Académique Documents
Professionnel Documents
Culture Documents
Audit Et Sécurité Informatique D'un Réseau Local
Audit Et Sécurité Informatique D'un Réseau Local
Elabor par
Riadh Abdelli
MEMOIRE
Prsent pour lobtention du
Diplme de License appliqu en
Technologie de linformation et communication
Encadr par :
Mr. Kamel Khdiri (UVT Tunis)
Mr. Nizar Hakim (Ste Palma/Aremgroup)
Ddicace
Jai le grand plaisir de ddier ce travail en tmoignage daffectation et de
reconnaissance tous ceux qui mont aid le raliser.
A tous les membres de la famille, pour leurs encouragements, soutiens,
affectation et confiance.
A tous mes collgues de travail qui mont donn du courage pour
continuer les tudes et pour prparer ce diplme.
Aux Enseignant et Encadreurs de LUVT qui nous ont donn confiance et
espoir et qui nous ont soutenus durant tout le cursus universitaire de cette anne.
Toutes ces valeurs mont donn confiance et espoir pour continuer les tudes et
pour prparer ce travail.
Remerciement
Mes Encadreur Mr Kamel Khdhiri mon encadreur lUVT pour son effort
quil a dploy dans ce projet, ces conseils, son encouragement, son
encadrement srieux et son soutien moral. Lattention dont il a fait preuve
lgard de mes travaux et les conseils quil ma prodigu mont t trs utiles.
Sommaire
Introduction Gnrale...1
Chapitre 1 : Prsentation de la Socit Palma........2
1. Prsentation de la Socit.......2
2. Activit de la Socit.........2
Chapitre II : Audit t scurit rseau informatique .4
1. Apparition du thme audit informatique en Tunisie..5
2. Introduction......6
3. Audit de scurit....6
3.1 Dfinition.6
3.2 Contenu de laudit....6
4. La norme internationale ISO 17799....7
4.1 Introduction...7
4.2 Couverture thmatique..7
4.3 Les contraintes de scurit...9
5. la qualit des services de scurit...9
5.1 Dfinition..9
5.1.1 Lefficacit des services de scurit...9
5.1.2 Leur robustesse.9
5.1.3 Leur mise sous contrle.9
6. Les risques de scurit informatique.10
6.1. Les types de risques...10
6.2 Classification des risques..10
6.2.1. Les risques Humains...10
6.2.2. Les risques Techniques...11
7. Mthodologie dAudit...12
7.1 Dfinition..12
7.2. Les phases daudit.12
7.2.1. Phase prparatoire..12
7.2.2. Evaluation de la qualit des services..13
7.2.3. Audit de lexistant..13
7.2.4. Expression des besoins de scurit13
6.2.1
Introduction..35
Prsentation..35
Bibliographie...53
Introduction
Palma est le nouveau n du groupe AREM sur la scne industrielle, qui a t cre en 2005.
PALMA, sest donn pour objectif de contribuer au dveloppement de cette industrie en
Tunisie et dans la rive du Sud de mditerrane. Depuis son entre en production en 2007. Elle
a positionn son offre autour de deux axes dune part fournir la branche menuiserie en
aluminium en profils daluminium extrud et dautres part produire, selon un cahier des
charges ou des plans dtaills. Ainsi, PALMA est le preneur dordres de nombreux mtiers
tels que lclairage public, le sport. Etc. A cela sajoutent les profils standard : cornires,
tubes carres, tubes ronds ddis des usages usuels.
2/ Activit :
Ses performances industrielles par lesquelles se distingue son entre sur le march lui ont
permis non seulement de russir son positionnement, mais aussi dexporter vers lAlgrie et la
Libye.
Gamme de produits :
Les profils standard (cornires, tubes carres, tubes ronds...), Portes coulissantes, accessoires
et produits usuels, les murs rideaux pour les faades et portes dintrieur
PALMA prfre des nouveauts qui se dmarquent des produits dj existants par leur
caractre innovateur. Plutt que de recourir la casse des prix.
La Qualit de leurs produits de point de vue design, esthtique saillie, styles, teintes bien
tudies, la fait dmarquer de la concurrence.
Rseaux de distribution :
La socit palma a cre un rseau de distribution dans toute les zones de la Tunisie. Ainsi que
lexportation de leurs produits vers lAlgrie, la Libye et lItalie.
Certification :
Lapport juridique
La loi N 2004-5 du 3 Fvrier 2004 a promulgu lobligation dun audit priodique de
la scurit des systmes dinformation et des rseaux relevant diverses structures
publiques et prives et qui sera assur par des experts en audit du secteur priv
certifis par lagence nationale de la scurit informatique.
Les organismes soumis lobligation daudit doivent effectuer laudit priodique de
leur systme dinformation au moins une fois par an. Lopration daudit se droule
par le biais dune enqute sur le terrain bas sur les principaux lments suivants :
2. Introduction
En Informatique le terme Audit apparu dans les annes 70 a t utilis de manire
relativement alatoire. Nous considrons par la suite un audit de scurit
informatique comme une mission dvaluation de conformit scurit par rapport
un ensemble de rgles de scurit.
Une mission daudit ne peut ainsi tre ralise que si lon a dfinit auparavant un
rfrentiel, un ensemble de rgles organisationnelles, procdurales ou technique de
rfrence. Ce rfrentiel permet au cours de laudit dvaluer le niveau de scurit rel
de terrain par rapport une cible.
3. Audit de scurit
3.1 Dfinition
Un audit de scurit consiste sappuyer sur un tiers de confiance afin de valider les
moyens de protection mis en uvre
Un audit de scurit permet de sassurer que lensemble des dispositions prises par
lentreprise sont rputes sures.
3.2 Contenu de laudit
Lopration daudit prend notamment en compte des lments suivants :
Ces objectifs sont regroups au travers des dix grandes thmatiques suivantes :
*la politique de scurit : pour exprimer lorientation de la direction la scurit de
linformation.
*lorganisation de la scurit : pour dfinir les responsabilits du management de la
scurit de linformation au sein de lentit.
*la scurit et les ressources humaines : pour rduire les risques dorigine humaine, de vol
ou dutilisation abusive des infrastructures, notamment par la formation des utilisateurs.
*la scurit physique : pour prvenir les accs non autoriss aux locaux.
*la gestion des oprations et des communications : pour assurer le fonctionnement correct
des infrastructures de traitement de linformation, et minimiser les risques portant sur les
communications.
*les contrles daccs : pour maitriser les accs au patrimoine informationnel.
*lacquisition, le dveloppement et la maintenance des systmes :
Pour que la scurit soit une part intgrante du dveloppement et de la maintenance des
systmes dinformation.
1/Que Protger et
pourquoi ?
4/Comment protger
lentreprise ?
Ex
em
ple
Figure1 : principe de fonctionnement de la norme ISO1779
s
de
me
na
ces
Universit Virtuelle de Tunis
10
.Attaques sur le rseau : les principales techniques dattaques sur le rseau sont :
. Le Sniffing : technique permettant de rcuprer toutes informations transitant sur le rseau.
Elle est gnralement utilise pour rcuprer les mots de passe des applications qui ne
chiffrent pas leurs communications.
.La Mystification (Spoofing) : technique consistant prendre lidentit dune autre personne
ou dune autre machine. Elle est gnralement utilise pour rcuprer des informations
sensibles.
11
12
13
14
Phase prparatoire
1. Dfinition du primtre de ltude
Plage dadresse IP
La Ste Palma dispose de plage dadresse IP routables allous au routeur et
aux postes de travail connects au rseau.
Topologie du rseau
Tous les postes de travail connects au rseau sont placs sur le mme
segment. Des Switchers en cascade sont utiliss dont les diffrents postes
de travail leurs sont connects.
Equipements existants
Des PC de bureau et portables : Pentium IV, Dual Core
Un serveur HP proliant pour de base de donnes
15
2.2 Apprciation
Faiblesse du rseau actuel
La situation actuelle souffre de dfaillances du fait que le rseau nobit pas en
effet aux normes dexploitation. Nous citons si aprs titre dexemple certains
problmes du rseau :
16
Audit de lexistant
1. Les services de scurit
Un service de scurit est une rponse un besoin de scurit, exprim en
terme fonctionnel dcrivant la finalit du service, gnralement en rfrence
certains types de menaces
En Plus, un service de scurit peut ainsi lui-mme tre constitu de plusieurs
autres sous-services de scurit pour rpondre un besoin.
Nous avons dfinit des domaines de responsabilit, numrots de 1 16, qui
abordent dans la socit, du point de vue de la scurit :
Scurit des locaux
Scurit rseau tendu
Scurit du rseau local
La sensibilisation et la formation la scurit
Contrle daccs applicatif
Contrle de lintgrit des donnes
Confidentialit des donnes
Disponibilit des donnes
La scurit logique des quipements
Les plans de secours
Les plans de sauvegarde
Authentification
Contrle daccs
Configuration des logiciels
La maintenance
La gestion des incidents
2. Fonction Informatique de scurit
La qualit de lorganisation gnrale de la fonction informatique dpend
essentiellement de principaux facteurs : le positionnement de la fonction
informatique, la sparation des fonctions et la gestion du personnel
informatique.
2.1 Rle des directions dans le systme informatique :
Le systme dinformation est considre comme un sous-systme de
lentreprise li au systme oprant qui ralise les activits, et au systme de
dcision qui fixe les objectifs et effectue les choix.
La Ste Palma est une filiale dAremgroup, ainsi la direction Informatique est
centralise au sige.
17
Direction Informatique
Administration Application
Service Bureautique
Apprciation
Linexistence de mthode de dvaluation des risques et de la gestion de la
scurit informatique a pour consquence :
Le non garanti de lharmonisation et de la qualit des applications.
Le non maitrise de la gestion des projets informatiques
Difficult dvaluation du personnel informatique
18
19
20
21
22
23
24
25
26
27
28
6.
Scurit informatique
6.1 Reprage des actifs informationnels
Les systmes dinformation comme ensemble de processus valeurs
ajoutes tiennent compte des donnes entrantes et sortantes
Lintranet
Les services fournis par lintranet
Une base de donnes qui hberge tous donnes informationnelles
Financier, Personnel, scientifique..) dont les utilisateurs ont besoin.
Le partage : la plupart des utilisateurs utilise le partage de fichiers
comme tant une source dchange de donnes.
Messagerie Interne entre Utilisateur
Extranet
Les services fournis par lextranet sont
Les courriers lectroniques
Lutilisation de linternet
Apprciation
29
Solutions de Scurit
1. dploiement complet d'AD
Grace Active directory scurit est entirement intgre dans Active Directory.
Le contrle d'accs peut tre dfini non seulement sur chaque objet de l'annuaire,
mais aussi sur chaque proprit de chacun des objets.
Active Directory fournit la fois le magasin et l'tendue de l'application pour les
stratgies de scurit.
Une stratgie de scurit peut inclure des informations de compte, telles que des
restrictions de mot de passe applicables sur l'ensemble du domaine ou des droits
pour des ressources de domaine spcifiques.
Les stratgies de scurit sont mises en place par le biais des paramtres de
Stratgie de groupe. Ainsi les avantages de Active directory est :
30
31
32
33
Chapitre IV : Installation et
dploiement dActive
directory
34
I.
Introduction
Vu les vulnrabilits quon a rencontr pendant ltude de laudit de la scurit
informatique du rseau de la Socit Palma et vu laugmentation des services
(messagerie, serveur fichiers), je propose le passage du Workgroup au domaine
et linstallation de lannuaire Active directory afin de centraliser la gestion des
ressources et la mise en place des rgles de scurit.
Le facteur temps et scurit sont des facteurs importants pour les socits, ceci
pousse les dcideurs avoir des solutions centralises de gestion des ressources
informatiques.
II.
Prsentation
Active Directory est le nom du service d'annuaire de Microsoft apparu dans le
systme d'exploitation Microsoft Windows Server 2000. Le service d'annuaire
Active Directory est bas sur les standards TCP/IP , DNS, LDAP, Kerberos, etc.
Le service d'annuaire Active Directory doit tre entendu au sens large, c'est--dire
qu'Active Directory est un annuaire rfrenant les personnes (nom, prnom,
numro de tlphone, etc.) mais galement toute sorte d'objet, dont les serveurs,
les imprimantes, les applications, les bases de donnes, etc.
Active Directory permet de recenser toutes les informations concernant le rseau,
que ce soient les utilisateurs, les machines ou les applications. Active Directory
constitue ainsi le moyeu central de toute l'architecture rseau et a vocation
permettre un utilisateur de retrouver et d'accder n'importe quelle ressource
identifie par ce service.
Fig. 1 :
Active Directory est donc un outil destin aux utilisateurs mais dans la mesure o
il permet une reprsentation globale de l'ensemble des ressources et des droits
Universit Virtuelle de Tunis
35
IV.
36
37
38
39
40
41
42
43
44
.
Figure 17 : Activation DHCP
45
46
47
48
49
50
51
Conclusion
A la fin de ce travail, je peux dire que jai bien pu avoir une visibilit
concrte sur un domaine bien spcifique qui est la scurit informatique.
En plus, ce travail ma t profitable en terme dacqurir une bonne
exprience professionnelle, travers laquelle jai eu loccasion dappliquer mes
connaissances scientifiques et de confronter la notion thorique la pratique.
Et pour conclure, je peux dire que lobjectif global nest pas atteint par un seul
projet, mais par une succession de projets afin dtablir un audit de scurit
selon une mthode et norme standard.
52
Bibliographie
www.ansi.tn
www.clusif.fr
www.clusif.fr
www.microsoft.com/technet/prodtechnol/w2kadsi.asp.
www.cygwin.com
www.commencamarche.com
www.isc.cnrs.fr
www.parisscyber.com
www.Reso-Net.com/es.htm
www.microsoft.com/france/window
53