Vous êtes sur la page 1sur 19

Mini Projet : Audit de la Sécurité d’un réseau

informatique
Travail élaboré par : KHELIFI Assil
Prof. : Kamel KHDHIRI
2020/2021
Table des matières
Chapitre I : Etude théorique ................................................................................................................ 3
I. Introduction ................................................................................................................................... 3
II. Organisme d’accueil .................................................................................................................. 3
III. Audit sécurité Informatique ..................................................................................................... 4
1. Définition..................................................................................................................................... 4
2. Les risques d’un réseau informatique .......................................................................................... 4
a. LES PANNES ET ERREURS (NON INTENTIONNELLES) ............................................... 4
b. LES MENACES INTENTIONNELLES ................................................................................ 4
3. Normes et standards relatives à la sécurité .................................................................................. 4
a. ISO/IEC 27001 ........................................................................................................................ 5
b. ISO/IEC 27002 ........................................................................................................................ 5
c. ISO/IEC 27005 ........................................................................................................................ 5
4. Lois relatives à la sécurité informatique en Tunisie .................................................................... 5
5. Rôle et objectifs d’audit............................................................................................................... 5
6. Cycle de vie d’un audit de sécurité des systèmes d’information ................................................. 6
7. Démarche de réalisation d’une mission d’audit de sécurité des systèmes d’information ........... 6
a. Préparation de l’audit .............................................................................................................. 6
b. Audit organisationnel et physique ........................................................................................... 7
c. Audit technique ....................................................................................................................... 7
d. Rapport d’audit ........................................................................................................................ 9
Chapitre II : Réalisation de l’audite .................................................................................................. 10
I. Audite organisationnelle et physique ......................................................................................... 10
1. Approche adoptée ...................................................................................................................... 10
2. Présentation et interprétation des résultats ................................................................................ 10
a. Politique de sécurité de l’information ................................................................................... 10
b. Organisation de la sécurité de l’information ......................................................................... 10
c. Gestion des biens ................................................................................................................... 10
d. Sécurité liée aux ressources humaines .................................................................................. 10
e. Sécurité physique et environnementale ................................................................................. 11
f. Gestion des communications et de l’exploitation .................................................................. 11
g. Contrôle d’accès .................................................................................................................... 11
h. Développement et maintenance des systèmes ....................................................................... 11
i. Gestion des incidents ............................................................................................................. 12
j. Gestion de la continuité d’activité ......................................................................................... 12
k. Conformité............................................................................................................................. 12
3. Recommandations ..................................................................................................................... 12
a. Politique de sécurité de l’information ................................................................................... 12
b. Organisation de la sécurité de l’information ......................................................................... 12
c. Gestion des biens ................................................................................................................... 13
d. Sécurité liée aux ressources humaines .................................................................................. 13
e. Sécurité physique et environnementale ................................................................................. 13
f. Gestion des communications et de l’exploitation .................................................................. 13
g. Contrôle d’accès .................................................................................................................... 14
h. Développement et maintenance des systèmes ....................................................................... 14
i. Gestion des incidents ............................................................................................................. 14
j. Gestion de la continuité d’activité ......................................................................................... 14
k. Conformité............................................................................................................................. 15
II. Audite technique ...................................................................................................................... 15
1. Outils ......................................................................................................................................... 15
a. Nmap ..................................................................................................................................... 15
b. NESSUS ................................................................................................................................ 15
c. NetworkView ........................................................................................................................ 15
2. Analyse de l’architecture réseau et système .............................................................................. 15
a. Reconnaissance du réseau et du plan d’adressage ........................................................ 15
b. Sondage système et des services réseaux ........................................................................ 17
3. Recommandations ..................................................................................................................... 18
Chapitre I : Etude théorique
I. Introduction

Le réseau informatique est devenu le point névralgique de toutes les sociétés. Sans
informatique, aucune activité possible. Afin d’être performantes les entreprises doivent avoir
leur système à la pointe de la technologie. Constamment utilisé par le personnel, il doit répondre
aux multiples demandes de manière rapide et efficace. Cependant, après une longue utilisation
ou suite à des modifications successives, le réseau perd en performance et altère la productivité
de l'entreprise. D'où la nécessité d'effectuer un audit du réseau informatique, dans le but vérifier
les installations logicielles propres aux systèmes d'exploitation, à la sauvegarde et au stockage,
ainsi qu'aux systèmes de sécurité. L'audit sécurité informatique permet ainsi d'identifier les
faiblesses du système afin d'y remédier rapidement et ne pas perdre en efficacité.

II. Organisme d’accueil

La Société Nationale de Chemins de Fer Tunisiens (SNCFT) est un établissement public non
administratif chargé de la gestion, de l’exploitation et de l’entretien du réseau ferroviaire
tunisien. Cet établissement, qui est doté de la personnalité civile et de l’autonomie financière,
est placé sous la tutelle du Ministère du Transport.

L’audite du réseau informatique sera effectué chez la direction centrale de Gestion et Finance
/ Département des achats.

3
III. Audit sécurité Informatique

1. Définition

L'audit d’un réseau informatique a pour objectif d’identifier et d’évaluer les risques associés
aux activités informatiques d'une entreprise ou d'une administration.

2. Les risques d’un réseau informatique

a. LES PANNES ET ERREURS (NON INTENTIONNELLES)

➢ Pannes/dysfonctionnement du matériel ;
➢ Pannes/dysfonctionnement du logiciel de base ;
➢ Erreurs d'exploitation
➢ Erreurs de manipulation des informations
➢ Erreurs de conception des applications.
b. LES MENACES INTENTIONNELLES

C'est l'ensemble des actions malveillantes qui constituent la plus grosse partie du risque. Elles
font l'objet principal des mesures de protection. Parmi elles, on compte les menaces passives et
les menaces actives.

Les menaces passives sont :

➢ Les détournements des données


➢ Les détournements de logiciels : les copies illicites par exemple.
Quant aux menaces actives, nous pouvons citer :

➢ Les modifications des informations : la fraude financière informatique ;


➢ Le sabotage des informations ;
➢ Les modifications des logiciels : Le virus, Le ver, Le spyware, Le hijacker, Le
troyen …
3. Normes et standards relatives à la sécurité

Les normes sont des accords documentés contenant des spécifications techniques ou autres
critères précis destinés à être utilisés systématiquement en tant que règles, lignes directrices ou
définitions de caractéristiques pour assurer que des processus, services, produits et matériaux
sont aptes à leur emploi

4
a. ISO/IEC 27001

La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences de SMSI », elle est la
norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit les conditions
pour mettre en œuvre et documenter un SMSI (Système de Management de la Sécurité de
l'Information).

b. ISO/IEC 27002

Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO 17799:V2000,
puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a été rebaptisée en
ISO 27002 pour s'intégrer dans la suite ISO 2700x, intitulé « Code de bonnes pratiques pour la
gestion de la sécurité de l'information ».

ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la
sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des
informations.

c. ISO/IEC 27005

La norme ISO/IEC 27005, intitulé « Gestion du risque en sécurité de l'information », est une
évolution de la norme ISO 13335, définissant les techniques à mettre en œuvre dans le cadre
d’une démarche de gestion des risques.

4. Lois relatives à la sécurité informatique en Tunisie

Loi n° 5 - 2004 du 3 février 2004, relative à la sécurité informatique et portant sur


l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection
des systèmes informatiques et des réseaux.

Décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des
organismes soumis a l'audit obligatoire périodique de la sécurité informatique et les critères
relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des
recommandations contenues dans le rapport d'audit.

5. Rôle et objectifs d’audit

L’audit sécurité est une mission d’évaluation de conformité par rapport à une politique de
sécurité ou à défaut par rapport à un ensemble de règles de sécurité.

Principe : auditer rationnellement et expliciter les finalités de l’audit, puis en déduire les
moyens d’investigations jugés nécessaires et suffisants.
5
L’objectif principal d’une mission d’audit sécurité c’est de répondre aux préoccupations
concrètes de l’entreprise, notamment de ses besoins en sécurité, en :

✓ Déterminant les déviations par rapport aux bonnes pratiques.


✓ Proposant des actions d’améliorations de niveau de sécurité de l’infrastructure
informatique.
Cependant, l’audit de sécurité peut présenter un aspect préventif. C'est-à-dire qu’il est effectué
de façons périodiques afin que l’organisme puisse prévenir les failles de sécurité. Également,
l’audit peut s’imposer suite à des incidents de sécurité.

6. Cycle de vie d’un audit de sécurité des systèmes d’information

L’audit de sécurité informatique se présente essentiellement suivant deux parties comme le


présente le précédent schéma :

➢ L’audit organisationnel et physique.

➢ L’audit technique.

7. Démarche de réalisation d’une mission d’audit de sécurité des systèmes


d’information

Tel que précédemment évoqué, l’audit de sécurité des systèmes d’information se déroule
généralement suivant deux principales étapes. Cependant il existe une phase tout aussi
importante qui est une phase de préparation. Nous schématisons l’ensemble du processus
d’audit à travers la figure suivante :

a. Préparation de l’audit

Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante pour la
réalisation de l’audit sur terrain.

En synthèse on peut dire que cette étape permet de :

✓ Définir un référentiel de sécurité (dépend des exigence et attentes des responsables


du site audité, type d’audit).
✓ Elaboration d’un questionnaire d’audit sécurité à partir du référentiel et des objectifs
de la mission.
✓ Planification des entretiens et informations de personnes impliquées.

6
b. Audit organisationnel et physique

Objectif :

Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de l’organisme


cible, à auditer.

Nous nous intéressons donc aux aspects de gestion et d’organisation de la sécurité, sur les
plans organisationnels, humains et physiques.

Les objectifs visés par cette étape sont donc :

➢ D’avoir une vue globale de l´état de sécurité du système d´information,


➢ D´identifier les risques potentiels sur le plan organisationnel.
Déroulement

Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche méthodologique qui
s’appuie sur un ensemble de questions. Ce questionnaire préétabli devra tenir compte et
s’adapter aux réalités de l’organisme à auditer. A l’issu de ce questionnaire, et suivant une
métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau de maturité en
termes de sécurité de l’organisme, ainsi que la conformité de cet organisme par rapport à la
norme référentielle de l’audit.

Dans notre contexte, cet audit prendra comme référentiel la norme ISO/27002 :2005.

c. Audit technique

Objectif

Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique allant de la
découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs
et vulnérables. Cette analyse devra faire apparaître les failles et les risques, les conséquences
d’intrusions ou de manipulations illicites de données.

Au cours de cette phase, l’auditeur pourra également apprécier l’écart avec les réponses
obtenues lors des entretiens. Il sera à même de tester la robustesse de la sécurité du système
d’information et sa capacité à préserver les aspects de confidentialité, d’intégrité, de
disponibilité et d’autorisation.

Déroulement

7
L’audit technique sera réalisé selon une succession de phases respectant une approche
méthodique. L’audit technique permet la détection des types de vulnérabilités suivante, à
savoir :

✓ Les erreurs de programmation et erreurs d’architecture.


✓ Les erreurs de configurations des composants logiques installés tels que les services
(ports) ouverts sur les machines, la présence de fichiers de configuration installés par
défaut, l’utilisation des comptes utilisateurs par défaut.
✓ Les problèmes au niveau de trafic réseau (flux ou trafic non répertorié, écoute
réseau,...).
✓ Les problèmes de configuration des équipements d’interconnexion et de contrôle
d’accès réseau.
Les principales phases :

Phase 1 : Audit de l’architecture du système

➢ Reconnaissance du réseau et de plan d’adressage,


➢ Sondage des systèmes,
➢ Sondage réseau,
➢ Audit des applications.
Phase 2 : Analyse des vulnérabilités

➢ Analyse des vulnérabilités des serveurs en exploitation,


➢ Analyse des vulnérabilités des postes de travail.
Phase 3 : Audit de l’architecture de sécurité existante

➢ Cette phase couvre entièrement/ partiellement la liste ci-après :

o Audit des firewalls et des règles de filtrage,


o Audit des routeurs et des ACLs (Liste de contrôle d’accès),
o Audit des sondes et des passerelles antivirales,
o Audit des stations proxy,
o Audit des serveurs DNS, d’authentification,
o Audit des commutateurs,
o Audit de la politique d’usage de mots de passe

8
d. Rapport d’audit

A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger un rapport de
synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des défaillances
enregistrées. Autant est-il important de déceler un mal, autant il est également important d’y
proposer des solutions. Ainsi, l’auditeur est également invité à proposer des solutions
(recommandations), détaillées, pour pallier aux défauts qu’il aura constatés.

Les recommandations devront inclure au minimum :

➢ Une étude de la situation existante en termes de sécurité au niveau du site audité, qui
tiendra compte de l’audit organisationnel et physique, ainsi que les éventuelles
vulnérabilités de gestion des composantes du système (réseau, systèmes, applications,
outils de sécurité) et les recommandations correspondantes.

➢ Les actions détaillées (organisationnelles et techniques) urgentes à mettre en œuvre


dans l’immédiat, pour parer aux défaillances les plus graves, ainsi que la proposition
de la mise à jour ou de l’élaboration de la politique de sécurité à instaurer.

9
Chapitre II : Réalisation de l’audite
I. Audite organisationnelle et physique

1. Approche adoptée

Notre approche consiste à mesurer le niveau de maturité en se basant sur un questionnaire


inspiré de la Norme ISO 27002.

Ce questionnaire comporte 11 chapitres, chaque chapitre présente un thème de sécurité dans


lequel sont exposés des objectifs de contrôles et des recommandations sur les mesures de
sécurité à mettre en œuvre et les contrôles à implémenter.

2. Présentation et interprétation des résultats

a. Politique de sécurité de l’information

• La politique de sécurité n’est pas affectée à un responsable, chargé de la révision


régulière de ce document et l’adaptée périodiquement en cas de changement au
niveau de l’organisation ou au niveau de l’architecture, suite à un incident de
sécurité, ou bien à cause des changements technologiques.
b. Organisation de la sécurité de l’information

• L’inexistence des fonctions suivantes dans la politique de sécurité : responsable


spécialiste de la sécurité physique ; responsable spécialiste de la sécurité
fonctionnelle et informatique ; directeur responsable de la sécurité générale.
• L’inexistence d’une politique de révision et de documentation de la politique
d’organisation de la sécurité.
• Absence d’un contrat qui stipule les clauses relatives à la sécurité des valeurs de
l’organisation, la sécurité physique et l’existence d’un plan de secours dans le cas
d’externalisation du ministère.
c. Gestion des biens

• Manque des Lignes directrices pour la classification des informations en termes de


valeur, d’exigences légales, de sensibilité et de criticité,
• Il n’y a pas de contrôle des logiciels installés.
• L’inexistence des règles d’utilisation des biens et des services d’information.
d. Sécurité liée aux ressources humaines

• L’inexistence d’un contrat signé par tous les personnels pour prendre des décisions
en cas de non-respect des règles de sécurité, ou bien qu’ils soient sources des failles.
• Absence d’une note précisant les devoirs et responsabilités du personnel.

10
• Absence d’un programme de sensibilisation du personnel aux risques d'accident,
d'erreur et de malveillance relatifs au traitement de l'information.
• Absence d’un document de confidentialité des informations signé par les employés
lors de l’embauche.
e. Sécurité physique et environnementale

• Absence d’une réglementation spéciale contre le fait de fumer, boire, et manger


dans les locaux informatiques.
• Absence des procédures de gestion de crise en cas de long arrêt du système et de
permettre la reprise du fonctionnement au moins partiellement (favoriser quelques
machines sur d’autres).
• L’inexistence d’un système de détection ou d’évacuation d’eau.
• Absence d’un document lié à la sécurité physique et environnementale
f. Gestion des communications et de l’exploitation

• Absence d’une procédure pour la gestion des incidents.


• Absence des procédures formelles pour la prévention contre la détection et la
prévention des logiciels malicieux.
• Absence d’une politique pour se débarrasser des documents importants.
• L’inexistence des consignes interdisant l’utilisation des logiciels sans licence qui
doivent être respectés et contrôlés.
g. Contrôle d’accès

• Absence d’une procédure d’attribution ou de retrait des privilèges qui nécessite


l’accord formel de la hiérarchie.
• Les utilisateurs non conscients qu’ils doivent verrouiller leurs sessions en quittant
leur bureau même pour quelques instants.
• Absence du contrôle par un dispositif d’identification et d’authentification à l’accès
au système.
h. Développement et maintenance des systèmes

• Absence des procédures de validation en cas d’un ou des changements réalisés sur
les programmes ou bien sur les applications.
• Absence de l’assurance de la sécurité de la documentation du système
d’information.
• L’inexistence des procédures de contrôle pour les logiciels développés en sous-
traitance.
• L’inexistence d’une politique de maintenance périodique et assidue des
équipements.

11
i. Gestion des incidents

• L’inexistence d’une politique de gestion des incidents.


• Absence d’une politique pour répartition des responsabilités en cas d’incident.
• Absence d’un système de reporting des incidents liés à la sécurité de l’information.
• Les employés ne sont pas informés du comportement à avoir si un incident est
survenu.
j. Gestion de la continuité d’activité

• Absence d’une politique de sauvegarde pour d’autres actifs de l’organisme.


• Une analyse de risque à partir des divers scénarios n’est jamais développé, qui
permet d’identifier les objets et les événements qui pourraient causer des
interruptions (partielle ou totale).
• L’inexistence des alarmes pour l’avertissement lors d’accès aux actifs sensibles en
dehors des heures de travail ou en cas d’accès non autorisés.
• Absence des plans écrits et implémentés pour restaurer les activités et les services
en cas de problèmes.
k. Conformité

• On remarque l’absence d’une définition, d’une documentation et d’une mise à jour


explicite de toutes les exigences légales, réglementaires et contractuelles en
vigueur, ainsi que la procédure utilisée par l’organisme pour satisfaire à ces
exigences.
• L’inexistence d’une procédure définissant une bonne utilisation des technologies
de l’information par le personnel.
3. Recommandations

a. Politique de sécurité de l’information

• Le management de l’organisation doit être impliqué dans la sécurité de


l’information, en particulier dans la définition de la politique de sécurité, la
définition des responsabilités, l’allocation des ressources
• Définir les rôles des responsables en matière de sécurité de l’information.
b. Organisation de la sécurité de l’information

• Etablir une procédure d'information préliminaire auprès du personnel (interne ou


contracté), en ce qui concerne ses devoirs et responsabilités et les exigences de
sécurité de la fonction, avant tout changement d'affectation ou embauche.
• Une note précisant les devoirs et responsabilités du personnel doit être diffusée à
l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu
connaissance.

12
• Etablir une clause dans les contrats d'embauche ou dans le règlement intérieur,
précisant l'obligation de respecter l'ensemble des règles de sécurité en vigueur.
c. Gestion des biens

• Définir les types d'actifs qui doivent être identifiés et inventoriés. Les actifs peuvent
être des informations, des logiciels, des équipements matériels, des services et
servitudes, des personnes ou du savoir-faire, des actifs intangibles tels que la
réputation ou l'image.
• Tenir à jour l’inventaire des types d'actifs identifiés.
• Définir et documenter, pour chaque actif, les règles d'utilisation acceptables.
• Définir et contrôler une procédure de revue périodique des classifications.
d. Sécurité liée aux ressources humaines

• Etablir une procédure d'information préliminaire auprès du personnel (interne ou


contracté), en ce qui concerne ses devoirs et responsabilités et les exigences de
sécurité de la fonction, avant tout changement d'affectation ou embauche.
• Une note précisant les devoirs et responsabilités du personnel doit être diffusée à
l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu
connaissance.
• Etablir une clause dans les contrats d'embauche ou dans le règlement intérieur,
précisant l'obligation de respecter l'ensemble des règles de sécurité en vigueur.
e. Sécurité physique et environnementale

• Il faut mettre des consignes claires à propos du fait manger, boire ou fumer dans les
locaux informatiques.
• Contrôler de manière globale le mouvement des visiteurs et des prestataires
occasionnels (signature de la personne visitée, etc.).
• Définir des procédures spécifiques de contrôle pour chaque type de prestataire
extérieur au service amené à intervenir dans les bureaux (sociétés de maintenance,
personnel de nettoyage, etc.) : port d'un badge spécifique, présence d'un
accompagnateur, autorisation préalable indiquant le nom de l’intervenant …
• Faire une analyse systématique et exhaustive de toutes les voies possibles d'arrivée
d'eau et de tous les risques d'incendie et les risques environnementaux
envisageables et prendre des mesures en conséquence.
• Mettre en place des détecteurs d'humidité et des détecteurs d'eau à proximité de
salle machine qui doivent être reliés à un poste permanent de surveillance.
• Définir des procédures de gestion de crise en cas de long arrêt du système et de
permettre la reprise du fonctionnement au moins partiellement (favoriser quelques
machines sur d’autres).
f. Gestion des communications et de l’exploitation

13
• Etablir des procédures opérationnelles d'exploitation qui doivent être documentées,
maintenues à jour, rendues disponibles à toute personne en ayant besoin et
approuvées par les responsables concernés.
• Définir, au sein de l'exploitation des réseaux, des profils correspondant à chaque
type d'activité et attribuer les droits privilégiés nécessaires pour chaque profil.
• Etablir, contrôler et tester formellement des mesures de sécurité pour remédier aux
nouveaux risques avant mise en exploitation.
• Définir une politique afin de lutter contre les risques d’attaque par des codes
malveillants (virus, chevaux de Troie, vers…).
g. Contrôle d’accès

• Etablir une politique de gestion des droits d'accès aux zones de bureaux s'appuyant
sur une analyse préalable des exigences de sécurité, basées sur les enjeux de
l’activité.
• Les droits accordés aux utilisateurs dès leur enregistrement doivent être approuvés
par les propriétaires des ressources concernées.
• Contrôler strictement le processus d'attribution (ou modification ou retrait) de droits
privilégiés et d'autorisations d'accès à un individu.
• Le processus de création ou de modification d’un authentifiant pour les accès
internes doit respecter un ensemble de règles permettant d'avoir confiance dans sa
solidité intrinsèque.
h. Développement et maintenance des systèmes

• Définir les liens permanents et les échanges de données devant être protégés par des
solutions de chiffrement et mis en place de telles solutions au niveau de réseau
étendu et local.
• Chiffrer les données sensibles contenues éventuellement sur le poste de travail ou
sur un disque logique de données partagées hébergé sur un serveur de données.
• La procédure et les mécanismes de conservation, de distribution et d’échange de
clés, et plus généralement la gestion des clés, doivent offrir des garanties de solidité
dignes de confiance, lors des échanges et d’accès distant sur le réseau local et
étendu.
• Mettre en place des procédures pour contrôler l’installation du logiciel sur les
systèmes en exploitation.
i. Gestion des incidents

• Les responsabilités et les procédures doivent être établies afin de fournir rapidement
des solutions effectives aux incidents de sécurité.
j. Gestion de la continuité d’activité

14
• Définir des processus, régulièrement mis en œuvre, d’analyse des risques, liés à
l’information, pouvant conduire à une interruption des activités de l’entreprise,
débouchant sur une définition des exigences de sécurité, des responsabilités, des
procédures à appliquer et moyens à mettre en œuvre afin de permettre l’élaboration
des plans de continuité.
• Analyser la criticité des différentes activités pour mettre en évidence les besoins de
continuité de service et déduire des plans de continuité d’activité pour chaque
activité critique.
k. Conformité

• Toutes les exigences légales, réglementaires et contractuelles doivent être définies


explicitement et documentées pour le système informatique et son application par
l'organisation doit figurer dans un document tenu à jour.
• Procéder à des contrôles fréquents visant à vérifier que les logiciels installés sont
conformes aux logiciels déclarés ou qu’ils possèdent une licence en règle.

II. Audite technique

1. Outils

a. Nmap

Nmap a été conçu pour rapidement scanner de grands réseaux, mais il fonctionne aussi très
bien sur une cible unique. Nmap est généralement utilisé pour les audits de sécurité mais de
nombreux gestionnaires des systèmes et de réseau l'apprécient pour des tâches de routine
comme les inventaires de réseau, la gestion des mises à jour planifiées ou la surveillance des
hôtes et des services actifs.

b. NESSUS

Nessus est un outil de test de vulnérabilité. Il fonctionne en mode client/serveur, avec une
interface graphique. Une fois installé, le serveur « Nessusd », éventuellement sur une machine
distante, effectue les tests et les envoie au client « Nessus » qui fonctionne sur une interface
graphique.

c. NetworkView

Utilisé pour l'identification de la topologie réseau est à sa version 7.0 qui permet de fournir
une représentation graphique des composantes actives sur le réseau et leurs attributs.

2. Analyse de l’architecture réseau et système

a. Reconnaissance du réseau et du plan d’adressage

15
Durant cette étape, nous allons procéder à une inspection du réseau afin de déterminer sa
topologie, d’identifier les hôtes connectés et les équipements réseau.

Concernant le plan d’adressage, tous les hôtes du réseau utilisent des adresses IP privée de
classe A (10.25.53.xxx/24) avec un masque réseau de classe C.

Cette figure montre les postes utilisateurs de la zone inspection, la zone des serveurs en
exploitation et les postes utilisateurs de la zone DAAF sur le réseau interne.

Le réseau interne est segmenté en 8 sous réseaux.

16
Tous les hôtes du réseau utilisent des adresses IP privée de classe A (10.*.*.*/24) avec un
masque réseau de classe C ce qui n’est pas conforme aux normes en vigueur. La configuration
TCP/IP des hôtes est manuelle, ce qu’indique qu’elle est protégée contre les modifications, les
postes de travail occupent des adresses de plage 10.x.x.x/24.

Nous signalons à cet égard, que la configuration réseau au niveau des postes n’est pas protégée
contre les modifications. En effet, chaque utilisateur peut changer son adresse ce qui peut
générer des conflits d’adresses. Des attaques de type IP Spoofing (usurpation d'identité) peuvent
être facilement menées et générer un déni du service ; il suffit de remplacer l’adresse IP du
poste par celle d’un équipement critique (routeur, serveur, etc.). Cette attaque permet la
dégradation des performances de l’équipement concerné voir même son arrêt complet.

b. Sondage système et des services réseaux

L’objectif de cette étape est l’identification des systèmes d’exploitation et des services réseau
ce qui permet de savoir les ports ouverts des équipements audités. Il est également possible
d’analyser le trafic, de reconnaître les protocoles et les services prédominant au niveau du
réseau.

➢ Identification des services réseaux

Il s’agit de déterminer les services offerts par les serveurs et les postes de travail qui peuvent
être une source de vulnérabilité.

J'ai effectué un balayage des machines (serveurs et postes de travail) du réseau interne, j’ai pu
cerner la liste des ports ouverts sur les stations en activité.

17
3. Recommandations

➢ Attribution des mots de passe au niveau de bios sur les machines sensibles afin de
protéger contre les accès physiques.

➢ Effectuer des tests de récupération et de restauration des systèmes et des données


comme s’il y a eu d’incident

➢ Veillez à ce que tous les mots de passe surtout des serveurs et des équipements réseaux
et sécurité soient des mots de passe robustes et les changer régulièrement

➢ Mettre en place une stratégie de sauvegarde et de restitution des données formellement


décrite et de vérifier le bon fonctionnement des supports de sauvegarde après chaque
cycle de ce dernier.

18

Vous aimerez peut-être aussi