Audit Et Sécurité Informatique D'un Réseau Local - KHALID KATKOUT PDF

Sujet :
Audit et Scurit Informatique dun Rseau Local

Dentreprise
Elabor par
Riadh Abdelli
MEMOIRE
Prsent pour lobtention du
Diplme de License appliqu en
Technologie de linformation et communication
UNIVERSITE VIRTUELLE DE TUNIS
Encadr par :
Mr. Kamel Khdiri (UVT Tunis)
Mr. Nizar Hakim (Ste Palma/Aremgroup)
Anne Universitaire: 2010/2011

Ddicace
Jai le grand plaisir de ddier ce travail en tmoignage daffectation et de
reconnaissance tous ceux qui mont aid le raliser.
A tous les membres de la famille, pour leurs encouragements, soutiens,
affectation et confiance.
A tous mes collgues de travail qui mont donn du courage pour
continuer les tudes et pour prparer ce diplme.
Aux Enseignant et Encadreurs de LUVT qui nous ont donn confiance et
espoir et qui nous ont soutenus durant tout le cursus universitaire de cette anne.
Toutes ces valeurs mont donn confiance et espoir pour continuer les tudes et
pour prparer ce travail.

Remerciement
Mes sincres remerciements sadresse tous le personnel de lUVT,
Administration et Enseignant qui nous donn un soutien prcieux.
Mes Encadreur Mr Kamel Khdhiri mon encadreur lUVT pour son effort
quil a dploy dans ce projet, ces conseils, son encouragement, son
encadrement srieux et son soutien moral. Lattention dont il a fait preuve
lgard de mes travaux et les conseils quil ma prodigu mont t trs utiles.
Mes vifs remerciements Mr Maher Affess : directeur Gnral Ste Palma, Mr
Nizar Hakim : Directeur Informatique de ARemGroup, pour leurs soutiens
incontestables, leurs conseils, leurs grandes expriences en management.
Je suis honor par la prsence de membres du jury davoir accept ce travail en
esprant quils trouveront dans ce projet de quoi tre satisfait et auront la
gratitude de lenrichir avec leurs critiques et corrections.

Sommaire
Introduction Gnrale...1
Chapitre 1 : Prsentation de la Socit Palma........2
1. Prsentation de la Socit.......2
2. Activit de la Socit.........2
Chapitre II : Audit t scurit rseau informatique .4
1. Apparition du thme audit informatique en Tunisie..5
2. Introduction......6
3. Audit de scurit....6
3.1 Dfinition.6
3.2 Contenu de laudit....6
4. La norme internationale ISO 17799....7
4.1 Introduction...7
4.2 Couverture thmatique..7
4.3 Les contraintes de scurit...9
5. la qualit des services de scurit...9
5.1 Dfinition..9
5.1.1 Lefficacit des services de scurit...9
5.1.2 Leur robustesse.9
5.1.3 Leur mise sous contrle.9
6. Les risques de scurit informatique.10
6.1. Les types de risques...10
6.2 Classification des risques..10
6.2.1. Les risques Humains...10
6.2.2. Les risques Techniques...11
7. Mthodologie dAudit...12
7.1 Dfinition..12
7.2. Les phases daudit.12
7.2.1. Phase prparatoire..12
7.2.2. Evaluation de la qualit des services..13
7.2.3. Audit de lexistant..13
7.2.4. Expression des besoins de scurit13
Chapitre III : Audit du rseau informatique de Palma.15
I. Phase prparatoire..15
1. Dfinition du primtre de ltude....15
2 .Les quipements et matriels rseau.....15
2.1 Description..15
2.2 Apprciation...15
II. Audit de lexistant...17
1. Les services de scurit...17
2. Fonction Informatique de scurit.....17
2.1 Rle des directions dans le systme informatique...17
2.2 Existence de politiques, de normes et de procdures..18
2.3Responsabilit de la direction informatique.19
2.4 Existence de dispositif de contrle interne..20
3. Dcentralisation des traitements20
3.1 Gestion des configurations..20
3.2 Analyse des demandes arrivant au help-desk..21
3.3 Procdures dachat...21
4. Equipement Informatique......22
4.1 Inventaires des quipements informatiques22
4.1.1 Les Units Centrales22
4.1.2 Les Switch et les Hubs.22
4.1.3 Les cblage Informatique.22
4.1.4 Les Imprimantes..23
4.2 Environnement du matriel.23
4.2.1Les dfauts de climatisation..23
4.2.2 Dtection des dgts deau...23
4.2.3 Dtection des dgts du feu..24
4.2.4 Les dgts dlectricit.24
4.3 Environnement des logiciels de base..24
4.3.1 Les Patchs24
4.3.2 Les systmes de fichier.25
4.3.3 Les services inutilisables..25
5. Rseaux et communications....26
5.1 Configuration du rseau..26
5.1.1 Rseau Local..26
5.1.1.1Segmentation26
5.1.1.2 Laffectation des adresses IP...26
5.1.1.3 Les postes utilisateurs..26
a- Squence de dmarrage.26
b- Session..27
c- Active directory.27
5.2 Identification des risques.27
5.2.1 Les risques humains.27
5.2.2 Les risques techniques.28
5.2.2.1 Les Virus...28
5.2.2.2 Attaque sur le rseau.28
5.2.2.3 Attaque sur le mot de passe..29
6. Scurit informatique..29
6.1 Reprage des actifs informationnels29
6.2 Gestion des impacts.30
6.2.1 Intgrit des donnes30
III. Solutions de Scurit....30

1. Dploiement complet d'AD..30
2. Solution Antivirale....31
3. Le serveur de mise jour.........31
4. Systme de dtection dintrusion.31
4.1 Systme de dtection dintrusion dhte...31
4.2 Systme de dtection dintrusion rseau...32
5. Solution Firewall...32
5.1 Firewall filtrage de paquets32
5.3 Firewall Applicatif32
6. Annuaire.33
Chapitre IV : Installation et dploiement de Active directory......34
I. Introduction..35
II. Prsentation..35
III. Structure dactive directory36

1. Domaines.36
2. Arbres de domaines36
3. Fort.36
IV. Installation Active directory36
1. Serveur.36
2. Poste client...46
3. Fonctionnement...50
Conclusion ..52
Bibliographie...53
Audit et Scurit dun Rseau Informatique
Riadh Abdelli / Lastic3
Introduction
Vu limportance et lobligation de llaboration dun audit de scurit, daprs la
loi n2004-5 du 3 Fvrier 2004. Chaque organisme doit tablir un audit de
scurit informatique priodiquement afin didentifier ses sources de menace et
ces dgts informationnels.
Partant de cette ide, nous avons dcid dtablir un rapport daudit de scurit
informatique.
Ainsi ce rapport est scind sur trois parties primordiales :
La premire partie comporte une tude thorique qui dfinie le thme daudit de
la scurit informatique.
La deuxime partie est axe sur les diffrentes phases daudit rparti sur
lanalyse.
La troisime partie prsente une tude pratique qui dfinie la mise en uvre
dune solution SSH.
Universit Virtuelle de Tunis 1

Chapitre 1 : Prsentation de la Socit

1/ Prsentation :
La socit Profil Aluminium Maghrbin, PALMA, est une socit de rfrence dans le
domaine de lextrusion et du laquage de profils ddi au secteur de la construction et plus
prcisment la menuiserie aluminium.
Forme juridique : SARL
Capital Social : 3.300.000 dinars
Date de cration : 2005
Palma est le nouveau n du groupe AREM sur la scne industrielle, qui a t cre en 2005.
PALMA, sest donn pour objectif de contribuer au dveloppement de cette industrie en

Tunisie et dans la rive du Sud de mditerrane. Depuis son entre en production en 2007. Elle
a positionn son offre autour de deux axes dune part fournir la branche menuiserie en
aluminium en profils daluminium extrud et dautres part produire, selon un cahier des
charges ou des plans dtaills. Ainsi, PALMA est le preneur dordres de nombreux mtiers
tels que lclairage public, le sport. Etc. A cela sajoutent les profils standard : cornires,
tubes carres, tubes ronds ddis des usages usuels.
2/ Activit :
Ses performances industrielles par lesquelles se distingue son entre sur le march lui ont
permis non seulement de russir son positionnement, mais aussi dexporter vers lAlgrie et la
Libye.
Gamme de produits :
Les profils standard (cornires, tubes carres, tubes ronds...), Portes coulissantes, accessoires
et produits usuels, les murs rideaux pour les faades et portes dintrieur
PALMA prfre des nouveauts qui se dmarquent des produits dj existants par leur
caractre innovateur. Plutt que de recourir la casse des prix.
La Qualit de leurs produits de point de vue design, esthtique saillie, styles, teintes bien
tudies, la fait dmarquer de la concurrence.
Rseaux de distribution :
La socit palma a cre un rseau de distribution dans toute les zones de la Tunisie. Ainsi que
lexportation de leurs produits vers lAlgrie, la Libye et lItalie.
Certification :

Aujourdhui, toute lorganisation est mobilise pour la mise en place dun systme de
management intgr avec plusieurs composantes : qualit, sant, scurit et environnement se
basant sur les rfrentiels ISO 9001 version 2000, ISO 14001 et OHAS 18001.
Pour la certification produit, PALMA a entam les dmarches avec lADAL (lassociation de
dveloppement de laluminium) afin davoir les labels Qualicoat et Qualimarine.

Chapitre II : Audit et scurit

rseau informatique

Chapitre II : Audit et scurit rseau informatique
1. Apparition du thme audit informatique en Tunisie

Lagence nationale de la scurit informatique (ANSI) a t cre selon la loi N2004-5 du
3 Fvrier 2004 et est charge des missions suivantes :
Veiller lexcution des orientations nationales et de la stratgie gnrale en

matire de scurit des systmes informatiques et des rseaux.
Suivre lexcution des plans et des programmes relatifs la scurit informatique
dans le secteur public et assurer la coordination entre les intervenants dans ce
domaine.
Assurer la veille technologique dans le domaine de la scurit informatique.
Participer la consolidation de la formation et du recyclage dans le domaine de la
scurit informatique.
Etablir les normes spcifiques la scurit informatique et laborer les guides
techniques en lobjet et procder leur publication.
Veiller lexcution des rglementations relatives lobligation de laudit
priodique de la scurit des systmes informatiques et des rseaux.
Lapport juridique
La loi N 2004-5 du 3 Fvrier 2004 a promulgu lobligation dun audit priodique de

la scurit des systmes dinformation et des rseaux relevant diverses structures
publiques et prives et qui sera assur par des experts en audit du secteur priv
certifis par lagence nationale de la scurit informatique.
Les organismes soumis lobligation daudit doivent effectuer laudit priodique de

leur systme dinformation au moins une fois par an. Lopration daudit se droule
par le biais dune enqute sur le terrain bas sur les principaux lments suivants :
Audit des aspects organisationnels et de la structuration de la fonction

scurit, ainsi que du mode de gestion des procdures de scurit et la
disponibilit des outils de scurisation du systme informatique et de leur
mode dutilisation.

Analyse technique de la scurit de toutes les composantes du systme

informatique, avec la ralisation du test de leur rsistance tous les types de
dangers.
Analyse et valuation es dangers qui pourraient rsulter de lexploitation des
failles dcouvertes suite lopration daudit.
2. Introduction
En Informatique le terme Audit apparu dans les annes 70 a t utilis de manire
relativement alatoire. Nous considrons par la suite un audit de scurit
informatique comme une mission dvaluation de conformit scurit par rapport
un ensemble de rgles de scurit.
Une mission daudit ne peut ainsi tre ralise que si lon a dfinit auparavant un
rfrentiel, un ensemble de rgles organisationnelles, procdurales ou technique de
rfrence. Ce rfrentiel permet au cours de laudit dvaluer le niveau de scurit rel
de terrain par rapport une cible.
3. Audit de scurit
3.1 Dfinition
Un audit de scurit consiste sappuyer sur un tiers de confiance afin de valider les
moyens de protection mis en uvre
Un audit de scurit permet de sassurer que lensemble des dispositions prises par
lentreprise sont rputes sures.
3.2 Contenu de laudit
Lopration daudit prend notamment en compte des lments suivants :
Descriptif des matriels, logiciels et documentations.

Apprciation globale de ladquation entre les besoins et le systme
dinformation existant.
Examen des mthodes dorganisation, de contrle et de planification des
services informatiques.
Apprciation de la formation, de la qualification et de laptitude du personnel.
Apprciation de la qualit, de laccs, de la disponibilit et de la facilit de
comprhension de la documentation.

4. La Norme Internationale ISO 17799

4.1 Introduction
Les relations entre entreprises ou administrations rendent ncessaire la dfinition de

rfrentiels communs .Dans ce contexte, plusieurs normes se prsentent pour assurer les
relations de la scurit des systmes dinformation :
ISO 14000 : traitant de lenvironnement.

FIPS140 : traitant de la cryptographie
BS7799: Specifications for security management.
A la diffrence de ces normes, la norme internationale ISO (International
Organisation) 17799 publie en juin 2005 qui est la dernire version de la norme
BS7799, peut tre utilise principalement comme base de construction du rfrentiel
daudit scurit de lentit.
Cette norme est souvent perue par les spcialistes de la scurit de linformation
comme une rponse cette attente.
4.2 Couverture thmatique :
La norme identifie ces objectifs selon trois critres :
La confidentialit.
Lintgrit.
La disponibilit.
Ces objectifs sont regroups au travers des dix grandes thmatiques suivantes :
*la politique de scurit : pour exprimer lorientation de la direction la scurit de

linformation.
*lorganisation de la scurit : pour dfinir les responsabilits du management de la

scurit de linformation au sein de lentit.
*la scurit et les ressources humaines : pour rduire les risques dorigine humaine, de vol
ou dutilisation abusive des infrastructures, notamment par la formation des utilisateurs.
*la scurit physique : pour prvenir les accs non autoriss aux locaux.
*la gestion des oprations et des communications : pour assurer le fonctionnement correct
des infrastructures de traitement de linformation, et minimiser les risques portant sur les
communications.
*les contrles daccs : pour maitriser les accs au patrimoine informationnel.
*lacquisition, le dveloppement et la maintenance des systmes :
Pour que la scurit soit une part intgrante du dveloppement et de la maintenance des
systmes dinformation.

*la gestion des incidents : pour sassurer dune bonne gestion des vnements lis la
scurit de linformation.
*la gestion de la continuit dactivit : pour parer aux interruptions des activits de lentit
et permettre aux processus cruciaux de lentit de continuer malgr des dfaillances
majeures.
*la conformit la rglementation interne et externe : pour viter les infractions de nature
lgale, rglementaire ou contractuelle pour vrifier la bonne application de la politique
de scurit .
Lapplication de cette norme peut donc tre le rsultat dune srie dtapes qui peuvent
tre schmatises ainsi :
Exemples de bien Sensibles
1/Que Protger et Liste des biens

pourquoi ? sensibles
Liste des menaces

2/De quoi les protger ?
Liste des impacts et

3/Quels sont les
risques ? probabilits
4/Comment protger Liste les contre

lentreprise ? mesures
Ex
em
ple
s Figure1 : principe de fonctionnement de la norme ISO1779
de
me
na
ces
4.3 Les contraintes de scurit
*intgrit : garantir que linformation et les processus de linformation demeurent justes et

complets.
*accessibilit : garantir que les personnes autorises ont accs aux informations et aux
avoirs associs en temps voulu.
*disponibilit : cest la possibilit de pouvoir obtenir linformation recherche au moment

ou elle est ncessaire .garantie de continuit de service et de performances des
applications ,du matriel et de lenvironnement organisationnel.
*confidentialit : assurer que des informations demeurent accessibles quaux personnes

autorises.
5. la qualit des services de scurit :
5.1 Dfinition :
La qualit de service dsigne lensemble de paramtre chang pendant une

communication avec connexion pour que les informations passent correctement.
Applique aux rseaux commutation de paquets rseau bas sur lutilisation de

routeurs , la qualit de service Qos dsigne laptitude pouvoir garantir un niveau
acceptable de perte de paquets, dfini contractuellement, pour un usage donn.
Les services de scurit peuvent avoir des niveaux de performance trs diffrents selon les
mcanismes employs .ces niveaux couvrent :
*lefficacit des services de scurit.
*leur robustesse (puissance)
*leur mise sous contrle.
5.1.1 Lefficacit des services de scurit :
De mme que certaines serrures (fermetures) sont plus faciles violer que dautre, les
services de scurit sont conus pour rsister des niveaux dattaque variables, selon les
mcanismes mis en uvre, ce qui les rend plus ou moins efficaces.
5.1.2 Leur robustesse :
De mme que certaines protections actives devenir dfaillantes sans que cela provoque
une raction, les services de scurit peuvent tre tudis pour dtecter toute anomalie par
des mcanismes complmentaires, ce qui les rend plus ou moins robustes.
5.1.3 Leur mise sous contrle :

De mme quun responsable ne sera vritablement sur de la protection apporte par la

serrure de scurit que sil sassure que les occupants ferment effectivement cl lissue
concerne ;, les services de scurit peuvent tre accompagns de mesure de contrle
destins garantir la prennit des mesures pratiques mises en place, ce qui les rend plus
ou moins ( sous contrle).
6. Les risques de scurit informatique :
6.1. Les types de risques :
En ce qui concerne lanalyse de risque, on a dfini 12 types de menaces.
.Accidents physiques.
.Malveillance physique
.Panne du SI
.Carence de personnel.
.Interruption de fonctionnement du rseau.
.Erreur de saisie.
.Erreur de transmission.
.Erreur dexploitation.
.Erreur de conception/ dveloppement.
.Copie illicite de logiciels.
.Indiscrtion/ dtournement dinformation
.Attaque logique du rseau.
6.2 Classification des risques :
6.2.1. Les risques Humains :
Les risques humains sont les plus importants, ils concernent les utilisateurs mais galement
les informaticiens.
.Malveillances : Certains utilisateurs peuvent volontairement mettre en danger le systme

dinformation en y introduisant en connaissance de causes des virus, ou en introduisant
Volontairement de mauvaises informations dans une base de donnes.

.Maladresse : Comme en toute activit les humains commettent des erreurs, ils leur arrivent
donc plus ou moins frquemment dexcuter un traitement non souhait, deffacer
involontairement des donnes ou des programmes.
Inconscience : De nombreux utilisateurs doutils informatiques sont encore inconscients ou

ignorants des risques quils encourent aux systmes quils utilisent, et introduisent souvent
des programmes malveillants sana le savoir.
6.2.2. Les risques Techniques :
.Programmes malveillants : Cest un logiciel dvelopp dans le but de nuire un systme

informatique. Voici les principaux types de programmes malveillants :
.Le virus : Programme se dupliquant sur dautres ordinateurs.
.Le ver : Exploite les ressources dun ordinateur afin dassurer sa reproduction.
.Le Cheval de Troie : Programme apparence lgitime qui excute des routines
nuisibles sans lautorisation de lutilisateur.
.Accidents : il sagit l dun vnement perturbant les flux de donnes en labsence de

dommages aux quipements (panne, incendie, dgts des eaux dun serveur ou centre
informatique,..).
.Erreurs : que ce soit une erreur de conception, de programmation de paramtrage ou de

manipulation de donnes ou de leurs supports, lerreur dsigne les prjudices conscutifs
une intervention humaine dans le processus de traitement automatis des donnes.
.Technique dattaques par messagerie : en dehors de nombreux programmes malveillants

qui se propagent par la messagerie lectronique, il existe des attaques spcifiques tels que :
.Le Pourriel (Spam) : Un courrier lectronique non sollicit, la plus part du temps de la
publicit. Ils encombrent le rseau.
.lHameonnage : un courrier lectronique dont lexpditeur se fait gnralement passer

pour un organisme financier et demandant au destinataire de fournir des informations
confidentielles.
.Attaques sur le rseau : les principales techniques dattaques sur le rseau sont :
. Le Sniffing : technique permettant de rcuprer toutes informations transitant sur le rseau.
Elle est gnralement utilise pour rcuprer les mots de passe des applications qui ne
chiffrent pas leurs communications.
.La Mystification (Spoofing) : technique consistant prendre lidentit dune autre personne
ou dune autre machine. Elle est gnralement utilise pour rcuprer des informations
sensibles.

.Attaques sur les mots de passe : les attaques sur les mots de passe peuvent consister faire
de nombreux essais jusqu trouver le bon mot de passe.
Dans ce cadre, notons les deux mthodes suivantes :
.Lattaque par dictionnaire : le mot test est pris dans une liste prdfinie contenant les
mots de passe les plus courants.
.Lattaque par force brute : toutes les possibilits sont faites dans lordre jusqu trouver la
bonne solution (par exemple de "aaaaaa "jusqu "zzzzzz" pour un mot de passe compos
strictement de six caractres alphabtiques).
7. Mthodologie dAudit
Le but de la mthode utilise est de mettre disposition des rgles, modes de prsentation et
schmas de dcision.
7.1 Dfinition :
Une mthodologie est une dmarche rigoureuse et standardise sappuyant sur des outils tels
que des questionnaires, des logiciels spcialiss et permettant de faire lanalyse de scurit du
systme dinformation dans ce contexte, plusieurs mthodes globales se prsentent, citons
comme exemples :
.La mthode COBIT (control objectives for information and technology).
.La mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit).
.La mthode MARION (Mthodologie dAnalyse de Risques Informatiques Oriente par

Niveaux).
.La mthode MEHARIE (Mthode Harmonise dAnalyse Risques).
7.2. Les phases daudit :
La mthodologie suivre se dcompose en quatre phases :
.phase prparatoire.
.Evaluation de la qualit des services.
.Audit de lexistant.
.Expression des besoins de scurit " solutions."
7.2.1. Phase prparatoire :
.La dfinition du domaine couvert qui consiste dlimiter le primtre de ltude et prciser
les cellules qui le composent.

.La dfinition du rseau en prcisant les points de forts et de faiblesses.
7.2.2. Evaluation de la qualit des services :
.Le questionnaire daudit : cest un questionnaire prenant en compte les services satisfaire.
A chaque service correspond un lot de questions auxquelles il est demand de rpondre par
oui ou par non. "annexe 1."
.La mesure globale de la qualit des services : une mesure globale de la qualit ou la
performance densemble dun service de scurit est labore automatiquement par la
mthode partir des rponses au questionnaire daudit correspondant. Les rsultats de laudit
de lexistant sont galement utiliss pour tablir une image consolide de laudit des mesures
de scurit.
7.2.3. Audit de lexistant :
Laudit de lexistant est dtermin en suivant la dmarche dun plan bien organis et dtaill
labor par une autre socit "SONAIDE"
7.2.4. Expression des besoins de scurit :
.Lexpression des besoins de mesures spcifiques de scurit : proposer des solutions de

scurit, oprer une slection des mesures, rpondre aux risques majeures dcoulant de
ltude des menaces les plus graves.
.lexpression des besoins de mesures gnrales de scurit : rduire les consquences des
risques majeur (graves.)

Chapitre III : Audit du rseau

informatique de Palma

Chapitre III : Audit du rseau informatique de Palma

I. Phase prparatoire
1. Dfinition du primtre de ltude
2. Les quipements et matriels rseau

2.1 Description
Le rseau actuel de la socit Palma est constitu de 32 postes interconnectes

entre eux par une cascade de 2 Switch et 2 Hubs
Le Local de la Socit Palma comporte un cblage rseau normalis. Des cbles

paires torsades en utilisant le protocole de liaison de donnes Fast Ethernet.
Plage dadresse IP
La Ste Palma dispose de plage dadresse IP routables allous au routeur et
aux postes de travail connects au rseau.
Topologie du rseau
Tous les postes de travail connects au rseau sont placs sur le mme
segment. Des Switchers en cascade sont utiliss dont les diffrents postes
de travail leurs sont connects.
Equipements existants
Des PC de bureau et portables : Pentium IV, Dual Core
Un serveur HP proliant pour de base de donnes

Un serveur Dell qui gre diffrents applications

Un modem pour laccs Internet et pour la connexion VPN
Un Firewall pour contrer les intrusions de lextrieur
2 Switch de 24 Ports et Hubs de 5 ports
Des Imprimantes monoposte et rseau
2.2 Apprciation
Faiblesse du rseau actuel
La situation actuelle souffre de dfaillances du fait que le rseau nobit pas en

effet aux normes dexploitation. Nous citons si aprs titre dexemple certains
problmes du rseau :
Absence de stratgie claire de protection des attaques virales (Anti

spam par exemple) venant des messageries lectroniques depuis les
ordinateurs qui ont un accs internet.
Absence dun dtecteur dintrusion contre tout accs non autoris de
lextrieur vers le rseau local.
Absence dune politique pour la mise jour de lantivirus et des
correctifs de Windows.
Absence dun mcanisme de filtrage des paquets entrant/sortant.
Absence dune stratgie centralise comme Active directory pour grer
des ressources lies la gestion du rseau (domaines, comptes
utilisateurs, stratgies de scurit, ...).
Point Fort du rseau
Mme avec les faiblesses cites plus haut, le rseau de la Ste Palma
prsente un ensemble de points forts quil faut prserver, voire renforc
Citons titre dexemple :
Lexistence dun responsable informatique amliore la qualit du
travail et offre aux employs lopportunit d travailler dans les
meilleures conditions.
La construction du local dot dun cblage obissant aux normes en
matire de cblage informatique.
Prise en compte la scurit contre les risques physiques (les dgts
deau, de feu ou dlectricit).
La connexion internet et aux ressources du rseau local est rapide
offrant un confort daccs
Existence dun Firewall qui permet la protection des rseaux
informatiques internes de l'entreprise contre les intrusions du monde
extrieur, en particulier les piratages informatiques.

II. Audit de lexistant

1. Les services de scurit
Un service de scurit est une rponse un besoin de scurit, exprim en
terme fonctionnel dcrivant la finalit du service, gnralement en rfrence
certains types de menaces
En Plus, un service de scurit peut ainsi lui-mme tre constitu de plusieurs
autres sous-services de scurit pour rpondre un besoin.
Nous avons dfinit des domaines de responsabilit, numrots de 1 16, qui
abordent dans la socit, du point de vue de la scurit :
Scurit des locaux
Scurit rseau tendu
Scurit du rseau local
La sensibilisation et la formation la scurit
Contrle daccs applicatif
Contrle de lintgrit des donnes
Confidentialit des donnes
Disponibilit des donnes
La scurit logique des quipements
Les plans de secours
Les plans de sauvegarde
Authentification
Contrle daccs
Configuration des logiciels
La maintenance
La gestion des incidents
2. Fonction Informatique de scurit

La qualit de lorganisation gnrale de la fonction informatique dpend
essentiellement de principaux facteurs : le positionnement de la fonction
informatique, la sparation des fonctions et la gestion du personnel
informatique.
2.1 Rle des directions dans le systme informatique :

Le systme dinformation est considre comme un sous-systme de
lentreprise li au systme oprant qui ralise les activits, et au systme de
dcision qui fixe les objectifs et effectue les choix.
La Ste Palma est une filiale dAremgroup, ainsi la direction Informatique est
centralise au sige.

Lorganigramme du systme dinformation est comme suit
Architecte Base de donnes
Direction Informatique Administration Application
Service Bureautique
Organigramme du systme Informatique
Selon un Budget, les nouveaux projets informatiques qui sont proposs

suite un besoin exprim par la direction informatique, sont transmis
directement vers la direction gnrale pour acceptation ou refus.
Apprciation
Lexistence de procdures de suivi fournit un avantage trs important pour
le bien de lentreprise car ces procdures permettent :
Lvaluation du patrimoine existant
Le suivi de la situation actuelle
Le dveloppement bien structur des projets
Prsence de planification pour lapplication informatique
2.2 Existence de politiques, de normes et de procdures :

Lexistence de potique, mthode, normes et procdures informatiques
permettent de justifier que la fonction informatique est bien organise et
quelle respecte les rgles de travail, et ce afin davoir un service de qualit
et bien dvelopp.
Actuellement, le service informatique fonctionne selon une potique
informatique de scurit claire et formalise mais ne suit pas :
Une mthode clairement dfinie
Une norme de scurit informatique standard
Une procdure informatique formalise
Apprciation
Linexistence de mthode de dvaluation des risques et de la gestion de la
scurit informatique a pour consquence :
Le non garanti de lharmonisation et de la qualit des applications.
Le non maitrise de la gestion des projets informatiques
Difficult dvaluation du personnel informatique

Linexistence de procdure informatique formalise relative la scurit

peut engendrer :
Difficults de la mise jour des applications informatiques
Absence de formation et de sensibilisation des utilisateurs
Absence dun guide de scurit aux utilisateurs
Recommandation
Chaque direction peut suivre des fiches techniques ou des manuels de
politique, de norme et de procdures servant la planification,
lorganisation, au contrle et lvaluation de la direction informatique
concernant :
Les normes de management de la scurit du systme informatique
Les procdures par la mise jour des applications informatiques et
llaboration dun guide de scurit aux utilisateurs.
Existence de toute documentation relative aux politiques, normes et
procdures informatiques.
2.3 Responsabilit de la direction informatique
Les responsabilits de la direction informatique doivent tre justifies par les

lments suivants :
Dfinition claire des responsabilits de la direction informatique

Equilibre entre les pouvoirs et les responsabilits de la direction
informatique
Le service informatique a un rle moteur dans la circulation de
linformation dans la socit, il est suivi par des responsables spcialistes :
Administrateur Rseau
Maintenance quipement informatique
Apprciation
La sparation des fonctions des responsables informatiques diminue les

risques daccumulation des fonctions
La prsence dune structure ddie la planification et le suivit des travaux

informatiques offre une souplesse lors de :
Lexploitation
La gestion du parc informatique
La gestion du rseau LAN et WAN
Recommandation
La direction Informatique doit instaurer une structure qui sera charg
la planification et au suivit des travaux afin de :
Suivre la productivit du personnel informatique

Satisfaire les besoins des dcideurs et des utilisateurs

Assurer lexistence de la veille technologique dans le secteur
informatique.
2.4 Existence de dispositif de contrle interne
La ralisation des objectifs du contrle interne ncessite la mise en uvre

par lentreprise, des dispositifs suivants :
Un systme adquat de dfinition des pouvoirs et des responsabilits.

Une documentation satisfaisante dcrivant les procdures de la socit
Des procdures efficaces permettant de respecter une structure daudit
interne efficace.

3. Dcentralisation des traitements
3.1 Gestion des configurations
Actuellement, larchitecture applique par la plupart des postes Palma, est

une architecture client/serveur deux niveaux appel aussi 2-tiers .
Cela signifie que les machines clientes contactent un serveur de base de
donnes, qui leur fournit des services de donnes. Ces services sont
exploits par des programmes, appels programme client, sexcutant sur
les machines clientes.
En plus, on constate seulement quelques postes appliquent une architecture
trois niveaux (appel architecture 3-tiers). Cela signifie quil ya un
niveau intermdiaire, c'est--dire il existe une architecture partage entre
trois ressources :
Premirement, un client lordinateur demandeur de ressources
quip dune interface utilisateur charge de la prsentation.
Deuximement, un serveur dapplication est charg de fournir la
ressource mais faisant appel un autre serveur.
Troisimement, un serveur de base de donnes, fournissant au serveur
dapplication les donnes dont il a besoin.
Apprciation
On constate quune architecture client/serveur 2 tiers est
volutive, car il est facile dajouter ou denlever des clients sans
perturbation et modification du fonctionnement du rseau
En plus larchitecture 2 tiers interroge un seul serveur pour
valuer un service demand. Mais, en cas de panne, seul ce serveur fait
lobjet dune rparation, et non le PC client, cela signifie que ce serveur
est le seul maillon faible du rseau client/serveur, tant donn que tout
le rseau est architectur autour de lui.
Recommandation

Limplmentation dune architecture multi tiers est plus efficace

pour la socit. Cette architecture qui se base sur la technologie
du Web met en vidence au moins 3 niveaux
3.2 Analyse des demandes arrivant au helpdesk :

Il nexiste aucun guide daide aux utilisateurs pour les applications
utilises.
Recommandation
Afin dtablir une mthode de scurit, il est important de dvelopper
un guide daide utilisateur pour les services de la scurit applique
dans la socit et bien analyser les demandes arrivant ce guide.
3.3 Procdures dachat

Les achats Informatiques sont initis gnralement par le responsable du
service informatique et ralis par le chef du service financier.
Le rle du responsable informatique

Lutilisateur final informe sur un problme qui sest produit lors
de son utilisation dun tel quipement.
Une consultation dcrit si cet quipement a besoin dun entretien
ou il est inutilisable, do une demande dachat doit tre
labore par le responsable informatique.
Le rle du chef du de service financier
Ce dernier reoit la demande dachat manant du responsable
Elabore les consultations
Procde au choix du fournisseur en concertation avec les acteurs
concerns
Elabore un bon de commande selon le budget accord
Reoit le bon de livraison et la facture aprs leur prise en charge
par le responsable concern
Apprciation
Linformatisation du systme de gestion et dorganisation relatif la
gestion de lapprovisionnement constitue un point fort envers
lamlioration du fonctionnement de ce domaine. Cela a pour
consquence de bien contrler :
La gestion des commandes et des fournisseurs
Le tenu et le suivi du stock
Prise en charge automatiquement des entres et sorties
Contrle du stock
Gestion des inventaires

4. Equipement Informatique
4.1 Inventaires des quipements informatiques
4.1.1 Les Units Centrales
De rfrences, Dell, HP, la configuration est gnralement comme suit :
Processeur : Dual Core

Mmoire Minimale de 512 MO
Espace disque minimal de 160 GO
Apprciation
On constate que la configuration matrielle rpond aux exigences
minimales pour la configuration des applications et pour une
exploitation facile et assurer une rapidit des traitements
4.1.2 Les Switch et les Hubs
Les diffrents postes de travail sont interconnects via des Switch et des
hubs en cascade.
Apprciation
Les Switch envoient directement le trafic seulement la destination,
contrairement aux hubs qui envoient le trafic tous les ports et non
seulement la destination
Lutilisation des hubs augmente le risque dintrus obtenant laccs au
rseau et menant une attaque dcoute.
Recommandation
Il est conseill de remplacer tous quipements passifs par des
quipements actifs
4.1.3 Le cblage Informatique

Le systme de cblage informatique install au btiment Palma est
conu pour fonctionner de faon optimale pour permettre des
volutions futures.
Tous quipements informatiques existent dans la socit sont
interconnects via le cblage de type paire torsad catgorie 5
Les boitiers des prises muraux sont reprs par des tiquettes portant
un numro unique sur le rseau et qui est repr facilement dans le
panneau de brassage pour linterconnexion avec les commutateurs
prise Rj45 .
Apprciation
Le systme de cblage install fonctionne selon les besoins en termes
de bande passante et de dbit disponible
Le Schma de conception de cblage pour linterconnexion des
diffrents quipements nest pas bien gr : les extrmits des cblages
interconnects aux commutateurs ne sont pas bien organises.

Labsence dun suivi dentretien de cblage peut tre un point faible

pour la scurit du cblage.
4.1.4 Les Imprimantes

Chaque service possde une imprimante configure et partage sur
un poste utilisateur
Apprciation
La prsence de ce type dimprimante est un avantage pour la socit de
point de vue cout dune part, mais aussi cest une vulnrabilit vu que
toute panne du PC ou est configur limprimante engendre une panne
gnrale pour tous les connects
Recommandation
Prvoir lutilisation des imprimantes rseaux, ou la configuration est
gre par ladministrateur rseau, et ou lattribution daccs est selon le
paramtre IP de limprimante et non dun PC.
4.2 Environnement du matriel

4.2.1 Les dfauts de climatisation
Il na pas une salle informatique pour hberger le matriel

informatique. Les serveurs, modem sont placs dans un bureau bien
climatis, laccs ce bureau nest pas restreint.
Larmoire informatique se situe dans un emplacement qui nest pas
climatis.
Apprciation
Les quipements informatiques sont conus pour travailler dans un
environnement spcifique pour respecter les conditions normales de
fonctionnement. Alors que ces conditions sont partiellement respectes.
Recommandation
Il est recommand de
Spcifier un local protg et bien amnag comme salle informatique.
Placer un climatiseur dans le local ou se trouve larmoire informatique.
4.2.2 Dtection des dgts deau

LA socit ne possde pas un dtecteur contre lhumidit et les
dgts deau.
Apprciation
Il ya risque de propagation de leau dans la salle connectique ce qui
peut causer des incidents citer :
Divers cours-circuits entrainant la rupture de service des quipements
Dtrioration des quipements
Corrosion des cbles et connecteurs
Recommandation

Il est conseill dutiliser des tubes isols pour le cblage dalimentation,

ainsi que pour le cblage rseaux.
4.2.3 Dtection des dgts du feu

Il ya une prsence physique contre les dgts de feu.
Apprciation
Ce type dincident peut mener la destruction partielle de la socit et
particulirement des quipements informatiques.
Recommandation
Il est recommand de
Eviter le stockage de produits inflammables dans le bureau ou se trouve
le matriel informatique
Vrifier rgulirement les circuits lectriques
4.2.4 Les dgts dlectricit

Les deux serveurs, les Switch, ainsi que quelques postes utilisateurs
sont protgs par des onduleurs contre les coupures lectriques
Apprciation.
Lutilisation dun onduleur est un point fondamental pour protger le
matriel informatique contre :
Coupure lectrique
Surtension, c'est--dire une valeur nominale suprieure la valeur
maximale prvue pour le fonctionnement normal.
Sous-tension, c'est--dire une valeur nominale infrieure la valeur
maximale prvue pour le fonctionnement normal.
Recommandation
Il est recommand de brancher les onduleurs avec tous les
quipements informatiques, afin de commander proprement
lextinction de donnes en cas de coupure de courant.
4.3 Environnement des logiciels de base :

Les systmes dexploitation installs au niveau des diffrents postes de
travail sont :
Windows XP
Windows Vista
Windows 7
Windows 2003 Server
4.3.1 Les Patchs

Les patchs de scurit service Pack ne sont pas installs au
niveau des postes de travail.

La majorit des patchs de scurit relatifs au systme dexploitation ne

sont pas appliqus. Cette faille offre aux intrus la possibilit dexploiter
les vulnrabilits non corriges.
Recommandation
Il est conseill dinstaller un serveur de mise jour Windows afin de
distribuer les patchs sur le rseau vers les postes de travail.
4.3.2 Les systmes de fichier

Le systme de fichier dtect au niveau des postes utilisateurs est le
FAT et le NTFS.
Apprciation
Le systme de fichier FAT noffre pas de mcanisme de
scurit qui peuvent tre appliqus aux fichiers stocks sur
le disque tel que :
La scurit des fichiers : les droits daccs peuvent tre assigns aux
fichiers et rpertoires.
Le cryptage : les fichiers peuvent tre stocks sur le disque sous forme
crypt.
Recommandation
Il vaut mieux rinstaller les postes utilisateurs en FAT par le
systme de fichier en NTFS, ceux ci peut offrir
Une scurit au niveau des fichiers et des dossiers
Une compression des fichiers
Un quota des disques
Un cryptage de fichiers

4.3.3 Les services inutilisables
Des services non ncessaires sont en excution sur les postes travail.
Apprciation
Le dmarrage de certains services non ncessaire augmente
le risque dune intrusion au systme, si jamais une
vulnrabilit lie ce service apparait. Le service daccs
distance au registre est activ, ce service permet de
manipuler distance la base de registre
Recommandation
Il faut arrter et dsactiver le dmarrage automatique des
services non ncessaires pour les postes utilisateurs,
exemple vous pouvez dsactiver le Netmeeting le partage
de bureau distance Netmeeting .

5. Rseaux et communications
5.1 Configuration du rseau
5.1.1 Rseau Local
5.1.1.1 Segmentation
Absence de sparation logique au niveau du rseau. Tous les postes

connects sont placs sur le mme segment.
Apprciation
Les donnes changes par le personnel (administratif,
technique etc...) dispose du mme niveau de confidentialit
ce qui augmente le risque de perdre la confidence dans des
donnes changes.
Recommandation
Il faut appliquer une sparation physique du rseau local en
utilisant les commutateurs entre les quipements
interconnects selon le degr de confidentialit.
5.1.1.2 Laffectation des adresses IP
Les adresses IP des quipements du rseau sont attribues de faon

statique
Apprciation
Un attaquant, laide doutils spcifique, peut facilement
identifier ladresse IP de lquipement dsign, pour accder
ces ressources.
Recommandation
Il est conseill dintgrer un serveur DHCP qui permet
dattribuer automatiquement des adresses IP la station de
travail.
5.1.1.3 Les postes utilisateurs
a- Squence de dmarrage
La squence de dmarrage actuellement dfini pour plusieurs postes de

travail est le suivant
Disquette/CDROM
Disque Dur
Apprciation
Lutilisation de cette squence de dmarrage offre lintrus,
obtenant laccs physique au poste de travail, le lancement
dun systme dexploitation pour mener ces attaques.
Recommandation
La squence de dmarrage qui doit tre applique est la
suivante :

Disque Dur
CD ROM/Disquette
b- Session
La plus part des postes utilisateurs ne possde pas de session, mais il
ya dautres qui possdent la configuration de deux sessions :
Une pour ladministrateur informatique, et lautre pour lutilisateur.
Apprciation
Labsence de session offre lintrus la possibilit de
collecter un ensemble dinformation sur la cible (nom
dutilisateur, partage).
Laudit des postes de travail connects au rseau a relev la
prsence de cette vulnrabilit pour plusieurs postes.
Recommandation
Lexigence davoir au moins deux sessions pour chaque
poste, une pour lutilisateur avec privilge restreint de
prfrence pour ne pas modifier la configuration initiale et la
deuxime pour ladministrateur qui est le seul pouvoir
modifier les paramtres de base.
Une authentification par Login et Mot de passe est
obligatoire.
C- Active directory
Les postes client sont intgrs dans le WORKGROUP, ou le

compte daccs par dfaut est administrateur sur les postes client
ce qui provoque Requtes nombreuses provenant des postes
clients qui veulent devenir le "maitre de Workgroup"
Apprciation
Active directory fournit des services centraliss de Gestion
des ressources et de la scurit, il permet galement
l'attribution et l'application de stratgies.
Recommandation
Une Intgration des postes de travail au domaine spcifi est
ncessaire. Cette tape donne ladministrateur un droit de
contrle des utilisateurs en leur attribuant les droits biens
spcifis et de grer les diffrents ressources, aussi il ya un
gain de temps pour ladministrateur et pour lutilisateur.
5.2 Identification des risques

5.2.1 Les risques humains
La socit na pas pu parfaitement lutter contre les risques humains :

Les risques de malveillance

Les risques de maladresse et dinconscience des utilisateurs :

o Effacer involontairement les donnes ou des programmes
o Excuter un traitement non souhait
o Introduire des programmes malveillants sans le savoir
Apprciation
La majorit des failles et incidents de scurit sont dus des
erreurs humains, des utilisateurs sont encore inconscient ou
ignorant des risques quils encourent lors de lutilisation
dun programme mal veillant.
Recommandation
Une formation des utilisateurs est ncessaire la scurit
informatique. Il faut sassurer galement que les utilisateurs
sont sensibiliss aux risques informatiques et adhrant aux
exigences de scurit des systmes dinformation.
5.2.2 Les risques techniques

5.2.2.1 Les Virus
La majorit des postes de travail disposent dun antivirus install

(Kaspersky) qui vrifie en permanence les fichiers de
lordinateur, mais il ya quelques un qui sont mal configurs et
qui ont une mise jour ancienne.
Apprciation
La mise jour des antivirus est paramtr et se fait
automatiquement chaque 2 heures et un scan se fait
automatiquement chaque dmarrage.
Recommandation
Il faut reconfigurer le programme antivirus convenablement
pour quelques postes afin davoir une protection fiable, une
mise jour automatique et un scan rgulier.
5.2.2.2 Attaque sur le rseau

Absence dun systme de dtection dintrusion contre tous accs
non autoris depuis lextrieur
Apprciation
Le systme de dtection dintrusion sera un composant
primordial pour les mcanismes de scurit des rseaux. Grace
lui on peut dtecter les tentatives dattaques de lextrieur
Recommandation
Il est conseill dimplanter un systme de dtection
dintrusion scuris :

NIDS : (Network Intrusion Dtection System): est un dtecteur

dintrusion rseau qui dtecte les attaques rseau en se basant sur une
base de signatures trs jour.
HIDS : (Host Intrusion Dtection System) : Ces ondes sincrent entre
les applications et le cur du systme dexploitation pour protger des
applications ou des serveurs critiques.
Les solutions IDS (Intrusion Dtection System) pour rseau garantie
une surveillance permanente du rseau.
5.2.2.3 Attaque sur le mot de passe

Aucun mcanisme nest pris en considration pour lutter contre
les attaques sur les mots de passe.
Apprciation
Un intrus peut mener une attaque pour collecter les mots de
passe afin daccder aux ressources matriels mises en
question.
Recommandation
Ladministrateur doit respecter les exigences de la stratgie
de mot de passe
Dure limite de la conservation de lhistorique
Dure de vie maximale
Dure de vie minimale
Exigence de complexit
Longueur min
Cryptage
6. Scurit informatique
6.1 Reprage des actifs informationnels
Les systmes dinformation comme ensemble de processus valeurs

ajoutes tiennent compte des donnes entrantes et sortantes
Lintranet
Les services fournis par lintranet
Une base de donnes qui hberge tous donnes informationnelles
Financier, Personnel, scientifique..) dont les utilisateurs ont besoin.
Le partage : la plupart des utilisateurs utilise le partage de fichiers
comme tant une source dchange de donnes.
Messagerie Interne entre Utilisateur
Extranet
Les services fournis par lextranet sont
Les courriers lectroniques
Lutilisation de linternet
Apprciation

Lintranet constitue un moyen essentiel pour moderniser la

communication entre les utilisateurs, partager linformation
Recommandation
Il faut bien administrer le partage et laccs aux fichiers en
utilisant lannuaire Active directory pour bien prserver les
droits daccs et centraliser la gestion des ressources.
6.2. Gestion des impacts

6.2.1 Intgrit des donnes
Faible intgrit pour les donnes traites par les logiciels
bureautique Excel, Word, Excel
Moyenne intgrit pour les donnes traites par le logiciel
OCTAL et une intgrit totale sur le logiciel SAGE et
DECEMPRO .
Apprciation
Lintgrit des donnes peut tre potentiellement en danger car
aucun test formalis na t ralis contre leffacement
accidentel des donnes et les pannes matrielles sur les divers
supports dinformation.
Recommandation
Pour protger les donnes contre les erreurs de manipulations
des utilisateurs ou contre les catastrophes naturelles, il faut
prendre compte :
RAID Redondant Array of Independant Disq dsigne une
technologie permettant de stocker les donnes sur de multiples disques
durs
Contrle de la saisie des donnes : les donnes sensibles doivent tre
autocontrles par une personne assurant la vrification des donnes
saisies
Intgration dun outil de vrification dintgrit
III. Solutions de Scurit

1. dploiement complet d'AD
Grace Active directory scurit est entirement intgre dans Active Directory.
Le contrle d'accs peut tre dfini non seulement sur chaque objet de l'annuaire,
mais aussi sur chaque proprit de chacun des objets.
Active Directory fournit la fois le magasin et l'tendue de l'application pour les
stratgies de scurit.
Une stratgie de scurit peut inclure des informations de compte, telles que des
restrictions de mot de passe applicables sur l'ensemble du domaine ou des droits
pour des ressources de domaine spcifiques.
Les stratgies de scurit sont mises en place par le biais des paramtres de
Stratgie de groupe. Ainsi les avantages de Active directory est :

Amlioration de la productivit des utilisateurs
Rduction des tches d'administration informatique
Amlioration de la tolrance de pannes pour rduire les priodes d'indisponibilit
Amlioration de la scurit
2. Solution Antivirale
La protection antivirale consiste appliquer une solution antivirus client/serveur
Cette solution consiste installer un serveur antivirus sur le rseau, et de dployer
sur chaque machine le client associ. Une telle solution permet de centraliser la
tache dadministration : mise jour des fichiers de signature et dploiement
automatiquement sur les postes clients.
Lantivirus propos implmente aux moins les fonctionnalits suivantes :
excution en tache de fond, dtection automatique, rcupration des fichiers
importants aprs une suppression accidentelle, filtrage du courrier lectronique
indsirable et mise jour automatique.
3. Le serveur de mise jour

Microsoft software update services (SUS) est un maillon essentiel dans la nouvelle
politique de scurit de Microsoft
3.1.Principe de fonctionnement
Le fonctionnement de SUS est relativement simple. Pour dployer, deux
modules doivent tre mis en place, un client et un serveur.
Le module serveur tlcharge les informations partir du cite Windows
update de Microsoft et vous laisse choisir les mises jour installer sur les
postes clients.
Le module client quand lui communique priodiquement avec le serveur
pour savoir si des mises jour sont disponibles, si oui il les installe.
Cette solution offre un avantage de rduction de la bande passante internet

et une simplification dadministration et de dploiement.
4. Systme de dtection dintrusion

Les IDS (Intrusion Dtection System) sont des quipements logiciels ou matriels
Qui permettent de mettre en place des mcanismes de dtection dintrusion.
On distingue principalement deux catgories de dtection dintrusion :
Host-based IDS (HIDS : Host intrusion Detection System)
Network-based IDS (NIDS : Network Intrusion Detection System)
4.1 Systme de dtection dintrusion dhte
Cette catgorie (HIDS) a pour objectif la surveillance de lactivit dune
machine en utilisant les fichiers de log du systme et en contrlant lintgrit de celui-

ci avec des outils comme AIDE (Advanced Intrusion Dtection Environment) qui est
un logiciel qui permet de contrler lintgrit du systme de fichier sur un serveur.
4.2 Systme de dtection dintrusion rseau
Un NIDS travaille sur les donnes transitant sur le rseau. Il peut dtecter en
temps rel une attaque seffectuant sur lune des machines. Il contient une base de
donnes avec tous les codes malicieux et peut dtecter leurs envois sur une des
machines.
On peut citer par exemple un NIDS appel Snort.
5. Solution Firewall
La solution de filtrage consiste dployer trois niveaux consiste dployer trois
niveaux de filtrage sur les ressources du rseau, comme crit ci-dessous :
5.1 Firewall filtrage de paquets
La majorit des quipements de routage actuels disposent dune fonctionnalit

de firewalling bas sur le filtrage de paquets. Cette technique permet de filtrer les
protocoles, les sessions, les adresses sources, les ports sources et destination et
mme ladresse MAC.
5.2 Firewall Statefull Inspection

Cette solution sera implmente par un quipement firewall matriel qui agit
en tant que passerelle, afin de garantir la scurit entre le trafic du rseau interne,
public et dmilitaris.
La technologie stateful Inspection permet de contrler les couches
applicatives, sans ncessit de proxy applicatif pour chaque service, en cherchant
une session correspondante pour les paquets analyss. La solution Firewall
propose supportera de plus les fonctionnalits suivantes :
Module dinterconnexion des rseaux virtuels

Authentification, autorisation dadresse NAT
Journalisation et support du service SYSLOG
Au niveau architecture du rseau, le firewall propos dfinira trois domaines de
scurit :
Zone interne : Reprsente le rseau local de lorganisme. Cette zone
contient le plus haut niveau de scurit
Zone externe : reprsente la zone publique par laquelle passe tout le
trafic de destination internet.
Zone dmilitarise : reprsente la zone contenant les serveurs visibles
de lextrieur dont laccs est public.

5.3 Firewall Applicatif
Un Firewall applicatif sera install sur tous les postes client et les serveurs afin
de protger en premier lieu des tentatives dintrusion interne.

En deuxime lieu, lutilisation dun firewall applicatif permet de contrler les

connexions depuis et vers ces machines, de renforcer la confidentialit des
donnes et de se protger contre les programmes malveillants.
On peut citer par exemple un Firewall : Mod_security et Mod_Proxy.
6. Annuaire
Un annuaire permet de stocker des donnes lgrement types, organises
selon des classes particulires et prsentes dans un arbre.
On peut trouver des solutions dannuaire comme LDAP, cest une structure
arborescente dont chacun des nuds est constitu dattributs associs leur
valeur : la racine O organisation , le sous ensemble dune organisation ou
organizationlUnit , le nom de domaine Dc domainComponent et la personne
Person schma standard pour une personne

Chapitre IV : Installation et
dploiement dActive
directory

I. Introduction
Vu les vulnrabilits quon a rencontr pendant ltude de laudit de la scurit
informatique du rseau de la Socit Palma et vu laugmentation des services
(messagerie, serveur fichiers), je propose le passage du Workgroup au domaine
et linstallation de lannuaire Active directory afin de centraliser la gestion des
ressources et la mise en place des rgles de scurit.
Le facteur temps et scurit sont des facteurs importants pour les socits, ceci
pousse les dcideurs avoir des solutions centralises de gestion des ressources
informatiques.
II. Prsentation
Active Directory est le nom du service d'annuaire de Microsoft apparu dans le

systme d'exploitation Microsoft Windows Server 2000. Le service d'annuaire
Active Directory est bas sur les standards TCP/IP , DNS, LDAP, Kerberos, etc.
Le service d'annuaire Active Directory doit tre entendu au sens large, c'est--dire
qu'Active Directory est un annuaire rfrenant les personnes (nom, prnom,
numro de tlphone, etc.) mais galement toute sorte d'objet, dont les serveurs,
les imprimantes, les applications, les bases de donnes, etc.
Active Directory permet de recenser toutes les informations concernant le rseau,

que ce soient les utilisateurs, les machines ou les applications. Active Directory
constitue ainsi le moyeu central de toute l'architecture rseau et a vocation
permettre un utilisateur de retrouver et d'accder n'importe quelle ressource
identifie par ce service.
Fig. 1 :
Active Directory est donc un outil destin aux utilisateurs mais dans la mesure o
il permet une reprsentation globale de l'ensemble des ressources et des droits

associs il constitue galement un outil d'administration et de gestion du rseau. Il

fournit ce titre des outils permettant de grer la rpartition de l'annuaire sur le
rseau, sa duplication, la scurisation et le partitionnement de l'annuaire de
l'entreprise.
III. Structure dactive directory
1. Domaines
Un domaine Active Directory (AD) est la principale frontire logique dans un

annuaire. Pris sparment, un domaine AD ressemble beaucoup un domaine
NT. Les utilisateurs et les ordinateurs sont tous stocks et grs dans les limites
qu'il dfinit. Les domaines AD servent de limites de scurit pour les objets et
contiennent leurs propres stratgies de scurit. Par exemple, chaque domaine
peut appliquer aux utilisateurs des stratgies de mots de passe diffrentes. Un
domaine tant une organisation logique d'objets, il peut aisment s'tendre sur
plusieurs emplacements physiques.
Un domaine regroupe des ordinateurs, des priphriques, des utilisateurs. Cest

une sorte de zone scurise, sur laquelle on ne peut pntrer que quand on a t
authentifi par le Contrleur de Domaine.
2. Arbres de domaines
Un arbre Active Directory est compos de plusieurs domaines relis par le
biais d'approbations transitives bidirectionnelles, qui partagent un schma et un
catalogue global communs.
3. Forts
Une fort est un groupe d'arbres de domaines interconnects. Des approbations
implicites existent entre les racines des arbres d'une fort. Si tous les domaines
et arbres de domaines ont en commun un mme schma et un mme catalogue
global, ils ne partagent en revanche pas le mme espace de noms.
La structure d'Active Directory lui permet de grer de faon centralise des
rseaux pouvant aller de quelques ordinateurs des rseaux d'entreprises
rpartis sur de multiples sites.
IV. Installation Active directory

Ord il faut bien spcifier les plages dadressage IP pour les diffrents matriels
Jai pris comme exemple :
Pour les postes de travail : de 172.20.13.100 172.20.13.200
Pour les serveurs : de 172.20.13.1 172.20.13.10
Pour les routeur/lments actifs : de 172.20.13.11 172.20.13.20
Pour les Imprimantes : de 172.20.13.21 172.20.13.30
1. Serveur
Procdure
menu Dmarrer. Tous les Programmes. Outils dadministration. Grer
votre serveur . Cliquez sur le lien Ajouter ou supprimer un rle .

Figure 1 : lassistant Grer votre serveur
Ltape prliminaire (figure 2) vous invite effectuer les dernires vrifications

avant le dbut de la procdure dinstallation dActive Directory. Quand tous les
lments ncessaires sont en place, cliquez sur le bouton Suivant > pour continuer.

Figure 2 : Etapes prliminaires, instant des ultimes vrifications
Figure 3 : Dtection des paramtres rseau
Ensuite on spcifier le nouveau rle contrleur du domaine dans la liste de lassistant

Configurer votre serveur de la (Figure 4)
Figure 4 : Slection du rle Contrleur de domaine

Figure 5 : Rsum de linstallation effectuer
Figure 6 : Lancement de l.assistant dinstallation dActive Directory

Figure 7 : Compatibilit des systmes dexploitation clients

Figure 8 : Installation du contrleur principal du domaine
Figure 9 : Nouveau nom dans nouvelle fort
Figure 10 : Nom DNS du domaine

Ensuite on va donner le chemin de la base de donnes et du journal Active Directory.

Microsoft prconise des disques durs diffrents pour des raisons de
performances et de meilleure rcupration (cf. figure 11).
Figure 11 : Emplacement des donnes et du journal AD
On Indique ensuite emplacement du dossier Sysvol selon Figure 12
Figure 12 : Emplacement du dossier Sysvol

Figure 13 : Saisie du mot de passe administrateur
Figure 14 : Affichage du rsum

Figure 15 : Configuration dActive Directory
Figure 16 : Fin de linstallation dActive Directory

Un redmarrage du Le serveur est ncessaire cette tape.

On doit vrifier que le dossier \WINDOWS\SYSVOL contient bien ceci :
Vrifier les partages :

Par Gestion de lordinateur les partages NETLOGON et SYSVOL doivent y apparatre.
Configuration et optimisation DHCP
Dans la console DHCP, on ajoute le serveur l'aide d'un clic-droit, puis on active et on
dmarre le service proprits du service DHCP. Puis on autorise le serveur DHCP agir sur le
domaine
Figure 17 : Activation DHCP

Nous allons maintenant crer une tendue qui distribuera les adresses IP aux postes
clients. Pour cela, au niveau du serveur, clic-droit => nouvelle tendue.
On cre ltendu selon le plan dadressage quon a dfinit au dbut, ensuite on peut spcifier
le routeur ou la passerelle par dfaut qui doit tre distribu par cette tendu en lui attribuant
son adresse IP dans option de ltendu
2. Poste Client
De prfrence il faut donner une notation significative pour les postes clients et
pour les sessions utilisateurs, on peut utiliser pour les postes la racine PC suivi du
Nom et pour les sessions on peut choisir le Nom et le prnom spar par un tir.
Une Intgration des postes clients dans le domaine avec un compte

Administrateur local.
Les comptes utilisateurs sont configurs au niveau active directory
selon la figure 17.
Cration des comptes utilisateurs
Pour crer un nouveau compte utilisateur utilisez la console Utilisateurs et ordinateurs

Active Directory.
1 Cliquez avec le bouton droit sur Nouveau, puis sur Utilisateur, ou utilisez le
bouton Nouvel utilisateur dans la barre d'outils.
Figure 18 : Cration des comptes utilisateur

2. Tapez les informations utilisateur :

Prnom :
Nom :
Nom dutilisateur : Comme on la dfinit Ex : riadh_abdelli
Figure 19 : Cration des comptes utilisateur
3. Cliquez sur Suivant

4. Lassistant vous demande ensuite de saisir le mot de passe et ses proprits.
Figure 20 : Attribution mot de passe

Lutilisateur doit changer de mot de passe la prochaine session.

Cela lui donne la responsabilit du mot de passe, une fois son compte
cr.
Lutilisateur ne peut pas changer de mot de passe.
Le mot de passe nexpire jamais. Le dlai dexpiration du mot de
passe peut tre paramtr, pour forcer les utilisateurs en changer
rgulirement.
Le compte est dsactiv. En cas dabsence durable dun utilisateur ou
changement danne scolaire. vite de recrer des comptes (les
permissions devraient aussi tre recres !). Ou compte servant de
modle la cration dautres comptes
Entrez un mot de passe dans les zones Mot de passe et Confirmer le
mot de passe et slectionnez les options de compte appropries.
5. En acceptant la bote de dialogue de confirmation, le compte est cre.
Un utilisateur est obligatoirement membre dun groupe dutilisateurs.

Par dfaut, il est membre du groupe Utilisateurs du Domaine. Pour le vrifier, clic
droit sur son nom / Proprits / Membre De
Un utilisateur peut tre membre de plusieurs groupes.
Figure 21 : Groupe utilisateur du domaine

Gestion des groupes dans un domaine

Les groupes de Windows 2003 sont utiliss pour grer les comptes d'utilisateurs dans
le but d'accder des ressources. Tout ceci dans un souci de simplifier
l'administration. Il est en effet plus ais d'utiliser un groupe en fonction du besoin,
plutt que de slectionner plusieurs utilisateurs parpills dans une liste de comptes
Les groupes simplifient laffectation dautorisations des ressources :

Les utilisateurs peuvent tre membres de plusieurs groupes
Type de groupe
Deux types de groupes sont disponibles :
- les groupes de scurit utiliss pour grer la scurit des ressources du ou des
domaines.
- les groupes de distribution utiliss par exemple pour envoyer des messages
lectroniques l'ensemble des utilisateurs de ces groupes. Ces groupes ne peuvent pas
tre utiliss pour la scurit. Des applications comme Exchange 2003 s'appuient sur la
base d'annuaire Windows 2003 et peuvent ainsi utiliser les groupes de distribution.
Figure 22 : Type de Groupe
Par dfaut, les diffrents groupes oprateurs ne disposent pas de membres. On procde
lajout des comptes d'utilisateurs dans ceux-ci pour attribuer des droits spcifiques. II est
prfrable de limiter les droits des utilisateurs leurs fonctions pour une question de matrise
de la scurit.
Le conteneur Users liste les groupes prdfinis du domaine avec une tendue globale ainsi
que quelques groupes prdfinis du domaine avec une tendue de domaine local, selon la
figure. 23

Figure 23 : Liste de Groupe
3. Fonctionnement
Aprs linstallation dactive directory nous aurons le schma du rseau Palma
selon la figure 24.
Fig. 24 : Schma rseau avec Active directory

La composition du rseau de palma aprs linstallation dactive directory est comme suit :
Domaine :
Pour dfinir la frontire de scurit
Un contrleur de domaines :
Le serveur qui gre les composantes dActive Directory
Des clients : stations, imprimantes, etc.

Des utilisateurs
Chaque utilisateur a un certain nombre dattributs et son propre UID (User Identity :
Un numro de code qui lui permet dtre identifi sur le domaine
Des groupes
Qui contiennent les utilisateurs, des ordinateurs et d'autres groupes. Les

groupes simplifient la gestion d'un grand nombre d'objets.
Toute personne faisant partie du domaine se connecte avec un compte utilisateur cre au
niveau active directory. Le compte utilisateur contient les informations sur lutilisateur, ses
appartenances aux groupes et les informations concernant la politique de scurit.
Les services ajouts grce Active directory sont :

Centralisation de la gestion des comptes Windows
- Absence de comptes locaux sur les postes clients grer
- Une base unique de comptes, dlais validit.
Centralisation de la gestion des PC Windows

- Prise en main distance : accs aux disques, base de registre,
services
Mise en place de rgles de scurit

- Les modalits d'accs aux ordinateurs et lutilisation des logiciels
Authentification unique
Partages des ressources simplifis

Conclusion
A la fin de ce travail, je peux dire que jai bien pu avoir une visibilit
concrte sur un domaine bien spcifique qui est la scurit informatique.
En plus, ce travail ma t profitable en terme dacqurir une bonne

exprience professionnelle, travers laquelle jai eu loccasion dappliquer mes
connaissances scientifiques et de confronter la notion thorique la pratique.
Et pour conclure, je peux dire que lobjectif global nest pas atteint par un seul
projet, mais par une succession de projets afin dtablir un audit de scurit
selon une mthode et norme standard.

Bibliographie
www.ansi.tn
www.clusif.fr
www.clusif.fr
www.microsoft.com/technet/prodtechnol/w2kadsi.asp.
www.cygwin.com
www.commencamarche.com
www.isc.cnrs.fr
www.parisscyber.com
www.Reso-Net.com/es.htm
www.microsoft.com/france/window

Audit Et Sécurité Informatique D'un Réseau Local - KHALID KATKOUT PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Et Sécurité Informatique D'un Réseau Local - KHALID KATKOUT PDF

Transféré par

Droits d'auteur :

Formats disponibles

Sujet :

Audit et Scurit Informatique dun Rseau Local

Diplme de License appliqu en

Technologie de linformation et communication

UNIVERSITE VIRTUELLE DE TUNIS

Mr. Nizar Hakim (Ste Palma/Aremgroup)

Anne Universitaire: 2010/2011

Jai le grand plaisir de ddier ce travail en tmoignage daffectation et de

reconnaissance tous ceux qui mont aid le raliser.

A tous les membres de la famille, pour leurs encouragements, soutiens,

A tous mes collgues de travail qui mont donn du courage pour

continuer les tudes et pour prparer ce diplme.

Aux Enseignant et Encadreurs de LUVT qui nous ont donn confiance et

pour prparer ce travail.

Mes sincres remerciements sadresse tous le personnel de lUVT,

Administration et Enseignant qui nous donn un soutien prcieux.

quil a dploy dans ce projet, ces conseils, son encouragement, son

encadrement srieux et son soutien moral. Lattention dont il a fait preuve

Mes vifs remerciements Mr Maher Affess : directeur Gnral Ste Palma, Mr

Nizar Hakim : Directeur Informatique de ARemGroup, pour leurs soutiens

incontestables, leurs conseils, leurs grandes expriences en management.

Je suis honor par la prsence de membres du jury davoir accept ce travail en

esprant quils trouveront dans ce projet de quoi tre satisfait et auront la

gratitude de lenrichir avec leurs critiques et corrections.

III. Solutions de Scurit....30

III. Structure dactive directory36

Riadh Abdelli / Lastic3

Vu limportance et lobligation de llaboration dun audit de scurit, daprs la

loi n2004-5 du 3 Fvrier 2004. Chaque organisme doit tablir un audit de

scurit informatique priodiquement afin didentifier ses sources de menace et

ces dgts informationnels.

Ainsi ce rapport est scind sur trois parties primordiales :

dune solution SSH.

Universit Virtuelle de Tunis 1

Chapitre 1 : Prsentation de la Socit

Forme juridique : SARL

Capital Social : 3.300.000 dinars

Date de cration : 2005

PALMA, sest donn pour objectif de contribuer au dveloppement de cette industrie en

Universit Virtuelle de Tunis 2

Universit Virtuelle de Tunis 3

Chapitre II : Audit et scurit

Universit Virtuelle de Tunis 4

Chapitre II : Audit et scurit rseau informatique

1. Apparition du thme audit informatique en Tunisie

Veiller lexcution des orientations nationales et de la stratgie gnrale en

La loi N 2004-5 du 3 Fvrier 2004 a promulgu lobligation dun audit priodique de

Les organismes soumis lobligation daudit doivent effectuer laudit priodique de

Audit des aspects organisationnels et de la structuration de la fonction

Universit Virtuelle de Tunis 5

Analyse technique de la scurit de toutes les composantes du systme

3.2 Contenu de laudit

Lopration daudit prend notamment en compte des lments suivants :

Descriptif des matriels, logiciels et documentations.

Universit Virtuelle de Tunis 6

4. La Norme Internationale ISO 17799

Les relations entre entreprises ou administrations rendent ncessaire la dfinition de

ISO 14000 : traitant de lenvironnement.

*la politique de scurit : pour exprimer lorientation de la direction la scurit de

*lorganisation de la scurit : pour dfinir les responsabilits du management de la

*les contrles daccs : pour maitriser les accs au patrimoine informationnel.

*lacquisition, le dveloppement et la maintenance des systmes :

Universit Virtuelle de Tunis 7