Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
Burundi-Bujumbura
Août 2021
1. INTRODUCTION
Le système d’information définit l’ensemble des données et des ressources (matérielles,
logicielles et humaines) permettant de stocker et de faire circuler les informations qu’il
contient. Depuis les années 1970, les systèmes d’information se sont multipliés et ont pris de
plus en plus d’importance, permettant un accès de plus en plus rapide à de plus en plus
d’informations. Une réelle avancée technologique dans un monde où tout doit aller si vite,
mais un véritable problème de fond en ce qui concerne la sécurité des données et la vie de
chacun (y compris les entreprises). Les entreprises sont de plus en plus victimes de piratage
informatique, mettant en péril non seulement leurs données, mais aussi la sécurité de
l’entreprise. Afin de mieux se protéger de ses attaquants, certaines entreprises utilisent le
pentest ou test d’intrusion qui est une méthode d’évaluation de la sécurité d’un système
d’information. Le but est de trouver des vulnérabilités exploitables en vue de proposer un plan
de contre-mesures destiné à améliorer la sécurité du système ciblé. Tout au long de notre
analyse, nous scinderons notre travail en deux parties : l’une qui présentera un cadre théorique
et l’autre qui présentera un cas pratique.
1. LA SECURITE INFORMATIQUE
La sécurité continue repose sur un système régulier de feedback et d'adaptation qui est
généralement géré au moyen de points de contrôle automatisés. Grâce à l'automatisation, le
feedback est rapide et efficace. Il ne ralentit pas le cycle de vie du produit. Cette méthode
d'intégration de la sécurité vous permet de mettre en œuvre les mises à jour et les réponses
aux incidents rapidement et globalement dans un environnement en constante évolution.
Comme la plupart des personnes, vous préférez sûrement placer vos économies dans un lieu
sûr (une banque, par exemple) plutôt que sous votre matelas, et vous utilisez également
différentes méthodes pour autoriser et authentifier vos paiements. Il en va de même pour la
sécurité des API. Vous avez besoin d'un environnement fiable qui applique des politiques
d'authentification et d'autorisation. Les bonnes pratiques en matière de sécurité des API
comprennent notamment l'utilisation des jetons, le chiffrement, les signatures, les quotas, la
limitation des requêtes, ainsi que l'utilisation d'une passerelle d'API. Toutefois, pour assurer la
sécurité d'une API, il convient d'abord de la gérer correctement.
Appliquée aux réseaux à commutation de paquets « réseau basé sur l'utilisation de routeurs »,
la qualité de service « QOS » désigne l'aptitude à pouvoir garantir un niveau acceptable de
perte de paquets, défini contractuellement, pour un usage donné.
Les services de sécurité peuvent avoir des niveaux de performance très différents selon les
mécanismes employés. Ces niveaux couvrent :
De même que certaines serrures (fermetures) sont plus faciles à violer que d'autre, les services
de sécurité sont conçus pour résister à des niveaux d'attaque variables, selon les mécanismes
mis en oeuvre, ce qui les rend plus ou moins efficaces.
De même que certaines protections actives devenir défaillantes sans que cela provoque une
réaction, les services de sécurité peuvent être étudiés pour détecter toute anomalie par des
mécanismes complémentaires, ce qui les rend plus ou moins robustes.
De même qu'un responsable ne sera véritablement sur de la protection apportée par la serrure
de sécurité que s'il s'assure que les occupants ferment effectivement à clé l'issue concernée;,
les services de sécurité peuvent être accompagnés de mesure de contrôle destinés à garantir la
pérennité des mesures pratiques mises en place, ce qui les rend plus ou moins ( sous contrôle).
Malveillance physique
Panne du SI
Carence de personnel.
Erreur de saisie.
Erreur de transmission.
Erreur d'exploitation.
Les risques humains sont les plus importants, ils concernent les utilisateurs mais également
les informaticiens.
Maladresse : Comme en toute activité les humains commettent des erreurs, ils leur
arrivent donc plus ou moins fréquemment d'exécuter un traitement non souhaité,
d'effacer involontairement des données ou des programmes.
La démarche répond à une lettre de mission précise, rédigée par le mandant, qui correspond à
l’état des bonnes pratiques. Basé sur l’infogérance, le mandataire va alors évaluer les
observations qu’il fait d’un service et proposer des recommandations. Les critères sont les
6 suivants : la conformité aux lois, l’intégrité et la confidentialité des informations
Eddy lwaket
l’optimisation des opérations.
Le réseau informatique est devenu le point névralgique de toutes les sociétés. Sans
informatique, aucune activité possible. Afin d’être performantes les entreprises doivent avoir
leur système à la pointe de la technologie. Constamment utilisé par le personnel, il doit
répondre aux multiples demandes de manière rapide et efficace. Cependant, après une longue
utilisation ou suite à des modifications successives, le réseau perd en performance et altère la
7 productivité de l'entreprise. D'où la nécessité d'effectuer un audit du réseau informatique,
Eddy lwak
dans le but vérifier les installations logicielles propres aux systèmes d'exploitation, à la
sauvegarde et au stockage, ainsi qu'aux systèmes de sécurité. L'audit sécurité
informatique permet ainsi d'identifier les faiblesses du système afin d'y remédier rapidement
et ne pas perdre en efficacité.
1. Identification des besoins : l'expert analyse et identifie les besoins de l'entreprise, afin
de centrer précisément l'audit réseau informatique selon ses activités.
2. Vérification de l'existant : cela consiste à tester les systèmes d'exploitation, la sécurité
du réseau et la maintenance du serveur et des logiciels.
3. Conseils post-audit : l'expert fournit à l'entreprise commanditaire de l'audit sécurité
informatique les conseils et la procédure à suivre afin d'entretenir et d'optimiser son
réseau.
CONTENUE DE L’AUDIT
Audit de l’existant Les services de sécurité Fonction Informatique de sécurité Rôle des
directions dans le système informatique Existence de politiques, de normes et de procédures
Responsabilité de la direction informatique Existence de dispositif de contrôle interne
Décentralisation des traitements Gestion des configurations Analyse des demandes arrivant au
help-desk Procédures d’achat Equipement Informatique Inventaires des équipements
informatiques Les Unités Centrales Les Switch et les Hubs Les câblage Informatique Les
Imprimantes Environnement du matériel Les défauts de climatisation Détection des dégâts
d’eau Détection des dégâts du feu Les dégâts d’électricité Environnement des logiciels de
base Les Patchs Les systèmes de fichier Les services inutilisables Réseaux et communications
Configuration du réseau Réseau Local Segmentation L’affectation des adresses IP Les postes
utilisateurs..
a. Séquence de démarrage.
b. Session.
c. Active directory Identification des risques Les risques humains Les risques techniques
Les Virus Attaque sur le réseau Attaque sur le mot de passe Sécurité informatique Repérage
des actifs informationnels Gestion des impacts.
Il est assez courant de procéder à un audit informatique dans les entreprises. Celui-ci peut en
effet s’avérer primordial dans certaines situations telles que :
Stockage de vos données, hébergement de vos logiciels, liaisons entre les différentes briques
10 logicielles, APIs et Webservices... Tout ne s’est pas fait en un jour et l’empilementEddy
de strates
lwak
successives peut avoir eu raison de la nécessaire clarté de votre système d’information.
Il existe pourtant des solutions pour soulager la maintenance, améliorer le dialogue entre
différents services, voire automatiser des tâches rébarbatives.
Auditer votre infrastructure informatique permettra d’identifier les points ralentissant (ou
bloquant) le fonctionnement de vos équipes. Il ne s’agit évidemment pas de révolutionner
d’un coup l’ensemble de votre SI, mais de progressivement améliorer l’efficacité de vos
outils informatiques tout en assurant un plan de continuité et en garantissant une adoption
des utilisateurs.
Le premier risque clairement identifié concerne celui lié à l’attaque informatique. L’état des
lieux de vos logiciels et applications métiers permet d’identifier les outils qui souffrent de
failles de sécurité, qui manquent d’optimisation ou dont la dette technique est indépassable.
Tests unitaires, tests fonctionnels, versioning... Nous vous fournissons l’ensemble des grands
commandements dignes du développement logiciel de qualité.
Ces données sont-elles sûres et intègres au sein de votre système d’information ? Comment
améliorer la fiabilité des données collectées ?
Certaines données ne doivent être accessibles qu’à certaines personnes au sein de vos équipes.
L’audit de la gestion des données permet notamment d’étudier et d’analyser les outils que
vous avez mis en place, ou de vous épauler dans la conception d'applications respectant la
loi RGPD.
Une des dimensions malheureusement la moins étudiée lors d’un audit est l’aspect
organisationnel et humain. Pourtant, il n’est pas admissible qu’une entreprise soit à la merci
de la démission d’une personne-clef. Il n’est pas tolérable non plus qu’un framework maison
freine le recrutement de nouveaux développeurs.
11 Eddy lwak