Vous êtes sur la page 1sur 49

Rapport d'audit de

scurit informatique
TUNISIE TELECOM
DIRECTION REGIONALE DE SFAX

Elabor par

Baklouti Ahlem

Encadr par

Baklouti Mariem
M. Sahbi Moalla ISIMS Sfax
M. Jallali Riadh DRT Sfax

Date : 12/12/2012

Version : 1.0

Table des matires


Introduction.................................................................................................................................1
Prsentation de la mission...........................................................................................................1
Prsentation de lorganisme........................................................................................................2
Primtre de ltude....................................................................................................................4
Architecture du rseau................................................................................................................5
Planning de ralisation................................................................................................................5
Audit organisationnel et physique...............................................................................................6
Chapitre1 : politique de scurit.................................................................................................6
1.

But....................................................................................................................................6

2.

Politique de scurit.........................................................................................................6

Chapitre 2 : Organisation de la scurit dinformation...............................................................7


1.

Organisation interne.........................................................................................................7

But...........................................................................................................................................7
2.

Tiers.................................................................................................................................9

But...........................................................................................................................................9
Chapitre 3 : Gestion des biens...................................................................................................11
1.

Responsabilits relatives aux biens................................................................................11


But.....................................................................................................................................11

2.

Classification des informations......................................................................................13


But.....................................................................................................................................13

Chapitre 4 : Scurit lie aux ressources humaines..................................................................14


1.

Avant le recrutement......................................................................................................14
But.....................................................................................................................................14

2.

Pendant la dure du contrat............................................................................................16

But.....................................................................................................................................16
3.

Fin ou modification du contrat.......................................................................................18


But.....................................................................................................................................18

Chapitre 5 : Scurit physique et environnementale.................................................................20


1.

Zones scurises.............................................................................................................20
But.....................................................................................................................................20

Scurit du matriel.......................................................................................................24
But.....................................................................................................................................24

Chapitre 6 : Gestion de lexploitation et des tlcommunications...........................................28


1.

Procdures et responsabilits lies lexploitation.......................................................28


But.....................................................................................................................................28

Gestion de la prestation de service par un tiers..............................................................30


But.....................................................................................................................................30

Planification et acceptation du systme.........................................................................31


But.....................................................................................................................................31

Protection contre les codes malveillants et mobiles......................................................33


But.....................................................................................................................................33

Sauvegarde.....................................................................................................................34
But.....................................................................................................................................34

Gestion de la scurit des rseaux.................................................................................35


But.....................................................................................................................................35

Manipulation des supports.............................................................................................36


But.....................................................................................................................................36

Chapitre 7 : Audit technique.....................................................................................................38


Introduction...........................................................................................................................38
1.

Droulement de laudit technique..................................................................................38


1.1 Phases de laudit.........................................................................................................39

1.2 Audit de larchitecture du systme et des quipements de rseau..............................39


1.3 Sondage des systmes et des quipements :...............................................................41
1.4 Audit des serveurs et des postes de travail sensibles..................................................45
1.5 Tests dintrusion :........................................................................................................47
Plan daction.............................................................................................................................47
Conclusion................................................................................................................................48

Introduction
Linformation prsente un des biens vitaux pour la vie, le fonctionnement, la progression et
lvolution de lentreprise. Cette information juste, exacte et pertinente permet lentreprise
daccomplir ses tches, rpondre aux besoins des clients et fonctionner selon les besoins des
dirigeants.
A cet effet, lentreprise doit protger son information ainsi que le systme dinformation
assurant le traitement de cette information.
Pour protger son systme dinformation, lentreprise doit pouvoir valuer les risques pour
mettre en place une politique de scurit informatique du systme dinformation. Ceci dans le
but dassurer lintgrit, la confidentialit, la traabilit et la disponibilit de linformation.
Laudit informatique value les risques dun environnement informatique. Il implique tous les
intervenants dun tel environnement. Il concerne la scurit physique, logique et
organisationnelle.
Ce travail prsente le rapport daudit de la scurit informatique de la Direction Rgionale des
Tlcommunications de Sfax (Tunisie Telecom).
Nous dcrirons notre mission, puis nous prsenterons la socit, ensuite nous dfinissons le
primtre de laudit.

Prsentation de la mission
Notre mission consiste auditer la scurit informatique de la Direction Rgionale des
tlcommunications de Sfax (DRT Sfax). Lobjectif tant de donner une valuation de la
scurit physique, la scurit logique et la scurit du rseau. Nous devons mettre en vidence
les faiblesses, le niveau de risque et nous devons proposer les mesures correctives.
Pour ce faire, nous procderons en deux tapes :
Audit physique et organisationnel :
Il sagit de sintresser aux aspects de gestion et dorganisation de la scurit, sur les plans
organisationnels, humains et physiques. Lobjectif vis par cette tape est davoir une vue
globale de ltat de scurit du systme dinformation et didentifier les risques potentiels sur
le plan organisationnel.
Audit technique :
6

Il sagit deffectuer une dcouverte et reconnaissance du rseau audit et des services rseaux
vulnrables. Cette tape devra faire apparatre les failles et les risques, les consquences
dintrusions ou de manipulations illicites de donnes.

Prsentation de lorganisme
Loffice national des tlcommunications est cr suite la promulgation de la loi N36 du 17
avril 1995. Loffice a ensuite chang de statut juridique, en vertu du dcret N30 du 5 avril
2004, pour devenir une socit anonyme dnomme Tunisie Telecom .
En juillet 2006, il a t procd louverture du capital de Tunisie Telecom hauteur de 35%
en faveur du consortium mirati TeCom-DIG. Cette opration vise amliorer la rentabilit
de Tunisie Telecom et lui permettre de se hisser parmi les grands oprateurs internationaux.
Depuis sa cration, Tunisie Telecom uvre :
consolider linfrastructure des tlcoms en Tunisie ;
amliorer le taux de couverture dans la tlphonie fixe, mobile et transmission de
donnes ;
contribuer activement la promotion de lusage des TIC (Tehnologies de
linformation et de Communications) ;
contribuer au dveloppement des socits innovantes dans le domaine des tlcoms ;
Pionnire du secteur des tlcoms en Tunisie, Tunisie Telecom a tabli un ensemble de
valeurs dfinitoires qui place le client au centre de ses priorits. Ladoption de ces valeurs se
traduit en particulier par une amlioration continue des standards de lentreprise et de la
qualit des services.
Tunisie Telecom compte dans ses rangs plus de 6 millions abonns dans la tlphonie fixe et
mobile.
Tunisie Telecom se compose de 24 directions rgionales, de 80 Actels et points de vente et de
plus de 13 mille points de vente privs. Elle emploie plus de 8000 agents.
Lorganigramme gnral de lentreprise est illustr dans la figure ci-dessous :

Dans notre cas, nous nous intresserons la Direction Rgionale des Tlcommunications de
Sfax (DRT). Ainsi, lorganigramme de la DRT se prsente comme suit :

Primtre de ltude
Le but de laudit informatique est danalyser la scurit de lensemble du systme
informatique, de le critiquer et de le renforcer en tenant compte des contraintes techniques et
organisationnelles.
Nous nous sommes adresss au responsable de la subdivision Support SI faisant partie de
la division Rseaux et SI , pour obtenir les informations ncessaires llaboration de
notre audit. Nous sommes aussi appels interviewer des reprsentants de chaque Division :

Commerciale
Service clientle
Affaires financires
Ressources Humaines

Et galement la subdivision Affaires rgionales .


Ainsi, un recensement des quipements de la DRT nous a permis de dresser le tableau
suivant :
Equipement
Matriels
Ordinateur de bureau

Nombre

Fonctionnalits

70

Manipuler les logiciels de

Ordinateur portable

gestion et de bureautique
Manipuler les logiciels de

Imprimante rseau
Imprimante locale
Scanner
Routeur

17
22
2
1

gestion et de bureautique
Imprimer les tats
Imprimer les tats
Numriser des documents
Router le trafic vers le rseau

Switch

externe la DRT
Interconnecter

Firewall

quipements
Respecter les politiques de

les

scurit rseau
Logiciels
Gis
Workflow

Gestion dabonns
Ordre de travaux

Erp

mobile, data
Gestion de la clientle

fixe,

Architecture du rseau

Planning de ralisation
Etape
Date
Runion de sensibilisation la scurit
Consultation du rseau, routeur, firewall,
switch
Consultation des politiques de scurit
Consultation des applications
Livraison version 0 du rapport
Livraison rapport final

10

Audit organisationnel et physique


Chapitre1 : politique de scurit
1. But
La politique de scurit informatique fixe les principes visant garantir la protection des ressources informatiques et de tlcommunications en
tenant compte des intrts de l'organisation et de la protection des utilisateurs.
Les ressources informatiques et de tlcommunications doivent tre protges afin de garantir confidentialit, intgrit et disponibilit des
informations qu'elles traitent, dans le respect de la lgislation en vigueur.

2. Politique de scurit
1. Document de politique de scurit
Conformit : Non
Risque : Elev
Constatation
Impact
Pas de document pour la politique de scurit Information non

protg

et

risque

recommandation
de Ncessit de rdiger un document de

selon monsieur walid chakroun ingnieur lunit divulgation

politique de scurit valider par la

radio mobile appartenant la division des rseaux.


2. Rexamen de politique de scurit
Conformit : Non
Risque : Elev
Constatation
Impact
Puisquil nexiste pas de document de politique de Information non

direction

scurit, le rexamen ne sapplique pas.

divulgation

protg

et

risque

recommandation
de Ncessit de rdiger un document de
politique de scurit valider par la
11

Aggravation des incidents de scurit.

direction

et

priodiquement

de
ce

rviser

et

adapter

document

suivant

lvolution des failles dans le SI de


lentreprise.

Chapitre 2 : Organisation de la scurit dinformation


1. Organisation interne
But
Lorganisation interne a pour but de Grer la scurit de linformation au sein de lorganisme. Pour atteindre ce but, nous devons :

Crer un comit pour dfinir la politique de scurit.


Ce comit doit coordiner entre les diffrents acteurs de la socit (divisions et subdivisions) pour analyser et dfinir les besoins en

scurit informatique.
Dans le cas chant, prendre avis de spcialiste et dexpert dans le domaine (ayant une exprience dans la scurit informatique des
socits de tlcommunication).

1.1 Engagement de la direction vis--vis de la scurit de linformation


Conformit : Non
Risque : Elev
Constatation
Impact
Nous avons constat que la socit manque de Divulgation possible et facile de linformation
directives claires respecter et appliquer pour la

Recommandation
Il convient de dfinir une politique de
scurit pour la socit confirm par le
12

scurit

directeur de la socit et appliquer par tous


les employes.

1.2 Coordination de la scurit de linformation


Conformit : Non
Risque : Moyen
Constatation
Impact
Recommandation
Nous avons constat la prsence dun RSSI mais
Un intervenant peut faire des actions qui ne Il convient de crer une collaboration entre
le manque de sensibilisation des employs la

sont pas conforme la politique de scurit.

scurit

les diffrentes divisions et subdivisions.


Un audit priodique assurera lapplication
de la politique de scurit

1.3 Attribution des responsabilits en matire de scurit


Conformit : Oui
Constatation

Risque : null
Impact

Recommandation

Nous avons remarqu que laccs aux bases de Lidentification de la responsabilit daccs
donnes se fait moyennant une authentification aux biens de chaque employ est assure
travers lintranet de lentreprise
1.4 Systme dautorisation concernant les moyens de traitement de linformation
Conformit : Non

Risque : Moyen

Constatation

Impact

Recommandation

Nous avons constat que toutes les applications Lutilisation des ordinateurs portables non Mise en uvre dun systme de gestion des
accessibles via lintranet sont protges par un connects lintranet peut tre une source de autorisations pour chaque quipement
systme dauthentification.

divulgation et peut prsenter un point de personnel et des moyens de protection

Les employs peuvent utiliser des ordinateurs vulnrabilit du SI

contre les attaques via internet


13

portables qui ne sont pas connects lintranet.

2. Tiers
But
Assurer la scurit de linformation et des moyens de traitement de linformation appartenant lorganisme et consults, oprs, communiqus
ou grs par des tiers
2.1 Identification des risques provenant des tiers
Conformit : Oui
Risque : Null
Constatation
Daprs le Chef Unit Radio Mobile, tout accs

Impact

Recommandation

Impact

Recommandation

par un tiers doit faire lobjet dune demande


dintervention spcifiant le type daccs, la date et
lobjectif
2.2 La scurit et les clients
Conformit : Oui
Risque : Null
Constatation
Daprs le Chef Unit Radio Mobile, tout accs
par un tiers doit faire lobjet dune demande
dintervention spcifiant le type daccs, la date et
lobjectif
2.3 La scurit dans les accords conclus avec des tiers
Conformit : Oui

Risque : null
14

Constatation
Daprs

le

Chef

Unit

Impact
Radio

Recommandation

Mobile,

lintervention dun tiers se fait moyennant un


contrat garantissant lengagement du tiers la
protection des biens de la socit

15

Chapitre 3 : Gestion des biens


1. Responsabilits relatives aux biens
But
Mettre en place et maintenir une protection approprie des biens de lorganisme.

16

1.1 Inventaire des biens


Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

Impact

Recommandation

Nous avons constat lexistence dun document


dans chaque local contenant un inventaire de tous
les biens
1.2 Proprit des biens
Conformit : Oui
Risque : null
Constatation
Daprs le Chef Unit Radio Mobile, chaque agent
manipulant un bien est tenu respecter son manuel,
ses consignes et assurer son bon fonctionnement.
La fiche de fonction prcise les biens concerns.
1.3 Utilisation correcte des biens
Conformit : Non
Risque : haute
Constatation
Impact
Nous avons constat que les manuels dutilisation Perte de temps en cas de recherche

Recommandation
Etablir un document contenant la rfrence

existent mais ils ne sont pas rfrencis

pour chaque manuel dutilisation dun bien

Lutilisation des appareils mobiles en dehors des Risque de perte des biens lors de leur
locaux est soumise une autorisation verbale

utilisation en dehors des locaux

Ncessit dtablie une autorisation crite


sign et dat

17

2. Classification des informations


But
Garantir un niveau de protection appropri aux informations.

2.1 Lignes directrices pour la classification


Conformit : Non
Risque : haute
Constatation
Impact
Recommandation
Nous avons constat quil ny a aucun document de Pas destimation de la valeur des biens et Etablir un document de classification des
classification des informations
donc risque de perte de biens
2.2 Marquage et manipulation de linformation
Conformit : Non
Risque : haute
Constatation
Impact
Nous avons constat quil nexiste aucun marquage Risque de perte des biens

biens

Recommandation
Etablir un marquage de tous les biens

de linformation

18

Chapitre 4 : Scurit lie aux ressources humaines


1. Avant le recrutement
But

Assurer la scurit lie aux ressources humaines : aviser personnel les bonnes pratiques utiliser pour protger les
renseignements confidentiels et nominatifs, faire un bon usage de leur quipement informatique selon les normes et les
rgles.

1.1 Rles et responsabilits


Conformit : Non

Risque : lev
Constatation

Impact

Recommandation

Nous avons constat labsence dun document Impossibilit dvaluer la responsabilit Rdaction

un

document

prcisant

la

spcifions les responsabilits en terme de scurit pour un salari : ce dernier peut nier cette responsabilit et les procdures appliquer
pour les salaris.

responsabilit

pour chaque salari.et leur sensibilisation


limportance

de

lapplication

des

procdures mentionns dans le document.

19

Nous avons constat labsence des fiches de Le salari nassume pas sa responsabilit Rdiger des fiches de fonctions pour
fonction pour plusieurs fonctions.

dans sa fonction.

chaque fonction et les approuver (vue et


signe) par les salaris concerns

1.2 Slection
Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

La slection est faite conformment la lgislation Chaque fonction est occupe par la personne
tunisienne (tous les recrutements sont faits par voie ayant

les

aptitudes

scientifiques,

de concours nationaux), daprs le chef unit radio intellectuelles, physiques et professionnelles


de la division rseaux et SI
1.3 Conditions dembauche
Conformit : Oui

adquates
Risque : null

Constatation

Impact

Recommandation

Nous avons constat sur un exemple de titre de La relation entre salari et entreprise est
nomination que les recrutements sont faits selon la clairement dfini
loi de travail, et que la dure de stage est bien
dfinie ainsi que les conditions de rmunration

20

2. Pendant la dure du contrat


But
Veiller ce que salaris soient conscients des menaces pesant sur la scurit de linformation, de leurs responsabilits, et de la ncessit de
disposer des lments requis pour prendre en charge la politique de scurit de lorganisme dans le cadre de leur activit normale et de rduire le
risque derreur humaine.

21

1.1 Responsabilits de la direction


Conformit : Non

Risque : lev
Constatation

Impact

Recommandation

Nous avons constat quaucun document officiel ne Les salaris ne sont pas correctement La direction doit s'assurer que chaque
mentionne lobligation de respecter des chartes ou informs
des rgles de scurit

sur

leurs

fonctions

responsabilits en matire de scurit.

et utilisateur soit inform des procdures


de scurit qui le concerne et qu'il doit
exercer ses fonctions dans leur respect.
Elle doit galement l'informer des
sanctions relatives au non-respect de ces
procdures.

1.2 Sensibilisation, qualification et formation en matire de scurit de linformation


Conformit : Non

Risque : lev
Constatation

Impact

Recommandation

Nous avons constat, selon les plannings de Lintrt port la scurit diminue par Ladministration doit sensibiliser les
formation que les formations de sensibilisation la lensemble des salaris vue que ces salaris salaris limportance des formations et
scurit existent mais que la sensibilisation par nont pas les mmes objectifs et la mme surtout limpact de la prise la lgre
ladministration limportance de ces actions est mentalit en termes de scurit

de ces formations : lassistance aux

insuffisante
1.3 Processus disciplinaire

formations est obligatoire

Conformit : Non

Risque : lev
Constatation

Impact

Recommandation

Daprs notre interview avec le Chef Unit Radio Les salaris sous-estiment la gravit de la Ncessit de mettre en place et de
22
Mobile de la Division des Rseaux et SI, le prise la lgre de la scurit.
publier un document officiel de
processus disciplinaire existe : blmes

pour la

politique de scurit : il faut aviser les

premire faute et sanctions plus svres en cas de

salaris, les sensibiliser et par la suite

3. Fin ou modification du contrat


But
Veiller ce que les salaris, contractants et utilisateurs tiers quittent un organisme ou changent de poste selon une procdure dfinie.

23

1.4 Responsabilits en fin du contrat


Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

La rglementation et le cadre juridique de la socit Prserver la scurit de lorganisme et les


prcisent les responsabilits et les devoirs de tout droits des salaris
salari dsirant quitter lorganisme ou changer de
poste

1.5 Restitution des biens


Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

Daprs notre interview avec le Chef Unit Radio Prserver les biens de lorganisme et assurer
Mobile de la Division des Rseaux et SI, le la continuit du service.
processus de restitution de biens existe et que
tous les salaris restituent la totalit
des biens de lorganisme quils ont
en leur possession la fin de leur
priode demploi ou contrat.
1.6 Retrait des droits daccs
Conformit : Oui

Risque : null
Constatation

Impact

Daprs notre interview avec le Chef Unit Radio Prserver la confidentialit de linformation
Mobile de la Division des Rseaux et SI, laccs et les biens de lorganisme
physique et logique de tout salari dsirant quitter ou

Recommandation
24

Chapitre 5 : Scurit physique et environnementale


1. Zones scurises
But
Prvenir l'accs physique non autoris ou inutile l'information

25

1.1 Primtre de scurit physique


Conformit : Oui

Risque : null
Constatation

Nous

constatons

tlcommunication

Impact

que

Les

quipements

ainsi

que

les

Recommandation

de Le primtre de scurit physique est

quipements protg par lensemble des prcautions Lutilisation des camras de surveillance

intervenant dans le systme dinformation sont situe tablies par la socit

peut renforcer le primtre de scurit

dans des locaux ferms cl.

physique

Nous constatons que toutes personnes trangre doit


laisser sa CIN dans le bureau daccueil situ la
porte dentre.
La visite des zones sensible par ces personnes est
toujours accompagne par un agent de la socit.
Daprs le chef unit radio mobile, les intervenants
externes sur les quipements doivent inscrire leurs
identits, la date, lheure dentre/sortie et la raison
dintervention dans un cahier dintervention.
Nous constatons galement la prsence dun systme
de dtection/extinction dincendie dans tous les
locaux dquipement. Les bureaux et les couloirs
sont quips dextincteurs manuels.
Daprs le chef unit radio mobile, les sites loigns
sont quips dun systme de dtection dintrusion:
laccs au site doit se faire moyennant lintroduction
dun code secret dans les 20s qui suit louverture de
la porte dentre, si non dclanchement dune sirne
dalarme et envoie dun sms de notification
dintrusion au responsable concern.

26

1 Scurit du matriel
But
Empcher la perte, lendommagement, le vol ou la compromission des biens et linterruption des activits de lorganisme.

27

1.6 Choix de lemplacement et protection du matriel


Conformit : Oui

Risque : null

Constatation

Impact

Recommandation

Impact

Recommandation

Nous avons constat que les mesures visant


rduire les menaces physiques sont prises :
gardiennage et contrle daccs au locaux,
dtection / extinction incendie manuelle et
automatique, les quipements sont situs
ltage. Les sondes de dtection de temprature
sont prsentes dans les locaux dquipements.
1.7 Services gnraux
Conformit : Oui

Risque : null
Constatation

Daprs le Chef de lUnit Radio Mobile,


lalimentation en nergie est scurise par
lutilisation

des

batteries

(contrl

priodiquement) et lutilisation des groupes


lectrognes (superviss distance et test une
fois par semaine). Lutilisation de courant
ondul et de redresseurs permet de dtecter les
anomalies nergie et de dclencher des
alarmes.
1.8 Scurit de cblage
Conformit : Oui

28
Risque : null

Chapitre 6 : Gestion de lexploitation et des tlcommunications


1. Procdures et responsabilits lies lexploitation
But
Assurer lexploitation correcte et scurise des moyens de traitement de linformation

29

1.1 Procdures dexploitation documentes


Conformit : Oui

Risque : null
Constatation

Nous

avons

constat

Impact

que

les

Recommandation

procdures

dexploitation sont documentes sous forme


lectronique

(supervision

des

systmes

de

tlcommunications, sauvegarde, redmarrage et


rcupration suite crash)
1.2 Gestion des modifications
Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, les


modifications sont soumises une demande
dintervention

programme.

lintervention

de

modification,

La
un

fin

de

e-mail

dcrivant les oprations doit tre envoy toute


personne concern.
1.3 Sparation des tches
Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, les


fiches de fonctions prcisent les tches de chaque
agent
1.4 Sparation des quipements de dveloppement, de test et dexploitation
Conformit : Oui

Risque : null

30

1 Gestion de la prestation de service par un tiers


But
Mettre en uvre et maintenir un niveau de scurit de linformation et de service adquat et conforme aux accords de prestation de service par
un tiers

31

1.5 Prestation de service


Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile,


lintervention des tiers est soumise des contrats
qui dfinissent les services et les niveaux de
prestation
1.6 Surveillance et rexamen des services tiers
Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile,


lintervention des tiers est couronne par lenvoi
dun e-mail qui permettra de surveiller les
niveaux de performance du service
1.7 Gestion des modifications dans les services tiers
Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, les


changements dans la prestation de service font
lobjet dun contrat tablis entre les deux parties

32

2 Planification et acceptation du systme


But
Rduire le plus possible le risque de pannes du systme travers une planification pour assurer la disponibilit des ressources et offrir les
performances requises.

33

1.8 Dimensionnement
Conformit : Oui

Risque : null
Constatation

r
Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, des

mesures de la qualit de service (Radio Network

Optimizer) permettent dtablir des statistiques.

Ces statistiques font la base pour dimensionner les

systmes et appliquer les rglages


1.9 Acceptation du systme
Conformit : Oui

i
Risque : null

Constatation

Impact

o
Recommandation

Daprs le Chef de lUnit Radio Mobile, toute


acquisition de nouveau systme doit faire lobjet
dune acceptation munie de tous les tests
ncessaires. Le document dacceptation doit tre
approuv et sign

contre les codes malveillants et mobiles


But
Protger lintgrit des logiciels et de linformation
34

1.10

Mesures contre les codes malveillants

Conformit : Oui

Risque : null
Constatation

S
Impact

Recommandation

Nous avons constat que chaque accs aux

ordinateurs se fait moyennant des sessions par

login et mot de passe : ladministrateur systme

interdit toute installation de tout logiciel ou


application. Les installations se font suite

intervention de ladministrateur. De mme les

mises jours sont fait automatiquement via

lintarnet. Lantivirus mis jour permet de

dtecter et rparer le code mail veillant.


1.11 Mesures contre le code mobile
Conformit : Oui

Risque : null
Constatation

Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, toute


utilisation de code mobile se fait sur des PC
portables isols de lIntranet.
But
Maintenir lintgrit et la disponibilit des informations et des moyens de traitement de linformation
35

1.12

Sauvegarde des informations

Conformit : Oui

Risque : null
Constatation

e
Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, des

sauvegardes sont effectus priodiquement : une

copie effectue est stocke en local (Sfax) et une


autre copie effectue automatiquement est stock
Tunis. Les sauvegardes sont de deux types :

o
n

sauvegarde systme et sauvegarde de donnes.

de la scurit des rseaux


But
Assurer la protection des informations sur les rseaux et la protection de linfrastructure sur laquelle ils sappuient.

36

1.13

Mesures sur les rseaux

Conformit : Oui

Risque : null
Constatation

a
Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, la

protection des rseaux publics et sans fils est

assure par cryptage et par mise en place de

mcanismes dauthentification
1.14 Scurit des services rseaux
Conformit : Oui

Risque : null
Constatation

a
Impact

Recommandation

ti

Daprs le Chef de lUnit Radio Mobile, la

scurit des services rseaux est assure par une

limitation

aux

services

ncessaires

au

fonctionnement : les services non utiliss sont


dsactivs par ladministrateur

des supports
But
Empcher la divulgation, la modification, le retrait ou la destruction non autoris de biens et linterruption des activits de lorganisme

37

1.15

Gestion des supports amovibles

Conformit : Oui

Risque : null

Constatation

Impact

Recommandation

Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, les


supports amovibles sont stocks et un registre
est mis jour pour conserver lhistorique des
supports de stockage
1.16 Mise au rebut des supports
Conformit : Oui

Risque : null

Constatation
Daprs le Chef de lUnit Radio Mobile, les
supports mis au rebut sont rcuprs par la
Division Rseau et SI qui prend en charge leur
destruction
1.17

Procdures de manipulation des informations

Conformit : Oui

Risque : null

Constatation

Impact

Recommandation

Daprs le Chef de lUnit Radio Mobile, le


stockage des informations est confi aux
personnes habilites et tout accs aux supports
archivs doit tre inscrit dans un registre prpar
cet effet.
1.18

Scurit de la documentation systme

Conformit : Oui
Constatation

38

Risque : null
Impact

Recommandation

Chapitre 7 : Audit technique


Introduction
Aprs avoir abord laudit organisationnel et physique, nous nous intresserons laudit technique. Dans cette tape, nous examinerons
larchitecture du rseau, les configurations matrielles et logicielles, le flux circulant sur le rseau, les quipements dinterconnexion et les
quipements de scurit existants.
Lobjectif tant dessayer de dtecter les anomalies et les failles qui peuvent constituer une menace pour lexploitation des diffrentes
composantes du systme dinformation.

1. Droulement de laudit technique


L'audit technique s'effectue en trois phases :

39

1.1 Phases de laudit


1.1.1 Phase 1: Audit

de larchitecture du

systme

et des

quipements rseau :

Pour valuer le niveau de scurit d'un rseau, il faut d'abord le connatre. Au cours de
cette phase, lauditeur effectue un inventaire du matriel, logiciels et quipements
rseau. Il effectue des tests de sondage rseau et systme pour dterminer les services
rseau et les types d'applications utilises.
1.1.2 Phase 2 : Audit des serveurs et des postes de travail
sensibles
Au cours de cette phase, l'auditeur dtermine, l'aide des rsultats obtenus l'tape
prcdente, les vulnrabilits des serveurs et des postes de travail. Ainsi, l'auditeur teste la
rsistance du systme face aux failles connues
1.1.3 Phase 3: Test intrusif
L'objectif des tests intrusifs est de mesurer la conformit des configurations quipements
rseaux, firewall, commutateurs, sondes, etc. avec la politique de scurit dfinie. Les tests
d'intrusion sont raliss aprs autorisation du client et reposent sur un ensemble de scnarios
d'attaques expertes mis en uvre pour compromettre un systme d'information.
1.2 Audit de larchitecture du systme et des quipements de
rseau
Il sagit de dterminer larchitecture, la topologie ainsi que les quipements rseau.
1.2.1 Architecture

40

Nous avons constat que le Firewall et le Routeur_DRT_Sfax sont situs dans le mme local
(salle serveur de la division SI).
Les diffrents sites de la Division des Rseaux sont relis soit par des liaisons HDSL (modem
+RTC) soit des liaisons fibres optiques.
Le rseau est segment en cinq sous-rseaux attribus :

La Division des Rseaux


La DRT Sfax
Les quipements Voix sur IP DRT Sfax (VOIP)
Les invits experts dsirant intervenir sur le routeur
Le terminal de Management permettant dadministrer le firewall et le routeur

Laccs internet et Intranet se fait via une liaison haut dbit 20 Mbits/s.
1.2.2 Topologie
Larchitecture montre une topologie hybride. En effet, tous les sous rseaux et quipements
sont connects un nud concentrique (le routeur). Dautre part, la topologie au sein de la
DRT et de la division des rseaux est en anneau.

41

1.3 Sondage des systmes et des quipements :


1.3.1 Sondage des systmes :
Le sondage des systmes consiste identifier les systmes dexploitation des diffrents
quipements du rseau, les ressources partages ainsi que les droits daccs qui y sont
appliqus et enfin le niveau de mises jour et des patches appliqus.

Nous avons constat que le systme dexploitation le plus utilis est : Windows xp.

Daprs le chef unit radio toutes les copies de Windows utilises sont des copies
originales et avec licences.

Daprs le chef unit radio, tous les logiciels utiliss sont des logiciels avec licences et
avec la possibilit de mise jour automatique.

1.3.2 Sondage des ports :


Il sagit dutiliser loutil GFI pour dtecter les ports ouverts sur les quipements actifs du
rseau local.

42

Nous avons constat que les ports ouverts sont souvent des ports TCP.
1.3.3 Sondage du flux et des services :
Il sagit dutiliser loutil wireshark pour faire un sondage du flux qui circule dans le
rseau.
wireshark est un outil qui permet de danalyser le trafic circulant dans le rseau.

43

La rpartition de lutilisation des protocoles montre que TCP est le plus utilis et en second
lieu UDP.

44

Lanalyse du trafic montre que le rseau est fiable : pas derreur de transmission.

1.3.4 Sondage des applications :


Consiste numrer les applications les plus importantes, leurs version et analyser les
contrles daccs et les mthodes dauthentification.
Nous avons constat lutilisation de :

les produits bureautiques de Microsoft


45

les applications propritaires :


o GIS spcifique la gestion dabonns tel que lenregistrement dun nouvel
abonne, la suspension dabonn
o ERP spcifique la gestion de la clientle telle que la facturation
o Workflow spcifique la gestion des ordres de travaux tels que la maintenance

Laccs tous ces applications se fait moyennant une authentification par login et mot
de passe.

1.4 Audit des serveurs et des postes de travail sensibles


1.4.1 Dtection des failles de scurit
La phase Dtection des failles est scinde en deux tapes:

Une premire tape consiste un balayage global pour la dtection des failles

prsentes sur tous les quipements qui constituent le systme dinformation


La deuxime tape consiste dtecter et identifier les machines les plus vulnrables
et raliser par la suite un scan cibl et approfondi de ces quipements.

1.4.2 Premire tape: Audit global du rseau


GFI LanGuard permet de dtecter les vulnrabilits du systme. Trois types de vulnrabilits
sont dtects : vulnrabilit haute, vulnrabilit moyenne et vulnrabilit basse.

46

La plupart des vulnrabilits sont basses. Ceci est d au fait que les ports non utiliss sont
ferms, de mme, les protocoles non utiliss sont dsactivs.
1.4.3 Seconde tape: Audit dtaill par ressource
Trouv

Conformit

1 Service Packs
1.1 service packs et correctifs
majeurs requis
1.1.1 Service Pack install
actuellement

Service Pack 3

Conforme

installs

conforme

1.2 correctifs mineurs requis


1.2.1 correctifs
scurit critiques

de

2 stratgies des comptes


2.1 longueur minimale du Au moins
alpha+num
mot de pass

caractre

Conforme
47

2.2 dure de vie maximale


du mot de passe

90 jours Max

3.1
Paramtre
de
scurit Pas
daccs
permission
explicite
majeur :
Restrictions
additionnelles
pour
les
connexions anonymes
3.2 Paramtres de scurit
mineures
3.2.1 Forcer la fermeture de Activ
session
quand les horaires de connexion
expirent
4 Scurit Additionnelle

Conforme
sans

Conforme

Conforme

4.1 Droits des utilisateurs


4.1.1
Sauvegarder
des
fichiers et des rpertoires

Administrateurs

Conforme

4.1.2 Modifier
systme

lheure

Administrateurs

Conforme

4.1.3 Charger et dcharger


les pilotes de priphriques

Administrateurs

Conforme

4.2
autres
systme :

exigences

Toutes
les
partitions
utilisent le systme de
fichier NTFS

Conforme

1.5 Tests dintrusion :


Les tests d'intrusion consistent prouver les moyens de protection d'un systme
d'information en essayant de s'introduire dans le systme en situation relle.
Un test dintrusion ne peut pas constituer une assurance que le systme dinformation est tout
fait scuris, ni aboutir la dlivrance dune liste exhaustive des vulnrabilits du systme
dinformation.

Plan daction

Rdiger un document clair de politique de scurit valider par ladministration et


transmettre aux agents pour approbation

48

Sensibiliser les agents la ncessit et limportance de ladoption de la politique de

scurit et de la formation en termes de scurit de linformation


Paramtrer les serveurs de messagerie pour activer un seul protocole de messagerie
afin dviter les vulnrabilits lies ces protocoles.

Conclusion
La fin de notre mission daudit nous permet de conclure sur deux volets.
Le premier volet concerne lorganisme audit et le deuxime volet concerne notre savoirfaire.
La DRT de Sfax ne manque ni de moyens, ni de comptences pour mener bien la scurit de
son systme dInformation et acqurir la norme ISO 27002. Cependant, le manque de lintrt
port certains documents de scurit influe sur lactivit et la scurisation du systme
dinformation. De mme la sensibilisation de certaines catgories dagents la scurit
informatique est un facteur renforcer.
Dun autre ct, la centralisation des serveurs et de ladministration Tunis est un facteur
marquant pour la bonne gestion de la scurit du systme dinformation.
Cette centralisation ne nous a pas permis de tester certains outils daudit technique
convenablement. Ceci ne nous a pas empchs dlargir notre savoir-faire en termes de prise
de contact avec les professionnels, la prise de linformation et lapplication des diffrentes
tapes de la nome de scurit informatique.

49