Académique Documents
Professionnel Documents
Culture Documents
DEDICACE
C’est grâce à votre soutien infaillible que j’ai réussi à progresser dans mes études.
REMERCIEMENTS
Je remercie, tout particulièrement et en premier, le bon Dieu pour la paix et la santé qu’il
a toujours pourvu pour la bonne réussite de mes études et autres activités extra scolaires.
Je remercie ensuite tous les Professeurs et corps administratif de PIGIER Côte d’Ivoire
pour leurs conseils et leurs disponibilités auprès des étudiants.
AVANT-PROPOS
Une bonne formation professionnelle doit allier les enseignements théoriques classiques
à une expérience pratique, notamment par l'entremise d'un stage au sein d'une entreprise.
Cette confrontation de la théorie et de la pratique doit permettre à l'étudiant de mesurer
ses compétences, de corriger ses insuffisances et d’approfondir ses connaissances afin
d’être plus opérationnel.
Au Groupe PIGIER, structurede formationprofessionnelle,en cequi concerneles
étudiantsenLicence professionnelle et Master2 lemémoire estla preuveécritede
l’accomplissementdu cyclede formation et représentepournousunephaseimportantepour
notre candidature auDiplômede Licence Professionnelleoption Réseaux et Génie
Logiciel.
C’est donc une opportunité pour nous de porter une réflexion profonde à la fois théorique
et pratique sur notre thème :« AUDIT DE SECURITE INFORMATIQUE D’UN RESEAUX
LOCAL D’ENTREPRISE »
Laconduiteet l'exécutiondecetravailnousa permisdemobiliserdes connaissancestechniques
enmatièredepromotiondesactivités d’audit et de sécurité dansledomainede réseaux
informatiques d’entreprises.
RESUME
Dans l'entreprise, la sécurité du système d’informations et des données représentent un
grand capital, à considérer au même niveau que le capital financier. Il faut les gérer
convenablement. Maîtriser ce facteur permet aujourd'hui aux entreprises de limiter les
risques de vulnérabilités et d’attaques.
Par conséquent le défi est lancé, la gestion de sécurité de systèmes d’informations et des
documents confidentiels des entreprises. Par ailleurs la sécurité du système d’information
est devenue plus qu’une préoccupation pour toutes entreprises évoluant dans un monde en
perpétuel économiquement et technologiquement. En effet, malgré des énormes budgets
que cela confère, une entreprise se voit dans l’obligation de sécurisé ses données afin
d’être l’abri de menaces. C'est dans ce cadre que se situe notre projet, qui consiste à
Auditer la sécurité et à maintenir en bon état le système d’information de la société
KRISTIC CONSULTING.
SUMMARY
Soas pre-view, we have had to realize in the frame of our assignment of training followed
tasks:
- The audit of the physical logical working of the computer network of the
enterprise ;
- To form staves of the enterprise to the good manipulation of the computer tool ;
- The faults detection in the working of the computer network of the enterprise;
- To offer adequate solutions for the good management of the computer network of
the enterprise.
INTRODUCTION
C’est ainsi que la société KRISTIC – CONSULTING nous a demandé de travailler sur le
thème intitulé «AUDIT DESECURITE INFORMATIQUE D’UN RESEAU LOCAL
D’ENTREPRISE».
Ce mémoire est scindé en trois parties primordiales : la première partie présente le cadre
de référence de notre étude, la seconde partie est axée sur l’étude préalable du thème qui
nous a été soumis et la troisième partie détaille de façon pratique la mise en œuvre des
solutions retenues.
PREMIERE PARTIE :
CADRE DE REFERENCE
1. HISTORIQUE
Créée en 2004, l’agence KRISTIC Consulting est une société Anonyme à Responsabilité
Limitée (SARL). Elle a son siège social à Treichville, rue des selliers.
Certaines de ses réalisations telles des émissions télévisées et des évènements sportifs ont
contribué au meilleur positionnement de certaines entreprises ivoiriennes et africaines.
KRISTIC Consulting est une société Anonyme à Responsabilité Limitée (SARL) qui
exerce dans le secteur tertiaire c'est-à-dire, une entreprise qui est chargée à la vente des
biens et services. Elle a son siège social à Treichville, rue des selliers.
2.2. Services
KRISTIC Consulting est une société qui offre plusieurs services dont voici quelques uns :
a) Marketing sportif
Le marketing sportif (ou marketing du sport) est l'ensemble des principes et des stratégies
marketing appliqués au domaine du sport. Il concerne à la fois les produits, les services et
les organisations. Il existe une autre définition du marketing sportif. Dans ce différent
point de vue, le marketing du sport est le marketing de l'offre. Il est un outil de gestion de
Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel page8
PIGIER Côte d’Ivoire AUDIT DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE
Le marketing social est l’application des techniques et des outils du marketing commercial
à des milieux relevant des problématiques sociales, environnementales ou culturelles. Il
correspond à une segmentation, un ciblage. On procède ensuite à une évaluation des
actions engagées.
c) Création
d) Production audiovisuelle
Elle consiste en la réunion et en la mise en œuvre de talents, de moyens techniques et
humains, de financements nécessaires à la réalisation de programmes audiovisuels
(télévision, cinéma).
-Au cœur des Eléphanteaux : les 20,23et 26 juin 2006 (CI Telecom)
3. ORGANIGRAMME
KRISTIC Consulting est dirigée par un Directeur Général. L’ensemble de son personnel
est aidé dans ses tâches quotidiennes par des collaborateurs extérieurs ou consultants.
Organigramme schématisé
Direction Générale
Secrétariat
1. Intérêt personnel
2. Intérêt scientifique
Ce thème a un intérêt très capital pour l’entreprise, car sa mise en évidence devrait
permettre à l’entreprise ,notamment à l’ensemble du personnel informatique de celle-ci de
bien maitriser les techniques de bases d’audit informatique et lutter contre toute
utilisation frauduleuse des données importantes de l’entreprise et de renforcer ainsi les
mesures de sécurité de l’entreprise afin d’accroître sa compétitivité et ses revenus dans le
paysage des affaires oùla concurrence bas son plein.
III) PROBLEMATIQUE
La bonne marche d’une entreprise ne peut se faire que, si elle détient un minimum
d’informations relatives à son environnement , mais aussi à l’utilisation optimale de
son système d’ information.
Cependant de nos jours, le paysage des affaires est heurté à des nombreuses difficultés
d’ordres sécuritaires de réseaux informatiques dû aux attaques de tous genres, qui parfois
occasionnent la fermeture de certaines d’entre elles. En effet la sécurité des réseaux
informatiques des entreprises est devenue plus qu’une préoccupation de toutes les
entreprises, qui évoluent dans un environnement de plus en plus incertain et qui veulent
protéger leurs données sensibles contre les pirates informatique. La question ici est de
mettre en évidence la stratégie que l’entreprise préconise pour pouvoir être à l’abri de ces
menaces afin de protéger ses données.
IV) HYPOTHESES
V) MISSIONS DU STAGIAIRE
Il s’agit de l’ensemble de tâches qui nous ont été confiées, et que nous avons eu le devoir
d’accomplir dans le cadre de notre mission de stagiaire. Cet ainsi, Les activités réalisées
ont été nombreuses.
Dès le départ nous avons proposés et présentés un planning provisoire des différentes
actions à mener pendant le stage. Ce qui a été bien accueilli par l'entreprise. Ensuite nous
avons eu à faire la visite complète de l'entreprise et des ateliers afin d'analyser
l'immobilier et l'implantation de l'entreprise, le matériel et l'équipement, les stocks de
l'entreprise, l'organisation de la gestion de son système d’information, de la production.
Nous avons également mené les missions suivantes :
- Identifier les besoins internes de l’entreprise en terme fonctionnel ;
- Diagnostiquer le système d’information existant de l’entreprise et proposer des
solutions idoines;
- Produire des rapports journaliers et les transmettent au supérieur hiérarchique ;
- Elaborer des fiches techniques pour le suivi des activités quotidiennes ;
- Assister les personnels de l’entreprise dans la manipulation de l’outil informatique ;
- Former les utilisateurs profanes à l’utilisation de l’outil informatique ;
- Maintenir en bon état le système informatique de l’entreprise ;
- Promouvoir les actions de surveillance, de sécurisation et d’administration du réseau
informatique de l’entreprise ;
2. Nouvelles acquisitions professionnelles
DEUXIEME PARTIE:
ETUDE PREALABLE
I) APPROCHE METHOLOGIQUE
Le but de la méthode utilisée est de mettre à disposition des règles, modes de présentation
et schémas de décision.
1. DEFINITION
Une méthodologie est une démarche rigoureuse et standardisée s’appuyant sur des outils
tels que des questionnaires, des logiciels spécialisés et permettant de faire l’analyse de
sécurité du système d’information dans ce contexte.
2. DIFFERENTES METHODES
Plusieurs méthodes globales se présentent, citons comme exemples :
3. CHOIX DE LA METHODE
La méthodologie adoptée pour l’élaboration de notre projet est COBIT.
COBIT est un modèle de référence utilisé pour l'audit et la maîtrise des systèmes
d'information.
Le modèle COBIT est centré sur la gouvernance des processus de gestion d'une direction
informatique.
La clef de la gouvernance est le Contrôle permettant d'atteindre des objectifs dans une des
catégories suivantes:
- phase préparatoire.
- Evaluation de la qualité des services.
- Audit de l’existant.
- Expression des besoins de sécurité " solutions."
L’audit de l’existant est déterminé en suivant la démarche d’un plan bien organisé et
détaillé élaboré par une autre société "SONAIDE"
3.3.4. Expression des besoins de sécurité
1. OBJECTIF
Cette étude a pour objectif principal de renforcer la sécurité du réseau de l’entreprise à
travers son audit.L’étude se donne également l’objectif d’apporter la lanterne de façon
générale sur les éléments essentiels du réseau dont il faut protéger.
2. Nature du projet
Il s’agit d’un projet soft car l’extrant principal est totalement intangible.
Après étude, nous avons déterminé un cout estimatif totalde : 1. 938700 FCFA qui
s’établissent comme suit :
Désignation Désignation
Quantité Prix Unitaire Montant
TROISIEME PARTIE :
ETUDE DETAILLEE
1. Phase préparatoire
Il s’agit de mettre en place les éléments essentiels pour le contrôle physique (matériels) et
logique (logiciels) de notre réseau. Cependant dans cette phase les opérations à effectuer
sont les suivantes :
4. Description
Windows Xp professionnel
Windows 7
Ordinateurs 03 TOSHIBA Dual Core 4 Go 1908JTA
(01)
Portables 2 Ghz
Imprimante 04 HP JT 12400
Serveur 03 DELL
Hub 01
Switch 02
Routeur 01 Cisco
Modem 01
- Plage d’adresse IP
La Société KRISTIC-CONSULTING dispose de plage d’adresse IP routables alloués au
routeur et aux postes de travail connectés au réseau.
- Topologie du réseau
Tous les postes de travail connectés au réseau sont placés sur le même segment. Des
Switchs en cascade sont utilisés dont les différents postes de travail leurs sont connectés.
Equipements existants
- Des PC de bureau et portables : Pentium IV, Dual Core
- Un serveur HP proliant pour de base de données
La situation actuelle souffre de défaillances du fait que le réseau n’obéit pas en effet aux
normes d’exploitation. Nous citons si après à titre d’exemple certains problèmes du
réseau :
- Absence de stratégie claire de protection des attaques virales (Anti spam par exemple)
venant des messageries électroniques depuis les ordinateurs qui ont un accès internet.
- Absence d’un détecteur d’intrusion contre tout accès non autorisé de l’extérieur vers le
réseau local.
- Absence d’une politique pour la mise à jour de l’antivirus et des correctifs de Windows.
-Absence d’une stratégie centralisée comme Active directory pour gérer des ressources
liées à la gestion du réseau (domaines, comptes utilisateurs, groupe de travail, stratégies de
sécurité, ...).
La construction du local doté d’un câblage obéissant aux normes en matière de câblage
informatique.
Prise en compte de la sécurité contre les risques physiques (les dégâts d’eau, de feu ou
d’électricité).
La connexion à internet et aux ressources du réseau local est rapide offrant un confort
d’accès.
Existence d’un Firewall qui permet la protection des réseaux informatiques internes de
l'entreprise contre les intrusions du monde extérieur, en particulier les piratages
informatiques.
Au fil des dernières décennies, l’outil informatique a pris une grande importance pour les
entreprises. Quel que soit le secteur d’activité de l’entreprise, l’informatique joue un rôle
prépondérant devenant peu à peu l’outil de référence.
Négligé l’importance des risques pesant sur le système informatique peut conduire
l’entreprise à déposer le bilan.
En Plus, un service de sécurité peut ainsi lui-même être constitué de plusieurs autres sous-
services de sécurité pour répondre à un besoin.
12 Authentification
13 Contrôle d’accès
15 La maintenance
Service Bureautique
Selon un Budget, les nouveaux projets informatiques qui sont proposés suite à un besoin
exprimé par la direction informatique, sont transmis directement vers la direction générale
pour acceptation ou refus.
Appréciation
L’existence de procédures de suivi fournit un avantage très important dans le bien être de
l’entreprise car ces procédures permettent :
Surveilleretassurerlabonnemarchedusystèmeauquotidien:
-surveiller les ressources (disque, mémoire, CPU, etc.);
-planifierl'ajoutderessources.
Administrerlesservicesdéployés:
-gérerlesutilisateurs;
- installeretconfigurerlesapplications;
-planifierlesmigrations.
Prévoir et gérer les incidents et les intrusions (tâches transversales):
- installerlescorrectifsdesécurité;
-«durcir»lesystèmeetlesapplications;
-mettreenœuvreunplandesauvegarde;
-superviserlesystèmeetlesapplications.
Appréciation
Recommandation
Chaque direction peut suivre des fiches techniques ou des manuels de politique, de norme
et de procédures servant à la planification, à l’organisation, au contrôle et à l’évaluation
de la direction informatique concernant :
- Les procédures par la mise à jour des applications informatiques etl’élaboration d’un
guide de sécurité aux utilisateurs.
Les responsabilités de la direction informatique doivent être justifiées par les éléments
suivants :
- Administrateur Réseau
Appréciation
- L’exploitation ;
Recommandation
La direction Informatique doit instaurer une structure qui sera chargé à la planification et
au suivit des travaux afin de :
La réalisation des objectifs du contrôle interne nécessite la mise en œuvre par l’entreprise
des dispositifs suivants :
Cela signifie que les machines clientes contactent un serveur de base de données, qui leur
fournit des services de données. Ces services sont exploités par des programmes, appelés
programme client, s’exécutant sur les machines clientes.
Appréciation
En plus l’architecture 2 tiers interroge un seul serveur pour évaluer un service demandé.
Mais, en cas de panne, seul ce serveur fait l’objet d’une réparation, et non le PC client,
cela signifie que ce serveur est le seul maillon faible du réseau client/serveur, étant
donné que tout le réseau est architecturé autour de lui.
Recommandation
L’implémentation d’une architecture multi tiers est plus efficace pour la société. Cette
architecture qui se base sur la technologie du Web met en évidence au moins 3 niveaux
Il n’existe aucun guide d’aide aux utilisateurs pour les applications utilisées.
Recommandation
Afin d’établir une méthode de sécurité, il est important de développer un guide d’aide
utilisateur pour les services de la sécurité appliquée dans la société et bien analyser les
demandes arrivant à ce guide.
3. Procédures d’achat
L’utilisateur final informe sur un problème qui s’est produit lors de son utilisation d’un tel
équipement.
Une consultation décrit si cet équipement a besoin d’un entretien ou il est inutilisable,
d’où une demande d’achat qui doit être élaborée par le responsable informatique.
Enfin reçoit le bon de livraison et la facture après leur prise en charge par le responsable
concerné
Appréciation
L’informatisation du système de gestion et d’organisation relatif à la gestion de
l’approvisionnement constitue un point fort envers l’amélioration du fonctionnement de
ce domaine. Cela a pour conséquence de bien contrôler :
- La gestion des commandes et des fournisseurs ;
- La tenue et le suivi du stock ;
- Prise en charge automatiquement des entrées et sorties ;
- Contrôle du stock ;
- Gestion des inventaires ;
V. EQUIPEMENTS INFORMATIQUE
Appréciation
Les différents postes de travail sont interconnectés via des Switch et des hubs en
cascade.
Appréciation
L’utilisation des hubs augmente le risque d’intrus obtenant l’accès au réseau et menant
une attaque d’écoute.
Recommandation
Il est conseillé de remplacer tous équipements passifs par des équipements actifs
Les boitiers des prises muraux sont repérés par des étiquettes portant un numéro unique
sur le réseau et qui est repéré facilement dans le panneau de brassage pour
l’interconnexion avec les commutateurs « prise Rj45 ».
Appréciation
Le système de câblage installé fonctionne selon les besoins en termes de bande passante et
de débit disponible
L’absence d’un suivi d’entretien de câblage peut être un point faible pour la sécurité du
câblage.
Chaque service possède une imprimante configurée et partagée sur un poste utilisateur
Appréciation
Recommandation
2. Environnement du matériel
Il n’y a pas une salle informatique pour héberger le matériel informatique. Les serveurs,
modem sont placés dans un bureau bien climatisé, l’accès à ce bureau n’est pas restreint.
Appréciation
Recommandation
Il est recommandé de
Appréciation
Il y’a risque de propagation de l’eau dans la salle connectique ce qui peut causer des
incidents à citer :
Recommandation
Il est conseillé d’utiliser des tubes isolés pour le câblage d’alimentation, ainsi que pour le
câblage réseaux.
Appréciation
Recommandation
Il est recommandé de
A partir du LAN d'une entreprise, quelque soit la station qui désire accéder à la toile, il est
possible d'exploiter l'une des trois méthodes ci après :
- Connexion directe (sans NAT) : dans cette méthode, la station interne qui fait office de
passerelle d'accès au réseau externe doit disposer d'une adresse IP officielle (publique)
qui lui permettra de l'identifier sur internet.
- Connexion directe avec NAT : dans ce cas, la station interne se contentera d'une
adresse IP privée, ses requêtes passeront par un NAT qui lui a une adresse IP public. La
NAT se chargera de traduire l'adresse de la station locale puisque celle-ci n'est pas
routable autrement dit autorisée sur internet du fait qu'elle n'est pas unique. Ce
mécanisme de NAT permet notamment de faire correspondre une seule adresse externe
publique visible sur internet à toutes les adresses d'un réseau privée, et pallie ainsi à
l'épuisement des adresses IPV4.
- Proxy-cache web : la station interne a une adresse privée et est configurée pour utiliser
le serveur proxy lorsqu'elle émet une requête web ; c'est donc au tour du proxy
d'envoyer la requête sur le serveur web externe. Cet état des fait ouvre deux sessions
TCP (http) : station-proxy et proxy-serveur web, conserve une cache web en interne,
permet un gain de la bande passante.
De ces trois méthodes, la plus sécurisée est la dernière ; elles sont ainsi énumérées
suivant le degré de sécurité le moins élevé.
3.2. Accès depuis l'internet
Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel page36
PIGIER Côte d’Ivoire AUDIT DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE
Dans une architecture réseau où certains services tels la messagerie, le web sont parfois
utilisés hors du réseau local, il convient de placer les serveurs hébergeant ces services dans
Ks-serveur Web (zone démilitarisée) qui doit être semi ouverte à find'autoriser les accès
externes. A défaut d'héberger ce service dans la zone démilitarisée, l'entreprise peut opter
également solliciter les services d'un fournisseur d'accès ou d'un hébergeur. Les stations de
Ks-serveur Web doivent être des stations dédiées c'est-à-dire réservées pour des tâches
précises à fin de limites les risques d'attaques du réseau local.
En matière de sécurité, vu les nombreuses failles de sécurité que présentent
l'environnement Windows (serveur web IIS en l'occurrence), il est préférables d'utiliser les
logiciels libres (ex : apache) et les systèmes Unix car ils présent moins de vulnérabilité ;
tout en prévoyant un mécanisme de mise à jour.
En général, accéder à partir de L'Internet au réseau local de l'entreprise concerne les tâches
telles que :
- La consultation de la messagerie et l'émission des messages,
- L'accès (interactif) aux stations interne,
- Le transfert de fichiers
- L'accès global à toutes les ressources de l'Intranet (réseau interne) de manière sécurisée
(absence de mot de passe en clair sur le réseau)
Pour réduire la vulnérabilité du réseau local, il convient de sécuriser les moyens d'accès à
ses tâches. L'accès interactif aux stations internes (Telnet), POP, IMAP,... présente une
vulnérabilité élevée, ainsi il est nécessaire de les coupler avec le protocole de sécurisation
des échanges SSL, qui assure la sécurité (confidentialité, intégrité et authentification) des
transactions sur internet. Au niveau applicatif, on peu également sécuriser l'accès interactif
et le transfert de fichiers en utilisant SSH ; penser à intégrer un garde-barrière dans la
chaîne de sécurité.
Un accès complet à toutes les ressources internes requiert davantage de sécurité. De ce fait
l'entreprise peut opter pour l'implémentation d'un VPN qui est une bonne alternative aux
liaisons spécialisées qui bien qu'étant plus fiables sont onéreuses. Le VPN utilise le
principe de tunneling pour la communication entre le deux points distants via les
protocoles tels que PPTP, L2TP,
IPSec.
Tous ces mécanismes de sécurité requièrent des compétences pointues pour ne pas créer
des trous de sécurité dans la configuration ; ils ne garantissent pas une sécurité à 100%
contre des attaques et des vols d'informations, d'où il est primordial de prévoir des
sauvegardes.
3.3. Segmentation
Absence de séparation logique au niveau du réseau. Tous les postes connectés sont placés
sur le même segment.
Appréciation
Les données échangées par le personnel (administratif, technique etc...) dispose du même
niveau de confidentialité ce qui augmente le risque de perdre la confidence dans des
données échangées.
Recommandation
Il faut appliquer une séparation physique du réseau local en utilisant les commutateurs
entre les équipements interconnectés selon le degré de confidentialité.
Ks -client01 192.168.10.68
Ks -client02 192.168.10.69
Ks -client03 192.168.10.70
Ks -client04 192.168.10.71
Ks -client05 192.168.10.72
Ks -client06 192.168.10.73
Ks -client07 192.168.10.74
Ks -client08 192.168.10.75
Ks -client09 192.168.10.76
Ks -client010 192.168.10.77
Ks -client011 192.168.10.75
Ks -client012 192.168.10.76
Ks -client013 192.168.10.77
Ks -client014 192.168.10.78
Ks -client015 192.168.10.79
Ks -client016 192.168.10.80
Appréciation
Un attaquant, à l’aide d’outils spécifique, peut facilement identifier l’adresse IP de
l’équipement désigné, pour accéder à ces ressources.
Recommandation
Il est conseillé d’intégrer un serveur DHCP qui permet d’attribuer automatiquement des
adresses IP à la station de travail.
3.6. Les Postes utilisateurs
Caractéristiques des postes
Ordinateurs Marque Processeur Mémoire RAM Disque dur Système d’exploitation
a- Séquence de démarrage
- Disquette/CDROM
- Disque Dur
Appréciation
Recommandation
- Disque Dur
- CD ROM/Disquette
b- Session
La plus part des postes utilisateurs ne possèdent pas de session, mais il y’a d’autres qui
possèdent la configuration de deux sessions :
Appréciation
Recommandation
L’exigence d’avoir au moins deux sessions pour chaque poste, une pour l’utilisateur avec
privilège restreint de préférence pour ne pas modifier la configuration initiale et la
deuxième pour l’administrateur qui est le seul à pouvoir modifier les paramètres de base.
C- Active directory
Les postes client sont intégrés dans le WORKGROUP, ou le compte d’accès par défaut est
administrateur sur les postes client ce qui provoque des nombreuses requêtes en
provenance des postes clients qui veulent devenir le "maitre de Workgroup"
Appréciation
Recommandation
Appréciation
La majorité des failles et incidents de sécurité sont dus à des erreurs humains, des
utilisateurs sont encore inconscient ou ignorant des risques qu’ils encourent l’ors de
l’utilisation d’un programme malveillant.
Recommandation
Il faut s’assurer également que les utilisateurs sont sensibilisés aux risques informatiques
et adhérents aux exigences de sécurité des systèmes d’information.
Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel page41
PIGIER Côte d’Ivoire AUDIT DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE
La majorité des postes de travail disposent d’un antivirus installé (Kaspersky) qui vérifie
en permanence les fichiers de l’ordinateur, mais il y’a quelques un qui sont mal configurés
et qui ont une mise à jour ancienne.
Appréciation
Recommandation
On note l’absence d’un système de détection d’intrusion contre tout accès non autorisé
depuis l’extérieur.
Appréciation
Le système de détection d’intrusion sera un composant primordial pour les mécanismes
de sécurité des réseaux. Grace à lui on peut détecter les tentatives d’attaques de l’extérieur
de l’entreprise.
Recommandation
- NIDS : (Network Intrusion Détection System): est un détecteur d’intrusion réseau qui
détecte les attaques réseau en se basant sur une base de signatures très à jour.
- HIDS : (Host Intrusion Détection System) : Ces ondes s’incèrent entre les applications
et le cœur du système d’exploitation pour protéger des applications ou des serveurs
critiques.
Les solutions IDS (Intrusion Détection System) pour réseau garantie une surveillance
permanente du réseau.
4.2.3 Attaque sur le mot de passe
Aucun mécanisme n’est pris en considération pour lutter contre les attaques sur les mots
de passe.
Appréciation
Un intrus peut mener une attaque pour collecter les mots de passe afin d’accéder aux
ressources matériels mises en question.
Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel page42
PIGIER Côte d’Ivoire AUDIT DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE
Recommandation
L’administrateur doit respecter les exigences de la stratégie de mot de passe
- Durée limitée de la conservation de l’historique est conseillée d’implanter un système
de détection d’intrusion sécurisé :
- Durée limitée de la conservation de l’historique ;
- Durée de vie maximale ;
- Durée de vie minimale ;
- Exigence de complexité ;
- Longueur minimale ;
- Cryptage.
VII. PRESENTATION DE « ACTIVE DIRECTORY »
1. Introduction
Vu les vulnérabilités qu’on a rencontrépendant l’étude de l’audit de la sécurité
informatique du réseau de la Société KRISTIC-CONSULTING et vu l’augmentation des
services (messagerie, serveur fichiers…), nous proposons le passage du Workgroups au
domaine et l’installation de l’annuaire Active directory afin de centraliser la gestion des
ressources et la mise en place des règles de sécurité.
Le facteur temps et sécurité sont des facteurs importants pour les sociétés, ceci pousse les
décideurs à avoir des solutions centralisées de gestion des ressources informatiques.
2. Présentation
Active Directory est le nom du service d'annuaire de Microsoft apparu dans le système
d'exploitation Microsoft Windows Server 2000. Le service d'annuaire
Active Directory est basé sur les standards TCP/IP, DNS, LDAP, Kerberos, etc.
3.2. Forêts
Une forêt est un groupe d'arbres de domaines interconnectés. Des approbations implicites
existent entre les racines des arbres d'une forêt. Si tous les domaines et arbres de domaines
ont en commun un même schéma et un même catalogue global, ils ne partagent en
revanche pas le même espace de noms.
La structure d'Active Directory lui permet de gérer de façon centralisée des réseaux
pouvant aller de quelques ordinateurs à des réseaux d'entreprises répartis sur de multiples
sites.
3.3. Sites
Un site est la représentation physique et logique des ordinateurs connectés en un lieu
géographiquement bien déterminé dont le but est d’échanger les informations.
Or il faut bien spécifier les plages d’adressage IP pour les différents matériels, nous avons:
- Pour les postes de travail : de 192.168.10.68 à 192.168.10.80
- Pour les serveurs : de 192.168.10.65 à 192.168.10.67
- Pour les routeur/éléments actifs : de 192.168.10.81 à 192.168.10.84
- Pour les Imprimantes : de 192.168.10.85 à 192.168.13.88
Toutes les étapes de l’installation sont présentées en Annexe 4.
1. Utilisateurs
Chaque utilisateur a un certain nombre d’attributs et son propre UID (User Identity : Un
numéro de code qui lui permet d’être identifié sur le domaine
2. Groupes
Qui contiennent les utilisateurs, des ordinateurs et d'autres groupes. Les groupes
simplifient la gestion d'un grand nombre d'objets.
Toute personne faisant partie du domaine se connecte avec un compte utilisateur crée au
niveau active directory. Le compte utilisateur contient les informations sur l’utilisateur, ses
appartenances aux groupes et les informations concernant la politique de sécurité.
Les services ajoutés grâce à Active directory sont :
- Centralisation de la gestion des comptes Windows
- Absence de comptes locaux sur les postes clients à gérer
- Une base unique de comptes, délais validité.
- Centralisation de la gestion des PC Windows
1. Introduction
La sécurité des SI fait très souvent l'objet de métaphores. L'on la compare régulièrement à
une chaine en expliquant que le niveau de sécurité d'un système est caractérisé par le
niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un
bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie qu'une solution de sécurité
doit être abordée dans un contexte global et notamment prendre en compte les aspects
suivants :
Etant donné les enjeux financiers qu'abritent les attaques, les SI se doivent de nos jours
d'être protégés contre les anomalies de fonctionnement pouvant provenir soit d'une attitude
intentionnellement malveillante d'un utilisateur, soit d'une faille rendant le système
vulnérable.
Du fait du nombre croissant de personnes ayant accès ces systèmes par le billet d'Internet,
la politique de sécurité se concentre généralement sur le point d'entrée du réseau interne.
Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel page46
PIGIER Côte d’Ivoire AUDIT DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE
La mise en place d'un pare-feu est devenue indispensable à fin d'interdire l'accès aux
paquets indésirables. On peut, de cette façon, proposer une vision restreinte du réseau
interne vu de l'extérieur et filtrer les paquets en fonction de certaines caractéristiques telles
qu'une adresse ou un port de communication. Bien que ce système soit une bastille, il
demeure insuffisant s'il n'est pas accompagné d'autres protections, entre autres :
La protection physique des informations par des accès contrôlés aux locaux,
La protection contre les failles de configuration par des outils d'analyse
automatique des vulnérabilités du système,
La protection par des systèmes d'authentification fiables pour que les droits
accordés à chacun soient clairement définis et respectés, ceci afin de garantir la
confidentialité et l'intégrité des données.
Implémenter la sécurité sur les SI, consiste à s'assurer que celui qui modifie ou consulte
des données du système en a l'autorisation et qu'il peut le faire correctement car le service
est disponible. Toujours est il que même en mettant en place tous ces mécanismes, il reste
beaucoup de moyens pour contourner ces protections. A fin de les compléter, une
surveillance permanente ou régulière des systèmes peut être mise en place à savoir:
Les systèmes de détections d'intrusions ayant pour but d'analyser tout ou partit des
actions effectuées sur le système afin de détecter d'éventuelles anomalies de
fonctionnement.
L'utilisation de l’antivirus professionnel accompagné de leurs mises à jour
régulière.
L'utilisation d'un serveur proxy dont le but est d'isoler une ou plusieurs machines
pour les protéger.
De plus le proxy possède un avantage supplémentaire en termes de performance.
L'utilisation de la technologie RAID qui signifie « ensemble redondant de disques
indépendants » qui permet de constituer une unité de stockage à partir de plusieurs
disques et d'y effectuer des sauvegardes régulières à partir de plusieurs disques
durs.
L'unité ainsi constituée (grappe) a donc une grande tolérance aux pannes ou une plus
grande capacité et vitesse d'écriture. Une telle répartition de données sur plusieurs disques
permet d'augmenter la sécurité et de fiabiliser les services associés.
2. Méthodes de sécurité conseillées (voir Annexe 3)
3. Repérage des actifs informationnels
Les systèmes d’information comme ensemble de processus à valeurs ajoutées tiennent
compte des données entrantes et sortantes
L’intranet
Les services fournis par l’intranet :
- Une base de données qui héberge toutes données informationnelles (Financier,
Personnel, scientifique…..) dont les utilisateurs ont besoin.
- Le partage : la plupart des utilisateurs utilise le partage de fichiers comme étant
une source d’échange de données.
Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel page47
PIGIER Côte d’Ivoire AUDIT DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE
Appréciation
L’intranet constitue un moyen essentiel pour moderniser la communication entre les
utilisateurs, partager l’information.
Recommandation
Il faut bien administrer le partage et l’accès aux fichiers en utilisant l’annuaire Active
directory pour bien préserver les droits d’accès et centraliser la gestion des ressources.
Faible intégrité pour les données traitées par les logiciels bureautique « Excel, Word,
Excel »
Moyenne intégrité pour les données traitées par le logiciel « OCTAL » et une intégrité
totale sur le logiciel « SAGE » et « DECEMPRO ».
Appréciation
L’intégrité des données peut être potentiellement en danger car aucun test formalisé n’a
été réalisé contre l’effacement accidentel des données et les pannes matérielles sur les
divers supports d’information.
Recommandation
Pour protéger les données contre les erreurs de manipulation des utilisateurs ou contre les
catastrophes naturelles, il faut prendre compte :
- RAID « Redondant Array of Independant Disq » désigne une technologie
permettant de stocker les données sur de multiples disques durs
- Contrôle de la saisie des données : les données sensibles doivent être autocontrôlées par
une personne assurant la vérification des données saisies.
- Intégration d’un outil de vérification d’intégrité.
X. SOLUTIONS DE SECURITE
Microsoft software update services (SUS) est un maillon essentiel dans la nouvelle
politique de sécurité de Microsoft
3.1. Principe de fonctionnement
Le fonctionnement de SUS est relativement simple. Pour déployer, deux modules doivent
être mis en place, un client et un serveur.
La solution de filtrage consiste à déployer trois niveaux consiste à déployer trois niveaux
de filtrage sur les ressources du réseau, comme écrit ci-dessous :
Cette solution sera implémentée par un équipement firewall matériel qui agit en tant que
passerelle, afin de garantir la sécurité entre le trafic du réseau interne, public et
démilitarisé.
La technologie « stateful Inspection » permet de contrôler les couches applicatives, sans
nécessité de proxy applicatif pour chaque service, en cherchant une session
correspondante pour les paquets analysés. La solution Firewall proposée supportera de
plus les fonctionnalités suivantes :
- Module d’interconnexion des réseaux virtuels
4. SOLUTION VPN
Le VPN, Virtual Private Network (en anglais) ou réseau privé virtuel (en français) est basé
sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire circuler les
informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi, les
utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise.
Les données à transmettre peuvent être prises en charge par un protocole différent d'IP.
Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant un en-tête. Le
tunneling est l'ensemble des processus d'encapsulation, de transmission et de
désencapsulation.
- Audit de système
- Système de détection d’intrusion
- Politique de sécurité
- Protection physique (Local fermé à clef)
- Mise en place d’un VPN (Virtual personnel network)
CONCLUSION
A la fin de ce travail, nous pouvons dire que l’on a bien pu avoir une visibilité
concrète sur un domaine bien spécifique qui est la sécurité informatique.
En plus, ce travail nous a été profitable en termes d’acquisition d’une bonne expérience
professionnelle, à travers laquelle nous avons eu l’occasion d’approfondir nos
connaissances informatiques et de confronter la notion théorique à la pratique.
De façon générale, nous pouvons dire que l’objectif global n’est pas atteint par un seul
projet, mais par une succession de projets afin d’établir un audit de sécurité selon une
méthode et norme standard.
DIFFICULTES RENCONTREES
Les difficultés rencontrées ont été presque inexistantes vu que notre intégration a été
favorisée par l'accueil chaleureux de l'ensemble du personnel.
La principale difficulté a été le fait de ne pas avoir au départ certaines informations et
documents nécessaires pour la réalisation de notre étude.
ABREVIATIONS ET SIGLES
- AD : Active Directory
- SI : système d’information
BIBLIOGRAPHIE
- INTERNET
- WIKIPEDIA
- GOOLGE
- Guide d’audit des applications informatiques par AFAI (association française d’audit
et conseil en informatique).
- www.microsoft.com/technet/prodtechnol/w2kadsi.asp
L'Administration des Réseaux par :Laurence Duchien CNAM-Cedric, 292, rue st Martin
- www.isc.cnrs.fr
- www.parisscyber.com
- www.Reso-Net.com/es.htm
- www.microsoft.com/france/window
Annexe 2
Questionnaire d’audit
Danslecadre de notre étudequi consiste à contrôler et sécurisé le réseau informatique
de l’entreprise, nousadministronsceprésentquestionnaire,en vue d’évaluerlesactivités
informatiques de KRISTIC-CONSULTING.
Connaissance de base en informatique
Avez – vous déjà manipulé l’outil informatique ?
Oui :
Non :
- Chaque jour :
- Chaque 2 jour :
- Chaque 1 semaine :
- Autre précisé :……………………………………………………………………
Avez-vous un plan de sauvegarde de vos données ?
Oui :
Non :
Mercipour votrecollaboration
Annexe
- 3 : Méthode conseillé pour la
-
-
sécurité :
- Limitez l'accès physique aux ordinateurs, en particulier les contrôleurs de domaine,
aux personnes dignes de confiance ;
- Pour les tâches administratives, utilisez le principe du moindre privilège ;
- Définissez les groupes et leurs membres ;
- Sécurisez les données des ordinateurs ;
- Utilisez des mots de passe forts dans toute votre organisation ;
- Ne téléchargez pas et n'exécutez pas de programmes émanant de sources non
approuvées ;
- Mettez à jour les programmes de détection de virus ;
- Veillez à ce que tous les correctifs logiciels soient à jour
Saisissez le nom de domaine, dans notre cas c’est Ks.com, puis suivant
Figure 20: Saisie de nom et mot de passe pour modification complète du non de Serveur
Dans la console DHCP, on ajoute le serveur à l'aide d'un clic-droit, puis on l’active et on
démarre le service propriétés du service DHCP. Puis on autorise le serveur DHCP à agir
sur le domaine.
Figure 21 :
Activation
DHCP
Nous allons maintenant créer une étendue qui distribuera les adresses IP aux postes
clients. Pour cela, au niveau du serveur, clic-droit => nouvelle étendue.
On crée l’étendu selon le plan d’adressage qu’on a définit au début, ensuite on peut
spécifier le routeur ou la passerelle par défaut qui doit être distribué par cette étendu en lui
attribuant son adresse IP dans « option de l’étendu ».
- Cliquez sur propriétés, puis sélectionner ensuite protocole internet TCP/IP puis
cliquez sur suivant
Identification
- Clic droit sur poste de travail, cliquer sur l’onglet «nom de l’ordinateur »,
- Cliquez sur OK
Configuration du Serveur
Procédure
- Menu « Démarrer. Tous les Programmes. Outils d’administration. Gérer votre serveur
». Cliquez sur le lien « Ajouter ou supprimer un rôle ».
L’étape préliminaire (figure 2) vous invite à effectuer les dernières vérifications avant le