REPUBLIQUE DU BURUNDI

UNIVERSITE ESPOIR D’AFRIQUE

FACULTE D’INGENIERIE ET TECHNOLOGIE

DEPARTEMENT DE GENIE ET GESTION DES TELECOMMUNICATIONS
COUR : EVALUATION DES RISQUES ET DETECTION DES ATTAQUES

TP : audite et sécurité informatique d’un réseau local d’entreprise

Fait par : MBUSA SYAGHOSOLA Eric

Burundi-Bujumbura
Août 2021

1. INTRODUCTION
 Le système d’information définit l’ensemble des données et des ressources (matérielles,
logicielles et humaines) permettant de stocker et de faire circuler les informations qu’il
contient. Depuis les années 1970, les systèmes d’information se sont multipliés et ont pris de
plus en plus d’importance, permettant un accès de plus en plus rapide à de plus en plus
d’informations. Une réelle avancée technologique dans un monde où tout doit aller si vite,
mais un véritable problème de fond en ce qui concerne la sécurité des données et la vie de
chacun (y compris les entreprises). Les entreprises sont de plus en plus victimes de piratage
informatique, mettant en péril non seulement leurs données, mais aussi la sécurité de
l’entreprise. Afin de mieux se protéger de ses attaquants, certaines entreprises utilisent le
pentest ou test d’intrusion qui est une méthode d’évaluation de la sécurité d’un système
d’information. Le but est de trouver des vulnérabilités exploitables en vue de proposer un plan
de contre-mesures destiné à améliorer la sécurité du système ciblé. Tout au long de notre
analyse, nous scinderons notre travail en deux parties : l’une qui présentera un cadre théorique
et l’autre qui présentera un cas pratique.

1. LA SECURITE INFORMATIQUE

- Qu’est-ce que la sécurité informatique ?

La sécurité informatique protège l'intégrité des technologies de l'information comme les

systèmes, les réseaux et les données informatiques contre les attaques, les dommages ou les
accès non autorisés. Pour préserver leur compétitivité dans le contexte de la transformation
numérique, les entreprises doivent comprendre comment adopter des solutions de sécurité qui
sont intégrées dès la phase de conception. En anglais, on utilise l'expression « shift security
left », qui signifie littéralement « placer la sécurité à gauche ». En d'autres termes, il faut
veiller à intégrer au plus tôt la sécurité dans l'infrastructure et dans le cycle de vie des
2 produits. Ainsi, elle sera à la fois proactive et réactive. Eddy lwak

La sécurité continue repose sur un système régulier de feedback et d'adaptation qui est
généralement géré au moyen de points de contrôle automatisés. Grâce à l'automatisation, le
feedback est rapide et efficace. Il ne ralentit pas le cycle de vie du produit. Cette méthode
d'intégration de la sécurité vous permet de mettre en œuvre les mises à jour et les réponses
aux incidents rapidement et globalement dans un environnement en constante évolution.

Importance de la sécurité informatique

Pourquoi la sécurité informatique est-elle importante pour les entreprises ?

Traditionnellement, la sécurité informatique consistait avant tout à renforcer, maintenir et

contrôler le périmètre des datacenters, mais aujourd'hui ce périmètre tend à disparaître. Les
méthodes de développement, de déploiement, d'intégration et de gestion informatiques sont en
pleine mutation. Avec l'arrivée des clouds publics et hybrides, les responsabilités en matière
de sécurité et de conformité réglementaire sont désormais partagées entre différents
fournisseurs. L'adoption massive des conteneurs a fait surgir le besoin d'instaurer de nouvelles
méthodes d'analyse, de protection et de mise à jour de la distribution des applications. Les
applications mobiles fonctionnent sur une multitude d'appareils différents et l'infrastructure
repose de plus en plus sur des logiciels, plutôt que sur du matériel. Résultat : les méthodes
traditionnelles de gestion de la sécurité sont dépassées. Pour suivre le rythme de la
transformation numérique, les programmes de sécurité doivent être adaptés afin que celle-ci
soit continue, intégrée et flexible.
 Pour assurer la sécurité, certaines entreprises recrutent un responsable de la sécurité des
informations métier. Ces responsables sont intégrés à l'équipe métier et sont impliqués dans le
cycle de vie des produits, de leur conception à leur adoption. Sous la direction des
responsables de la sécurité des systèmes d'information, ils doivent s'assurer que les enjeux de
sécurité sont pris en compte et gérés à toutes les phases, en trouvant le juste équilibre entre
sécurité et risques pour l'entreprise afin que la distribution du produit soit à la fois rapide et
sûre.

2/ En quoi consiste la sécurité des conteneurs ?

Les conteneurs facilitent la création, la mise en paquets et la promotion d'une application ou

d'un service dans différents environnements et cibles de déploiement. Néanmoins, la sécurité
des conteneurs peut être difficile à mettre en œuvre. En effet, les politiques de sécurité et les
listes de contrôle statiques ne s'adaptent pas aux conteneurs de l'entreprise. La chaîne
d'approvisionnement nécessite davantage de services en matière de politiques de sécurité. Les
équipes doivent trouver un équilibre entre les besoins de mise en réseau et les impératifs de
gouvernance liés aux conteneurs. Enfin, les outils de création et d'exécution doivent être
dissociés des services.

3/ En quoi consiste la sécurité dans le cloud ?

Si de nombreux utilisateurs comprennent les avantages du cloud computing, ils se laissent
souvent dissuader par les menaces qui le guettent. Nous sommes bien conscients qu'il est
difficile d'appréhender quelque chose qui existe quelque part entre des ressources
immatérielles envoyées sur Internet et un serveur physique. Il s'agit d'un environnement
dynamique où tout évolue en continu, à l'instar des menaces qui pèsent sur la sécurité.

3 4/ En quoi consiste la sécurité des API ? Eddy lwak

Comme la plupart des personnes, vous préférez sûrement placer vos économies dans un lieu
sûr (une banque, par exemple) plutôt que sous votre matelas, et vous utilisez également
différentes méthodes pour autoriser et authentifier vos paiements. Il en va de même pour la
sécurité des API. Vous avez besoin d'un environnement fiable qui applique des politiques
d'authentification et d'autorisation. Les bonnes pratiques en matière de sécurité des API
comprennent notamment l'utilisation des jetons, le chiffrement, les signatures, les quotas, la
limitation des requêtes, ainsi que l'utilisation d'une passerelle d'API. Toutefois, pour assurer la
sécurité d'une API, il convient d'abord de la gérer correctement.

La qualité des services de sécurité

La qualité de service désigne l'ensemble de paramètre échangé pendant une communication

avec connexion pour que les informations passent correctement.

Appliquée aux réseaux à commutation de paquets « réseau basé sur l'utilisation de routeurs »,
la qualité de service « QOS » désigne l'aptitude à pouvoir garantir un niveau acceptable de
perte de paquets, défini contractuellement, pour un usage donné.

Les services de sécurité peuvent avoir des niveaux de performance très différents selon les
mécanismes employés. Ces niveaux couvrent :

· l'efficacité des services de sécurité.

· leur robustesse (puissance)

 · leur mise sous contrôle.

1.1. L'efficacité des services de sécurité :

De même que certaines serrures (fermetures) sont plus faciles à violer que d'autre, les services
de sécurité sont conçus pour résister à des niveaux d'attaque variables, selon les mécanismes
mis en oeuvre, ce qui les rend plus ou moins efficaces.

1.2. Leur robustesse :

De même que certaines protections actives devenir défaillantes sans que cela provoque une
réaction, les services de sécurité peuvent être étudiés pour détecter toute anomalie par des
mécanismes complémentaires, ce qui les rend plus ou moins robustes.

1.3. Leur mise sous contrôle

De même qu'un responsable ne sera véritablement sur de la protection apportée par la serrure
de sécurité que s'il s'assure que les occupants ferment effectivement à clé l'issue concernée;,
les services de sécurité peuvent être accompagnés de mesure de contrôle destinés à garantir la
pérennité des mesures pratiques mises en place, ce qui les rend plus ou moins ( sous contrôle).

Les risques de sécurité informatique :

1. Les types de risques :

En ce qui concerne l'analyse de risque, on a défini 12 types de menaces.

4 Eddy lwak
 Accidents physiques.

 Malveillance physique

 Panne du SI

 Carence de personnel.

 Interruption de fonctionnement du réseau.

 Erreur de saisie.

 Erreur de transmission.

 Erreur d'exploitation.

 Erreur de conception/ développement.

 Copie illicite de logiciels.

 Indiscrétion/ détournement d'information

 Attaque logique du réseau.

 2. Classification des risques

2.1. Les risques Humains :

Les risques humains sont les plus importants, ils concernent les utilisateurs mais également
les informaticiens.

 Malveillances : Certains utilisateurs peuvent volontairement mettre en danger le

système d'information en y introduisant en connaissance de causes des virus, ou en
introduisant volontairement de mauvaises informations dans une base de données.7(*)

 Maladresse : Comme en toute activité les humains commettent des erreurs, ils leur
arrivent donc plus ou moins fréquemment d'exécuter un traitement non souhaité,
d'effacer involontairement des données ou des programmes.

 Inconscience : De nombreux utilisateurs d'outils informatiques sont encore

inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent, et
introduisent souvent des programmes malveillants sana le savoir.

2.2. Les risques Techniques :

o Programmes malveillants : C'est un logiciel développé dans le but de nuire à un

système informatique. Voici les principaux types de programmes malveillants :

- Le virus : Programme se dupliquant sur d'autres ordinateurs.

5 - Le ver : Exploite les ressources d'un ordinateur afin d'assurer sa reproduction.

Eddy lwak

- Le Cheval de Troie : Programme à apparence légitime qui exécute des routines

nuisibles sans l'autorisation de l'utilisateur.

- Accidents : il s'agit là d'un évènement perturbant les flux de données en l'absence de

dommages aux équipements (panne, incendie, dégâts des eaux d'un serveur ou centre
informatique,).

- Erreurs : que ce soit une erreur de conception, de programmation de paramétrage ou

de manipulation de données ou de leurs supports, l'erreur désigne les préjudices
consécutifs à une intervention humaine dans le processus de traitement automatisé des
données.

o Technique d'attaques par messagerie : en dehors de nombreux programmes

malveillants qui se propagent par la messagerie électronique, il existe des attaques
spécifiques tels que :

- Le Pourriel (Spam) : Un courrier électronique non sollicité, la plus part du temps de

la publicité. Ils encombrent le réseau.

- l'Hameçonnage : un courrier électronique dont l'expéditeur se fait généralement

passer pour un organisme financier et demandant au destinataire de fournir des
informations confidentielles.
 o Attaques sur le réseau : les principales techniques d'attaques sur le réseau sont :

- Le Sniffing : technique permettant de récupérer toutes informations transitant sur le

réseau. Elle est généralement utilisée pour récupérer les mots de passe des applications
qui ne chiffrent pas leurs communications.

- La Mystification (Spoofing) : technique consistant à prendre l'identité d'une autre

personne ou d'une autre machine. Elle est généralement utilisée pour récupérer des
informations sensibles.

II.2. AUDIT INFORMATIQUE

Qu'est-ce qu'un audit informatique ?

L’audit informatique consiste à évaluer le système informatique d’une entreprise à partir

d’une base de références commune au secteur et à la région d’activité. Son objectif est
d’identifier et d’analyser les risques liés à l’environnement numérique d’une entreprise ou
d’une administration. Il est un outil de contrôle et s’assure que l’organisme répond à trois
critères : la conformité aux lois, la fiabilité des informations financières, l’optimisation des
opérations.

La démarche répond à une lettre de mission précise, rédigée par le mandant, qui correspond à
l’état des bonnes pratiques. Basé sur l’infogérance, le mandataire va alors évaluer les
observations qu’il fait d’un service et proposer des recommandations. Les critères sont les
6 suivants : la conformité aux lois, l’intégrité et la confidentialité des informations
Eddy lwaket
l’optimisation des opérations.

Quels sont les types d'audit informatique ?

 La fonction informatique L’audit va évaluer l’organisation de la fonction informatique au

sein de l’entreprise, son pilotage, son positionnement. Il se base ainsi sur les pratiques
connues comme la clarté des structures et des responsabilités de l’équipe, la définition des
relations, l’existence des dispositifs de mesures comme un tableau de bord, le niveau des
compétences du personnel. Il a ainsi pour objectif de mettre en œuvre des procédures
spécifiques à la fonction, de définir ses responsabilités respectives, de suivre les coûts
informatiques et de mesurer l’impact de l’informatique sur les performances de l’entreprise.
Par ailleurs, au sein même de la fonction informatique, l’audit relève également des études
informatiques : les objectifs sont d’évaluer l’entreprise dans sa manière de planifier les
activités d’études, de respecter les normes de documentation, de contrôler la sous-traitance
ainsi que de la qualité des livrables.

L’exploitation On cherche également à s’assurer du bon fonctionnement et de la bonne

gestion des centres de production informatique en se basant sur l’organisation, la mesure de la
qualité des services fournis par l’exploitation informatique et la gestion des ressources et
 incidents. Les projets informatiques L’audit contrôle l’enchaînement logique et efficace des
opérations et s’assure du bon développement d’une application. Ses objectifs s’inscrivent dans
la garantie de la clarté du processus de développement, la vérification de l’application de la
méthodologie, la validation du périmètre fonctionnel, et la gestion des risques. Les
applications opérationnelles
Contrairement aux audits précédents, l’audit d’applications opérationnelles s’étend à un
domaine plus large et couvre le système d’information de l’entreprise. Il est conseillé d’en
faire un tous les deux ou trois ans pour s’assurer de son bon fonctionnement. L’audit va
également servir à la vérification de l’application des règles de contrôle interne. Les objectifs
sont de s’assurer de la conformité de l’application opérationnelle, de la vérification des
dispositifs de contrôle mis en place, de la fiabilité des traitements ainsi que de la mesure des
performances.

La sécurité Enfin, l’audit de la sécurité informatique donne au management d’une entreprise

une garantie du niveau de risque de l’organisme et de ses vulnérabilités. L’audit de sécurité
informatique va ainsi se baser sur le repérage des actifs informationnels de l’entreprises afin
d’adapter leur procédure de gestion, l’identification des risques, l’évaluation des menaces, la
mesure des impacts et la définition des parades.

POURQUOI FAIRE UN AUDIT INFORMATIQUE ?

Le réseau informatique est devenu le point névralgique de toutes les sociétés. Sans
informatique, aucune activité possible. Afin d’être performantes les entreprises doivent avoir
leur système à la pointe de la technologie. Constamment utilisé par le personnel, il doit
répondre aux multiples demandes de manière rapide et efficace. Cependant, après une longue
utilisation ou suite à des modifications successives, le réseau perd en performance et altère la
7 productivité de l'entreprise. D'où la nécessité d'effectuer un audit du réseau informatique,
Eddy lwak
dans le but vérifier les installations logicielles propres aux systèmes d'exploitation, à la
sauvegarde et au stockage, ainsi qu'aux systèmes de sécurité. L'audit sécurité
informatique permet ainsi d'identifier les faiblesses du système afin d'y remédier rapidement
et ne pas perdre en efficacité.

COMMENT SE DÉROULE UN AUDIT DU RÉSEAU INFORMATIQUE ?

L'audit du système informatique permet d'établir un bilan objectif sur la santé des systèmes.
Il se déroule le plus souvent en trois étapes :

1. Identification des besoins : l'expert analyse et identifie les besoins de l'entreprise, afin
de centrer précisément l'audit réseau informatique selon ses activités.
2. Vérification de l'existant : cela consiste à tester les systèmes d'exploitation, la sécurité
du réseau et la maintenance du serveur et des logiciels.
3. Conseils post-audit : l'expert fournit à l'entreprise commanditaire de l'audit sécurité
informatique les conseils et la procédure à suivre afin d'entretenir et d'optimiser son
réseau.

AUDIT DU RÉSEAU INFORMATIQUE ET SÉCURITÉ

 La vérification régulière par un audit sécurité informatique permet de prévenir les failles du
réseau. Ainsi, les données stockées sont sécurisées. L'audit du système informatique aide
également à définir la marche à suivre afin d'entretenir son réseau, de maintenir son serveur
ou de mettre à jour les antivirus. En dressant un rapport sur l'état du parc informatique de
l'entreprise, les experts établissent les procédures requises pour le dépannage, la maintenance
ou l'optimisation du système.
En raison des partages de ressources qui se multiplient, la sécurité informatique et la
protection des données sensibles sont un enjeu stratégique primordial pour l’entreprise. Pour
réussir cette mission de protection, il est impératif de dresser un état des lieux, d'identifier les
faiblesses du système et de choisir un prestataire compétent en audit du réseau
informatique pour ce faire.

POURQUOI FAIRE UN AUDIT DU SYSTÈME INFORMATIQUE ?

Le système informatique doit répondre d'une manière rapide et efficace aux multiples

sollicitations de ses utilisateurs. Les modifications successives qui sont apportées à la
configuration des serveurs peuvent altérer la performance du réseau. Une instabilité du
système peut provoquer des anomalies : dysfonctionnement du système d’exploitation,
saturation des unités de stockage, des périphériques et des applications, apparition de failles
de sécurité... Dans ces cas, l’outil de travail risque d'influencer la performance de l'entreprise
et de provoquer un accroissement des coûts de productivité. D'où la nécessité d'effectuer
un audit sécurité informatique.
L'audit du système informatique doit porter sur la maîtrise de certains paramètres
8 nécessaires à la bonne gestion d'un parc informatique : connaissance des techniquesEddy lwak
d'architecture des systèmes, des réseaux et des périphériques utilisés ; politique de sécurité de
réseau par la mise en place de pare-feu ou firewall, de sauvegarde, et d'antivirus. L'audit
informatique doit également définir des procédures d'inventaire détaillé suivant une fréquence
prédéfinie tant au niveau des matériels que des logiciels. Ce type d'audit permet de bien cerner
la réalité du parc informatique, afin de pouvoir mesurer la productivité des équipements,
d'attribuer la puissance des machines selon le besoin réel de chaque utilisateur...
ACI TECHNOLOGY réalise l’audit du réseau informatique, et propose aux PME - PMI
une solution complète de maintenance, de gestion, de sécurité et d’assistance pour tous vos
problèmes informatiques.
Notre audit sécurité informatique est offert avant toute souscription d'un contrat de
maintenance informatique illimitée sur site. 

CONTENUE DE L’AUDIT

L'opération d'audit prend notamment en compte des éléments suivants :

· Descriptif des matériels, logiciels et documentations.

· Appréciation globale de l'adéquation entre les besoins et le système d'information existant.

· Examen des méthodes d'organisation, de contrôle et de planification des services

informatiques.
 · Appréciation de la formation, de la qualification et de l'aptitude du personnel.

· Appréciation de la qualité, de l'accès, de la disponibilité et de la facilité de compréhension

de la documentation.

Audit de l’existant Les services de sécurité Fonction Informatique de sécurité Rôle des
directions dans le système informatique Existence de politiques, de normes et de procédures
Responsabilité de la direction informatique Existence de dispositif de contrôle interne
Décentralisation des traitements Gestion des configurations Analyse des demandes arrivant au
help-desk Procédures d’achat Equipement Informatique Inventaires des équipements
informatiques Les Unités Centrales Les Switch et les Hubs Les câblage Informatique Les
Imprimantes Environnement du matériel Les défauts de climatisation Détection des dégâts
d’eau Détection des dégâts du feu Les dégâts d’électricité Environnement des logiciels de
base Les Patchs Les systèmes de fichier Les services inutilisables Réseaux et communications
Configuration du réseau Réseau Local Segmentation L’affectation des adresses IP Les postes
utilisateurs..

a. Séquence de démarrage.

b. Session.

c. Active directory Identification des risques Les risques humains Les risques techniques

Les Virus Attaque sur le réseau Attaque sur le mot de passe Sécurité informatique Repérage
des actifs informationnels Gestion des impacts.

9 Intégrité des données Eddy lwak

Solutions de Sécurité Déploiement complet d'ad Solution Antivirale Le serveur de mise à

jour, Système de détection d’intrusion, Système de détection d’intrusion d’hôte, Système de
détection d’intrusion réseau, Solution Firewall Firewall à filtrage de paquets Firewall
Applicatif Annuaire.

Vu l’importance et l’obligation de l’élaboration d’un audit de sécurité, d’après la loi du 3

Février Chaque organisme doit établir un audit de sécurité informatique périodiquement afin
d’identifier ses sources de menace et ces dégâts informationnels.

Types d’audit informatique

Il est assez courant de procéder à un audit informatique dans les entreprises. Celui-ci peut en
effet s’avérer primordial dans certaines situations telles que : 

 Quand une équipe reprend les rênes d’un projet,

 Lorsqu’un outil informatique est sur le point d’être cédé,
 Mais encore, lorsque plusieurs années se sont écoulées, et qu’il est grand temps de
faire le point sur les performances de votre système informatique.
 Dans cet article, vous découvrirez les raisons pour lesquelles il est pertinent de réaliser un
audit informatique, et quels sont les 4 grands types d’audit.

Il existe plusieurs types d’audit informatique, et chacun nécessite la participation de différents

acteurs au sein de votre entreprise. Il est important de savoir identifier les problématiques
rencontrées, ainsi que les personnes à mobiliser pour réaliser un état des lieux sincère et
conforme aux exigences actuelles en matière de qualité et de sécurité.

Type : Acteurs principaux à solliciter

Audit de l’infrastructure informatique Directeur des Systèmes d’Information

Audit du code informatique Responsable Projet

Directeur des Systèmes d’Information

Audit de la gestion des données
Responsable du traitement (DPO)

Audit de votre organisation Directeur Général ou membre du COMEX

 L'audit de votre structure informatique 

Stockage de vos données, hébergement de vos logiciels, liaisons entre les différentes briques
10 logicielles, APIs et Webservices... Tout ne s’est pas fait en un jour et l’empilementEddy
de strates
lwak
successives peut avoir eu raison de la nécessaire clarté de votre système d’information. 

Il existe pourtant des solutions pour soulager la maintenance, améliorer le dialogue entre
différents services, voire automatiser des tâches rébarbatives. 

Auditer votre infrastructure informatique permettra d’identifier les points ralentissant (ou
bloquant) le fonctionnement de vos équipes. Il ne s’agit évidemment pas de révolutionner
d’un coup l’ensemble de votre SI, mais de progressivement améliorer l’efficacité de vos
outils informatiques tout en assurant un plan de continuité et en garantissant une adoption
des utilisateurs.

 L'audit de votre code informatique 

Le premier risque clairement identifié concerne celui lié à l’attaque informatique. L’état des
lieux de vos logiciels et applications métiers permet d’identifier les outils qui souffrent de
failles de sécurité, qui manquent d’optimisation ou dont la dette technique est indépassable.
Tests unitaires, tests fonctionnels, versioning... Nous vous fournissons l’ensemble des grands
commandements dignes du développement logiciel de qualité.

 L'audit de la gestion des données 

 Vous disposez certainement d’un certain nombre de données personnelles collectées au fil
des différents canaux nécessaires au bon fonctionnement de votre entreprise (canal
commercial, canal des utilisateurs de logiciels, données internes du personnel...). 

Ces données sont-elles sûres et intègres au sein de votre système d’information ? Comment
améliorer la fiabilité des données collectées ? 

Certaines données ne doivent être accessibles qu’à certaines personnes au sein de vos équipes.
L’audit de la gestion des données permet notamment d’étudier et d’analyser les outils que
vous avez mis en place, ou de vous épauler dans la conception d'applications respectant la
loi RGPD.

 L'audit de votre organisation

Une des dimensions malheureusement la moins étudiée lors d’un audit est l’aspect
organisationnel et humain. Pourtant, il n’est pas admissible qu’une entreprise soit à la merci
de la démission d’une personne-clef. Il n’est pas tolérable non plus qu’un framework maison
freine le recrutement de nouveaux développeurs. 

La transmission de bonnes pratiques et de l’historique métier (tout ce qui ne touche pas à la

technique) doivent pouvoir s’opérer de manière fluide et transparente au sein de vos équipes.
Le cléricalisme guette trop souvent le monde des développeurs. 

L’audit de votre organisation s’intéresse à la pérennité et à l’accessibilité de l’information

pour s’assurer que vous maîtrisez de bout en bout vos propres outils et leur évolutivité.

11 Eddy lwak