqurir rpondra aux besoins exprim ? Sassure-t-on de la non rgression de service lors du dveloppement ou de lintgration des nouveaux services ? Existe-t-il une politique de maintenance priodique et assidue des quipements ? 9. Gestion des incidents

O N O

O N N O ? O N O O N

N O N O N O N N

86

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Existe-t-il une politique de gestion des incidents ? Les potentielles faiblesses descelles font elles objet de rapport complet et dtaill ? La rsolution des incidents se fait elle de faon cohrente ? Existe-t-il un rapport dtaill des incidents qui surviennent ? Existe-t-il une politique de rparation des responsabilits en cas dincident ? Les actions entreprendre pour la rsolution des incidents sont elles dfinies ? Les employs sont ils informs du comportement avoir en cas dincident ? 10. Gestion de la continuit dactivit Est-ce que lorganisme a dvelopp un plan de secours ? Existe-t-il un plan stratgique bas sur une analyse du risque dtaillant le plan durgence ? Les donnes sauvegardes sont-elles mise jour priodiquement ? Est il dfini des critres spcifiant les ayant accs ces donnes ? Existe-t-il une politique de sauvegarde dautres actifs de lorganisme ? Existe t-il une (des) alarme(s) pour lavertissement lors daccs aux actifs sensibles en dehors des heures de travail ou en cas daccs non autoriss? Y a-t-il des plans crits et implments pour restaurer les activits et services en cas de problmes ? Existe-t-il des mesures de sauvegarde des actifs (donnes sensibles), ainsi que de leur protection ? Si oui sur quel support ? Disque, CD En cas de changement dquipe de travail, la continuit de service est elle assure ? Est-ce que les plans sont tests et maintenus par des revues rgulires ? 11. Conformit Est-ce que chaque systme dinformation les exigences lgales, rglementaires et contractuelles sont explicitement dfinies et documents ? Existe-t-il un contrle de la conformit technique ? Les rgles de scurit appliques restent elles conforment une norme particulire ? Existe-t-il une procdure dfinissant une bonne utilisation des technologies de linformation par le personnel ? Est-ce que des procdures sont mises en place pour sassurer du respect de la proprit intellectuelle ? Est-ce que les enregistrements importants de lorganisme sont protgs de la perte, la destruction et falsification ? Est-ce que lentreprise est conforme aux lois en vigueur concernant le chiffrement ?

N N N N N N N N N O O N N N O O O N N N N N

N O O

87

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Les logicielles utilises bnficient ils de licence dexploitation ? Les rgles de scurit appliques restent elles conforment la lgislation en vigueur ? Existe-il une procdure daudit interne et rgulier de lorganisme ? Les rgles de scurit appliques restent elles conforment une norme particulire ? Le droit la proprit intellectuelle et la protection des donnes personnelles sont-ils prservs ? Les audits externes sont-ils effectus et planifis priodiquement ?

O O O N N O

88

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Annexe 2 : check List Firewall


Marque et Modle: StoneGate FW-1030/StoneGateFW-1050 Scurit physique des quipements Existe-t-il une politique de contrle daccs physique pour le firewall ? Administration Existe-t-il une politique dauthentification forte au niveau douverture de session sur le firewall ? Quelle type de configuration utilise pour le firewall (port console, telnet, ssh, http, https..) ? Linterface dadministration est-t-il facile utiliser ? Linterface dadministration est-t-il scuris par mot de passe ? La configuration est elle sauvegarde chaque modification ? Patchs et Mise jour Quelle est la version du firewall ? Quelle est la date de la dernire mise jour ? Existe-t-il un suivi des mises jour ? Les rgles de filtrage Existe-t-il un document ou une spcification des rgles de filtrage prcisant la politique de scurit implant (description de chaque filtre/rgle) ? Existe-t-il une vrification et validation des rgles de filtrage priodiquement ? Les rapports de suivi et des tests de filtrage sont-ils archivs ? Spcifier les critres que peut le firewall filtrer : adresse IP source, adresse IP destination, protocole, service, port, adresse Mac source, adresse Mac destination Y a-t-il une rgle bloquante des requtes ICMP echo ? La gestion des logs Est-ce que les logs sont activs au niveau firewall ? Les logs sont ils rvises et analyss ? Ladministration est elle informe en temps rel par les vnements les plus critiques ? Existe-t-il un serveur ddi au traitement et larchivage des logs du firewall ? Est-ce que toutes les traces de connexions qui sont bloques ou pass par le firewall sont enregistres en dtail ? Le firewall a-t-il la capacit de gnrer des rapports ?

O O Logiciel client+ SSH O O O 5.1.4/5.2.7 26/04/2013 O O

O O TOUS

O O O N O O O 89

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Existe-t-il des statistiques sur lusage du firewall ? Evaluation/ test de vulnrabilit Existe-t-il une procdure de test des vulnrabilits du firewall (priodique) ainsi que des essais de test de pntration (rsistance du systme face aux attaques) ? Existe-t-il un rapport qui prsente lhistorique des incidents survenus au niveau du firewall (crash, violation des ACLs) Disponibilit Y a-t-il un secours automatique pour le FW primaire ? Le groupement de firewall assure t-il la haute disponibilit et rpartition de charge ? Le firewall est-il ondul ?

O N

O O O

Annexe 3 : check List Routeur


Marque et modle: Cisco 2850 Existe-il une politique de scurit dun routeur ? Les mesures de scurit de bases forte au niveau douverture de session sur le routeur ? Existe-il une scurisation des accs administratifs distances des routeurs ? Quelle est la version du routeur ? Quelle est la date de la dernire mise jour ? Existe-il un suivi des mises jour ? O O O 12.4 (12a) Il y a une anne N

90

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Annexe 4 : Installation et dploiement complet dActive Directory


Je partirai du principe que le Windows server 2008 a t bien install et allons donc poursuivre dans ce sens. Commencez par dmarrer votre serveur et connectez-vous-y en tant

quAdministrateur Dmarrer le gestionnaire de serveur

Cliquez sur le nud Rles (1) puis sur Ajouter des rles (2)

91

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Lassistant dajout de rles apparait. cliquez sur Suivant Slectionnez Services de domaine Active Directory

Lassistant vous propose dajouter les fonctionnalits du .NET Framework 3.5.1 acceptez lajout en cliquant sur Ajouter les fonctionnalits requises

92

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

La case Services de domaine Active Directory est bien coche cliquez sur Suivant Cliquez sur Suivant Une fentre de rcapitulatif apparait, vrifiez vos paramtres et cliquez sur Installer

Lassistant dajout de rle a bien install les services de rle mais le serveur nest pas pour autant passer en contrleur de domaine. Pour cela, nous devons cliquez sur: lancez lassistant Installation des services de domaine Active Directory (dcpromo.exe)

93

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Cliquer sur services de domaine Active directory

Cliquer sur Excuter lassistant Installation des services de domaine Active Directory (dcpromo.exe).

Cochez la case Utiliser linstallation en mode avanc et cliquez sur Suivant

94

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Nayant actuellement aucun domaine, cochez la case Crer un domaine dans une nouvelle fort (1) afin de crer ce dernier, ensuite cliquez sur Suivant (2). Attention toutefois ne pas crer un nouveau domaine dans une nouvelle fort si vous tes dj dans un domaine. Le risque tant de tout lessiver sur votre domaine existant

On insert un nom et le systme vrifie si il existe ou non Dfinissez votre nom de domaine (1) puis cliquez sur Suivant (2) Dans le cadre de ce tutoriel, jutiliserai MTIC.tn

95

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Nous allons en profiter pour ajouter le rle de serveur DNS notre serveur Si elle ne lest pas, cochez la case Serveur DNS puis cliquez sur Suivant

96

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Paramtrage dadresse IP

Cliquez sur OUI

97

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Nous conserverons les options par dfaut, cliquez sur Suivant

Entrez votre mot de passe de restauration puis Suivant

98

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Voici le rcapitulatif de vos paramtres, cliquez sur Suivant Linstallation est en cours.. Patientez un moment Linstallation est maintenant acheve, cliquez sur Terminer

Redmarrez le serveur pour prendre en compte les modifications

Installation de serveur supplmentaire active directory


On va ajouter un contrleur de domaine un domaine existant

99

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

On va indiquer le nom de serveur primaire Active Directory

On va slectionner le domaine pour ce contrleur de domaine supplmentaire MTIC.TN

100

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

On va slectionner le site pour le nouveau contrleur de domaine qui est Default-First-Site-Name

Coucher les 2 premires lignes

101

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

On va coucher utiliser ce contrleur de domaine spcifique

Cliquez suivant

Tapez le mot de passe de restauration 102

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Cliquez sur suivant En attente de fin de linstallation du service

Vrification pour dterminer si la console de gestion des stratgies de groupe doit tre installe

103

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Modification pour cet ordinateur de lappartenance au domaine

Recherche dun contrleur de domaine pour le domaine MTIC.TN qui contient le compte SRVAD1

Un contrleur de domaine SRVAD2.MTIC.TN a t trouv pour le domaine MTIC.TN

Analyse dune fort existante 104

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Rplication en cours de la partition dannuaire de schma

Rplication des informations critiques de domaine

La racine de nom dordinateur DNS de lordinateur est fixe MTIC.TN

Dfinition de la scurit sur le contrleur de domaine.des fichiers Active Directory et des cls du Registre. 105

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Protection de c:\windows\systeme32\spool

Protection de SamSs

Protection de kerberos

106

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Installation termin

Redmarrage de lordinateur

107

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Les tests
On va crer un nouveau utilisateur, cliqu sur BSI-nouveau-utilisateur

On va remplir le formulaire

On va crer un mot de passe pour le compte de nouveau utilisateur

Le mot de passe doit etre de haute complxit 108

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

On crer deux comptes des nouveaux utilisateurs

Le serveur DNS fonction convenablement .il peut rsoudre dans les deux sens du nom BIOS l@ IP et de l@ IP au nom BIOS

*Cration de stratgie de groupe Cliquer sur BSI

109

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Cliquer sur crer un objet GPO dans ce domaine

Nommer la nouvelle stratgie rgle-pc

*Configuration de stratgie de groupe : Clique droite sur Rgle-pc puis Modifier

110

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

*Empcher laccs au panneau de configuration : Cliquer sur Configuration utilisateur-stratgies-modles administrationpanneau de configuration

On va coucher activ pour activer lempechement de laccs au pannau de configuration

111

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Rsultat : imprime cran de lordinateur de lutilisateur ayari amani -avant lapplication de la stratgie

-aprs que la stratgie est applique

**Empcher laccs au Gestionnaire des tches Cliquer sur configuration utilisateur-stratgies-systme-option Ctrl-Alt-Suppr Supprimer le Gestionnaire des tches.

112

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Rsultat : -avant

-aprs : icne dsactiv

***interdiction de lutilisation du support amovible :

113

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Rsultat : -avant

-aprs Message derreur F:\ nest pas accessible

et

Accs refus

114