Vous êtes sur la page 1sur 104

Audit de la Scurit Informatique

Cours prsent par

Dr. Ala eddine BAROUNI


abarouni@yahoo.com

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Partie 1

Module O.T.A

Pourquoi scuriser un rseau ?


Principes de scurit importants
Rappel sur les normes utiles en scurit rseau
Introduction lAudit Scurit
Dmarche de ralisation dune mission dAudit Scurit
Approches dAudit Scurit
Les tapes dAudit Scurit (Audit Niveau 1, Audit Niveau 2)
Description dtaille des phases de lAudit Niveau 2 (Audit
Technique)
Livrables de la phase daudit niveau 2 (prsentation dun modle type
dun rapport daudit technique)
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Partie 2 : Outils et logiciels utiliss lors de

laudit

niveau 2 (principalement de lOpen Source)


Les outils utiliss pour chaque phase daudit technique
Outils et logiciels utiliss lors de la phase 1 de lAudit Technique :
Audit de larchitecture du systme

Outils et logiciels utiliss lors de la phase 2 de lAudit Technique :


Audit de la rsistance du systme face aux failles connues, via une analyse
automatise des vulnrabilits

Outils et logiciels utiliss lors de la phase 3 de lAudit Technique :


Audit de larchitecture de scurit existante

Description dtaille des tests de scurit raliser au cours de la


laudit technique
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Partie 3: Outils de protection rseau (principalement


de lOpen Source)

Prototype dune architecture de scurit bas sur


des outils du monde des logiciels libres (firewalls,
dtection dintrusions, contrle dintgrit, etc..)
Prsentation des solutions de corrlation de
vulnrabilits

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Pourquoi scuriser un rseau ?

Intrus
externe

Intrus
interne

Actifs de l'entreprise

Autorisations
incorrectes

Virus

Une conception de scurit rseau protge les actifs des


menaces et vulnrabilits de faon organise
Pour laborer une conception de scurit, analysez les risques
pesant sur vos actifs et crez des rponses
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Principes de scurit importants


Principe
Dfense en
profondeur

Moindre
privilge
Surface d'attaque
minimise

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Dfinition
Offre plusieurs niveaux de
protection contre les
menaces en plusieurs points
du rseau
Octroie un utilisateur ou
une ressource les privilges
ou autorisations minimaux
ncessaires
l'excution d'une tche
Rduit les points vulnrables
6
d'un rseau

Les normes de scurit


informatique
BS 7799 / ISO 17799, ISO 27002 ,
ISO 27001, BS 7799-2

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Plan

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Scurit des informations, normes


BS 7799, ISO 17799, ISO 27001

Normes BS 7799, ISO 17799 et ISO 27002

Qualits de BS 7799 / ISO 17799

Les dix contextes cls de ISO 17799

Normes ISO 27001, BS 7799-2

Approche de gestion (Modle PDCA)

Historique

Pour qui ?

Implantation

Outils et logiciels

Les normes de Scurit Informatique


.

Scurit des informations, normes


BS 7799, ISO 17799, ISO 27001
Plusieurs normes, mthodes et
rfrentiels de bonnes pratiques en
matire de scurit des systmes
dinformation sont disponibles. Elles
constituent des guides
mthodologiques ainsi que le moyen
de fournir l'assurance d'une dmarche
de scurit cohrente.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Les normes de Scurit Informatique


LISO a entrepris un vaste effort de rationalisation
des travaux existants donnant naissance la srie
des ISO 27000. Certaines sont obligatoires pour
obtenir une certification (27001 et 27006), les autres
ne sont que des guides :
l'ISO 17799 sera renomm en 27002, le 1er avril
2007.
l'ISO 27006 est en cours de fabrication -sortie
prvue fin novembre.
l'ISO 27004 et l'ISO 27005 sont l'tat de drafts
avancs.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002 ?

Un ensemble de contrles bass sur


les meilleures pratiques en scurit des
informations;
Standard international qui couvre tous
les aspects de la scurit informatique:

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

quipements;
Politiques de gestion;
Ressources humaines;
Aspects juridiques.

Normes BS 7799, ISO 17799 et ISO 27002


ISO 17799 (partie 1) se veut un guide contenant des
conseils et des recommandations permettant dassurer la
scurit des informations dune entreprise.
.

La norme ISO 17799 (partie 2 :2005), prochainement


renomme 27002, est directement tire de la BS 7799-1
(cre par le BSI British Standard Institute).
Elle correspond un niveau de dtail plus fin que la
27001 et spcifie une Poltique de la Scurit des
Systmes d'Information. C'est une liste dtaille et
commente de mesures de scurit. Cette norme est un
guide de Bonnes Pratiques (Best Practices)
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002


Pour matriser la scurit d'un systme d'information.
plusieurs versions de la BS 7799 ont t labores
depuis le dbut des annes 1990 et la dernire est
devenue la norme ISO/IEC 17799.
Schmatiquement, la dmarche de scurisation du
systme d'information doit passer par 4 tapes de
dfinition :
1. primtre protger (liste des biens sensibles),
2. nature des menaces,
3. impact sur le systme d'information,
4. mesures de protection mettre en place.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002


L ISO 17799 donne des exemples et des indications
sur les niveaux 1 3, mais ne traite vraiment que le
niveau 4 (et en partie seulement), en listant ce qui est
ncessaire de mettre en place, sans toutefois prciser
en dtail comment.
La norme ISO 17799 comporte 39 catgories de
contrle et 133 points de vrification rpartis en 11
domaines :

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002

1. Politique de scurit

2. Organisation de la scurit :
- organisation humaine, implication hirarchique,
- notion de propritaire dune information et mode de
classification,
- valuation des nouvelles informations,
- mode daccs aux informations par une tierce partie,
- Rpartition des responsabilits, groupes de travail,

3. Classification et contrle des biens


- Identifications des actifs, Classification de linformation

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002


4. Scurit du personnel
- contrats de travail, Sensibilisation la scurit,
implication dans la scurit
5. Scurit physique
- organisation des locaux et des accs,
- protection contre les risques physiques (incendies,
inondations...)
- systmes de surveillance et dalerte,
- scurit des locaux ouverts et des documents
circulant.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002


6. Communication et exploitation:
- Gestion des incidents,
- Gestion du rseau
- prise en compte de la scurit dans les procdures
de lentreprise,
- mise en oeuvre des systmes de scurisation (antivirus, alarmes..),
7. Contrle d'accs:
- Utilisateurs
- Dfinition des niveaux dutilisateurs et de leur droit
daccs,
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002


- Gestion dans le temps des droits,
- Rseau
- Systme dexploitation
- Application
8. Acquisition, dveloppement et maintenance des
systmes
- Contrles cryptographiques
- Scurit des fichiers
- Chevaux de Troie
9. Gestion des incidents
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes BS 7799, ISO 17799 et ISO 27002

10. Management de la continuit de service


-Planification , test, rvaluation

11. Conformit:
- dispositions rglementaires
- dispositions lgales
- dispositions internes (Politique)

La norme n'impose pas d'autre formalisme que la mise en place


d'une organisation qui garantit un bon niveau de scurit au fil du
temps.

Elle est oriente processus et dborde de ce fait des simples


aspects de technique informatique. Elle s'intresse l'organisation
du personnel ainsi qu'aux problmes de scurit physique (accs,
locaux...).

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Qualits de BS 7799 / ISO 17799

Couverture de la norme;
prouve;
Publique;
Internationale;
Image de marque associ la
qualit
volutive et souplesse (sadapter aux
contextes);
Disponibilit doutils et de support.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Les dix contextes cls de ISO 17799


Politique de
scurit
Scurit de
Lorganisation

Conformit

Gestion de la
continuit

Intgrit

Confidentialit

Classification et
contrle des actifs

Information
Dveloppement
et maintenance
Contrle des
accs

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Disponibilit

Scurit du
personnel

Scurit physique et
environnementale
Gestion des
Communications
et oprations

Les dix contextes cls de ISO 17799


Organisationnel

1. Politique de
scurit
2. Scurit de
lorganisation
3. Classification et
contrle des
actifs

7. Contrle des
accs

10. Conformit

4. Scurit du personnel

8. Dveloppement
et maintenance

Oprationnel
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

5. Scurit physique et
environnementale

6. Gestion des
communications et oprations

9. Gestion de la
continuit

Normes ISO 27001, BS 7799-2


La norme ISO 27001, publie en Novembre 2005,
dfinit la Politique du Management de la Scurit
des SI au sein d'une entreprise. Elle est issue de la
BS 7799-2:1999 Specification for information
security management systems qui dfinit les
exigences respecter pour crer un ISMS
(Information Security Management System). Elle
spcifie en annexe certains contrles de scurit,
tirs de la 17799, dont la mise en oeuvre est
obligatoire.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes ISO 27001, BS 7799-2


La norme ISO 27001 comprend 6 domaines de
processus :
1. Dfinir une politique de la scurit des
informations,
2. Dfinir le primtre du Systme de Management
de la scurit de l'information,
3. Raliser une valuation des risques lis la
scurit,
4. Grer les risques identifis,
5. Choisir et mettre en oeuvre les contrles.
Prparer un SoA ( "statement of applicability").
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Normes ISO 27001, BS 7799-2


Comme ISO 9000, lISO 27001 porte moins sur
lefficacit des dispositions mises en place, que sur
leur existence, et la mise en place dune boucle
damlioration (PDCA).
BS 7799 (partie 2) propose des recommandations
afin dtablir un cadre de gestion de la scurit de
l'information efficace. BS 7799-2 permet dtablir un
systme de gestion de scurit de linformation
(SGSI).
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Approche de gestion (Modle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Approche de gestion (Modle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Approche de gestion (Modle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Approche de gestion (Modle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Approche de gestion (Modle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Complmentarit avec dautres normes ISO


Complmentarit avec dautres normes ISO
Code de bonnes pratiques pour la gestion
de la scurit de linformation
ISO 17799
Produits et systmes certifis
par ISO 15408(CC)
Guide de gestion de la scurit
de la technologie de linformation
ISO13335 (GMITS)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

History and Development


Historique of ISMS
La norme ISO 17799 (partie 2 :2005)
renomme 27002

Avril 2007
La norme ISO 17799 (partie 2), ISO 27001
Novembre 2005
Septembre 2002
Nouvelle version de BS 7799-2
revue et corrige

2001
Dcembre 2000
1999
1998
1995

Rvision de BS 7799-2
ISO/IEC 17799:2000

Standards sudois SS 62 77 99 Partie 1 et 2


Nouvelle version de BS 7799 Partie 1 et 2
BS 7799 Partie 2

BS 7799 Partie 1

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Pour qui les normes?


Les normes BS 7799/ISO 17799,
peuvent tre utilise par tout
organisme ou entreprise. Il suffit quune
organisation utilise des systmes
informatiques, linterne ou
lexterne, quelle possde des
donnes confidentielles, quelle
dpende de systmes dinformations
dans le cadre de ses activits
commerciales ou encore quelle
dsire adopter un niveau lev de
scurit tout en se conformant une
norme.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Achat en ligne du standard ISO 17799


(% par rgion)
9%

35 %

Autres : 9 %

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

18 %

23 %

6%

Audit et certification BS 7799 / ISO 17799


Il nexiste pas de certification ISO 17799 pour le
moment.
Une entreprise peut se conformer ISO 17799
et ensuite se certifier BS 7799-2 : 2002, ISO
27001.
Une dmarche daudit peut tre appuye:
Vrification interne
Vrification externe (lettre dopinion)
Bureau de registraire du BSI (certification officielle)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Liste dentreprises certifis


Plus de 80 000 entreprises se
conforment BS 7799/ISO 17799
travers le monde dont:

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Fujitsu Limited;
Insight Consulting Limited;
KPMG ;
Marconi Secure Systems ;
Samsung Electronics Co Ltd;
Sony Bank inc. ;
Symantec Security Services ;
Toshiba IS Corporate

Avantages
Se conformer aux rgles de
gouvernance en matire de gestion
du risque.
Une meilleure protection de
linformation confidentielle de
lentreprise ;
Une rduction des risques dattaques ;
Une rcupration des oprations plus
rapidement et plus facilement lors
dattaques ;
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Avantages (suite)
Une mthodologie de scurit
structure et reconnue
internationalement ;
Une confiance mutuelle accrue entre
partenaires ;
Une diminution potentielle des primes
dassurance contre les risques
informatiques ;
Une amlioration des pratiques sur la
vie prive et une conformit aux lois
sur les renseignements personnels.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Mthodologie et cycle dimplantation


tape de la
mthodologie
du cycle
dimplantation
de la norme

Description

Initiation du projet

Inciter lengagement de la haute direction;


Slectionner et former les membres de lquipe initiale du
projet.

Dfinition du SGSI

Lidentification de la porte et des limites du cadre de


gestion de la scurit de linformation est dterminante pour
la bonne conduite du projet.

(Systme de gestion de la
scurit de linformation)

valuation des risques

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Identifier et valuer les menaces et vulnrabilits;


Calculer une valeur de risque associe;
Diagnostiquer le niveau de conformit ISO 17799;
Inventorier et valuer les actifs protger.

Mthodologie et cycle dimplantation (suite)


tape de la
mthodologie
du cycle
dimplantation
de la norme

Description

Traitement de risque

Vous comprendrez comment la slection et limplantation


des contrles vous permettront de rduire les risques un
niveau acceptable pour lorganisation.

Formation et sensibilisation

Vos employs peuvent tre le maillon faible dans la chane


de scurit de votre organisation.

Prparation laudit

Apprenez comment valider votre cadre de gestion et ce


quil faut faire avant la venue dun auditeur externe pour la
certification BS 7799-2 ou ISO27000.

Audit

Apprenez-en davantage sur les tapes ralises par les


auditeurs externes et sur les organismes de certification
accrdits BS 7799-2 ou ou ISO27000.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Amlioration continue

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Livrables ISO 17799

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Obstacles potentiels

Facteur de succs

Crainte, rsistance au
changement;
Augmentation des
cots;
Connaissances
inadquates pour
lapproche
slectionne;
Tche apparemment
insurmontable.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Ressources et personnel
ddis;
Expertise externe;
Bonne comprhension des
fonctionnements (gestion) et
des processus (oprations) de
gestion du risque;
Communications frquentes;
Sensibilisation des
gestionnaires et des employs
Engagement de la direction
suprieure;
Structure de lapproche.

Implantation ISO 17799

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Rfrences

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Documents BSI (www.bsi.org.uk/index.xhtml)

Information Security Management: An Introduction


(PD3000)
Fournit une vue d'ensemble du fonctionnement pour
la certification accrdite et forme une prface utile
aux autres guides.

Guide to BS7799 Risk Assessment and Risk


Management (PD3002)
Dcrit les concepts sous-jacents l'valuation de
risque de BS 7799, y compris la terminologie, le
processus d'valuation et la gestion de risque.

ISO/IEC Guidelines for the Management of IT Security


(GMITS)

Selecting BS7799 Controls (PD3005)


Dcrit le processus de slection des commandes
appropries.

Introduction lAudit Scurit

Dfinition

LAudit Scurit est une mission d'valuation de

conformit par rapport une politique de


scurit ou dfaut par rapport un ensemble
de rgles de scurit

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

46

Objectif Principal dune mission dAudit


Scurit
Rpondre aux proccupations concrtes de

lentreprise , notamment de ses besoins en


scurit, en :
Dterminant les dviations par rapport aux bonnes
pratiques
Proposant des actions d'amliorations du niveau de
scurit de l infrastructure informatique
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

47

Dmarche de ralisation dune mission dAudit Scurit

Approches dAudit Scurit


Dfinir les tapes / les phases de la mission dAudit
Le Cycle dAudit

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

48

Approches dAudit Scurit

Une approche " bote blanche " :

Un audit plus homogne, l'valuation possde une caractristique d'analyse " en

compltude " et les aspects techniques et organisationnels sont traits de

manire uniforme

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

49

Une approche " bote noire " :


Un audit avec une vue plus parcellaire, rvlant plutt des lacunes
cibles forte orientation technique.

Les " tests d'intrusion " ou " tests intrusifs " font partie de cette
catgorie d'audit.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

50

Dfinir les tapes / les phases de la mission


dAudit Scurit
Cette tape permet de :
Mettre en uvre laudit scurit en dfinissant les
champs dtude et les primtres de la mission

Dfinir un planning de ralisation de la mission

Dlaborer dune batterie de questionnaires par rapport


un rfrentiel dfini partir des exigences et des
attentes des responsables du site audit.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

51

Principalement, la mission sera subdivise en


deux volets :

Audit Niveau 1 : Audit Organisationnel &

Physique , Analyse de Risque

Audit Niveau 2 : Audit Technique

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

52

Audit Niveau 1
Avoir une vue globale de ltat de scurit du systme
dinformation et didentifier les risques potentiels
(environ tous les deux ans)

Audit Niveau 2
Concerne les composants du systme dinformation :
validation dune architecture de scurit, test de
vulnrabilits internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web,
contrle daccs trivial...), etc
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

53

Laudit Technique dun primtre de scurit est prconis


dans les situations typiques suivantes ( dune manire
rcurrente) :
Validation de la scurit dun nouveau primtre, par exemple dun
Firewall, dun site eBusiness
eBusiness,, dun Extranet, dun accs Internet, dun
systme VPN

Analyse pralable dun site pour linstallation dune nouvelle


infrastructure.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

54

Le cycle de laudit scurit

La mission daudit de scurit informatique est effectue


selon un processus cyclique permettant dtudie le niveau
de scurit du systme dinformation dun point de vue :
Technique (les points dentres sur le rseau, les quipements de
scurit, les protocoles mis en uvre, etc)

Organisationnel (tude des procdures de dfinition, de mise en


place et de suivi de la politique de scurit, etc...)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

55

Systme dinformation du rseau


audit selon une modlisation
daudit formelle

Audit Organisationnel et
Physique

3 Com

Fin du cycle
dAudit Normal

Test Intrusif

Identification des
vulnrabilits depuis
lextrieur

Identification des
vulnrabilits dordre
organisationnel et physique
valuation des risques

Dtection rgulire et
automatise des
vulnrabilits et des
failles potentielles
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

Audit Technique

56

La phase finale du processus dAudit Scurit est consacre


la rdaction des rapports de synthse :
Recueil des principales vulnrabilits et insuffisances
dceles
Synthse des recommandations de mise en uvre
(organisationnels,physiques et techniques)
Synthse des solutions et outils de scurit proposs
Esquisse dun plan daction scurit (Estimation des
budgets allouer pour la mise en uvre des mesures
recommandes )
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

57

La mission daudit scurit constitue le point de


dmarrage du projet de scurisation dun site.

Audit Scurit du Site


Architecture & Solution de
Scurit proposes
Mise en place de la
solution de scurit
Tests & Validations du
systme de scurit implante
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

58

Phase rcurrente dAudit Scurit

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

59

Dtail de la Dmarche
Etude Cas Pratique
Audit Niveau 1 (AOP,AR)
Audit Niveau 2 (AT)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

60

Audit Niveau 1

Audit Organisationnel & Physique (AOP), Analyse


de Risque
Objectif
Droulement de laudit niveau 1
tude Cas valuation du niveau de scurit dun SI
Analyse de Risque
Dlivrables de la phase dAOP

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

61

Objectif

Cette premire phase de laudit scurit permet :

Davoir une vision qualitative et quantitative des


diffrents facteurs de la scurit informatique du site
audit
Didentifier les points critiques du systme dinformation

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

62

Droulement de laudit des aspects Organisationnels et


Physiques

Dfinir un rfrentiel scurit (dpend des exigences et


attentes des responsables du site audit, type daudit)

laboration dun questionnaire daudit scurit partir


du rfrentiel dfini prcdemment et des objectifs de la
mission
Planification des entretiens et information des personnes
impliqus avant le dclenchement de laudit OP
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

63

Facteurs cls de succs de cette tape :


Comprendre la dmarche d'observation : niveau global
puis niveau spcifique

Prsenter les objectifs de la dmarche daudit scurit avant


les entretiens
Instaurer un climat de confiance , viter la culpabilit

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

64

Dlivrables de la phase dAOP


Les rapports livrs la fin de cette phase seront constitus des parties
suivantes :
Rapports d'audit couvrant les aspects suivants :
Rapport sur ltude de la situation existante en terme de scurit
au niveau du site audit
Rapport daudit organisationnel et physique, couvrant les composantes
organisationnelles, physiques et les ventuelles vulnrabilits de gestion
des composantes du systme (rseau, systmes, applications, outils de
scurit, centre de calcul, Plans de continuit) et les recommandations
correspondantes pour la politique de scurit de l'administration Central.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

65

Audit Niveau 2 (AT)

Contenu de la prsentation

Audit Technique (AT)


Dfinition des phases de ltape dAT
Audit de larchitecture du systme

Reconnaissance du rseau et du plan dadressage


Sondage des Systmes
Sondage des Services rseau
Audit des applications

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

66

Analyse des Vulnrabilits (intrusif interne)

Analyse des vulnrabilits des serveurs en exploitation


Analyse des vulnrabilits des postes de travail
Analyse des Vulnrabilits (intrusif externe)

Audit de lArchitecture de Scurit existante

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

67

Venant en suite logique laudit de niveau 1, laudit de


niveau 2 ou laudit technique sattache identifier les
vulnrabilits techniques prsentes sur les systmes
informatiques critiques du site audit.

Droulement de ltape :
Laudit technique sera ralis selon une succession de
phases respectant une approche mthodique allant de la
dcouverte et la reconnaissance du rseau audit jusqu la
ralisation des scnarios dattaques expertes.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

68

Laudit technique permet la dtection des types de


vulnrabilits suivantes, savoir :
Les erreurs de programmation et erreurs darchitecture.
Les erreurs de configurations des composants logiques
installs tels que les services (ports) ouverts sur les
machines, la prsence de fichiers de configuration installs
par dfaut, lutilisation de comptes utilisateurs par dfaut.
Les problmes au niveau de trafic rseau (flux ou trafic
non rpertoris, coute rseau, etc ).
Les problmes de configuration des quipements dinterconnexion et
de contrle daccs rseau

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

69

Cet audit sapplique aux environnements suivants :


Rseau daccs Internet, rseau dinterconnexion intersites (Frame Relay , X25, Faisceau Hertzien, etc..).
Serveurs internes du site audit et les postes sensibles du LAN.
Systmes critiques spcifiques.
Composants et quipements actifs de linfrastructure
rseau du site audit (firewalls, routeurs filtrants, commutateurs
niveau 3, etc)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

70

Principales phases :

Phase 1 : Audit de larchitecture du systme


Reconnaissance du rseau et du plan dadressage
Sondage des Systmes
Sondage Rseau
Audit des applications

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

71

Phase 2 : Analyse des Vulnrabilits (intrusif interne)


Analyse des vulnrabilits des serveurs en exploitation
Analyse des vulnrabilits des postes de travail

Phase 3 : Analyse des Vulnrabilits (intrusif externe)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

72

Phase 4 : Audit de larchitecture de scurit existante

Audit des Firewalls et Rgles de Filtrage


Audit des routeurs et des ACLs (Liste de Contrle d'Accs )
Audit des Sondes et des passerelles antivirales
Audit des stations proxy/Reverseproxy
Audit des serveurs DNS, dauthentification

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

73

Audit de la zone dadministration de larchitecture de scurit existante


Audit des commutateurs (switchs) et de la configuration en VLANs
Audit de la politique dusage de mots de passe
Audit de la solidit du systme, face aux essais dinterception des flux
Audit de la rsistance aux attaques de dni de service

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

74

Dtail des phases :

Audit de larchitecture du systme


Reconnaissance du rseau et du plan dadressage
L'inspection du rseau est un point de dpart, lors duquel la topologie,
ainsi que les htes et les quipements rseau seront identifis.
Cette tape consiste utilisation de multiples traages du rseau et
des passerelles, interrogation des serveurs DNS, afin de dtecter les
stations, reprer les quipements de contrle daccs sur les frontires
externes du rseau.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

75

Utilisation de loutil Networkview lintrieur du


rseau audit

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

76

Utilisation de loutil Networkview sur les primtres


externes du rseau audit

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

77

Sondage des Systmes


Elle consiste auditer les stations, par linspection des moyens
de contrle daccs et de leur stratgie dadministration ainsi que
linspection des traces, enregistrs par leur logs et les mesures de
protection anti-viral.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

78

Sondage Rseau

Le sondage des services rseau est une tape qui permet de savoir
quelles sont les ports ouverts sur les machines du rseau audit (ouverts,
ferms ou filtrs), et galement permet danalyser le trafic , reconnatre
les protocoles et les services prdominant au niveau du rseau auditer, le
taux dutilisation , les flux inter-stations et plusieurs autres informations.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

79

Test par les outils de balayage systmatique (services/ports) , nous avons pu cerner la liste des ports
ouverts sur les stations en activit.
(Scripts bass sur les outils NMAP, Netcat , Nsat)
[root@consultingAudit ]# scan_script -v -g53 -sS -P0 -O -oN Serveur_
Serveur_ORASERVER
ORASERVER .log 172.16.203.13
Port

State

Service

22/tcp

open

ssh

80/tcp

open

http

111/tcp

open

sunrpc

139/tcp

open

netbios-ssn

443/tcp

open

https

3306/tcp open

mysql

6000/tcp open

X11

10000/tcp open

snet-sensor-mgmt

22273/tcp open

wnn6

22289/tcp open

wnn6_Cn

22305/tcp open

wnn6_Kr

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

80

Audit des Flux rseau, trafic inter-station :


Prsentation du pourcentage dutilisation des protocoles TCP et UDP :

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

81

Audit des applications


Cette tape de laudit technique ne reprsente pas un audit dtaill des
applications.
Toutefois, il sagit de dceler certaines anomalies au niveau
oprationnelle des applications au sein de lenvironnement du travail du
client.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

82

Analyse des Vulnrabilits (intrusif interne)


Lanalyse des vulnrabilits au niveau de tous les composantes du rseau
auditer sera ralise, via un ensemble doutils de scan automatique par
ldification dune analyse experte et cible du rseau et des systmes
audits, permettant la mise au point dune dmarche efficace et experte.

Audit de vulnrabilits intrusif interne


Permet de mesurer les vulnrabilits des parties les plus sensibles du rseau
local en oprant partir dune station de travail standard, dans des conditions
analogues celles dont disposerait une personne mal-intentionne travaillant
sur site (prestataires, collaborateurs, visiteurs, ...).

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

83

Analyse des vulnrabilits des serveurs en exploitation


Test intrusif interne : Utilisation des scanners de vulnrabilits (Nessus, Sara, ISS) :
Le schma suivant prsente la rpartition des Degrs de Vulnrabilits au
niveau dun Serveur UNIX (Solaris)
Outil de Test: Nessus

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

84

Le sondage des ports avec les vulnrabilits associes est prsent comme suit :
o ftp (21/tcp) (Vulnrabilit dordre grave)
o chargen (19/tcp) (Vulnrabilit dordre moyenne)
o daytime (13/tcp) (Vulnrabilit dordre moyenne)
o http (80/tcp) (Vulnrabilit dordre grave)
o finger (79/tcp) (Vulnrabilit dordre moyenne)
o oracle (1521/tcp) (Vulnrabilit dordre grave)
o x11 (6000/tcp) (Vulnrabilit dordre moyenne)
o dtspc (6112/tcp) (Vulnrabilit dordre grave)
o font-service (7100/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc13 (32775/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc11 (32774/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc9 (32773/tcp) (Vulnrabilit dordre grave)
o sometimes-rpc21 (32779/tcp) (Vulnrabilit dordre grave)
o snmp (161/udp) (Vulnrabilit dordre grave)
o xdmcp (177/udp) (Vulnrabilit dordre moyenne)
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

85

tude Cas 1 : Exploitation des failles au niveau du Serveur Sun Solaris


[root@audit-pc]# ftp 172.20.50.11
Connected to 172.20.50.11.
220 cmf02 FTP server (SunOS 5.7) ready.
500 'AUTH GSSAPI': command not understood.
500 'AUTH KERBEROS_V4': command not understood.
KERBEROS_V4 rejected as an authentication type
Name (172.20.50.11:root):

ias

331 Password required for ias.


Password:
230 User ias logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

86

ftp> cd /etc
/etc
ftp> ls
227 Entering Passive Mode (172,20,50,11,134,123)
150 ASCII data connection for /bin/ls (172.20.20.201,1083) (0 bytes).
total 502
drwxrwxr-x 37 root

sys

3584 f?v 24 14:22 .

drwxr-xr-x 33 root

root

1024 mar 11 12:54 ..

drwxrwxr-x 10 root

sys

-r-------- 1 root

sys

-rw-r--r-- 1 root

sys

-rw-r--r-- 1 root

other

-r--r--r-- 1 root

512 avr 14 2000 opt


482 mai 8 2000 oshadow
1742 f?v 29 2000 pam.conf
680 f?v 19 2001 part19022001

sys

1110 jun 10 2003 passwd

-r--r--r-- 1 root

other

3640 jun 3 2002 path_to_inst

-r--r--r-- 1 root

other

3640 jun 3 2002 path_to_inst.old

-rw-r--r-- 1 root

sys

-rw-r--r-- 1 root

other

960 f?v 28 2000 power.conf


239 mar 23 2000 printers.conf

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

87

Vulnrabilits NFS
Le type le plus courant de vulnrabilit NFS est li une erreur de
configuration qui exporte le systme de fichiers vers everyone (nimporte
quel utilisateur distant pourra accder un systme de fichier sans
authentification).
En interrogeant le mappeur des ports (portmappeur), nous avons constat
que mountd et le serveur nfs sont excuts, ce qui rvle que le serveur
cible est peut tre en train dexporter un ou plusieurs systmes de fichiers.
[root@audit-pc]# showmount e 172.20.50.11
Export list for 172.20.50.11
/ (everyone)
/ sunpartage (everyone)
les rsultats de showmount indiquent que la totalit des systmes de fichiers / et /usr
sont exports vers lextrieur , ce qui prsente un risque norme la scurit. Il suffit
quun utilisateur distant excute mount pour accder la totalit du systme de fichier
/ et /usr .

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

88

Analyse des vulnrabilits des postes de travail


Cette analyse de vulnrabilit ciblant lensemble des postes utilisateurs du
rseau audit a permis de dgager le taux global moyen suivant :

Nombre de vulnrabilits
dordre grave : 146
Nombre de vulnrabilits
dordre moyenne : 215

Nombre de vulnrabilits
dordre minime : 193
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

89

Analyse des Vulnrabilits (intrusif externe)


Audit de vulnrabilits intrusif externe avec connaissance partielle
ou totale
Le but de cet audit est de mettre lpreuve larchitecture technique en oprant dans des
conditions analogues celles dont disposerait une personne mal
mal--intentionne ayant une
bonne voire trs bonne connaissance du systme dinformation.

Audit de vulnrabilits intrusif externe sans aucune connaissance


pralable
Cette opration est ralise depuis le rseau externe du site audit (avec autorisation :
Une simulation de ces attaques pourra tre ralise la demande) partir de postes de
travail positionns sur le rseau public (Internet) ou sur le rseau tlphonique dans
les mmes conditions que celles dont pourrait disposer un pirate informatique.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

90

Test de lopacit du rseau depuis lextrieur :


Examen et test des possibilits offertes un attaquant
de rcuprer, depuis lextrieur les informations
suivantes :
- Topologie du rseau et adresses IP des serveurs et
lments actifs du rseau.
- Protocoles applicatifs et de routage utiliss.
- Les services actifs.
- Les mcanismes de scurit supports.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

91

Audit de larchitecture de scurit existante

Lobjectif est dexpertiser larchitecture technique dploye et de


mesurer la conformit des configurations quipements rseaux, parefeu, autocommutateur priv, sondes , etc. avec la politique de scurit
dfinie et les rgles de lart en la matire.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

92

tude Cas :
Audit des Firewalls et Rgles de Filtrage

La dmarche adopte consiste :


- Vrifier la configuration, les failles renfermes par la version installe, les
mises jour
- Audit des rgles de filtrage (TCP/UDP filtering, Firewalking)
- Audit des mcanismes de log

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

93

Audit des Routeurs

La dmarche adopte consiste :


- Vrifier le type du routeur et sa configuration, ainsi que les failles
ventuelle de version
- Test de la conformit des ACLs envers la politique de la scurit
du site (Audit des ACLs)
- Test de la rsistance des routeurs contre les attaques DDOS

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

94

Audit des des Commutateurs (switchs) et de la Configurations en


VLANs - la solidit du systme, face aux essais dinterception des
flux

La dmarche adopte consiste :


- Raliser des simulations par des essais dattaques par des outils dcoute
rseaux (sniffers) au niveau des diffrents segments de la configuration en
VLANs
- Vrifier de la rsistance des commutateurs(switch) contre les attaques
expertes de type MAC Flood et ARP poisoning (Arpspoof)
- Raliser des simulations par des essais dattaques par des outils
dinterception de flux volus (interception du contenu des flux http, smtp,
pop)
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

95

Audit du Systme de Dtection d'intrusion (IDS)

La dmarche adopte consiste :

- Tester par des scans et mthodes dattaques diversifis et des essais de


simulation (par flood , fausses attaques simultanes, fragmentation, scans
lents) afin de rduire les possibilits de lIDS dtecter les attaques
- Vrifier les mcanismes de journalisation (log) de la Sonde
- Vrifier les performances de la sonde

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

96

Dlivrables de la phase dAudit Technique :


Rapport d'Audit technique du systme dinformation, prsentant les
vulnrabilits dceles (voir le modle en ce qui suit)
Rapports de synthse :
Synthse globale et exhaustif des vulnrabilits et des insuffisances.
Synthse des solutions et outils de scurit proposs.
Synthse des recommandations de mise en oeuvre
Esquisse dun Plan daction scurit informatique du site audit (contenant
une estimation des budgets allouer pour la mise en uvre des mesures
recommandes

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

97

Modle dun rapport daudit technique


Rapport d'Audit de larchitecture rseau et systme
Contient les tests de scurit qui ont t raliss ,les interprtations
ainsi quun ensemble de recommandations techniques (cas des
anomalies et failles au niveau de larchitecture rseau existante,
vulnrabilits dceles sur les serveurs et postes sensibles, etc..).

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

98

Esquisse du rapport d Audit de larchitecture Rseau &


Systme :
A-1 Topologie du rseau - Site Audit
A-1-1 Cartographie du rseau
A-1-2 Cloisonnement du rseau

A-2 Sondage systme


A-2-1 Identification et Mise jour des systmes dexploitation
A-2-2 Mise jour des applications
A-2-3 Scurisation des postes de travail (contrle dintgrit, protection antivirale)
A-2-4 Scurisation des Serveurs

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

99

A-3 Sondage des Flux et services rseau


A-3-1 Sondage Rseau ( ports , services, applications associes)
A-3-2 Flux rseaux observs
A-3-3 Situation des ressources et partages sur le rseau interne
A-3-4 Politique de gestion des mots de passe
A-3-5 Audit des applications

A-4 Audit de la gestion des dfaillances matrielles


A-4-1 Protection physique des disques durs
A-4-2 Stratgie de sauvegarde des donnes

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

100

Esquisse du Rapport dAudit des vulnrabilits rseau et


systme :

B-1 Audit des vulnrabilit des Serveurs en exploitation


B-1-1 Analyse des vulnrabilits des Serveurs de donnes &
dapplications
B-1-2 Analyse des vulnrabilits des Serveurs Internet/Intranet

B-2 Audit des vulnrabilit des postes de travail du rseau


audit
B-2-1 Analyse des vulnrabilits des postes de travail
B-2-2 Synthse des principales vulnrabilits dceles sur les postes
de travail du rseau
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

101

Esquisse du rapport daudit de larchitecture de scurit existante :

1- Audit & vrification des rgles de filtrage au niveau des Firewalls


A- Vrifier que le Firewall filtre correctement la circulation vers/depuis le rseau
local, relativement la politique de scurit ncessaire mettre en oeuvre.
B- Vrifier la rsistance du firewall contre le Firewalking
C- Vrifier les pntrations issues des scans inverss

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

102

2- Audit des Commutateurs (Switchs) et de la configuration en VLANs


A- Identification des vulnrabilits des switchs
B- Audit et vrification de la configuration en VLANs

3- Audit de la solidit du systme face aux essais d'interception de flux


A- Identification de la liste des services vulnrables une coute passive du
rseau
B- Inspection de la rsistance du rseau, concernant linterception de donnes
sensibles (mots-cls, donnes confidentielles)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

103

2- Audit du Routeur et de la rsistance contre les attaques par dni de


service
A- Vrification du type du routeur et sa configuration, ainsi que les failles
ventuelle de version
B- Audit de la conformit des ACL envers la politique de la scurit du site
C- Vrification de la rponse des lments rseaux en connexion avec lextrieur
contre les attaques de dni de service (DDos, ).
D- Audit de la raction du rseau contre les surcharges des serveurs et du rseau

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

104