Vous êtes sur la page 1sur 140

Ddicace

A mes chers parents, Que jaime le plus et qui mont donn tous, que dieu les protgent Ma chre sur et mon cher frre, Je vous remercie pour votre aide et votre patience A mon cher fianc, Dont je ne trouve pas les mots pour lui exprimer ma gratitude, pour sa patience et ses encouragements A mes amis, A tous ceux qui mont aid raliser ce projet

Remerciements
Je tiens remercier particulirement Monsieur Yassine KHLIFI qui ma encadr tout au long de ce mastre pour sa grande disponibilit, pour lintrt quil a port pour ce travail et pour son aide permanente et aussi pour ses comptences scientifiques et ses qualits humaines tout au long de ce travail. Mes plus vifs remerciements sadressent aussi mon encadreur au sein du centre informatique du ministre de la sant publique, Monsieur Faouzi LAROUCHI pour son bienveillance, son soutien et ses conseils qui mont t dun grand secours durant ce stage. Quil soit aussi remerci pour sa gentillesse, pour les nombreux encouragements quil ma prodigue. Je souhaite aussi exprimer toute ma reconnaissance Monsieur Faouzi DAHMEN dont ses conseils et ses encouragements mont t dune grande motivation. Je suis trs reconnaissante Monsieur Makrem BOUABDALLAH et Monsieur Brahim HAMDI pour leurs supports et leur aide. Je tiens galement exprimer mes vifs respects tous les personnels de l'institut suprieur de Gestion de Tunis (ISG), et aux enseignants pour leurs efforts fournis durant mes tudes. Enfin, tous les membres du CIMSP sont associs mes remerciements. Quils ne me tiennent pas rigueur de ne pas pouvoir tous les citer. Jespre que toutes les personnes avec lesquelles jai eu le plaisir de travailler savent quel point je leur suis reconnaissante.

Table des matires


TABLE DES FIGURES ........................................................................................................... 7 LISTE DES TABLEAUX ........................................................................................................ 8 INTRODUCTION GENERALE ............................................................................................. 9 CHAPITRE 1 ......................................................................................................................... 11 CONCEPTS GENERAUX DE LA SECURITE ................................................................. 11 1.1 Introduction ................................................................................................................. 11

1.2 La scurit informatique............................................................................................. 11 1.2.1 Scurit de linformation........................................................................................... 11 1.2.2 Scurit des systmes dinformation ......................................................................... 12 1.2.3 Etude des risques ....................................................................................................... 13 1.2.4 Objectif de la scurit................................................................................................ 16 1.2.5 Politique de scurit (PSSI)....................................................................................... 16 1.3 Audit informatique ...................................................................................................... 19 1.3.1 Notion daudit ........................................................................................................... 19 1.3.2 Types daudit ............................................................................................................. 20 1.3.3 Lobjectif de laudit................................................................................................... 20 1.3.4 Les normes et les mthodes daudit .......................................................................... 21 1.4 1.5 1.6 Analyse et discussion ................................................................................................... 25 Choix de la mthode MEHARI .................................................................................. 26 Conclusion .................................................................................................................... 27

CHAPITRE 2 ......................................................................................................................... 28 ETUDE DE LEXISTANT ................................................................................................... 28 2.1 Introduction ................................................................................................................. 28

2.2 Prsentation du CIMSP .............................................................................................. 28 2.2.1 Prsentation gnrale du CIMSP............................................................................... 28 2.2.2 Missions du CIMSP .................................................................................................. 28 2.2.3 Organisation du CIMSP ............................................................................................ 29 2.3 Prsentation de larchitecture rseau du CIMSP ..................................................... 33 2.3.1 Architecture du rseau nationale de sant ................................................................. 33 2.3.2 Architecture locale des tablissements de sant ........................................................ 35

2.3.3 Le Backbone CIMSP................................................................................................. 36 2.4 Lexistant en matire de scurit ............................................................................... 36

2.5 Conclusion .................................................................................................................... 38 CHAPITRE 3 ......................................................................................................................... 39 AUDIT ORGANISATIONNEL ET PHYSIQUE ............................................................... 39 3.1 3.2 3.3 3.4 3.5 Introduction ................................................................................................................. 39 Objectifs ....................................................................................................................... 39 Approche adopte ........................................................................................................ 39 Dtermination des personnes interroger ................................................................ 40 Analyse de questionnaire daudit ............................................................................... 40

3.5.1 Elaboration du schma daudit .................................................................................. 40 3.5.2 Evaluation de la qualit des services bases sur les questionnaires MEHARI ...... 41 3.5.3 La synthse par domaines de scurit ....................................................................... 44 3.6 La convergence vers la norme ISO 17799 ................................................................. 46

3.6.1 Le niveau de maturit par principe ........................................................................... 46 3.6.2 Niveau de maturit par chapitre ................................................................................ 48 3.6.3 Reprsentation graphique .......................................................................................... 49 3.7 3.8 Synthse des vulnrabilits ......................................................................................... 49 Conclusion .................................................................................................................... 56

CHAPITRE 4 ......................................................................................................................... 57 ANALYSE DES RISQUES................................................................................................... 57 4.1 4.2 Introduction ................................................................................................................. 57 Prsentation de la mthode danalyse de risques ..................................................... 57

4.3 Analyse des risques suite une analyse des enjeux .................................................. 57 4.3.1 Utilit dune analyse des enjeux................................................................................ 58 4.3.2 Objectifs de lanalyse des enjeux .............................................................................. 58 4.3.3 Expression des enjeux : Echelle de valeur des dysfonctionnements et classification 58 4.3.4 Gravit des dysfonctionnements majeurs .................................................................. 81 4.4 Analyse des risques partir des bases de connaissance de MEHARI .................... 82

4.4.1 Le scnario de risque ................................................................................................. 82 4.4.2 Analyse dun scnario de risque................................................................................ 82 4.5 Conclusion .................................................................................................................... 92

CHAPITRE 5 ......................................................................................................................... 93 AUDIT TECHNIQUE ........................................................................................................... 93 5.1 5.2 5.3 Introduction ................................................................................................................. 93 Outils daudit utiliss .................................................................................................. 93 Description de la salle machine .................................................................................. 94

5.4 Audit de larchitecture rseau .................................................................................... 94 5.4.1 Reconnaissance du rseau et du plan dadressage..................................................... 97 5.4.2 Sondage des systmes ............................................................................................... 99 5.4.3 Sondage des services rseau .................................................................................... 103 5.4.4 Sondage des flux rseau .......................................................................................... 104 5.5 Audit des vulnrabilits ............................................................................................ 105 5.5.1 Audit des vulnrabilits intrusif interne .................................................................. 106 5.5.2 Audit de vulnrabilits intrusif externe ................................................................... 110 5.6 Audit de larchitecture de la scurit existante ...................................................... 110 5.6.1 Audit du pare-feu et des rgles de filtrages ............................................................. 110 5.6.2 Audit des routeurs ................................................................................................... 112 5.7 Audit des systmes et des applications .................................................................... 114 5.7.1 Audit LOTUS NOTES ............................................................................................ 114 5.7.2 Audit systme dexploitation UNIX ....................................................................... 115 5.8 Conclusion .................................................................................................................. 119

CHAPITRE 6 ....................................................................................................................... 120 RECOMMANDATIONS ET PLAN DACTION............................................................. 120 6.1 Introduction ............................................................................................................... 120

6.2 Les recommandations ............................................................................................... 120 6.2.1 Recommandations organisationnelles et physiques ................................................ 120 6.2.2 Recommandations techniques ................................................................................. 127 6.3 Plan daction .............................................................................................................. 129

6.4

Conclusion .................................................................................................................. 133

CONCLUSION GENERALE............................................................................................. 134 LISTE DES ACRONYMES ............................................................................................... 136 REFERENCES BIBLIOGRAPHIQUES .......................................................................... 138

Table des Figures

Figure 1.1.Place de la PSSI dans le rfrentiel documentaire. ................................................................. 18 Figure 2.1.Organigramme CIMSP. ....................................................................................................... 32 Figure 2.2.Rseau national du CIMSP. ................................................................................................. 33 Figure 2.3.Architecture globale du rseau national de la sant. ............................................................ 34 Figure 2.4.Architecture du rseau local dun tablissement de la sant. ............................................... 35 Figure 3.1.Reprsentation graphique des domaines MEHARI et leurs moyennes. .............................. 44 Figure 3.2.Reprsentation graphique du niveau de maturit. ................................................................ 49 Figure 4.1.Processus d'analyse des enjeux. ........................................................................................... 59 Figure 4.2.Processus d'analyse des risques. .......................................................................................... 82 Figure 4.3.Les mesures de la potentialit. ............................................................................................. 85 Figure 4.4.Les mesures de l'impact. ...................................................................................................... 88 Figure 4.5.Grille d'valuation de la gravit. .......................................................................................... 89 Figure 4.6.Reprsentation graphique des besoins des services. ............................................................ 91 Figure 5.1.Architecture globale du CIMSP. .......................................................................................... 95 Figure 5.2.Cartographie du rseau interne du CIMSP. ......................................................................... 97 Figure 5.3.Image cran de configuration rseau au niveau du poste. .................................................... 99 Figure 5.4.Rpartitions systmes d'exploitation. ................................................................................... 99 Figure 5.5.Sondage GFI LanGuard. .................................................................................................... 101 Figure 5.6.Rpartition du service NETBIOS sur les postes du CIMSP. ............................................. 102 Figure 5.7.Capture cran des partages rseau. .................................................................................... 102 Figure 5.8.Capture cran des fichiers partags non protgs. ............................................................. 103 Figure 5.9.Scan Nmap. ........................................................................................................................ 104 Figure 5.10.Capture cran du trafic rseau. ......................................................................................... 105 Figure 5.11.Les pourcentages des vulnrabilits. ................................................................................ 106 Figure 5.12.Synthse des vulnrabilits. ............................................................................................. 106 Figure 5. 13.Pourcentage des vulnrabilits. ....................................................................................... 107 Figure 5.14.Synthse des vulnrabilits. ............................................................................................. 108 Figure 5.15.Pourcentage des vulnrabilits. ........................................................................................ 109 Figure 5.16.Synthse des vulnrabilits. ............................................................................................. 109

Liste des Tableaux


Tableau 3.1.Schma d'audit. .................................................................................................................. 41 Tableau 3.2.Questionnaire MEHARI. ................................................................................................... 42 Tableau 3.3.Moyennes des domaines de scurit et des services. ......................................................... 45 Tableau 3.4.Niveau de maturit par principe. ....................................................................................... 48 Tableau 3.5.Niveau de maturit par chapitre......................................................................................... 48 Tableau 4. 1.Processus majeurs du CIMSP. .......................................................................................... 60 Tableau 4. 2.Processus et activits du DERSS. ..................................................................................... 67 Tableau 4.3.Dysfonctionnements et consquences des activits de la DERSS. .................................... 70 Tableau 4. 4.Echelle de valeurs des dysfonctionnements globale. ........................................................ 74 Tableau 4. 5.Classification globale des ressources. ............................................................................. 80 Tableau 4.6.Evaluation de la gravit. .................................................................................................... 81 Tableau 4.7.Exposition naturelle. .......................................................................................................... 84 Tableau 4.8.Impact intrinsque. ............................................................................................................ 87 Tableau 4.9.Priorits des besoins des services. ..................................................................................... 90 Tableau 5.1.Le plan d'adressage IP. ...................................................................................................... 98 Tableau 5. 2.Description des routeurs du CIMSP. .............................................................................. 113 Tableau 5.3.Liste de contrle LOTUS NOTES................................................................................... 115 Tableau 5. 4. .Liste de contrle du systme dexploitation UNIX. ....................................................... 119 Tableau 6.1.Plan d'action. ................................................................................................................... 132

Introduction gnrale

Introduction gnrale
Toute entreprise, dpartement dentreprise, organisation, association, doit son existence son systme dinformation (SI) qui font dsormais partie intgrante du leurs fonctionnement. Un constat aujourdhui, est que les SI sont de plus en plus ouverts au monde extrieur, les quipements informatiques et de communication possdent des capacits de communication normes. En parallle, il y a eu un dveloppement immense des nouvelles menaces, telles que les virus et outils dattaques, qui exploitant les failles de lintroduction rapides des nouvelles technologies. Ces failles rendent vulnrables les diffrents composants du SI et peuvent avoir des effets ngatifs sur le bon fonctionnement et la rentabilit de lorganisme. Mais les organismes qui russissent sont celles qui comprennent et grent les risques associs la mise en uvre de ces nouvelles technologies. Alors, la scurit du SI devient le principe sur lequel doit se baser toute organisation informatique. Do le besoin de faire appel laudit informatique pour maintenir la scurit des SI. Laudit de scurit du SI vise donner une cartographie complte des vulnrabilits et valider les moyens de protection mis en uvre sur les plans organisationnels, procduraux et techniques, au regard de la politique de scurit. Autrement dit, laudit permet dexaminer une situation et raliser un bilan prcis de lexistant sans prendre en considrations les mesures de protection existantes. Actuellement en Tunisie, toute organisme est tenue par une obligation lgale mener des missions daudit conformment larticle 5 de la loi tunisienne n2004-5 du 3 fvrier 2004, relative la scurit informatique qui stipule que les systmes informatiques et les rseaux des diverses entreprises publiques doivent tre soumis un rgime daudit obligatoire et priodique de la scurit informatique. Conscient de limportance de laudit de scurit du SI, le centre informatique du ministre de la sant publique (CIMSP) soriente auditer son systme en vue de dceler les vulnrabilits et les limites sur les plans organisationnels, physique et technique, et didentifier les solutions et les mesures correctives ncessaires. Ce travail daudit est organis en 6 chapitres : Dans le premier chapitre, on va prsenter les concepts de base des SI ainsi que les risques qui menacent ces systmes. Ce chapitre contiendra aussi une introduction du concept daudit informatique avec les mthodes et les normes daudit les plus connues et exploites. Une tude comparative des mthodes prsentes sera labore afin de choisir la mthode la plus adquate la mission daudit de CIMSP. Dans le deuxime chapitre, on va focaliser la prsentation de lorganisme daccueil 9

Introduction gnrale en mettant laccent sur les missions exerces par son organisation gnrale, son architecture du rseau nationale et larchitecture locale des tablissements de sant sous tutelle. Enfin, ce chapitre sera cltur par une prsentation des mesures de scurit appliques au sein du centre dont leur existence ne sera pas prise en considration puisquils vont tre audits durant la phase daudit organisationnel et physique. Le troisime chapitre reprsente le point de dpart de cette mission daudit tant donn quil met laccent sur la premire phase daudit de scurit savoir laudit organisationnel et physique. Suite lorientation issue de ltude comparative, la mthode MEHARI sera applique dans ce travail daudit. En effet, des entretiens et des runions avec les responsables et le personnel du CIMSP seront tablies autour des domaines de scurit afin dceler les vulnrabilits au sein du SI du centre. Vue que la mthode MEHARI donne la main de converger vers la norme ISO 17799/27002, on va dterminer le niveau de maturit de notre systme audit selon lchelle internationales partir du Scoring ISO que cette mthode accorde. Le quatrime chapitre sintresse lanalyse de risques qui peut tre mene avec deux approches complmentaires selon la mthode MEHARI. Une analyse des risques directe partir dune analyse des enjeux du centre et une analyse des risques selon les bases de connaissance de MEHARI. Dabord, on va analyser le travail selon ces deux approches pour arriver la fin une analyse rigoureuse et dtailler des risques encouru par le centre. Dans le cinquime chapitre, on va essayer de recenser les vulnrabilits et les failles dordre technique en auditant larchitecture du systme savoir reconnaissance du rseau et du plan dadressage, sondage des systmes, contrle daccs, sondage des services rseaux, et sondage des flux rseau. Ensuite, on va identifier les vulnrabilits au niveau des composants du rseau audit tels que les serveurs et les postes de travail. Sachant que dans ltape daudit de larchitecture de scurit existante, on va auditer plusieurs quipements tels que les pare-feux et les routeurs ainsi que plusieurs systmes savoir le systme de messagerie interne, Lotus notes, et du systme dexploitation Unix. Aprs ces deux phases daudits primordiaux, on va clturer ce travail par la phase des recommandations et du plan daction. Les recommandations intressent lordre

organisationnel, physique et technique afin de pallier aux dfaillances identifies au sein de lentreprise daccueil. Alors que le plan daction va prsenter les oprations indispensables pour le centre dont elles seront classes selon les priorits, et les moyens financiers et humaines disponibles.

10

Chapitre 1

Concepts gnraux de la scurit

Chapitre 1

Concepts gnraux de la scurit


1.1 Introduction
Le concept de la scurit s'applique toute information. En fait, la scurit concerne la protection des actifs de valeur contre la perte, la divulgation ou les dgts. Dans ce contexte, les actifs de valeur sont les donnes ou les informations stockes, traites, partages, transmises ou extraites partir d'un support lectronique. Les donnes ou les informations doivent tre protges contre les menaces qui conduisent la perte, l'inaccessibilit, l'altration ou la divulgation inapproprie. La protection est obtenue au moyen d'un ensemble de couches de parades techniques ou non techniques, telles que des mesures de scurit physique, des contrles de bases, l'identification des utilisateurs, les mots de passe, les cartes puce, les techniques biomtriques, pare-feu,etc. La scurit s'applique toute information en plus le concept de scurit se rsume l'objectif de scurit. Dans ce chapitre, on va prsenter les concepts gnraux de la scurit, la scurit de linformation et la scurit des systmes dinformation ainsi les risques qui menacent les systmes dinformation. De mme, on va survoler les concepts de base daudit informatique, ses normes et ses mthodes. Enfin, une tude comparative des mthodes daudit prsentes sera labore suivi dune discussion afin de sorienter vers une mthode daudit efficace et adapte notre systme dinformation.

1.2 La scurit informatique


La scurit informatique comprend deux grands domaines qui sont la scurit de linformation et la scurit des systmes dinformation. Dans cette section, on va essayer de dtailler chacun de ces domaines.

1.2.1 Scurit de linformation


Linformation est un actif aussi important que les actifs lis au systme de production classique savoir actifs physiques, actifs financiers, actifs sociaux,.etc. Linformation en gnrale se prsente sous trois formes sont les suivantes : les donnes, les connaissances et les messages. Dhabitude, ce sont les actifs traditionnels qui sont protgs, la scurit de 11

Chapitre 1

Concepts gnraux de la scurit

linformation nest gnralement garantie que de manire partielle et peu coordonne dans les entreprises et les organismes. La scurit de linformation est dfinie comme tant un dispositif global dont la mise en uvre assure que linformation sera partage dune faon qui garantit un niveau appropri de protection.

1.2.2 Scurit des systmes dinformation


Avant de dfinir la scurit des SI, il est primordial de dfinir un systme dinformation. Plusieurs dfinitions SI existaient pour cela, on va essayer de prsenter dans ce qui suit une panoplie de dfinitions. SI est lensemble des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre linformation [1]. SI est tout moyen dont le fonctionnement fait appel dune faon ou dune autre llectricit et qui est destin laborer, traiter, stocker, acheminer, prsenter ou dtruire linformation [2]. SI est une infrastructure de gestion lectronique de linformation [3]. SI est un ensemble dordinateurs et un ensemble de rseaux de communication [4].

1.2.2.1 Les composantes du systme dinformation


Un SI repose sur les lments, fonctions et informations, qui constituent la valeur ajoute du SI pour lorganisme. Un inventaire permet de connaitre son environnement et suppose un recensement exhaustif et prcis. Ils sont les suivants : Le matriel : les postes de travail, les serveurs, les routeurs, les systmes dimpression,etc. Les logiciels : les systmes techniques, les systmes bureautiques, les systmes administratifs et de gestion, les systmes dexploitation, les systmes de scurit,etc. Les donnes : les donnes techniques, les donnes de gestion et les sauvegardes,etc. Le personnel : les utilisateurs identifis, les administrateurs (informaticien ou quivalent) et les stagiaires,etc. La documentation : les procdures dinstallation, les procdures de restauration, la politique scurit de lentreprise, le plan de scurit et le plan de cblage,etc. Les SI sont devenus de nos jours indispensables toute organisation moderne. Au cur du bon fonctionnement des entreprises et des grands corps de lEtat, ils 12

Chapitre 1

Concepts gnraux de la scurit

constituent une cible dattaques informatiques privilgie (par virus, intrusions, usurpation didentit,etc.) dont limpact peut tre extrmement prjudiciable lorganisation. En plus, la divulgation des secrets industriels, dun savoir-faire ou dinformations commerciales menace la vie mme dune entreprise et affecte ses rsultats financiers. Do le besoin vital de mettre en uvre un ensemble de moyens pour minimiser la vulnrabilit dun systme contre ces menaces accidentelles ou intentionnelles, autrement dit contre les risques informatiques.

1.2.3 Etude des risques


Le risque peut tre dfini comme tant la menace que reprsente lexploitation dune vulnrabilit du systme. Il sagit donc de minimiser les risques inhrents au fonctionnement dun systme dinformation. Vulnrabilit : elle signifie une faiblesse de scurit. Cette faiblesse peut tre logique, c.-d. elle peut dcouler dune mauvaise configuration dune ou plusieurs composantes du systme ou dune erreur de programmation qui peut tre exploite afin de nuire lapplication, ou physique, qui peut avoir comme origine une insuffisance de moyens de protection physique, comme laisser la porte du salle serveur ouverte et ne pas mme utilis des moyens de surveillance. Menace : elle est un danger qui existe dans lenvironnement dun systme indpendamment de celui-ci: accident, erreur et malveillance. La menace dsigne lexploitation dune faiblesse de scurit par un attaquant, quil soit interne ou externe lorganisme. Ainsi, elle est lensemble des actions de lenvironnement dun systme entranant lincohrence dans la confidentialit, lintgrit ou la disponibilit des services et des biens. La menace est la rsultante dactions et oprations du fait dautrui de plus elle est indpendante de la protection dont se doter. Les pannes et les erreurs non intentionnelles sont les suivantes: pannes/dysfonctionnements du matriel. pannes/dysfonctionnements du logiciel de base. erreurs dexploitation, oubli de sauvegarde, crasement de fichiers. erreurs de manipulation des informations. erreurs de saisie, erreur de transmission, erreur dutilisation. erreur de conception des applications. erreur dimplmentation. 13

Chapitre 1

Concepts gnraux de la scurit

Les menaces intentionnelles : lensemble daction malveillante qui constitue la plus grosse partie du risque qui devrait tre lobjet principal des mesures de protection. Les menaces passives : dtournement des donnes, savoir lcoute et les indiscrtions, par exemple lespionnage industriel, lespionnage commercial, violations dontologiques et dtournement des logiciels. Les menaces actives : cest toute forme de modification des informations. Autre menaces : tout ce qui peut entrainer des pertes financires dans une socit telle que pertes associes lorganisation et la gestion des personnels ainsi dpart de personnels stratgiques et grves.
Le risque : il est reprsent par la probabilit quune menace particulire puisse exploiter une vulnrabilit donne du systme. Traiter le risque, cest prendre en compte les menaces et les vulnrabilits.

Une information prsente une certaine vulnrabilit, on lui assure un niveau de protection, qui a un certain cot. Lcart entre la menace virtuelle et son niveau de protection correspond au risque qui peut tre accept ou rsiduel.

1.2.3.1 Types de risque


Les risques que peuvent avoir un SI peuvent tre regroups sous trois types sont les suivants: Accidents : ce type de risque peut tre caus par des problmes physiques ou des mauvais fonctionnements des systmes exemples tels que coupure de courant, incendies, inondation, usurpations matrielles et panne de composants matriels. Faute : ce type de risque peut tre caus par des erreurs dadministration, des erreurs de conceptions ou des erreurs de transmission,etc. Malveillance : ce type de risque peut tre engendr par les risques de dtournement dinformation ou la rvlation dun secret. On peut citer comme exemple un couteur de rseau qui veut capter un mot de passe et les menaces prvenant des pirates.

1.2.3.2 Les attaques


Une attaque est une entrave volontaire portant atteinte aux ressources informatiques et rsultantes dune activit humaine. Destruction par virus : cest un programme de taille limite qui possde la facult de sintroduire dans un programme hte, et de sauto-reproduire chaque fois que celui-ci 14

Chapitre 1

Concepts gnraux de la scurit

dmarre. Son but est gnralement de dtruire ou de falsifier des fichiers de donnes ou des fichiers de systme dexploitation. Destruction par ver : cest un programme malicieux qui a la facult de se dplacer travers un rseau quil cherche perturber en le rendant indisponible. Destruction par bombe logicielles : il sagit dun programme indpendant dont le rle est de relcher dans un systme, une date donne ou loccurrence dun vnement particulier, le programme de type ver (Worm) ou autre quil contient. Intrusion par cheval de Troie : il sagit de placer un programme dans un systme de faon fournir un accs ultrieur privilgi et incontrlable. Intrusion par portes drobes : le concepteur dun programme peut laisser un accs lui permettant de sintroduire dans le systme linsu de tout contrle. Intrusion par Spoofing de paquets : usurpation dadresses IP autorises en prenant la place dune machine de confiance. Espionnage des liaisons ou analyse de trafic : la capture des donnes circulant sur le rseau permet dintercepter les mots de passe. Intrusion par bogues logiciels : les vulnrabilits des produits sont trs vite connues. Exploitation daccs non scuriss : on ne compte plus les utilisateurs sans mot de passe ou trs simple deviner. Refus daccs, saturation de services (dni de service) : le Distributed Denial of Service (DDoS) consiste rendre une ressource inaccessible par saturation ou par destruction. Cette attaque est souvent ralise par un envoi massif de requtes. Deux techniques dattaques communment appeles Smurf et Syn Flood sont possibles. Lune comme lautre consistent inonder de demandes de connections lordinateur, appel serveur, permettant daccder un site internet. Dans la technique du Syn Flood, ces demandes sont assorties dune adresse dorigine qui est fausse, ce que les experts appellent le Spoofing, augmentant la confusion du serveur, suivi de son engorgement voire de son arrt. Surveillance des messageries dentreprises : le systme dinformation de lentreprise set de plus en plus li la messagerie dentreprise. Exploitation des fichiers de logs : lanalyse des fichiers de donnes rvle souvent de prcieux renseignements. Certains de ces fichiers gardent des traces de lactivit rseau.

15

Chapitre 1

Concepts gnraux de la scurit

Man in the middle : technique qui consiste se placer entre deux clients pour intercepter, lire, modifier et effacer les donnes changes.

1.2.4 Objectif de la scurit


La scurit des SI a pour objectif de protger les intrts de ceux qui dpendent des SI, savoir les entreprises et les organismes, et de communication qui dlivrent l'information sa destination, contre les prjudices imputables des dfauts de disponibilit, de confidentialit, et d'intgrit. La scurit des SI vise alors appliquer des mesures proportionnes aux risques pouvant peser sur la confidentialit de linformation, son intgrit, sa disponibilit, la possibilit den authentifier la source et de la signer. La confidentialit : il sagit de garantir que laccs aux donnes nest pas possible que pour les personnes autorises les connaitre. Lintgrit : il sagit de garantir que les fonctions et les donnes sensibles ne sont pas altres ou modifi et conservent toute leur pertinence. La disponibilit : il sagit de garantir quune source sera accessible au moment prcis o quelquun souhaitera sen servir. Lauthentification : a pour but de vrifier quune entit est bien celle quelle prtend tre. La non-rpudiation : vise interdire une entit de pouvoir nier avoir pris part une action. Afin datteindre ces objectifs de scurit, il est ncessaire de mettre en uvre une politique de scurit, applicable lensemble des entits lintrieur dun domaine gographique ou fonctionnel qui explicitera lensemble des rgles et des recommandations pour protger les ressources et les informations contre tout prjudice et galement prvoir le cas de la faillite de la protection.

1.2.5 Politique de scurit (PSSI)


Parmi toutes les tches qui incombent aux responsables de la scurit des systmes dinformation (RSSI) dans les organismes privs ou publics, celle qui consiste btir une politique de scurit cohrente prenant compte des aspects humains, organisationnels et juridiques est certainement la plus difficile. Dterminer une politique de scurit, cest dfinir des objectifs (ce quil faut protger), des procdures. La PSSI est le document de rfrence dfinissant les objectifs poursuivis en matire de scurit et les moyens mis en uvre pour les

16

Chapitre 1

Concepts gnraux de la scurit

assurer. Elle dfinit un certain nombre de rgles, de procdures et de bonnes pratiques permettant d'assurer un niveau de scurit conforme aux besoins de l'organisation. Un tel document doit ncessairement tre conduit comme un vritable projet associant des reprsentants des utilisateurs et conduit au plus haut niveau de la hirarchie, afin qu'il soit accept par tous. Lorsque la rdaction de la politique de scurit est termine, les clauses concernant le personnel doivent leur tre communiques, afin de donner la politique de scurit le maximum d'impact. Il est important de dfinir correctement les rgles du modle: ce qui est autoris et ce qui ne lest pas (il est interdit de lire le courrier de son voisin sans y tre invit, mme si celui-ci na pas su le protger correctement,etc.). Il est absurde mais on le voit souvent de vouloir verrouiller les entres, dfinir des interdictions alors quon na pas su dfinir les rgles auxquelles devraient se rfrer ces actions. La politique de scurit est labore comme suit : une analyse des menaces potentielles ou relles, ensuite lidentification et lanalyse des vulnrabilits (audit, contrle qualit,etc.). Elle se ralise par : lintgration doutils et de services de scurit systme ou rseau (audit, contrle daccs identification, logiciel antivirus, systmes experts et noyau de scurit,etc.). la validation logiciel/systme (techniques formelles, analyse qualimtrie, tests statiques et dynamiques,etc.). lvaluation et la certification des systmes et des produits. La scurit ne doit pas rester statique car toute dfense peut tre contourne; cest pourquoi une bonne politique de scurit comprend toujours deux volets: La scurit priori ou plus prcisment politique dite passive : cest le blindage du systme. Elle se caractrise par llaboration dune politique de scurit explicite, une organisation adapte cette politique, des procdures des mthodes de travail, des techniques et des outils,etc. La scurit posteriori ou plus clairement politique dite active : cest la dfense en profondeur dont elle consiste mettre en place plusieurs processus telles que: Surveiller les moyens de protection pour contrler leur efficacit (mais aussi lefficacit de la politique de scurit) Dtecter les attaques et les mauvaises configurations en enregistrant les accs aux services sensibles, en mettant en place des automatismes de dtection dintrusion,etc.

17

Chapitre 1

Concepts gnraux de la scurit Rpondre par des actions correctives: arrt de session, reconfiguration dynamique des systmes de contrle daccs et enregistrement des sessions Mettre en place des leurres.

1.2.5.1 Place de la PSSI dans le rfrentiel documentaire


La PSSI est un lment de la politique gnrale de l'organisme et elle est en accord avec le schma directeur du SI et la stratgie de scurit de l'information. La figure 1.1 met en relief l'interfrence du schma directeur de lorganisme avec la PSSI globale ainsi que la drivation en politiques spcifiques.

Figure 1.1.Place de la PSSI dans le rfrentiel documentaire.

Bien quelle puisse concerner lensemble des systmes dinformation de lorganisme, elle peut galement tre restreinte un systme dinformation particulier, par exemple li un mtier de lorganisme ou un systme transversal tel que messagerie et intranetetc. Dans ce cas, il peut exister plusieurs PSSI dans un organisme ou une entreprise et elles devront tre cohrentes entre elles. Cette cohrence est assure grce la formalisation dune PSSI globale ou plus prcisment objet du prsent guide. Les autres politiques sont alors des dclinaisons de la PSSI dans un environnement mtier ou technique particulire, pour des instances spcialises ou des cas particuliers. Pour laborer une PSSI adapte lorganisme, il est recommand de raliser une analyse des risques spcifiques au contexte afin den ajuster les rgles de scurit.

18

Chapitre 1

Concepts gnraux de la scurit

1.3 Audit informatique


Historiquement, laudit a envahi tous les domaines de la vie professionnelle savoir, conomique, gestion, social et politique,etc. laudit de la scurit informatique est une technique relativement rcente et qui vient dtre ornement suite ladoption de plusieurs normes de scurit lchelle internationale depuis les annes 90. Ces normes constituent un label de confiance pour les entreprises leurs permettant des changes de donnes en toute scurit.

1.3.1 Notion daudit


Laudit informatique est un examen dun SI, en tout ou partie, pour porter un jugement sur celui-ci. Il consiste gnralement sappuyer sur un tiers de confiance, plus prcisment gnralement une socit spcialise en scurit informatique, afin de valider les moyens de protection mis en uvre, au regard de la politique de scurit. Un audit de scurit informatique est ralis selon une approche bien dfinie et identifie selon la collaboration des audits c..d. les sites sur lesquels on applique laudit. Audit Boite blanche : Un audit boite blanche est un audit de scurit dont les informations sont fournies par le client. Il permet de raliser dune manire totalement transparente, une vue complte de la scurit mise en place sur les plans technique et organisationnel. Audit Boite noire : A linverse de laudit boite blanche, laudit boite noire est un audit de scurit qui se fait laveuglette. Le client ne donne pas dinformations concernant son SI. Concrtement, un audit boite noire permet davoir une vue complte de la scurit sur le plan technique.

1.3.1.1 Phases daudit scurit informatique


La mission daudit est subdivise, principalement, en deux phases sont les suivantes : Laudit organisationnel physique : il reprsente une approche mthodologique base sur une batterie de questions prtabli quon doit avoir les bonnes rponses aprs une srie de runions avec les responsables. Ces questions doivent aboutir une valuation indpendante et pragmatique des failles et des risques encourus au niveau du SI. Le jeu de question, qui peut tre nonc, est de type : Qui soccupe des sauvegardes ? Comment sont-elles planifies ? Qui a accs la salle des serveurs ? Combien de jeux de cls existe-t-il ? Qui les dtient ? Quest-il prvu en cas de panne de courant ? Ces 19

Chapitre 1

Concepts gnraux de la scurit

questions sont classes par thmes ou par domaine de scurit savoir scurit physique, contrle daccs, pannes et erreurs humaines,...etc. On nest pas appel crer ses propres questions mais plutt dutiliser celles qui proviennent des normes et des mthodes reconnues lchelle internationale afin de suivre une mthodologie formelle. Laudit technique : il correspond une suite logique de laudit organisationnel qui sert dcouvrir les failles grce un ensemble de tests. En pratique, un audit technique concerne les composants du systme dinformation. Il sagit dune validation dune architecture de scurit, tests de vulnrabilits internes et/ou externe, validation du code, tels que faille dans une application web, contrle daccs trivialetc., et validation de la scurit dun nouveau primtre, savoir un firewall, un site business, dun extranet et dun accs Internet dun systme VPN. Dans une approche idale, laudit technique suit une tude organisationnelle et physique permettant davoir une vue globale de ltat de scurit du systme dinformation et didentifier les risques potentiels. Ce nest quaprs que lon peut passer la recherche de vulnrabilits ou les tests intrusifs, internes et externes, qui peuvent analyser le niveau de protection de linfrastructure face aux attaques notamment celles qui exploitent des failles logicielles connues.

1.3.2 Types daudit


On distingue trois types daudit sont les suivantes : Laudit de vrification : il dtermine la situation dans laquelle se trouve le SI plus prcisment lorganisation, la configuration, lexploitation, les comptences, les protocoles utiliss,etc. Laudit dagrment : il permet de vrifier dans quelles mesures le systme dinformation, les rgles de contrle interne et les moyens techniques sont conformes un rfrentiel prdfini selon des normes et des mthodologies. Laudit intrusif : il cherche connaitre les failles du SI, savoir accs aux serveurs, politique des mots de passe,etc., et les moyens de prvention et de protection mis en place.

1.3.3 Lobjectif de laudit


Quel que soit le type de laudit, interne ou externe, contractuel ou lgal,etc., la finalit est toujours de porter un jugement sur le management du SI et lexcution de ses 20

Chapitre 1

Concepts gnraux de la scurit

objectifs. Des audits sont ncessaires suite la mise en place initiale d'une politique de scurit, puis rgulirement pour s'assurer que les mesures de scurit sont mises niveau et que les usages restent conformes aux procdures. Il consiste encore rpondre aux proccupations concrtes de lentreprise, notamment de ses besoins en scurit, en dterminant les dviations par rapport aux bonnes pratiques et en proposant des actions d'amlioration du niveau de scurit de son infrastructure informatique.

1.3.4 Les normes et les mthodes daudit


Parmi toutes les tches qui incombent aux R.S.S.I dans les organismes privs ou publics, celle qui consiste btir une politique des scurit cohrente prenant en compte les aspects humains, organisationnels et juridiques est certainement la plus difficile. Une telle politique doit se baser sur une mthode bien spcifique. En effet, il existe de nombreuses normes et mthodes sue les quelles se basent les missions daudit de la scurit des SI mais il avait toujours une confusion entre norme et mthode pourtant le choix dune ou plusieurs normes et mthodes dorganisation ou dvaluation de la scurit savre indispensable pour mettre en place une politique de scurit cohrente, homogne et efficace au sein dune entreprise, a fortiori lorsquil sagit dun groupe dcentralis, multi mtiers et international. Une norme, organisationnelle ou technique, a un objet souvent trs vaste et sappuie gnralement sur des concepts ou des notions gnrales. Le champ dapplication de chaque concept doit alors tre prcis pour que la norme puisse tre applique efficacement [5]. Par contre une mthode est un moyen darriver efficacement un rsultat souhait et prcis. Ce souhait tant souvent formul dans une norme, on voit que souvent la mthode sera loutil utilis pour satisfaire une norme [6].

1.3.4.1 Pourquoi choisir une norme ou une mthode ?


Le choix dune norme ou dune mthode de scurit prsente un certain nombre davantages ; ce choix permet dobtenir une vision globale et cohrente de la scurit, de fournir un rfrentiel et des concepts communs tous les acteurs, de mme, il permet davoir un cadre commun pour grer les risques, de proposer des parades adaptes aux risques, et enfin damliorer la sensibilisation des utilisateurs.

21

Chapitre 1

Concepts gnraux de la scurit

1.3.4.2 Les mthodes daudit


Dans cette sous-section, on va focaliser la prsentation des mthodes daudit les plus rpondues savoir les mthodes EBIOS, MARION, MEHARI et CRAMM ainsi que le rfrentiel COBIT.

a) Mthode EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) est une mthode tablie par la DCSSI (Direction Centrale de la Scurit des Systmes d'Information) pour identifier les besoins de scurit d'un SI. La DCSSI la prsente comme un outil d'arbitrage au sein des directions gnrales. Elle s'organise en 4 tapes principales sont les suivantes : tude du contexte, Expression des besoins, tude des risques, Identification des objectifs de scurit. Elle se prsente sous la forme d'une brochure tlchargeable et d'un logiciel dont l'obtention est gratuite [7].

b) Rfrentiel COBIT
Bien connu des membres de l'ISACA, le rfrentiel de gouvernance des systmes d'information COBIT couvre une bonne partie des domaines de l'ISO 17799. COBIT tant vocation plus large, il gre l'information au travers un grand nombre de critres savoir lefficacit, efficience, confidentialit, intgrit, disponibilit, conformit et fiabilit. En regard, l'ISO 17999 se limite la confidentialit, l'intgrit la disponibilit et la conformit [8].

c) MARION
La mthode MARION est une Mthodologie dAnalyse de Risques Informatiques Oriente par Niveaux. Il sagit dune mthodologie daudit, qui, comme son nom lindique, permet dvaluer le niveau de scurit dune entreprise (les risques) au travers de questionnaires pondrs donnant des indicateurs sous la forme de notes dans diffrents thmes concourant la scurit. Lobjectif est dobtenir une vision de lentreprise audite la fois par rapport un niveau jug correct , et dautre part par rapport aux entreprises ayant dj 22

Chapitre 1

Concepts gnraux de la scurit

rpondu au mme questionnaire. Le niveau de scurit est valu suivant 27 indicateurs rpartis en 6 grands thmes, chacun deux se voyant attribuer une note de 0 4, le niveau 3 tant le niveau atteindre pour assurer une scurit juge correcte. A lissue de cette analyse, une analyse de risque plus dtaille est ralise afin didentifier les risques (menaces et vulnrabilits) qui psent sur lentreprise. La mthode se droule en 4 phases distinctes sont les suivantes: Prparation : Durant cette phase, les objectifs de scurit sont dfinis ainsi que le champ daction et le dcoupage fonctionnel permettant de mieux drouler la mthode par la suite. Audit des vulnrabilits : cette phase voit le droulement des questionnaires ainsi que le recensement des contraintes propres lorganisme. Analyse des risques : cette phase voit lexploitation des rsultats prcdente et permet deffectuer une sgrgation des risques en Risques Majeurs (RM) et Risques Simples (RS). Plan daction : Durant cette ultime phase, une analyse des moyens mettre en uvre est ralise afin datteindre la note 3, objectif de scurit de la mthode, suite aux questionnaires, les tches sont ordonnances, on indique le degr damlioration apporter et lon effectue un chiffrage du cot de la mise en conformit [9].

d) CRAMM
Cest une mthode de gestion du risque impos par le gouvernement britannique. Elle est exhaustif contenant plus de 3000 points de contrle et donc adapte de grosses entreprises [10].

e) MEHARI
La mthode MEHARI (MEthode Harmonise d'Analyse de RIsques) est propose par le CLUSIF (Club de la Scurit des Systmes d'Information Franais). Elle est destine permettre l'valuation des risques mais galement le contrle et la gestion de la scurit de l'Entreprise sur court, moyen et long terme, quelle que soit la rpartition gographique du systme d'information. La mthode MEHARI s'articule sur 3 types de plans : Le PSS (Plan Stratgique de Scurit) qui fixe les objectifs de scurit et les mtriques et qualifie le niveau de gravit des risques encourus,

23

Chapitre 1

Concepts gnraux de la scurit

Les POS (Plans Oprationnels de Scurit) qui dterminent, par site ou entit gographique et les mesures de scurit mettre en place tout en assurant la cohrence des actions choisies. Le POE (Plan Oprationnel d'Entreprise) qui permet le pilotage de la scurit au niveau stratgique par la mise en place d'indicateurs et la remonte d'informations sur les scnarios les plus critiques. MEHARI remplace MARION qui n'est plus dveloppe [11].

1.3.4.3 Les normes


Nous allons prsenter quelques rfrentiels normatifs daudit, la norme ISO17799, ISO 13335, ISO 27001 et ISO 27002.

a) ISO 17799
Le standard ISO 17799 est un ensemble de recommandations pour la gestion de la scurit de l'information issu de la norme britannique BS7799 (British Standard). Il couvre autant les aspects techniques, administratifs que juridiques et peut tre utilis par n'importe quel organisme quelque soit son activit et sa dimension. Ces aspects sont regroups en dix grandes thmatiques [12].

b) ISO 13335
Cest un guide pour la gestion de la scurit du rseau. Il est centr sur les principes de la gestion de scurit du rseau et sur la minire dont les organisations peuvent tablir un cadre pour protger et grer la scurit des systmes de technologies de linformation (TI) [13].

c) ISO 27001
Specification for information Security management Systems, labore par le British Standard Institute (cest la partie 2 du BS 7799). Elle explique comment appliquer ISO 17799 et impose une dmarche pour ltablissement des phases dimplmentation, dvaluation, de maintenance et damlioration dun systme de management de la scurit de linformation. [14].

24

Chapitre 1

Concepts gnraux de la scurit

d) ISO 27002
La norme ISO/CEI 27002 est une norme internationale concernant la scurit de l'information, publie en 2005 par l'ISO, intitul Code de bonnes pratiques pour la gestion de la scurit de l'information. La norme ISO/CEI 27002 est compos de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans ses aspects oprationnels en runissant les objectifs de scurit et les mesures prendre [15].

1.4 Analyse et discussion


Dans ce qui prcde, une tude bibliographique a t mene o on a prsent quelques mthodologies daudit de scurit afin de choisir une mthode, en se basant sur des critres, adapt aux objectifs de cette mission. Les critres de choix dune mthode danalyse des risques sont trs varis. Sachant quon peut fonder ce choix sur plusieurs critres objectifs savoir la facilit dutilisation de la mthode, la complexit de son pragmatisme, sa compatibilit avec les normes nationale ou internationale, son cot de mise en uvre, la taille de lentreprise ou lenvironnement de son implmentation en plus la langue de la mthode. Car il est essentiel de maitriser le vocabulaire employ, la qualit de la documentation fournie avec la mthode. De plus, ce choix peut se baser sur la popularit de la mthode puis quune mthode trs connue offre base solide de personnels qualifis pour la mettre en uvre. Il existe environ 200 mthodes de gestion des risques dont plus de 80% sont abandonnes comme les mthodes MELISA et MARION ou bien elles sont confidentielles. On a cit prcdemment les mthodes les plus utilises et les plus rpondues mais la question qui se pose parmi ces mthodes quelle est la meilleure? La rponse dpend surtout du type de lentit audit et son domaine dactivit qui entrera en ligne de compte pour le choix de la mthode approprie. En effet, on peut choisir une mthode selon la nature du rsultat attendue puisque les mthodes danalyse des risques peuvent avoir une approche qualitative ou quantitative, ou une combinaison des deux en fonction des circonstances. Lestimation qualitative utilise une chelle dattributs qualificatifs pour dcrire lampli tude des consquences possibles, qui peuvent tre faible, moyenne ou haute, et la probabilit que ces consquences surviennent. Lavantage majeur de lestimation qualitative rside dans sa comprhension aise par tous les membres du personnel dune organisation alors que son inconvnient principal reste la dpendance au choix initial subjectif de lchelle de

25

Chapitre 1

Concepts gnraux de la scurit

qualification. Quant lestimation quantitative, elle utilise une chelle de valeurs numriques pour valuer les consquences ainsi que la probabilit de leur survenance laide de diverses sources de donnes. Mais chaque mthode a ses propres caractristiques qui nous mne choisir une mthode A et non pas la mthode B. La mthode EBIOS, par exemple, malgr quelle est une mthode danalyse des risques, elle ne fournit pas de recommandations ni de solutions immdiates aux problmes de scurit. Elle ne possde pas une dmarche quantitative qui nous permet de valoriser et mesurer le degr de risque pour arriver le minimiser. EBIOS ne possde pas un outil de contrle et dvaluation de la mthode, cest une dmarche lourde et difficile utiliser car elle distingue peu loprationnel ou les actifs de lorganisation du reste de lorganisation. COBIT est un rfrentiel de bonnes pratiques pour cela elle nest classifie pas comme une mthode. Il est plus orient la gouvernance des SI quau processus danalyse des risques. En plus, il ne possde pas de support logiciel ni une base de connaissance qui comporte les questionnaires. La mthode MARION est trs ancienne, elle a t abandonne en 1980 au profit de la mthode MEHARI. La mthode CRAMM est connue par son exhaustivit et sa lourdeur, et elle est rserve aux grandes entreprises puisquelle recourt prs de 3000 points de contrle. Chacune des mthodes daudit possde ses points forts et ses points faibles mais dans ce qui suit on va choisir la mthode la plus rpondue et la plus adapt pour notre mission daudit.

1.5 Choix de la mthode MEHARI


Retenir une norme ou une mthode est un choix souvent structur et durable pour lentreprise concernant le cot, les ressources et lorganisation. Lentreprise doit faire au pralable une analyse fine des ses besoins, de ladquation des mthodes existantes ses besoins et de ses ressources disponibles. Certaines entreprises prfrent au contraire dvelopp des mthodologies plus spcifiques ou mieux adaptes leurs besoins mais aussi plus difficiles entretenir et faire voluer. Selon notre contexte de travail et en tenant compte de la spcificit du centre Informatique du Ministre de la Sant Publique (CIMSP), on a choisi la mthode MEHARI pour notre mission daudit vu que cette mthode est une dmarche qui fournit un cadre mthodologique, des techniques, des outils et des bases de connaissances pour analyser et classifier les enjeux majeurs. En premier lieu, elle nous permet dtudier les vulnrabilits, rduire la gravit des risques et piloter la scurit de linformation. Le choix de cette mthode non pas parce quelle est la bonne mthode de management plutt parce quelle a une dmarche qui intgre tout le ncessaire. Cette 26

Chapitre 1

Concepts gnraux de la scurit

dmarche permet dtudier le contexte de lentreprise savoir ses enjeux, sa taille, son organisation centralise ou dcentralise, son caractre national ou international. MEHARI comporte une riche palette de situations de risques et les moyens convenables pour rduire leur gravit. Ceci nous mne dire que la documentation MEHARI est complte et modulaire vue la disponibilit de ses guides ou de ses manuels. Sa boite outils et sa riche base de connaissance sont btis pour permettre une analyse prcise des risques dans des diffrents contextes dentreprises. Cest une mthode adaptable, souple de plus elle donne la possibilit de dcomposer le primtre tudier en fonction de plusieurs paramtres tel que la criticit des donnes et des types de systmes afin de se focaliser sur les environnements les plus sensibles. Elle est structure, compatible avec les modles de gouvernance des risques et respecte les aspects rglementaires et les contrles ISO.

1.6 Conclusion
Dans ce chapitre, on a prsent les principaux concepts de base dans le domaine de la scurit informatique. Dabord, on a dfinie la scurit de linformation et la scurit des systmes dinformations. Ensuite, on a dtaill les principaux menaces et risques de la scurit, les objectifs de la scurit et le but de mettre en place une politique de scurit. En plus, on a identifi la notion daudit, ses objectifs et ses mthodes les plus connus. De mme, on a labor une tude comparative o on a analys et discut les normes, les mthodes, les rfrentiels, ses avantages et ses inconvnients. Cette comparaison nous a permis de choisir la mthode MEHARI selon les critres de base et selon les orientations de lentreprise daccueil.

27

Chapitre2

Etude de lExistant

Chapitre 2

Etude de lexistant
2.1 Introduction
Dans ce chapitre, on va tout dabord prsenter lorganisme daccueil, ses missions et son organisation gnrale ainsi que larchitecture globale de son rseau national. Ensuite, on va mettre laccent sur son architecture locale des tablissements de sant publique rattachs, dont ils intgrent le Backbone national. Enfin, on va essayer didentifier les mesures de scurit mise en place au sein de ce centre.

2.2 Prsentation du CIMSP


Dans cette section, on va prsenter ltablissement daccueil, ses missions et son organisation. Sachant que cette prsentation comporte une description de toutes les directions vitale du centre ainsi quune reprsentation de son organigramme.

2.2.1 Prsentation gnrale du CIMSP


Cette mission daudit se droule au sein du CIMSP dont le sige social situ au 1, rue de Liberia 1002 Tunis belvdre qui est un tablissement public caractre industriel et commercial, dot de la personnalit civile et de lautonomie financire. Il est cre en 1992 par la loi N 92-19 du 3 fvrier 1992. Il est plac sous la tutelle du ministre de la sant publique. Actuellement, il compte environ 134 employs rpartis en ingnieurs, analystes et techniciens suprieurs, ainsi que de personnel administratif. Le CIMSP, rput commerant dans ses relations avec les tiers, est rgi par la lgislation commerciale. Do il est charg de llaboration et de la mise en uvre du plan informatique du ministre de la sant publique et des tablissements sous tutelle.

2.2.2 Missions du CIMSP


Depuis lanne 1994, le Ministre de la Sant Publique (MSP) a entam le projet de la rforme hospitalire qui consiste essentiellement moderniser les mthodes de gestion des hpitaux universitaires et ceci par leur conversion en Etablissement Public de Sant (EPS) ayant leur autonomie financire et par lutilisation des nouvelles technologies de linformation 28

Chapitre 2

Etude de lExistant

et de communication. Le CIMSP a jou le rle du matre duvre dans ce projet. Ainsi, le centre est charg de mettre en place le systme dinformation hospitalier en assurant toutes les tapes depuis ltude jusqu la maintenance.

Etude, dveloppement, installation et maintenance des applications du systme dinformation hospitalier. En effet, depuis 1994 le Ministre de la Sant Publique a entam le projet de la rforme hospitalire qui consiste essentiellement moderniser les mthodes de gestion des hpitaux universitaires et ceci par leur conversion en EPS ayant leur autonomie financire et par lutilisation des nouvelles technologies de linformation et de communication. Le CIMSP a jou le rle du matre duvre dans ce projet et il est charg de mettre en place le systme dinformation hospitalier en assurant toutes les tapes depuis ltude jusqu la maintenance.

Exploitation et maintenance des rseaux et du matriel informatique du rseau national de la sant (RNS). Le CIMSP est charg dadministrer le rseau national de la sant en veillant sa bonne exploitation et en le protgeant contre les dangers internes et externes. A ltat actuel, environ 60 tablissements sont connects au CIMSP via des lignes spcialises dont le dbit allait de 64 Kbits/s 4 Mo/s. Formation dans les domaines de lInternet et de la bureautique du personnel uvrant dans le secteur de la sant publique. Fournisseur des services Internet du secteur de la sant publique. En plus des services Internet (navigation, email), le CIMSP offre aux institutions de recherche relevant du Ministre de la Sant Publique des accs haut dbit (45 Mbits/s) aux rseaux de recherche (GEANT, EUMEDCONNECT), aux revues de recherche lectroniques et aux bases de donnes spcialises. Dautre part, le CIMSP a pu mettre en uvre un certain nombre de projets de tlmdecine dont notamment la tl-radiologie, la tlpathologie, la visioconfrence, etc.

2.2.3 Organisation du CIMSP


L'organisation gnrale du CIMP comprend plusieurs structures savoir : La Direction Gnrale reprsente par son Directeur Gnral qui est charge notamment de prsider le conseil dtablissement et dassurer la direction administrative, financire et technique. Lunit daudit interne : Elle est rcemment construite. Elle est charge dvaluer et de maintenir le niveau de qualit et de scurit des services du CIMSP. 29

Chapitre 2

Etude de lExistant

Lunit de formation : Elle a pour mission dlaborer et mettre en excution un plan de formation spcifique, dans le domaine de l'informatique sanitaire, l'intention des personnels administratifs et mdicaux concernes. Lunit de contrle de gestion : cette unit est charge de la gestion budgtaire du centre. La Direction des Etudes et de Dveloppements Informatiques (DEDI) : Elle est charge dassurer les tches suivantes : Mettre en uvre et actualiser les dispositions prvues dans le plan informatique et veiller en particulier son harmonisation avec les besoins d'autres dpartements ou organismes concerns. Elaborer des standards pour la conception, la ralisation et l'actualisation des procdures et des logiciels de gestion informatiss dans les diffrentes structures publiques de la sant. Concevoir, mettre en place et grer les banques de donnes et les statistiques sanitaires nationales et particulirement les donnes concernant la carte sanitaire. Direction de lexploitation, des rseaux, de la scurit et de soutien (DERSS). Elle a pour mission deffectuer les tches suivantes : Veiller l'optimisation des investissements et de l'exploitation des quipements et des logiciels informatiques acquis par le MSP et des tablissements sous tutelle. La DERSS doit particulirement veiller l'homognit et l'efficience de ces quipements et logiciels et en assurer l'exploitation et la maintenance. Identifier et couvrir les besoins du MSP et des tablissements sous tutelle en matire de traitement automatique des informations. Assurer l'homognit, la fiabilit, la scurit et la confidentialit du systme d'information des structures publiques de sant. Donner des conseils et fournir des services en matire d'informatique hospitalire tout autre organisme sanitaire, public ou priv, national ou tranger, moyennant rmunration. La Direction des Affaires Administratives et Financires (DAAF) est charge de la gestion des ressources humaines, matrielles et financires du centre.

30

Chapitre 2

Etude de lExistant

La figure 2.1 illustre lorganigramme du CIMSP sur lequel sarticule son systme organisationnel. Cette structure reprsente la nouvelle version qui est en cours de mise en place dans la CIMSP depuis quelques mois.

31

Figure 2.1.Organigramme CIMSP.

32

Chapitre 2

Etude de lExistant

2.3 Prsentation de larchitecture rseau du CIMSP


Larchitecture du rseau global du CIMSP est compose de deux types savoir larchitecture du rseau nationale de sant et larchitecture locale des tablissements de sant. Cette architecture globale intgre des liens avec le Backbone national qui relie le CIMSP avec les tablissements de sant.

2.3.1 Architecture du rseau nationale de sant


La figure 2.2 prsente une vue globale sur le rseau national de la sant administr par le CIMSP.

Figure 2.2.Rseau national du CIMSP.

Le service Rseaux du CIMSP gre linfrastructure en matire des rseaux dont dispose les tablissements relevant du MSP. Cette infrastructure est compose essentiellement des rseaux tendus (WAN) en toile constitue denviron 160 sites. Le CIMSP gre tout le trafic chang entre les diffrentes structures publiques de la sant puisque toutes les connexions sont supervises par le centre qui assure la gestion des connexions haut dbit. En effet, le RNS est administr par le CIMSP, essentiellement par le service rseaux.

33

Chapitre 2

Etude de lExistant

Ce rseau national connecte plusieurs tablissements incluant le MSP, en plus le CIMSP est le Fournisseur de Services Internet (FSI) ses clients, qui sont les institutions relevant du Ministre de la sant public, via lAgence Tunisienne de lInternet (ATI) par six lignes spcialises de 1 Mbps chacune. Le CIMSP propose diffrents types de connexions aux tablissements sanitaires. Le choix se fait selon la localisation gographique de ltablissement ainsi que ltendu de son rseau en terme de machines connectes. La liaison spcialise (LS) : Les diffrentes institutions sont relies au CIMSP via des LS. Ce type de liaison permet de disposer d'un rseau de communication permanent. De mme, il permet d'changer tous type de donnes par un canal unique exclusivement rserv la sant public. Ce trafic peut tre des donnes informatiques, photo, vido (visioconfrence), et faxetc.

Tout le trafic du RNS passe par le CIMSP, on distingue trois types de trafic : Le trafic destin Internet : Navigation, Mail, visioconfrence,...etc. Le trafic destin aux partenaires : Applications CNI (Centre National d'Informatique), Applications TTN (Tunisie Trade Net), ...etc. Le trafic interne : Applications CIMSP, Administration distance des quipements rseaux (Serveurs, routeurs, switchs, ...), diffusion de donnes, Workflow, ...etc.

Dans la figure 2.3, on prsente une vue globale de larchitecture du RNS et des liaisons avec les partenaires qui sont lATI et le CNI.

CNI

Vers partenaire

ATI

CIMSP

Vers Internet (via ATI)

Vers tablissements (via BBN)

Internet

Vers CIMSP (via BBN)

BackBone Nationale (BBN) Vers CIMSP (via BBN)

Vers CIMSP (via BBN) Etablissement de sant

Etablissement de sant

Figure 2.3.Architecture globale du rseau national de la sant.

34

Chapitre 2

Etude de lExistant

2.3.2 Architecture locale des tablissements de sant


Les rseaux locaux sont installs dans la plupart des tablissements de sant, mais la taille varie d'un tablissement un autre (de quelques htes des centaines de htes) selon la catgorie de l'tablissement (Centre Hospitalier Universitaire, Institut National, Hpital Rgional, Hpital de Circonscription, Direction Rgionale de la Sant, Centre de la Sant de Base, Groupement de la Sant de Base, Ecole Suprieure des Sciences et Techniques de la Sant, Ecole des Infirmiers,etc.). Dans un centre de sant de base, par exemple, on trouve un simple commutateur qui assure la communication entre 3 ordinateurs, alors que dans un Centre Hospitalier Universitaire des rpartiteurs et sous rpartiteurs sont interconnects par des fibres optiques dont chaque sous rpartiteur est compos de plusieurs commutateurs. Dans la figure 2.4, on prsente larchitecture type dun rseau local dun tablissement de la sant publique.

Htes Sous rpartiteur Sous rpartiteur PC

Routeur (Cisco) Htes

Modem

Rpartiteur Gnral Sous rpartiteur LS vers CIMSP

Serveurs (Applications, proxy, ..)

Htes

Figure 2.4.Architecture du rseau local dun tablissement de la sant.

35

Chapitre 2

Etude de lExistant

2.3.3 Le Backbone CIMSP


Le BackBone est la partie centrale du rseau du centre qui permet de relier les diffrents tablissements au CIMSP. Le rseau du BackBone est compose de 7 nuds couvrants tout le territoire national.

2.3.3.1 Prsentation
Le CIMSP est le fournisseur accs Internet (FAI) des tablissements de la sant. Il offre en particulier les services mail et navigation. Et comme tous les FAI de la Tunisie, le CIMSP est li lATI par des LS de capacit 64 Kb/s pour le service mail et 2 autres de 1Mb/s chacune pour la navigation et les autres services. Dautre part des LS dont le dbit varie selon le type de connexion assurant le lien entre les tablissements de sant au Backbone du CIMSP.

2.3.3.2 Types de liaisons


On distingue 2 types de liaison LS au Backbone CIMSP sont les suivantes : Des tablissements sont lis directement au CIMSP tels que le sige du Ministre de la sant, CHU Charles Nicolle, CHU Rabta, Institut Pasteur,etc. Dans les deux extrmits la LS est raccorde un modem puis un routeur. Dautres sont lis via le BackBone National (BBN) cest rseau national compos de 9 nuds et couvre le territoire tunisien. Chaque tablissement est reli avec une LS au BBN dau moins 64 Kb/s. De mme le CIMSP est li au BBN aussi par une LS de 1Mb/s. Sur demande de CIMSP, les techniciens de la TUNISIE TELECOM font le routage de ces LS sur celle du CIMSP.

2.4 Lexistant en matire de scurit


Suite une analyse documentaire et aux diffrents entretiens avec les responsables, on a pu identifier un certains nombres dactions de scurit internes existantes savoir: Le Centre dispose dune salle technique relativement scurise regroupant les infrastructures sensibles (serveurs, routeurs,etc.) en dlimitant les accs seulement aux personnes ayant droits. Existence dun serveur antivirus constamment mis jour permettant la protection de tous les postes de travail.

36

Chapitre 2

Etude de lExistant

Une intgration en entre et en sortie danti-virus et danti-spam au niveau de la messagerie. Des pare-feu centraux redondants sont mis en place. Existence des zones dmilitarise (DMZ) hbergeant les serveurs proxy, web,etc. Des rgles de filtrages ont t spcifies au niveau du pare-feu et des listes de contrle daccs ont t arrtes au niveau des routeurs. Certains types danomalies et dincidents dexploitation sont consigns dans une base de donnes. Existence dun comit restreint de scurit qui soccupe essentiellement de linstallation de lantivirus, des clients VPN et de loutil ssh au niveau des hpitaux. Existence dun inventaire partiel des ressources (quipement seulement). Le personnel du site est inform partiellement de ses droits et devoirs en matire de scurit du SI. Existence des "Access Control List" (ACL) au niveau des proxy. Existence dun groupe lectrogne pour alimenter la salle technique en cas de coupure de llectricit. Existence des extincteurs dincendies au niveau de la salle machine. Existence des dtecteurs dhumidit au niveau de la salle machine Utilisation exclusive des commutateurs au lieu des concentrateurs. Existence d'un inventaire partiel des ressources (quipement seulement). Actuellement les administrateurs du CIMSP utilisent des outils divers et htrognes pour la supervision et ladministration des quipements du Rseau National de la Sant. Ils utilisent aussi frquemment la ligne de commande (Ping, Telnet, SSH,etc.) sous Windows, linux et dautres systmes dexploitation. Parmi les outils utiliss actuellement : OSSIM : cest une solution open source offrant une infrastructure pour le monitoring temps rel de la scurit rseau (dtection dintrusion et analyses statistiques). Ses objectifs sont ; de fournir une plateforme centralise, fournir une console dorganisation et damliorer la dtection et laffichage des alarmes de scurit. OSSEC : cest un dtecteur dintrusion de type HIDS (Host-Based Intrusion Detection System), il est lun des HIDS les plus utiliss, trs facile daccs tant pour linstallation que pour lutilisation. NINO : cest une solution de gestion de rseau pour contrler des routeurs, des commutateurs, des serveurs et des applications de RNS. En utilisant la surveillance en 37

Chapitre 2

Etude de lExistant

temps rel, l'Evnement surveillant et rapportant la sant et le statut du rseau peut tre surveill. NINO est une solution base par le Web. Il emploie le protocole SNMP. Il tourne sur un serveur Web et peut tre accd par n'importe quel ordinateur avec un web browser. NINO provient du monde dUnix, cest un paquetage contenant des modules en Perl sur le serveur et les applets Java pour linterfaage. Il emploie un serveur Web pour prendre soin de l'interface utilisateur. Les services de NINO sont des processus de fond pour prendre soin de la surveillance et de la manipulation d'vnement. Les services de NINO sont employs pour recevoir des captures de SNMP et pour collecter et surveiller les donnes. Toutes les captures sont stockes comme vnements dans la base de donnes. Tous les vnements peuvent galement tre traits en utilisant event action . Toutes les donnes de surveillance sont stockes et peuvent tre employes pour crer des rapports, des graphiques ou des vues de statut. MRTG : Multi Router Trafic Grapher (MRTG) est un logiciel dvelopp sous licence GNU/GPL. Ce logiciel permet de crer des graphiques sur le trafic rseau. Il utilise le protocole SNMP pour interroger des quipements rseaux tels que des routeurs, commutateurs, ou bien encore des serveurs. Syslog-ng : Syslog-ng (syslog next generation) est un logiciel gratuit de collecte de journaux systmes fonctionnant sur des systmes tels que Linux, IBM-AIX, Sun SOLARIS, HP-UX, FreeBSD, PuTTY : Cest un client SSH, Telnet, rlogin, et TCP. Il offre la possibilit de se connecter de manire scurise un serveur depuis un PC. Tout le trafic est encrypt et les informations de login (username/password) ne peuvent pas tre interceptes par un tiers. Il tait l'origine disponible uniquement pour Windows, mais il est prsent port sur diverses plateformes Unix (et non-officiellement sur d'autres plateformes). Cest un logiciel open source, sous une licence de type MIT.

2.5 Conclusion
Dans ce chapitre, on a tout dabord dcrit lenvironnement de droulement de notre mission daudit. On a commenc par une prsentation du CIMSP en focalisant ses missions, son organisation. Ensuite, on a prsent larchitecture de son rseau national ainsi que son architecture locale de ses tablissements de sant dont on a parl du BackBone national de sant. Enfin, nous avons dcrit les diffrentes mesures de scurit existante dans le centre. 38

Chapitre 3

Audit Organisationnel et Physique

Chapitre 3

Audit Organisationnel et Physique


3.1 Introduction
Le SI est gnralement dfini par lensemble des donnes et des ressources matrielles et logicielles de lentreprise permettant le stockage et lchange des donnes. Ce SI reprsente un patrimoine essentiel de lentreprise qui ncessite dtre protg. Le point de dpart de ce travail daudit consiste dterminer des personnes interroger pour lanalyse du questionnaire bas sur la mthode MEHARI. Ensuite, on va essayer de dterminer le niveau de maturit par rapport la norme ISO 17799 : 2005. Enfin, on va sorienter lidentification des vulnrabilits du systme audit.

3.2 Objectifs
L'objectif d'un audit organisationnel de scurit est d'tablir un tat des lieux complet et objectif du niveau de scurit du SI du DERSS sur les plans organisationnels, procduraux et technologiques et de dterminer les dviations par rapport aux bonnes pratiques des normes ISO. Cette phase daudit est base sur un questionnaire normalis de la mthode choisie en se rfrant la base de connaissance MEHARI. Ce questionnaire est complt par les personnes concernes du domaine audit, lies au primtre de scurit.

3.3 Approche adopte


Lapproche qui sera adopte consiste mesurer le niveau de maturit par rapport la norme ISO17799 : 2005 ou 27002 en se basant sur la mthode MEHARI [16] qui sinspire de cette norme. Cette mthode dfinie des domaines de responsabilits numrots de 1 12, on va utiliser 9 domaines de scurit pour couvrir notre primtre audit. Ces domaines sont les suivants : Lorganisation La scurit physique des sites La scurit physique des locaux Larchitecture et la continuit de service du rseau tendu intersites Larchitecture et la continuit de service des rseaux locaux Lexploitation des rseaux

39

Chapitre 3

Audit Organisationnel et Physique

Larchitecture systme et la scurit logique Lenvironnement de travail Les aspects juridiques et rglementaires.

Aprs, on va dterminer le niveau de maturit selon la norme ISO 17799 renomm 27002. Cette dernire comporte 11 chapitres o chaque chapitre prsente un thme de scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur les mesures de scurit mettre en uvre, et les contrles implmenter.

3.4 Dtermination des personnes interroger


On retient des types dutilisateurs bien distincts pour la DERSS, qui correspondent aux diffrents types de personnes rencontrs. Ceci permet dinterroger les personnes selon leur domaine de connaissances et selon le primtre daudit : les directeurs, les ingnieurs, les analystes, ressources humaines et les ouvriers.

3.5 Analyse de questionnaire daudit


On retient le questionnaire daprs la base de connaissance de MEHARI, ce questionnaire est divis en 9 domaines cits prcdemment. Dans cette section, on va prsenter le schma daudit de notre systme. Ensuite on va dcrire les composants du questionnaire en matire de service et sous service. Enfin on va analyser les rsultats du questionnaire tabli au sein du CIMSP.

3.5.1 Elaboration du schma daudit


Avant mme dengager le processus danalyse et dvaluation des services de scurit, la premire question poser est celle didentifier les solutions distinctes analyser ou auditer. Cest le but de ce que MEHARI appel le plan daudit ou schma daudit.

40

Chapitre 3

Audit Organisationnel et Physique

Tableau 3.1.Schma d'audit.

3.5.2 Evaluation de la qualit des services bases sur les questionnaires MEHARI
Les questionnaires comprennent un lot de questions auxquelles il est demand de rpondre par oui (1) ou par non (0) en se basant sur des conventions de cotation et de pondration quon va les tudier ultrieurement. Lexemple ci-dessous est un extrait du questionnaire relatif au domaine la scurit des systmes et de leur architecture. Chaque domaine comporte plusieurs services et chaque service comporte plusieurs sous domaines. Les questions de chaque sous service sont axes sur 3 mesures savoir des questions axes sur lefficacit des mesures de scurit, des questions bases sur la robustesse des mesures de scurit et des questions axes sur le contrle ou laudit des fonctionnalits attendues du service.

41

Chapitre 3

Audit Organisationnel et Physique

Tableau 3.2.Questionnaire MEHARI.

3.5.2.1 Les services de scurit


Dans cette sous section, on va dfinir les services et les sous services de scurit selon la mthode MEHARI. Chaque domaine de scurit est compos de plusieurs services et chaque service est constitu de plusieurs sous services.

a) Dfinition des services de scurit


Un service de scurit est une rponse un besoin de scurit, exprime en termes gnriques et fonctionnels, dcrivant la finalit du service gnralement en rfrence certains types de menaces. Dans la figure 3.2 du questionnaire, on identifie 07A contrle daccs aux systmes et application comme service.

b) Dfinition des sous-services de scurit


La fonction assure par un service de scurit peut, elle mme, ncessiter plusieurs lments complmentaires, que lon pourrait considrer comme des sous-fonctions. Un service de scurit peut ainsi lui-mme tre constitu de plusieurs autres services de scurit pour rpondre un besoin ou une finalit dtermine. Chacun des constituants est un sousservice de scurit du service en question. Dans la figure 3.2, le sous service est 07A01 Gestion des profils daccs.

42

Chapitre 3

Audit Organisationnel et Physique

c) Qualit dun service de scurit


Nous valuerons un service de scurit en faisant une mesure globale de sa qualit, cette mesure globale value 3 paramtres sont les suivants : Lefficacit du service : lefficacit mesure la capacit du service assurer effectivement la fonction demande face des acteurs ayant plus ou moins de forces ou des circonstances plus ou moins courantes. La robustesse du service : La robustesse dun service mesure sa capacit rsister aux actions ou vnements se traduisant par le contournement ou linhibition du fonctionnement attendu tels que interruption volontaire ou arrt de lquipement assurant le service, panne non dtect, contournement du contrle par une voie dtourne, altration des fonctionnalits,etc. Mise sous contrle du service: mesure la capacit de lorganisme garantir la permanence dans le temps des fonctions du service : permanence des paramtrages dcids, application effective des procdures, maintien de la pertinence et de la cohrence.

3.5.2.2 Systme de pondration des questions


Certaines questions ont trait des mesures ayant un certain rle, au sens o elles contribuent la qualit de service sans, pour autant, que leur mise en uvre soit indispensable. Alors, en vue de calculer la qualit de service, une pondration classique de ces mesures reflte bien cette notion de contribution. Dans ce cas, certaines mesures, plus importantes que dautres, ont des poids diffrents et la base de connaissance MEHARI indique les poids chaque question. La moyenne pondre est alors un simple cumul des poids des mesures actives (pour lesquelles il a t rpondu affirmativement), ramen la somme des poids possibles et norm sur une chelle de 0 4. Soit la rponse la question i, le poids de la question i, la moyenne pondre. En effet, sera exprime par lexpression suivante : = 4 /

Si on applique cette expression sur lexemple ci-dessus, on aura gale : La = 4*(1*2+1*4+1*4+1*4) / 26 Do, la qualit de service est exprime par Q = = 2.15 43

Chapitre 3

Audit Organisationnel et Physique

3.5.3 La synthse par domaines de scurit


Le graphique suivant est la reprsentation globale des rsultats du tableau ci-aprs, il schmatise les 9 domaines de scurit de la mthode MEHRI ainsi que leurs moyennes.

01 Organisation de la scurit 4 12 Juridique et Rglementaire 3 2 1 11 Protection de l'environnement de travail 0 Domaine Moyenne pondr 03 Scurit des locaux 02 Scurit des sites et des btiments

07 Scurit des systmes et de leur architecture

04 Rseau tendu (intersites)

06 Exploitation des rseaux

05 Rseau local (LAN)

Figure 3.1.Reprsentation graphique des domaines MEHARI et leurs moyennes.

On remarque que la moyenne pondre na pas dpasse le 1.67 dans le domaine scurit des systmes et de leur architecture. En effet, 5 domaines de scurit nont pas atteints une moyenne de 1. Ces domaines sont lorganisation de la scurit, la scurit des locaux , le rseau tendu, lexploitation des rseaux et la protection de lenvironnement de travail.

44

Chapitre 3

Audit Organisationnel et Physique

Tableau 3.3.Moyennes des domaines de scurit et des services.

45

Chapitre 3

Audit Organisationnel et Physique

Les rsultats sont constitus des questionnaires remplis, avec les commentaires et les moyennes calcules des diffrents domaines et services.

3.6 La convergence vers la norme ISO 17799


Afin dtablir une liaison avec la norme Iso 17799 : 2005, on soriente dduire dun diagnostic MEHARI, une valuation de la conformit aux pratiques de lISO qui est possible avec la version 2 de 2007 de MEHARI vue quelle permet llaboration de tels indicateurs par lincorporation dans la base de connaissances de nouvelles questions adoptes aux pratiques recommandes et par des formules de calcul du degr de conformit chaque contrle cit dans la norme ISO . Cette phase consiste dterminer le niveau de maturit par rapport la norme et percevoir les vulnrabilits auxquelles le SI est expos. Le questionnaire est reprsent au sein de lannexe 1.

3.6.1 Le niveau de maturit par principe


On a extrait depuis le questionnaire MEHARI, les 11 chapitres de la norme ISO suivants: Politique de scurit de l'information Organisation de scurit de l'information Gestion des actifs Scurit lie aux ressources humaines Scurits physiques et environnementales Exploitation et gestion des communications Contrle d'accs Acquisition, dveloppement et maintenance des systmes d'informations Gestion des incidents Gestion de la continuit d'activit Conformit.

Le niveau de maturit par principe selon la mthode exploite est exprim par lexpression suivante : = 4 /

46

Chapitre 3

Audit Organisationnel et Physique

Chapitre
5
5.1

Niveau (de 0 4)
Politique de scurit 0

Politique de scurit de l'information


6 Organisation de la scurit de l'information

6.1 6.2 7.1 7.2

Organisation interne Tiers 7 Gestion des biens Responsabilits relatives aux biens Classification des informations 8 Scurit lie aux ressources humaines

0 0.445 0 .45 0.44 0 0 0 1,55 3.33 0 1.65 1.62 1.68 0.767 2 0.4 1 1.33 0 0.8 1.14 1.32 1.14 1.51 0.88 2.01 2.37 1.33 0

8.1 8.3 9.1 9.2 10.3 10.4 10.5 10.6 10.7 10.8 10.10 11.1 11.2 11.3 11.4 11.5 11.6 11.7

Avant le recrutement Fin ou modification de contrat 9 Scurit physique et environnementale Zones scurises Scurit du matriel 10 Gestion de l'exploitation et des tlcommunications Planification et acceptation du systme Protection contre les codes malveillant et mobile Sauvegarde Gestion de la scurit des rseaux Manipulation des supports change des informations Surveillance 11 Contrle d'accs Exigences mtier relatives au contrle d'accs Gestion de l'accs utilisateur Responsabilits utilisateurs Contrle d'accs au rseau Contrle d'accs au systme d'exploitation Contrle d'accs aux applications et l'information Informatique mobile et tltravail

47

Chapitre 3

Audit Organisationnel et Physique

12.3 12.4 13.1 13.2

12 Acquisition, dveloppement et maintenance des systmes Mesures cryptographiques Scurit des fichiers systme 13 Gestion des incidents lis la scurit de l'information Signalement des vnements et des failles lis la scurit de l'information

1.165 1 1.33 0 0

Gestion des amliorations et incidents lis la scurit de l'information 0 14 Gestion du plan de continuit de l'activit Aspects de la scurit de l'information en matire de gestion de la continuit de l'activit 15 Conformit Conformit avec les exigences lgales Conformit avec les politiques et normes de scurit et conformit technique Prises en compte de l'audit du systme d'information
Tableau 3.4.Niveau de maturit par principe.

14.1

0 0 0.24 0.73 0 0

15.1 15.2 15.3

3.6.2 Niveau de maturit par chapitre


Aprs avoir calcul les moyennes associes aux diffrents principes, on va procder lvaluation des moyennes pondres par chapitre. On a obtenue le niveau de maturit pour chaque chapitre de la norme qui reprsente une valeur chiffre entre 0 et 4. La formule utilise est la suivante : Niveau de maturit par chapitre= /

Tableau 3.5.Niveau de maturit par chapitre.

De la mme faon, on peut effectuer un calcul du niveau de maturit globale en se basant sur lexpression suivante :

48

Chapitre 3

Audit Organisationnel et Physique

Niveau de maturit goba =

Niveau de maturit par chapitre /Nombre de chapitre

Le niveau de maturit globale = 0.648

3.6.3 Reprsentation graphique


La figure 3.2 montre la reprsentation graphique des diffrents chapitres avec leurs moyennes, sous forme dune rosace des diffrents niveaux de maturit.

Politique de scurit
4

Conformit
3 2 1 0

Organisation de la scurit de l'information

Gestion du plan de continuit de l'activit

Gestion des biens

Gestion des incidents lis la scurit de l'information

Scurit lie aux ressources humaines

Acquisition, dveloppement et maintenance des systmes d'information Contrle d'accs

Scurit physique et environnementale Gestion de l'exploitation et des tlcommunications

chapitre Niveau (de 0 4)

Figure 3.2.Reprsentation graphique du niveau de maturit.

Le seuil de maturit dfinit par la norme nest pas atteint dans tous les chapitres. En effet, 4 chapitres ont un niveau de maturit qui est gal 0. Ces chapitres sont la politique de scurit, la gestion des biens, la gestion des incidents lis la scurit de linformation et la gestion du plan de continuit de lactivit. Ce qui nous mne conclure que la scurit au sein du CIMSP est sous valu et ne possde pas limportance quelle doit avoir au sein de toute organisation.

3.7 Synthse des vulnrabilits


Suite cette analyse, on va dterminer les vulnrabilits du systme tudi pour les diffrents chapitres de la norme.

49

Chapitre 3

Audit Organisationnel et Physique

Politique de scurit
On remarque labsence dune politique de scurit formelle et disponible pour tout le personnel du centre.

Organisation de la scurit du systme d'information


Le management de l'entreprise nest pas impliqu dans l'organisation de la scurit de l'information, en particulier dans l'laboration et l'approbation de la politique de scurit, la dfinition des responsabilits, l'allocation de ressources et le contrle de l'efficacit des mesures prises. Inexistence de la fonction de responsable de scurit RSSI avec dlgation formelle de la direction gnral. Absence des lignes directrices dattribution des rles et des responsabilits pour la scurit de linformation. Absence dune mthodologie et un processus relatifs la scurit de linformation. Labsence dune charte informatique prcisant les exigences dutilisation pour tous les personnels du centre. Absence des moyens de contrle relatifs l'usage d'quipements personnels Absence de note prcisant les devoirs et responsabilits du personnel et les obligations lgales, rglementaires ou contractuelles. Absence dune veille technologique en matire de scurit. Absence de sensibilisation en matire de la scurit de linformation. Absence de formation sur les problmes de scurit. Absence des clauses de scurit que devrait comprendre tout accord sign avec un tiers impliquant un accs au systme d'information ou aux locaux contenant de l'information.

Gestion des biens (des actifs)


Inexistence dun inventaire complet et jour des diffrentes ressources. Absence dun processus dattribution de la proprit chaque information et moyens de traitement de linformation un personnel dfini de centre. Manque des lignes directrices pour la classification des informations en termes de valeur, dexigences lgales, de sensibilit et de criticit.

50

Chapitre 3

Audit Organisationnel et Physique

Inexistence dune classification des ressources bases sur les 3 axes : Disponibilit, Intgrit et Confidentialit. Existence des quipements qui ne sont pas couverts par un contrat de maintenance.

Scurit lie aux ressources humaines


Absence dune note prcisant les devoirs et responsabilits du personnel. Absence dun programme de sensibilisation du personnel aux risques d'accident, d'erreur et de malveillance relatifs au traitement de l'information. Absence dun programme de formation du personnel aux rgles et mesures gnrales de protection de l'information. Le processus disciplinaire en cas de manquement aux rgles de scurit ou de violation de procdure nest pas appliqu. Absence de procdures pour garantir que tout les informations pertinentes soient transfert au centre et correctement effacs du matriels lors de la sortie du personnel.

Scurit physique et environnementale


Absence des systmes automatiques de contrle d'accs au site placs sous contrle permanent. Linexistence dun systme oprationnel de dtection des intrusions sur le site reli un poste permanent de surveillance. Les droits d'accs permanents ou semi-permanents, notamment pour une dure dtermine, aux locaux sensibles ne sont pas dfinis par rapport des "profils" types prenant en compte la fonction et le statut, plus prcisment pour le personnel d'exploitation informatique ou Tlcom, personnels des services gnraux ou de scurit, pompiers, prestataires de maintenance ou d'entretien, fournisseurs de services, stagiaires, et visiteurs,etc. Absence des procdures spcifiques de contrle pour chaque type de prestataire extrieur au service amen intervenir dans les bureaux tels que socits de maintenance, personnel de nettoyage,etc. (avoir un badge spcifique, prsence d'un accompagnateur, autorisation pralable indiquant le nom de l'intervenant,.etc). Absence dun poste de surveillance pour les dtecteurs d'humidit proximit des ressources sensibles notamment la salle machine.

51

Chapitre 3

Audit Organisationnel et Physique

Absence dune analyse systmatique et approfondie de tous les risques d'incendie ou dinondation ou de tous les risques environnementaux envisageables pour le site considr.

Linexistence dun systme de dtection automatique dincendie pour lensemble du btiment. Linexistence de moyens de contrle contre la pntration dans les locaux sensibles avec des moyens d'enregistrement photo, vido ou audio. Pour les locaux sensibles, le centre nutilise pas un systme complmentaire de vidosurveillance cohrent et complet contrlant tous les mouvements de personnes l'intrieur des locaux sensibles et permettant de dtecter des anomalies dans les comportements.

Il nexiste pas une procdure dcrivant en dtail les oprations mener, avant appel la maintenance, pour empcher que celle-ci ait accs aux donnes critiques (cls de chiffrement ou de protection de rseau, configurations des quipements de scurit,etc.).

Il nexiste pas une procdure et une clause contractuelle vis--vis du personnel de maintenance (interne et externe), spcifiant que tout support ayant contenu des informations sensibles doit tre dtruit en cas de mise au rebut.

Les personnes susceptibles de travailler en dehors des locaux de l'entreprise ne reoivent pas une sensibilisation et une formation sur les mesures appliquer pour protger les documents utiliss, leurs systmes et les donnes qu'ils contiennent.

Un systme anti-intrusion nest pas implant.

Gestion de lexploitation et des tlcommunications


La non ralisation dune revue formelle des nouvelles fonctionnalits (ou des changements de fonctionnalits) lies un nouveau logiciel ou quipement ou une nouvelle version et des risques ventuels. Les paramtrages de scurit et rgles de configuration (suppression de tout compte gnrique, changement de tout mot de passe gnrique, fermeture de tout port non explicitement demand et autoris, paramtrages du contrle des droits et de l'authentification, contrles des tables de routage,etc.) ne sont pas dfinis dans une procdure.

52

Chapitre 3

Audit Organisationnel et Physique

Les actions mener par le management en cas d'attaque par des codes malveillants tel que les alerte, le dclenchement de processus de gestion de crise,etc. ne sont pas dfinis.

Il nexiste pas un plan de sauvegarde, couvrant l'ensemble des configurations du rseau tendu, dfinissant les objets sauvegarder et la frquence des sauvegardes. Il nexiste pas un document dfinissant les rgles gnrales appliquer en ce qui concerne la protection des moyens et supports de stockage, de traitement et de transport de l'information tel que les quipements de rseau et de travail, les systmes, les applications, les donnes,etc. et les conditions requises pour l'attribution, la gestion et le contrle des droits d'accs.

Il nexiste pas un document dfinissant les rgles appliquer en ce qui concerne l'exploitation des ressources informatiques tel que les rseaux, les serveurs,etc., des services de communication lectronique.

Il nexiste pas un document dfinissant les procdures de scurit additionnelles appliquer en ce qui concerne le tltravail. Pas de mis en place un service de signature lectronique. Absence dune analyse approfondie des vnements ou succession d'vnements pouvant avoir un impact sur la scurit tel que les connexions refuses, les routages, les reconfigurations, les volutions de performances, les accs des informations ou des outils sensibles,etc.

Absence dune surveillance en temps rel ou dclanchement dalerte, contre tout accs illicite sur le rseau tendu, par le personnel. Il nexiste pas un archivage de tous les lments ayant permis de dtecter une anomalie ou un incident. Pas de Traitement des incidents du rseau tendu et rseau local. Il nexiste pas une quipe accessible en permanence, charge de recueillir les appels lis au rseau tendu et de signaler et d'enregistrer tous les incidents. Les procdures dexploitation, sauvegarde ne sont pas documentes, tenues jour et disponibles pour tous les utilisateurs concerns. Absence de processus de sparation des tches pour rduire les occasions de modification ou de mauvais usage non autoris ou involontaire des biens du centre. Absence des procdures pour la gestion des supports amovibles. La scurit des informations et des logiciels changs au sein du centre nest pas maintient.

53

Chapitre 3

Audit Organisationnel et Physique

Contrle daccs
Inexistence dune procdure formelle et crite denregistrement et de dsinscription des utilisateurs destine accorder et supprimer laccs tous les systmes et services dinformation. Absence dune politique, de gestion des droits daccs au rseau local, de gestion des droits privilgis sur les quipements du rseau et de gestion des droits daccs aux zones de bureaux, sappuyant sur une analyse pralable des exigences de scurit. Lattribution de mots de passe nest pas ralise dans le cadre dun processus formel. Absence des bonnes pratiques de scurit lors de la slection et de lutilisation de mots de passe par les utilisateurs. Manque dune politique formelle du bureau propre pour les documents papier et les supports de stockage amovibles, et une politique de lcran vide par le verrouillage de lcran par un mot de passe pour les moyens de traitement de linformation. Absence dune procdure de gestion des profils. Absence dune note ou document mis la disposition du management prcisant les devoirs et responsabilits du personnel quant l'utilisation, la conservation et l'archivage des informations et la protection du secret. Absence dun document dfinissant les rgles appliquer en ce qui concerne l'exploitation des lectronique. Le processus de prsentation par l'utilisateur de son authentifiant ne garantit pas son inviolabilit. Absence d'une liste prcise, tenue jour, et dun contrle des paramtrages de scurit et rgles de configuration avant toute mise en exploitation d'une nouvelle version dun logiciel. ressources informatiques des services de communication

Acquisition, dveloppement et maintenance des systmes dinformation


Les liens permanents et les changes de donnes, qui devant tre protgs par des solutions de chiffrement au niveau du rseau tendu, ne sont pas dfinis. Absence des procdures pour contrler linstallation du logiciel sur les systmes en exploitation.

54

Chapitre 3

Audit Organisationnel et Physique

Gestion des incidents lis la scurit de linformation


Absence des rgles de notification des incidents et failles lis la scurit de linformation permettant la mise en uvre dune action corrective, dans les meilleurs dlais. Absence dun systme de Reporting des incidents lis la scurit de linformation. Absence de la dfinition des responsabilits et des procdures fournissant rapidement des solutions effectives aux incidents de scurit. Absence dun service spcialement charg de l'archivage et de la protection des pices devant tre conserves en tant que preuves, des lments pouvant servir de justificatifs ou des archives patrimoniales.

Gestion du plan de continuit de lactivit


Les plans de continuit destins maintenir ou restaurer lexploitation et assurer la disponibilit des informations au niveau et dans les dlais requis suite une interruption ou une panne affectant les processus mtier cruciaux ne sont pas dfinis. Absence dune analyse de la criticit des diffrentes activits pour mettre en vidence les besoins de continuit de service.

Conformit
Absence des procdures appropries visant exigences garantir la conformit avec les lutilisation des

lgales, rglementaires et contractuelles concernant

logiciels propritaires Manque des procdures pour protger les enregistrements importants de la perte, destruction et falsification conformment aux exigences lgales, rglementaires et aux exigences mtier. Absence dun document prcisant les exigences, les responsabilits et les procdures appliquer afin de protger les archives importantes du centre. Absence dun document dfinissant les rgles gnrales appliquer en ce qui concerne la protection des sites vis--vis de lextrieur, les conditions requises pour accder chaque site depuis lextrieur et la protection des locaux sensibles. Absence dun document dfinissant les rgles appliquer en ce qui concerne la protection des moyens et supports de stockage.

55

Chapitre 3

Audit Organisationnel et Physique

Absence dun document dfinissant les rgles appliquer en ce qui concerne lexploitation des ressources informatiques. Absence dune vrification de la conformit technique (des tests priodiques de pntration du rseau et des audits techniques spcialiss approfondis).

3.8 Conclusion
Dans ce chapitre, on a essay de prsenter les diffrentes tapes de laudit

organisationnel et physique. Dabord, on a commenc par la ralisation du questionnaire appropri qui est constitu de 9 domaines de scurit. Ensuite, on a pass vers la norme ISO 17799 : 2005 pour dterminer le niveau de maturit du systme audit. Enfin, en se basant sur une analyse des questionnaires et des rsultats fournis, on a pu dgager les vulnrabilits identifies au niveau du systme audit. Dans le chapitre suivant, on va focaliser ltape danalyse des risques.

56

Chapitre 4

Analyse des risques

Chapitre 4

Analyse des risques


4.1 Introduction
Le concept de risque nest pas clair ni universellement reconnu alors pour cette raison quon ne parle plus de concept de risque mais plutt de concept de scnarios de risque ou situation de risque. Dans ce chapitre, on va procder sur deux approches danalyse des risques : la premire consiste analyser les situations des risques partir de lchelle de valeurs des dysfonctionnements et la deuxime consiste slectionner automatiquement les situations des risques en sappuyant sur les bases de connaissance de MEHARI. Ces deux approches sont complmentaires : la premire fera ressortir les scnarios dont les consquences seront plus proches des activits de lentreprise et la deuxime qui est plus gnrique et exhaustive fera ressortir des scnarios qui peuvent pass inaperu par une approche directe. On va commencer par la reprsentation de la mthode danalyse des risques ensuite dtailler chacune de ces deux approches.

4.2 Prsentation de la mthode danalyse de risques


MEHARI est une mthode danalyse de risques mise au point par la commission Mthodes du CLUSIF. Elle bnfice des rsultats des tudes et recherche menes soit au sein, soit lextrieur des diverses commissions du CLUSIF, soit dans dautres organismes en France ou ltranger. Elle est universelle, indpendante des organisations et des outils informatiques, matriels et logiciels installs, MEHARI peut rpondre aux besoins dorganisations complexes reposant sur des structures de management et informatiques dcentralises et peut sappliquer galement efficacement des activits simples et trs centralises. On va utiliser MEHARI par ses concepts pour analyser les divers risques qui peuvent mettre en danger le systme dinformation du CIMSP.

4.3

Analyse des risques suite une analyse des enjeux


Dans tous les actes de management, la question des enjeux se pose, ds quil y a un

choix entre plusieurs actions possibles. En matire de la scurit informatique, au lieu quon cherche optimiser les gains, lobjectif est de chercher minimiser les risques de pertes. Les enjeux de la scurit ne sont pas daccroitre les opportunits de gains mains de limiter les

57

Chapitre 4

Analyse des risques

possibilits de pertes. Cest dire que les enjeux de la scurit sont vus comme des consquences dvnements venant perturber le fonctionnement voulu de lentreprise ou de lorganisme. Alors, le souci majeur des managers de scurit est de raliser la juste proportion entre les moyens investis dans la scurit et la hauteur des enjeux de cette mme scurit. Cest dire, quil est fondamental davoir une connaissance des enjeux de la scurit et quune analyse des enjeux mrite un trs haut niveau de priorit et une mthode dvaluation rigoureuse comme la mthode MEHARI.

4.3.1 Utilit dune analyse des enjeux


Procder une analyse des enjeux est le plus souvent ncessaire, voire essentielle. La double question quon a dj cite ci-dessus doit tre pose chaque fois quune rflexion est engage dans une rflexion sur la conduite tenir pour tre slectif dans les moyens mettre en uvre et ne pas engager des dpenses l ou les enjeux sont faibles, pour viter des contraintes inutiles aux managers, pour dfinir les priorits et pour rpondre linvitable question des dirigeants en face dun budget de scurit : est-ce bien ncessaire ? [17].

4.3.2 Objectifs de lanalyse des enjeux


Lobjectif principal dune analyse des enjeux est de rpondre cette double question : Que peut-on redouter et, si cela devrait arriver, serait-ce grave ? .

4.3.3 Expression des enjeux : Echelle de valeur des dysfonctionnements et classification


La phase de lexpression des enjeux se traduit par deux principaux lments qui synthtisent le processus dvaluation des lments majeurs du CIMSP. Ces deux sont : Une chelle de valeur des dysfonctionnements potentiels. Une classification formelle des ressources du systme dinformation. La dmarche MEHARI consiste une analyse des activits et donc des processus de lentreprise ou de lorganisme, den dduire les dysfonctionnements qui peuvent tre redouts, puis dvaluer en quoi ces dysfonctionnements peuvent tre plus au moins graves, avant deffectuer, ventuellement, la classification proprement dite des informations et ressources du systme dinformation, selon la figure 4.1.

58

Chapitre 4

Analyse des risques

Figure 4.1.Processus d'analyse des enjeux.

4.3.3.1 Echelle de valeurs des dysfonctionnements


Lobjectif de cette phase est de dterminer une chelle de valeurs des dysfonctionnements significatifs des activits du centre. Cette analyse se droule en quatre tapes qui sont lidentification des activits majeurs et de leurs finalits, lidentification des dysfonctionnements redouts de chaque activit, lvaluation du niveau de gravit de ces dysfonctionnements activit par activit et enfin la dtermination et la validation dune chelle de valeurs globale au niveau de lentit.

a) Lidentification des activits majeures et leurs finalits


le CIMSP, comme on a prsent dans le chapitre prcdent, est compos de quatre grandes directions qui sont la DG, la DEDI, la DERSS et la DAAF. Le tableau 4.1

reprsente les processus majeurs de chaque direction et une description de chaque processus comme ils sont dfinis dans les documents du centre.

59

Chapitre 4

Analyse des risques

Processus majeurs du CIMSP Domaine DG (direction gnrale) Processus


Il ny a pas de processus prdfini mais des missions.

Description
-prsider le conseil de ltablissement et assurer lhomognit entre les diffrentes directions.

DEDI (direction dtude et de dveloppement informatique) DERSS (direction de lexploitation, des rseaux, de la scurit et de soutien)

-conception et dveloppement des

-Ce processus a pour objectif de matriser et suivre les activits de conception et de dveloppement des applications

applications informatiques informatiques. PRR/01 -installation et assistance des utilisateurs PRR/02 -Ce processus a pour objectif de fournir et mettre en place les Applications dveloppes et testes par le CIMSP au profit des utilisateurs des tablissements de la sant et d'assurer le suivi d'exploitation. -assistance sur site PRR/10 -Ce processus fait du correspondant le point de contact unique entre les utilisateurs du systme informatique du site hospitalier et la direction dexploitation du CIMSP de faon garantir un support de premier niveau pour lexploitation de linfrastructure informatique et un relais pour les supports de niveaux suprieurs. -tude technique concernant les rseaux et les quipements informatiques PRS/04 -Ce processus concerne lassistance, le conseil, les tudes techniques relatives aux rseaux et aux acquisitions des quipements informatiques, ainsi que leurs mise en place et leurs exploitation sur le compte du centre informatique et des tablissements relevant du ministre de la sant publique. -maintenance technique des quipements informatiques PRS/03 -Ce processus concerne la maintenance technique des quipements du centre informatique et des tablissements relevant du ministre de la sant publique et ceci latelier du CIMSP, par tlmaintenance ou bien sur site. -gestion des accs internet -ce processus a pour objet de rpondre aux demandes des PRR/03 clients portant sur laccs linternet.

DAAF (direction des affaires administratifs et financires)

-approvisionnement PRS/02

-lobjectif de ce processus est de dfinir les activits relatives


aux fournisseurs dapprovisionnement. -lobjectif de ce processus est de dfinir les activits relatives la GRH.

-gestion des ressources humaines PRS/01

Tableau 4. 1.Processus majeurs du CIMSP.

60

Chapitre 4

Analyse des risques

Suite une demande du responsable, mon systme cible o on va raliser notre audit, va tre la direction de lexploitation, des rseaux, de la scurit et de soutien (DERSS) alors, les processus majeurs et les activits ainsi que leurs description, sont illustrs dans le tableau ci dessous :

61

Division Division de lexploitation et gestion des sites

Processus DERSS -assistance sur site


PRC /101

Code

Activits
-affectation du correspondant au site

Description de lactivit
-assurer une proximit de services au site hte de faon veiller de plus prs lexcution du contrat de niveaux de service et fournir une assistance (intervention physique ou tlphoniquement) aux abonns via un point de contact unique et ce, pour toute question ou problme concernant lutilisation et le fonctionnement des produits du CIMSP. - Identification des clients effectifs, et de leurs droits daccs aux fonctionnalits du systme informatis en vue doptimiser la rpartition des ressources entre diffrents utilisateurs et en vue de leur inculquer la politique de scurit qui gouvernera lutilisation des quipements informatiques et qui limitera les accs ceux qui en ont un rel besoin, de faon bien dfinir les responsabilits de chacun des acteurs du systme et de mettre jour, si ncessaire, le niveau et les rgles de scurit de ltablissement.

PRC/102

-gestion de lannuaire des utilisateurs

PRC/103

-gestion administrative des postes de travail

-Identification, documentation, contrle, communication et


validation des caractristiques fonctionnelles et techniques des postes de travail exploits sur le site en vue dassurer loptimisation de leur utilisation et de matriser les cots de leur exploitation en offrant une base solide pour la gestion des incidents, des problmes et des changements. - Standardisation et optimisation des outils techniques (sauvegarde, scurit, systme dexploitation, licences diteurs, contrats de maintenance, administration distance ) en vue de maintenir lintgrit du systme, assurer la continuit de service et organiser la maintenance prventive et curative du parc. - Identification, classification communication et archivage des documents faisant partie de linfrastructure informatique du site. -Mettre l'abri les donnes vitales et les copies des fichiers les plus importants du systme, en dehors de celui-ci, en application de la stratgie de sauvegarde nonce dans le document dcrivant la politique de scurit retenue pour le site, et ce, pour garantir l'intgrit, la disponibilit, la protection des donnes et leur restauration en cas de sinistre - Veiller la scurit physique de la salle des serveurs et des locaux techniques annexes, composants vitaux et vulnrables du rseau local du site, pour assurer son bon fonctionnement et ses interconnections.

PRC/104

-gestion technique des postes de travail

PRC/105 PRC/106

-gestion des documents sur site -sauvegarde de donnes

PRC/107

-pilotage logique et scurit physique

62

Division

Processus DERSS

Code
PRC/108

Activits
-identification des besoins utilisateurs

Description de lactivit
- Dmarche exploratoire centre sur les clients avec une attitude dcoute afin de bien les comprendre et didentifier leurs besoins implicites ou non dclars pour prparer les futures offre du CIMSP et pour faire voluer celles existantes dans une dmarche damlioration continue.

PRC/109

-gestion des appels

- Fournir un point de contact unique pour la prise en compte des


demandes de tous les utilisateurs et ce, afin de leur permettre de tirer le meilleur des services informatiques.

PRC/110

-gestion des incidents

PRC/111

PRC/112

PRC/113

PRC/114

- Restauration, aussi rapide que possible, du service normal sur site tout en minimisant les effets ngatifs sur la bonne marche des processus mtier impacts et en identifiant les nonconformits dans la fourniture des services rendus aux utilisateurs. -gestion des escalades - Etablissement des rgles de diffusion et de routage de linformation relative une demande utilisateur pour permettre aux personnes dsignes, en fonction du niveau durgence de la demande, de suivre lvolution de la situation et de prendre les dcision ncessaires et adquates pour lamlioration de la ractivit et pour une complmentarit lassistance de premier niveau. -gestion des changements - Grer efficacement et rapidement tous les changements affectant les lments de la configuration informatique, afin den minimiser les impacts ngatifs et consquences sur les processus mtier et dabsorber les changements de ces derniers en favorisant lalignement avec les besoins utilisateurs et en rduisant la probabilit dapparition des incidents. -laboration dune enqute de satisfaction - Recueil des commentaires, jugement et perceptions des clients utilisateurs dans un site quant aux services informatiques fournies par le CIMSP. -revue mensuelle des niveaux de service - Suivi priodique des indicateurs de performances du service desk et du degr de conformit au contrat des niveaux de service. -analyse des demandes -la demande du client doit tre analyse avant lautorisation de lintervention, afin de filtrer et de rduire les activits inutiles ou interdites et pour appliquer la politique du CIMSP en matire de service surtout concernant les conventions avec les tablissements sous-tutelles.

-maintenance technique des quipements informatiques.

PRC/16

63

Division

Processus DERSS

Code
PRC/17

Activits
-intervention curative

Description de lactivit
-description des dmarches appliques par la CIMSP en matire dexcution des interventions curatives internes par lquipe du CIMSP ou externes par des sous-traitants, et ceci, sur les quipements du parc informatique du CIMSP ou bien des parcs informatiques des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien latelier du CIMSP -description des dmarchs appliques par le CIMSP en matire dexcution des interventions prventives internes par lquipe du CIMSP ou externe par des sous-traitants, sur les quipements du parc informatique du CIMSP ou bien des parcs des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien au sige du CIMSP. - elle permet de prciser les diffrents types de relations entre les tablissements de sant et le CIMSP. Le CIMSP assure l'assistance auprs des utilisateurs par le biais des correspondants informatique, ces derniers disposent des outils de communication informatique ou classique. Cette procdure a pour objectif la gnralisation des usages des services informatiques et plus gnralement daccompagner le changement. - Lobjectif de la procdure Evaluation des services CIMSP est dvaluer la qualit des services informatiques au niveau des Etablissements sanitaires. - Le test a pour objectifs de dtecter d'ventuels carts entre le comportement attendu et le comportement observ au cours des tests, ce qui limine un grand nombre des anomalies prsentes dans le logiciel et d'obtenir la confiance ncessaire avant l'utilisation oprationnelle. - elle a pour objectif daccompagner le changement et notamment les modifications apportes aux applications pour une meilleure exploitation du systme dinformation. Elle dfinie la relation entre les diffrents services de la direction dexploitation et de la maintenance, le service de formation et la direction dtude et de dveloppement Informatique.

PRC/18

-intervention prventive

-installation et assistance des utilisateurs

PRC/11

-assistance des utilisateurs

PRC/12

-valuation des services CIMSP

PRC/32

-tests de validation des applications

PRC/10

-installation des applications informatiques.

64

Division Division de soutien technique et de maintenance

Processus DERSS
-tude technique concernant les rseaux et les quipements informatiques.

Code

Activits

Description de lactivit

-maintenance

technique

des PRC/16

-analyse des demandes

quipements informatiques

PRC/17

-intervention curative

PRC/18

-intervention prventive

-la demande du client doit tre analyse avant lautorisation de lintervention, afin de filtrer et de rduire les activits inutiles ou interdites et pour appliquer la politique du CIMSP en matire de service surtout concernant les conventions avec les tablissements sous-tutelles. -description des dmarches appliques par la CIMSP en matire dexcution des interventions curatives internes par lquipe du CIMSP ou externes par des sous-traitants, et ceci, sur les quipements du parc informatique du CIMSP ou bien des parcs informatiques des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien latelier du CIMSP -description des dmarchs appliques par le CIMSP en matire dexcution des interventions prventives internes par lquipe du CIMSP ou externe par des sous-traitants, sur les quipements du parc informatique du CIMSP ou bien des parcs des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien au sige du CIMSP.

Division des rseaux et de la scurit

-tude technique concernant les rseaux et les quipements informatiques. -maintenance technique des PRC/16 -analyse des demandes -la demande du client doit tre analyse avant lautorisation de lintervention, afin de filtrer et de rduire les activits inutiles ou interdites et pour appliquer la politique du CIMSP en matire de service surtout concernant les conventions avec les tablissements sous-tutelles. -description des dmarches appliques par la CIMSP en matire dexcution des interventions curatives internes par lquipe du CIMSP ou externes par des sous-traitants, et ceci, sur les quipements du parc informatique du CIMSP ou bien des parcs informatiques des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien latelier du CIMSP

quipements informatiques.

PRC/17

-intervention curative

65

Division

Processus DERSS

Code
PRC/18

Activits
-intervention prventive

Description de lactivit
-description des dmarchs appliques par le CIMSP en matire dexcution des interventions prventives internes par lquipe du CIMSP ou externe par des sous-traitants, sur les quipements du parc informatique du CIMSP ou bien des parcs des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien au sige du CIMSP. -assurer la gestion internet pour rpondre aux exigences des clients dans les brefs dlais. -tablir un contrat avec ltablissement pour lui fournir des services internet et email. -cration, modification et remplacement des comptes internet et email. -configuration des nouveaux comptes internet et email sur les quipements. -Ltude consiste dterminer larchitecture rseau mettre en place et les diffrents quipements associs. cette tape peut se faire pour la configuration dune nouvelle connexion ou la correction des failles de scurit ou lajout dun composant rseau. -Il sagit de sassurer du bon fonctionnement des quipements et service rseaux. Cette activit se fait quotidiennement, en cas de dtection danomalie lquipe intervient pour la maintenance. -La scurit concerne deux aspects : Mise en place de la politique de la scurit Supervision de la scurit Assurer la scurit des services et des donnes changes entre les utilisateurs (lintgrit, la confidentialit et la disponibilit).

-Gestion des accs internet.

PRC/31

-Gestion des pannes rseaux -tablissement des conventions pour laccs internet et email -gestion des comptes internet et email

PRC/13

PRC/14

PRC/15 Non Dfinis Non Dfinis Non Dfinis

-configuration des comptes internet et email -Etude de larchitecture rseau

-Supervision rseau

-Supervision scurit rseau

-Assistance technique -Suivi des projets tlmdecine -Maintenance matriel rseau

-Rsolution des problmes daccs aux services fournis -Suivi des projets tlmdecine -La maintenance regroupe les actions de dpannage et de rparation, de rglage, de rvision, de contrle et de vrification des quipements matriels et immatriels.

66

Division

Processus DERSS

Code

Activits

Description de lactivit

-Configuration (conception) et mise en place de -Il sagit de la mise en place effective de larchitecture dj larchitecture rseau tudie au niveau de lactivit Etude de larchitecture rseau . cest la mise en place des solutions de communication. Cette tape peut se faire soit distance (chez lutilisateur) soit au centre. elle comporte ltude, le suivi et validation de cblage.

Tableau 4. 2.Processus et activits du DERSS.

67

Chapitre 4

Analyse des risques

RQ : le tableau 4.3 comporte les activits formelles du centre, ces activits sont rdiges dans des procdures crites mais ca nempche quil existe des activits qui sont pratiques rellement dans la division de rseau et de la scurit qui sont pas couvertes par les procdures officielles du CIMSP, ils appartiennent aucun processus des processus de la DERSS (Non Dfinis), et des activits qui sont documents mais qui sont pas respectes.

b) Lidentification des dysfonctionnements et les consquences de chaque activit


Activit -Sauvegarde des donnes Dysfonctionnements -Inaccessibilit des donnes -Inaccessibilit du logiciel de sauvegarde -Manque du matriel Consquences -Risque de perte de donnes vitale

-Pilotage logique et scurit physique

-Indisponibilit de laccs internet -Mcontentement des clients -Inaccessibilit la salle machine et aux serveurs -Indisponibilit du correspondant -Perte de savoir faire sur site -Glissement de lactivit et mcontentement des clients. -Retarde de prise en charge et de rponse et mcontentement des clients

-Affectation du correspondant au site

-Gestion des incidents -Application non disponible -Documentation inexacte -Perte de la fiche dincident -Gestion des escalades -Application non disponible -Indisponibilit ou manque de connaissance ou dexprience du niveau en cours. -Revue mensuelle des -Absence dun planning niveaux de service

-Services non maitris et divulgation des secrets professionnels

-Gestion administrative des postes clients

-Indisponibilit dune base de donnes de gestion des configurations

-Parc non maitris, intervention sur des postes non dclars et non respect des procdures formelles

68

Chapitre 4

Analyse des Risques

-Installation des applications informatiques -Tests et validation des applications -Assistance des utilisateurs -Supervision rseau

-Manque de ressource humaine pour effectuer les installations -Absence dun planning

-Mcontentement des clients

-Absence dun planning -Mcontentement des clients -Inaccessibilit du produit tester -Absence dune fiche de livraison pour test -Indisponibilit du rseau -Mcontentement des clients et tlphonique -Indisponibilit des outils de supervision -Absence du personnel correspondant ou surcharge par une autre activit -problme de connectivit (LS CIMSP/BBN en panne) -Problme dlectricit -Manque des personnels qualifis pour faire ltude -Absence des moyens de transport vers le site -Manque des donnes (exemple absence du plan du site) abandonnement de lapplication -Interruption de lactivit de supervisionQQQA

-Etude de larchitecture rseau

-Interruption de lactivit de ltude -Deux consquences : Faire un travail supplmentaire (tablir un nouveau plan) et par consquent perte du temps et perte dargent (faire recours un cabinet externe) -Architecture tablie mais manquante -Architecture non mise en place

-Manque de matriels ou logiciels -Problme avec le facteur externe mise en place de (problme LS Tlcom) larchitecture rseau -Non-conformit du cahier de charge -Indisponibilit doutil -Absence des moyens de transport vers le site -Absence de coordination entre CIMSP et le client -Supervision scurit -Manque de conscience ct utilisateurs rseau -Indisponibilit des moyens de scurit -Manque de procdure de scurit -Arrt des quipements et des logiciels de scurit -Assistance technique -Pas de disponibilit des outils de communication fiables -Manque de comptences -Configuration et

-Arrt des services non protger (Internet, email) -Continuit des services sans protection

-Insatisfaction du client

69

Chapitre 4

Analyse des Risques

-Manque de personnel -Suivi des projets tlmdecine -Panne connexion externe -Panne unit centrale -Panne logiciel -Problme dinterconnexion entre la station et les quipements mdicaux -Manque des quipements mdicaux -Manque des quipements informatiques (camra, IP,etc.) -Indisponibilit de lapplication gestion des pannes -Indisponibilit du personnel -Lactivit tlmdecine est interrompue qui engendre un arrt de transfert de fichier -Pas de nouveaux examens enregistrer -Pas de visioconfrence

-Gestion des pannes rseau

-Pas denregistrement des nouvelles pannes

-Maintenance matriel -Problme de comprhension des -Problme non rsolu rclamations rseau -Dpendance de partenaire (problme de localisation des pannes
Tableau 4.3.Dysfonctionnements et consquences des activits de la DERSS.

c) chelle de valeurs des dysfonctionnements globale au niveau de la DERSS


La dernire tape dans llaboration de lchelle de valeurs des dysfonctionnements, nest que le rassemblement de tous les dysfonctionnements dans un tableau rcapitulatif de lensemble des dysfonctionnements et de seuils de criticit de toutes les activits de la DERSS. MEHARI distingue quatre niveaux de gravit ou de criticit, not de 1 4, dont les dfinitions gnrales sont dfinies ci-aprs : Niveau 4 vital : A ce niveau, le dysfonctionnement redout est extrmement grave et met en danger lexistence mme ou la survie de lentit ou de lune de s es activits majeurs. Si un tel dysfonctionnement survient, lensemble du personnel est concern et peut se sentir menac dans son emploi. Pour des organismes dont la fonction ne saurait tre remise en cause, en particulier les services publics, ce niveau de gravit peut remettre en question lexistence du service et le redploiement de la fonction dans dautres services ou ministres. Niveau 3 trs grave : Il sagit l des dysfonctionnements trs graves au niveau de lentit, sans que son avenir soit compromis. A ce niveau de gravit, lensemble ou une grande partie du personnel concern dans ses relations sociales et ses conditions de travail. Mais sans risque direct pour son emploi. En termes financiers, cela peut

70

Chapitre 4

Analyse des Risques

amputer significativement le rsultat de lexercice, sans que les actionnaires se dgagent massivement. En termes dimage, on considrera souvent ce niveau une perte dimage dommageable quil faudra plusieurs mois remont ; mme si limpact financier ne peut tre volu avec prcision. Niveau 2 important : Il sagit l de dysfonctionnements ayant un impact notable au niveau des oprations de lentit, de ses rsultats ou de son image, amis restant globalement supportables. Seule une partie limite du personnel serait trs implique dans le traitement des consquences du dysfonctionnement avec un impact significatif sur les conditions de travail. Niveau 1 non significatif : A ce niveau, les dommages encourus nont pratiquement pas dimpact sur les rsultats de lentit ni sur son image, mme si certains personnes sont fortement impliques dans le rtablissement de la situation dorigine.

71

Sous processus

Dysfonctionnements Non significatif -destruction des donnes -Effacement des donnes rcentes (moins dun mois) Important

Gravit Trs grave Vital -Effacement de tout lhistorique

-Effacement des donnes dun -Effacement des donnes mois dune anne

-sauvegarde des donnes

-inaccessibilit au logiciel de -indisponibilit du logiciel de sauvegarde sauvegarde <1 jour

-Indisponibilit du logiciel de -Indisponibilit du logiciel sauvegarde<1semaine de sauvegarde durant 1 mois -pendant plus quune semaine

-Indisponibilit du logiciel de sauvegarde >moins

-manque du matriel -Pilotage logique et scurit physique -indisponibilit de laccs internet

-pendant quelques jours

-Indisponibilit temporaire de laccs -Indisponibilit du rseau internet WAN pour plus de 1 jour -indisponibilit des serveurs pour un jour -indisponibilit des serveurs pour plus quun jour

-inaccessibilit la salle machine -indisponibilit des serveurs pour et aux serveurs quelques heures

-affectation du correspondant au site -Gestion des incidents

-indisponibilit du correspondant -Indisponibilit durant moins de 1 -Indisponibilit>1jour sur site jour -application indisponible -Indisponibilit <1jour -Indisponibilit de lapplication des incidents pour 1 semaine -Indisponibilit de lapplication des incidents pour 1 mois

-documentation inexacte

-indisponibilit du service pendant une priode de temps -indisponibilit du service pendant une priode de temps -Indisponibilit <1jour -Indisponibilit de lapplication des incidents pour 1 semaine -Indisponibilit de lapplication des incidents pour 1 mois

-perte de la fiche dincident

-Gestion des escalades

- application indisponible

72

Sous processus

Dysfonctionnements -indisponibilit ou manque de -retard dintervention ne dpasse pas connaissance ou dexprience du une heure niveau en cours.

Gravit -retard qui dpasse un mois

-Gestion administrative des postes clients

-installation des applications informatiques

-indisponibilit dune base de donnes de gestion des configurations -manque de ressource humaine pour effectuer les installations -absence dun planning

-manque de suivi pendant des mois

-Manque de suivi pendant des annes

-retard pour 1 ou 2 jours

-retard pour 1 ou 2 jours -manque dvaluation des niveaux de service pour un mois -manque dvaluation pour une anne

-revue mensuelle des niveaux de service

-Absence dun planning

-tests et validation des applications

-absence dun planning -inaccessibilit du produit tester

-retarder lactivit de test -dfaut de conformit du produit

-absence dune fiche de livraison -retarder lactivit de test pour une autre fois pour test -assistance des utilisateurs -indisponibilit du rseau tlphonique -Dpassement du dlai -Problme daccs aux BD -indisponibilit du rseau tlphonique -dlai< 3jours -Inaccessible pendant <1 jour -dlai> 3jours -Entre 1 jour et 3 jours -dlai> 3 jours -dlai>1mois -dlai> 3jours -dlai> 1 mois

-gestion des comptes internet et email

-Pas denvoi des login et PW aux -dlai< 3 jours clients -gestion des pannes rseau -Pas denregistrement des nouvelles pannes

-supervision rseau

-Indisponibilit des outils

-priode<30 jours et il y a pas des -priode>30 jours, La liste pannes critiques des pannes pendant ce mois nest pas identifier par consquent, les pannes critiques ne seront plus traiter temps -Indisponibilit des fichiers log>1 -Un outil est hors service -Toutes les applications mois pendant 1 jour sont est hors service >1 j

73

Sous processus

Dysfonctionnements

Gravit

-Absence de personnel ou surcharge -Pb de connectivit -Pb matriel -suivi des projets tlmdecine -Interruption de lactivit -Pas de nouveaux examens enregistrs -Configuration (conception) et mise en place de -Retard de ltablissement de larchitecture rseau larchitecture -La non-conformit avec larchitecture tudie -priode<1 semaine

-dlai= > 2 jours

-dlai>1semaine

-dlai= > 1jour -dlai= > 1jour -En cas de non urgence -En cas de non urgence

-dlai= >2 jours -dlai= >2 jours -En cas durgence -En cas de non urgence

-priode>10 jours

-priode>30 jours

-priode<1 jour

-priode> 1 jour si la configuration de la scurit est non conforme

-priode> 10 jours si configuration de la scurit est non conforme

-maintenance matriel rseau

-Retard dans la maintenance qui -priode> 1 jour + il ny a pas darrt -priode> 5 jours + arrt des -priode>30 jours quelque au niveau des services entraine un retard dans les services importants soit le service services correspondants

- scurit des rseaux

-Indisponibilit des moyens de scurit -Arrt des services non protgs -Arrt des services de scurit au -Arrt des services de scurit (Internet, email) niveau dun poste de travail (antivirus pour un tablissement c..d. dsinstall, firewall dsactiv ) manque dACL au niveau du routeur -Continuit des services sans protection -Arrt de la scurit globale (au niveau du centre) <1min -Continuit pour les postes de travail >1jour -Nbre de clients>50% -Nbre de clients=100%

-assistance technique

-Le non satisfaction du client

-Nbre de clients non satisfaits <5% du Nbre de clients<50% Nbre total

Tableau 4. 4.Echelle de valeurs des dysfonctionnements globale.

74

Chapitre 4

Analyse des risques

4.3.3.2 Classification des ressources du systme dinformation


Aprs llaboration de lchelle de valeurs des dysfonctionnements, qui reprsente le rsultat principal de lanalyse des enjeux de la scurit puisquil est directement li aux processus et aux activits fondamentales de la DERSS, on va passer lidentification et la classification des ressources du systme. On a identifi les ressources selon le service ou la direction o ils sont exploits, si ce logiciel ou cette application est officialis ou pas, la personne qui est responsable de cette ressource, et enfin sa description. Ces ressources sont soit des ressources logicielles, soit des ressources matrielles : des serveurs ou des routeurs. Aprs, on a class les ressources selon les trois critres de classification de linformation qui sont la disponibilit, lintgrit et la confidentialit. Lchelle de classification varie de 1 4.

75

Disponibilit

Intgrit

Ressources logicielles CVS test CVS web GLPI

DERSS DERSS Gestion des sites

Oui Oui Oui

Faouzi ben Dahmen Faouzi ben Dahmen Houssem Hajri

Gestion des Congs

Exploitation

Oui

Romdhane Khoueja

OSSEC OSSIM

Rseau Rseau

Non Non

Wajih Zouaoui Wajih Zouaoui

PhpMyadmin

Exploitation

Non

Romdhane Khoueja

Centreon

Scurit

Oui

Faouzi Laarouchi

GLPI(Gestionnaire libre de parc informatique) est un logiciel de gestion de parc informatique et de gestion des services d'assistance. Cest une application qui gre les congs du personnel du CIMSP. Cest un systme de dtection dintrusions. Cest un systme de management de scurit de linformation, il permet ladministration du rseau. Grer les bases de donnes de toutes les applications du CIMSP. Un logiciel de surveillance et de supervision rseau, fond sur le moteur de rcupration d'information libre Nagios.

4 4 4

4 4 4

Confidentialit 3 3 3 2 2 4 4 2 2 4 3 4 3

Type

Service

Officialis

Responsable

description

4 4

76

Nagios

Scurit

Oui

Faouzi Laarouchi

Back UP pc

Exploitation

Non

Romdhane Khoueja

Syslog NG

Rseau

Non

Wajih Zouaoui

Nino Gestion des pannes Gestion des comptes Gestion des stratgies GMAO

Rseau Rseau Rseau Rseau Maintenance

Non Oui Oui Oui Oui

Wajih Zouaoui Makram Bouabdallah Makram Bouabdallah Makram Bouabdallah Adel Tmar

Une application permettant la surveillance systme et rseau. Elle surveille les htes et services spcifis, alertant lorsque les systmes vont mal et quand ils vont mieux Un logiciel libre de sauvegardes informatiques. Il est utilis pour sauvegarder sur disque un ensemble de postes clients et de serveurs. Syslog-ng est une implmentation du protocole syslog pour les architectures de type UNIX. Supervision rseau Grer les pannes rseaux Grer les comptes emails et internet Grer les stratgies de sauvegarde Gestion de la Maintenance Assiste par Ordinateur

Confidentialit 2 4 2 4 3 4 2 4 4 3 3 3 4 3 2

Type

Service

Officialis

Responsable

description Disponibilit Intgrit 4 4 4 2 4 4 3

77

CAPEX

Tlmdecine

Non

Wajih Zouaoui

MRTG

Rseau

Non

Assurer les fonctionnalits de tlmdecine. Multi Router Trafic Grapher : crer des graphiques sur le trafic rseau en utilisant le protocole SNMP pour interroger des quipements rseaux.

Confidentialit 2 4 4 2 2 3 3 2 1

Type

Service

Officialis

Responsable

description Disponibilit Intgrit 4 2 3 2

Ressource matrielles Serveurs Serveur POP

Rseau

Oui

Makram Bouabdallah

Serveur POP secondaire

Rseau

Oui

Makram Bouabdallah

Serveur SMTP entrant

Rseau

Oui

Makram Bouabdallah Neji Chihaoui

Serveur de messagerie principal, contenant les botes e-mail et la base de donnes des utilisateurs. Serveur de messagerie secondaire, contenant les botes e-mail et la base de donnes des utilisateurs. Rception et filtrage des emails. Serveur antivirus local.

Serveur antivirus CIMSP

DERSS

Oui

78

Serveur WSUS

DERSS

Oui

Neji Chihaoui

Serveur antivirus HC Serveur CVS Serveur OSSIM

DERSS DERSS Rseau

Oui Oui Non

Neji Chihaoui Faouzi Laarouchi Wajih Zouaoui

Serveur de mise jour Microsoft (contient les correctifs et les services pack pour les produits Microsoft). Serveur antivirus pour les sites distants. Serveur de versions. Serveur de supervision de scurit du rseau de la sant.

Confidentialit 2 2 4 3 1 4 2 2 3 3 2 3 2 3 3

Type

Service

Officialis

Responsable

description Disponibilit Intgrit 2 4 3 3 3 3 3

Serveur NINO + Syslog

Rseau

Non

Wajih Zouaoui

Serveur proxy central 2

Rseau

Oui

Brahim Hamdi

Serveur proxy central 3

Rseau

Oui

Brahim Hamdi

Serveur proxy CIMSP

Rseau

Oui

Brahim Hamdi

Serveur de supervision du rseau RNS + serveur Syslog NG. Proxy pour les tablissements de la sant + Authentification Mysql + journal des accs Proxy pour les tablissements de la sant + Authentification Mysql + journal des accs Proxy pour les tablissements de la sant + Authentification Mysql + journal des accs

79

Type

Service

Officialis

Responsable

description Confidentialit 4 2 4 2 3 2 4 3 4 4 4 4 Disponibilit

Serveur de test des applications

DERSS

Oui

Romdhan Khouaja

Applications pour la DEM et contrle des tats des serveurs clients.

Serveur des applications dexploitation

DERSS

Oui

Houssem Hajri

Site web (apache) + GLPI App_CIMSP Routeurs Routeur Clients

DERSS

Oui

Houssem Hajri

DERSS

Oui

Zied Dhouib

Applications dexploitation et contrle des tats des serveurs clients et les tests applicatives + la sauvegarde Sites web + bases des donnes + GLPI et ses bases de donnes. Les applications du bureau dordre et DAAF Permet linterconnexion entre le CIMSP et les clients distants (LS). Garantit linterconnexion entre le CIMSP et lATI. Garantit linterconnexion entre le CIMSP et le CNI. Garantit le bon fonctionnement du LAN de la CIMSP.

Rseau

Makram Bouabdallah Makram Bouabdallah Makram Bouabdallah Makram Bouabdallah

Routeur ATI Routeur CNI

Rseau Rseau

4 4

Routeur LAN CIMSP

Rseau

Tableau 4. 5.Classification globale des ressources.

80

Intgrit

Chapitre 4

Analyse des risques

4.3.4 Gravit des dysfonctionnements majeurs


Afin dvaluer la gravit des dysfonctionnements dj dtermin, on a identifi les dysfonctionnements ayant un impact de 3 ou 4 et on a dtermin la potentialit de ces derniers partir dun entretien avec les responsables de chaque service.
Dysfonctionnement Dpassement du dlai de cration des comptes pour une priode suprieur un mois Problme daccs aux BD pour une priode suprieur 3jours Pas denvoi des login et PW aux clients pour une priode suprieur un mois Indisponibilit des outils : Toutes les applications sont hors service pour une priode suprieur 1 jour Absence de personnel ou surcharge pour une priode suprieur une semaine Problme de connectivit pour une priode suprieur ou gal 2 jours Problme matriel pour une priode suprieur ou gal 2 jours Retard de ltablissement de larchitecture pour une priode suprieur 30 jours La non-conformit avec larchitecture tudie pour une priode suprieur 10 jours si configuration de la scurit est non-conforme Indisponibilit des moyens de scurit Arrt des services non protgs (Internet, email) : Arrt de la scurit globale (au niveau du centre) pour une priode infrieure 1minute Continuit des services sans protection : Continuit pour les postes de travail pour une priode suprieur 1jour Le non satisfaction du client pour un nombre de clients pour un Nombre suprieur 50% Le non satisfaction du client pour un nombre de clients gal 100% Interruption de lactivit de tlmdecine : En cas durgence Pas de nouveaux examens enregistrs : En cas durgence Retard dans la maintenance qui entraine un retard dans les services correspondants pour une priode suprieur 30 jours quelque soit le service Lindisponibilit de lapplication des incidents pour un mois La panne des serveurs pour plus de 1 jour Indisponibilit du logiciel de sauvegarde pour plus de 1 mois Destruction de toutes les donnes P 1 1 1 2 1 3 3 2 2 I 3 3 3 3 3 3 3 3 3 G 2 2 2 3 2 3 3 3 3

2 3 3 1 1 2 2 1

3 3 3 3 4 3 3 3

3 3 3 2 2 3 3 2

2 3 2 2

3 3 4 4

3 3 3 3

Tableau 4.6.Evaluation de la gravit.

81

Chapitre 4

Analyse des risques

4.4

Analyse des risques partir des bases de connaissance de MEHARI


Le processus danalyse dune situation de risque comprend une dmarche de base, on

peut rsumer cette dmarche par les lignes suivantes : Chaque situation de risque peut tre value par une potentialit intrinsque et un impact intrinsque, en absence de toute mesure de scurit. Ces deux derniers sont valuables. Des mesures de scurit peuvent venir rduire ce risque par des mesures significatives de rduction de risque. Ces mesures dattnuation de risque sont valuables. A partir de ces lments, on va dterminer la potentialit et limpact rsiduel et den dduire une gravit de risque. La figure 4.2 prsente ces diffrentes tapes [18].

Figure 4.2.Processus d'analyse des risques.

4.4.1 Le scnario de risque


Un scnario de risque est la description dun dysfonctionnement et de la manire dont ce dysfonctionnement peut survenir. Le dysfonctionnement comprend lui-mme un sinistre, cest- dire des dtriorations directes et des consquences indirectes de ce sinistre.

4.4.2 Analyse dun scnario de risque


L'objectif de cette analyse est dvaluer deux paramtres caractristiques du risque encouru par lentreprise ou lorganisme dans l'hypothse d'occurrence d'un tel scnario. Ces paramtres sont les suivants :

82

Chapitre 4

Analyse des risques

La potentialit du risque qui reprsente, en quelque sorte, sa probabilit d'occurrence, bien que cette occurrence ne soit pas modlisable en termes de probabilit. Cette potentialit est fonction du contexte et des mesures de scurit en place. L'impact du risque sur l'entreprise reprsente la gravit des consquences directes et indirectes qui dcouleraient de l'occurrence du risque.

4.4.2.1 Evaluation de la potentialit dun scnario de risque


Lobjectif est de rpondre cette simple question : Loccurrence du risque analys, cest--dire le fait que le scnario se droule jusquau moment o il y a un sinistre rel, es telle plus ou moins probable ?. Lvaluation de la potentialit sera faite en fonction de deux paramtres qui sont lexposition naturelle ou la potentialit intrinsque et deux autres facteurs de rduction de risque qui sont le facteur dissuasif et le facteur prventif. Alors, on va valuer cette potentialit 3 choses qui sont : Lexposition naturelle la situation de risque ; Le risque pris par les auteurs ; Les conditions de survenance du scnario.

a) Lexposition naturelle
Ce facteur diffre dune entreprise une autre pour plusieurs raisons : Lactivit de lentreprise, son contexte conomique, social, gographique, ce qui fait que chacune est plus ou moins expose chaque type de risque. On value lexposition naturelle en absence de toute mesure de scurit. Le tableau 4.7 de lexposition naturelle reprsente lvaluation des certains vnements qui sont : les accidents, les actes volontaires malveillants, les actes volontaires non malveillants et les erreurs. Chaque type dvnement comporte plusieurs vnements quon a valu la potentialit de leur survenance dune chelle de 1 4.

83

Chapitre 4
valuation de l'exposition naturelle
valuation de la potentialit des vnements suivants
P=1 Trs P=2 Plutt

Analyse des risques


P=3 Plutt probable x x X X X x X x x x x x x x X X X X X x P=4 Trs probable

im probable im probable

Accidents
AC01 AC02 AC03 AC04 AC05 AC06 AC07 AC08 AC09 AC10 AC11 AC12 AC13 AC14 AC15 AC16 AC17 AC18 AC19 AC20 Court-circuit au niveau du cblage ou d'un quipement. Chute de la foudre Incendie naissant dans les locaux : corbeille papier, cendrier, etc. Accidents dus l'eau ou des liquides (fuite d'une canalisation, liquides renverss accidentellement, etc.). Inondation cause par une canalisation perce ou creve Inondation cause par la crue d'une rivire ou une remonte de la nappe phratique Inondation cause par l'extinction d'un incendie voisin, Coupure d'nergie de longue dure pour une cause extrieure Indisponibilit totale des locaux : Interdiction d'accs dcide par la prfecture (risque de pollution, d'meute, etc.) Disparition de personnel stratgique Panne d'un quipement de servitude (alimentation lectrique, climatisation, etc.) Panne matrielle d'un quipement informatique ou tlcom Dfaillance matrielle d'un quipement informatique ou tlcom impossible rsoudre par la maintenance, ou indisponibilit du prestataire Blocage applicatif ou systme impossible rsoudre par la maintenance, pour cause de disparition de la SSII ou du fournisseur. Saturation accidentelle de ressources Accident d'exploitation conduisant une altration de donnes Effacement de donnes ou de configurations, par un virus Perte accidentelle de fichiers de donnes par un automate Perte accidentelle de fichiers de donnes par vieillissement, pollution, Perte accidentelle de fichiers de donnes due une panne d'quipement (crash de disque dur) Vandalisme depuis l'extrieur : tir d'armes lgres ou lancement de projectiles depuis la rue, Vandalisme intrieur : petit vandalisme par des personnes autorises pntrer dans l'tablissement (personnel, sous-traitants, etc.). Terrorisme sabotage par des agents extrieurs : explosifs dposs proximit des locaux sensibles, Saturation rptitive malveillante de moyens informatiques par un groupe d'utilisateurs Saturation du rseau par un ver Effacement volontaire (direct ou indirect) de support de logiciel Altration malveillante (directe ou indirecte) des fonctionnalits d'un logiciel ou d'une fonction d'un programme bureautique (Excel ou Access) Entre de donnes fausse ou manipulation de donnes Accs volontaire des donnes ou informations partielles et divulgation Dtournement de fichiers ou vol de support de donnes Effacement volontaire (direct ou indirect), vol ou destruction de support de programmes ou de donnes Vol de micro-ordinateur portable en dehors des locaux de l'entreprise. Effacement malveillant de configurations rseau Effacement malveillant de configurations applicatives ou systmes Dtournement de code source de programmes Espionnage tatique ou de maffias (demandant de trs gros moyens) Vol d'quipement informatique ou tlcom, l'intrieur des locaux X X X X x X X X X x x x x X X x x 3 3 2 2 2 1 2 3 1 3 3 4 1 3 3 3 3 3 2 4

Actes volontaires malveillants


MA01 MA02 MA03 MA04 MA05 MA06 MA07 MA08 MA09 MA10 MA11 MA12 MA13 MA14 MA15 MA16 MA17 1 1 1 2 3 3 2 3 3 3 3 4 3 2 2 1 3

Actes volontaires non malveillants


AV01 AV02 AV03 AV04 Absence de personnel d'exploitation : grve du personnel d'exploitation Dpart de personnel stratgique Pntration du SI d'une tierce socit, par du personnel interne ou non Utilisation de logiciels sans licence X X X X x X X X X X X 2 3 3 3

Erreurs
ER01 ER02 ER03 ER04 ER05 ER06 ER07 Dgradation involontaire de performances, l'occasion d'une opration de maintenance Effacement accidentel de logiciel par erreur humaine Altration accidentelle des donnes pendant la maintenance Erreur pendant le processus de saisie, Bug dans un logiciel systme, un middlew are ou un progiciel Bug dans un logiciel applicatif Erreur lors de la modification de fonctions de feuilles de calcul ou de macro-instructions, 3 3 3 4 4 4 3

Tableau 4.7.Exposition naturelle.

84

Status-Expo

Chapitre 4

Analyse des risques

b) Le risque pris par les auteurs


La deuxime question se poser est limite aux scnarios rsultant dune action volontaire mene par une personne physique, action pouvant reprsenter un risque pour son auteur. Il sagit, en particulier, de toutes les actions volontaires, malveillantes ou non, nuisibles pour lentreprise ou pouvant tre considres comme nuisibles par lentreprise. Le risque pris par lauteur peut tre un frein son action. Il sagit donc de sinterroger sur lexistence de facteurs pouvant freiner la volont dagir des acteurs potentiels. Ces facteurs l sont les facteurs dissuasifs ils sont reprsentes au sein de lannexe 2.

c) Les conditions de survenance


La troisime et dernire question se poser est relative aux conditions dans lesquels le scnario peut se drouler et au caractre plus ou moins trivial de ces conditions. Le dclenchement d'un scnario de risque n'aboutira un sinistre rel que si certaines conditions sont runies. Plus ces conditions sont triviales, plus le risque est grand. Il sagit donc de sinterroger sur lexistence des actions ou facteurs gnratrices de rduction de risque. Ces facteurs l sont les facteurs prventifs sont reprsentes au sein de lannexe 2. La figure 4.3 reprsente les facteurs de la Potentialit.

Figure 4.3.Les mesures de la potentialit.

La Potentialit est ainsi une valuation globale dun niveau de probabilit, qui tient compte dune potentialit intrinsque, mesure par lexposition naturelle, et de deux facteurs de rduction du risque, la dissuasion et la prvention. On utilise pour cette valuation les grilles de la base des connaissances MEHARI.

85

Chapitre 4

Analyse des risques

4.4.2.2 Evaluation de limpact dun scnario de risque


Lobjectif est ici de rpondre cette simple question : Si le risque analys se produit, quelle sera la gravit finale de ses consquences ? Beaucoup de facteurs peuvent jouer pour rendre plus ou moins graves les consquences du risque, son impact. Evaluer limpact dun scnario de risque consiste analyser : Limpact intrinsque ; Lattnuation des consquences directes du risque par son confinement ; Lattnuation des consquences indirectes par des mesures palliatives ; Le transfert du risque sur des tiers.

a) Limpact intrinsque
Lors d'une analyse de risque MEHARI, il est fait appel la notion d'impact intrinsque d'un scnario qui est l'valuation des consquences de l'occurrence du risque, indpendamment de toute mesure de scurit. On a valu limpact intrinsque directement suite un entretien avec les responsables, cette valuation est une valuation maximaliste des consquences du risque, en dehors de toute mesure de scurit. Le tableau 4.8 prsente limpact intrinsque.

b) Les mesures de confinement ou de protection


Ces mesures visent limiter le risque et ses consquences les plus directes. Il sagit donc de sinterroger sur lexistence de facteurs pouvant limiter la gravit des consquences directes du risque, dans lespace ou dans le temps, et ceci en rfrence la gravit maximale value auparavant. Il existe des mesures gnratrices de rduction de risque qui sont des mesures de confinement, appeles aussi mesures de protection. Ces mesures sont le plus souvent des mesures de dtection/raction. Les valeurs numriques sont reprsentes au sein de lannexe 2.

c) Les mesures palliatives


Ces mesures visent limiter le risque et ses consquences les plus indirectes. Il sagit donc de sinterroger sur les ractions possibles, une fois le risque constat. Il existe des mesures gnratrices de rduction des consquences indirectes du risque qui sont les mesures palliatives. Les valeurs numriques sont reprsentes au sein de lannexe 2.

86

Chapitre 4

Analyse des risques

d) Les mesures de rcupration


Ces mesures visent limiter les pertes finales en transfrant une partie sur des tiers, il peut sagir de lassurance ou au recours en justice par exemple. Les valeurs numriques sont indiques au sein de lannexe 2.

Classification des donnes, informations et lments d'infrastructure


Donnes et informations D01 Fichiers de donnes ou bases de donnes applicatives D02 Fichiers bureautiques partags D03 Fichiers bureautiques personnels D04 Informations crites ou imprimes dtenues par les utilisateurs, archives personnelles D05 Listings ou tats imprims des applications informatiques D06 Messages changs, crans applicatifs (donnes partielles) D07 Courrier et tlcopies D08 Archives patrimoniales ou ayant valeur de preuve D09 Donnes et informations publies sur des sites publics ou internes Infrastructure informatique et tlcom R01 quipements et cblage du rseau tendu (systmes rseau avec leurs logiciels) R02 quipements et cblage des rseaux locaux (systmes rseau avec leurs logiciels) R03 Donnes de configuration du rseau tendu R04 Donnes de configuration des rseaux locaux S01 Systmes centraux, serveurs applicatifs et quipements priphriques centraux, serveurs de fichiers partags S02 Fichiers de configuration des systmes et serveurs S03 Systmes terminaux mis la disposition des utilisateurs (PC, imprimantes locales, priphriques, interfaces spcifiques, etc.) A01 Application logicielle ou progicielle, middleware (code excutable) A02 Code source A03 Fichiers des configurations applicatives A04 Progiciels spcifiques utilisateurs Infrastructure gnrale E01 Environnement de travail des utilisateurs E02 quipements de tlcommunication orale ou analogique I01 Ensemble des installations d'une salle informatique et tlcom

D
4 3 3 3 4 3 2 3

I
4 3 3

C
4 3 3 3 3 4 4 4

4 4 4

3 3 3 2 3 3 3 3 3 3 2 3 3 3 3

3 3 4 3 4 4

3 3

4 4 3 3

3 4 3 2

Impacts intrinsques ne dpendant pas de la classification d'une ressource


Indisponibilit du personnel P01 quipes de spcialistes mtiers P02 Personnel d'exploitation Non conformit la loi ou la rglementation (NC) C01 Non conformit la loi ou aux rglementations relatives la protection de la vie prive C02 Non conformit la loi ou aux rglementations relatives aux contrles financiers C03 Non conformit la loi ou aux rglementations relatives la proprit intellectuelle C04 Non conformit la loi relative la protection des systmes informatiss C05 Non conformit aux rglementations relatives la scurit des personnes et la protection de l'environnement 3 3 Non Conformit 1 1 1 1 1

Tableau 4.8.Impact intrinsque.

87

Chapitre 4

Analyse des risques

Limpact est ainsi une valuation globale dun niveau de consquences qui tient compte de limpact intrinsque et de trois facteurs dattnuation du risque, la protection, la palliation et la rcupration. On utilise pour cette valuation les grilles de la base de connaissance MEHARI. La figure 4.4 reprsente les facteurs de limpact.

Figure 4.4.Les mesures de l'impact.

4.4.2.3 Evaluation de la gravit


La gravit du scnario ou de la situation de risque rsulte la fois de sa potentialit et de son impact. Il ne sagit pas dune opration mathmatique entre ces deux valeurs mais dun simple jugement sur le caractre acceptable ou non de la situation. G est la gravit globale value par la grille en fonction de limpact (I) et de la potentialit (P), une G de 4 correspond un risque insupportable, une gravit de 3 un risque inadmissible et les gravits infrieures des risques tolrs. On dfinie trois types de risques savoir les risques insupportables, qui devraient faire lobjet de mesures durgence, en dehors de tout cycle budgtaire. Les risques inadmissibles qui devraient tre rduits ou limins une chance dterminer, donc prendre en compte dans une planification, par exemple dans un plan de scurit. Et dernirement Les risques tolrs. Les deux premires catgories correspondent ce que nous avons appel les risques inacceptables. G est la gravit globale value par la grille en fonction de limpact (I) et de la potentialit (P), une gravit de 4 correspond un risque insupportable, une gravit de 3 un risque inadmissible et les gravits infrieures des risques tolrs. Les calculs de la gravit de chaque scnario sont reprsents au sein de lannexe 2. La grille dacceptabilit des risques utilis et valid selon les besoins du centre est la suivante :

88

Chapitre 4

Analyse des risques

Figure 4.5.Grille d'valuation de la gravit.

4.4.2.4 Expression des besoins de scurit


Lexpression des besoins de scurit consiste valuer des besoins consolids et les classer, aprs avoir valu la gravit des scnarios de risque en sappuyant sur une analyse de ltat des services de scurit. Cette tape est base sur la dfinition des besoins des services dcrite ci aprs.

a) Les besoins de service


Un besoin de service de scurit est tabli pour chaque scnario, en sappuyant sur les principes suivants : Besoin de service relatif un scnario donn. Un service de scurit donn peut avoir un effet sur la gravit d'un scnario. Si tel est le cas, il est considr qu'il existe, pour ce service, et du fait de ce scnario, un besoin de service. Quantitativement, ce besoin de service sera dautant plus important que : Son influence (traduite par son coefficient dinfluence), pour ce scnario, sera forte ; La gravit du scnario considr sera leve ; La qualit actuelle du service sera faible. Ainsi, pour un service i face un scnario k, le besoin de service sera calcul par la formule suivante :

= . . (4 )
Dans laquelle : = Besoin de service pour le service i face au scnario k = Coefficient dinfluence du service i pour le scnario k b = Base gnrale paramtrable = Gravit du scnario k 89

Chapitre 4

Analyse des risques

= Qualit du service i ; [(4- ) en tant donc le complment 4]

b) La synthse des besoins de service


La synthse des besoins du service , pour un service i donn, sera value par simple sommation :

1687459,84 1329489,92 930611,2 785607,68 661504 603914,24 524288 442368 430858,24 425328,64 334936,96 312616,96 237332,48 234946,56 223833,6 209715,2 135987,2 130905,6 119664,64 85483,52 76195,84 53248 52362,24 47810,56 31006,72 16384 967,68 512 0

Contrle d'accs aux locaux sensibles Contrle des droits d'administration Protection de l'information crite ou change (tlphone, messagerie) Scurit des donnes lors des changes et des communications sur le rseau local Assurances Paramtrage et contrle des configurations matrielles et logicielles Scurit des donnes lors des changes et des communications Contrle des accs aux zones de bureaux Contrle d'accs aux systmes et applications Continuit de service de l'environnement de travail Contrle, dtection et traitement des incidents du rseau local Scurit des procdures d'exploitation Scurit de l'architecture rseau et continuit du service Contrle, dtection et traitement des incidents sur le rseau tendu Contrles d'accs sur le rseau local de "donnes" Confinement des environnements Contrle des connexions sur le rseau tendu Scurit de l'architecture du rseau local Protection des postes de travail Contrle d'accs physique au site et aux btiments Gestion et enregistrement des traces Scurit de l'architecture Scurit incendie Scurit contre les dgts des eaux Services gnraux Continuit de l'activit Protection de la proprit intellectuelle Respect de la lgislation concernant les rapports avec le personnel et avec des tiers Gestion des ressources humaines

Tableau 4.9.Priorits des besoins des services.

90

1800000

1600000
1400000 Besoin

1200000
1000000

800000
600000

400000
200000

Figure 4.6.Reprsentation graphique des besoins des services.

91

Chapitre 4

Analyse des risques Cette reprsentation graphique reprsente les besoins des 29 services de

scurit daprs la mthode MEHARI, les services les plus prioritaires ont un score plus grand, alors le R.S.S.I doit regarder en premier lieu ceux qui ont des grands valeurs. Ceux-ci mritent plus dentretien. Daprs nos rsultats daudit, les services contrle daccs aux locaux sensibles a un score de 1687459.84 cest le service le plus vulnrable pour le CIMSP dans la phase daudit organisationnel et physique.

4.5 Conclusion
Dans ce chapitre, on a conclu la phase de lanalyse des risques. Pendant cette phase, on a adopt deux approches complmentaires : une se base sur une analyse des risques suite une analyse des enjeux du CIMSP et lautre se base sur la base de connaissances de MEHARI. Dans la premire, on a analys les risques partir dune analyse des enjeux. Cette analyse a t ralise suivant une chelle de valeur des dysfonctionnements partir de laquelle on a slectionn les dysfonctionnements les plus importants pour valuer leurs gravits suite une valuation de la potentialit et de limpact. Dans la deuxime approche, on a analys les risques en se basant sur la base de connaissance de MEHARI. On a aussi valu la potentialit et limpact ensuite la gravit des risques dj slectionns partir de la base. Aprs cette tape, on a exprim les besoins de scurit des services pour exposer les services ayant plus de besoins en matire de scurit et qui mritent une mise en uvre des mesures correctives pour neutraliser ce besoin.

92

Chapitre 5

Audit Technique

Chapitre 5

Audit Technique
5.1 Introduction
Aprs la phase de laudit organisationnel et physique, on va entamer la phase de laudit technique qui permet davoir une vue globale de ltat de scurit du SI afin didentifier les vulnrabilits et les failles quil contient. Dabord, on va essayer dauditer larchitecture du systme en focalisant la reconnaissance du rseau et du plan dadressage, le sondage des systmes, le sondage des services et des flux rseau et le sondage des flux rseau, de tester. Ensuite, on va passer laudit des vulnrabilits internes et/ou externe, et larchitecture de scurit existante. Enfin, on va auditer la messagerie interne Lotus notes et le systme dexploitation Unix.

5.2 Outils daudit utiliss


Durant laudit technique, on a utilis une panoplie doutils ; on a slectionn parmi plusieurs outils disponibles ceux qui rpondent mieux nos besoins. Pour la cartographie du rseau, nous avons choisi NetCrunch 5 qui est un outil permettant de dtecter

automatiquement et identifier les serveurs et les priphriques utilisant le SNMP et les ajouter aux cartes logiques et physiques. Il permet galement de signaler ltat dun nud spcifique du rseau. Cet outil se distingue par des fonctionnalits supplmentaires comme par exemple la supervision directe de ltat du nud (sil est connect ou pas) et selon son emplacement locale. Pour le sondage systme, on a choisi GFI Languard, cet outil est le plus connu et le plus utilis pour ce type de sondage. On a utilis GFI Languard pour effectuer un audit rapide de scurit sur le rseau en utilisant la rsolution Netbios et DNS des adresses IP car il regroupe des informations enregistres sur les postes de travail telles que les noms dutilisateurs, le systme dexploitation, les sessions en cours, les services installs, les vulnrabilits,etc. Pour le sondage des services rseau, on a choisi Nmap qui est un scanner de ports conu pour dtecter les ports ouverts, les services hbergs et les informations sur le systme d'exploitation d'un ordinateur distant. On a choisi ce logiciel parce quil est devenu une rfrence pour les administrateurs rseaux, car l'audit des rsultats de Nmap fournit des indications sur la scurit d'un rseau en plus, il est libre et gratuit et c'est le meilleur outil pour accomplir cette phase daudit. 93

Chapitre 5

Audit technique

Pour le sondage des flux rseau, on a choisi Wireshark qui est outil permettant deffectuer des captures sur les flux rseau ainsi quune analyse du trafic. Pour laudit des vulnrabilits, on a choisi loutil Retina qui est reconnu comme le scanner de vulnrabilit le plus rapide. Il est capable d'analyser toutes les machines du rseau, tous les types de systmes d'exploitation, les priphriques en rseau. Il identifie les points faibles et les corrige par des recommandations. Retina est capable de reprer non seulement les dficiences rpertories mais galement certaines qui ne le sont pas encore. Cet outil se distingue par une interface simple manipuler, des rapports des vulnrabilits et des recommandations complets ainsi que des statistiques et des reprsentations graphiques significatives.

5.3 Description de la salle machine


La salle machine se situe au rez-de chausse, elle est accessible que par les personnes autoriss via un scan de leurs empreintes digitale. A lintrieur de la salle, le poste dadministration est spar du reste de la salle par un sparateur en verre qui assure un environnement climatique adquat pour les quipements rseaux et les serveurs qui se trouvent lintrieur. La pice comporte 6 grandes armoires dquipements et des serveurs, un bloc de climatisation, deux onduleurs dont chacun possde deux batteries et deux autres climatiseurs qui ne fonctionnent quen cas de panne du bloc de climatisation. Le sol de la salle est couvert par des faux planchers qui facilitent le passage des cbles courants. Il existe aussi un dtecteur dhumidit et un systme dextinction dincendie.

5.4 Audit de larchitecture rseau


Laudit de larchitecture rseau comprend les tapes suivantes, commenant par la reconnaissance du rseau et du plan dadressage puis le sondage des systmes et finalement terminent le sondage des services et des flux rseaux. Avant de dtailler les diffrents lments de cette tape, voici la figure 5.1 qui reprsente larchitecture globale du rseau incluant les diffrentes composantes du rseau avec les marques des quipements.

94

Figure 5.1.Architecture globale du CIMSP.

95

Chapitre 5

Audit Technique

Description de larchitecture : la figure 5.1 dcrit larchitecture globale du rseau CIMSP. Le centre utilise le rseau Ethernet dont la topologie est en toile. Le firewall est redondant, ils sont les deux des produits Cisco PIX 525. Le CIMSP utilise les six pattes du firewall reliant les diffrents sous rseaux. On va dcrire les diffrentes pattes une par une. Le premier lien est la patte de outside, elle relie lATI et les clients ADSL au centre. Ces clients sont relis au firewall travers un commutateur HP 2524, ce dernier est reli un autre commutateur Cisco ME 3400 niveau 3, qui connecte lATI travers une connexion fibre optique de 34Mb/s et la sonde IDS du centre. La deuxime patte est la patte partenaires, elle relie la CNI par un routeur Cisco 2600 et une connexion LS de 2 Mb/s, travers un commutateur CATALYST 3060 G de niveau 3. La troisime patte est la patte messagerie, elle relie la premire zone dmilitarise (DMZ), qui contient tous les serveurs messagerie, au firewall travers un commutateur HUAWEI S3525 de niveau 2. Ces serveurs sont les serveurs POP, le serveur POPs, le serveur SMTP et le serveur SMTPin.ils sont tous des produits DELL Power Edge 2600. La quatrime patte est la patte publique, elle relie la deuxime DMZ au firewall travers le commutateur CATALYST. Cette zone contient les 2 serveurs web sur les quels ils sont hbergs les 2 portails du centre, lun est un DELL Power Edge 2850 et lautre est un HP Protant DL 300 GS, elle contient aussi les 2 proxy qui sont ddis aux clients CIMSP et qui sont les 2 des produits de Siemens RX 200, de plus elle comprend 2 serveurs DNS qui sont des produits DELL Precision, 2 serveurs RASIDON, un serveur dapplication GLPI et un serveur Antivirus qui est un Siemens RX 200.La cinquime patte est la patte dadministration, elle relie le poste dadministrateur au firewall travers un commutateur HUAIWEI S3525 de niveau 2. La sixime et la dernire patte est la patte clients, elle relie le LAN du CIMSP et les tablissements sanitaires. Le LAN est reli par le routeur NAT, qui est un Cisco 2800, au firewall travers le commutateur CATALYST. Il existe des tablissements sanitaires qui sont connects au centre par le BackBone travers un routeur HUAIWEI 3600 Series et travers aussi une connexion fibre optique par le commutateur Cisco ME 3400 qui est lui-mme reli au commutateur CATALYST et dautre qui sont relis par des LS de 2Mb/s au routeur Cisco AS 5400. Le BackBone est compos de 7 nuds couvrants tout le territoire national. Enfin, il existe 2 VLANs niveau 1 grs par le commutateur HUAIWEI S3525et 7 VLANs niveau 3 grs par le commutateur CATALYST 3060G.

96

Chapitre 5

Audit Technique

5.4.1 Reconnaissance du rseau et du plan dadressage


Linspection du rseau est un point de dpart, lors duquel la topologie, ainsi que les htes et les quipements rseaux, seront identifis. Alors, on va procder une inspection du rseau afin de dterminer sa topologie, didentifier les htes connects et les quipements rseau. Pour raliser cette tche, on commence par un recueil des donnes concernant les quipements inventoris. Par la suite on utilise des outils de dcouverte automatique de la topologie du rseau pour la dtection des stations de travail, des routeurs et du pare feu. Pour ce faire on utilise les outils suivants qui permettent de connaitre le plan dadressage IP et de dterminer la topologie du rseau. Voici la cartographie du rseau interne du CIMSP ayant le plan dadressage 172.20.0.XXX par loutil AdRem NetCrunch 5 quon la dj prsent dans la section outils daudit utiliss.

Figure 5.2.Cartographie du rseau interne du CIMSP.

97

Chapitre 5

Audit Technique

Analyse : Suite au rsultat du scan avec loutil Netcrunch, on constate que le CIMSP utilise ladresse 193.95.84.XXX de la classe C pour la connexion publique et utilise ladressage rseau priv 10.94.0.XXX de la classe A et ladresse 172.20.0.XXX de la classe B qui sont les adresses du rseau interne du CIMSP. On remarque que les noms des machines (PC) sont significatifs c.--d. chaque machine prend le nom du personne quil utilise (Nom machine=Nom personne). De plus, on a remarqu linexistence dun un serveur de domaine pour permettant la gestion des comptes utilisateurs. Afin dIdentifier des limites de dcoupage, le tableau 5.1 prsente les six pattes du firewall, les masques rseaux et les adresses dbuts et les adresses fin.
Les pattes firewall Les masques rseaux Patte1 : Outside ATI Patte2 : Partenaires CNI Patte3 : Messagerie Patte4 : Publique Patte5 : Admin Patte6 : Clients LAN CIMSP 10.94.0.3/22 193.95.84.16/29 193.95.84.0/28 172.16.1.100/24 193.95.84.205/28 172.20.0.0/23 10.94.0.XXX 193.95.84.XXX 193.95.84.XXX 172.16.1.XXX 193.95.84.XXX 172.20.0.XXX 10.94.0.1 193.95.84.17 193.95.84.1 172.16.1.0 193.95.84.217 172.20.0.1 10.94.3.0 193.95.84.22 193.95.84.14 172.16.1.254 193.95.84.205 172.20.0.254 193.95.84.224/29 193.95.84.XXX 193.95.84.225 193.95.84.230 @ broadcast @1er hte @ dernier hte

Tableau 5.1.Le plan d'adressage IP.

On signale cet gard, que la configuration rseau au niveau des postes nest pas protge contre les modifications. En effet, chaque utilisateur peut changer son adresse ce qui peut gnrer des conflits dadresses. Des attaques de type IP Spoofing peuvent tre facilement menes et gnrer un dni du service; il suffit de remplacer ladresse IP du poste par celle dun quipement critique comme les routeurs, les serveurs,etc. Cette attaque permet la dgradation des performances de lquipement concern voir mme son arrt complet.

98

Chapitre 5

Audit Technique

Figure 5.3.Image cran de configuration rseau au niveau du poste.

5.4.2 Sondage des systmes


Cette tape consiste auditer les stations connectes au rseau afin de dterminer les noms des machines qui sont les noms des utilisateurs, leurs adresses IP ainsi que le systme install et leur version. La figure 5.4 montre que 95% des systmes dexploitation sont des Windows hors que 5% est divis entre les utilisateurs de Unix, qui sont les administrateurs rseau et les administrateurs systmes ainsi il est install sur quelques serveurs du CIMSP.

Figure 5.4.Rpartitions systmes d'exploitation.

On a ralis le sondage systme pour toutes les stations connectes au rseau du CIMSP. Pour ce scan on a utilis loutil GFI Languard.

99

Chapitre 5

Audit Technique

100

Chapitre 5

Audit Technique

Figure 5.5.Sondage GFI LanGuard.

On a constat que la majorit des machines du rseau CIMSP sont vulnrable et surtout au niveau protection et correctives systme. Puisque aprs ce scan, on a pu dterminer les noms des machines qui sont dans la plupart du temps les noms des utilisateurs, leurs adresses IP ainsi que le systme dexploitation install. Cest grce au service NetBIOS qui activ sur 80% des machines, que on a pu avoir toutes ces informations. Ce service est rserv la rsolution des noms et les ouvertures de sessions. Le NetBIOS permet de faire la correspondance entre ladresse IP et le nom de la machine qui est parfois le nom de lutilisateur lui mme.

101

Chapitre 5

Audit Technique

Figure 5.6.Rpartition du service NETBIOS sur les postes du CIMSP.

5.4.2.1 Partage des fichiers


Le contrle daccs tant insuffisant sur les serveurs et les postes de travail spcifiquement fortement sur les partages, les utilisateurs peuvent supprimer des fichiers contenant des informations sensibles ; les rpertoires de travail partags sur les postes de travail ou les serveurs, sans que lon puisse identifier la personne l'origine de cet acte.

Figure 5.7.Capture cran des partages rseau.

Il nexiste pas une politique daccs aux partages, laccs ces fichiers nest pas protg par mot de passe dans la plupart des postes de travail. La figure 5.7 reprsente des documents

102

Chapitre 5

Audit Technique

critiques et confidentielles qui sont partags et non protgs ; un accs complets en lecture, criture et suppression sur chaque lment partags.

Figure 5.8.Capture cran des fichiers partags non protgs.

5.4.2.2 Politique de sauvegarde et de restauration


A lheure actuelle, la politique de sauvegarde est insuffisante. Les donnes privatives des utilisateurs ne sont pas sauvegardes. Il nexiste pas une procdure et outils de sauvegarde des donnes des utilisateurs. Chaque poste de travail est dpositaire dun certain nombre de fichiers critiques qui ne sont pas sauvegards. De plus, on remarque labsence dune politique de restauration des donnes des serveurs ainsi que la vrification des cartouches de sauvegarde nest pas ralise la fin de chaque opration.

5.4.3 Sondage des services rseau


Le but de cette tape est lidentification des services actifs sur le rseau ce qui permet de savoir les ports ouverts des quipements audits. Cette tape permet de relier chaque port ouvert un service et un protocole ainsi didentifier les partages rseau. Daprs le responsable rseau, on a su que chaque serveur est la responsabilit dune seule personne qui doit effectuer laudit des ports ouverts selon ses besoins et non pas dune faon formalise.

103

Chapitre 5

Audit Technique

Loutil de scan utilis est Nmap quon a dj prsent. La figure 5.9 est un exemple dun rapport Nmap.

Figure 5.9.Scan Nmap.

Daprs le rsultat des balayages des ports, on a constat au niveau serveur antivirus CIMSP que le port 445, qui reprsente une porte d'accs potentielle aux systmes qui sont mal protgs, est ouvert et non utilis et le port 12345 qui est utilis pour la configuration de la communication du serveur antivirus trend et les postes clients est ouvert. Ce port doit tre bloqu car il est aussi utilis par le cheval de Troie Netbus. Au niveau proxy CIMSP, le port XHX (10000) est ouvert en principe ce port est utilis par un cheval de Troie (backdoor). De plus, le port TELNET ouvert sur le serveur ministre et le port 25 : SMTP est ouvert dans la plupart des serveurs. Ce port doit tre dsactiv sil nest pas utilis. Le port 119 pour NEWS est ouvert dans la plupart des serveurs donc il faut le dsactiver sil nest pas utilis aussi. Le port 5802 pour Y3KRAT et 6006 pour BadBlood sont des Trojans, ils sont ouverts au niveau serveur sauvegarde et le port 513 pour rlogin est ouvert au niveau serveur sauvegarde et au niveau du serveur ministre car ce protocole est cible des attaques de type IP Spoofing. Dautres ports il faudra dcider de leur utilit: 135 (tcp and udp), 137 (udp), 138 (udp) et 139 (tcp).

5.4.4 Sondage des flux rseau


On va analyser le trafic au niveau du rseau dont lobjectif de reconnatre les protocoles et les services prdominant au niveau du rseau. Cette analyse permet aussi de rcuprer plusieurs autres informations caractre confidentiel circulant dans le rseau en clair. Dans cette section, on utilise les outils Wireshark pour intercepter les flux de donnes.

104

Chapitre 5

Audit Technique

Figure 5.10.Capture cran du trafic rseau.

On a pu identifier lexistence de plusieurs protocoles actifs superflus

qui gnrent des

informations gratuites et qui pourraient tre exploites par des personnes malintentionnes pour mener des attaques. Les protocoles identifis sont les suivants: Cisco Discovery Protocol (CDP) : Il est utilis pour obtenir des adresses des priphriques voisins et dcouvrir leur plate-forme. CDP peut aussi tre utilis pour voir des informations sur les interfaces quun routeur utilise. Internetwork Packet Exchange (IPX) : il est employ pour transfrer l'information sur des rseaux qui fonctionnent avec le systme d'exploitation NetWare. Spanning Tree Protocol (STP) : il permet dapporter une solution la suppression des boucles dans les rseaux ponts et par extension dans les VLANs. Le protocole SNMP le nom de la communaut Public est activ. Il est utilis pour la surveillance du rseau, Un attaquant peut utiliser ce service rseau pour obtenir des informations prcieuses au sujet dues systmes internes, tel que les informations sur les quipements rseaux et les connections en cours.

5.5 Audit des vulnrabilits


Au cours de cette tape, on va sintresser lanalyse des vulnrabilits (intrusif interne et intrusif externe) au niveau de tous les composants du rseau audit, via un ensemble doutils dexploration automatique et par ldification dune analyse cible du rseau. Il sagit didentifier les ventuelles vulnrabilits de chaque serveur ou de chaque quipement afin de trouver la parade efficace. 105

Chapitre 5

Audit Technique

5.5.1 Audit des vulnrabilits intrusif interne


Laudit de vulnrabilits intrusif interne permet de mesurer les vulnrabilits des composants du rseau les plus sensibles. Cette phase comprend une analyse des vulnrabilits des quipements de communication en exploitation qui sont le serveur dexploitation et le serveur CVS, et une analyse des vulnrabilits des postes de travail visant lensemble des postes des utilisateurs du rseau audit. Loutil utilis dans ce scan est Retina.

5.5.1.1 Audit des serveurs


Nous allons prsenter les vulnrabilits au niveau du serveur dexploitation :

Figure 5.11.Les pourcentages des vulnrabilits.

37.50% , quivalent 12, est le pourcentage des informations daudit et le pourcentage des vulnrabilits avec un niveau de risque moyen, 18.75%, quivalent 6, reprsente le

pourcentage des vulnrabilits avec un niveau de risque bas et 6.25%, quivalent 2, reprsente les vulnrabilits avec un haut niveau de risque.

Figure 5.12.Synthse des vulnrabilits.

Cet extrait reprsente les 18 vulnrabilits retrouves sur le serveur dexploitation, on va dcrire 4 vulnrabilits selon leurs degrs de gravit.

106

Chapitre 5

Audit Technique

La vulnrabilit numro 2 : Il s'agit d'une vrification d'information. Retina a dtect la version 1.1 du protocole HTTP sur le systme cible. La vulnrabilit numro 17 : Le compte administrateur sur le systme cible n'est pas renomm. Renommer le compte, permet de le rendre un peu plus difficile pour les personnes non autorises de deviner la combinaison de nom d'utilisateur et le mot de passe privilgis. Cette vulnrabilit est de faible gravit. La vulnrabilit numro 3 : La version 2 du Secure Sockets Layer (SSL) a t dtecte. Ce protocole est connu par des faiblesses cryptographiques ainsi que d'autres vulnrabilits exploitables. Cette vulnrabilit est de moyenne gravit. La vulnrabilit numro 16 : De Multiples vulnrabilits non spcifies ont t identifies dans Samba qui pourrait tre exploits pour excuter des codes arbitraires ou pour provoquer le dmon en panne. Cette vulnrabilit est dun haut niveau de gravit. Nous allons prsenter les vulnrabilits au niveau du serveur CVS :

Figure 5. 13.Pourcentage des vulnrabilits.

49.37% , quivalent 39, est le pourcentage des informations daudit, 22.78% ,quivalent 18, reprsente le pourcentage des vulnrabilits avec un niveau de risque moyen, 17.72%, quivalent 14, reprsente le pourcentage des vulnrabilits avec un niveau de risque bas et 10.13%, quivalent 8, reprsente les vulnrabilits avec un haut niveau de risque. Voici les 20 premiers vulnrabilits.

107

Chapitre 5

Audit Technique

Figure 5.14.Synthse des vulnrabilits.

Cet extrait reprsente les 20 vulnrabilits retrouves sur le serveur CVS, on va dcrire 4 vulnrabilits selon leurs degrs de gravit. La vulnrabilit numro 2 : Il s'agit d'une vrification d'information. Retina a dtect la version 1.0 du protocole HTTP sur le systme cible. La vulnrabilit numro 3 : Retina a trouv sur cette hte, une partition anonyme et accessible. Note: Linux / Unix qui excute Samba sont galement touchs par cette notification. Cette vulnrabilit est de faible niveau de gravit. La vulnrabilit numro 14 : L'ge maximal de mot de passe est le nombre maximum de jours avant que le mot de passe de lutilisateur expire. Il est recommand aux utilisateurs de changer leur mot de passe au moins une fois tous les 60 jours. Cette vulnrabilit est dun niveau de gravit moyen. La vulnrabilit numro 10 : Un dbordement de tampon existe dans le module mod_rewrite d'Apache qui est utilis pour les demandes fondes sur des expressions rgulires. Un dbordement de tampon existe dans le traitement des requtes LDAP qui peut permettre un attaquant anonyme dexploiter un systme distance et excuter du code arbitraire. Cette vulnrabilit est dun haut niveau de gravit.

108

Chapitre 5

Audit Technique

5.5.1.2 Audit des postes de travail

Figure 5.15.Pourcentage des vulnrabilits.

7.69%, quivalent une seule information daudit, 30.77% ,quivalent 4, reprsente le pourcentage des vulnrabilits avec un niveau de risque bas, 23.08%, quivalent 3,

reprsente le pourcentage des vulnrabilits avec un niveau de risque moyen et 38.46%, quivalent 5, reprsente les vulnrabilits avec un haut niveau de risque. Voici les 13 vulnrabilits analyss par Retina.

Figure 5.16.Synthse des vulnrabilits.

Cet extrait reprsente les 13 vulnrabilits retrouves sur un poste de travail, on va dcrire 4 vulnrabilits selon leurs degrs de gravit. La vulnrabilit numro 1 : Il s'agit d'une vrification d'information. Le service (FTP) a t dtect en cours d'excution sur le poste scann. FTP envoie les noms dutilisateur, les mots de passe et les donnes non cryptes. Ce service nest pas utilis par le centre mais il est ouvert sur quelques postes, il fallait sassurer de son utilit. La vulnrabilit numro 5 : la commande VRFY peut conduire un attaquant distant rcuprer le premier et le dernier nom enregistr nimporte quel compte e-mail donn. Cela peut aider un attaquant faire des attaques de type social engineering. 109

Chapitre 5

Audit Technique

La vulnrabilit numro 6 : Le service Telnet est activ sur ce poste de travail. Ce service permet un utilisateur distant de se connecter une machine. Il envoie tous les noms d'utilisateur, mots de passe et les donnes non cryptes. Cependant, il peut tre exploit pour raliser des attaques complexes de type DoS. Le centre utilise le protocole ssh pour les connexions distance pour plus de scurit mais cette politique nest pas applique sur les postes de travail des simples utilisateurs, elle nest appliqu que pour les serveurs et les postes des administrateurs. Cette vulnrabilit est de moyenne gravit.

La vulnrabilit numro 10 : Il existe plusieurs versions dOpenSSH sur ce poste qui peuvent entraner un dpassement d'entier et d'lvation de privilges. Un attaquant peut utiliser cette vulnrabilit pour obtenir un accs administrateur distance n'importe quel serveur utilisant OpenSSH. Cette vulnrabilit est dun haut niveau de gravit.

5.5.2 Audit de vulnrabilits intrusif externe


Le but de cet audit est de tester la rsistance de larchitecture technique de scurit face aux ventuelles attaques, en oprant dans des conditions analogues celles dont disposerait une personne mal intentionne ayant des connaissances sur le systme dinformation du centre. Lobjectif de cette phase est didentifier pour chaque vulnrabilit le type des applications et des services actifs ainsi que le niveau des mises jour des systmes dexploitation. Pour raliser ce type de test, on a utilis le framework Metasploit.

5.6 Audit de larchitecture de la scurit existante


Lobjectif de cette phase est dexaminer larchitecture technique dploye et de

mesurer la conformit des configurations quipements rseaux, pare-feu, routeurs,etc. avec la politique de scurit dfinie et les rgles de lart en la matire. On va commencer tout dabord par laudit du pare-feu et des rgles de filtrages ensuite on va auditer les routeurs.

5.6.1 Audit du pare-feu et des rgles de filtrages


Un pare-feu est une structure destine empcher un intrus de la traverser. Ils sont conus pour protger un rseau local priv de l'Internet. En effet, chaque ordinateur connect Internet est susceptible d'tre victime d'une intrusion pouvant compromettre l'intgrit du systme, ou permettre de voler ou d'altrer des donnes. Chaque pare-feu possde des rgles

110

Chapitre 5

Audit Technique

de filtrages qui permettent de grer laccs ; accepter ceux qui sont autoriss et rejeter ceux qui ne sont pas.

5.6.1.1 Description du pare-feu


Le pare feu implment dans le CIMSP est un Cisco PIX, il est considr comme le produit le plus performant, occupe la premire place du march. A ce titre, il est le produit phare de Cisco en matire de scurit depuis 1996. Install sur un rseau, le PIX dtermine si le trafic est autoris, dans un sens ou dans lautre. Le cas chant, il active la connexion ; celle-ci aura un impact quasiment nul sur les performances du rseau. Les donnes dun trafic non autoris sont dtruites. Le PIX se base donc sur les couches 3 et 4 du modle OSI et peut assurer le suivi des changes et utilise l'ASA (Adaptive Security Algorithm) pour ce filtrage dynamique. Si les paquets d'une communication sont accepts alors les paquets suivants de cette communication seront accepts implicitement. Il peut aussi contrler l'accs de diffrentes applications, services et protocoles et protge votre rseau contre les attaques connues et courantes. Ce pare-feu gre galement le VPN (IKE et IPSec). On peut ainsi crer des tunnels VPN entre sites. Le Cisco PIX 525 est quip dun processeur AMD SC520 cadenc 600 Mhz. Il dispose de 256 Mo de mmoire vive et dune mmoire flash de 16 Mo. Au niveau des interfaces de connexion, le PIX 525 supporte 8 interfaces au maximum et possde 2 ports Ethernet pour la connexion externe et un commutateur 10/100 ou 10 VLAN pour le rseau interne.

5.6.1.2 Les rgles de filtrages


On a pu consulter les rgles de filtrages du pare-feu et selon notre analyse, on constate que les rgles sont diviss en des rgles pour laccs internet, des rgles pour laccs la zone DMZ, des rgles pour laccs en interne, des rgles pour laccs au messag erie et des rgles pour laccs au proxy et enfin, des rgles pour laccs au CNI. Il est bien clair que le nombre des rgles est grand vu que le rseau du CIMSP est trs tendu mais ce critre peu agir sur la performance du pare-feu et ainsi la performance de tout le rseau. On a remarqu aussi lexistence de quelques rgles daccs pour le serveur RADIUS qui nest plus utilis dans larchitecture rseau du CIMSP ce qui nous mne dire que ces rgles de filtrages ne sont pas tester rgulirement pour mettre jour en cas de changement ou de modification.

111

Chapitre 5

Audit Technique

5.6.1.3 Analyse de la liste de contrle du pare-feu


Pour notre audit pare-feu, on a exploit une liste de contrle prsent en annexe 3 qui est spcifique pour les pare-feu CISCO. On va analyser les rponses que le responsable nous a fournies. Le pare-feu autorise les requtes ICMP indpendamment des adresses IP source et destination. Le protocole ICMP permet de collecter des informations sur la topologie du rseau et sur les quipements de communication. La rgle que le pare-feu applique est la suivante access-list distant_dmz_access_in permit icmp any any. En ce qui concerne les logs, nous avons su que quils ne sont pas analyss priodiquement, ils peuvent tre rviss seulement en cas de suspections dune attaque. De cet effet, les traces des connexions sur le pare-feu ne sont pas enregistres. Le PIX 525 ne contient pas des outils pour lanalyse des audits et la gnration des rapports de plus les mises jour et les derniers patchs ne sont pas automatiquement tlchargs des sites web du constructeur. Le responsable sur le pare-feu napplique pas une procdure pour la vrification des ports ouverts pour dterminer ceux qui sont utiliss et ceux qui doivent tre ferms. Un tel test doit tre effectu sil existe un contrle dintgrit automatis du pare-feu. Mais au cot de tous ces insuffisances, le pare-feu primaire du CIMSP est secouru par un autre secondaire qui, en cas de panne du premier, prend la relve sans interrompre les connexions qui sont tablis. Il permet aussi de protger tout le trafic destin aux adresses internes et protge les connexions TCP distance travers la surveillance du bit dacquittement. Sa configuration nous permet de connaitre quels serveurs sont sur quelle interface en sassurant du bon acheminement du trafic. Son administration peut tre ffectu de deux manire ; distance par la console de PUTTY et par une interface web qui est facile grer et bien scurise.

5.6.2 Audit des routeurs


Gnralement, les routeurs sont des lments physiques qui ont, pour fonction principale, de prendre un paquet et de le renvoyer au bon endroit en fonction de la destination finale. On va dcrire tout dabord les diffrents routeurs qui existe au sein du CIMSP ensuite on va analyser la liste de contrle qui vise recenser les vulnrabilits des routeurs.

112

Chapitre 5

Audit Technique

5.6.2.1 Description des routeurs


Larchitecture du CIMSP comporte 4 routeurs qui sont des produits CISCO et un autre qui est de type HUAIWEI 3600. Ce tableau decrit les diffrents types de routeur au sein du CIMSP. Marque CISCOAS 5300 Description
L'AS5300 est gnralement configur avec 128 Mo de DRAM (maximum) et 16 Mo de Flash (32 Mo disponibles). Il ya deux ports Ethernet - un 10 et un 10/100. L'AS5300 peut galement tre configur en tant que personne / unit tlphonique. Encore une fois, une PRI carte est installe dans la fente en bas, et dialup transporteur cartes (AS53-CC-DMM pour un maximum de 120 modems haute densit de mica ou AS53-CC-DM jusqu' 60 modems faible densit de mica avec jusqu' 60 ports). Cisco srie AS5400 est compatible avec tous les types de ports et offre des services de tlcopie, sans fil, voix et donnes tout moment. la passerelle AS5400 joue la fois le rle de serveur d'accs distant et de passerelle vocale. La gamme Cisco 2800 supporte la plupart Assurant notamment linterconnexion de sites distants haut dbit sur des connexions wan T1/E1 ou xDSL. De plus, ces routeurs disposent de fonctions de cryptage matrielles directement embarques sur la carte mre et ainsi que des emplacements pour des DSP Voix. Ainsi ils disposent en option dun systme de prvention des intrusions (IPS), de fonctions de pare-feu inspection dtats, du support de la tlphonie et de la messagerie vocale. Larchitecture de la gamme Cisco 2800 a t spcifiquement conue pour rpondre aux besoins croissants des sites distants dentreprise et des PME / PMI en matire dapplications, La gamme Cisco 2800 offre lventail doptions de connectivit le plus large de lindustrie avec des caractristiques de disponibilit et de fiabilit la pointe de la technologie. Cisco 2600 sries est un routeur interarmes modulaire d'accs qui fournit des configurations flexibles de LAN et de WAN, des options multiples de scurit, et une gamme des processeurs rendement lev. Avec plus de 70 modules et interfaces de rseau, l'architecture modulaire de Cisco 2600 sries permet des interfaces d'tre facilement amliores pour l'expansion de rseau. Routeurs 3600 modulaire (dnomm R2600/3600 srie ci-aprs) sont dveloppes indpendamment par Huawei pour les rseaux d'entreprise. Ils peuvent tre utiliss comme routeurs de base en moyenne et de petite taille Intranets, ou comme des serveurs d'accs certaines sections principales. Il supporte la sauvegarde mutuelle entre ces rseaux comme DDN, X.25, PSTN, RNIS et relais de trames. Ils fournirent la solution au bureau de haute densit distance. Il supporte un maximum de 112 utilisateurs de modems analogiques ou 28 utilisateurs de modems ISDN BRI.

CISCOAS 5400 CISCO 2800

CISCO 2600 Series

HUAIWEI 3600 Series

Tableau 5. 2.Description des routeurs du CIMSP.

5.6.2.2 Analyse de la liste de contrle des routeurs


Pour notre audit des routeurs, on a exploit une liste de contrle prsent en annexe 4 qui est spcifique pour les routeurs de type CISCO. On va analyser les rponses que le 113

Chapitre 5

Audit Technique

responsable nous a fournies. Les routeurs et tous les quipements rseau se situent dans la salle machine. Cette salle est protg physiquement et logiquement avec limitation daccs, toute personne responsable dun quipement dans la salle machine a le droit dy accd suite un analyse de lempreinte digitale. La salle machine est protg des interfrences

magntiques et lectrostatiques. La gestion des routeurs se fait travers les lignes de commandes. En ce qui concerne la documentation, le centre ne possde pas les procdures de gestion et les changements de configuration des routeurs. Les logs des routeurs ne sont ni rviss ni contrls priodiquement, ils ne sont contrles que lorsque si cest ncessaire et ils ne sont pas archivs. La cartographie du rseau nest pas jour, il y a une carte des sites distants mais en interne non mais les emplacements des routeurs et des quipements rseau sont indiqus dans larchitecture rseau du CIMSP. Pour ladministration des routeurs, il existe deux administrateurs qui ont le droit de faire des modifications. Les changements faits partir du rseau ne sont faits que par un contrle de mot de passe mais ces mots de passe ne sont pas changs rgulirement. Ladministration se fait via le protocole scuris SSH avec authentification des utilisateurs distance. La version logicielle du routeur nest pas suivie, et les mises jour ne sont pas faites rgulirement, la dernire version stable t tlcharg il y a 3 mois. Tous les comptes et mots de passe par dfaut sont supprims, et on a cre 15 autres comptes par niveau. Les routeurs sont vulnrables aux attaques de type SYN Flood et de type smurf malgr que les ports auxiliaires, toute interface inutilise, les protocoles Finger et ARP sont tous dsactiv sur le routeur.

5.7 Audit des systmes et des applications


Dans cette section, on sintresse la scurit des systmes suivants quon juge les plus critiques pour le centre et qui sont dans notre primtre daudit : Systme de messagerie interne LOTUS NOTES Systme dexploitation UNIX A cet effet, on a labor un ensemble des listes de contrles concernant la messagerie interne Lotus Notes et lUnix.

5.7.1 Audit LOTUS NOTES


Le LOTUS NOTES est loutil quutilise le centre pour le partage de ses donnes. Cest un logiciel de travail collaboratif qui gre les courriers et les donnes du tout le personnel du centre dans le but doptimiser le travail et amliorer la communication. La liste de contrle 114

Chapitre 5

Audit Technique

suivante vrifie quelques contrles dans la version mise en place qui est la version 7 en sassurant de la conformit de celles-ci par rapport aux rgles standards de configuration et dutilisation.
N 1 Critre Scurit du ID File Contrle Est-ce que le contrle du ID File et des mots de passe est maintenu correctement? Conformit Oui Remarque nombre de caractres et complexit de mot de passe Sauf en cas de modification et dexception

Expiration des ID File Restriction de lutilisation des iNOTES Logiciels de backup Disponibilit des UPS ( Unterruptable Power Supplier) Suppression de tous les services et tches inutiles SMTP relaying est scuris

Tous les ID des fichiers doivent expirer dans deux ans. Utilisation des iNOTES seulemen t quand les ordinateurs distance sont scuriss Vrifier si lopration de backup inclut les fichiers ouverts Vrifier si le serveur est conne ct un UPS

Oui

Non Il nya pas de backup

4 5

Non Non

Arrt de tous les services inutiles et suppression de tous les logiciels non relis Lotus Notes Notes.ini vrifier SMTPMTA_REJECT_RELAYS=1 SMTP_OCH_REJECT_SMTP_ORIGINATED_ MESSAGES=1 SMTPMTA_RELAY_FORWARDS=1 Utilisation de S/MIME Activation du port de cryptage pour tous les ports La messagerie doit tre protge par un anti virus Vrifier les dernires mises jour du Lotus et du systme dexploitation Vrifier les bonnes pratiques au niveau de lOS

Oui

Oui

8 9 10 11 12

Cryptage Port de cryptage Anti -Virus Mise jour Robustesse du systme dexploitation Eviter les conflits de rplication Duplication de bases de donnes Maintenance des utilisateurs Robustesse des mots de passe Listes daccs Accs au niveau OS Utilisation des noms complets Restriction pour la cration des bases de donnes Revue du contrle daccs aux fichiers importants

Oui Non Oui Non Oui

13 14

15

16 17 18 19 20

Vrifier la revue de s rplications de logs des conflits par ladministrateur Les rplications multiples de bases de donnes ne doivent pas tre stockes dans un seul serveur Domino. Suppression des utilisateurs qui nont plus le droit daccs. La liste des utilisateurs doit tre maintenue jour. Vrifier que les mots de passe doivent avoir au moins 8 caractres Toutes les bases de donnes doivent avoir leurs propres listes daccs Vrifier si l e contrle daccs est implment au niveau du systme dexploitation Vrifier que d es noms complets sont toujours utiliss La cration des bases de donnes doit tre restreinte pour des utilisateurs spcifiques. Le co ntrle daccs aux fichiers suivants doit tre revu : LOG.NSF, STATREP.NSF, ADMIN4.NSF, EVENTS4.NSF, CERTLOG.NSF, NAMES.NSF ?

Non Non Un seul serveur existe

Oui

Non Oui Oui Oui Non

4 caractres

21

Oui Pour ladministrateur

Tableau 5.3.Liste de contrle LOTUS NOTES.

5.7.2 Audit systme dexploitation UNIX


On a audit le systme dexploitation Unix fin de savoir est ce que ils le ont bien maitris au niveau de scurit. Le systme utilis est SUSE, on a pu contacter ladministrateur systme pour rpondre aux questions dune liste de contrle propos dans le tableau 5.3.

115

Chapitre 5

Audit Technique

Cette liste comprend des commandes excuter afin de vrifier leurs conformits par rapport aux mesures de scurit.

116

Chapitre 5

Audit Technique

117

Chapitre 5

Audit technique

118

Chapitre 5

Audit Technique

Tableau 5. 4. .Liste de contrle du systme dexploitation UNIX.

5.8 Conclusion
Ce chapitre sest tal sur la phase de laudit technique en se basant sur des outils de scan pour valuer le niveau de scurit des composants du rseau du CIMSP. On a tout dabord audit larchitecture du systme qui englobe le plan dadressage, larchitecture rseau, le sondage des systmes et le sondage des services et des flux rseau. Ensuite, on a essay de dtecter les vulnrabilits des serveurs et des postes de travail appartenant au rseau du centre afin didentifier les failles qui peuvent affaiblir le rseau. Aprs, nous nous sommes concentrs sur le pare-feu et les routeurs pour auditer larchitecture de scurit. Finalement, laudit applicatif a t consacr pour laudit du systme de messagerie interne LOTUS NOTES et pour le systme dexploitation UNIX.

119

Chapitre6

Recommandations et Plan daction

Chapitre 6

Recommandations et Plan daction


6.1 Introduction
Aprs avoir termin lvaluation technique, on va essayer de dceler les failles de scurit et les vulnrabilits des diffrents composants du systme dinformation. Dans ce chapitre, on va orienter les propositions des recommandations dordre organisationnel physique et dordre technique pour pallier aux insuffisances. La mise en place de ces recommandations peut tre faite progressivement selon le degr durgence et la disponibilit des ressources humaines et budgtaires. Pour cette raison, on va focalise la mise en place dun plan daction pour la mise en uvre de quelques recommandations proposes.

6.2

Les recommandations
Les recommandations sont dordre organisationnel, physique et technique. Mais il

existe dautres qui sont dordre stratgique ; on a constat durant notre mission daudit que les processus mtiers et les procdures du centre ne sont pas tous formaliser car les processus et les procdures crites existantes dans le CIMSP ne couvrent pas la totalit des activits rellement exercs surtout celle du service rseau. Il est recommand aussi dutiliser des indicateurs de scurit qui visent vrifier que les objectifs de scurit sont atteints et que la direction gnrale doit les fixer auparavant, ces indicateurs doivent tre adapts au contexte de centre. Un exemple dindicateurs de scurit fourni par lISO 27001 est en propos en annexe5.

6.2.1 Recommandations organisationnelles et physiques


Dans cette section, on propose les recommandations organisationnelles et physiques rparties par thme suivant la norme ISO 17799. Il est recommand de les mettre uvre pour pallier aux insuffisances.

6.2.1.1 Politique de scurit


Le CIMSP est tenu dlaborer sa propre politique de scurit qui doit tre approuve par la direction, distribue et publie tout le personnel. Chaque employ doit signer et respecter les termes indiqus dans la documentation de la politique. Le centre possde dune charte informatique qui nest communiqu que pour les correspondants des tablissements 120

Chapitre 6

Recommandations et Plan daction

sanitaires et elle est inexistante pour le personnel du CIMSP. Le message qui doit tre dlivr travers la politique de scurit et la charte informatique est que toute violation de la confidentialit est un dlit punissable selon le degr de sa gravit.

6.2.1.2 Organisation de la scurit du systme d'information


Lorganisation de la scurit consiste assurer le dveloppement, limplmentation et la mise jour des politiques et des procdures de scurit. Pour grer la scurit, il est conseill de prendre en compte les recommandations suivantes : Un audit scurit du systme dinformation doit tre ralis priodiquement et systmatiquement au moins une fois par an. Une unit de scurit du systme dinformation doit tre cre et doit tre rattache la direction gnrale. De plus, un responsable de scurit du systme dinformation (RSSI) doit tre nomm. Ce dernier aura le rle dtablir le lien entre son quipe de travail et tous les autres employs du centre pour avoir des conseils et des informations de tous les services. Il est charg de llaboration de la politique de scurit et de dfinir des rgles clairs et applicables. Il doit sassurer de leur bonne diffusion, leur comprhension et contrler leurs mises en uvre. Les responsabilits de lunit de scurit du systme dinformation sont les suivantes ; de suivre et contrler le respect de la politique de scurit, de dvelopper un programme de formation et de sensibilisation du personnel en vue de la scurit et de la protection des donnes et enfin de coordonner toutes les activits relies la scurit informatique. Constituer un comit de scurit du systme dinformation compos par les responsables de toutes les directions du centre et dont le RSSI aura un rle pivot. Chaque responsable va tre le dlgu du RSSI pour mettre en uvre la politique de scurit et veiller son respect dans sa direction. Le RSSI est tenu dlaborer un tableau de bord de scurit pour permettre aux dcideurs davoir une ide claire sur la situation laide des indicateurs pertinents facilitant la prise des dcisions adquates en un temps opportun. Lutilisation des tableaux de bord pour visualiser le niveau de scurit du centre. Le centre doit disposer d'une veille technologique adapte ses environnements et ses enjeux, avoir par exemple un suivi des vulnrabilits et des correctifs.

121

Chapitre 6

Recommandations et Plan daction

6.2.1.3 Gestion des biens (des actifs)


Un inventaire global des biens et ressources, y compris les licences associes, permettant au moins d' identifier les lments sensibles et vitaux doit tre dress. Une classification des ressources et des informations doit tre effectu selon les trois critres suivants ; la disponibilit, lintgrit et la confidentialit. Le centre doit prsenter aux employs une formation approprie sur l'utilisation des outils notamment la mise en production de nouveaux outils pour garantir la bonne utilisation des ressources. Les dispositifs de stockage contenant des informations sensibles qui sont physiquement dtruits doivent tre effacs de faon scurise. Le cblage lectrique et de tlcommunication transmettant des donnes ou supportant des services d'information doit tre protg contre les dommages. Le matriel doit tre protg contre les pannes de courant ou les autres anomalies lectriques. Le matriel doit tre entretenu conformment aux instructions du fabricant et/ou aux procdures documentes afin d'assurer sa disponibilit et son intgrit continues.

6.2.1.4 Scurit lie aux ressources humaines


Le personnel est tenu respecter la politique de scurit que le centre va la mettre en uvre. A cet effet, une mise niveau des employs dans le domaine de la scurit de linformation doit tre mene en planifiant des cycles de formation priodiques interne et externe du centre et en organisant des programmes de sensibilisation qui devront expliquer les mthodes de protection de linformation surtout celle qui sont critiques tel que les login et les mots de passe. Le personnel du centre doit tre conscient de sa responsabilit envers le CIMSP en cas de violation de la scurit, il doit assimiler les consquences de ses actions. La comit de scurit est tenu noter et reporter toute faille de scurit observe ou souponne dans les systmes ou les services ou toute menace laquelle ces derniers seraient exposs. Les mesures disciplinaires pour violation de la politique de scurit et des procdures de scurit doivent tre communiques tous les employs.

122

Chapitre 6

Recommandations et Plan daction

Une sparation des tches est ncessaire dans le service rseau, chaque individu doit avoir ses propres tches excuter. Le service rseau a besoin des nouvelles comptences ; une quipe pour la surveillance rseau doit tre envisage, Une quipe pour la scurit rseau doit tre envisage.

6.2.1.5 Scurit physique et environnementale


La protection physique couvre la protection des ordinateurs, des immeubles, des quipements, de toute sorte daccident ou des intrusions. Daprs notre audit organisationnel et physique, nous avons dduit que le service contrle daccs aux locaux sensibles est le service qui a le plus grand besoin en matire de scurit alors les actions suivantes doivent tre misent en uvre : Une politique daccs aux immeubles doit tre rdige et confirmer par la direction gnrale et elle doit tre applique conformment aux rgles de la politique de scurit. Le contrle daccs effectu par le responsable daccueil, doit tre document dans des feuilles et exporter vers une base de donnes chaque jour pour conserver larchive des visites. Les employs ainsi que les visiteurs doivent porter une carte didentit visible tel que les badges durant leur existence au centre afin de pouvoir dterminer qui provient du centre ou qui vient de lextrieur. La visite nest rellement termine que lorsquon sest assur que tous les visiteurs sont lextrieur du centre. Un tiers ayant apport du matriel ou des supports doit sortir des locaux avec le mme matriel ou un rcpiss sign par matriel en plus ou en moins. Il est recommand dinstaller des camras de surveillance dans les locaux sensible du centre particulirement la salle machine. Mettre en place un poste de surveillance pour les dtecteurs d'humidit proximit de la salle machine.
Installer des dtecteurs de fume dans les bureaux du centre.

Il est recommand de prserver une salle quip pour les stagiaires du centre pour ne pas dranger les employs pendant leur priode de stage. La salle de formation ncessite des actions de maintenance urgente car elle prsente un danger pour les personnes qui y accde et pour les quipements informatique quelle contient.

123

Chapitre 6

Recommandations et Plan daction

6.2.1.6 Gestion de lexploitation et des tlcommunications


La ralisation systmatiquement dune revue formelle des nouvelles fonctionnalits ou des changements de fonctionnalits lies un nouveau logiciel ou quipement ou une nouvelle version et des risques ventuels. Dfinir une procdure pour les paramtrages de scurit et les rgles de configuration te que la suppression de tout compte gnrique, le changement de tout mot de passe gnrique, la fermeture de tout port non explicitement demand et autoris, les paramtrages du contrle des droits et de l'authentification, le contrle des tables de routage,etc. Etablir un plan de sauvegarde couvrant l'ensemble des configurations du rseau tendu, dfinissant les objets sauvegarder et la frquence des sauvegardes. Mise en place un service de signature lectronique. Documenter les procdures dexploitation, de sauvegarde et ils doivent tre tenues jour et disponibles pour tous les utilisateurs concerns. Mettre en place un processus de sparation des tches pour rduire les occasions de modification ou de mauvais usage non autoris ou involontaire des biens du centre. Scuriser les changes dinformation et des logiciels.

Des mesures de matrise, de dtection et de prvention doivent tre mises en uvre afin de
fournir une protection contre les logiciels malveillants. La gestion des supports informatiques amovibles, tels que les bandes, les disques les cassettes et les rapports imprims doivent tre matrise. Une politique doit tre labore pour lutilisation du courrier lectronique et des mesures de matrise doivent tre mises en place afin de rduire les risques de scurit crs par le courrier lectronique. Des procdures et des mesures de matrise doivent tre en place pour protger lchange dinformations par des moyens de communication vocale, par tlcopie et vido.

6.2.1.7 Contrle daccs


Mettre la disposition des utilisateurs un guide de bonnes pratiques en gestion des mots de passe. Lattribution des mots de passe doit tre matrise par un processus de gestion Officiel ; de cet effet, une dclaration de non divulgation de mot de passe doit tre signe par les utilisateurs. 124

Chapitre 6

Recommandations et Plan daction

Les systmes de gestion des mots de passe doivent fournir une fonction interactive efficace qui assure la qualit des mots de passe ; pas de mots de passe trop courts ou trop simples, pas de rutilisation de mots de passe prcdents,...etc. La politique de mot de passe doit imposer un changement priodique. Informer les employs des pratiques de scurit des quipements qui sont les serveurs et les postes de travail laisss sans surveillance ; titre dexemple : Fermer la salle machine si elle nest pas occupe par personne. Instaurer un dlai de dconnexion automatique aprs une priode dinactivit Instaurer une limite de temps pour la connexion Dsactiver les priphriques de dmarrage autres que ceux autoriss La politique daccs au rseau doit tre dfinie et documente comme des procdures pour protger laccs aux quipements actifs du rseau, les protocoles, les applications, les systmes, les services rseaux,etc. Mettre en place un systme bas sur le protocole KERBEROS qui permet lauthentification scurise des utilisateurs et le single sign on (SSO) qui consiste utiliser un seul mot de passe pour accder tous les services rseaux. Une politique sur l'utilisation des commandes cryptographiques pour la protection des informations doit tre labore et suivie. Des signatures numriques doivent tre utilises pour protger l'authenticit et l'intgrit de l'information lectronique.

6.2.1.8 Acquisition, dveloppement et maintenance des systmes dinformation


Les installations, les matriels et les logiciels du systme d'information ainsi que ceux qui assurent la protection du systme d'information et la fourniture des services essentiels doivent tre maintenus et tests rgulirement. Mettre en place des procdures pour contrler linstallation du logiciel sur les systmes en exploitation. Des vrifications de validation doivent tre incorpores dans les systmes afin de dtecter toute altration des donnes traites. Une matrise doit tre applique sur limplantation de logiciels sur les systmes oprationnels.

125

Chapitre 6

Recommandations et Plan daction

Lachat, lutilisation et la modification des logiciels doivent tre matriss et contrls afin de les protger contre la possibilit dintroduction de voies secrtes.

6.2.1.9 Gestion des incidents lis la scurit de linformation


Il est primordial de faire une classification des incidents de scurit allant de plus critiques aux plus simples. Un incident est considr comme critique sil empche la poursuite dune ou de plusieurs activits extrmement cruciales pour le fonctionnement du centre. Dans des autres circonstances lincident peut tre class comme simple sil touche seulement un groupe dutilisateurs dont les activits ne sont pas critiques pour le bon fonctionnement de lorganisme. Des responsabilits et des procdures de gestion des incidents doivent tre tablies de faon assurer une raction rapide, efficace et ordonnes aux incidents de scurit.

Il faut mettre en place des mcanismes permettant de quantifier et surveiller les diffrents
types dincidents lis la scurit de linformation ainsi que leurs cots associs. Constituer un archive sur disque ou sur cassette par exemple de tous les lments ayant permis de dtecter une anomalie ou un incident.

6.2.1.10 Gestion du plan de continuit de lactivit


Un processus doit tre mis en place pour assurer le dveloppement et la maintenance de la continuit de service. Pour se faire, le centre est appel raliser un plan de continuit ou un plan de secours informatique doit tre mise en uvre alors le processus doit commencer par la rdaction dun cahier des charges du plan de secours informatique. Les actions suivantes doivent tre ralises : Identifier les processus mtiers critiques Identifier les menaces qui pourraient causer des interruptions aux principaux mtiers Evaluer limpact ou les consquences sur les processus mtiers Identifier les ressources et les dpendances Evaluer les risques et la frquence des pannes Etablir les priorits partir des risques et impacts recenss par lanalyse de risque.

126

Chapitre 6

Recommandations et Plan daction

6.2.1.11 Conformit
Afin dviter des infractions dordre lgal, rglementaire ou contractuel, le centre doit se plier aux lois et aux rglements internes. A cet effet, il doit sassurer de la conformit de lutilisation des systmes et des applications la politique de scurit qui va tre tabli. Pour cela il faut mettre en place des procdures de droulement des audits et de contrle pour surveiller les ventuelles violations de la. En ce qui concerne les logiciels, le centre doit aussi acqurir des logiciels uniquement partir de sources connues et rputes afin de sassurer du respect du droit de reproduction.

6.2.2 Recommandations techniques


Dans cette section, on va proposer des recommandations dordre techniques mettre en uvre pour pallier aux insuffisances. La mise en place de ces recommandations peut tre faite progressivement selon le degr durgence et la disponibilit des ressources humaines et budgtaires.

6.2.2.1 Exploitation du rseau


Le plan dadressage doit tre rvis afin dorganiser les postes dans des sous rseau spars selon lorganisation hirarchique des services, pour la protection et lisolement des systmes sensibles alors les sous-rseaux fonctionnels indpendants doivent tre segments. Il est recommand de renforcer les mcanismes dauthentification/identification au rseau local par une vrification de la correspondance entre ladresse IP et ladresse MAC. Un serveur de domaine doit tre mise en place pour grer les utilisateurs du rseau interne du CIMSP vue quil faut assurer la transparence entre les directions et les dpartements oprationnelles, tant donne que certaines informations sur des postes de travail sensibles sont critiques et sont exposes aux risques des intrusions internes. Choisir des plages dadresse non limit pour pouvoir intgrer plusieurs machine afin denvisager lextension du rseau du centre. Mettre en place un rseau WIFI pour minimiser les couts et assurer la mobilit.

Minimisation des protocoles et services, seulement le minimum suffisant de protocoles et de


services rseau doit tre permis sur chaque systme (FTP et TELNET doivent tre ferms). Certains services en activit sur les stations (serveurs et routeurs) ne sont pas recenss, il est recommand de les dsactiv trs vite. Donc il faudra dcider de leur utilit et de sassurer 127

Chapitre 6

Recommandations et Plan daction

priodiquement de labsence de failles des versions des outils les exploitant, tel que tit re dexemple : http, https, SNMP, 135 (tcp and udp), 137 (udp), 138 (udp), 139 (tcp) et 445 (tcp & udp). Il est recommand dviter les partages inutiles et dappliquer les rgles de contrle daccs et de mettre en place une politique dauthentification afin de garantir la confidentialit, lintgrit et la disponibilit de donnes. Mise en place dune stratgie de scurit sur les postes de travail minimisant les risques de vandalisme et les erreurs de manipulation. Un inventaire jour des systmes et de leur configuration doit tre labor, mis jour chaque modification des systmes ou des configurations et diffus aux acteurs ayant besoin d'en connatre. Des journaux d'audit o sont enregistrs les exceptions et les autres vnements relatifs la scurit doivent tre produits et tenus pendant une priode convenue de faon faciliter les enqutes futures et le contrle des mesures de matrise des accs. Toute modification des configurations matrielles ou logicielles doit prendre en compte la compatibilit avec le reste du systme d'information et les anciennes sauvegardes ou archives et prvoir une procdure de retour arrire en cas d'anomalie. Les supports darchivage doivent tre conservs dans des coffres forts afin de les protgs. Les accs aux systmes doivent tre journalises avec si possible et au minimum l'identit de l'utilisateur, le systme concern et la date et l'heure de l'accs. De mettre en place une stratgie de sauvegarde et de restitution des donnes formellement dcrite et de vrifier le bon fonctionnement des supports de sauvegarde aprs chaque cycle de ce dernier. Mise en place dune sonde IPS : Un outil de dtection dattaques doit tre install pour dtecter les attaques et les intrusions sur les diffrents points dentre du rseau.

6.2.2.2 Les recommandations du Pare-feu


Le pare-feu doit permettre un filtrage au niveau application pour bloquer tout dtournement par un administrateur ou un utilisateur non privilgi du systme utilisant des commandes de haute priorit. Il est recommand darchiver les journaux de log du pare-feu, les contrls et les audits rgulirement. Les requtes ICMP doivent tre bloques. 128

Chapitre 6

Recommandations et Plan daction

Les mises jour doivent se faire rgulirement et automatiquement partir du site du constructeur. Toutes les modifications de configuration du pare-feu doivent tre documents et conservs dans un endroit scuris afin dassurer la continuit de travail. Les rgles de filtrage doivent tre jour et tests contre les attaques. Un audit de pare-feu doit tre effectu rgulirement.

6.2.2.3 Les recommandations des routeurs


Enregistrement des tentatives daccs aux routeurs. Il est recommand darchiver les journaux de log des routeurs, les contrls et les audits rgulirement. Toutes les modifications de configuration des routeurs doivent tre documents et conservs dans un endroit scuris afin dassurer la continuit de travail. Les mises jour doivent se faire rgulirement et automatiquement partir du site du constructeur.

6.2.2.4 Les recommandations du systme de messagerie interne


Mise en place dune politique de gestion des mots de passe. Planification des cycles de formation pour la certification Lotus Notes au profil des administrateurs.

6.2.2.5 Recommandation du systme dexploitation UNIX


Il est ncessaire de faire des sauvegardes systme rgulirement. Des tests priodiques de restauration de donnes doivent tre tablis partir des supports de sauvegarde. Restriction daccs au systme partir de la console seulement pour ladministrateur. Utilisation de la mme version pour faciliter la mise jour et viter lincompatibilit des donnes puisque il y a deux versions utilises

6.3

Plan daction
La mise en place dun plan daction permet lentreprise datteindre ses objectifs en

matire de scurit. Le plan daction est un regroupement des diffrentes oprations quil faut 129

Chapitre 6

Recommandations et Plan daction

raliser. Gnralement un plan daction stale sur 3 ans puisquon on ne peut pas tout mettre en place simultanment. Pour cela on doit dfinir des priorits et pour pouvoir dfinir des priorits on doit avoir un critre de choix. Les critres de choix qui seront utiliss sont les suivants : Cot, limportance et le degr de gravit des vulnrabilits dcouverte lors de laudit. Alors que, les priorits exploites sont ventiles comme suit : court terme (C), moyen terme (M), et long terme (L). Domaine Stratgique Code 1.1 Recommandations -Formaliser tous les processus mtiers du CIMSP dans des procdures surtout ceux du service rseau. 1.2 -Fixer les objectifs de scurit et le paramtrage des risques dans des grilles et des tables standards. 1.3 -Planifier des audites scurit du systme C C Priorit L

dinformation au moins une fois par an. Organisationnel 2.1 -Rdiger un document de politique de scurit qui doit contenir les directives, les procdures, les rgles organisationnelles et techniques, ayant pour objectif la protection du systme dinformation du centre. 2.2 -Diffuser le document pour tout le personnel du centre. 2.3 -Nomination dun responsable de scurit du systme dinformation. 2.4 -Diffuser la charte de scurit informatique pour tout le personnel du centre. C C C C

130

Chapitre 6 2.5

Recommandations et Plan daction -Raliser un inventaire complet de toutes les ressources et procder une classification de ces ressources sur les 3 critres suivants : disponibilit, confidentialit et intgrit. 2.6 -Designer, dans un document formalis, un responsable pour chaque ressource. M M

Physique

3.1

-Renforcer le contrle daccs surtout la salle machine.

3.2

-Mettre en place un processus didentification pour les visiteurs ainsi que les employs bas sur les badges.

3.3

-Automatiser larchivage des visites dans une base de donnes pour avoir une trace de tous les accs au centre

3.4

-Installer des camras de surveillance dans la salle machine

3.5 3.6 Continuit 4.1 4.2

-Prparer une salle quipe pour les stagiaires. -Rparer la salle de formation. -Rdiger un plan de secours informatique. -Crer un registre et une base de donnes pour consigner les anomalies et les incidents de scurit.

M C L C

Logique

5.1 5.2

-Crer des profils utilisateurs. -Elaboration des procdures pour le contrle daccs.

C C

5.3

-Dfinir un time out pour les sessions inactives.

131

Chapitre 6 Personnel 6.1 -Organiser des cycles

Recommandations et Plan daction de formation et de M

sensibilisation en matire de scurit pour tout le personnel du centre. 6.2 -Informer le personnel, par un document sign de leur part, des diffrents textes de lois qui dfinissent leurs droits et devoirs envers le centre en matire de scurit. 6.3 6.4 -Planifier les formations ncessaires pour le RSSI. -Recruter les comptences ncessaires pour M C M

maintenir le systme dinformation. Applicative 7.1 -Dfinir une procdure pour lanalyse, C

lexploitation et larchivage des logs. 7.2 Exploitation 8.1 -Acqurir une application danalyse des logs. -Mise en place des mcanismes de cryptographie pour la protection des donnes sensibles transmises sur le rseau. 8.2 -Elaboration des procdures dchange M C C

dinformation et de logiciel entre les employs. 8.3 -Mettre en place une politique de sauvegarde des donnes sensibles sur les postes de travail 8.4 -Mettre en place une politique de restauration des donnes. 8.5 -Protger les bandes de sauvegarde dans un endroit adquat.
Tableau 6.1.Plan d'action.

132

Chapitre 6

Recommandations et Plan daction

6.4 Conclusion
Ce chapitre est la clture de cette mission daudit. On a prsent les recommandations organisationnelles et physiques selon les chapitres de la norme ISO 17799 ou 27002. Ensuite les recommandations techniques. Aprs on a propos un plan daction qui regroupe les recommandations quon trouve prioritaire, selon des critres de choix, pour les mettre en uvre.

133

Conclusion gnrale

Conclusion gnrale
Dans ce travail, on sest intress de la scurit du systme dinformation du centre informatique de ministre de la sant publique travers laudit de scurit quon a men. Laudit cest tal sur deux principales phases ; laudit organisationnel physique et laudit technique et sur 6 chapitres. Avant dentamer la premire phase, on a prsent tout dabord les concepts de base de la scurit qui sont le S ainsi les risques qui menacent ces systmes, laudit informatique ; les mthodes et les normes les plus connus aprs on a ralis une tude comparative pour arriver au choix de notre mthode daudit selon des critres bien dfinis. En ce qui suit, on a tudi le contexte de notre mission daudit, on a focalis lorganisme daccueil et on a analys lexistant en matire darchitecture rseau et les mesures de scurit mis en uvre. La premire phase daudit a consist analyser en premier lieu les enjeux du centre pour arriver identifi les risques en ce qui suit, ensuite on a montr les vulnrabilits du systme partir des questionnaires et des entretiens effectus avec les personnes concerns. Ces deux premires tapes nous ont men lanalyse des risques quon la ralis partir des enjeux du centre et partir de la base de connaissance de MEHARI pour arriver au rsultat que le centre a un norme besoin dans la majorit des services de scurit. La deuxime phase daudit a consist tudier les dfaillances dordre technique. Durant cette phase, on a utilis plusieurs outils de sondage et de scan pour identifier les vulnrabilits techniques qui touchent larchitecture du systme savoir les vulnrabilits au niveau du plan dadressage, au niveau du systme, au niveau des partages de donnes et au niveau de la politique de sauvegarde et de restauration. Aprs on a analys les vulnrabilits qui touchent aux services et aux flux rseaux et enfin les vulnrabilits au sein des quipements sensibles comme les serveurs, le pare-feu, les routeurs et mme les systmes. Les rsultats finales de ces deux phases, nous ont guid formuler des recommandations organisationnelles, physiques et techniques et proposer un plan daction dans le but dattnuer les vulnrabilits et les risques encourus. En consquence, ce travail prsente de trs nombreuses perspectives. En se limitant aux perspectives immdiates, on propose que la direction gnrale planifie un audit de scurit en interne effectuer par un responsable de scurit de systme dinformation. Comme la scurit au niveau du centre est fortement lie celle de ces clients qui sont les tablissements hospitaliers, il est ncessaire de planifier des missions daudit au sein de ces 134

Conclusion gnrale tablissements afin dvaluer le niveau de scurit du systme dinformation de tout le systme. Pour les perspectives long terme, on propose la mise en place dun systme de management de scurit de linformation (SMSI) qui est un ensemble dlments interactifs permettant un organisme dtablir ses objectifs de scurit, sa politique de scurit, datteindre ses objectifs et dappliquer sa politique dans le but dobtenir la certification ISO/IEC 27001 qui atteste que la scurit des systmes dinformation a t srieusement prise en compte et que l'entreprise s'est engage dans une dmarche d'amlioration constante. LISO 27001 permet de fournir un modle pour mettre en place et grer un SMSI vu que lexistence dun SMSI dans lorganisme permet de renforcer la confiance dans le m ode de gestion de la scurit de linformation. De plus il est cohrent avec des autres systmes comme le systme de management de qualit, de la scurit des conditions de travail,etc. La mise en place dun SMSI est un processus qui peut tre parcouru tout au long dune thse professionnelle.

135

Liste des acronymes


SI DDOS RSSI PSSI EBIOS DCSSI COBIT ISACA ISO MARION RM RS CRAMM MEHARI CLUSIF PSS POS POE TI BS MSP EPS RNS DMZ ACL DEDI DERSS DAAF FSI ATI LS CNI TTN

Systme dInformation Destributed Denial of Service Responsable Scurit des Systme dInformation Politique de Scurit du Systme dInformation Expression des Besoins et Identification des Objectifs de Scurit Direction Centrale de la Scurit des Systmes dInformation Control Objectives for Information and Related Technology Information Systems Audit and Control Association International Organization for Standardization Mthodologie danalyse de Risques Informatiques Orient par Niveaux Risques Majeurs Risques Simples CCTA Risk Analysis and Management Method MEthode Harmonise dAnalyse de Risques Club de la Scurit des Systmes dInformation Franais Plan Stratgique de Scurit Plans Oprationnels de Scurit Plan Oprationnel dEntreprise Technologies de lInformation British Standard Ministre de la Sant Publique Etablissement Public de Sant Rseau National de la Sant Zone Dmilitarise Access Control List Direction des Etudes et de Dveloppement Informatiques Direction de lExploitation, des Rseaux, de la Scurit et de Soutien Direction des Affaires Administratives et Financires Fournisseurs de Services Internet Agence Tunisienne de lInternet Lignes Spcialises Centre National dInformatique Tunisie Trade Net

BBN OSSIM HIDS OSSEC MRTG Syslog-ng I P G SMTP TELNET TCP UDP CDP IPX STP SNMP SSL HTTP LDAP FTP DoS SSH ICMP ARP SSO HTTPs

BackBone National Open Source Security Information Management. Host Based Intrusion Detection System Office of State Security and Emergency Coordination Multi Router Trafic Graphe Syslog next generation Impact Potentialit Gravit Simple Mail Transfer Protocol TErminaL NETwork Transmission Control Protocol User Datagram Protocol Cisco Discovery Protocol Internetwork Packet Exchange Spanning Tree Protocol Simple Network Management Protocol Secure Sockets Layer Hypertext Transfer Protocol Lightweight Directory Access Protocol File Transfer Protocol Denial-of-Service Secure Shell Internet Control Message Protocol Address Resolution Protocol Single Sign On Hypertext Transfer Protocol Secure Systme de management de la scurit de l'information

SMSI

137

Rfrences bibliographiques
[1]. Manager la scurit de linformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/335.pdf] Nov. 2009. [2]. Guide de la scurit des systmes dinformation [http://www.sg.cnrs.fr/FSD/securitesystemes/documentations_pdf/securite_systemes/guide.pdf] [3]. Scurit des systmes dinformation [http://www.universalis.fr/encyclopedie/SC02007/SYSTEMES_D_INFO.pdf] Nov. 2009. [4]. Scurit des systmes dinformation [http://www.universalis.fr/encyclopedie/SC02007/SYSTEMES_D_INFO.pdf] Nov. 2009. [5]. Pourquoi des normes ISO de scurit de linformation ? [http://www.ysosecure.com/normesecurite/pourquoi-norme-securite.asp] Nov. 2009. [6]. Pourquoi des normes ISO de scurit de linformation ? [http://www.ysosecure.com/norme-securite/pourquoi-norme-securite.asp] Nov. 2009. [7]. Scurit des informations, normes BS 7799, ISO 17799, ISO 27001, EBIOS, MEHARI [http://www.guideinformatique.com/fichesecurite_des_informations_normes_bs_7799_iso_17 799_iso_27001-441.htm] Nov. 2009. [8]. Scurit des informations, normes BS 7799, ISO 17799, ISO 27001, EBIOS, MEHARI [http://www.guideinformatique.com/fichesecurite_des_informations_normes_bs_7799_iso_17 799_iso_27001-441.htm] Nov. 2009. [9]. Normes de scurit : les mthodes d'analyse des risques [http://cyberzoide.developpez.com/securite/methodes-analyse-risques/] Nov. 2009. [10]. Normes de scurit : les mthodes d'analyse des risques [http://cyberzoide.developpez.com/securite/methodes-analyse-risques/] Nov. 2009. [11]. Scurit des informations, normes BS 7799, ISO 17799, ISO 27001, EBIOS, MEHARI [http://www.guideinformatique.com/fichesecurite_des_informations_normes_bs_7799_iso_17 799_iso_27001-441.htm] Nov. 2009. [12]. Rappel sur les normes et mthodes en matire de Scurit des Systmes dInformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/337.pdf] Nov. 2009. [13]. Rappel sur les normes et mthodes en matire de Scurit des Systmes dInformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/337.pdf] Nov. 2009. [14]. Rappel sur les normes et mthodes en matire de Scurit des Systmes dInformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/337.pdf] Nov. 2009.

138

[15]. Rappel sur les normes et mthodes en matire de Scurit des Systmes dInformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/337.pdf] Nov. 2009. [16]. Guide du diagnostic de ltat des services de scurit [http://www.clusif.fr/fr/production/ouvrages/pdf/MEHARI-2007-Vulnerabilites.pdf] Jan. 2010. [17]. Guide de lanalyse des enjeux et de la classification [http://www.clusif.fr/fr/production/ouvrages/pdf/MEHARI-2007-V2-Enjeux.pdf] Jan. 2010. [18]. Guide de lanalyse des risques [http://www.clusif.fr/fr/production/ouvrages/pdf/MEHARI2007-Anarisk.pdf] Fv. 2010.

139

Les Annexes