Vous êtes sur la page 1sur 115

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

MEMOIRE
DE STAGE DE FIN D’ETUDE
Pour l’obtention du

MASTERE PROFESSIONNEL
« Nouvelles Technologies des Télécommunications et Réseaux »

Présenté par :
Ayari Amani

Audit de Sécurité du Système


Informatique de MTIC

Soutenu le : 05/02/2014

Devant le jury : Mr : Khaled Ghorbel


Mme : Emna Souissi
Mme : Chiraz Houaidia

0
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

A ma mère
pour toute l’affection qu’elle me procure.

A mon père
pour ses innombrables et précieux conseils.

A mes frères et leurs conjointes


pour leur soutien.

Aux petites, Lina et Fatouma


pour la joie qu’ils me font vivre.

A mon fiancé Ahmed


L’homme que j’aime tant et avec qui je
construirai ma vie

A ma tante Mtira
Pour son soutien moral

A toute ma famille, mes oncles, mes tantes,


mes cousins et mes cousines
A tous mes amis

Amani
1
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Le travail présenté dans ce rapport a été effectué dans le cadre de ce projet de fin
d’études pour l’obtention du diplôme de mastère professionnel en Nouvelles Technologies de
Télécommunications et Réseaux à l’Université Virtuelle de Tunis (UVT)

Ce travail réalisé au sein des locaux du Ministère des Technologies de l’Information et de


Communication(MTIC) a pu être mené à terme grâce à la collaboration de certaines personnes
qu’il nous plaît de remercier.

Je remercie également Mr Khaled Sammoud mon encadreur pour ses conseils lucides et
pertinents.
Je tiens à remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi
Mosly pour la confiance qu’ils ont su me témoigner au cours de toute la durée de l’étude de mon
projet, pour leur disponibilité et leur patience. Je rends ici hommage à leurs qualités d’expert
auditeur, par lesquelles ils ont su guider mes travaux de recherches en sécurité des réseaux.

Mes remerciements vont aussi aux membres du jury, qui donneront à mon travail une
valeur ajoutée à travers leurs recommandations et leurs remarques si importantes, dont je serai
très reconnaissant.

Je remercie particulièrement aux responsables et à l’équipement informatique au ministère pour


leur aide, leur patience et leur disponibilité.
Je remercie enfin tous ceux qui, d’une manière ou d’une autre, ont contribué à la réussite de ce
travail.

Amani

2
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Table des matières


Introduction Générale ..........................................................................................................................7
Chapitre I : ......................................................................................................................................... 10
Généralités et Etude de l’Art ............................................................................................................ 10
1- Introduction .................................................................................................................... 11
2- Généralité sur la sécurité informatique....................................................................... 11
3- Normes et standards relatives à la sécurité ................................................................ 11
3.1- ISO/IEC 27001............................................................................................................. 12
3.2- ISO/IEC 27002 ............................................................................................................ 12
3.3- ISO/IEC 27005 ............................................................................................................ 13
4- Rôle et objectifs d’audit ................................................................................................. 13
5- Cycle de vie d’un audit de sécurité des systèmes d’information ............................ 14
6- Démarche de réalisation d’une mission d’audit de sécurité des systèmes
d’information............................................................................................................................ 15
6.1- Préparation de l’audit ............................................................................................ 15
6.2- Audit organisationnel et physique ........................................................................ 16
6.3- Audit technique ...................................................................................................... 16
6.4- Audit intrusif ........................................................................................................... 18
6.5- Rapport d’audit ....................................................................................................... 18
7- Lois relative à la sécurité informatique en Tunisie ................................................... 19
8- Conclusion ....................................................................................................................... 19
Chapitre II : ........................................................................................................................................ 20
Présentation de l’organisme d’accueil et étude de l’existant .......................................................... 20
1- Introduction .................................................................................................................... 21
2- Présentation de l’organisme d’accueil......................................................................... 21
2.1- Présentation générale ............................................................................................. 21
2.2- Rôles et attributions ............................................................................................... 21
2.3- Organigramme : ...................................................................................................... 23
2.4- Le bureau des systèmes d’information ............................................................... 25
3- Description du système informatique ......................................................................... 25

3
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

3.1- Inventaire des micro-ordinateurs et serveurs.................................................... 25


3.2- Inventaire des logiciels et système d’exploitation ........................................... 26
3.3- Inventaire des équipements réseaux................................................................... 27
4- Architecture et topologie du réseau ............................................................................ 28
4.1- Plan d’adressage ...................................................................................................... 28
4.2- Description de l’architecture réseau ................................................................... 28
5- Aspects de sécurité existante ........................................................................................ 29
5.1- Sécurité physique ................................................................................................... 29
5.2- Sécurité logique ...................................................................................................... 30
5.3- Sécurité réseau......................................................................................................... 31
5.4- Sécurité des systèmes ............................................................................................. 31
6- Conclusion ....................................................................................................................... 32
Chapitre III : ....................................................................................................................................... 33
Taxonomies des failles organisationnelles et physiques basées sur la Norme 27002 .................... 33
1- Introduction .................................................................................................................... 34
2- Approche adopté ............................................................................................................ 34
3- Déroulement de la taxonomie organisationnel et physique .................................... 34
3.1- Présentation des interviews .................................................................................. 34
3.2- Présentation et interprétation des résultats ....................................................... 34
4- Conclusion ....................................................................................................................... 40
Chapitre IV: ....................................................................................................................................... 41
Taxonomies des failles techniques .................................................................................................... 41
1- Introduction .................................................................................................................... 42
2- Analyse de l’architecture réseau et système............................................................... 42
2.1- Reconnaissance du réseau et du plan d’adressage ........................................... 42
2.2- Sondage système et des services réseaux ........................................................... 44
3- Analyse des vulnérabilités ............................................................................................ 50
3.1- Serveur Backup Mail.............................................................................................. 50
3.2- Serveur SyGec ......................................................................................................... 51
3.3- Serveur de messagerie Lotus Notes .................................................................... 52
4- Analyse de l’architecture de sécurité existante .......................................................... 53
4.1- Analyse du Firewall ............................................................................................... 54

4
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

4.2- Analyse du Routeur Cisco..................................................................................... 54


4.3- Analyse du Switch HP Procurve .......................................................................... 55
4.4- Analyse de la politique d’usage de mots de passe ........................................... 56
5- Conclusion ....................................................................................................................... 57
Chapitre V : ........................................................................................................................................ 58
Recommandations organisationnelles et physiques ........................................................................ 58
1- Introduction .................................................................................................................... 59
2- Politique de sécurité ....................................................................................................... 59
3- Organisation de la sécurité de l’information.............................................................. 59
4- Gestion des biens ............................................................................................................ 60
5- Sécurité liée aux ressources humaines ........................................................................ 61
6- Sécurité physique et environnementale ...................................................................... 62
7- Gestion des communications et de l’exploitation ...................................................... 63
8- Contrôle d’accès.............................................................................................................. 63
9- Développement et maintenance des systèmes........................................................... 64
10- Gestion des incidents ..................................................................................................... 65
11- Gestion de la continuité d’activité ............................................................................... 66
12- Conformité ...................................................................................................................... 66
13- Conclusion ....................................................................................................................... 67
Chapitre VI : ...................................................................................................................................... 68
Recommandations techniques ........................................................................................................... 68
1- Introduction .................................................................................................................... 69
2- Recommandations .......................................................................................................... 69
3- Solution proposée........................................................................................................... 72
3.1- Déploiement complet d’Active directory (Annexe 4) ...................................... 72
3.2- Windows Server Update Services ...................................................................... 72
3.3- Deuxième Switch HP Procurve ............................................................................ 72
3.4- Nouvelle architecture ............................................................................................. 73
4- Conclusion ....................................................................................................................... 73
Conclusion Générale.......................................................................................................................... 74
Bibliographie ...................................................................................................................................... 77
Annexes .............................................................................................................................................. 79

5
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

TABLE DES FIGURES


Figure 1:Cycle de vie d'audit sécurité ........................................................................................... 14
Figure 2:Processus d'audit ............................................................................................................ 15
Figure 3:Site du ministère(MTIC) ................................................................................................ 22
Figure 4:Organigramme de MTIC ................................................................................................ 23
Figure 5:Stuctures de cabinet ........................................................................................................ 24
Figure 6:Topologie du réseau du ministère(MTIC) ...................................................................... 29
Figure 7:Interface d'administration des onduleurs ........................................................................ 30
Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32
Figure 9:Résultat de la taxonomie organisationnelle .................................................................... 39
Figure 10:Réseau local .................................................................................................................. 43
Figure 11:Configuration réseau au niveau du poste ..................................................................... 44
Figure 12:Sondage des systèmes d’exploitation avec GFI LANguard ......................................... 45
Figure 14:Sondage des services en activité du serveur Backup Mail ........................................... 46
Figure 15:Sondage des services avec Zenmap.............................................................................. 46
Figure 16:Sondage des ports ouverts ............................................................................................ 47
Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47
Figure 18:Capture des flux avec wireshark .................................................................................. 48
Figure 19:Partages réseau avec GFI LANguard ........................................................................... 49
Figure 20:Vulnérabilités (GFI LANguard) ................................................................................... 50
Figure 21:Capture du serveur Backup Mail .................................................................................. 51
Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51
Figure 23:Serveur SyGec .............................................................................................................. 52
Figure 24:Serveur primaire messagerie ........................................................................................ 52
Figure 25:Capture PuTTy ............................................................................................................. 55
Figure 26:Capture PuTTy(2)......................................................................................................... 55
Figure 27:Capture de la version du Switch ................................................................................... 56
Figure 28:Capture des adresses IP autorisées ............................................................................... 56
Figure 29:Nouvelle architecture sécurisée .................................................................................... 73

TABLE DES TABLEAUX


Tableau 1:liste des serveurs du MTIC .......................................................................................... 26
Tableau 2:liste des applications du MTIC .................................................................................... 27
Tableau 3:liste des équipements réseaux de MTIC ...................................................................... 27
Tableau 4:liste des plans d'adressage ............................................................................................ 28

6
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Introduction Générale

7
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Le présent rapport entre dans le cadre de réalisation d’une mémoire du mastère


professionnel « Nouvelles Technologies des Télécommunications et Réseaux » à
l’Université Virtuelle de Tunis pour l’obtention d’une mission d’audit de sécurité de
système informatique de Ministère des Technologies de l’Information et de
Communication.

Les systèmes informatiques sont devenus des outils indispensables au


fonctionnement des entreprises. Ils sont aujourd’hui déployés dans tous les secteurs
professionnels, à s’avoir, le secteur bancaire, les assurances, la médecine voire dans le
domaine aéronautique.

Cette évolution a assouvi par conséquent les besoins de nombreux utilisateurs


qui ne sont pas forcément de bonne foi. Ils peuvent exploiter les vulnérabilités des
réseaux et des systèmes dans le but d’accéder à des informations confidentielles et de
les utiliser dans leurs propre intérêt. Il en découle que ces réseaux sont devenus ciblés
par ce genre de menaces et leurs sécurisation recèle une préoccupation de plus en plus
importante. La mise en place d’une politique de sécurité autour de ces systèmes est
donc primordiale.

Dès lors, la sécurité revêt une importance qui grandit avec le développement des
réseaux IP, les entreprises y voient aujourd’hui un avantage concurrentiel et un
nouveau défi à battre. La complexité des technologies utilisée, la croissance
exponentielle des terminaux à protéger ainsi que la prolifération de nouvelles menaces
démontrent que la sécurité est très importante, et nécessaire.

Les opérations informatiques offrent de nouvelles perspectives de rentabilité


pour les pirates et les malveillants. Elles constituent un moyen d’attaque qui peut être
mené à des milliers de kilomètres de la cible visée. Ces risques ont gagné du terrain
depuis la naissance du réseau mondial Internet. Par conséquent, toute organisation qui
a des ordinateurs relies à internet (ou à tout autre réseau externe) doit élaborer une
politique pour assurer la sécurité de chaque système.

8
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Ici interviennent les méthodes d’audit de sécurité des systèmes d’information


qui sont à la base même d’une politique permettant à l’entreprise de mettre en œuvre
une démarche de gestion de ses risques.

Dans ce contexte il nous a été confié de réaliser une mission d’audit de sécurité
du système d’information du ministère des technologies de l’information et de
communication.

Le présent rapport sera structuré en six parties :

 La première partie présente des généralités sur la sécurité informatique et sur


une mission d’audit ainsi qu’un aperçu sur les normes de sécurité de
l’information.
 La deuxième partie présente l’organisme d’accueil et l’étude de l’existant et
l’identification de système cible.
 La troisième partie est consacrée aux taxonomies des failles organisationnelles et
physiques basés sur la norme 27002 et ses résultats.
 La quatrième partie sera consacrée aux taxonomies des failles techniques qui
permettent, à travers des outils de détection des vulnérabilités, d’évaluer la
sécurité mise en place pour la protection du système d’information.
 Enfin, les deux dernières parties de ce rapport comporteront des
recommandations et des conseils suggérés pour remédier à ces problèmes de
sécurité.

9
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Chapitre I :

Généralités et Etude de
l’Art

10
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction

L'informatique est l'un des éléments clefs de la compétitivité d'une entreprise.


C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimisé. Cependant,
rare sont celles qui mettent en place une stratégie au fil des évolutions de leurs besoins.

C'est pourquoi réaliser un audit permet, par une vision claire et globale,
d'entreprendre la rationalisation du parc et par la même d'en augmenter la productivité,
d'anticiper les problèmes et de diminuer les coûts de maintenance. (1)

2- Généralité sur la sécurité informatique

Le système d’information, considéré comme le cœur de l’entreprise, est


l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour
la gestion de l’information. Il doit être exempt de toute faille de sécurité qui risquerait
de compromettre l’information qui y circule, du point de vue de la confidentialité, de
l’intégrité ou de la disponibilité. Ainsi, des normes de sécurité ont été définies, donnant
les règles à respecter afin de maintenir la sécurité du système d’information de
l’entreprise. Parallèlement, étant donné la complexité de la mise en œuvre de ces
normes, plusieurs méthodes d’analyse des risques ont été mises au point afin de faciliter
et d’encadrer leur utilisation. Cependant, la plupart de ces méthodes en sont que
partiellement compatibles, ne tenant compte que d’une partie des règles énoncées dans
ces normes.

3- Normes et standards relatives à la sécurité

Les normes sont des accords documentés contenant des spécifications techniques
ou autres critères précis destinés à être utilisés systématiquement en tant que règles,
lignes directrices ou définitions de caractéristiques pour assurer que des processus,
services, produits et matériaux sont aptes à leur emploi.(2)

11
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

3.1- ISO/IEC 27001


La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences de SMSI »,
elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit
les conditions pour mettre en œuvre et documenter un SMSI (Système de Management de la
Sécurité de l'Information).

3.2- ISO/IEC 27002

Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO
17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a
été rebaptisée en ISO 27002 pour s'intégrer dans la suite ISO 2700x, intitulé « Code de
bonnes pratiques pour la gestion de la sécurité de l'information ».
ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives
générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les
risques pour la sécurité des informations.
Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11
chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui
couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans
ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre).

 chapitres définissant le cadre de la norme:

 Chapitre n°1: Champ d'application


 Chapitre n°2: Termes et définitions
 Chapitre n°3: Structure de la présente norme
 Chapitre n°4: Évaluation des risques et de traitement

 Les chapitres définissant les objectifs de sécurité et les mesures à prendre

 Chapitre n°5: Politique de sécurité de l'information


 Chapitre n°6: Organisation de la sécurité de l'information
 Chapitre n°7: Gestion des actifs
 Chapitre n°8: Sécurité liée aux ressources humaines

12
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Chapitre n°9: Sécurités physiques et environnementales


 Chapitre n°10: Exploitation et gestion des communications
 Chapitre n°11: Contrôle d'accès
 Chapitre n°12: Acquisition, développement et maintenance des systèmes
d'informations
 Chapitre n°13: Gestion des incidents
 Chapitre n°14: Gestion de la continuité d'activité
 Chapitre n°15: Conformité.

3.3- ISO/IEC 27005

La norme ISO/IEC 27005, intitulé « Gestion du risque en sécurité de


l'information », est une évolution de la norme ISO 13335, définissant les techniques à
mettre en œuvre dans le cadre d’une démarche de gestion des risques.

4- Rôle et objectifs d’audit

L’audit sécurité est une mission d’évaluation de conformité par rapport à une
politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité.
Principe : auditer rationnellement et expliciter les finalités de l’audit, puis en déduire
les moyens d’investigations jugés nécessaires et suffisants.
L’objectif principal d’une mission d’audit sécurité c’est de répondre aux préoccupations
concrètes de l’entreprise, notamment de ses besoins en sécurité, en :
 Déterminant les déviations par rapport aux bonnes pratiques.
 Proposant des actions d’améliorations de niveau de sécurité de l’infrastructure
informatique.

Cependant, l’audit de sécurité peut présenter un aspect préventif. C'est-à-dire


qu’il est effectué de façons périodiques afin que l’organisme puisse prévenir les failles
de sécurité. Egalement, l’audit peut s’imposer suite à des incidents de sécurité.

13
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

5- Cycle de vie d’un audit de sécurité des systèmes


d’information

Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit


un cycle de vie qui est schématisé à l’aide de la figure suivante (3)

Figure 1:Cycle de vie d'audit sécurité


L’audit de sécurité informatique se présente essentiellement suivant deux parties
comme le présente le précédent schéma :
 L’audit organisationnel et physique.
 L’audit technique.

Une troisième partie optionnelle peut être également considérée. Il s’agit de


l’audit intrusif. Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce rapport
présente une synthèse de l’audit. Il présente également les recommandations à mettre
en place pour corriger les défaillances organisationnelles et techniques constatées. Une
présentation plus détaillée de ces étapes d’audit sera effectuée dans le paragraphe
suivant qui présente le déroulement de l’audit.(3)

14
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

6- Démarche de réalisation d’une mission d’audit de sécurité


des systèmes d’information

Tel que précédemment évoqué, l’audit de sécurité des systèmes d’information se


déroule généralement suivant deux principales étapes. Cependant il existe une phase
tout aussi importante qui est une phase de préparation. Nous schématisons l’ensemble
du processus d’audit à travers la figure suivante :

Figure 2:Processus d'audit

6.1- Préparation de l’audit


Cette phase est aussi appelée phase de pré audit. Elle constitue une phase
importante pour la réalisation de l’audit sur terrain.
En synthèse on peut dire que cette étape permet de :
 Définir un référentiel de sécurité (dépend des exigence et attentes des
responsables du site audité, type d’audit).

15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Elaboration d’un questionnaire d’audit sécurité à partir du référentiel et des


objectifs de la mission.
 Planification des entretiens et informations de personnes impliquées.

6.2- Audit organisationnel et physique


a- Objectif

Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de


l’organisme cible, à auditer.
Nous nous intéressons donc aux aspects de gestion et d’organisation de la
sécurité, sur les plans organisationnels, humains et physiques.
Les objectifs visés par cette étape sont donc :
 D’avoir une vue globale de l´état de sécurité du système d´information,
 D´identifier les risques potentiels sur le plan organisationnel.

b- Déroulement

Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche
méthodologique qui s’appuie sur un ensemble de questions. Ce questionnaire préétabli
devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce
questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et
d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la

conformité de cet organisme par rapport à la norme référentielle de l’audit.

Dans notre contexte, cet audit prendra comme référentiel la norme ISO/27002 :2005.

6.3- Audit technique


a- Objectif

Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique allant
de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services
réseaux actifs et vulnérables. Cette analyse devra faire apparaître les failles et les
risques, les conséquences d’intrusions ou de manipulations illicites de données.

16
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Au cours de cette phase, l’auditeur pourra également apprécier l’écart avec les
réponses obtenues lors des entretiens. Il sera à même de tester la robustesse de la
sécurité du système d’information et sa capacité à préserver les aspects de
confidentialité, d’intégrité, de disponibilité et d’autorisation.

b- Déroulement

L’audit technique sera réalisé selon une succession de phases respectant une
approche méthodique. L’audit technique permet la détection des types de
vulnérabilités suivante, à savoir :
 Les erreurs de programmation et erreurs d’architecture.
 Les erreurs de configurations des composants logiques installés tels que les
services (ports) ouverts sur les machines, la présence de fichiers de configuration
installés par défaut, l’utilisation des comptes utilisateurs par défaut.
 Les problèmes au niveau de trafic réseau (flux ou trafic non répertorié, écoute
réseau,...).
 Les problèmes de configuration des équipements d’interconnexion et de contrôle
d’accès réseau.

Les principales phases :


Phase 1 : Audit de l’architecture du système
 Reconnaissance du réseau et de plan d’adressage,
 Sondage des systèmes,
 Sondage réseau,
 Audit des applications.
Phase 2 : Analyse des vulnérabilités
 Analyse des vulnérabilités des serveurs en exploitation,

 Analyse des vulnérabilités des postes de travail.


Phase 3 : Audit de l’architecture de sécurité existante
Cette phase couvre entièrement/partiellement la liste ci après :

17
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Audit des firewalls et des règles de filtrage,


 Audit des routeurs et des ACLs (Liste de contrôle d’accès),
 Audit des sondes et des passerelles antivirales,
 Audit des stations proxy,
 Audit des serveurs DNS, d’authentification,
 Audit des commutateurs,
 Audit de la politique d’usage de mots de passe.

6.4- Audit intrusif

Cet audit permet d’apprécier le comportement des installations techniques face à


des attaques. Egalement, il permet de sensibiliser les acteurs (management, équipes sur
site, les utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été
effectués (scénarios et outils) ainsi que les recommandations pour pallier aux
insuffisances identifiées.

6.5- Rapport d’audit

A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger
un rapport de synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des
défaillances enregistrées. Autant est-il important de déceler un mal, autant il est
également important d’y proposer des solutions. Ainsi, l’auditeur est également invité à
proposer des solutions (recommandations), détaillées, pour pallier aux défauts qu’il
aura constatés.
Les recommandations devront inclure au minimum :
 Une étude de la situation existante en termes de sécurité au niveau du site
audité, qui tiendra compte de l’audit organisationnel et physique, ainsi que les
éventuelles vulnérabilités de gestion des composantes du système (réseau,
systèmes, applications, outils de sécurité) et les recommandations
correspondantes.

18
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Les actions détaillées (organisationnelles et techniques) urgentes à mettre en


œuvre dans l’immédiat, pour parer aux défaillances les plus graves, ainsi que la
proposition de la mise à jour ou de l’élaboration de la politique de sécurité à
instaurer.

7- Lois relative à la sécurité informatique en Tunisie

Loi n° 5 - 2004 du 3 février 2004, relative a la sécurité informatique et portant sur


l'organisation du domaine de la sécurité informatique et fixant les règles générales de
protection des systèmes informatiques et des réseaux.(6)

Décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les
réseaux des organismes soumis a l'audit obligatoire périodique de la sécurité
informatique et les critères relatifs a la nature de l'audit et a sa périodicité et aux
procédures de suivi de l'application des recommandations contenues dans le rapport
d'audit.(6)

8- Conclusion

L’audit est une démarche collaborative visant l’exhaustivité. Elle est moins
réaliste qu’un test mais permet en contrepartie de passer méthodiquement en revue tout
le réseau et chacun de ses composants en détail.

Dans le chapitre suivant nous mettons l’accent sur l’étude de l’existant et


l’identification de système cible.

19
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Chapitre II :

Présentation de
l’organisme d’accueil et
étude de l’existant

20
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction

Notre mémoire de mastère s’est déroulé au sein du Ministère des Technologies


de l’information et de la Communication (MTIC) qui est chargé principalement du
pilotage, de la planification, de la réglementation et l’organisation du secteur des
technologies de la communication en Tunisie.

Ce chapitre présente une étude exhaustive sur le système informatique et les


composants qui le constituent. Toutes les informations ont été rassemblées suite à des
visites sur place et des entretiens avec les membres de l’équipe informatique.

2- Présentation de l’organisme d’accueil

2.1- Présentation générale


Dénomination Ministère des Technologies de l'information
et de la communication

Ministre Mr Mongi Marzouk

Secteur d’activités Informatique et télécommunication

Moyens humains (fin 2012) 230 employés

Adresse 3, bis rue d’Angleterre, 1000 Tunis

e-mail info@infocom.tn

Site web http://www.infocom.tn

Téléphone : (+216) 71 359 000

2.2- Rôles et attributions


Le ministère a pour mission la mise en place d'un cadre réglementaire qui
organise le secteur, la planification, le contrôle et la tutelle en vue de permettre au pays
d'acquérir les nouvelles technologies. Il assure de même le soutien du développement,

21
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

attire l'investissement et encourage les efforts d'exportation et la compétitivité des


entreprises tunisiennes.

L’adresse officielle du site du ministère est : www.mincom.tn[N1]

Figure 3:Site du ministère(MTIC)

A cet effet, le ministère est chargé notamment de :

 Coordonner entre les structures chargées des études stratégiques dans le


domaine de la Poste, des Télécommunications et de la technologie de
l'Information ; élaborer des normes techniques ; et encadrer les programmes de la
recherche et les activités industrielles en vue de leur adaptation aux besoins du
secteur,
 Elaborer des plans et des études stratégiques dans les domaines des
télécommunications et Postal,
 Elaborer les études de rentabilité tarifaires et les modalités de fixation des tarifs
des Télécommunications et des tarifs postaux,
 Fixer les conditions et les modalités relatives à la mise en place et à l'exploitation
des services à valeur ajoutée des télécommunications,
 Suivre l'activité des Entreprises sous tutelle du ministère du point de vue
technique et financier.

22
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Collecter et analyser des statistiques relatives au secteur et proposer des


programmes à insérer dans les plans de développement et en évaluer les
résultats :
 Collecter et analyser et diffuser des statistiques relatives aux activités du
ministère,
 Participer à l'élaboration des études stratégiques et des plans de développement
dans le domaine des communications,
 Evaluer les résultats des plans de développement relatifs aux domaines afférents
aux attributions du ministère,
2.3- Organigramme :

Figure 4:Organigramme de MTIC

L’organigramme du ministère comprend principalement :

 L'inspection générale des communications


 Les directions générales tel que :

23
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

-Direction générale des technologies de l’information


-Direction générale des technologies de la communication
-Direction générale de l’économie Numérique, de l’investissement et des
statistiques
-Direction générale des entreprises et établissements publics
-Direction générale des services communs
 Le cabinet comprend les structures suivantes :

Figure 5:Stuctures de cabinet

-Le bureau d'ordre central


-Le bureau de l’information et de la communication
-Le bureau des systèmes d’information
-Le bureau des relations avec les associations et les organisations
-Le bureau de suivi des décisions du conseil des ministres, des conseils
ministériels restreints et des conseils interministériels
-Le bureau des affaires générales, de la sécurité et de la permanence
-Le bureau des relations avec le citoyen

24
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

-Le bureau de supervision des projets statistiques


-Le bureau de la réforme administrative et de la bonne gouvernance
-Le bureau de la coopération internationale, des relations extérieures
2.4- Le bureau des systèmes d’information

Le bureau des systèmes d’information est chargé de :

 L’exécution du chemin directeur de l’information et sa mise à jour, de même le


développement de l’utilisation de l’informatique au niveau de différents services
du ministère.
 L’exploitation et la maintenance des équipements et des programmes
informatiques.
 La fixation de besoins en matière informatique et participation à l’élaboration des
cahiers des charges des appels d’offres pour l’acquisition d’équipements
informatiques.
 La participation à l’élaboration des programmes de formation et de recyclage.
 Le développement des programmes informatiques concernant les produits
financiers.
 Le suivi et l’application des programmes de maintenance des équipements
informatiques au niveau régional à travers les pôles régionaux.

3- Description du système informatique

Dans cette partie nous allons identifier tous les éléments et les entités qui
participent au fonctionnement du Système informatique.
D’après les visites effectuées et les documents qui nous ont été fournis, nous
répartissons l’inventaire des équipements informatiques comme suit :

3.1- Inventaire des micro-ordinateurs et serveurs


 Nombre des postes de travail : 220
 Tous les ordinateurs sont de type PC

25
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Nombre des serveurs en exploitation est 07 Serveurs :

Serveur en Type d’Application Plates formes Adresse


Exploitation Hébergée OS/ SGBD réseau
Serveur SyGec Gestion et suivi des Windows 2008 10.0.3.128/24
courriers Server/
SQL serveur 2005
Serveur primaire Messagerie Intranet Windows 2003 10.0.3.51/24
messagerie Lotus SP3
Domino/Notes
Serveur Secondaire Messagerie Intranet Windows 2003 10.0.3.52/24
messagerie Lotus SP3
Domino/Notes

Serveur Backup Mail Sauvegarde des mails Windows XP 10.0.3.127/24


SP2
Serveur Antivirus Système Antiviral Windows 2008 Server 10.0.3.131/24
réseau Koss 9.0
Serveur Mangement Console Windows 2008 Server 10.0.3.131/24
FW d’administration du R2
FireWall/IDS
Serveur Fax Gestion électronique Windows 2008 Server 10.0.3.101/24
des Fax
Tableau 1:liste des serveurs du MTIC

3.2- Inventaire des logiciels et système d’exploitation


 Les postes de travail sont équipés du système Windows XP (SP2/SP3) et Windows7
(SP1).
 Les Serveurs sont équipés du système Windows 2003 Server et Windows 2008 Server
 Une suite de bureautique (office 2003 et 2007) est installée sur tous les postes.
Il y a des applications qui sont exploitées sur un réseau physiquement séparé du
réseau Intranet du ministère et dont les serveurs sont hébergés au Centre National de
l’informatique, ils sont comme suit :
Les applications Description Développement
Externe/Interne
INSAF Application permet la gestion Externe
intégrée des ressources humaines
et de la paie du personnel de

26
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

l’Etat
RACHED Application pour Externe
l’automatisation des procédures
relatives aux missions effectuées
a l’étranger par les agents de
l’administration
ADAB Application d’aide a la décision Externe
Budgétaire
Gestion des biens Application permettant le suivi Externe
mobiliers de l’Etat des différentes étapes de gestion
« MANKOULET » des biens mobiliers du ministère,
depuis leur acquisition jusqu'à la
fin de leur utilisation
Gestion des stocks de Application de gestion des stocks Externe
l’Administration des produits tenus en stock dans
« MAKHZOUN » les magasins du ministère
Tableau 2:liste des applications du MTIC

3.3- Inventaire des équipements réseaux


Le site compte les équipements réseaux et sécurité suivantes:
Marque et Modèle Nombre d’interfaces
Plusieurs Switch de 24 ports Rj45, 4 ports FO
marque Dlink et de
modèle DGS 3100
Plusieurs Switch de 16 ports Rj45, 2 ports FO
marque Dlink et de
modèle DGS 1216T
Un Routeur CISCO 2 interfaces fast
2850 Ethernet et 8 interfaces
séries
Un double de FW possèdent 8 interfaces
de marque fast Ethernet.
StoneGate et de
modèle FW1050e
Un commutateur Possède 08 interfaces
Niv3 de marque HP FO et 24 Interfaces RJ45
Procurve de modèle
5406zl
Tableau 3:liste des équipements réseaux de MTIC

27
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

4- Architecture et topologie du réseau

4.1- Plan d’adressage


Tous les hôtes du réseau utilisent des adresses IP privée de classe A (10.0.x.0/24)
avec un masque réseau de classe C. Le réseau Interne est segmenté en 8 sous réseaux :
Adresse Sous réseau Description
10.0.1.1/24 Zone d’administration

10.1.0.0/24 Postes utilisateurs zone DGTC

10.0.2.0/24 Postes utilisateurs zone inspection

10.0.3.0/24 Zone des serveurs en exploitation

10.0.4.0/24 Postes utilisateurs zone DAAF

10.0.5.0/24 Postes utilisateurs zone juridique

10.0.7.0/24 Postes utilisateurs zone Bâtiment


10.0.8.0/24 Postes utilisateurs zone Informatique
10.0.13.0/24 Postes utilisateurs zone cabinet

Tableau 4:liste des plans d'adressage

4.2- Description de l’architecture réseau


Toute l’informatique est reliée à un réseau de type Ethernet, C’est un réseau local
moderne, 100% commuté, avec des débits élevés (100/1000 Mb/s).
La topologie du site est en étoile étendue, le réseau interne est segmenté
physiquement en 8 sous réseaux, et chaque segment sous réseau est relié a un nœud
central (Switch N3 de marque HP et de modèle 5406zl) via des liaisons fibre optique.
 Le réseau interne est relié au réseau Internet à travers une liaison de type Fibre
Optique avec un débit de 10 Mb/s.
 Le réseau est relié avec des sites distants (des sites des organismes sous tutelle tel que
SEILL, ONT, OPT, CNI) via des liaisons permanentes à hauts débits (lignes
spécialisées avec un débit qui varie entre 128 ko/s et 512 ko/s).

28
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Toute l’architecture du réseau Interne est autour d’un doublet de firewall (qui
fonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps.
 Les firewalls internes sont reliés à un doublet de firewall Frontal.

Figure 6:Topologie du réseau du ministère(MTIC)

5- Aspects de sécurité existante

Des mesures de sécurité ont été prises pour assurer au mieux la sécurité des
infrastructures et des utilisateurs du réseau.

5.1- Sécurité physique


D’après les visites et les entretiens, nous avons constatés les faits suivants :
 Le service de nettoyage intervient de 8h à 9h et de 13h à 14h30
 Existence des agents d’accueil qui contrôlent l’accès au périmètre du site,
l’enregistrement des informations relatives à chaque visiteur et fournir un badge
pour accéder à l’intérieur du local.

29
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Salle serveur fermée à clef, seuls les personnes autorisées et qui possèdent la clé
peuvent y accéder,
 La climatisation est assurée par (deux) climatiseurs domestiques installé dans la salle
des serveurs.
 Les prises de courant électriques ne sont pas ondulées.
 Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de
marque APC 1kva) pour assurer la continuité de service des ressources critique en
cas de problèmes électrique.

Figure 7:Interface d'administration des onduleurs


 Seuls les machines et les composants réseaux à importance élevée sont protégés par
des onduleurs pour éliminer les problèmes d’alimentation électrique de courte durée.
 Les extincteurs d’incendies sont disponibles dans chaque couloir
 Absence des caméras de surveillance pour les zones sensibles.

5.2- Sécurité logique


Pour la sécurité logique, les moyens mis en place au sein du S.I sont :
 Acquisition d’une solution matériel de sauvegarde de données wooxo security box :
qui comprend 2 disques (chacun est de capacité 512Mb), il est administrable via le
web, il est sécurisé contre les risques majeurs tel que : le feu, l’inondation, et le vol

30
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Des procédures de sauvegarde pour les données sensibles sont appliquées selon les
fréquences suivantes :
- Pour la base de données de l’application SyGec : une image sur disque chaque
jour.
- Pour les Emails au niveau du serveur de messagerie : une sauvegarde est
planifiée tous les jours (fin de la journée) sur un poste de travail dédié pour
backup Mail.
- Pour la configuration du firewall : une sauvegarde de la configuration chaque
mois ou lors d’une modification importante, et une sauvegarde des logs est
assurée chaque semaine.
 Afin d’assurer la continuité des services et éviter l’arrêt des services même
partiellement en cas des problèmes (panne matériel, crash disque...), une certaine
redondance matérielle a été constaté notamment au niveau des firewalls ainsi qu’au
niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.

5.3- Sécurité réseau


 Le réseau est segmenté physiquement en des sous réseaux autour d’un commutateur
niveau 3 qui assure le routage.
 Les filtrages des accès depuis et vers les réseaux externes sont assurés par le Firewall
interne de marque StoneGate et de modèle 1050.
 Pour l’accès au réseau Internet, le mécanisme du NAT est assuré par le doublet de
Firewall frontal de marque StoneGate et de modèle 1030.
 Dans la zone des serveurs en exploitation, un système de détection des intrusions
(IDS/IPS) de marque StoneGate et de modèle 1030 est installé afin de la protéger
contre les attaques.
5.4- Sécurité des systèmes
Le système Antiviral :

Quelque soit les mesures mises en place, on ne peut pas éviter à 100% que les
machines ne seront pas infectées par des virus.

31
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en
place avec une architecture client/serveur, et une version client (agent) est installée sur
toutes les machines du réseau (une version pour les postes de travail et une version
pour les serveurs), le serveur de l’antivirus télécharge les mises à jour régulièrement et
les installe sur tous les Ordinateurs.

Figure 8:Interface client-Endpoint Security V8

6- Conclusion

Suite à la description de l’environnement de déroulement de notre mission


d’audit et l’identification de l’architecture réseau et principaux serveurs et équipements,
nous allons procéder, dans le chapitre suivant, aux taxonomies des failles
organisationnelles et physiques basés sur la norme 27002.

32
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Chapitre III :
Taxonomies des failles
organisationnelles et physiques
basées sur la Norme 27002

33
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction

Ce chapitre vise à avoir une vision qualitative et quantitative des différents


facteurs de la sécurité informatique du site audité et à identifier les points critiques du
système d´informations.
L’audit fonctionnel sera réalisé en se basant sur des entretiens avec le
responsable, et des observations constatés sur le site.

2- Approche adopté

Notre approche consiste à mesurer le niveau de maturité en se basant sur un


questionnaire inspiré de la Norme ISO 27002 (voir annexe 1).
Ce questionnaire comporte 11 chapitres, chaque chapitre présente un thème de
sécurité dans lequel sont exposés des objectifs de contrôles et des recommandations sur
les mesures de sécurité à mettre en œuvre et les contrôles à implémenter.

3- Déroulement de la taxonomie organisationnel et physique

Lors de cette phase, je me suis ainsi entretenu avec le chef service informatique :
Mr Marouane LADJIMI. Des visites ont été réalisées au site afin de vérifier la sécurité
physique.

3.1- Présentation des interviews

Voir annexe 1

3.2- Présentation et interprétation des résultats

Lors de cette intervention et suivant les réponses aux questionnaires, j’ai pu


déceler les constations suivantes :

a- Politique de sécurité de l’information

34
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 On remarque l’inexistence d’une politique de sécurité formelle et disponible pour


tous les personnels et par conséquent, l’absence d’un document de politique de
Sécurité écrit, validé et diffusé par la direction générale et de norme appliquée.
 La politique de sécurité n’est pas affectée à un responsable, chargé de la révision
régulière de ce document et l’adaptée périodiquement en cas de changement au
niveau de l’organisation ou au niveau de l’architecture, suite à un incident de
sécurité, ou bien à cause des changements technologiques.
b- Organisation de la sécurité de l’information
 L’inexistence des fonctions suivantes dans la politique de sécurité : responsable
spécialiste de la sécurité physique ; responsable spécialiste de la sécurité
fonctionnelle et informatique ; directeur responsable de la sécurité générale.
 Absence des objectifs de sécurité dans la politique globale de l’organisme.
 Absence de l’identification des informations confidentielles.
 L’inexistence d’une politique de révision et de documentation de la politique
d’organisation de la sécurité.
 Absence du mécanisme d’identification et de classification des accès.
 Absence d’un contrat qui stipule les clauses relatives à la sécurité des valeurs de
l’organisation, la sécurité physique et l’existence d’un plan de secours dans le cas
d’externalisation du ministère.
 Absence de comité de pilotage du SI.
 Absence de l’identification des risques dus aux effets externes.
c- Gestion des biens
 Il n’y a pas une classification des ressources basées sur les 3 axes : Disponibilité,
Intégrité et Confidentialité.
 Manque des Lignes directrices pour la classification des informations en termes
de valeur, d’exigences légales, de sensibilité et de criticité,
 L’inexistence d’un stock inventorié d’équipements et de pièces détachées de
secours.
 Absence d’une licence d’acquisition pour tous les logiciels installés.
35
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Il n’y a pas de contrôle des logiciels installés.


 L’inexistence des règles d’utilisation des biens et des services d’information.
d- Sécurité liée aux ressources humaines
 L’inexistence d’un contrat signé par tous les personnels pour prendre des
décisions en cas de non respect des règles de sécurité, ou bien qu’ils soient
sources des failles.
 Absence d’une note précisant les devoirs et responsabilités du personnel.
 Absence d’un programme de sensibilisation du personnel aux risques d'accident,
d'erreur et de malveillance relatifs au traitement de l'information.
 Les employés doivent noter, signaler toutes les failles et les menaces de sécurités
observées dans les systèmes ou services ou applications, et savoir à qui
s’adressent en cas pareils.
 Absence d’un document de confidentialité des informations signé par les
employés lors de l’embauche.
e- Sécurité physique et environnementale
 Absence d’une réglementation spéciale contre le fait de fumer, boire, et manger
dans les locaux informatiques.
 Absence d’une politique de maintenance pour les équipements sensibles.
 Absence des procédures de gestion de crise en cas de long arrêt du système et de
permettre la reprise du fonctionnement au moins partiellement (favoriser
quelques machines sur d’autres).
 L’inexistence d’un système de détection ou d’évacuation d’eau.
 Absence d’un document lié à la sécurité physique et environnementale.
f- Gestion des communications et de l’exploitation
 Absence des procédures formelles pour les opérations d’exploitation : backup,
maintenance et utilisation des équipements et des logiciels.
 L’inexistence d’une distinction entre les phases de développement, de test et
d’intégration d’applications.
 Absence d’une procédure pour la gestion des incidents.
36
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Absence des procédures formelles pour la prévention contre la détection et la


prévention des logiciels malicieux.
 Absence d’une politique pour se débarrasser des documents importants.
 L’inexistence des consignes interdisant l’utilisation des logiciels sans licence qui
doivent être respectés et contrôlés.
 Absence d’une politique de sécurité pour les emails.
g- Contrôle d’accès
 Absence d’une procédure d’attribution ou de retrait des privilèges qui nécessite
l’accord formel de la hiérarchie.
 Les utilisateurs non conscients qu’ils doivent verrouiller leurs sessions en
quittant leur bureau même pour quelques instants.
 Absence du contrôle par un dispositif d’identification et d’authentification à
l’accès au système.
 L’inexistence d’un dispositif de revue des droits d’accès à des intervalles
réguliers.
 Absence des conditions à respecter lors du choix des mots de passe.
 Il faut sensibiliser les utilisateurs pour prendre précautions à l’utilisation des
disquettes, CD, flash…
h- Développement et maintenance des systèmes
 Absence des procédures de validation en cas d’un ou des changements réalisés
sur les programmes ou bien sur les applications.
 Absence de l’assurance de la sécurité de la documentation du système
d’information.
 L’inexistence des procédures de contrôle pour les logiciels développés en sous-
traitance.
 L’inexistence d’une politique de maintenance périodique et assidue des
équipements.
i- Gestion des incidents
 L’inexistence d’une politique de gestion des incidents.
37
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Absence d’une politique pour répartition des responsabilités en cas d’incident.


 Absence d’un système de reporting des incidents liés à la sécurité de
l’information.
 Les employés ne sont pas informés du comportement à avoir si un incident est
survenu.
j- Gestion de la continuité d’activité
 Absence d’une politique de sauvegarde pour d’autres actifs de l’organisme.
 Une analyse de risque à partir des divers scénarios n’est jamais développé, qui
permet d’identifier les objets et les événements qui pourraient causer des
interruptions (partielle ou totale).
 L’inexistence des alarmes pour l’avertissement lors d’accès aux actifs sensibles en
dehors des heures de travail ou en cas d’accès non autorisés.
 Absence d’un plan de secours, ce qui vient de dire que l’organisme est incapable
de répondre rapidement et efficacement aux interruptions des activités critiques
résultant de pannes, incident, sinistre.
 Absence des plans écrits et implémentés pour restaurer les activités et les services
en cas de problèmes.
k- Conformité
 On remarque l’absence d’une définition, d’une documentation et d’une mise à
jour explicite de toutes les exigences légales, réglementaires et contractuelles en
vigueur, ainsi que la procédure utilisée par l’organisme pour satisfaire à ces
exigences.
 L’inexistence d’un contrôle de la conformité technique.
 La non-conformité des règles de sécurité appliquées.
 L’inexistence d’une procédure définissant une bonne utilisation des technologies
de l’information par le personnel.
 Il faut que le responsable de la sécurité de l’information évalue périodiquement
des procédures pour le respect de la propriété intellectuelle.
l- Résultat
38
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Le graphe suivant illustre les résultats :

PS
70
OS
60 GB

50 SRH
SPE
40
GCE

30 CA
DMS
20
GI
10 GCA
C
0

Figure 9:Résultat de la taxonomie organisationnelle


Légende :
PS : Politique de sécurité de l’information (0%)
OS: Organisation de la sécurité de l’information (30%)
GB : Gestion des biens (50%)
SRH : Sécurité liée aux ressources humaines (23%)
SPE : Sécurité physique et environnementale (61%)
GCE : Gestion des communications et de l’exploitation (50%)
CA : Contrôle d’accès (57%)
DMS : Développement et maintenance des systèmes (38%)
GI : Gestion des incidents (0%)
GCA : Gestion de la continuité d’activité (45%)
C : Conformité (50%)
Par conséquent, la moyenne est de : 37%
→ Niveau très bas en terme de sécurité physique et organisationnelle

39
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

4- Conclusion

La taxonomie organisationnel et physique a permis d’avoir une vue globale sur


le niveau de sécurité du système d’information grâce à un ensemble d’entretiens et au
questionnaire qui se base sur la norme ISO 27002.
Nous entamons dans le chapitre suivant la partie technique.

40
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Chapitre IV:

Taxonomies des failles


techniques

41
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction

La taxonomie des failles techniques suit une étude organisationnelle et physique


permettant d’avoir une vue globale de l’état de sécurité du système d’information et
d’identifier les risques potentiels. A cette étape nous passons à la recherche des
vulnérabilités à fin d’analyser le niveau de protection de l’infrastructure face aux
attaques notamment celles qui exploitent ces vulnérabilités.

Nous utilisons tout au long de cette partie un ensemble des outils permettant
d’obtenir les informations nécessaires et de déceler les différentes vulnérabilités.

2- Analyse de l’architecture réseau et système

2.1- Reconnaissance du réseau et du plan d’adressage


Durant cette étape, nous allons procéder à une inspection du réseau afin de
déterminer sa topologie, d’identifier les hôtes connectés et les équipements réseau. Pour
réaliser cette tâche, nous commençons par un recueil des données concernant les
équipements inventoriés.

L’outil utilisé pour l'identification de la topologie réseau est NetworkView à sa


version 3.6 qui permet de fournir une représentation graphique des composantes
actives sur le réseau et leurs attributs.

 Utilisation de l’outil NetworkView(9) à l’intérieur du réseau audité :

Concernant le plan d’adressage, tous les hôtes du réseau utilisent des adresses IP
privée de classe A (10.0.x.0/24) avec un masque réseau de classe C.

42
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Figure 10:Réseau local


Cette figure montre les postes utilisateurs de la zone inspection, la zone des
serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le réseau interne.

Le réseau interne est segmenté en 8 sous réseaux.

Tous les hôtes du réseau utilisent des adresses IP privée de classe A (10.*.*.*/24)
avec un masque réseau de classe C ce qui n’est pas conforme aux normes en vigueur. La
configuration TCP/IP des hôtes est manuelle, ce qu’indique qu’elle est protégée contre
les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24.
Pour l’accès au réseau public Internet, une translation d’adresse (NAT) est
assurée par le Firewall frontal.
Nous signalons à cet égard, que la configuration réseau au niveau des postes
n’est pas protégée contre les modifications. En effet, chaque utilisateur peut changer son
adresse ce qui peut générer des conflits d’adresses. Des attaques de type IP Spoofing
(usurpation d'identité) peuvent être facilement menées et générer un déni du service; il
suffit de remplacer l’adresse IP du poste par celle d’un équipement critique (routeur,

43
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

serveur, etc.). Cette attaque permet la dégradation des performances de l’équipement


concerné voir même son arrêt complet.

Figure 11:Configuration réseau au niveau du poste

2.2- Sondage système et des services réseaux


L’objectif de cette étape est l’identification des systèmes d’exploitation et des
services réseau ce qui permet de savoir les ports ouverts des équipements audités. Il est
également possible d’analyser le trafic, de reconnaître les protocoles et les services
prédominant au niveau du réseau.
Pour réaliser cette étape, nous avons utilisé autres outils qui permettent
d’identifier les OS, les services ouverts, les patches manquants et d’autres informations
utiles:
 Nmap(7) est un scanner de ports. Il est conçu pour détecter les ports ouverts,
identifier les services hébergés et obtenir des informations sur le système
d'exploitation d'un ordinateur distant.
 GFI LANguard Network Security : c’est un outil qui permet d’effectuer un audit
rapide de sécurité sur le réseau, il regroupe des informations enregistrées sur les
postes de travail telles que les noms d’utilisateurs, les partages, etc.

44
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

a- Identification des systèmes d’exploitation

Des essais de balayage systématique des ports avec des options de détection des
systèmes d ‘exploitation ont permis d’avoir la liste des O.S au niveau des stations de
l’ensemble du réseau audité de la MTIC.
Les résultats de test ont confirmé que le réseau local du site est exclusivement
Windows pour les postes utilisateurs (des stations tournant sous le système Win XP),
Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de données et
d’application en exploitation.
J’ai constaté que les versions des O.S détectées sur un échantillon important des
serveurs au niveau du réseau local ne sont pas mise à jour vu l’absence d’une solution
de gestion centralisée des mises à jour.

Figure 12:Sondage des systèmes d’exploitation avec GFI LANguard

b- Identification des services réseaux

Il s’agit de déterminer les services offerts par les serveurs et les postes de travail
qui peuvent être une source de vulnérabilité.
J'ai effectué un balayage des machines (serveurs et postes de travail) du réseau
interne, j’ai pu cerner la liste des ports ouverts sur les stations en activité.
J’ai retenu utile de présenter deux petits échantillons de ces prélevés effectué sur
le serveur backup mail en utilisant l’outil Zenmap et le console sur Back-Track 5(8) :

45
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Figure 13:Sondage des services en activité du serveur Backup Mail

Figure 14:Sondage des services avec Zenmap


Il est aisé d’identifier les services réseau en activité sur les serveurs d’applications
et de données en exploitation au niveau du site MTIC et de connaître le type des OS,
ainsi que les failles relatives aux versions associées.
Certains services en activité sur les stations, dont il faudra décider de leur utilité
et de s’assurer périodiquement de l’absence des failles, par exemple : HTTP 80 (TCP),
TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139
(TCP) et 445 (TCP & UDP).

46
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

c- Identification des ports ouverts

J’ai appliqué l’outil GFI LANguard sur les serveurs et les équipements critiques
et j’ai constaté qu’il existe des ports qui sont ouverts et non utilisés.

Figure 15:Sondage des ports ouverts


Plus de détails concernant le serveur secondaire messagerie Lotus
Domino/Notes qui possède l’adresse 10.0.3.52.

Figure 16:Ports ouverts du secondaire messagerie

47
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Les ports ouverts sont :

 Le port 445 est ouvert pour la plupart des serveurs et peut être utilisé par le ver
NIMDA.
 Le port 139 est ouvert pour la plupart des serveurs, ce port peut être utilisé par les
chevaux des Troie(11) suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz.
 Le port 25 (service SMTP) étant actif sur les serveurs messageries, il présente un
risque de SPAM et par suite un risque de saturation de disque. Ce service doit être
désactivé s’il n’est pas utilisé.
 Le port 443 est ouvert au niveau de plusieurs serveurs d’applications, qui peut être
exploité par le trojan Slapper.
d- Identification des flux réseaux

Cette étape concerne l’analyse du trafic, l’identification des principaux flux,


protocoles et applications, le taux d'utilisation ainsi que les flux inter-stations et les
protocoles superflu.
J'ai utilisé pour cela Wireshark qui est un logiciel libre d'analyse de protocole, ou
« packet sniffer », permet d’effectuer de capture sur le réseau ainsi qu’une analyse du
trafic. La capture d’écran suivante représente l’interface d’interception des paquets de
Wireshark :

Figure 17:Capture des flux avec wireshark

48
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Une première analyse du trafic permet d’identifier l’existence de plusieurs


protocoles actifs superflus qui génèrent des informations gratuites et qui pourraient être
exploitées par des personnes malintentionnées pour mener des attaques. Les protocoles
identifiés sont les suivants :
 Cisco Discovery Protocol (CDP) : Il est utilisé pour obtenir des adresses des
périphériques voisins et de découvrir leur plate-forme, il utilise le protocole SNMP.
CDP peut aussi être utilisé pour voir des informations sur les interfaces qu’un
routeur utilise. ces données peuvent être exploitées dans la recherche des
vulnérabilités du routeur et mener des attaques. (4)
 Spanning Tree Protocol (STP) : il permet d’apporter une solution à la suppression
des boucles dans les réseaux pontés et par extension dans les VLANs
e- Identification des partages réseaux

J’ai utilisé l’outil GFI LANguard sur les serveurs et les équipements critiques pour
déterminer les partages réseaux utilisés :

Figure 18:Partages réseau avec GFI LANguard


La plupart des partages existants contiennent les partages administratifs et
partages cachés par défaut ADMIN$, C$, D$, IPC$, K$ …,
En effet, les partages administratifs par défaut peuvent être exploités par un
intrus pour avoir le contrôle total de la machine.

49
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

3- Analyse des vulnérabilités


La recherche de vulnérabilités pendant cette phase se base sur le scanner de
vulnérabilité (GFI LANguard) qui teste la résistance du système face aux failles connues
stockées dans leurs bases de connaissance.
Voici une capture générale qui indique l’état de vulnérabilités sur les serveurs et
les équipements critiques :

Figure 19:Vulnérabilités (GFI LANguard)


Par la suite, je vais mesurer les vulnérabilités des parties les plus sensibles du
réseau local pour dégager rapidement les failles réellement dangereuses et dégager à
partir des outils, des rapports efficaces et exploitables pour une sécurisation rapide et
efficaces du système.

3.1- Serveur Backup Mail

Identification du compte administrateur (créé par défaut lors de l’installation)


sans aucune protection de mot de passe. Ceci est un exemple sur le serveur backup mail
qui a l'adresse 10.0.3.127 :

50
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Figure 20:Capture du serveur Backup Mail


Identification du port critique ouvert tel que par exemple : port 23 pour le service
Telnet.
Cela peut mettre en danger le serveur vu la criticité du Telnet (accès à distance et flux
circulant en clair).

Figure 21:Capture du serveur Backup Mail(2)

3.2- Serveur SyGec

Le schéma suivant présente le résultat d’un test par un scanner de vulnérabilités,


ciblant le serveur de gestion et suivi des courriers « serveur SyGec » qui a l'adresse
10.*.*.* :

51
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Figure 22:Serveur SyGec


Les vulnérabilités sont réparties sur des vulnérabilités relatives aux services
réseaux en activité (ports critiques ouverts, comme le port 23), vulnérabilités relatives
au système d’exploitation et au système SGBD (le port 1433 (Microsoft SQL Server) est
un port utilisé par le cheval de Troie « Voyager Alpha Force »).

3.3- Serveur de messagerie Lotus Notes

Le schéma suivant présente le résultat d’un test par un scanner de vulnérabilités,


ciblant le serveur primaire messagerie Lotus Domino/Notes qui a l'adresse 10.0.3.51 :

Figure 23:Serveur primaire messagerie

52
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Les vulnérabilités sont réparties sur des vulnérabilités relatives aux services
réseaux en activité et vulnérabilités systèmes.
Le sondage des ports avec les vulnérabilités associées est présenté comme suit :
 Sasser (5554|TCP) (Vulnérabilité d’ordre grave)
Utilisé en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a été
un ver qui a exploité un débordement de tampon dans Windows LSA service. Le ver
a attaqué le port TCP 445 avec l'exploit, puis en cas de succès il a ouvert une
commande Shell à distance sur le port TCP 9996 et un service ftp sur le port 5554. Le
service ftp est pourtant même exploitable et la tentative de ver Dabber tente
d'exploiter cette vulnérabilité.
 POP3 (110|TCP) (Vulnérabilité d’ordre grave)
Le port 110 est ouvert, désactivé le service s’il n’est pas utilisé car il est possible de
détecter quels chiffrements SSL qui sont pris en charge par le service pour le
cryptage des communications.
 SMTP (25|TCP) (Vulnérabilité d’ordre moyenne)
Port SMTP ouvert (cible des spammeurs), il est recommandé de le désactiver s’il n’est
pas utilisé, ou filtrer le trafic entrant à ce port.
 HTTP (80|TCP) (Vulnérabilité d’ordre moyenne)
Il est recommandé de le désactiver s’il n’est pas utilisé car il est possible d’extraire
des informations de configuration et de déterminer le type et la version du serveur
web.

4- Analyse de l’architecture de sécurité existante

L’objectif de cette étape est d’expertiser l’architecture technique déployée et de


vérifier les configurations des équipements réseaux avec la politique de sécurité définie
et les règles de l’art en la matière.

53
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

4.1- Analyse du Firewall

Cette étape consiste à déterminer si le firewall fonctionne correctement. Le rôle


du firewall consiste à contrôler l’accès selon une politique spécifique adapté pour ces
huit interfaces.
La démarche adoptée consiste à auditer le firewall, les règles de filtrage et des
mécanismes de log. Le firewall utilisé est un Stonegate FW-1050.
Lors d’une réunion avec le chef service informatique, j'ai pu à l’aide du Checklist
présenté en annexe 2 déterminer les vulnérabilités suivantes du firewall :
 Absence d’une procédure de test périodique des vulnérabilités du Firewall ainsi que
des essais de test de pénétration pour vérifier la résistance du système contre les
attaques.
 Absence d’un rapport d'audit à long terme présentant l'historique des incidents
survenus au niveau du firewall (violation des ACLS, crash par débordement du
tampon).
 L’administration n'est pas informée en temps réel par les événements les plus
critiques.
4.2- Analyse du Routeur Cisco

Lors d’une réunion avec le chef service informatique, j'ai pu à l’aide du Checklist
présenté en annexe 3 déterminer les vulnérabilités suivantes (c'est un routeur Cisco
2850) :
 Absence de contrôle et de suivi de la version IOS du routeur.
 Absence d’une procédure documentée pour le backup des configurations du
routeur.
 Les logs du routeur ne sont pas révisés.
 Identification du port Telnet ouvert.

54
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Figure 24:Capture PuTTy

Figure 25:Capture PuTTy(2)

4.3- Analyse du Switch HP Procurve

Voici les remarques que j’ai pu dégager lors d’une réunion avec le chef service
informatique concernant le Switch HP Procurve 5406zl :
 Firmware pas mis à jour « Software revision : K.15.02.0005 », la dernière étant la
K.15.06.0017

55
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Figure 26:Capture de la version du Switch


 Il y a seulement trois adresses IP qui sont autorisées à joindre et à manager le Switch,
y compris l’adresse IP du chef service informatique.

Figure 27:Capture des adresses IP autorisées

4.4- Analyse de la politique d’usage de mots de passe

Les méthodes d'authentification utilisées sont les mots de passe au niveau postes
de travail et serveurs.
Nous remarquons concernant la politique d’usage de mot de passe les points
suivants :
 Pour les serveurs, routeurs et tous les autres équipements réseau les mots de passe
sont robustes de point de vue nombre de caractère et la combinaison de minuscules
et majuscules, de chiffres, de lettres et de caractères spéciaux.

56
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Au niveau poste de travail, chaque utilisateur est responsable de la définition de son


mot de passe.
 Certains mots de passe (aux niveaux des postes) ressemblent aux noms des
utilisateurs ou sont trop courts (inférieur à 10 caractères), ce ne sont pas de bonnes
pratiques de sécurité.
 L’absence d’une sensibilisation des utilisateurs et de la mise en place d’une
procédure de contrôle a priori.
 Absence d’une charte d'utilisation qui spécifie aux utilisateurs leurs obligations de
protection de leurs postes.
 Absence d’une politique qui définit notamment quelle est la typologie de mots de
passe autorisés, la longueur des mots de passe, les délais d'expiration, la technique
de génération, l'occurrence d'utilisation des mots de passe,…

5- Conclusion

Au cours de cette étape, j’ai essayé de déceler certaines vulnérabilités au niveau


réseau et applications en analysant les différents flux et les politiques de sécurité
adoptés par les équipements tel que firewall, routeur...
Il s’agit maintenant de proposer des recommandations et des actions à suivre
pour remédier à ces faiblesses.

57
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Chapitre V :

Recommandations
organisationnelles et
physiques

58
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction

Après avoir terminé l’évaluation de la sécurité du système d’information suivant


la norme 27002, je vais proposer dans ce chapitre des recommandations réparties par
thème à mettre en œuvre pour pallier aux insuffisances.
La mise en place de ces recommandations pour remédier aux risques encourus
peut être faite progressivement selon le degré d’urgence et la disponibilité des
ressources humaines et budgétaires.

2- Politique de sécurité

Le MTIC est tenu à élaborer sa politique de sécurité qui doit être validée par les
responsables, distribuée et publiée à tout le personnel. Chaque employé doit donner son
consentement et signer son adhésion à la charte du respect de la confidentialité de
l’information. Le message qui doit être délivré à travers la politique de sécurité et la
charte informatique est que toute violation de la confidentialité est un délit punissable
selon le degré de sa gravité.
Aussi une revue régulière de cette politique de sécurité doit être planifiée pour
tenir compte des possibles changements qui surviendront (nouveaux incidents,
nouvelles vulnérabilités, changements à l’infrastructure...)

3- Organisation de la sécurité de l’information

L’organisation de la sécurité consiste à assurer le développement,


l’implémentation et la mise à jour des politiques et des procédures de sécurité. Pour
gérer la sécurité, il est conseillé de prendre en compte les recommandations suivantes :
 Le management de l’organisation doit être impliqué dans la sécurité de
l’information, en particulier dans la définition de la politique de sécurité, la
définition des responsabilités, l’allocation des ressources, ...

59
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Définir la structure et l'organisation du management de la sécurité composé d’un


RSSI et des responsables de toutes les directions du MTIC et préciser leurs rôles et
responsabilités respectifs et vis-à-vis des managers opérationnels.
 Cette structure doit avoir la capacité à alerter sans délai la Direction Générale en
cas de problème grave.
 Définir les rôles des responsables en matière de sécurité de l’information.
 La mise en place d’un système d’autorisation concernant les moyens de traitement
de l’information (contrôle de l’usage d’équipements ou logiciels personnels).
 Engagement de personnels vis-à-vis le respect de la sécurité informatique
(définition des devoirs et responsabilités, des notes précisant les obligations
légales,...).
 Assurer une veille technologique en matière de sécurité (participation à des
cercles, associations, congrès,...).
 Etablir une revue de la sécurité de l’information en fonction des évolutions de
structures.
 Analyser les risques liés aux accès de personnel tiers au système d’information ou
aux locaux et établir les mesures de sécurité nécessaire.

4- Gestion des biens

 Les ressources sont répertoriés, mais ils doivent être classifiées selon leur
importance basée sur les 3 axes : besoin en terme de disponibilité, confidentialité et
intégrité.
 Définir les types d'actifs qui doivent être identifiés et inventoriés. Les actifs
peuvent être des informations, des logiciels, des équipements matériels, des
services et servitudes, des personnes ou du savoir-faire, des actifs intangibles tels
que la réputation ou l'image.
 Tenir à jour l’inventaire des types d'actifs identifiés.

60
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Désigner pour chaque actif identifié et inventorié un "propriétaire" qui assume la


responsabilité du développement, de la maintenance, de l'exploitation, de
l'utilisation et de la sécurité de cet actif.
 Définir et documenter, pour chaque actif, les règles d'utilisation acceptables.
 Définir et contrôler une procédure de revue périodique des classifications.

5- Sécurité liée aux ressources humaines

 Etablir une procédure d'information préliminaire auprès du personnel (interne ou


contracté), en ce qui concerne ses devoirs et responsabilités et les exigences de
sécurité de la fonction, avant tout changement d'affectation ou embauche.
 Une note précisant les devoirs et responsabilités du personnel doit être diffusée à
l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu
connaissance.
 Etablir une clause dans les contrats d'embauche ou dans le règlement intérieur,
précisant l'obligation de respecter l'ensemble des règles de sécurité en vigueur.
 Le personnel est tenu à respecter la politique de sécurité que le MTIC va la mettre
en œuvre. A cet effet, une mise à niveau des employés dans le domaine de la
sécurité de l’information doit être menée en planifiant des cycles de formation
périodiques et en organisant des programmes de sensibilisation qui devront
expliquer les méthodes de protection de l’information surtout celle qui sont
critiques. Ce programme doit expliquer :
 Les concepts de base de la sécurité.
 La sensibilité de l’information et le type de protection nécessaire.
 La responsabilité personnelle de chacun dans la gestion de la sécurité et
l’application des protocoles sécuritaires.
 Les types de menaces (erreurs humaines, naturelles, techniques..).

61
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Les règles et mesures générales de protection de l'information qui couvrent


l'ensemble des domaines concernés (documents, micro-informatique, accès aux
locaux, systèmes et applications)
 Les sanctions à prendre contre le manque de responsabilité.
Ce programme de sensibilisation doit être réactivé régulièrement.
 La violation de la politique sécurité et des procédures de sécurité de l'organisme
par des employés devra être traitée au moyen d’un processus disciplinaire et les
mesures correspondantes doivent être communiquées à tous les employés.

6- Sécurité physique et environnementale

 Il faut mettre des consignes claires à propos du fait manger, boire ou fumer dans
les locaux informatiques.
 Contrôler de manière globale le mouvement des visiteurs et des prestataires
occasionnels (signature de la personne visitée, etc.).
 Définir des procédures spécifiques de contrôle pour chaque type de prestataire
extérieur au service amené à intervenir dans les bureaux (sociétés de
maintenance, personnel de nettoyage, etc.) : port d'un badge spécifique, présence
d'un accompagnateur, autorisation préalable indiquant le nom de l'intervenant,…
 Faire une analyse systématique et exhaustive de toutes les voies possibles d'arrivée
d'eau et de tous les risques d'incendie et les risques environnementaux
envisageables et prendre des mesures en conséquence.
 Mettre en place des détecteurs d'humidité et des détecteurs d'eau à proximité de
salle machine qui doivent être reliés à un poste permanent de surveillance.
 Définir des procédures de gestion de crise en cas de long arrêt du système et de
permettre la reprise du fonctionnement au moins partiellement (favoriser
quelques machines sur d’autres).

62
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

7- Gestion des communications et de l’exploitation

 Etablir des procédures opérationnelles d'exploitation qui doivent être


documentées, maintenues à jour, rendues disponibles à toute personne en ayant
besoin et approuvées par les responsables concernés.
 Définir, au sein de l'exploitation des réseaux, des profils correspondant à chaque
type d'activité et attribuer les droits privilégiés nécessaires pour chaque profil.
 Etablir, contrôler et tester formellement des mesures de sécurité pour remédier
aux nouveaux risques avant mise en exploitation.
 Définir une politique afin de lutter contre les risques d’attaque par des codes
malveillants (virus, chevaux de Troie, vers,…).
 Définir une politique et des mesures de protection pour lutter contre des codes
exécutables (applets, contrôle ActiveX, etc.) non autorisés (blocage ou contrôle de
l’environnement dans lequel ces codes s’exécute, authentification de l’émetteur,...).
 Etablir une procédure garantissant, en cas de mise en rebut, la non divulgation des
informations sensibles jusqu’à la destruction de leur support.
 Etablir des documents définissant :
 Les règles générales à appliquer en ce qui concerne la protection des moyens et
supports de stockage, de traitement et de transport de l'information,
 Les règles à appliquer en ce qui concerne l’exploitation des ressources
informatiques (réseau, serveurs,..), des services de communication électronique
et des réseaux sans fil.
 Mettre en place un service de messagerie électronique chiffrée.
 Archiver tous les éléments ayant permis de détecter une anomalie ou un incident.

8- Contrôle d’accès

 Etablir une politique de gestion des droits d'accès aux zones de bureaux
s'appuyant sur une analyse préalable des exigences de sécurité, basées sur les
enjeux de l’activité.
63
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Les droits accordés aux utilisateurs dès leur enregistrement doivent être
approuvés par les propriétaires des ressources concernées.
 Contrôler strictement le processus d'attribution (ou modification ou retrait) de
droits privilégiés et d'autorisations d'accès à un individu.
 Le processus de création ou de modification d’un authentifiant pour les accès
internes doit respecter un ensemble de règles permettant d'avoir confiance dans sa
solidité intrinsèque.
 Effectuer un partitionnement du réseau local en domaines de sécurité
correspondant à des exigences de sécurité homogènes et à des espaces de
confiances à l’intérieur desquels les contrôles peuvent être adaptés.
 Les règles établissant les critères de connexion au réseau étendu doivent définir les
mesures de sécurité logique devant protéger les équipements de réseau et les
équipements de sécurité, et doivent préciser les filtrages à mettre en place pour
contrôler les accès entrant aussi bien que pour les accès sortant.
 Procéder régulièrement à une revue des connexions autorisées (standards et non
standards) et de leur pertinence pour le réseau local et étendu.
 Analyser la sensibilité des systèmes généraux pour mettre en évidence leurs
exigences de sécurité et en déduit des mesures d’isolement (physique et logique)
appropriées pour les serveurs ou équipements concernés.
 Dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence
d'échange après un délai défini, nécessitant une nouvelle identification –
authentification.

9- Développement et maintenance des systèmes

 Définir les liens permanents et les échanges de données devant être protégés par
des solutions de chiffrement et mis en place de telles solutions au niveau de réseau
étendu et local.

64
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Chiffrer les données sensibles contenues éventuellement sur le poste de travail ou


sur un disque logique de données partagées hébergé sur un serveur de données.
 La procédure et les mécanismes de conservation, de distribution et d’échange de
clés, et plus généralement la gestion des clés, doivent offrir des garanties de
solidité dignes de confiance, lors des échanges et d’accès distant sur le réseau local
et étendu.
 Mettre en place des procédures pour contrôler l’installation du logiciel sur les
systèmes en exploitation.
 Les installations, les matériels et les logiciels du système d'information ainsi que
ceux qui assurent la protection du système d'information et la fourniture des
services essentiels doivent être maintenus et testés régulièrement.

10- Gestion des incidents

 Les responsabilités et les procédures doivent être établies afin de fournir


rapidement des solutions effectives aux incidents de sécurité.
 Mettre en place un système de déclaration des incidents auprès des
correspondants du RSSI avec une synthèse de ces incidents transmise au RSSI.
 Le système de déclaration et de gestion des incidents doit inclure tous les incidents
(exploitation, développement, maintenance, utilisation de SI) physiques, logiques
ou organisationnels et les tentatives d’actions malveillantes ou non autorisées
n’ayant pas abouti.
 Définir des règles précisant les processus de reporting des incidents et des
anomalies constatées et les comportements adaptés.
 Chaque incident réseau (local et étendu) majeur doit faire l’objet d’un suivi
spécifique (nature de description, priorité, solutions techniques, études en
cours,...).

65
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

11- Gestion de la continuité d’activité

 Définir des processus, régulièrement mis en œuvre, d’analyse des risques, liés à
l’information, pouvant conduire à une interruption des activités de l’entreprise,
débouchant sur une définition des exigences de sécurité, des responsabilités, des
procédures à appliquer et moyens à mettre en œuvre afin de permettre
l’élaboration des plans de continuité.
 Analyser la criticité des différentes activités pour mettre en évidence les besoins de
continuité de service et déduire des plans de continuité d’activité pour chaque
activité critique.
 Ces plans doivent prévoir bien toutes les actions à entreprendre pour assurer la
continuité de l'activité entre l'alerte et la mise en œuvre éventuelle des solutions de
remplacement prévues par les plans de secours techniques.
 Ces plans doivent traiter tous les aspects organisationnels liés à la solution de
secours "manuel" (personnel, logistique, encadrement,...).
 Mettre en place une solution de secours pour pallier l’indisponibilité de tout
équipement ou de toute liaison critique du réseau étendu et local.
 Identifier précisément les scénarios de sinistre pouvant affecter l’ensemble du parc
des postes utilisateurs et analyser pour chaque scénario, ses conséquences en
termes de service rendus impossibles aux utilisateurs.

12- Conformité

 Toutes les exigences légales, réglementaires et contractuelles doivent être définies


explicitement et documentées pour le système informatique et son application par
l'organisation doit figurer dans un document tenu à jour.
 Procéder à des contrôles fréquents visant à vérifier que les logiciels installés sont
conformes aux logiciels déclarés ou qu’ils possèdent une licence en règle.
 Les opérations d'audit réalisées pour les données critiques doivent être
enregistrées.
66
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Définir et documenter les règles concernant les audits menés sur le réseau, les
procédures et les responsabilités associées.
 Les outils d'audit doivent être protégés afin d'éviter toute utilisation indue ou
malveillante. Ceci s'applique, en particulier, aux tests de pénétration et aux
évaluations de vulnérabilités.
 Les résultats d'audit doivent être protégés contre toute modification ou
divulgation.

13- Conclusion

Dans cette partie, j’ai proposé des recommandations que je juge nécessaires à
mettre en œuvre pour améliorer la sécurité du système d’information du MTIC en se
basant sur la norme 27002. Dans la partie suivante, je vais aborder l’aspect
technique.

67
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Chapitre VI :

Recommandations
techniques

68
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1- Introduction

Après avoir terminé l’évaluation technique, Les outils de scan et les tests
techniques effectués ont permis de déceler des failles de sécurité et des vulnérabilités
des différents composant du système d’information.
Par la suite, je vais proposer des recommandations techniques à mettre en œuvre
pour pallier les insuffisances et les défaillances détectées.

2- Recommandations

Les recommandations sont les suivantes :


 Utiliser SSH au lieu de Telnet pour l’administration à distance des équipements
réseaux et sécurité et pour empêcher l’interception des données.
 Désactiver ou fermer les services réseaux inutiles et surtout SNMP sur les
équipements critiques (FW, Routeurs, Serveurs,…).
 Mettre en place une solution de gestion centralisée des mises à jour (WSUS) afin
de minimiser les bugs et les failles de sécurité et de vérifier que les mises à jour
sont bien installées.
 Attribution des mots de passe au niveau de bios sur les machines sensibles afin de
protéger contre les accès physiques.
 Utiliser des certificats numériques pour crypter et signer les messages.
 Prévoir des matériels redondants pour les équipements critiques (les serveurs en
exploitation, Routeurs,...).
 Prévoir des matériels de remplacement en cas de panne d’un composant
essentiels.
 Prévoir des cycles de formation pour l’équipe informatique sur les aspects :
 Sécurité des systèmes d’exploitation.
 Sécurité réseaux et système de gestion de BD.
 Prévoir des cycles de sensibilisation pour les utilisateurs pour qu’ils tiennent
compte de l’importance de la sécurité et l’impact de l’insécurité.
69
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Effectuer des tests de récupération et de restauration des systèmes et des données


comme s’il y a eu d’incident.

 Au niveau Firewall
 Effectuer un enregistrement détaillé de toutes les traces de connexions qui sont
bloquées ou passées par le firewall.
 Etablir des statistiques sur l’usage du Firewall.
 Vérification des derniers patchs et mises à jour de manière régulière et
automatiquement à partir du site du constructeur.
 Etablir un rapport d'audit à long terme présentant l'historique des incidents
survenus au niveau du firewall.
 Définir un document ou une spécification des règles de filtrage contenant une
description de l’utilité de chaque filtre/règle.
 Définir un document précisant la configuration du Firewall et le suivi des
modifications de cette configuration.
 Au niveau Routeur
 Etablir une procédure documentée pour le backup des configurations du routeur.
 Toutes les modifications de configuration des routeurs doivent être documentés et
conservés dans un endroit sécurisé afin d’assurer la continuité de travail.
 Enregistrement de toute tentative refusée à n’importe quel port, protocole ou
service.
 Assurer le contrôle, la vérification et l’archivage des logs en concordance avec la
politique locale.
 Mettre à jour l’IOS à chaque publication d’une nouvelle version.
 Politique d’usage de mots de passe
 Veillez à ce que tous les mots de passe surtout des serveurs et des équipements
réseaux et sécurité soient des mots de passe robustes et les changer régulièrement.

70
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Une bonne politique de sécurisation des accès par mot de passe consiste également
en la définition d'un délai d'expiration du mot de passe. Il est par exemple possible
de définir le renouvellement des mots de passe par période de 15, 30 ou 45 jours.
 Ne divulguez jamais un mot de passe et surtout pas en l'envoyant par courrier
électronique.
 Évitez de noter le mot de passe quelque part ou de le laisser exposé (sur écran,
sous le clavier, dans un fichier non protégé, ...).
 Proposer des changements réguliers tout en bloquant la possibilité d'utiliser des
mots de passe déjà employés.
 Définir la fréquence des audits afin de s'assurer que la politique est bien respectée.
Des outils tels que LophtCrack, John the Ripper ou Crack permettent de contrôler
régulièrement la robustesse des mots de passe.

 Politique de sauvegarde
 Mettre en place une stratégie de sauvegarde et de restitution des données
formellement décrite et de vérifier le bon fonctionnement des supports de
sauvegarde après chaque cycle de ce dernier.
 Procéder régulièrement à la vérification des sauvegardes en procédant à des essais
de restauration des données sauvegardées.
 Sensibiliser régulièrement le personnel de l’importance de sauvegarde.
 Procéder à une sauvegarde système, des journaux et sauvegarde des
configurations des équipements réseaux.
 Mettre en place un plan de sauvegarde couvrant l’ensemble des configurations des
réseaux définissant les objets à sauvegarder et la fréquence des sauvegardes.
 Les accès aux systèmes doivent être journalisées avec si possible et au minimum
l'identité de l'utilisateur, le système concerné, la date et l'heure de l'accès.

71
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

3- Solution proposée
3.1- Déploiement complet d’Active directory (Annexe 4)
L’objectif principal d’Active Directory est de fournir des services centralisés
d’identification et d’authentification à un réseau d’ordinateurs utilisant le système
Windows. Il permet également l’attribution et l’application de stratégies, la distribution
des logiciels, et l’installation de mise à jour critique par les administrateurs.(5)
Active Directory répertorie les éléments d’un réseau administré tels que les
comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les
imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées,
et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de
distribution, de duplication, de partitionnement et de sécurisation des accès aux
ressources répertoriées.
3.2- Windows Server Update Services

Windows Server Update Services (WSUS) est un service permettant de distribuer


les mises à jour de Windows et d'autres applications Microsoft sur les différentes
machines Windows d'un parc informatique. WSUS est un serveur de mises à jour local
(ou proxy de mises à jour) qui se synchronise avec le site public Microsoft Update et
permet de contrôler la diffusion des mises à jour dans le parc. Par défaut chaque
machine Windows faisant ses mises à jour, va les chercher sur le site officiel, ce qui
demande beaucoup de bande passante sur un parc avec de nombreuses machines.
3.3- Deuxième Switch HP Procurve

Actuellement on se retrouve avec un seul Switch L3, au cas où ce dernier tombe


en panne, on peut dire qu’il n’y aura pas de production. De ce fait, je propose de mettre
un deuxième Switch HP Procurve 5406zl pour faire de la redondance.
Concernant la configuration, je propose d’implémenter une agrégation de liens
(Port Trunking), c’est une notion de réseau informatique décrivant l'utilisation de
plusieurs câbles ou ports réseau afin d'accroître le débit d'un lien au-delà des limites
d'un seul lien, ainsi que d'accroître la redondance pour une meilleure disponibilité.
72
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Evidement, avant d’implémenter cette méthode, il faut activer le Spanning Tree


(STP) pour éviter d’avoir une boucle.

3.4- Nouvelle architecture

Enfin, suite aux recommandations précédentes et solutions proposées, je


propose une nouvelle architecture du réseau plus sécurisé et plus fiable :

Figure 28:Nouvelle architecture sécurisée

4- Conclusion

J’ai proposé dans ce chapitre des recommandations sur le plan technique à fin de
minimiser le risque d’exploitation des vulnérabilités du réseau et de protéger les
différents équipements pour assurer une continuité et une disponibilité complète.

73
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Conclusion Générale

74
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

L’objectif de lancement de notre mission d’audit était d’évaluer le niveau de


maturité du SI du MTIC et de dégager les déviations par rapport aux normes de
sécurité surtout la norme ISO 27002.
A travers cet audit, nous étions en contact direct avec les responsables du MTIC
et nous avons essayé de communiquer avec eux et d’échanger les connaissances pour
réussir l'étape de l'audit organisationnel et physique et nous avons pu travailler avec
différents outils destinés au recensement des failles et des vulnérabilités du système
audité afin d'expertiser l'étape de l'audit technique.
Nous avons essayé de couvrir le maximum d’aspects pendant la période de cette
mission, nous avons évalué le niveau de maturité des différentes clauses qui définissent
la sécurité organisationnelle et physique, puis l’audit s’est concentré sur les aspects
techniques.
Pour l’audit technique nous avons étudié l’architecture du réseau informatique
ainsi que les différents équipements critiques. Nous avons aussi consacré une bonne
partie de cet audit pour étudier les différents systèmes applicatifs tel que le service
messagerie ou le SGBD vu leur importance dans le SI du MTIC.
Nous avons détaillé, examiné et classifié les failles trouvées, pour enfin proposer
différentes recommandations couvrant les domaines étudiés, et nous avons élaboré un
plan d’action permettant à l’organisme d’atteindre ses objectifs et améliorer la façon de
gérer son SI.
Le plan d’action proposé détaille les mesures nécessaires pour améliorer la qualité
de la sécurité du SI, en précisant les objectifs à atteindre et les indicateurs de suivi qui
permettent d’évaluer la réussite des mesures prises. Nous avons aussi proposé quelques
solutions commerciales et gratuites permettant d’aider les responsables à améliorer la
façon de gérer le SI surtout la partie concernant le réseau informatique.
Nous devons signaler que les responsables du MTIC seront les principaux joueurs et
décideurs en ce qui concerne les estimations financières et l’organisation des ressources
humaines impliquées dans l’exécution de ce plan d’action vu leur méthodologie de

75
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

travail et les procédures administratives à respecter. Notre rôle est principalement de


les aider à évaluer leur SI et de proposer les mesures nécessaires.
Il est à noter qu’un effort considérable a été déjà fait au sein du MTIC pour
améliorer la qualité du SI dans un monde technologique évoluant à la vitesse de la
lumière, mais d’autres mesures peuvent être prises ou planifiées pour atteindre un seuil
de robustesse honorable.

La valeur que présente le MTIC dans le domaine des télécommunications et les


nouvelles technologies en Tunisie l’invite à continuer les efforts pour donner l’exemple
aux autres organismes à l’échelle nationale et internationale et rester toujours un
modèle et une référence pour les autres.
Aujourd’hui, l’effet de la réflexion humaine est de plus en plus important dans le
domaine de la sécurité, ce qui laisse les spécialistes en sécurité affirmer que "La sécurité
c’est 75% de savoir être et de savoir-faire et 25% de matériel ", atteindre ses objectifs en
matière de sécurité dépend essentiellement du facteur humain et de la culture de
l’organisme.
L’effort qu’exige le sujet de la sécurité n’a jamais été périodique ou temporaire,
mais c’est un effort continu qui doit dépasser le fait de prendre des mesures pendant
une période limitée pour devenir une approche à long terme et une vraie culture
inculquée dans les bonnes habitudes des individus et des organismes concernés.

76
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Bibliographie

77
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1 :http://www.pommef.com/audit-informatique-Macintosh-paris.html
2 :http://users.polytech.unice.fr/~hugues/GL/Norme/norme.html
3 :http://www.blog.saeeed.com/2012/11/implementation-et-mise-en-oeuvre-de-la-
norme-iso-cei-27001/
4 :http://cisco.goffinet.org/s2/methode_diagnostic#.UpXKE9JHR-s
5 :http://www.arkeia.com/fr/products/arkeia-network-backup/backup-
agent/directory-server-agents/active-directory-agent
6 : http://www.ansi.tn/fr/presentation_agence/cadre_juridique.html

7 : http://nmap.org/

8 :http://www.ehacking.net/p/backtrack-5-tutorial.html

9 : http://www.networkview.com

10 :http://www.cyber-

infos.net/modules.php?name=Forums&file=viewtopic&t=59&view=previous

11 :http://www.securiteinfo.com/conseils/portstroyens.shtml

12 :http://forum.cigiema.fr/t235-Les-Ports-Reseaux.html

http://www.nessus.org/products/nessus

78
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Annexes

79
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Annexe 1 : Questionnaire conforme aux exigences de la


Norme 27002

1. Politique de sécurité de l’information


Y a-t-il une politique de sécurité écrite et disponible pour tout le personnel ? N (en
cours)
La politique de sécurité spécifie t elle clairement les objectifs de sécurité de N
l’organisme, ainsi que des mesures de révision ?
Cette politique de sécurité est-elle revue à intervalles réguliers ou lors du N
changement significatifs, afin d’assurer le maintien de sa pertinence et de
son efficacité ?
Quelles sont les règles et principes de sécurité qui figurent dans la politique N
de sécurité : Charte de sécurité, procédures……….
est-ce que la politique de sécurité a été élaborée en tenant compte du N
principe avantages/coûts ?
Est-ce que cette politique fait référence à des documents qui aident dans la N
compréhension et le respect de cette dernière ?
La politique de sécurité de l’organisme définie t-elle : N
 une structure en charge de la définition de la politique de sécurité
des
systèmes d’information ainsi que de sa mise en place ?
 un plan de continuité d’exercice, une éducation aux exigences de
sécurité et
aux risques de sécurité, les conséquences d’une violation des règles
de sécurité ainsi que les responsabilités des incidents de sécurité ?
 une structure chargée de l’évaluation des risques et de leurs gestions
?
 des principes de sécurité de l'information tel qu’ils soient conforment
à la
stratégie d'affaires et aux objectifs de l’organisme ?

Etablit-on annuellement un plan de sécurité des systèmes d’information N
regroupant l’ensemble des plans d’action, moyens à mettre en œuvre,
planning, budget ?
La politique de sécurité bénéficie t elle de l’appuie de la direction générale ? N
Est-ce que cette politique est publiée et communiquée : N
 Aux employés
 Aux tiers
Est-ce que cette politique a un propriétaire qui est responsable de sa revue N
et maintenance selon un processus prédéfini ?

80
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Est-ce que le processus de revue est déclenché suite à des changements N


affectent le recensement du risque tel que :
 Des incidents de sécurité grave
 Nouvelle vulnérabilités
 Changement dans l’organigramme
 Inefficacité des mesures mises en place
 Evolutions technologiques
L’organisation et la gestion de la sécurité sont-elles formalisées dans un N
document chapeau couvrant l’ensemble du domaine pour le projet ?
Une démarche de certification iso 27002 a-t-elle été prévue pour le projet ? N
2. Organisation de la sécurité de l’information
Quelles sont les fonctions définies dans la politique de sécurité ? N
 Directeur responsable de la sécurité générale
 Responsable spécialiste de la sécurité physique
 Responsable spécialiste de la sécurité fonctionnelle et informatique
Les objectifs de sécurité sont ils identifiés, intégrés à la politique globale de N
l’organisme, et sont ils en concordance avec les objectifs de l’organisme ?
Les règles de sécurité précisent t-elles une définition claire des tâches, rôles N
spécifiques affectation des responsables de sécurité de l’information ?
Existe t-il une coordination de l’exécution des tâches de sécurité des O
différentes entités en charge de la sécurité de l’information au sein
l’organisme ?
Les informations confidentielles à protéger sont elles identifiées ? N
Existe t-il une politique de révision et de documentation de la politique N
d’organisation de la sécurité en vue de la mettre à jour ou à niveau ?
Existe-il un comité de sécurité du SI ? N (en
cours)
Existe-il un RSSI dans le site, avec une fiche de poste, ainsi qu’une O
délégation formelle mentionnant ses attributions et ses moyens d’actions ?
L’entreprise entretien t elle des relations en cas de besoin avec : O
 Des spécialistes indépendants
 Des partenaires
 Des autorités publiques
 Aucune relation
L’entreprise entretien t elle des relations en cas de besoin avec : O
 Audit externe
 Audit interne
 Aucun
L’entreprise dispose t elle d’un mécanisme qui permet : N
 D’identifier les accès
 De classer les accès
 De savoir les raisons d’accès

81
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Aucun
Y a-t-il un contrat qui stipule les conditions d’accès et les recours en cas de O
panne lors des accès par des tiers ou des sous traitants ?
Les risques dus aux effets externes sont ils identifiés ? N
En cas d’externalisation l’entreprise précise t elle dans un contrat les clauses N
relatives à :
 La sécurité des valeurs de l’organisation
 La sécurité physique
 L’existence d’un plan de secours
 Aucun
Avez-vous appliqué une démarche méthodologique d’analyse et de gestion N
des risques SSI ?
L’organisation de la sécurité est-elle formalisée dans un document ? N
Une politique de confidentialité a-t-elle été élaborée dans le cadre de ce N
projet ?
Des révisions périodiques de la mise en œuvre de la gestion de la sécurité N
sont-elles prévues ?
3. Gestion des biens
Existe-t-il un inventaire des biens du projet ? O
Existe-t-il une classification des biens par rapport à leurs critères de N
sensibilité (en termes de disponibilité, d’intégrité et de confidentialité) ?
Les actifs de l’organisme sont ils identifiés répertoriés ? O
Est-ce qu’on a prévu une classification des informations selon leur N
importance ?
A chaque actif est-il associé un propriétaire qui doit en assurer également la O
responsabilité ?
Quelles sont les valeurs critiques de l’entreprise ? - Donnée
 Les personnes s
 Le matériel - Service
 Les logiciels s
 Les données - Matérie
 Les services ls
 Les sous réseaux
 L’image de marque et réputation
L’entreprise procède t elle régulièrement à un inventaire de ces avoirs ? O
Existe-il des fiches concernant les mouvements ? O
(date d’entrée, date de sortie, date de mouvement, destination, provenance)
Les informations sensibles bénéficient elles des procédures définissant leurs N
conservations ou destruction ?
Le matériel informatique est-il inventorié par un élément identifiable et O
unique ? (ex : n° de série ?
Le matériel en prêt est-il clairement identifié sur l’inventaire ? (nom de la O

82
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

personne ayant fait l’emprunt)


Existe-t-il un stock inventorié d’équipements et de pièces détachées de N
secours ?
Les logiciels installés ont-ils tous une licence d’acquisition ? N
Contrôlez-vous si des logiciels autres que ceux de votre inventaire sont N
installés ? (logiciels pirates)
Est-ce qu’il y a un responsable de la bonne tenue des inventaires ? O
Existe-il des règles d’utilisation des biens et des services d’information ? N
Existe-il une procédure pour la dé-classification des biens d’information ? N
Existe-il des procédures de manipulation des biens d’infirmation par des N
personnes externes à l’organisation ?
4. Sécurité liée aux ressources humaines
Le contrat employeur employé tient il compte des responsabilités de N
l’employé vis-à-vis de la sécurité de l’organisme ?
L’organisme s’accorde t-il les moyens de vérifier l’authenticité et la véracité O
des diplômes et documents fournis par les potentiels futurs employés ?
Le personnel est il informé de ces responsabilités vis-à-vis de la sécurité des N
actifs :
 Avant l’embauche,
 Pendant la période de son exercice,
 Après remerciement ?
Y a t il une politique de rotation du personnel occupant des taches clefs ? N
Existe-t-il des sessions d’information du personnel sur la sécurité des O
systèmes d’information de l’organisme ?
Le responsable de sécurité est il formé aux nouvelles technologies ? O
Est-ce que le personnel a signé un document de confidentialité des N
informations lors de l’embauche ?
Existe-t-il des procédures disciplinaires pour les employés sources de failles N
de sécurité ?
Y a-t-il une procédure de revue de ce document, surtout en cas de départ ou N
une fin de contrat ?
Est-ce que les sous traitants ou le personnel contractuel a signé un N
document pareil ?
Est-ce que tout le personnel est informé vers qui et comment rendre compte N
des incidents de sécurité ?
Y a-t-il une procédure d’apprentissage des accidents et des failles de N
sécurité ?
A-t-on organisé régulièrement des tests pour vérifier le degré d’assimilation N
du personnel de la politique de sécurité ainsi que sa culture en
informatique.
5. Sécurité physique et environnementale
La situation géographique de l’organisme tient elle compte des risques O

83
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

naturels ou industriels ?
Le câblage électrique est il conforme aux règles de sécurité ? O
Est-ce qu’une analyse de risque a été effectuée pour évaluer la sécurité O
physique de la société ?
Parmi ces procédures quels sont ceux qui figurent dans la protection - Limitat
physique des locaux : ion
 Contrôles des portes d’entrée d’accès
 Clôtures hautes
 Attribution des badges
 Contrôle à la sortie
 Caméra de surveillance
 Limitation d’accès
Est-ce que des mesures de sécurité particulière ont été instaurées pour le N
centre informatique ? (si oui commenter...)
Par
badge………………………………………………………………………………
………………………………….
Y a-t-il une réglementation spéciale contre le fait de fumer, boire, et manger N
dans les locaux informatiques ?
Existe-il une protection de câblage informatique et de télécommunication à O
l’égard des risques électrique ? (variation de tension…)
Les équipements acquis suivent ils une politique de maintenance ? N
Existe-t-il un système de protection contre les coupures et les micros O
coupures ? -
Si oui Onduleu
lesquels ?.............................................Onduleurs………………………………… rs
… - Groupe
électrogè
ne
Existe-t-il un système de climatisation conforme aux recommandations du O
constructeur ?
Existe-t-il un groupe électrogène pour les coupures de longue durée ? O
Y a-t-il une procédure de crise en cas de long arrêt ? (favoriser quelques N
machines sur d’autres…)
Quelles mesures de sécurité contre l’incendie figurent parmi ces mesures :
 Existence d’un système de détection automatique d’incendie pour
l’ensemble de bâtiment
 Existence d’un système d’extinction automatique pour les salles
d’ordinateur
 Existence d’extincteurs mobiles
 Existence des meubles réfractaires pour le stockage des documents et
des supports informatique vitaux

84
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Formation et information du personnel


 Visite des pompiers pour prendre connaissance de la configuration
des locaux
A-t-on prévu des systèmes d’évacuation en cas d’incendie ? O
Est-ce que vous êtes assuré que l’eau ne peut envahir les locaux ? O
Est-ce qu’un système de détection d’eau est instauré ? N
Est-ce qu’un système d’évacuation d’eau est instauré ? N
Existe-t-il une documentation liée à la sécurité physique et N
environnementale ?
6. Gestion des communications et de l’exploitation
Est-ce qu’il y a des procédures formelles pour les opérations d’exploitation : N
backup, maintenance et utilisation des équipements et des logiciels ?
Existe-t-il une distinction entre les phases de développement, de test et N
d’intégration d‘applications ?
Existe-t-il une protection contre les codes malicieux (malveillants) (virus, O
vers, cheval de Troie,….) ainsi qu’une mise à jour périodique et constante
de ces derniers ?
Est-ce qu’il y a des procédures formelles pour la prévention contre la N
détection et la prévention contre les logiciels malicieux ?
Y a-t-il une procédure définie pour la gestion des incidents ? N
Est-ce que le backup est périodiquement effectué ? O
Est-ce qu’il y a des recommandations écrites interdisant : l’utilisation des N
logiciels sans licence et le non respect des droits d’auteur ?
Y a-t-il des procédures écrites pour la gestion des supports détachables ? N
Y a-t-il une politique précise pour se débarrasser des documents ? N
Y a-t-il une politique de sécurité pour email ? N
Existe-t-il un système antiviral contre les virus et les vers ? O
Est-ce que l’antivirus est régulièrement mis à jour ? O
Existe-t-il une mise à jour contre les programmes malveillants ? O
L’échange d’infirmations sur le réseau ainsi que les transactions en ligne O
sont elles sécurisée ?
Avec quel mécanisme de sécurité ? - Certifi
Droit d’accès cat
Numér
ique
- Protoc
ole
SSL
Existe-t-il une DMZ qui se distingue parfaitement du réseau interne de O
l’organisme ?
7. Contrôle d’accès
A-t-on prévu de protection logique pour les ressources informationnelles O

85
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

vitales ?
Les accès aux locaux (sensibles ou pas) sont ils contrôlés, enregistrés et O
analysés à travers des logs ?
Existe-t-il une politique qui hiérarchise les autorisations d’accès ? N
Un ancien employé perd t-il ces droits d’accès aux locaux et aux O
informations
sensibles de l’organisme ?
L’accès distant (logique) au réseau informatique est-il protégé ? Par quel O
équipement ou outil ou mécanisme ?
L’accès au système est il contrôlé par un dispositif d’identification et N
d’authentification ?
Existe-t-il un dispositif de revue des droits d’accès à des intervalles N
réguliers ?
Est-ce que les terminaux sensibles sont équipés d’un économiseur d’écran O
avec mot de passe ?
Est-ce que les utilisateurs verrouillent leur session de travail avant de ?
quitter leur poste de travail même pour quelques instants ?
Les mots de passe sont-ils affectés individuellement ? O
Y a-t-il des conditions à respecter lors du choix des mots de passe (ex : min N
6 caractères…) ?
Un ancien employé perd t-il ces droits d’accès aux informations et locaux ? O
Y a-t-il une suite aux tentatives d’accès infructueuses ? O
A- t-on prévu des limitations contre : N
 L’utilisation des applications
 Le téléchargement d’application
 L’utilisation des disquettes, CD…
8. Développement et maintenance des systèmes
Existe-t-il des procédures de validation des changements réalisés sur les N
programmes ?
La garantie de la confidentialité, l’authenticité et l’intégrité de l’information O
s’effectue-t-elle au moyen de signature électronique ou de cryptographie ?
La sécurité de la documentation du système d’information est elle assurée ? N
Est-ce que les programmes sont contrôles contre les portes dérobés et O
chevaux de trois ?
Existe-t-il des procédures de contrôle pour les logiciels développés en sous- N
traitance ?
S’assure-t-on que l’équipement à acquérir répondra aux besoins exprimé ? O
S’assure-t-on de la non régression de service lors du développement ou de N
l’intégration des nouveaux services ?
Existe-t-il une politique de maintenance périodique et assidue des N
équipements ?
9. Gestion des incidents

86
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Existe-t-il une politique de gestion des incidents ? N


Les potentielles faiblesses descellées font elles objet de rapport complet et N
détaillé ?
La résolution des incidents se fait elle de façon cohérente ? N
Existe-t-il un rapport détaillé des incidents qui surviennent ? N
Existe-t-il une politique de réparation des responsabilités en cas d’incident ? N
Les actions à entreprendre pour la résolution des incidents sont elles N
définies ?
Les employés sont ils informés du comportement à avoir en cas d’incident ? N
10. Gestion de la continuité d’activité
Est-ce que l’organisme a développé un plan de secours ? N
Existe-t-il un plan stratégique basé sur une analyse du risque détaillant le N
plan d’urgence ?
Les données sauvegardées sont-elles mise à jour périodiquement ? O
Est il défini des critères spécifiant les ayant accès à ces données ? O
Existe-t-il une politique de sauvegarde d’autres actifs de l’organisme ? N
Existe t-il une (des) alarme(s) pour l’avertissement lors d’accès aux actifs N
sensibles en dehors des heures de travail ou en cas d’accès non autorisés?
Y a-t-il des plans écrits et implémentés pour restaurer les activités et N
services en cas de problèmes ?
Existe-t-il des mesures de sauvegarde des actifs (données sensibles), ainsi O
que de leur protection ?
Si oui sur quel support ? O
Disque, CD
En cas de changement d’équipe de travail, la continuité de service est elle O
assurée ?
Est-ce que les plans sont testés et maintenus par des revues régulières ? N
11. Conformité
Est-ce que chaque système d’information les exigences légales, N
réglementaires et contractuelles sont explicitement définies et documentés ?
Existe-t-il un contrôle de la conformité technique ? N
Les règles de sécurité appliquées restent elles conforment à une norme N
particulière ?
Existe-t-il une procédure définissant une bonne utilisation des technologies N
de
l’information par le personnel ?
Est-ce que des procédures sont mises en place pour s’assurer du respect de N
la propriété intellectuelle ?
Est-ce que les enregistrements importants de l’organisme sont protégés de O
la perte, la destruction et falsification ?
Est-ce que l’entreprise est conforme aux lois en vigueur concernant le O
chiffrement ?

87
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Les logicielles utilisées bénéficient ils de licence d’exploitation ? O


Les règles de sécurité appliquées restent elles conforment à la législation en O
vigueur ?
Existe-il une procédure d’audit interne et régulier de l’organisme ? O
Les règles de sécurité appliquées restent elles conforment à une norme N
particulière ?
Le droit à la propriété intellectuelle et la protection des données N
personnelles sont-ils préservés ?
Les audits externes sont-ils effectués et planifiés périodiquement ? O

88
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Annexe 2 : check List Firewall

Marque et Modèle: StoneGate FW-1030/StoneGateFW-1050

Sécurité physique des équipements


Existe-t-il une politique de contrôle d’accès physique pour le firewall ? O
Administration
Existe-t-il une politique d’authentification forte au niveau d’ouverture O
de session sur le firewall ?
Quelle type de configuration utilisée pour le firewall (port console, Logiciel
telnet, ssh, http, https..) ? client+
SSH
L’interface d’administration est-t-il facile à utiliser ? O
L’interface d’administration est-t-il sécurisé par mot de passe ? O
La configuration est elle sauvegardée à chaque modification ? O
Patchs et Mise à jour
Qu’elle est la version du firewall ? 5.1.4/5.2.7
Qu’elle est la date de la dernière mise à jour ? 26/04/2013
Existe-t-il un suivi des mises à jour ? O
Les règles de filtrage
Existe-t-il un document ou une spécification des règles de filtrage O
précisant la politique de sécurité implanté (description de chaque
filtre/règle) ?
Existe-t-il une vérification et validation des règles de filtrage O
périodiquement ?
Les rapports de suivi et des tests de filtrage sont-ils archivés ? O
Spécifier les critères que peut le firewall filtrer : adresse IP source, TOUS
adresse IP destination, protocole, service, port, adresse Mac source,
adresse Mac destination
Y a-t-il une règle bloquante des requêtes ICMP echo ? O
La gestion des logs
Est-ce que les logs sont activés au niveau firewall ? O
Les logs sont ils révisées et analysés ? O
L’administration est elle informée en temps réel par les événements les N
plus critiques ?
Existe-t-il un serveur dédié au traitement et à l’archivage des logs du O
firewall ?
Est-ce que toutes les traces de connexions qui sont bloquées ou passé O
par le firewall sont enregistrées en détail ?
Le firewall a-t-il la capacité de générer des rapports ? O

89
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Existe-t-il des statistiques sur l’usage du firewall ? O


Evaluation/ test de vulnérabilité
Existe-t-il une procédure de test des vulnérabilités du firewall N
(périodique) ainsi que des essais de test de pénétration (résistance du
système face aux attaques) ?
Existe-t-il un rapport qui présente l’historique des incidents survenus N
au niveau du firewall (crash, violation des ACLs…)
Disponibilité
Y a-t-il un secours automatique pour le FW primaire ? O
Le groupement de firewall assure t-il la haute disponibilité et O
répartition de charge ?
Le firewall est-il ondulé ? O

Annexe 3 : check List Routeur

Marque et modèle: Cisco 2850

Existe-il une politique de sécurité d’un routeur ? O


Les mesures de sécurité de bases forte au niveau d’ouverture de session sur O
le routeur ?
Existe-il une sécurisation des accès administratifs à distances des routeurs ? O
Qu’elle est la version du routeur ? 12.4
(12a)
Qu’elle est la date de la dernière mise à jour ? Il y a
une
année
Existe-il un suivi des mises à jour ? N

90
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Annexe 4 : Installation et déploiement complet d’Active


Directory

Je partirai du principe que le Windows server 2008 a été bien installé et allons
donc poursuivre dans ce sens.
 Commencez par démarrer votre serveur et connectez-vous-y en tant
qu’Administrateur
 Démarrer le gestionnaire de serveur

 Cliquez sur le nœud Rôles (1) puis sur Ajouter des rôles (2)

91
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 L’assistant d’ajout de rôles apparait…. cliquez sur Suivant


 Sélectionnez Services de domaine Active Directory

 L’assistant vous propose d’ajouter les fonctionnalités du .NET Framework


3.5.1… acceptez l’ajout en cliquant sur Ajouter les fonctionnalités requises

92
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 La case Services de domaine Active Directory est bien cochée… cliquez sur Suivant
 Cliquez sur Suivant
 Une fenêtre de récapitulatif apparait, vérifiez vos paramètres et cliquez sur Installer

 L’assistant d’ajout de rôle a bien installé les services de rôle mais le serveur n’est pas
pour autant passer en contrôleur de domaine.
Pour cela, nous devons cliquez sur: lancez l’assistant Installation des services de
domaine Active Directory (dcpromo.exe)

93
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Cliquer sur services de domaine Active directory

 Cliquer sur Exécuter l’assistant Installation des services de domaine Active


Directory (dcpromo.exe).

 Cochez la case Utiliser l’installation en mode avancé et cliquez sur Suivant

94
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 N’ayant actuellement aucun domaine, cochez la case Créer un domaine dans une
nouvelle forêt (1) afin de créer ce dernier, ensuite cliquez sur Suivant (2).
 Attention toutefois à ne pas créer un nouveau domaine dans une nouvelle forêt si
vous êtes déjà dans un domaine.
Le risque étant de tout lessiver sur votre domaine existant

 On insert un nom et le système vérifie si il existe ou non


 Définissez votre nom de domaine (1) puis cliquez sur Suivant (2)
Dans le cadre de ce tutoriel, j’utiliserai MTIC.tn

95
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Nous allons en profiter pour ajouter le rôle de serveur DNS à notre serveur
 Si elle ne l’est pas, cochez la case Serveur DNS puis cliquez sur Suivant

96
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Paramétrage d’adresse IP

 Cliquez sur OUI

97
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Nous conserverons les options par défaut, cliquez sur Suivant

 Entrez votre mot de passe de restauration puis Suivant

98
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Voici le récapitulatif de vos paramètres, cliquez sur Suivant


 L’installation est en cours….. Patientez un moment
 L’installation est maintenant achevée, cliquez sur Terminer

 Redémarrez le serveur pour prendre en compte les modifications

Installation de serveur supplémentaire active directory

 On va ajouter un contrôleur de domaine à un domaine existant

99
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 On va indiquer le nom de serveur primaire Active Directory

 On va sélectionner le domaine pour ce contrôleur de domaine


supplémentaire « MTIC.TN »

100
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 On va sélectionner le site pour le nouveau contrôleur de domaine qui est


« Default-First-Site-Name »

 Coucher les 2 premières lignes

101
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 On va coucher « utiliser ce contrôleur de domaine spécifique »

 Cliquez suivant

 Tapez le mot de passe de restauration

102
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Cliquez sur suivant


 En attente de fin de l’installation du service

 Vérification pour déterminer si la console de gestion des stratégies de groupe


doit être installée

103
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Modification pour cet ordinateur de l’appartenance au domaine

 Recherche d’un contrôleur de domaine pour le domaine MTIC.TN qui contient le


compte SRVAD1

 Un contrôleur de domaine SRVAD2.MTIC.TN a été trouvé pour le domaine


MTIC.TN

 Analyse d’une forêt existante

104
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Réplication en cours de la partition d’annuaire de schéma

 Réplication des informations critiques de domaine

 La racine de nom d’ordinateur DNS de l’ordinateur est fixée à MTIC.TN

 Définition de la sécurité sur le contrôleur de domaine.des fichiers Active


Directory et des clés du Registre.

105
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Protection de c:\windows\systeme32\spool

 Protection de SamSs

 Protection de kerberos

106
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Installation terminé

 Redémarrage de l’ordinateur

107
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Les tests

 On va créer un nouveau utilisateur, cliqué sur BSI-nouveau-utilisateur

 On va remplir le formulaire

 On va créer un mot de passe pour le compte de nouveau utilisateur

 Le mot de passe doit etre de haute compléxité

108
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 On créer deux comptes des nouveaux utilisateurs

 Le serveur DNS fonction convenablement .il peut résoudre dans les deux sens
du nom BIOS à l’@ IP et de l’@ IP au nom BIOS

*Création de stratégie de groupe


 Cliquer sur BSI

109
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

 Cliquer sur créer un objet GPO dans ce domaine…

 Nommer la nouvelle stratégie ‘régle-pc’

*Configuration de stratégie de groupe :

 Clique droite sur « Régle-pc » puis « Modifier »

110
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

*Empêcher l’accès au panneau de configuration :

 Cliquer sur « Configuration utilisateur-stratégies-modèles administration-


panneau de configuration »

On va coucher « activé » pour activer l’empechement de l’accés au pannau de


configuration

111
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Résultat : imprime écran de l’ordinateur de l’utilisateur « ayari amani »


-avant l’application de la stratégie

-après que la stratégie est appliquée

**Empêcher l’accès au Gestionnaire des tâches


 Cliquer sur « configuration utilisateur-stratégies-système-option Ctrl-Alt-Suppr –
Supprimer le Gestionnaire des tâches.

112
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Résultat :
-avant -après : icône désactivé

***interdiction de l’utilisation du support amovible :

113
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

Résultat :
-avant

-après
Message d’erreur « F:\ n’est pas accessible » et « Accès refusé »

114