Vous êtes sur la page 1sur 31

Sur Terre et dans l'Espace...

... o l'chec n'est pas une option

RAPPORT D'AUDIT - SCURIT ET PERFORMANCES DES


SERVEURS

SERVICES DE CONSEIL
SERVICE AUDIT

Cette page est laisse vide volontairement

Rapport d'Audit - Scurit et


Performances des Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Dtails du
Document

Catgorie

Services de Conseil

Niveau de
Classification

Diffusion Publique

Langue

FR - Franais

Version

0.01

Date de Rdaction

jeudi 16 mai 2013

Date de Gnration

16/05/2013 @ 23:06:30

Auteur(s)

Guillaume REMBERT

Division

Service Audit

Validation
Technique

Guillaume REMBERT

Validation
Managriale

Guillaume REMBERT

Acceptation Client
Validation Client
Nom

Entreprise

Fonction

Date

Liste de Distribution

Avant-Propos

Ce document est un exemple de rapport d'audit sur la scurit et les performances


des serveurs.

Avertissement

Euryece Telecom ne fait aucune assertion et ne donne aucune garantie, expresse, implicite ou
lgale, concernant notamment, mais non limit : lexactitude, lactualit ou lexhaustivit des
renseignements fournis, labsence de tout dfaut et d'erreurs. En aucun cas, Euryece Telecom ne
sera responsable des dommages prvisibles ou imprvisibles, directs ou indirects, dcoulant de tout
ce qui prcde et suit, ou de lutilisation autorise ou non autorise du prsent document et des
renseignements qui y figurent, ou de laccs autoris ou non autoris ceux ci, notamment de toute
mesure prise ou omission commise par une personne cet gard. Sans en limiter la porte, Euryece
Telecom ne sera en aucun cas responsable des dommages particuliers, indirects, conscutifs ou
punitifs.

Autorit de
Publication

Euryece Telecom
16 Place du Gnral de Gaulle
59 000 Lille
FRANCE
Tous droits rservs Euryece Telecom & Guillaume REMBERT

Copyrights

Ce travail est licenci sous licence Creative Common Attribution-ShareAlike 3.0 Unported
(CC BY-SA 3.0)

Cette page est laisse vide volontairement

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

LISTE DES CHANGEMENTS


Version

Date

Nom

Dtails

0.01

16/05/2013

G. REMBERT

Version initiale

Diffusion Publique

Version 0.01
16/05/2013
Page 5 de 31

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 6 de 31

TABLE DES MATIRES


1 INTRODUCTION..............................................................................................................8
2 DOCUMENTS APPLICABLES ET RFRENCES.....................................................................9
2.1 Documents Applicables............................................................................................................9
2.2 Documents de Rfrence..........................................................................................................9

3 TERMES, DFINITIONS ET ABRVIATIONS......................................................................10


4 CONTEXTE..................................................................................................................11
4.1 Parties Prenantes.....................................................................................................................11
4.1.1 Acteurs Internes.............................................................................................................................................11
4.1.2 Acteurs Externes............................................................................................................................................11

4.2 Problme.................................................................................................................................12
4.2.1 Besoins et exigences......................................................................................................................................12
4.2.2 Cas d'utilisation.............................................................................................................................................13
4.2.3 Environnements associs...............................................................................................................................14
4.2.4 Moyens Existants..........................................................................................................................................15

5 MESURES...................................................................................................................16
5.1 Performances..........................................................................................................................16
5.1.1 Rseau...........................................................................................................................................................16
5.1.2 Stockage........................................................................................................................................................19
5.1.3 Calcul.............................................................................................................................................................22
5.1.4 Charge...........................................................................................................................................................23
5.1.5 Disponibilit..................................................................................................................................................25

5.2 Scurit...................................................................................................................................26
5.2.1 Vulnrabilits apparentes du serveur.............................................................................................................26
5.2.2 Scurit des sites web....................................................................................................................................26
5.2.3 Scurit des Informations..............................................................................................................................27
5.2.4 Scurit remarques hors du primtre d'intervention.................................................................................27

6 ANALYSES...................................................................................................................28
6.1 Performances..........................................................................................................................28
6.1.1 Rseau...........................................................................................................................................................28
6.1.2 Stockage........................................................................................................................................................29
6.1.3 Calcul.............................................................................................................................................................30
6.1.4 Charge...........................................................................................................................................................30

6.2 Scurit...................................................................................................................................30
6.2.1 Serveur...........................................................................................................................................................30
6.2.2 Sites web........................................................................................................................................................30
6.2.3 Informations..................................................................................................................................................31
6.2.4 Hors primtre...............................................................................................................................................31

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 7 de 31

LISTE DES FIGURES


(1)Acteurs ENTREPRISE............................................................................................................................... 11
(2)Acteurs Externes........................................................................................................................................ 11
(3)Evolution de la frquentation du site en fonction de l'heure........................................................................12
(4)Cas d'utilisation du service web.................................................................................................................. 13
(5)Environnements du service web................................................................................................................. 14
(6)Occupation du disque systme.................................................................................................................. 19
(7)Occupation du disque Stockage................................................................................................................. 19
(8)Occupation du dossier web........................................................................................................................ 19
(9)Performances en criture, mesures en Kilo-Octets par seconde, en fonction de la taille du fichier et de la
taille de l'enregistrement................................................................................................................................. 21
(10)Performances en r-criture, mesures en Kilo-Octets par seconde, en fonction de la taille du fichier et
de la taille de l'enregistrement........................................................................................................................ 21
(11)Performances en lecture, mesures en Kilo-Octets par seconde, en fonction de la taille du fichier et de la
taille de l'enregistrement................................................................................................................................. 21
(12)Performances en relecture, mesures en Kilo-Octets par seconde, en fonction de la taille du fichier et de
la taille de l'enregistrement............................................................................................................................. 21
(13)Performances en lectures alatoires, mesures en Kilo-Octets par seconde, en fonction de la taille du
fichier et de la taille de l'enregistrement.......................................................................................................... 21
(14)Performances en critures alatoires, mesures en Kilo-Octets par seconde, en fonction de la taille du
fichier et de la taille de l'enregistrement.......................................................................................................... 21

LISTE DES TABLES


1.Documents Applicables.................................................................................................................................. 9
2.Documents de Rfrence.............................................................................................................................. 9
3.Acronymes................................................................................................................................................... 10
4.Dfinitions.................................................................................................................................................... 10
5.Dtails de la configuration technologique actuelle.......................................................................................15

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 8 de 31

1 INTRODUCTION
Dans le cadre de la mise en place d'un plan de reprise d'activit, un audit et des mesures ont t
raliss pendant la semaine du X au X. Ce document est un exemple de ce qui fut ralis. Pour de
nombreuses raisons, de nombreux dtails ont t volontairement retirs de ce document.

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs

Version 0.01
16/05/2013
Page 9 de 31

ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

2 DOCUMENTS APPLICABLES ET RFRENCES


2.1 Documents Applicables
Rfrence
[AD1]

Document N
ET-LEG-OCON-XXX

Titre
Aspects Juridiques Contrat de services

1. Documents Applicables

2.2 Documents de Rfrence

Rfrence
[RD1]

Document N
WebDev 17 17- 1 - 1211

Titre
Serveur D'Application WebDev 17

2. Documents de Rfrence

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 10 de 31

3 TERMES, DFINITIONS ET ABRVIATIONS


Acronyme

Signification

ANSSI

Agence Nationale de la Scurit des Systmes d'Information

BGP

Border Gateway Protocol

BP

Besoin Primaire

BS

Besoin Secondaire

CPU

Central Processing Unit

DDR

Double Data Rate

FLOPS

Floating Point Operation Per Second

FTP

File Transfer Protocol

GTR

Garantie de Temps de Rtablissement

IP

Internet Protocol

I-SCSI

Internet Small Computer System Interface

MIPS

Million Instructions Per Second

NAS

Network Attached Storage

NTFS

New Technology File System

OS

Operating System

RAID

Redundant Array of Independent Disks

RAM

Random Access Memory

RPM

Revolutions Per Minute

SAN

Storage Area Network

SAS

Serial Attached SCSI

SCSI

Small Computer System Interface

SMTP

Simple Mail Transfer Protocol

VM

Virtual Machine

3. Acronymes
Terme

Dfinition

4. Dfinitions

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

4 CONTEXTE
4.1 Parties Prenantes
4.1.1

Acteurs Internes
IMAGE SUPPRIMEE
(1)Acteurs ENTREPRISE

4.1.2

Acteurs Externes
IMAGE SUPPRIMEE
(2)Acteurs Externes

Diffusion Publique

Version 0.01
16/05/2013
Page 11 de 31

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 12 de 31

4.2 Problme

4.2.1

Besoins et exigences

XX fait appel des services d'hbergement de serveurs dans le cadre de son activit commerciale.
Besoins primaires :
- BP1 : fournir ses clients des solutions sous le modle SAAS ( Software As A Service ),
c'est--dire l'aide d'un simple accs web via un navigateur internet,
- BP2 : grer la messagerie lectronique lie aux applications web l'entreprise.
Besoins secondaires :
- BS1 : fournir ses clients un espace de test permettant d'valuer les dernires innovations de
l'entreprise,
- BS2 : fournir ses clients un espace de stockage distant pour simplifier le partage des donnes.
La mission actuelle est lie aux besoins BP1 et BS1, c'est dire, la mise en place d'un service web.
Les exigences de niveau de service d'XX, vis--vis de celui-ci sont, selon [AD1] :
- XX % de disponibilit (XXHXX XXHXX XX XX),
- XX utilisateurs simultans en pic de charge.
NB : Suite aux analyses approfondies, la priode de disponibilit ncessaire est tendue de XXHXX
XXHXX.
IMAGE SUPPRIMEE
(3)Evolution de la frquentation du site en fonction de l'heure

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

4.2.2

Cas d'utilisation
IMAGE SUPPRIMEE
(4)Cas d'utilisation du service web

On peut distinguer principalement 4 cas d'utilisation :


- L'installation d'un service web par le dpartement technique,
- La mise jour d'un service web par le dpartement technique,
- La dmonstration d'un service web par le dpartement commercial,
- L'utilisation d'un service web par les clients.

Diffusion Publique

Version 0.01
16/05/2013
Page 13 de 31

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

4.2.3

Version 0.01
16/05/2013
Page 14 de 31

Environnements associs

(5)Environnements du service web


On peut diffrencier les environnements suivants :
- EHx : Environnement Hbergeur 1, 2, , N (le lieu physique du(es) serveur(s) ainsi que le
raccordement internet associ),
- EI : Environnement Internet (les diffrents rseaux des fournisseurs d'accs internet ainsi que
leurs interconnexions on parle de points d'appairage - peering ),
- EC : Environnement Client (le lieu physique d'utilisation du service web ainsi que le raccordement
internet associ),
- EF : Environnement Fournisseur (le lieu physique d'administration et dmonstration du service
web ainsi que le raccordement internet associ).

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

4.2.4

Version 0.01
16/05/2013
Page 15 de 31

Moyens Existants

Aujourd'hui, ENTREPRISE fait appel aux services de XXX afin d'hberger leur service web.
Aspects contractuels et financiers
XXX XXX
Aspects technologiques
Configuration

Dtails

Centre Physique
Matriel
Accs au Rseau
Accs Internet
Hyperviseur(s)
Machine(s)
Virtuelle(s)

CPU
RAM
OS
HDD
Rseau

Applicative
Services Rseau
5. Dtails de la configuration technologique actuelle
Aspects Humains
XXX
Aspects cologiques
XXX

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 16 de 31

5 MESURES
5.1 Performances

5.1.1

Rseau

Protocoles rseau :
Ces tests ont t raliss l'aide de la commande ipconfig et ping :
IP v4 :
ping google.fr
IP v6 :
ping -6 google.fr
Dbits :
Ces tests ont t raliss l'aide de l'outil Iperf http://iperf.fr/, entre un serveur ddi XXX et le
serveur XXX, en laissant les paramtres par dfaut :
Commande sur le serveur :
iperf -s
Commande sur le client :
iperf -c machine.domaine.racine -r
Le XX/XX/XXXX @ XXHXX et le XX/XX/XXXX @ XXHXX, des dbits utiles TCP
symtriques, compris entre XX et XX MBits/sec ont t mesurs.

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 17 de 31

Dlais :
Ces tests ont t raliss l'aide de l'outil ping, entre un serveur ddi XXX et le serveur XXX,
ainsi qu'entre une connexion XX classique XXX et le serveur XXX.
Commande utilise :
ping machine.domaine.racine
Le XX/XX/XXXX @ XXHXX, depuis XX, les rsultats sont les suivants :
--- machine.domaine.racine ping statistics --XX packets transmitted, XX received, XX% packet loss, time XXms
rtt min/avg/max/mdev = XX/XX/XX/XX ms
Afin de pouvoir comparer, le test a galement t ralis entre la XXX et le serveur XXX :
ping machine.domaine.racine
Le XX/XX/XXXX @ XXHXX, les rsultats sont les suivants :
--- machine.domaine.racine ping statistics --XX packets transmitted, XX received, XX% packet loss, time XXms
rtt min/avg/max/mdev = XX/XX/XX/XX ms

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 18 de 31

Gigue :
Ces tests ont t raliss l'aide de l'outil Iperf http://iperf.fr/, entre un serveur ddi XXX et le
serveur de XXX, en modifiant les paramtres par dfaut :
Commande sur le serveur :
iperf -s -u -b 50000000
Commande sur le client :
iperf -c machine.domaine.racine -u -b 50000000 -r
Le XX/XX/XXXX @ XXHXX , un dbit utile UDP de XX, XX et XX Mbits/sec ont t tests.
La rception des donnes envoys par le serveur XX sur le serveur XX, est XX jusqu' XX
Mbits/sec (limite d'envoi du serveur XX) :
- XX Mbits/sec, gigue de XX ms, XX paquets perdus sur XX (XX%),
- XX Mbits/sec, gigue de XX ms, XX paquets perdus sur XX (XX%),
- XX Mbits/sec, gigue de XX ms, XX paquets perdus sur XX (XX%).
L'envoi de donnes depuis le serveur XXX jusqu'au serveur XXX, est XXX :
- XX Mbits/sec, gigue de XX ms, XX paquets perdus sur XX (XX%),
- XX Mbits/sec, gigue de XX ms, XX paquets perdus sur XX (XX%),
- XX Mbits/sec, gigue de XX ms, XX paquets perdus sur XX (XX%).

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

5.1.2

Version 0.01
16/05/2013
Page 19 de 31

Stockage

Capacits de stockage :
On compte X disques dur virtuels, dont la capacit de stockage formate releve le XX/XX/XXXX
est :
- XXX: X Go / X Go de libre,
- C : Systme d'Exploitation : XX Go / XX Go libre,
- D : Stockage : XX Go / XX Go libre.
L'analyse de l'occupation des disques a t ralise l'aide de l'outil WinDirStat http://windirstat.info/.
IMAGE SUPPRIMEE
(6)Occupation du disque systme
IMAGE SUPPRIMEE
(7)Occupation du disque Stockage
IMAGE SUPPRIMEE
(8)Occupation du dossier web

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 20 de 31

Performances Entres et Sorties :


Ces tests ont t raliss l'aide de l'outil Iozone http://www.iozone.org/, dans un rpertoire ddi
du disque tester (D:).
Test gnraliste :
iozone.exe -Ra -g 4G > FichierMesuresGeneralistes.txt
Test spcialis :
iozone.exe -R -l 4 -u 4 -r 4k -s 2G > FichierMesuresSpecialisees.txt
Note 1 : L'utilisation des options -l PMin et -u PMax permet de rgler le nombre minimal
PMin et maximal PMax de processus simultans.
Note 2 : L'utilisation de l'option -g 4G permet de mesurer les performances relles du disque, en
paramtrant des tests l'aide de fichiers suprieurs la taille des diffrents caches prsents systme (fortement lie la taille de la mmoire RAM prsente), contrleurs physiques, ...
Note 3 : L'utilisation de l'option -r -s 2G permet de mesurer les performances relles du disque, en
paramtrant des tests l'aide de fichiers suprieurs la taille du cache systme (fortement lie la
taille de la mmoire RAM prsente).
L'analyse et exploitation graphique a t ralise l'aide de l'outil GnuPlot http://www.gnuplot.info/
et du script ddi fourni avec Iozone :
./Generate_Graphs fichiermesures.txt
Le XX/XX/XX @ XXHXX, les performances gnralistes de lecture et criture ont t mesures et
sont prsentes dans la suite du document.
L'enregistrement est disponible dans le fichier :
- ET-SRV-CLT-AUD-IOPerfsMeasurments_XX.txt
Le XX/XX/XX @ XXHXX, les performances spcifiques de lecture et criture ont t mesures.
On constate un dbit moyen en nouvelle criture de XX Moctets / sec, de XX Moctets / sec en
r-criture. Le dbit moyen en nouvelle lecture et en relecture est de XX Moctets/sec. Les accs
alatoires sont de XX Moctets/sec en lecture et de XX Moctets/sec en criture.
L'enregistrement est disponible dans le fichier :
- ET-SRV-CLT-AUD-IOPerfsMeasurments_XX.txt

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 21 de 31

- criture de nouveaux fichiers selon la taille des blocs


IMAGE SUPPRIMEE
(9)Performances en criture, mesures en Kilo-Octets par seconde, en fonction de la taille du
fichier et de la taille de l'enregistrement
- R-criture de fichiers existants dj selon la taille des blocs, ne ncessitant plus l'criture des
mtadonnes associes
IMAGE SUPPRIMEE
(10)...Performances en r-criture, mesures en Kilo-Octets par seconde, en fonction de la taille du
fichier et de la taille de l'enregistrement
- Lecture de fichiers existants selon la taille des blocs
IMAGE SUPPRIMEE
(11)..........Performances en lecture, mesures en Kilo-Octets par seconde, en fonction de la taille du
fichier et de la taille de l'enregistrement
- Re-lecture de fichiers prcdemment lus selon la taille des blocs
IMAGE SUPPRIMEE
(12)......Performances en relecture, mesures en Kilo-Octets par seconde, en fonction de la taille du
fichier et de la taille de l'enregistrement
- Lecture de fichiers avec accs alatoires en fonction de la taille des blocs
IMAGE SUPPRIMEE
(13).....Performances en lectures alatoires, mesures en Kilo-Octets par seconde, en fonction de la
taille du fichier et de la taille de l'enregistrement
criture de fichiers avec accs alatoires en fonction de la taille des blocs
IMAGE SUPPRIMEE
(14)....Performances en critures alatoires, mesures en Kilo-Octets par seconde, en fonction de la
taille du fichier et de la taille de l'enregistrement

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

5.1.3

Version 0.01
16/05/2013
Page 22 de 31

Calcul

La mesure des capacits de calcul d'un systme consiste valuer les performances du (des)
processeur(s) pour raliser des instructions. Les indicateurs de performance de base sont la
frquence de fonctionnement (mesure en Hertz) et le nombre d'oprations par seconde (mesur en
MIPS et FLOPS).
On diffrencie les processeurs selon leur architecture et le jeu d'instruction utilis. Il s'agit ici de
l'architecture la plus courante pour les serveurs et ordinateurs personnels : x86, avec un jeu
d'instructions de 64 bits.
Certains utilitaires et sites web ralisent des comparatifs bass sur de nombreux tests spcialiss.
Dans le cadre de cet audit, le site http://www.cpubenchmark.net a t utilis afin de XXXX.
Il reste discuter avec les dveloppeurs des cas d'utilisation type mettre en place pour mesurer les
besoins en termes de ressources des applications.

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

5.1.4

Version 0.01
16/05/2013
Page 23 de 31

Charge

Dans notre cas, il faut diffrencier deux tests de charge diffrents :


- 1 : Le test des performances du serveur IIS et du rseau qui a t effectu l'aide du site
www.blitz.io : -p 1-1000:120 -r ireland http://www.siteweb.racine , la page charge avait une
taille de XX KB,
- 2 : Le test des performances du serveur d'application WebDev et de l'application web dploye. Il
existe un outil ddi WDTestSite, nanmoins, il reste limit un test de 100 utilisateurs simultans.
L'utilisation d'autres outils est galement envisageable, comme Jmeter : http://jmeter.apache.org.
Note : Il est ncessaire de modifier les paramtres de WebDev qui sont limits par dfaut
Configuration Nombre de Maximum de Connexions XX.
Selon [RD1], il est possible d'estimer par calcul thorique la configuration ncessaire :
- 400 ko RAM / client ==> Pour XX clients : XX Mo de RAM minimum,
- 1 Mo de HDD / client ==> Pour XX clients : XX Go de HDD.

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Test 1 - XX/XX/XXXX @ XXHXX :


IMAGE SUPPRIMEE
Test 2 - XX/XX/XXXX @ XXHXX :
IMAGE SUPPRIMEE
Test 3 XX/XX/XXXX @ XXHXX :
IMAGE SUPPRIMEE
Aperu des performances de la machine :
IMAGE SUPPRIMEE
On constate que le point bloquant dans ce cas d'utilisation est XX.

Diffusion Publique

Version 0.01
16/05/2013
Page 24 de 31

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

5.1.5

Version 0.01
16/05/2013
Page 25 de 31

Disponibilit

Des tests de disponibilit du service web ont t effectus toutes les minutes, pendant X jours, XXH
et XX min l'aide du site web Pingdom Tools (dbut le XX/XX/XX XX:XX:XX et fin le
XX/XX/XXXX XX:XX:XX).
XXX
Les temps de rponse sont de XX millisecondes en moyenne, ils s'lvent jusqu' XX ms et
descendent XX ms dans le meilleur des cas.
IMAGE SUPPRIMEE

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 26 de 31

5.2 Scurit

5.2.1

Vulnrabilits apparentes du serveur

XXX
L'identification des ports ouverts sur une machine a t ralise l'aide de l'outil nmap :
nmap machine.domaine.racine
XX
Une recherche des failles l'aide d'OpenVAS a t effectue le XX/XX/XXXX XXHXX
(configuration du scan : tous les ports ainsi que les 1000 principaux ports UDP).
Les principaux problmes reports sont :
XXXX

5.2.2

Scurit des sites web

Les sites web :


XX
ont t inspects l'aide de Nikto - http://www.cirt.net/nikto2.
Les failles de scurit identifies sont les suivantes :
XX

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

5.2.3

Version 0.01
16/05/2013
Page 27 de 31

Scurit des Informations

Concernant les plans de reprise d'activit actuels, suite XX, il apparat que :
- en cas de panne de la machine virtuelle, un dlai de XH est ncessaire entre la dtection de la
panne et sa correction (configuration de l'environnement et restauration des donnes),
- en cas de panne d'un routeur rseau, un dlai de X minutes est ncessaire pour la restauration de la
connexion au rseau,
- en cas de panne d'un serveur physique, un dlai de X minutes est ncessaire pour le redmarrage
de la machine virtuelle.
Afin de surveiller la disponibilit de leurs installations, XX utilise XX et XX.

5.2.4

Scurit remarques hors du primtre d'intervention

XX
XX
XX

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

Version 0.01
16/05/2013
Page 28 de 31

6 ANALYSES
6.1 Performances
XX

6.1.1

Rseau

XX
Concernant le dbit pic ncessaire :
XX
XX
Total maximal de donnes transfrer simultanment : XX Mgaoctets / XXX Utilisateurs.
Il convient donc, afin de pouvoir supporter un pic de charge, tout en garantissant un dlai de
rponse raisonnable (3 secondes), d'tre capable de fournir un dbit suprieur XX Mbits/secs.

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

6.1.2

Version 0.01
16/05/2013
Page 29 de 31

Stockage

La capacit de stockage du systme est largement suffisante pour les besoins XX. Suite la revue
de l'audit et la formation associe, les besoins dfinis pour le stockage des services web sont :
- X Go pour XX,
- X Go pour XX,
L'utilisation de XX Go est largement suffisante pour couvrir les besoins de stockage des services
web moyen terme (X ans) ainsi que pour permettre l'installation d'un systme d'exploitation.
Les besoins lis aux sauvegardes sont les suivants :
- XX : retour en arrire de X ans maximum, sauvegarde tous les jours en incrmentiel, sauvegarde
complte chaque mois,
- XX: retour en arrire de X mois maximum, sauvegarde toutes les demi-journes en incrmentiel,
sauvegarde complte chaque mois,
- XX : retour en arrire de un jour maximum, sauvegarde toutes les minutes en incrmentiel.
Service Web

Stockage sauvegardes compltes

Stockage sauvegardes incrmentielles

Il faut donc prvoir une capacit de stockage totale suprieure XX Go pour les sauvegardes.

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

6.1.3

Version 0.01
16/05/2013
Page 30 de 31

Calcul

XX

6.1.4

Charge

XX
Selon les estimations thoriques, il est ncessaire de prvoir pour les applications :
- 400 ko RAM / client ==> Pour XX clients : XX Mo de RAM minimum,
En ajoutant la mmoire RAM recommande du systme d'exploitation, il faut prvoir X Go de
RAM.

6.2 Scurit
XX

6.2.1

Serveur

XX

6.2.2

Sites web

XX
L'ANSSI tient jour une liste de prestataires de services de confiance qualifis :
http://www.ssi.gouv.fr/fr/produits-et-prestataires/prestataires-de-services-de-confiance-qualifies/

Diffusion Publique

Rapport d'Audit - Scurit et Performances des


Serveurs
ET-SRV-CSL-AUD-ServersSecurityPerformances_Example

6.2.3

Informations

XX

6.2.4

Hors primtre

XX

Diffusion Publique

Version 0.01
16/05/2013
Page 31 de 31