Vous êtes sur la page 1sur 15

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

MEMOIRE
DE STAGE DE FIN DETUDE
Pour lobtention du

MASTERE PROFESSIONNEL
Nouvelles Technologies des Tlcommunications et Rseaux
Prsent par :

Ayari Amani

Audit de Scurit du Systme


Informatique de MTIC

Soutenu le : 05/02/2014
Devant le jury :

Mr

: Khaled Ghorbel

Mme : Emna Souissi


Mme : Chiraz Houaidia

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

A ma mre
pour toute laffection quelle me procure.
A mon pre
pour ses innombrables et prcieux conseils.
A mes frres et leurs conjointes
pour leur soutien.
Aux petites, Lina et Fatouma
pour la joie quils me font vivre.
A mon fianc Ahmed
Lhomme que jaime tant et avec qui je
construirai ma vie
A ma tante Mtira
Pour son soutien moral
A toute ma famille, mes oncles, mes tantes,
mes cousins et mes cousines
A tous mes amis

Amani
1

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Le travail prsent dans ce rapport a t effectu dans le cadre de ce projet de fin


dtudes pour lobtention du diplme de mastre professionnel en Nouvelles Technologies de
Tlcommunications et Rseaux lUniversit Virtuelle de Tunis (UVT)
Ce travail ralis au sein des locaux du Ministre des Technologies de lInformation et de
Communication(MTIC) a pu tre men terme grce la collaboration de certaines personnes
quil nous plat de remercier.
Je remercie galement Mr Khaled Sammoud mon encadreur pour ses conseils lucides et
pertinents.
Je tiens remercier vivement, Monsieur

Marouan Ladjimi et Monsieur Radhi

Mosly pour la confiance quils ont su me tmoigner au cours de toute la dure de ltude de mon
projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert
auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux.
Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une
valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai
trs reconnaissant.
Je remercie particulirement aux responsables et lquipement informatique au ministre pour
leur aide, leur patience et leur disponibilit.
Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce
travail.

Amani
2

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Table des matires


Introduction Gnrale ..........................................................................................................................7
Chapitre I : ......................................................................................................................................... 10
Gnralits et Etude de lArt ............................................................................................................ 10
1-

Introduction .................................................................................................................... 11

2-

Gnralit sur la scurit informatique....................................................................... 11

3-

Normes et standards relatives la scurit ................................................................ 11


3.1- ISO/IEC 27001............................................................................................................. 12
3.2- ISO/IEC 27002 ............................................................................................................ 12
3.3- ISO/IEC 27005 ............................................................................................................ 13

4-

Rle et objectifs daudit ................................................................................................. 13

5-

Cycle de vie dun audit de scurit des systmes dinformation ............................ 14

6Dmarche de ralisation dune mission daudit de scurit des systmes


dinformation............................................................................................................................ 15
6.1- Prparation de laudit ............................................................................................ 15
6.2- Audit organisationnel et physique ........................................................................ 16
6.3- Audit technique ...................................................................................................... 16
6.4- Audit intrusif ........................................................................................................... 18
6.5- Rapport daudit ....................................................................................................... 18
7-

Lois relative la scurit informatique en Tunisie ................................................... 19

8-

Conclusion ....................................................................................................................... 19

Chapitre II : ........................................................................................................................................ 20
Prsentation de lorganisme daccueil et tude de lexistant .......................................................... 20
1-

Introduction .................................................................................................................... 21

2-

Prsentation de lorganisme daccueil......................................................................... 21


2.1- Prsentation gnrale ............................................................................................. 21
2.2- Rles et attributions ............................................................................................... 21
2.3- Organigramme : ...................................................................................................... 23
2.4- Le bureau des systmes dinformation ............................................................... 25

3-

Description du systme informatique ......................................................................... 25


3

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

3.1- Inventaire des micro-ordinateurs et serveurs.................................................... 25


3.2- Inventaire des logiciels et systme dexploitation ........................................... 26
3.3- Inventaire des quipements rseaux................................................................... 27
4-

Architecture et topologie du rseau ............................................................................ 28


4.1- Plan dadressage ...................................................................................................... 28
4.2- Description de larchitecture rseau ................................................................... 28

5-

Aspects de scurit existante ........................................................................................ 29


5.1- Scurit physique ................................................................................................... 29
5.2- Scurit logique ...................................................................................................... 30
5.3- Scurit rseau......................................................................................................... 31
5.4- Scurit des systmes ............................................................................................. 31

6-

Conclusion ....................................................................................................................... 32

Chapitre III : ....................................................................................................................................... 33


Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002 .................... 33
1-

Introduction .................................................................................................................... 34

2-

Approche adopt ............................................................................................................ 34

3-

Droulement de la taxonomie organisationnel et physique .................................... 34


3.1- Prsentation des interviews .................................................................................. 34
3.2- Prsentation et interprtation des rsultats ....................................................... 34

4-

Conclusion ....................................................................................................................... 40

Chapitre IV: ....................................................................................................................................... 41


Taxonomies des failles techniques .................................................................................................... 41
1-

Introduction .................................................................................................................... 42

2-

Analyse de larchitecture rseau et systme............................................................... 42


2.1- Reconnaissance du rseau et du plan dadressage ........................................... 42
2.2- Sondage systme et des services rseaux ........................................................... 44

3-

Analyse des vulnrabilits ............................................................................................ 50


3.1- Serveur Backup Mail.............................................................................................. 50
3.2- Serveur SyGec ......................................................................................................... 51
3.3- Serveur de messagerie Lotus Notes .................................................................... 52

4-

Analyse de larchitecture de scurit existante .......................................................... 53


4.1- Analyse du Firewall ............................................................................................... 54
4

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

4.2- Analyse du Routeur Cisco..................................................................................... 54


4.3- Analyse du Switch HP Procurve .......................................................................... 55
4.4- Analyse de la politique dusage de mots de passe ........................................... 56
5-

Conclusion ....................................................................................................................... 57

Chapitre V : ........................................................................................................................................ 58
Recommandations organisationnelles et physiques ........................................................................ 58
1-

Introduction .................................................................................................................... 59

2-

Politique de scurit ....................................................................................................... 59

3-

Organisation de la scurit de linformation.............................................................. 59

4-

Gestion des biens ............................................................................................................ 60

5-

Scurit lie aux ressources humaines ........................................................................ 61

6-

Scurit physique et environnementale ...................................................................... 62

7-

Gestion des communications et de lexploitation ...................................................... 63

8-

Contrle daccs.............................................................................................................. 63

9-

Dveloppement et maintenance des systmes........................................................... 64

10-

Gestion des incidents ..................................................................................................... 65

11-

Gestion de la continuit dactivit ............................................................................... 66

12-

Conformit ...................................................................................................................... 66

13-

Conclusion ....................................................................................................................... 67

Chapitre VI : ...................................................................................................................................... 68
Recommandations techniques ........................................................................................................... 68
1-

Introduction .................................................................................................................... 69

2-

Recommandations .......................................................................................................... 69

3-

Solution propose........................................................................................................... 72
3.1- Dploiement complet dActive directory (Annexe 4) ...................................... 72
3.2- Windows Server Update Services ...................................................................... 72
3.3- Deuxime Switch HP Procurve ............................................................................ 72
3.4- Nouvelle architecture ............................................................................................. 73

4-

Conclusion ....................................................................................................................... 73

Conclusion Gnrale.......................................................................................................................... 74
Bibliographie ...................................................................................................................................... 77
Annexes .............................................................................................................................................. 79
5

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

TABLE DES FIGURES


Figure 1:Cycle de vie d'audit scurit ........................................................................................... 14
Figure 2:Processus d'audit ............................................................................................................ 15
Figure 3:Site du ministre(MTIC) ................................................................................................ 22
Figure 4:Organigramme de MTIC ................................................................................................ 23
Figure 5:Stuctures de cabinet ........................................................................................................ 24
Figure 6:Topologie du rseau du ministre(MTIC) ...................................................................... 29
Figure 7:Interface d'administration des onduleurs ........................................................................ 30
Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32
Figure 9:Rsultat de la taxonomie organisationnelle .................................................................... 39
Figure 10:Rseau local .................................................................................................................. 43
Figure 11:Configuration rseau au niveau du poste ..................................................................... 44
Figure 12:Sondage des systmes dexploitation avec GFI LANguard ......................................... 45
Figure 14:Sondage des services en activit du serveur Backup Mail ........................................... 46
Figure 15:Sondage des services avec Zenmap.............................................................................. 46
Figure 16:Sondage des ports ouverts ............................................................................................ 47
Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47
Figure 18:Capture des flux avec wireshark .................................................................................. 48
Figure 19:Partages rseau avec GFI LANguard ........................................................................... 49
Figure 20:Vulnrabilits (GFI LANguard) ................................................................................... 50
Figure 21:Capture du serveur Backup Mail .................................................................................. 51
Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51
Figure 23:Serveur SyGec .............................................................................................................. 52
Figure 24:Serveur primaire messagerie ........................................................................................ 52
Figure 25:Capture PuTTy ............................................................................................................. 55
Figure 26:Capture PuTTy(2)......................................................................................................... 55
Figure 27:Capture de la version du Switch ................................................................................... 56
Figure 28:Capture des adresses IP autorises ............................................................................... 56
Figure 29:Nouvelle architecture scurise .................................................................................... 73

TABLE DES TABLEAUX


Tableau 1:liste des serveurs du MTIC .......................................................................................... 26
Tableau 2:liste des applications du MTIC .................................................................................... 27
Tableau 3:liste des quipements rseaux de MTIC ...................................................................... 27
Tableau 4:liste des plans d'adressage ............................................................................................ 28

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Introduction Gnrale

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Le prsent rapport entre dans le cadre de ralisation dune mmoire du mastre


professionnel Nouvelles Technologies des Tlcommunications et Rseaux
lUniversit Virtuelle de Tunis pour lobtention dune mission daudit de scurit de
systme informatique de Ministre des Technologies de lInformation et de
Communication.
Les systmes informatiques sont devenus des outils indispensables au
fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs
professionnels, savoir, le secteur bancaire, les assurances, la mdecine voire dans le
domaine aronautique.
Cette volution a assouvi par consquent les besoins de nombreux utilisateurs
qui ne sont pas forcment de bonne foi. Ils peuvent exploiter les vulnrabilits des
rseaux et des systmes dans le but daccder des informations confidentielles et de
les utiliser dans leurs propre intrt. Il en dcoule que ces rseaux sont devenus cibls
par ce genre de menaces et leurs scurisation recle une proccupation de plus en plus
importante. La mise en place dune politique de scurit autour de ces systmes est
donc primordiale.
Ds lors, la scurit revt une importance qui grandit avec le dveloppement des
rseaux IP, les entreprises y voient aujourdhui un avantage concurrentiel et un
nouveau dfi battre. La complexit des technologies utilise, la croissance
exponentielle des terminaux protger ainsi que la prolifration de nouvelles menaces
dmontrent que la scurit est trs importante, et ncessaire.
Les oprations informatiques offrent de nouvelles perspectives de rentabilit
pour les pirates et les malveillants. Elles constituent un moyen dattaque qui peut tre
men des milliers de kilomtres de la cible vise. Ces risques ont gagn du terrain
depuis la naissance du rseau mondial Internet. Par consquent, toute organisation qui
a des ordinateurs relies internet (ou tout autre rseau externe) doit laborer une
politique pour assurer la scurit de chaque systme.

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Ici interviennent les mthodes daudit de scurit des systmes dinformation


qui sont la base mme dune politique permettant lentreprise de mettre en uvre
une dmarche de gestion de ses risques.
Dans ce contexte il nous a t confi de raliser une mission daudit de scurit
du systme dinformation du ministre des technologies de linformation et de
communication.
Le prsent rapport sera structur en six parties :
La premire partie prsente des gnralits sur la scurit informatique et sur
une mission daudit ainsi quun aperu sur les normes de scurit de
linformation.
La deuxime partie prsente lorganisme daccueil et ltude de lexistant et
lidentification de systme cible.
La troisime partie est consacre aux taxonomies des failles organisationnelles et
physiques bass sur la norme 27002 et ses rsultats.
La quatrime partie sera consacre aux taxonomies des failles techniques qui
permettent, travers des outils de dtection des vulnrabilits, dvaluer la
scurit mise en place pour la protection du systme dinformation.
Enfin,

les

deux

dernires

parties

de

ce

rapport

comporteront

des

recommandations et des conseils suggrs pour remdier ces problmes de


scurit.

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre I :

Gnralits et Etude de
lArt

10

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction
L'informatique est l'un des lments clefs de la comptitivit d'une entreprise.
C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant,
rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins.
C'est pourquoi raliser un audit permet, par une vision claire et globale,
d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit,
d'anticiper les problmes et de diminuer les cots de maintenance. (1)

2- Gnralit sur la scurit informatique


Le systme dinformation, considr comme le cur de lentreprise, est
lensemble des moyens organisationnels, humains et technologiques mis en uvre pour
la gestion de linformation. Il doit tre exempt de toute faille de scurit qui risquerait
de compromettre linformation qui y circule, du point de vue de la confidentialit, de
lintgrit ou de la disponibilit. Ainsi, des normes de scurit ont t dfinies, donnant
les rgles respecter afin de maintenir la scurit du systme dinformation de
lentreprise. Paralllement, tant donn la complexit de la mise en uvre de ces
normes, plusieurs mthodes danalyse des risques ont t mises au point afin de faciliter
et dencadrer leur utilisation. Cependant, la plupart de ces mthodes en sont que
partiellement compatibles, ne tenant compte que dune partie des rgles nonces dans
ces normes.

3- Normes et standards relatives la scurit


Les normes sont des accords documents contenant des spcifications techniques
ou autres critres prcis destins tre utiliss systmatiquement en tant que rgles,
lignes directrices ou dfinitions de caractristiques pour assurer que des processus,
services, produits et matriaux sont aptes leur emploi.(2)

11

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

3.1- ISO/IEC 27001


La norme ISO/IEC a t publie en octobre 2005, intitul Exigences de SMSI ,
elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui dfinit
les conditions pour mettre en uvre et documenter un SMSI (Systme de Management de la
Scurit de l'Information).

3.2- ISO/IEC 27002


Cette norme est issue de la BS 7799-1 (datant de 1995) qui a volu en ISO
17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a
t rebaptise en ISO 27002 pour s'intgrer dans la suite ISO 2700x, intitul Code de
bonnes pratiques pour la gestion de la scurit de l'information .
ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives
gnrales sur la slection et l'utilisation de mthodes appropries pour analyser les
risques pour la scurit des informations.
Elle est compose de 15 chapitres dont 4 premiers introduisent la norme et les 11
chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui
couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans
ses aspects oprationnels (les objectifs de scurit et les mesures prendre).
chapitres dfinissant le cadre de la norme:
Chapitre n1: Champ d'application
Chapitre n2: Termes et dfinitions
Chapitre n3: Structure de la prsente norme
Chapitre n4: valuation des risques et de traitement
Les chapitres dfinissant les objectifs de scurit et les mesures prendre
Chapitre n5: Politique de scurit de l'information
Chapitre n6: Organisation de la scurit de l'information
Chapitre n7: Gestion des actifs
Chapitre n8: Scurit lie aux ressources humaines
12

2012 - 2013

UNIVERSITE VIRTUELLE DE TUNIS

Chapitre n9: Scurits physiques et environnementales


Chapitre n10: Exploitation et gestion des communications
Chapitre n11: Contrle d'accs
Chapitre n12: Acquisition, dveloppement et maintenance des systmes
d'informations
Chapitre n13: Gestion des incidents
Chapitre n14: Gestion de la continuit d'activit
Chapitre n15: Conformit.

3.3- ISO/IEC 27005


La norme ISO/IEC 27005, intitul Gestion du risque en scurit de
l'information , est une volution de la norme ISO 13335, dfinissant les techniques
mettre en uvre dans le cadre dune dmarche de gestion des risques.

4- Rle et objectifs daudit


Laudit scurit est une mission dvaluation de conformit par rapport une
politique de scurit ou dfaut par rapport un ensemble de rgles de scurit.
Principe : auditer rationnellement et expliciter les finalits de laudit, puis en dduire
les moyens dinvestigations jugs ncessaires et suffisants.
Lobjectif principal dune mission daudit scurit cest de rpondre aux proccupations
concrtes de lentreprise, notamment de ses besoins en scurit, en :
Dterminant les dviations par rapport aux bonnes pratiques.
Proposant des actions damliorations de niveau de scurit de linfrastructure
informatique.
Cependant, laudit de scurit peut prsenter un aspect prventif. C'est--dire
quil est effectu de faons priodiques afin que lorganisme puisse prvenir les failles
de scurit. Egalement, laudit peut simposer suite des incidents de scurit.

13

2012 - 2013

5- Cycle de vie
dinformation

UNIVERSITE VIRTUELLE DE TUNIS

dun audit

de

scurit

des systmes

Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit


un cycle de vie qui est schmatis laide de la figure suivante (3)

Figure 1:Cycle de vie d'audit scurit

Laudit de scurit informatique se prsente essentiellement suivant deux parties


comme le prsente le prcdent schma :
Laudit organisationnel et physique.
Laudit technique.
Une troisime partie optionnelle peut tre galement considre. Il sagit de
laudit intrusif. Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport
prsente une synthse de laudit. Il prsente galement les recommandations mettre
en place pour corriger les dfaillances organisationnelles et techniques constates. Une
prsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe
suivant qui prsente le droulement de laudit.(3)

14