Académique Documents
Professionnel Documents
Culture Documents
Exemple Frap PDF
Exemple Frap PDF
Le présent document est un extrait d’un rapport d’Audit et de FRAP réalisés pour le
compte d’un PMI du Nord Vaucluse. Ce document est issu d’un rapport authentique
et permet d’avoir une première approche, certes incomplète, mais suffisante de ce
type de document.
Afin de préserver l’anonymat de la société réelle, tous les noms et toutes les
références ont été volontairement modifiés.
La version ci-après est extraite de la version finale remise à l’entreprise lors d’un
audit externe visant à faire un état des lieux de son réseau et de la sécurité
associée.
2. Diffusion
3. Mission
4.1 Entreprise
4.1.1 Général
4.1.2 Organisation
4.1.4 Informatique
4.1.4.1 MATERIEL
; 1 Serveur micro-ordinateur de type PC à base de Pentium III (500 Mhz) et
streamer de sauvegarde (sur DAT 500) dans le bureau d’accueil
; Parc de 8 micros-ordinateurs de type PC à base de Pentium III (350 à 500
Mhz) dans les bureaux
; 1 micro-ordinateur de type PC à base de Pentium IV à 900 Mhz
; 1 micro-ordinateur de type PC à base de Pentium III (350 Mhz) en caisson
isolé dans l’atelier
; 1 réseau Ethernet sur protocole IP avec 2 hubs internes et câblage gainé
; 1 accès Internet par ligne Numéris 64Kb avec modem Gazel
; 1 liaison bancaire via un modem US Robotic 56K
; 1 station EDI pour ses relations avec les chaînes de grandes magasins avec
qui elle travaille.
4.1.4.2 OS et logiciels
; Système Windows NT version 4
; 7 licences Office PME 2000
; 2 licences Office Pro 2000
; 9 licences Excalibur (logiciel de GPAO)
; 1 licence Dreamweaver 4 et Flash 4
; 1 licence Photoshop 5.5 et Illustrator 8
; 1 licence Gazel pour la gestion des connexions Internet (multiposte)
4.1.4.4 Prestataires
L’entreprise ne dispose que de 5 prestataires informatiques :
• Nadia’Logic à Orange qui a installé et préparé l’ensemble de son parc
informatique et de son réseau
• Téléphonie Sud Orange qui a câblé son installation téléphonique et
informatique
• Wanadoo Pro pour l’accès Internet, l’hébergement de son site et les
messageries
• OC2I pour le logiciel Excalibur
• STERLING COMMERCE pour le logiciel EDI Connect Express.
Sans objet.
5. Informatique
A ceci s’ajoute :
• 4 imprimantes HP DJ locales
• 1 imprimante Brother en réseau
• 1 appareil photo numérique Fuji (connectable sur 2 postes : PC2 et PC5)
• 1 graveur de CD-RW Yamaha (sur 1 poste : PC5)
• 1 scanner EPSON (connecté à 1 seul poste : PC5)
• 1 lecteur ZIP externe en port parallèle (poste PC5)
• 1 modem US Robotic 56 K en externe (poste PC 7)
On trouvera en annexe 1, le détail des postes tels que recensés avec leurs
principales caractéristiques.
5.2 Recensement logiciel
Le système est basé sur l’OS Windows NT 4 avec des disques durs SCSI en
NTFS, partitionnés en 2 disques logiques. Le disque logique C : reçoit les dossiers
Windows et les Programmes. Le disque logique D : reçoit les fichiers de travail.
On trouvera en annexe 2, le détail, poste par poste, des logiciels tels que recensés
avec leurs versions.
On trouvera en annexe 6, le détail des numéros de licence des divers logiciels
recensés, avec le nombre de postes associés et le n° des postes utilisateur de
chaque licence.
5.3 Réseau
Le réseau implanté est un réseau de type Ethernet en TCP/IP, organisé en
Workgroup. Il se compose de :
L’installation informatique est réalisée sur l’ensemble des bureaux comportant d’une
part les bureaux « techniques » avec la salle de réunion, et d’autre part les bureaux
« administratifs » et de la direction.
Elle se complète par un ordinateur de saisie seule placé dans l’atelier, dans un
boîtier étanche évitant la pollution poussière.
La station EDI est ne comporte qu’un logiciel installé sur le serveur. Cette station
n’a jamais eu d’incidents à ce jour. Les messages étant envoyé en fin de journée et
reçus en matinée, via la ligne Numéris hors toute connexion partagée, elle ne
nécessite aucune étude particulière.
Il existe 15 feuilles FRAP dont le contenu a été mis dans le rapport final. Pour
parvenir à ces 15 feuilles, on a procédé ainsi :
Un dossier avec pour chacun des 34 problèmes constatés sur le terrain a été fait
avec par problèmes les informations suivantes :
• N° d’ordre
• Problème (texte détaillé)
• Type (panne, incident, dysfonction, omission, bug, risque, …)
• Conséquences / Risques (texte détaillé)
• Thème (thème de référence)
• Cause (origine et cause du problème)
• Preuves (texte expliquant comment a été trouvé le problème)
• Acteurs (concernés par le problème ou ses conséquences)
• Seuil confiance (4 seuils 25-50-75 et 100%, les points en dessous de
75% ont été revus et – sauf pour 3 – ont été réétudiés et ont eu un seuil
réévalué après recherches de meilleures preuves et définitions)
• Importance : SETA [stratégique, économique, technique ou autre],
importance des risques et conséquences
• Dépendance (n° des problèmes liés)
• Préconisation (texte détaillant une ou plusieurs préconisations).
Problème
Le réseau NT ne dispose d'aucun domaine et n'est qu'organisé en Workgroup,
sans accès protégés
Constats
L'analyse des divers postes fait apparaître les éléments suivants :
• pas de référence à un domaine NT
• pas d'ouvertures de sessions NT
• pas d'accès à un poste par un mot de passe (sauf poste PC7 - comptable)
• pas de définitions de droits d'accès utilisateurs sur les postes
Causes - Origines
Le système n'a pas été étudié ni mis en place comme un réel réseau NT, les
personnes ayant installé le dit réseau sont parties du principe que NT
s'autoprotégeait. Et que la définition d'un Workgroup était suffisante vu la petite taille
de l'entreprise
Il semble, mais ceci n'a pu être prouvé du fait de l'arrêt des relations avec le
prestataire, que la société ayant installé le système n'avait pas les compétences NT,
ni l'organisation d'un réseau Ethernet (erreurs nombreuses dans les adressages IP -
voir fiche n° 12)
Conséquences
Le système actuel ne dispose d'aucune protection des accès. Il est actuellement
possible à n'importe quelle personne pouvant physiquement s'approcher d'une
machine d'accéder aux fichiers de celles-ci, voire plus.
Le système actuel ne dispose d'aucune séparation des accès. De ce fait, lors d'une
connexion Internet, il est possible d'avoir accès à l'ensemble du réseau depuis
l'extérieur en cas d'attaque.
Recommandations
La mise en place d'un réseau NT réel avec domaine est indispensable, il n'est pas
possible malgré tout de réaliser cela sans un arrêt complet de tout le système et la
reprise de toutes les machines (serveur, PC, imprimante réseau).
Il est fortement conseiller de prévoir d'ici à la fin de l'année en cours, durant la période
de ralentissement de l'activité, voire de la fermeture de l'usine en août une reprise
complète du réseau
Cette reprise doit s'effectuer en respectant les contraintes suivantes :
• arrêt du système après sauvegardes de toutes les données (serveurs et pc)
• création du domaine et définition des profils utilisateurs
• définition des droits d'accès spécifiques à chaque utilisateur
• contact avec la société ayant installé le logiciel de GPAO pour intégration durant
le changement de système
Problème
Le réseau interne dispose d'un routeur logiciel et non d'un routeur électronique, qui
ralentit et utilise de nombreuses ressources du serveur.
Constats
Le constat fait est que le réseau est connecté à la ligne Numéris via un modem Numéris
intégré au "serveur". Ce dernier dispose d'un logiciel qui partage les accès numéris.
Causes – Origines
Le système n'a pas été étudié. Lors de l'acquisition de la ligne, le modem Numéris interne à
été livré. Il a été installé par ancien employé ayant quelques connaissances en informatique.
Afin de permettre le partage de la ligne, il a été demandé au prestataire informatique un
moyen d'effectuer le partage. La demande n'ayant pas été faite correctement sur le plan
technique et le prestataire n'ayant pas de grandes compétences sur le sujet, il a été proposé
la mise en place d'un logiciel sharewhare pour régler le problème.
Le problème n'a pas été créé par le prestataire, mais par la demande qui lui a été faite de
manière incorrecte.
Conséquences
Le logiciel utilisé n'est pas spécialement adapté à NT et provoque de fréquents conflits qui
"plantent" le serveur parfois deux à trois fois durant une semaine. Ces plantages bloquent
l'entreprise qui n'a plus accès au système commun de GPAO durant ce temps.
Outre ces plantages, le "serveur" lors des connexions travaille inutilement ralentissant
parfois, même si cela est très léger les transactions (les pertes sont inférieures à la seconde
sur une transaction de type interrogation, peuvent atteindre une seconde lors d'une
transaction de type mise à jour de données), l'entreprise n'ayant pas de contraintes de temps
importantes sur les transactions.
Les risques annexes sont dus au fait que le logiciel utilisé n'est plus sur le marché et
qu'aucune mise à jour n'est disponible; il n'existe aucune version réellement compatible avec
Windows NT; le logiciel nécessite en outre d'installer le driver Gazel (pour le modem
Numéris) sur chaque machine, ce qui entraîne une obligation de mise à jour de chaque
machine si le modem devait être changé.
Recommandations
La mise en place d'un routeur Numéris physique de type 3Com, D-Link, Cisco ou autre est à
mettre en œuvre. Ceci devra être accompagné :
• de la désinstallation du modem sur le serveur
• de la désinstallation des drivers modems sur chaque machine
• de la désinstallation du logiciel de partage des accès sur le serveur
• de la définition d'une adresse IP pour le routeur
• de la définition de cette adresse comme passerelle sur chaque machine
Contrainte
La désinstallation du pilote modem ne devra être effectuée que sur les PC n’ayant pas
besoin d’accès au fax partagé.
Problème
Les fichiers comptables ne sont pas protégés, ni en copie ni en suppression.
Constats
Alors que l'entreprise et le comptable de cette dernière pensent que la comptabilité est
protégée du fait que le logiciel est installé sur une seule machine qui ne dispose d'aucun
espace partagé, et que le démarrage du dit logiciel se fait par la demande d'un mot de
passe, il apparaît que cette protection est illusoire.
Afin de permettre la gestion des sauvegardes sur bandes DAT, réalisées sur l'ordinateur
serveur, les fichiers comptables sont placés sur le disque D: du serveur. Ce disque est
totalement partagé sans restriction ni mot de passe. Toute personne disposant d'un
accès à un ordinateur peut réaliser l'opération suivante :
a- démarrage de l'explorateur Windows
b- sélectionner le disque E: de l'ordinateur (tous les disques E: représentent le disque
c- du serveur en accès automatique)
d- sélectionner le dossier « compta_sage »
e- réaliser toute opération de type copie, suppression, "renommage", etc. de tout fichier
de ce dossier
Causes - Origines
Absence de compétences et de connaissances des risques et conséquences lors de
l'installation du logiciel. Ceci a été fait en toute bonne foi, mais sans aucune mesure des
risques réels, ni aucune connaissance de la situation exacte du réseau.
Conséquences
Il est possible de perdre tout ou partie des fichiers comptables suite soit à une erreur de
manipulation, soit à une malveillance (interne comme externe). Il est possible d'avoir
copie des données et, par un professionnel ou un bon hacker, de relire l'ensemble des
informations comptables, financières et de paye de l'entreprise.
Recommandations
Deux solutions peuvent être envisagés (parmi d'autres) :
- transfert des données comptables sur l'ordinateur du comptable dans un répertoire
partagé en lecture seule et inclus dans le processus de sauvegarde journalier. Ceci n'est
pas l'idéal mais évite déjà les risques de pertes et modifications des données, et surtout
peut être fait très rapidement.
- mise en place d'un vrai réseau NT avec domaines et profils utilisateurs associant une
protection du répertoire sur le serveur au profil des seuls administrateur d'une part et
comptable d'autre part. (voir fiche problème n° 1)
Etc.
A ceci s’ajoutent bien sûr (mais il faudrait doubler la taille du document), l’étude d’un
planning proposé et d’un budget prévisionnel.
8. Annexes
8.1 Matériel
1 2
Utilisateur M. Dombard M. Danselme
Référence plan PC 1 PC 2
Ordinateur PCx86 AT PCx86 AT
Mémoire 128 Mo 384 Mo
Adresse IP 192.168.1.1 192.168.1.2
Réf. Réseau Poste1 Poste2
OS NT 4.00.1381 NT 4.00.1381
IE 5.5.00.2314.1003 5.5.00.4807.2300
HD 1 HD réf ST 36421A SCSI 1 HD réf ST 36421A SCSI
Disques logiques
Disque C partition non partagé partition non partagé
Type NTFS NTFS
Taille 3 Go dont 0.85 utilisés 3 Go dont 1.6 utilisés
Nom volume ------- -------
Compression ------- -------
Disque D partition partagé partition partagé
Type NTFS NTFS
Taille 3 Go dont 0,93 utilisés 3 Go dont 0,7 utilisés
Nom volume ------- -------
Compression ------- -------
Lecteur CD E: x32 - partagé E: x52 - non partagé
Sony CDU5211 SCSI Samsung SC-152 C
Accès réseaux F: serveur F: serveur
Imprimante locale HP DJ 1100C défaut HP DJ 895Cxi défaut
A3 partagé A4 partagé
Imprimantes réseau BOR O53952 (PC4) BOR O53952 (PC4)
HP DJ 895C (PC2)
hold (Canon) spool hold (Canon) spool
print (canon) direct print (canon) direct
Fax BVRP Fax BVRP
Carte réseau D-Link Fast Ethernet 10/100 D-Link Fast Ethernet 10/100
Ecran 17 " Panasonic 17 " Panasonic
Carte vidéo ATI 3D Rage Pro AGP 2x 8 Mo ATI 3D Rage Pro AGP 2x 8 Mo
Affichage vidéo 1024x768 75 Mhz 1024x768 75 Mhz
Périph spécifique IntelliMouse PS2
Fonts installés 201 388
Onduleur Pulsar EL4 ok Pulsar EL4 ok
Messagerie Dossier pst en local sur C: Dossier pst en local sur C:
Définition Virus 16/11/2001 27/01/2002
Programmation auto Activée Lundi 13:00 Activée Lundi 13:00
MAJ Programme NAV Novembre 2001 Janvier 2002
Porte-documents Poste 2 / Excalibur non utilisé
8.2 Logiciels
1 2
Utilisateur M. Dombard M. Danselme
Logiciels Autocad LT Release 3 Acrobat Reader 3.01
dont associés à Client Gazel Access Adobe PhotoDelux Home 3.0
licences Copernic 2000 4.55b Adobe Type Manager 4.0
Excalibur 4.2. Azale C39 Tools (code barre) ??
Media Player 6.4 Colorwize Protools
Micrografx Designer 7 (97) Command Work Station
Micrografx Graphics Suite 2 2 Crystal Distributed Report 7
Mid Point Guest Excalibur V.4.2.
NAV & Live Update 5.01 Info Maker 6.5
NT Client Agent (Arc serve) Microapplication Tarot 3.4.5
Office 2000 Small Business 9.04 Micrografx Designer V7 (97)
Sybase Ad.Server Anywhere 6.0.2 (99) Micrografx Flow Charter 7
Sybase SQL Anywhere 7.03 (2001) Micrografx Graphics Suite 2 V2
Winphone 3.0 (99) Micrografx Picture Publisher 7
Winzip US 6.2 Micrografx Quick Silver 3
Mid Point Guest
Mjuice Components
NAV & Live Update 5.01
NT Client Agent (Arc serve)
Office 2000 Small Business 9.04
Resolv buffer over
Seagate Crystal Report 7
Toolbook II Runtime 6.1
Winamp 3.01
Winphone 3.0 (99)
Winzip US 6.2
TOTAL 15 26
PC2
PC
3
PC1
Gaines montantes
PLACARD
PC6
Imprimante Canon
PC7
PC5
PC4
Serveur
Hub 1,2 et 3
Les autres annexes ne sont pas présentées ici car inutiles pour notre exemple.
Fin du document