Académique Documents
Professionnel Documents
Culture Documents
Audit Securite
Audit Securite
MEMOIRE
DE STAGE DE FIN DETUDE
Pour lobtention du
MASTERE PROFESSIONNEL
Nouvelles Technologies des Tlcommunications et Rseaux
Prsent par :
Ayari Amani
Soutenu le : 05/02/2014
Devant le jury :
Mr
: Khaled Ghorbel
2012 - 2013
A ma mre
pour toute laffection quelle me procure.
A mon pre
pour ses innombrables et prcieux conseils.
A mes frres et leurs conjointes
pour leur soutien.
Aux petites, Lina et Fatouma
pour la joie quils me font vivre.
A mon fianc Ahmed
Lhomme que jaime tant et avec qui je
construirai ma vie
A ma tante Mtira
Pour son soutien moral
A toute ma famille, mes oncles, mes tantes,
mes cousins et mes cousines
A tous mes amis
Amani
1
2012 - 2013
Mosly pour la confiance quils ont su me tmoigner au cours de toute la dure de ltude de mon
projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert
auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux.
Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une
valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai
trs reconnaissant.
Je remercie particulirement aux responsables et lquipement informatique au ministre pour
leur aide, leur patience et leur disponibilit.
Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce
travail.
Amani
2
2012 - 2013
Introduction .................................................................................................................... 11
2-
3-
4-
5-
8-
Conclusion ....................................................................................................................... 19
Chapitre II : ........................................................................................................................................ 20
Prsentation de lorganisme daccueil et tude de lexistant .......................................................... 20
1-
Introduction .................................................................................................................... 21
2-
3-
2012 - 2013
5-
6-
Conclusion ....................................................................................................................... 32
Introduction .................................................................................................................... 34
2-
3-
4-
Conclusion ....................................................................................................................... 40
Introduction .................................................................................................................... 42
2-
3-
4-
2012 - 2013
Conclusion ....................................................................................................................... 57
Chapitre V : ........................................................................................................................................ 58
Recommandations organisationnelles et physiques ........................................................................ 58
1-
Introduction .................................................................................................................... 59
2-
3-
4-
5-
6-
7-
8-
Contrle daccs.............................................................................................................. 63
9-
10-
11-
12-
Conformit ...................................................................................................................... 66
13-
Conclusion ....................................................................................................................... 67
Chapitre VI : ...................................................................................................................................... 68
Recommandations techniques ........................................................................................................... 68
1-
Introduction .................................................................................................................... 69
2-
Recommandations .......................................................................................................... 69
3-
Solution propose........................................................................................................... 72
3.1- Dploiement complet dActive directory (Annexe 4) ...................................... 72
3.2- Windows Server Update Services ...................................................................... 72
3.3- Deuxime Switch HP Procurve ............................................................................ 72
3.4- Nouvelle architecture ............................................................................................. 73
4-
Conclusion ....................................................................................................................... 73
Conclusion Gnrale.......................................................................................................................... 74
Bibliographie ...................................................................................................................................... 77
Annexes .............................................................................................................................................. 79
5
2012 - 2013
2012 - 2013
Introduction Gnrale
2012 - 2013
2012 - 2013
les
deux
dernires
parties
de
ce
rapport
comporteront
des
2012 - 2013
Chapitre I :
Gnralits et Etude de
lArt
10
2012 - 2013
1- Introduction
L'informatique est l'un des lments clefs de la comptitivit d'une entreprise.
C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant,
rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins.
C'est pourquoi raliser un audit permet, par une vision claire et globale,
d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit,
d'anticiper les problmes et de diminuer les cots de maintenance. (1)
11
2012 - 2013
2012 - 2013
13
2012 - 2013
5- Cycle de vie
dinformation
dun audit
de
scurit
des systmes
14
2012 - 2013
15
2012 - 2013
2012 - 2013
Au cours de cette phase, lauditeur pourra galement apprcier lcart avec les
rponses obtenues lors des entretiens. Il sera mme de tester la robustesse de la
scurit du systme dinformation et sa capacit
Sondage rseau,
2012 - 2013
6.4-
Audit intrusif
6.5-
Rapport daudit
A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger
un rapport de synthse sur sa mission daudit. Cette synthse doit tre rvlatrice des
dfaillances enregistres. Autant est-il important de dceler un mal, autant il est
galement important dy proposer des solutions. Ainsi, lauditeur est galement invit
proposer des solutions (recommandations), dtailles, pour pallier aux dfauts quil
aura constats.
Les recommandations devront inclure au minimum :
Une tude de la situation existante en termes de scurit au niveau du site
audit, qui tiendra compte de laudit organisationnel et physique, ainsi que les
ventuelles vulnrabilits de gestion des composantes du systme (rseau,
systmes,
applications,
outils
de
scurit)
et
les
recommandations
correspondantes.
18
2012 - 2013
8- Conclusion
Laudit est une dmarche collaborative visant lexhaustivit. Elle est moins
raliste quun test mais permet en contrepartie de passer mthodiquement en revue tout
le rseau et chacun de ses composants en dtail.
Dans le chapitre suivant nous mettons laccent sur ltude de lexistant et
lidentification de systme cible.
19
2012 - 2013
Chapitre II :
Prsentation de
lorganisme daccueil et
tude de lexistant
20
2012 - 2013
1- Introduction
Notre mmoire de mastre sest droul au sein du Ministre des Technologies
de linformation et de la Communication (MTIC) qui est charg principalement du
pilotage, de la planification, de la rglementation et lorganisation du secteur des
technologies de la communication en Tunisie.
Ce chapitre prsente une tude exhaustive sur le systme informatique et les
composants qui le constituent. Toutes les informations ont t rassembles suite des
visites sur place et des entretiens avec les membres de lquipe informatique.
Prsentation gnrale
Dnomination
Ministre
Mr Mongi Marzouk
Secteur dactivits
Informatique et tlcommunication
230 employs
Adresse
info@infocom.tn
Site web
http://www.infocom.tn
Tlphone :
2012 - 2013
Elaborer des plans et des tudes stratgiques dans les domaines des
tlcommunications et Postal,
Elaborer les tudes de rentabilit tarifaires et les modalits de fixation des tarifs
des Tlcommunications et des tarifs postaux,
2012 - 2013
Evaluer les rsultats des plans de dveloppement relatifs aux domaines affrents
aux attributions du ministre,
2.3- Organigramme :
2012 - 2013
2012 - 2013
2.4-
2012 - 2013
Serveur en
Exploitation
Serveur SyGec
Type dApplication
Hberge
Gestion et suivi des
courriers
Plates formes
OS/ SGBD
Windows 2008
Server/
SQL serveur 2005
Windows 2003
SP3
Adresse
rseau
10.0.3.128/24
Serveur primaire
messagerie Lotus
Domino/Notes
Serveur Secondaire
messagerie Lotus
Domino/Notes
Messagerie Intranet
Messagerie Intranet
Windows 2003
SP3
10.0.3.52/24
10.0.3.127/24
Serveur Antivirus
rseau Koss 9.0
Serveur Mangement
FW
Systme Antiviral
Windows XP
SP2
Windows 2008 Server
Windows 2008 Server
R2
10.0.3.131/24
10.0.3.101/24
Serveur Fax
Console
dadministration du
FireWall/IDS
Gestion lectronique
des Fax
10.0.3.51/24
10.0.3.131/24
Description
INSAF
Dveloppement
Externe/Interne
Externe
26
2012 - 2013
RACHED
ADAB
Gestion des biens
mobiliers de lEtat
MANKOULET
lEtat
Application pour
lautomatisation des procdures
relatives aux missions effectues
a ltranger par les agents de
ladministration
Application daide a la dcision
Budgtaire
Application permettant le suivi
des diffrentes tapes de gestion
des biens mobiliers du ministre,
depuis leur acquisition jusqu' la
fin de leur utilisation
Application de gestion des stocks
des produits tenus en stock dans
les magasins du ministre
Externe
Externe
Externe
Externe
Un double de FW
de marque
StoneGate et de
modle FW1050e
Un commutateur
Niv3 de marque HP
Procurve de modle
5406zl
possdent 8 interfaces
fast Ethernet.
2 interfaces fast
Ethernet et 8 interfaces
sries
Possde 08 interfaces
FO et 24 Interfaces RJ45
27
2012 - 2013
Description
10.0.1.1/24
Zone dadministration
10.1.0.0/24
10.0.2.0/24
10.0.3.0/24
10.0.4.0/24
10.0.5.0/24
10.0.7.0/24
10.0.8.0/24
10.0.13.0/24
spcialises avec un dbit qui varie entre 128 ko/s et 512 ko/s).
28
2012 - 2013
Toute larchitecture du rseau Interne est autour dun doublet de firewall (qui
fonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps.
Les firewalls internes sont relis un doublet de firewall Frontal.
2012 - 2013
Salle serveur ferme clef, seuls les personnes autorises et qui possdent la cl
peuvent y accder,
La climatisation est assure par (deux) climatiseurs domestiques install dans la salle
des serveurs.
Les prises de courant lectriques ne sont pas ondules.
Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de
marque APC 1kva) pour assurer la continuit de service des ressources critique en
cas de problmes lectrique.
Seuls les machines et les composants rseaux importance leve sont protgs par
des onduleurs pour liminer les problmes dalimentation lectrique de courte dure.
Les extincteurs dincendies sont disponibles dans chaque couloir
Absence des camras de surveillance pour les zones sensibles.
30
2012 - 2013
Des procdures de sauvegarde pour les donnes sensibles sont appliques selon les
frquences suivantes :
-
Pour la base de donnes de lapplication SyGec : une image sur disque chaque
jour.
Afin dassurer la continuit des services et viter larrt des services mme
partiellement en cas des problmes (panne matriel, crash disque...), une certaine
redondance matrielle a t constat notamment au niveau des firewalls ainsi quau
niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.
2012 - 2013
Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en
place avec une architecture client/serveur, et une version client (agent) est installe sur
toutes les machines du rseau (une version pour les postes de travail et une version
pour les serveurs), le serveur de lantivirus tlcharge les mises jour rgulirement et
les installe sur tous les Ordinateurs.
6- Conclusion
Suite la description de lenvironnement de droulement de notre mission
daudit et lidentification de larchitecture rseau et principaux serveurs et quipements,
nous allons procder, dans le chapitre suivant, aux taxonomies des failles
organisationnelles et physiques bass sur la norme 27002.
32
2012 - 2013
Chapitre III :
Taxonomies des failles
organisationnelles et physiques
bases sur la Norme 27002
33
2012 - 2013
1- Introduction
Ce chapitre vise avoir une vision qualitative et quantitative des diffrents
facteurs de la scurit informatique du site audit et identifier les points critiques du
systme dinformations.
Laudit fonctionnel sera ralis en se basant sur des entretiens avec le
responsable, et des observations constats sur le site.
2- Approche adopt
Notre approche consiste mesurer le niveau de maturit en se basant sur un
questionnaire inspir de la Norme ISO 27002 (voir annexe 1).
Ce questionnaire comporte 11 chapitres, chaque chapitre prsente un thme de
scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur
les mesures de scurit mettre en uvre et les contrles implmenter.
34
2012 - 2013
Absence dun contrat qui stipule les clauses relatives la scurit des valeurs de
lorganisation, la scurit physique et lexistence dun plan de secours dans le cas
dexternalisation du ministre.
Il ny a pas une classification des ressources bases sur les 3 axes : Disponibilit,
Intgrit et Confidentialit.
2012 - 2013
Linexistence dun contrat sign par tous les personnels pour prendre des
dcisions en cas de non respect des rgles de scurit, ou bien quils soient
sources des failles.
Les employs doivent noter, signaler toutes les failles et les menaces de scurits
observes dans les systmes ou services ou applications, et savoir qui
sadressent en cas pareils.
2012 - 2013
Linexistence des consignes interdisant lutilisation des logiciels sans licence qui
doivent tre respects et contrls.
g- Contrle daccs
2012 - 2013
Une analyse de risque partir des divers scnarios nest jamais dvelopp, qui
permet didentifier les objets et les vnements qui pourraient causer des
interruptions (partielle ou totale).
Linexistence des alarmes pour lavertissement lors daccs aux actifs sensibles en
dehors des heures de travail ou en cas daccs non autoriss.
Absence dun plan de secours, ce qui vient de dire que lorganisme est incapable
de rpondre rapidement et efficacement aux interruptions des activits critiques
rsultant de pannes, incident, sinistre.
Absence des plans crits et implments pour restaurer les activits et les services
en cas de problmes.
k- Conformit
l- Rsultat
38
2012 - 2013
70
OS
60
GB
50
SRH
SPE
40
GCE
CA
30
DMS
20
GI
GCA
10
0
Figure 9:Rsultat de la taxonomie organisationnelle
Lgende :
PS : Politique de scurit de linformation (0%)
OS: Organisation de la scurit de linformation (30%)
GB : Gestion des biens (50%)
SRH : Scurit lie aux ressources humaines (23%)
SPE : Scurit physique et environnementale (61%)
GCE : Gestion des communications et de lexploitation (50%)
CA : Contrle daccs (57%)
DMS : Dveloppement et maintenance des systmes (38%)
GI : Gestion des incidents (0%)
GCA : Gestion de la continuit dactivit (45%)
C : Conformit (50%)
Par consquent, la moyenne est de : 37%
Niveau trs bas en terme de scurit physique et organisationnelle
39
2012 - 2013
4- Conclusion
La taxonomie organisationnel et physique a permis davoir une vue globale sur
le niveau de scurit du systme dinformation grce un ensemble dentretiens et au
questionnaire qui se base sur la norme ISO 27002.
Nous entamons dans le chapitre suivant la partie technique.
40
2012 - 2013
Chapitre IV:
41
2012 - 2013
1- Introduction
La taxonomie des failles techniques suit une tude organisationnelle et physique
permettant davoir une vue globale de ltat de scurit du systme dinformation et
didentifier les risques potentiels. A cette tape nous passons la recherche des
vulnrabilits fin danalyser le niveau de protection de linfrastructure face aux
attaques notamment celles qui exploitent ces vulnrabilits.
Nous utilisons tout au long de cette partie un ensemble des outils permettant
dobtenir les informations ncessaires et de dceler les diffrentes vulnrabilits.
42
2012 - 2013
Cette figure montre les postes utilisateurs de la zone inspection, la zone des
serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le rseau interne.
Le rseau interne est segment en 8 sous rseaux.
Tous les htes du rseau utilisent des adresses IP prive de classe A (10.*.*.*/24)
avec un masque rseau de classe C ce qui nest pas conforme aux normes en vigueur. La
configuration TCP/IP des htes est manuelle, ce quindique quelle est protge contre
les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24.
Pour laccs au rseau public Internet, une translation dadresse (NAT) est
assure par le Firewall frontal.
Nous signalons cet gard, que la configuration rseau au niveau des postes
nest pas protge contre les modifications. En effet, chaque utilisateur peut changer son
adresse ce qui peut gnrer des conflits dadresses. Des attaques de type IP Spoofing
(usurpation d'identit) peuvent tre facilement menes et gnrer un dni du service; il
suffit de remplacer ladresse IP du poste par celle dun quipement critique (routeur,
43
2012 - 2013
44
2012 - 2013
45
2012 - 2013
Il est ais didentifier les services rseau en activit sur les serveurs dapplications
et de donnes en exploitation au niveau du site MTIC et de connatre le type des OS,
ainsi que les failles relatives aux versions associes.
Certains services en activit sur les stations, dont il faudra dcider de leur utilit
et de sassurer priodiquement de labsence des failles, par exemple : HTTP 80 (TCP),
TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139
(TCP) et 445 (TCP & UDP).
46
2012 - 2013
Plus
de
dtails
concernant
le
serveur
secondaire
messagerie
Lotus
47
2012 - 2013
48
2012 - 2013
49
2012 - 2013
Par la suite, je vais mesurer les vulnrabilits des parties les plus sensibles du
rseau local pour dgager rapidement les failles rellement dangereuses et dgager
partir des outils, des rapports efficaces et exploitables pour une scurisation rapide et
efficaces du systme.
50
2012 - 2013
Identification du port critique ouvert tel que par exemple : port 23 pour le service
Telnet.
Cela peut mettre en danger le serveur vu la criticit du Telnet (accs distance et flux
circulant en clair).
51
2012 - 2013
Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services
rseaux en activit (ports critiques ouverts, comme le port 23), vulnrabilits relatives
au systme dexploitation et au systme SGBD (le port 1433 (Microsoft SQL Server) est
un port utilis par le cheval de Troie Voyager Alpha Force ).
52
2012 - 2013
Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services
rseaux en activit et vulnrabilits systmes.
Le sondage des ports avec les vulnrabilits associes est prsent comme suit :
Sasser (5554|TCP) (Vulnrabilit dordre grave)
Utilis en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a t
un ver qui a exploit un dbordement de tampon dans Windows LSA service. Le ver
a attaqu le port TCP 445 avec l'exploit, puis en cas de succs il a ouvert une
commande Shell distance sur le port TCP 9996 et un service ftp sur le port 5554. Le
service ftp est pourtant mme exploitable et la tentative de ver Dabber tente
d'exploiter cette vulnrabilit.
POP3 (110|TCP) (Vulnrabilit dordre grave)
Le port 110 est ouvert, dsactiv le service sil nest pas utilis car il est possible de
dtecter quels
53
2012 - 2013
routeur.
Les logs du routeur ne sont pas rviss.
Identification du port Telnet ouvert.
54
2012 - 2013
2012 - 2013
2012 - 2013
5- Conclusion
Au cours de cette tape, jai essay de dceler certaines vulnrabilits au niveau
rseau et applications en analysant les diffrents flux et les politiques de scurit
adopts par les quipements tel que firewall, routeur...
Il sagit maintenant de proposer des recommandations et des actions suivre
pour remdier ces faiblesses.
57
2012 - 2013
Chapitre V :
Recommandations
organisationnelles et
physiques
58
2012 - 2013
1- Introduction
Aprs avoir termin lvaluation de la scurit du systme dinformation suivant
la norme 27002, je vais proposer dans ce chapitre des recommandations rparties par
thme mettre en uvre pour pallier aux insuffisances.
La mise en place de ces recommandations pour remdier aux risques encourus
peut tre faite progressivement
2- Politique de scurit
Le MTIC est tenu laborer sa politique de scurit qui doit tre valide par les
responsables, distribue et publie tout le personnel. Chaque employ doit donner son
consentement et signer son adhsion la charte du respect de la confidentialit de
linformation. Le message qui doit tre dlivr travers la politique de scurit et la
charte informatique est que toute violation de la confidentialit est un dlit punissable
selon le degr de sa gravit.
Aussi une revue rgulire de cette politique de scurit doit tre planifie pour
tenir compte des possibles changements qui surviendront (nouveaux incidents,
nouvelles vulnrabilits, changements linfrastructure...)
de
la
scurit
consiste
assurer
le
dveloppement,
59
2012 - 2013
60
2012 - 2013
61
2012 - 2013
62
2012 - 2013
des
procdures
oprationnelles
d'exploitation
qui
doivent
tre
8- Contrle daccs
Etablir une politique de gestion des droits d'accs aux zones de bureaux
s'appuyant sur une analyse pralable des exigences de scurit, bases sur les
enjeux de lactivit.
63
2012 - 2013
64
2012 - 2013
10-
65
2012 - 2013
11-
Dfinir des processus, rgulirement mis en uvre, danalyse des risques, lis
linformation, pouvant conduire une interruption des activits de lentreprise,
dbouchant sur une dfinition des exigences de scurit, des responsabilits, des
procdures appliquer et moyens mettre en uvre afin de permettre
llaboration des plans de continuit.
Analyser la criticit des diffrentes activits pour mettre en vidence les besoins de
continuit de service et dduire des plans de continuit dactivit pour chaque
activit critique.
Ces plans doivent prvoir bien toutes les actions entreprendre pour assurer la
continuit de l'activit entre l'alerte et la mise en uvre ventuelle des solutions de
remplacement prvues par les plans de secours techniques.
Ces plans doivent traiter tous les aspects organisationnels lis la solution de
secours "manuel" (personnel, logistique, encadrement,...).
Mettre en place une solution de secours pour pallier lindisponibilit de tout
quipement ou de toute liaison critique du rseau tendu et local.
Identifier prcisment les scnarios de sinistre pouvant affecter lensemble du parc
des postes utilisateurs et analyser pour chaque scnario, ses consquences en
termes de service rendus impossibles aux utilisateurs.
12-
Conformit
2012 - 2013
Dfinir et documenter les rgles concernant les audits mens sur le rseau, les
procdures et les responsabilits associes.
Les outils d'audit doivent tre protgs afin d'viter toute utilisation indue ou
malveillante. Ceci s'applique, en particulier, aux tests de pntration et aux
valuations de vulnrabilits.
Les rsultats d'audit doivent tre protgs contre toute modification ou
divulgation.
13-
Conclusion
Dans cette partie, jai propos des recommandations que je juge ncessaires
mettre en uvre pour amliorer la scurit du systme dinformation du MTIC en se
basant sur la norme 27002. Dans la partie suivante, je vais aborder laspect
technique.
67
2012 - 2013
Chapitre VI :
Recommandations
techniques
68
2012 - 2013
1- Introduction
Aprs avoir termin lvaluation technique, Les outils de scan et les tests
techniques effectus ont permis de dceler des failles de scurit et des vulnrabilits
des diffrents composant du systme dinformation.
Par la suite, je vais proposer des recommandations techniques mettre en uvre
pour pallier les insuffisances et les dfaillances dtectes.
2- Recommandations
Les recommandations sont les suivantes :
Utiliser SSH au lieu de Telnet pour ladministration distance des quipements
rseaux et scurit et pour empcher linterception des donnes.
Dsactiver ou fermer les services rseaux inutiles et surtout SNMP sur les
quipements critiques (FW, Routeurs, Serveurs,).
Mettre en place une solution de gestion centralise des mises jour (WSUS) afin
de minimiser les bugs et les failles de scurit et de vrifier que les mises jour
sont bien installes.
Attribution des mots de passe au niveau de bios sur les machines sensibles afin de
protger contre les accs physiques.
Utiliser des certificats numriques pour crypter et signer les messages.
Prvoir des matriels redondants pour les quipements critiques (les serveurs en
exploitation, Routeurs,...).
Prvoir des matriels de remplacement en cas de panne dun composant
essentiels.
Prvoir des cycles de formation pour lquipe informatique sur les aspects :
Scurit des systmes dexploitation.
Scurit rseaux et systme de gestion de BD.
Prvoir des cycles de sensibilisation pour les utilisateurs pour quils tiennent
compte de limportance de la scurit et limpact de linscurit.
69
2012 - 2013
Au niveau Firewall
Effectuer un enregistrement dtaill de toutes les traces de connexions qui sont
bloques ou passes par le firewall.
Etablir des statistiques sur lusage du Firewall.
Vrification des derniers patchs et mises jour de manire rgulire et
automatiquement partir du site du constructeur.
Etablir un rapport d'audit long terme prsentant l'historique des incidents
survenus au niveau du firewall.
Dfinir un document ou une spcification des rgles de filtrage contenant une
description de lutilit de chaque filtre/rgle.
Dfinir un document prcisant la configuration du Firewall et le suivi des
modifications de cette configuration.
Au niveau Routeur
Etablir une procdure documente pour le backup des configurations du routeur.
Toutes les modifications de configuration des routeurs doivent tre documents et
conservs dans un endroit scuris afin dassurer la continuit de travail.
Enregistrement de toute tentative refuse nimporte quel port, protocole ou
service.
Assurer le contrle, la vrification et larchivage des logs en concordance avec la
politique locale.
Mettre jour lIOS chaque publication dune nouvelle version.
70
2012 - 2013
Une bonne politique de scurisation des accs par mot de passe consiste galement
en la dfinition d'un dlai d'expiration du mot de passe. Il est par exemple possible
de dfinir le renouvellement des mots de passe par priode de 15, 30 ou 45 jours.
Ne divulguez jamais un mot de passe et surtout pas en l'envoyant par courrier
lectronique.
vitez de noter le mot de passe quelque part ou de le laisser expos (sur cran,
sous le clavier, dans un fichier non protg, ...).
Proposer des changements rguliers tout en bloquant la possibilit d'utiliser des
mots de passe dj employs.
Dfinir la frquence des audits afin de s'assurer que la politique est bien respecte.
Des outils tels que LophtCrack, John the Ripper ou Crack permettent de contrler
rgulirement la robustesse des mots de passe.
Politique de sauvegarde
Mettre en place une stratgie de sauvegarde et de restitution des donnes
formellement dcrite et
71
2012 - 2013
3- Solution propose
3.1- Dploiement complet dActive directory (Annexe 4)
Lobjectif principal dActive Directory est de fournir des services centraliss
didentification et dauthentification un rseau dordinateurs utilisant le systme
Windows. Il permet galement lattribution et lapplication de stratgies, la distribution
des logiciels, et linstallation de mise jour critique par les administrateurs.(5)
Active Directory rpertorie les lments dun rseau administr tels que les
comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les
imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partages,
et les administrateurs peuvent contrler leurs utilisations grce des fonctionnalits de
distribution, de duplication, de partitionnement et de scurisation des accs aux
ressources rpertories.
2012 - 2013
4- Conclusion
Jai propos dans ce chapitre des recommandations sur le plan technique fin de
minimiser le risque dexploitation des vulnrabilits du rseau et de protger les
diffrents quipements pour assurer une continuit et une disponibilit complte.
73
2012 - 2013
Conclusion Gnrale
74
2012 - 2013
2012 - 2013
76
2012 - 2013
Bibliographie
77
2012 - 2013
1 :http://www.pommef.com/audit-informatique-Macintosh-paris.html
2 :http://users.polytech.unice.fr/~hugues/GL/Norme/norme.html
3 :http://www.blog.saeeed.com/2012/11/implementation-et-mise-en-oeuvre-de-lanorme-iso-cei-27001/
4 :http://cisco.goffinet.org/s2/methode_diagnostic#.UpXKE9JHR-s
5 :http://www.arkeia.com/fr/products/arkeia-network-backup/backupagent/directory-server-agents/active-directory-agent
6 : http://www.ansi.tn/fr/presentation_agence/cadre_juridique.html
7 : http://nmap.org/
8 :http://www.ehacking.net/p/backtrack-5-tutorial.html
9 : http://www.networkview.com
10 :http://www.cyberinfos.net/modules.php?name=Forums&file=viewtopic&t=59&view=previous
11 :http://www.securiteinfo.com/conseils/portstroyens.shtml
12 :http://forum.cigiema.fr/t235-Les-Ports-Reseaux.html
http://www.nessus.org/products/nessus
78
2012 - 2013
Annexes
79
2012 - 2013
N (en
cours)
N
N
N
N
N
N
N
N
80
2012 - 2013
N
N
N
N
N
O
N
N
N (en
cours)
O
O
81
2012 - 2013
Aucun
Y a-t-il un contrat qui stipule les conditions daccs et les recours en cas de
panne lors des accs par des tiers ou des sous traitants ?
Les risques dus aux effets externes sont ils identifis ?
En cas dexternalisation lentreprise prcise t elle dans un contrat les clauses
relatives :
La scurit des valeurs de lorganisation
La scurit physique
Lexistence dun plan de secours
Aucun
Avez-vous appliqu une dmarche mthodologique danalyse et de gestion
des risques SSI ?
Lorganisation de la scurit est-elle formalise dans un document ?
Une politique de confidentialit a-t-elle t labore dans le cadre de ce
projet ?
Des rvisions priodiques de la mise en uvre de la gestion de la scurit
sont-elles prvues ?
3. Gestion des biens
Existe-t-il un inventaire des biens du projet ?
Existe-t-il une classification des biens par rapport leurs critres de
sensibilit (en termes de disponibilit, dintgrit et de confidentialit) ?
Les actifs de lorganisme sont ils identifis rpertoris ?
Est-ce quon a prvu une classification des informations selon leur
importance ?
A chaque actif est-il associ un propritaire qui doit en assurer galement la
responsabilit ?
Quelles sont les valeurs critiques de lentreprise ?
Les personnes
Le matriel
Les logiciels
Les donnes
Les services
Les sous rseaux
Limage de marque et rputation
Lentreprise procde t elle rgulirement un inventaire de ces avoirs ?
Existe-il des fiches concernant les mouvements ?
(date dentre, date de sortie, date de mouvement, destination, provenance)
Les informations sensibles bnficient elles des procdures dfinissant leurs
conservations ou destruction ?
Le matriel informatique est-il inventori par un lment identifiable et
unique ? (ex : n de srie ?
Le matriel en prt est-il clairement identifi sur linventaire ? (nom de la
O
N
N
N
N
N
N
O
N
O
N
O
- Donne
s
- Service
s
- Matrie
ls
O
O
N
O
O
82
2012 - 2013
N
N
N
O
N
N
N
N
O
N
N
O
O
N
N
N
N
N
N
N
O
83
2012 - 2013
naturels ou industriels ?
Le cblage lectrique est il conforme aux rgles de scurit ?
Est-ce quune analyse de risque a t effectue pour valuer la scurit
physique de la socit ?
Parmi ces procdures quels sont ceux qui figurent dans la protection
physique des locaux :
Contrles des portes dentre
Cltures hautes
Attribution des badges
Contrle la sortie
Camra de surveillance
Limitation daccs
Est-ce que des mesures de scurit particulire ont t instaures pour le
centre informatique ? (si oui commenter...)
Par
badge
.
Y a-t-il une rglementation spciale contre le fait de fumer, boire, et manger
dans les locaux informatiques ?
Existe-il une protection de cblage informatique et de tlcommunication
lgard des risques lectrique ? (variation de tension)
Les quipements acquis suivent ils une politique de maintenance ?
Existe-t-il un systme de protection contre les coupures et les micros
coupures ?
Si oui
lesquels ?.............................................Onduleurs
O
O
- Limitat
ion
daccs
N
O
N
O
Onduleu
rs
- Groupe
lectrog
ne
O
O
N
84
2012 - 2013
O
O
N
N
N
N
N
O
N
N
O
N
N
N
N
O
O
O
O
- Certifi
cat
Numr
ique
- Protoc
ole
SSL
O
O
85
2012 - 2013
vitales ?
Les accs aux locaux (sensibles ou pas) sont ils contrls, enregistrs et
analyss travers des logs ?
Existe-t-il une politique qui hirarchise les autorisations daccs ?
Un ancien employ perd t-il ces droits daccs aux locaux et aux
informations
sensibles de lorganisme ?
Laccs distant (logique) au rseau informatique est-il protg ? Par quel
quipement ou outil ou mcanisme ?
Laccs au systme est il contrl par un dispositif didentification et
dauthentification ?
Existe-t-il un dispositif de revue des droits daccs des intervalles
rguliers ?
Est-ce que les terminaux sensibles sont quips dun conomiseur dcran
avec mot de passe ?
Est-ce que les utilisateurs verrouillent leur session de travail avant de
quitter leur poste de travail mme pour quelques instants ?
Les mots de passe sont-ils affects individuellement ?
Y a-t-il des conditions respecter lors du choix des mots de passe (ex : min
6 caractres) ?
Un ancien employ perd t-il ces droits daccs aux informations et locaux ?
Y a-t-il une suite aux tentatives daccs infructueuses ?
A- t-on prvu des limitations contre :
Lutilisation des applications
Le tlchargement dapplication
Lutilisation des disquettes, CD
8. Dveloppement et maintenance des systmes
Existe-t-il des procdures de validation des changements raliss sur les
programmes ?
La garantie de la confidentialit, lauthenticit et lintgrit de linformation
seffectue-t-elle au moyen de signature lectronique ou de cryptographie ?
La scurit de la documentation du systme dinformation est elle assure ?
Est-ce que les programmes sont contrles contre les portes drobs et
chevaux de trois ?
Existe-t-il des procdures de contrle pour les logiciels dvelopps en soustraitance ?
Sassure-t-on que lquipement acqurir rpondra aux besoins exprim ?
Sassure-t-on de la non rgression de service lors du dveloppement ou de
lintgration des nouveaux services ?
Existe-t-il une politique de maintenance priodique et assidue des
quipements ?
9. Gestion des incidents
O
N
O
O
N
N
O
?
O
N
O
O
N
N
O
N
O
N
O
N
N
86
2012 - 2013
N
N
N
N
N
N
N
N
N
O
O
N
N
N
O
O
O
N
N
N
N
N
N
O
O
87
2012 - 2013
O
O
O
N
N
O
88
2012 - 2013
O
O
Logiciel
client+
SSH
O
O
O
5.1.4/5.2.7
26/04/2013
O
O
O
O
TOUS
O
O
O
N
O
O
O
89
2012 - 2013
O
N
O
O
O
O
O
O
12.4
(12a)
Il y a
une
anne
N
90
2012 - 2013
par
dmarrer
votre
serveur
et
connectez-vous-y
en
tant
quAdministrateur
Dmarrer le gestionnaire de serveur
Cliquez sur le nud Rles (1) puis sur Ajouter des rles (2)
91
2012 - 2013
92
2012 - 2013
La case Services de domaine Active Directory est bien coche cliquez sur Suivant
Cliquez sur Suivant
Une fentre de rcapitulatif apparait, vrifiez vos paramtres et cliquez sur Installer
Lassistant dajout de rle a bien install les services de rle mais le serveur nest pas
pour autant passer en contrleur de domaine.
Pour cela, nous devons cliquez sur: lancez lassistant Installation des services de
domaine Active Directory (dcpromo.exe)
93
2012 - 2013
94
2012 - 2013
Nayant actuellement aucun domaine, cochez la case Crer un domaine dans une
nouvelle fort (1) afin de crer ce dernier, ensuite cliquez sur Suivant (2).
Attention toutefois ne pas crer un nouveau domaine dans une nouvelle fort si
vous tes dj dans un domaine.
Le risque tant de tout lessiver sur votre domaine existant
Dfinissez votre nom de domaine (1) puis cliquez sur Suivant (2)
Dans le cadre de ce tutoriel, jutiliserai MTIC.tn
95
2012 - 2013
Nous allons en profiter pour ajouter le rle de serveur DNS notre serveur
Si elle ne lest pas, cochez la case Serveur DNS puis cliquez sur Suivant
96
2012 - 2013
Paramtrage dadresse IP
97
2012 - 2013
98
2012 - 2013
99
2012 - 2013
100
2012 - 2013
101
2012 - 2013
Cliquez suivant
2012 - 2013
103
2012 - 2013
2012 - 2013
2012 - 2013
Protection de c:\windows\systeme32\spool
Protection de SamSs
Protection de kerberos
106
2012 - 2013
Installation termin
Redmarrage de lordinateur
107
2012 - 2013
Les tests
On va remplir le formulaire
2012 - 2013
Le serveur DNS fonction convenablement .il peut rsoudre dans les deux sens
du nom BIOS l@ IP et de l@ IP au nom BIOS
109
2012 - 2013
110
2012 - 2013
111
2012 - 2013
112
2012 - 2013
Rsultat :
-avant
113
2012 - 2013
Rsultat :
-avant
-aprs
Message derreur F:\ nest pas accessible
et
Accs refus
114