ZONGO Arsene PDF

Cycle de formation des ingénieurs en Télécommunications
Option :
Ingénierie des Réseaux
Rapport de Projet de fin d’études
Thème :
Audit de sécurité d’un système d’information

en se référant à l’ISO 17799 et proposition
d’une solution basée sur les produits
STONESOFT
Réalisé par :
Arsène S. ZONGO
Encadrants :
Mr. Chaouki BEN SALAH (STONESOFT)
Mme. Faten AYACHI (SUP’COM)
Mr. Nabil TABBANE (SUP’COM)
Travail proposé et réalisé en collaboration avec
Année universitaire : 2006/2007
Projet de fin d’études i

Dédicaces
Papa, Maman, aucun des mots que je pourrai
employer ne saurait être à la mesure de la reconnaissance que je vous

dois. Cependant, souffrez que vous dise merci pour votre soutien à mon
égard qui n’a jamais failli. Soutien que j’ai reçu également de vous mes
frères et sœurs.
A vous très chers membre de ma famille, je dédie ce modeste travaille.

Z@S
Projet de fin d’études i

AVANT PROPOS
Le travail présenté dans ce rapport a été effectué dans le cadre de mon projet de fin
d’études d’Ingénieurs en Télécommunications à l'Ecole Supérieure des
Communications de Tunis (SUP'COM).
Ce travail, réalisé dans les locaux de STONESOFT et de la municipalité de Tunis, a

pu être mené à terme grâce à la collaboration de certaines personnes qu’il me plaît de
remercier.
Je remercie l’ensemble du personnel de la société STONESOFT Tunis pour le soutien

et la disponibilité de son personnel lors du déroulement de mon stage, en particulier
Mrs Chaouki BEN SALAH et Maher KESKES.
J’exprime toute ma reconnaissance et gratitude à l’administration et à l’ensemble du

corps enseignant de SUP’COM ainsi qu’à mes encadreurs Mme Faten AYACHI et
Mr Nabil TABBANE.
Je tiens à remercier le personnel de la municipalité pour m’avoir permis de

travailler dans de bonnes conditions.
Je remercie enfin tous ceux qui, d’une manière ou d’une autre, ont contribué à la
réussite de ce travail et qui n’ont pas pu être cités ici.
Projet de fin d’études ii

Table des matières
Liste des acronymes ............................................................................................................. vii

Introduction générale......................................................................................................... - 1 -
Chapitre 1 : Mission d’audit de sécurité des systèmes d’information ........................ - 2 -
Introduction................................................................................................................... - 2 -
1.1 Audit de sécurité des systèmes d’information en Tunisie................................ - 2 -
1.2 Démarche de réalisation d’une mission d’audit de sécurité des systèmes
d’information....................................................................................................................... - 5 -
1.3 Références pour l’audit ........................................................................................ - 10 -
1.4 Présentation de l’organisme audité.................................................................... - 13 -
Conclusion ................................................................................................................... - 16 -
Chapitre 2 Audit organisationnel et physique de l’organisme audité...................... - 17 -
Introduction................................................................................................................. - 17 -
2.1 Etape de réalisation de l’application.................................................................. - 17 -
2.2 Résultat de graphique de l’audit organisationnel............................................ - 18 -
2.3 Analyse des résultats............................................................................................ - 20 -
Conclusion ................................................................................................................... - 28 -
Chapitre 3 Audit technique............................................................................................. - 29 -
Introduction................................................................................................................. - 29 -
3.1 Présentation du réseau de la municipalité de Tunis ....................................... - 29 -
3.2 Audit de l’architecture réseau du site central................................................... - 30 -
3.3 Sondage des services réseaux ............................................................................. - 32 -
3.4 Analyse des services vulnérables par serveur.................................................. - 36 -
3.5 Tests intrusifs ........................................................................................................ - 43 -
3.6 Audit des commutateurs ..................................................................................... - 47 -
3.7 Audit des routeurs................................................................................................ - 49 -
3.8 Audit du firewall .................................................................................................. - 49 -
Conclusion ................................................................................................................... - 49 -
Chapitre 4 Recommandations et solution proposée.................................................... - 51 -
Introduction................................................................................................................. - 51 -
4.1 Recommandations au niveau organisationnel et physique............................ - 51 -
4.2 Solution proposée ................................................................................................. - 56 -
Projet de fin d’études iii

Conclusion ................................................................................................................... - 64 -
Conclusion générale ......................................................................................................... - 65 -
BIBLIOGRAPHIE......................................................................................................... I
Webographie ................................................................................................................ I
Outils utilisés.................................................................................................................... II
ANNEXE..................................................................................... Erreur ! Signet non défini.
Projet de fin d’études iv

Liste des figures
Figure 1- Cycle de vie d’un audit de sécurité ................................................................. - 4 -

Figure 2- Les phases de l’audit ......................................................................................... - 5 -
Figure 3- Etapes de réalisation du questionnaire........................................................... - 7 -
Figure 4- Organigramme de la municipalité ................................................................ - 14 -
Figure 5 Automatisation du traitement du questionnaire.......................................... - 18 -
Figure 6- Histogramme représentatif du niveau de sécurité de la municipalité de
Tunis ................................................................................................................................... - 19 -
Figure 7-Réseau de la municipalité de Tunis ............................................................... - 30 -
Figure 8- Découverte du réseau du site central de la municipalité de Tunis avec
Networkview..................................................................................................................... - 31 -
Figure 9- Services les plus occurrents ............................................................................ - 32 -
Figure 10-Services vulnérables ....................................................................................... - 33 -
Figure 11- Répartition des vulnérabilités ...................................................................... - 33 -
Figure 12- Découverte du réseau avec Nmap................................................................ - 35 -
Figure 13- Découverte des utilisateurs d’une BD ........................................................ - 44 -
Figure 14- Fenêtre d’accueil de msfweb ........................................................................ - 45 -
Figure 15- Progression de l’attaque................................................................................ - 45 -
Figure 16- Accès au serveur anti virus .......................................................................... - 46 -
Figure 17- Accès à un poste utilisateur.......................................................................... - 47 -
Figure 18- Interconnexion des commutateurs .............................................................. - 48 -
Figure 19- Accès à un commutateur HP……………………………………………...- 48 -
Figure 20- Intégration de la sonde IPS........................................................................... - 59 -
Figure 21- Connexion VPN site-to-site .......................................................................... - 61 -
Figure 22- Architecture de la solution proposée .......................................................... - 62 -
Figure 23 Installation de la sonde démo........................................................................ - 63 -
Liste des tableaux
Tableau 1- Description des services les plus vulnérables ........................................... - 34 -

Tableau 2- Description des services vulnérables - GRB .............................................. - 37 -
Projet de fin d’études v

Tableau 3- Description des services vulnérables – Intranet et bureau d’ordre ....... - 38 -
Tableau 4- Description services vulnérables - Portail ................................................. - 40 -
Tableau 5- Description des services vulnérables - Proxy............................................ - 40 -
Tableau 6- Description des services vulnérables – Autorisation administrative .... - 41 -
Tableau 7- Description des services vulnérables - madania....................................... - 42 -
Tableau 8- Description des services vulnérables – premier bureau.......................... - 43 -
Tableau 9- Répartition des VLANs ................................................................................ - 57 -
Projet de fin d’études vi

Liste des acronymes
ACL Access control list
ADEB Système d’aide à la décision budgétaire
ADSL Asynchronus Digital Subscriber Line
BD Base de Données
CNI Centre Nationale de l'Informatique
DMZ DeMilitaried Zone
FR Frame Relay
GRB Gestion des Ressources Budgétaires
HTTP HyperText Transfert Protocol
IEC International electromechanical consortium
INSAF Informatisation du Système Administratif et Financier du Personnel de l’Etat
ISO International Standard Organisation
LAN Local Area Network
LS Ligne Spécialisée
MAN Metropolian Area Network
MSFWEB MestaSploit Framework Web interface
NNTP Network News Transfert Protocol
QSSI Questionnaire de Sécurité des Systèmes d'Information
RFC Request For Comment
RPC Remote Procedure Call
SI Systèmes d’Information
SMB Simple Message Block
SMSI Système de Management de la Sécurité des Systèmes d'Information
SMTP Simple Mail Transfert Protocol
SNMP Simple Network Management Protocol
SSI Sécurité des Systèmes d'Informations
VNC Virtual Network Configuring
VPN Virtual Private Network
Projet de fin d’études vii

Introduction générale
Introduction générale
La sécurité des systèmes d’information constitue un domaine qui a toujours été

d’actualité, encore plus de nos jours vu les mutations et avancées permanentes qui
surviennent dans le monde des technologies de l’information. Garantir la sécurité d’un
système d’information n’est pas une tâche ponctuelle. Elle constitue un processus
continue et cyclique qui s’effectue autour des points suivants :
La protection : Définir nos ressources sensibles à protéger ainsi que les

mécanismes de protection.
La détection : Détecter les failles aux quelles sont exposées nos ressources.
La réaction : Définir les solutions à mettre en place pour la correction.
La révision : S’assurer que nos correctifs ne sont pas en conflit avec les politiques
de sécurité déjà en place et s’y intègre parfaitement.
Un moyen pour suivre la sécurité d’un système d’information de façon continue est
d’effectuer un audit de sécurité des systèmes d’information de façon périodique. C’est
dans ce contexte que s’inscrit ce projet qui vise l’audit du système d’information de la
municipalité de Tunis.
Pour se faire, nous présenterons certains concepts clé de l’audit des systèmes
d’information, ainsi que notre organisme cible. Par la suite, nous entamerons notre
mission d’audit par l’audit organisationnel et physique, ensuite l’audit technique. Enfin
notre mission d’audit s’achèvera par un ensemble de recommandations et la
proposition d’une solution technique pour améliorer la sécurité du système
d’information de la municipalité de Tunis.
Projet de fin d’études -1-

Chapitre 1 Mission d’audit de sécurité des systèmes d’information
Chapitre 1 : Mission d’audit de sécurité des systèmes

d’information
Introduction
Les entreprises ou organismes ne sont plus constitués de nos jours d’une entité, mais
reparties en plusieurs entités distantes qui échangent entre elles des informations. La
sécurité de leurs systèmes d’information en général et de leurs réseaux informatiques
en particulier est d’une importance capitale pour assurer le bon fonctionnement de
leurs activités. C’est dans ce contexte qu’est introduit l’audit de sécurité des systèmes
d’informations. Il est un moyen de garantir la sécurité des systèmes d’information.
Le chapitre premier présente le déroulement de l’audit de sécurité des systèmes
d’information, les normes sur laquelle elle peut se baser, ainsi que notre cadre de
travail. Tout d’abord, nous évoquerons ce que représente l’audit de sécurité des
systèmes d’informations en Tunisie.
1.1 Audit de sécurité des systèmes d’information en Tunisie
L’ANSI (Agence nationale de la sécurité informatique), est l’organe accrédité pour les
missions d’audit en Tunisie conformément au décret N° 2004-5 du 3 février 2004
relatif à la sécurité informatique. Cet organisme définit l’audit de sécurité tel une
« intervention de spécialistes, utilisant des techniques et des méthodes adéquates,
pour évaluer la situation de la sécurité d’un système d’information et les risques
potentiels [7]».
Nous présenterons dans la suite de cette partie les rôles, objectifs et déroulement de
l’audit.

1.1.1 Rôles et objectifs de l’audit
Une mission d’audit vise différents objectifs. En effet nous pouvons énumérer à ce
titre :
La détermination des déviations par rapport aux bonnes pratiques de

sécurité.
La proposition d’actions visant l'amélioration du niveau de sécurité du

système d’information.
Egalement, une mission d’audit de sécurité d’un système d’information se présente

comme un moyen d'évaluation de la conformité par rapport à une politique de
sécurité ou à défaut par rapport à un ensemble de règles de sécurité.
Par là même, un organisme audité pourra corriger les failles de sécurité. En Tunisie,
la réalisation d’un audit de sécurité informatique possède un caractère obligatoire.
En effet depuis le décret N°2004-1250, du 25 Mai 2004, l’audit de sécurité
informatique est imposé aux organismes suivants [1]:
Les opérateurs de réseaux publics de télécommunications et

fournisseur des services de télécommunication et d’Internet,
Les entreprises dont les réseaux informatiques sont interconnectés à

travers des réseaux externes de télécommunication,
Les entreprises qui procèdent au traitement automatisé des données

personnelles de leurs clients dans le cadre de la fourniture de leurs
services à travers les réseaux de télécommunications.
De ce point de vu, l’audit de sécurité se présente comme une nécessité, pour

répondre à une obligation règlementaire.
Cependant, l’audit de sécurité peu présenter un aspect préventif. C'est-à-dire qu’il est
effectué de façons périodiques afin que l’organisme puisse prévenir les failles de
sécurité. Egalement, l’audit peut s’imposer suite à des incidents de sécurité.

1.1.2 Cycle de vie d’un audit de sécurité des systèmes d’information
Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit un

cycle de vie qui est schématisé à l’aide de la figure suivante [2] :
3Com
Figure 1- Cycle de vie d’un audit de sécurité
L’audit de sécurité informatique se présente essentiellement suivant deux parties

comme le présente le précédent schéma :
L’audit organisationnel et physique.
L’audit technique.
Une troisième partie optionnelle peut être également considérée. Il s’agit de l’audit
intrusif. Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce rapport
présente une synthèse de l’audit. Il présente également les recommandations à
mettre en place pour corriger les défaillances organisationnelles ou techniques
constatées.
Une présentation plus détaillée de ces étapes d’audit sera effectuée dans le
paragraphe suivant qui présente le déroulement de l’audit.

1.2 Démarche de réalisation d’une mission d’audit de sécurité des

systèmes d’information
Tel que précédemment évoqué, l’audit de sécurité des systèmes d’information se

déroule suivant deux principales étapes. Cependant il existe une phase tout aussi
importante qui est une phase de préparation. Nous schématisons l’ensemble du
processus d’audit à travers la figure suivante :
Figure 2- Les phases de l’audit
1.2.1 Préparation de l’audit
Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante
pour la réalisation de l’audit sur terrain. En effet, c’est au cours de cette phase que se
dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se
manifeste par des rencontres entre auditeurs et responsables de l’organisme à
auditer. Au cours de ces entretiens, devront être exprimées les espérances des

responsables vis-à-vis de l’audit. Aussi, il doit être fixé l’étendu de l’audit ainsi que
les sites à auditer, de même qu’un planning de réalisation de la mission de l’audit.
Les personnes qui seront amenées à répondre au questionnaire concernant l’audit

organisationnel doivent être également identifiées. L’auditeur (ou les auditeurs)
pourrait (pourraient) également solliciter les résultats de précédents audits.
Une fois que les deux parties (auditeur-audité) ont “harmonisé leur accordéons “,
l’audit sur terrain peut être entamé. Il débute par l’audit organisationnel et physique.
1.2.2 Audit organisationnel et physique
a. Objectifs
Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de

l’organisme cible, à auditer. Nous nous intéressons donc aux aspects de gestion et
d’organisation de la sécurité, sur les plans organisationnels, humains et physiques.
L’objectif visé par cette étape est donc d’avoir une vue globale de l´état de sécurité du
système d´information et d´identifier les risques potentiels sur le plan
organisationnel.
b. Déroulement
Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche
méthodologique qui s’appuie sur « une batterie de questions ». Ce questionnaire
préétabli devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A
l’issu de ce questionnaire, et suivant une métrique, l’auditeur est en mesure
d’évaluer les failles et d’apprécier le niveau de maturité en termes de sécurité de
l’organisme, ainsi que la conformité de cet organisme par rapport à la norme
référentielle de l’audit.
Dans notre contexte, suivant les recommandations de l’ANSI et du fait de sa

notoriété, cet audit prendra comme référentiel une norme de l’ISO. Il s’agit de toutes
les clauses (ou chapitres ou domaines) de la version 2005 de la norme ISO/IEC
17799[3].

Nous présentons ci-après notre cheminement pour l’aboutissement au questionnaire.
Figure 3- Etapes de réalisation du questionnaire
Le questionnaire que nous proposons se compose d’un peu moins d’une centaine de
questions. Chaque question est affectée d’un coefficient de pondération portant sur
l’efficacité de la règle du référentiel sur laquelle porte la question, en matière de
réduction de risque.
Après la validation du Questionnaire (QSSI), les réponses choisies seront introduites

dans l’application que nous avons développée pour permettre l’automatisation du
traitement du questionnaire.
Le traitement consiste au calcul d’une moyenne pondérée par les notes obtenues en
fonction des réponses choisies et du coefficient d’efficacité. L’on obtient un résultat
chiffré (de 0 à 6 ou exprimé en pourcentage) représentant le niveau de sécurité (la
maturité) du système d’information audité.
Une fois cette phase réalisée, il est question de passer à l’étape suivante de l’audit ; il
s’agit notamment de l’audit technique.
1.2.3 Audit technique
a. Objectifs
Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique
allant de la découverte et la reconnaissance du réseau audité jusqu’au sondage des
services réseaux actifs et vulnérables.
Cette analyse devra faire apparaître les failles et les risques, les conséquences
d’intrusions ou de manipulations illicites de données.

Au cours de cette phase, l’auditeur pourra également apprécier l’écart d’avec les
réponses obtenues lors des entretiens. Il sera à même de tester la robustesse de la
sécurité du système d’information et sa capacité à préserver les aspects de
confidentialité, d’intégrité, de disponibilité et d’autorisation.
Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause
la continuité de service du système audité.
b. déroulement
Vu les objectifs escomptés lors de cette étape, leurs aboutissements ne sont possibles
que par l’utilisation de différents outils. Chaque outil commercial qui devra être
utilisé, doit bénéficier d’une licence d’utilisation en bonne et dû forme.
Egalement les outils disponibles dans le monde du logiciel libre sont admis.
L’ensemble des outils utilisés doit couvrir entièrement/partiellement la liste non
exhaustive des catégories ci après :
Outils de sondage et de reconnaissance du réseau.
Outils de test automatique de vulnérabilités du réseau.
Outils spécialisés dans l’audit des équipements réseau (routeurs, switchs).
Outils spécialisés dans l’audit des systèmes d’exploitation.
Outils d’analyse et d’interception de flux réseaux.
Outils de test de la solidité des objets d’authentification (fichiers de mots

clés)
Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS,

outils d’authentification).
Outils de scanne d’existence de connexions dial-up dangereuses

(wardialing).
Outils spécialisés dans l’audit des SGBD existants.

Chacun des outils à utiliser devra faire l’objet d’une présentation de leurs
caractéristiques et fonctionnalités aux responsables de l’organisme audité pour les
assurer de l’utilisation de ces outils.
1.2.4 Audit intrusif
a. Objectifs
Cet audit permet d’apprécier le comportement du réseau face à des attaques.

Egalement, il permet de sensibiliser les acteurs (management, équipe informatique
sur site, les utilisateurs) par des rapports illustrant les failles décelées, les tests qui
ont été effectués (scénarios et outils) ainsi que les recommandations pour palier aux
insuffisances identifiées.
b. Déroulement
La phase de déroulement de cet audit doit être réalisée par une équipe de personnes
ignorante du système audité avec une définition précise des limites et horaires des
tests. Etant donné l’aspect risqué (pour la continuité de services du système
d’information) que porte ce type d’audit, l’auditeur doit.
Bénéficier de grandes compétences.
Adhérer á une charte déontologique.
S’engager (par écrit) à un non débordement: implication à ne pas

provoquer de perturbation du fonctionnement du système, ni de
provocation de dommages.
1.2.5 Rapport d’audit
A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger un
rapport de synthèse sur sa mission d’audit.
Cette synthèse doit être révélatrice des défaillances enregistrées. Autant est-il
important de déceler un mal, autant il est également important d’y proposer des

solutions. Ainsi, l’auditeur est également invité à proposer des solutions

(recommandations), détaillées, pour pallier aux défauts qu’il aura constatés.
Ces recommandations doivent tenir compte de l’audit organisationnel et physique,

ainsi que de celui technique et intrusif.
Les recommandations devront inclure au minimum :
Une étude de la situation existante en termes de sécurité au niveau du

site audité, qui tiendra compte de l’audit organisationnel et physique,
ainsi que les éventuelles vulnérabilités de gestion des composantes du
système (réseau, systèmes, applications, outils de sécurité, centre de
calcul, plans de continuité) et les recommandations correspondantes.
Les actions détaillées (organisationnelles et techniques) urgentes à

mettre en œuvre dans l’immédiat, pour parer aux défaillances les plus
graves, ainsi que la proposition de la mise à jour ou de l’élaboration de
la politique de sécurité à instaurer.
L’audit tel que nous venons de le présenter, s’appuie sur une référence. Nous vous
présentons les références qui sont les plus utilisées.
1.3 Références pour l’audit
L’audit des systèmes d’information est un moyen de vérifier l’écart d’un système
d’information par rapport à une référence donnée. Une mission d’audit s’appuie
donc impérativement sur une référence. Dans ce domaine, il existe différentes
normes sur les quelles se basent les missions d'audit de sécurité des systèmes
d’information. Nous vous présentons les plus utilisées.
1.3.1 La norme BS 7799
La norme BS7799 a été publiée pour la première fois par le "British Standard
Institute" en 1995. Son objectif est de permettre la mise en place dans l'entreprise
Projet de fin d’études - 10 -

d’un système de management de la sécurité de l'information ou SMSI (ou ISMS pour

Information Security Management System).
1.3.2 La norme ISO 13335
Cette norme qui est apparue en 1996 se présente aujourd’hui en quatre parties. Il
s’agit notamment :
ISO 13335-1 : Concepts et modèles pour la gestion de la sécurité des

technologies de l'information et des communications (2004).
ISO 13335-3 : Techniques pour la gestion de la sécurité IT (1998).
ISO 13335-4 : Sélection de sauvegardes (2000).
ISO 13335-5 : Guide pour la gestion de la sécurité du réseau (2001).
Apparue en 1996, la norme ISO 15408 (également baptisée « Common Criteria » ou

«Critères Communs ») permet d'avoir une assurance de sécurité sur des critères
précis pour un produit ou un système (matériel de sécurité, firewalls…). Elle se
compose actuellement de 3 parties qui sont :
ISO 15408-1 : Introduction et modèle général
ISO 15408-2 : Exigences fonctionnelles de sécurité
ISO 15408-3 : Exigences d'assurance de sécurité
L’ISO/IEC TR 15446:2004 fournit des conseils touchant à la construction de Profils de

Protection (PPs) et des Cibles de Sécurité (CS ou ST en anglais pour Security Target)
qui sont destinées à être de paire avec ISO/IEC 15408 ("les Critères Communs"). Elle
propose également des suggestions sur la façon de développer chaque section d'un
PP ou ST.

Cette norme a constitué le socle de notre mission d’audit. La norme ISO 17799 est un
ensemble de recommandations pour la gestion de la sécurité de l'information et un
référentiel en matière de bonnes pratiques de sécurité. Elle émane de la norme
britannique BS7799. La norme ISO 17799 couvre aussi bien les aspects techniques,
organisationnels et physiques et peut être utilisée par n'importe quel organisme
quelque soit son activité et sa dimension. Les aspects qu’elle recouvre sont structurés
suivant onze (11) grandes thématiques. Les clauses constitutives de l’ISO/IEC
17799 :2005[3] sont les suivantes, ordonnées tel qu’évoqué dans la norme:
Politique de sécurité
Organisation de la sécurité
Classification et contrôle des actifs
Sécurité des ressources humaines
Sécurité physique et environnementale
Gestion des communications et de l’exploitation
Contrôle d’accès
Acquisition, développement et maintenance des systèmes d’information
Gestion des incidents de sécurité
Gestion de la continuité d’activité
Conformité
Cette norme se focalise sur les principes de sécurité autour de la détection

d’intrusion. En effet elle se veut un guide pour l’établissement et la gestion d’IDS.
Elle propose également une méthode pour l’organisation et la mise en place de
système de détection d’intrusion. Cette norme vient insister sur l’importance des
systèmes IDS, car ils permettent de prévenir ou tout au moins de réduire les
conséquences dues à une intrusion.

Cette norme propose un guide pour la gestion des incidents de sécurité pour les
responsables de sécurité des systèmes d’information. Elle permet également une
description d’un planning et documentation nécessaire pour permettre une meilleure
approche de la gestion des incidents de sécurité et la structuration de l’information.
La norme ISO 27001 représente la nouvelle famille de normes de sécurité

informatique. Il s'agit d'une série de normes spécifiquement réservées par ISO pour
des sujets de sécurité de l'information. La norme ISO 27001 est, alignée avec un
certain nombre d'autres matières, y compris ISO 9000 pour la gestion de qualité et
ISO 14000 pour la gestion environnementale.
1.4 Présentation de l’organisme audité
Pour la bonne gestion des affaires de la cité, la municipalité de Tunis est en charge de
différents rôles et fonctions que nous allons vous présenter.
1.4.1 Organigramme
L’actuel site central de la municipalité de Tunis a été inauguré par son Excellence
Monsieur, Président de la République Tunisienne, le 8 Novembre 1998. A l’instar de
toute municipalité, elle est dirigée par un maire. L’actuel maire est Mr Abbés
MOHSEN, réélu maire en mai 2005. Dans sa tâche d’administrateur, le maire est
épaulé de différents départements ou direction. Le schéma suivant illustre
l’organigramme de la municipalité de Tunis [12].

Figure 4- Organigramme de la municipalité
1.4.2 Composition
Tunis faisant office de ville métropole, elle est composée de plusieurs

arrondissements. Nous retiendrons à titre d’exemple les arrondissements : Bab Bhar,
Médina, Bab Souika, SidiBechir, Essijoumi, Omrane, Khadra, Ouardia, Ezzouhour,
Ettahrir, Omrane Supérieur, Menzah, Jebel Jelloud, Kabaria, Hrairia.
1.4.3 Rôles et fonctions
La municipalité de Tunis est en charge de différentes activités qui rythment ses

exercices. Ces activités ou prestations de services se scindent principalement en trois
catégories. A cet effet nous retiendrons :
Le service d’état civil [8] : Ce service est en charge des activités

d’établissement d’acte d’état civil (inscription de naissances, d’un décès,
contrat de mariage, ordre d’inhumation etc.).

Les services de l’urbanisme [8]: Leurs responsabilités s’articulent autour

des tâches comme l’approbation de lotissement, permis de bâtir, permis
de transport public etc.).
Les services de la voirie [8]: Ces services sont chargés de la gestion des
chaussées et trottoirs, de l’éclairage public et de la circulation.
Les attributions de la municipalité de Tunis lui octroient également la charge de la

gestion de différentes applications. Les plus utilisées sont :
GRB (gestion des ressources budgétaires)
MADANIA (système national de l’état civil)
Cependant, concernant les applications INSAF et ADEB, la municipalité n’intervient

qu’en tant que client pour ces applications.
a. Gestion de Ressources Budgétaires (GRB)
Cette application permet la gestion des ressources octroyant une partie du

financement du budget de la municipalité. Elle permet le recouvrement des
ressources budgétaires de la municipalité. Elle se présente comme un système qui se
compose de différents modules. Chaque module est déployé sur un site distant, en
tenant compte de l’activité de ce site. Cette application est ainsi repartie sur 11 sites
distants.
Notons qu’une application est en chantier pour permettre le paiement en ligne des
taxes.
b. MADANIA
Le système «MADANIA» [10] permet la gestion informatisée des actes d’Etat Civil
tel que les actes de naissance, les certificats de décès, de mariage etc. Il s’étend pour
l’instant au gouvernorat de Tunis, mais vise à long terme de s’étendre sur l’ensemble
des gouvernorats de l’état Tunisien, de sorte à ce que les citoyens, puissent bénéficier
de leur documents d’état civil, dans les meilleurs délais et ce quelque soit l’endroit où
ils se trouvent en Tunisie.

1.4.4 Périmètre de l’audit
L’audit que nous allons effectuer tiendra pour cible le réseau de la municipalité de
Tunis (site central et site distants). Il sera question d’auditer l’architecture de leur
réseau, des postes de travail et serveurs et d’effectuer des tests intrusif sur base
d’éventuelles vulnérabilités.
Conclusion
Nous venons d’exposer, une liste non exhaustive d’un ensemble de normes qui
constituent des références dans le cadre d’un audit de systèmes d’information ainsi
que les procédures de réalisation d’un audit de systèmes d’information, et la place de
l’audit des systèmes d’informations en Tunisie. Le réseau de l’organisme présenté
constitue notre cadre de travail. La suite de ce document consistera à mettre en
pratique les précédents aspects de réalisation d’un audit, par l’entame de l’audit
organisationnel.

Chapitre 2 Audit organisationnel et physique
Chapitre 2 Audit organisationnel et physique de l’organisme

audité
Introduction
Notre mission d’audit organisationnel et physique s’est déroulée au sein du siège

principal de la municipalité de Tunis sise à la Kasbah. Elle s’est réalisée du 12 au 19
mars 2007. Nous avons eu pour interlocuteur l’ingénieur principal en informatique,
et un technicien réseaux, tous deux employés au sein de la municipalité de Tunis sise
à la Kasbah. Soulignons que les objectifs fixés, sont :
Evaluer le niveau de sécurité du système d’information de la municipalité de

Tunis.
Valider les mesures de sécurité mises en œuvre.
Sensibiliser nos interlocuteurs aux risques et coût de la non sécurité.
Ce chapitre présente les points clés suite à nos entrevues au sujet de la sécurité du
réseau de la municipalité de Tunis. Nous vous présentons la démarche suivie pour la
conception d’une application qui nous a facilitée le traitement du questionnaire, puis
les résultats de cet audit organisationnel.
2.1 Etape de réalisation de l’application
Pour automatiser le traitement du questionnaire, nous avons réalisé une application.

Cette application consiste en l’utilisation de pages Html, PHP et d’un serveur web
local. En effet, le questionnaire se présente sous forme de page Html. Par la suite le
traitement sous jacent, du questionnaire, a été possible grâce à un traitement PHP.
Chacune des réponses est pondérée d’un coefficient (0-6). L’exécution de l’ensemble

s’est réalisée par l’utilisation d’un serveur web local Apache. Par la suite nous
obtenons une moyenne pour chaque clause défini par la norme ISO/IEC 17799 :2005.
Nous arrivons ainsi à mesurer la conformité de l’organisme par rapport à chacune
des clauses définies par la norme ISO/IEC 17799 :2005.
Le schéma suivant indique les étapes de réalisation de notre application.
Figure 5 Automatisation du traitement du questionnaire
Nous vous présentons les résultats obtenus suite au questionnaire.
2.2 Résultat de graphique de l’audit organisationnel
Les moyennes (ou notes, exprimées en pourcentage) sont révélatrices de la maturité

(niveau de sécurité) de l’organisme suivant l’aspect organisationnel de sa sécurité.
Une note en dessous de 60% dénote d’un manque de maturité.
Soulignons que le barème pour le questionnaire a été inspiré des travaux de la société
YSOSECURE [11] et se trouve en annexe.

C1 : Politique de
sécurité
C2 : Organisation de la
sécurité
C3 : Classification et
contrôle des actifs
C4 : Sécurité des
ressources humaines
C5 : Sécurité physique
et environnementale
C6 : Gestion des
communications et de
l’exploitation
C7 : Contrôle d’accès
C8 : Acquisition,
maintenance et
développement des
systèmes
C9 : Gestion des
incidents de sécurité
C10 : Gestion de la
continuité d’activité
C11 : Conformité
Figure 6- Histogramme représentatif du niveau de sécurité
de la municipalité de Tunis
A l’issu de notre questionnaire, l’organisme enregistre une conformité globale de

48,26%, par rapport à la norme ISO/IEC 17799 preuve que des efforts sont à faire
pour ce qui est de la sécurité. Nous abordons à présent l’analyse des résultats
obtenus. Les points seront abordés suivant les clauses (ou chapitres) définis dans la
norme ISO/IEC 17799 :2005 selon l’ordre dans lequel elles ont été évoquées.

2.3 Analyse des résultats
Lors de l’analyse de chacune des clauses, nous leurs attribuerons une classification
en fonction du degré de gravité de non-conformité par rapport à la norme ISO/IEC
17799 :2005. Cette classification comprendra trois classes :
Faible: indique une pratique de sécurité qui nécessite une attention

(conformité>80%).
Moyenne: indique une pratique de sécurité importante car les risques sont
importants. Ainsi cela nécessite une attention toute particulière à court ou
moyen terme (60%<conformité<80%.).
Critique: indique une pratique de sécurité très importante, car les risques
encourus sont très importants. (conformité<60%).
2.3.1 Politique de sécurité
Le niveau de conformité de cette clause par rapport à la norme ISO 17799 est de 0%.
Cela s’explique par l’absence de documents de synthèse représentant le document de
la politique de sécurité. Il n’existe ainsi aucun document de sécurité, de même que
des chartes sur l’utilisation des technologies de l’information. Ainsi en plus de mettre
en place une politique de sécurité, il faut prévoir également des mesures pour
permettre à cette dernière d’être revue périodiquement. Le niveau de sévérité
accordé à cette clause est donc critique.
2.3.2 Organisation de la sécurité
Le niveau de conformité de cette clause par rapport à la norme ISO 17799 est de
44,7%. Ce niveau de conformité s’explique par le fait que les services fournis par des
personnes tiers (très rarement) sont contrôlés. Egalement, les informations sensibles
de l’organisation sont identifiées et attirent l’attention des responsables quand à leur
protection. Cependant, il n’existe pas pour l’instant la fonction de Responsable de

Sécurité du Système d’Information (RSSI) au sein de la municipalité. Cette

responsabilité reste planifiée, mais n’a pas encore vu le jour. Aussi, il n’existe pas
pour l’instant un responsable de la sécurité pour chaque site distant. La municipalité
a des partenaires (CNI, ministère des finances) avec qui elle partage des données.
Cette clause enregistre un degré de sévérité critique.
2.3.3 Contrôle et classification des actifs
Cette clause enregistre une conformité de 36,11% ; cela induit une sévérité critique.
L’ensemble des principaux actifs de l’organisme est identifié puis répertorié. Il s’agit
entre autres des serveurs métiers, des postes de bureau, des équipements réseau, des
applications utilisées par l’organisme, des données ou informations gérées par
l’organisme, des équipements de lutte contre les incendies, etc. A chacun des actifs
de l’organisme est affecté un responsable. Ce dernier répond des éventuels
dommages que peut subir l’actif. Les documents recueillis sous format papier sont
rangés dans des armoires. Chaque dossier est muni d’une référence telle que la date
d’entrée, la date de sortie etc. Ces références sont enregistrées sur le serveur du
bureau d’ordre. Ainsi la tâche consistant à retrouver certains documents reste une
tâche moins fastidieuse.
Cependant, les procédures de classification ne se basent pas sur une documentation

précise qui défini les critères de classification, de sorte à pouvoir évaluer les
conséquences d’une altération de cet actif sur l’organisme. De plus il n’existe pas de
procédure d’étiquetage pour la classification ; simplement, les dossiers considérés
sensibles sont astreints à rester dans le bureau du responsable en question.
2.3.4 Sécurité liée aux ressources humaines
Concernant le volet ressources humaines et sécurité, la vérification de l’authenticité

des documents (diplômes, documents fournis,…) des employés (surtout ceux du
département informatique) est laissée au soin du ministère de l’intérieur et du
développement local, qui est le ministère de tutelle de l’organisme. En effet, le
recrutement du personnel est effectué par l’organisation de concours sous l’égide du
dit ministère. Il revient donc au jury établi par ce ministère d’examiner

minutieusement les pièces fournies par les participants retenues. Ainsi avant de
prendre effectivement fonction, les candidats retenus sont informés de leur future
responsabilité vis-à-vis de l’organisme. Ces nouveaux employés sont informés (et
ratifient) de leurs droits et devoirs vis-à-vis de la sécurité de l’organisme également.
Pour se faire, il leur est soumis la réglementation liée à la norme tunisienne NT
110.12 année 1994 ISO 9000/3 -1991. Cette réglementation renferme les droits et
devoirs de l’employé. Le personnel de l’organisme est ainsi informé de son rôle dans
la gestion de cette sécurité. En dehors de ces informations à l’embauche, il n’est pas
défini de procédures visant à rappeler à l’ensemble du personnel son rôle dans la
sécurité de l’organisme.
Le personnel du département informatique est soumis à des séances de formations

pour les sensibiliser sur l’importance de la sécurité de l’information et leur inculquer
les notions de bonnes exploitations des technologies de l’information.
Le niveau de sévérité appliqué à cette clause est moyen car elle reste conforme à la
norme ISO 17799 à 62,96%.
2.3.5 Sécurité physique et environnementale
La moyenne de cette clause est de 69,72% par rapport à la norme 17799, soit une
sévérité moyenne. L’environnement de localisation ne présente pas d’exposition à
des dangers naturels apparents. En ce qui concerne la sécurité physique des locaux
elle est assurée par une clôture qui les entoure, ainsi que des postes de gardiennage
qui surveillent les principales entrées. Un mécanisme d’enregistrement des visiteurs
a été instauré. Il permet de relever les identités des visiteurs ainsi que les dates et
heures d’entrée et sortie.
La zone sensible qu’est la salle serveur bénéficie d’une sécurité toute particulière, et
ce à travers l’accès qui y est très réservé. En effet pour protéger cette salle de toutes
malveillances physiques, l’accès est protégé par une carte magnétique que seulement
trois personnes possèdent. Elles sont les seules habilitées à y pénétrer.
La protection des serveurs, routeurs commutateurs et hubs contre les aléas

électriques est mise en place. Chaque serveur est muni d’un onduleur, et d’autres

onduleurs veillent à l’alimentation des routeurs, commutateurs et hubs en cas de

rupture d’alimentation électrique. Les câblages électriques et réseau sont encastrés.
Cependant, au niveau de la salle serveur le câblage réseau est en vrac. Egalement ces
câbles ne sont pas étiquetés, ce qui rend ardu la tâche d’identification d’un câble. Les
moyens réglementaires de lutte contre les incendies sont en place tel que des bouches
à incendies ou des détecteurs de fumées. Cependant aucune procédure de test de ces
moyens et équipements de protection n’est réalisée.
Les bureaux des employés sont dotés de serrures, offrant la possibilité de les
verrouiller en leur absence. Egalement l’accès physique aux postes de travail de
chacun des utilisateurs, pour certain, est protégé par un mot de passe.
Pour éviter toutes tentatives de vol des équipements, ceux devant quitter ou entrer
dans les locaux doivent bénéficier de bons. Ces bons sont accompagnés
d’autorisation de sortie, dans le cas d’une sortie d’équipement. A travers ces bons les
équipements sont répertoriés, en entrée comme en sortie.
2.3.6 Gestion de l’exploitation et des communications
Cette clause mérite une attention et des mesures urgentes à rendre car avec une
conformité de seulement 46,29%, elle enregistre une sévérité critique.
Les serveurs métiers sont constitués à 30 % de serveurs LINUX et à 70 % de serveurs

Windows 2003 et 2000. Les postes de bureau sont à 100% équipé de système
d’exploitation Microsoft Windows 98/SE, ME et XP. Les systèmes d’exploitation
utilisés bénéficient de licences d’exploitation. Les mesures de continuité de services
sont en parties assurées. Il s’agit des sauvegardes des bases de données des serveurs,
effectuées 2 fois par jours. Les sauvegardes faites sont stockées en clair et des tests de
lecture périodique ne sont pas effectués. Ces sauvegardes sont conservées dans un
coffre.
Nous notons également qu’il n’existe pas de redondances de ces serveurs pour
permettre une reprise presque instantanée en cas de panne de l’un des serveurs.
Aussi, il n’existe pas de document définissant les règles à appliquer en ce qui
concerne l'exploitation des ressources informatiques (réseaux, serveurs, etc.). Le

réseau LAN de l’organisation est de type Ethernet, et un adressage privé a été mis en
place. Bien qu’il existe une politique d’adressage par sous réseau, il n’existe
cependant pas de réalisation de LAN virtuel pour permettre une segmentation, a un
niveau plus élevé, du réseau de l’organisme. Egalement le réseau LAN est organisé
en groupe de travail. Il est ainsi aisé de passé d’un groupe de travail à un autre sans
difficulté et profiter de ressources auxquelles l’on a peut être pas droit.
Au sein de ce réseau, la municipalité de Tunis manipule principalement des

applications chargées de la gestion des ressources budgétaires (GRB), de Madania
pour la gestion des actes civils puis l’application INSAF pour la gestion du personnel
étatique et ADEB.
Les applications les plus utilisées sont les applications GRB et MADANIA. La
première est partagée avec plusieurs sites distants ; 11, qui sont des recettes ou
régies, et la seconde est partagée avec 16 sites distants qui sont des arrondissements.
L’interconnexion entre ces sites et le siège de la Kasbah est effectuée au moyen de
lignes spécialisées ou de lignes Frame Relay. Le site central de la municipalité de
Tunis apparaît en tant que client pour l’application INSAF qui est sous l’égide du
CNI (centre national de l’informatique). Quant au site marchand, il est pour l’instant
à la phase de test.
Bien que l’ensemble de ces applications échangées avec les sites distants emprunte
des lignes spécialisées, il n’est pas prévu de procédures de chiffrements des données
véhiculées. En effet, pour l’instant, des techniques telles que le cryptage ou le
scellement des fichiers, qui permettent de garantir l’intégrité et la confidentialité des
données, ne sont pas implémentées. Ainsi ces dernières sont transmises en claires sur
le réseau.
Chaque employé bénéficie d’un ordinateur de bureau, dont il assume l’entière

responsabilité. Les droits d’accès des employés au niveau de leur poste de travail,
sont réduits au strict minimum à tel enseigne qu’ils ne peuvent installer à dessein des
applications. Concernant les employés des sites distants, ils ne peuvent qu’effectuer
des tâches administratives au moyen de leur ordinateur. En plus du matériel
informatique mis à la disposition du personnel, tous les équipements qui sont mis à

leur disposition sont répertoriés, identifiés par un code et assigné à leur propriétaire.
Cette tâche est effectuée par un magasinier.
L’ensemble des serveurs est protégé des intrusions externes par un firewall
(Appliance) StoneGate de la firme Stonesoft. Il n’existe donc pas de DMZ pour
l’instant au sein de cet organisme. Ce firewall n’est pas installé en cluster ; cela
reviendrait à dire que la haute disponibilité n’est pas assurée et qu’en cas de panne
de ce dernier, la connectivité à Internet ne peut être assurée.
2.3.7 Contrôle d’accès
La clause enregistre une moyenne de 41,32%, par rapport à la norme, donc une
sévérité critique. Une politique de mot de passe est instaurée au sein de l’organisme,
pour l’accès à certaines applications. Cependant ces mots de passe ne sont pas
changés suivant une fréquence bien définie. La permanence de ces mots de passe ne
permet pas de réduire les risques d’usurpation de mots de passe ou de vol.
Egalement, l’accès aux locaux sensibles tel que la salle serveur reste protégé par un
lecteur de carte magnétique. Seules les 3 personnes sont habilitées à accéder à ce local
possèdent les cartes adéquates pour y entrer. En plus de ces cartes, une alarme
(sonore) indique l’ouverture de la porte de cette salle, et ce, pendant et en dehors des
heures de travail.
La mise en place de mots de passe pour préserver l’accès aux ordinateurs des
employés n’est pas pleinement instaurée. Selon celle-ci, chaque utilisateur, doit
consigner son mot de passe dans une décharge qui est soigneusement sauvegardé
par un responsable. Cependant cette procédure n’est pas toujours suivie. Le
responsable de la sauvegarde des mots de passe n’a aucunement le droit de
divulguer ou d’utiliser les mots de passe des utilisateurs. N’empêche que cette
pratique déroge à la règle selon laquelle un mot de passe reste personnel.
L’accès distant, à partir de l’Internet est protégé par les règles d’accès gérées par le
firewall. Etant donné qu’on ne peut garantir qu’un accès illicite ne peut se réaliser à
100%, il est donc important de se munir de système de détection d’éventuelles

intrusions. Cependant, l’organisme ne s’est doté ni de système de détection

d’intrusion (IDS), ni de système de prévention d’intrusion (IPS).
2.3.8 Acquisition, maintenance et développement des systèmes
Cette clause présente une sévérité critique due à la moyenne de 42,30% par rapport à
la norme ISO 17799. L’acquisition de nouveaux systèmes porte l’attention particulière
des dirigeants afin de s’assurer que le système à acquérir correspond aux besoins de
l’organisme et ne mettra pas à mal la sécurité. Egalement des tests pour s’assurer
qu’un nouvel équipement ne sera pas source de régression de service sont effectués.
Cependant, Les fichiers systèmes des projets informatiques ne suivent pas de

procédures particulières de préservation de toute indiscrétion.
Egalement les procédures de chiffrement ou de signature électronique ne sont pas

intégrées dans les procédures de l’organisme. De même la sécurité de la
documentation des systèmes n’et pas d’actualité.
2.3.9 Gestion des incidents de sécurité
Cette clause enregistre une moyenne de 33,37% par rapport à la norme ISO 17799,
donc une sévérité critique. Le personnel a été sensibilisé sur la nécessitée de déclarer
les incidents ou failles de sécurité rencontrés. Cependant, pour l’instant il n’est
planifié l’instauration de procédures pour la gestion des incidents de sécurité. Pour
l’instant cette gestion est plutôt faite de façon intuitive. L’organisme a planifié
l’élaboration d’un certain nombre de règles pour la reprise d’activité en cas de
catastrophe ou d’incident liés à des erreurs humaines.
Cependant les rapports détaillés des incidents qui surviennent ne sont pas édités. Il
n’est donc pas possible de s’informer des incidents déjà survenus.
2.3.10 Gestion de la continuité d’activité
Cette clause présente une sévérité critique liée à sa moyenne de 46,66% par rapport à
la norme ISO 17799. Le plan de continuité d’activité ou de reprise d’activité se base
essentiellement sur les sauvegardes de bases de données. Ainsi l’organisme ne

dispose pas de plan clair et précis révélant dans les détails et dans l’ordre les actions
à entreprendre en cas de reprise suite à une catastrophe.
Pour permettre une continuité d’activité en cas de rupture de la fourniture

électrique, l’organisme s’est doté d’un groupe électrogène. En plus de ce groupe,
pour veiller à l’intégrité physique des serveurs, chacun d’eux est protégé par un
onduleur. Nous notons aussi la présence d’un onduleur de capacité importante pour
l’étage qui abrite la salle serveur.
Cependant il n’est pas défini de procédures périodiques permettant de tester le bon

fonctionnement du groupe électrogène et de l’onduleur. Lors de notre enquête, nous
avons également constaté la défaillance de la climatisation de la salle réservée à
l’onduleur qui dessert l’étage de la salle serveur.
L’action de veiller à une température idéale au fonctionnement des serveurs métiers

est effectuée par un thermomètre. Il permet ainsi de suivre les variations de
températures et de les réguler. Cependant il n’est pas prévu d’alarme en cas
d’augmentation de la température. Cette situation est d’autant plus critique si cela
arrivait en pleine nuit. Aussi il n’est pas prévu de vidéo surveillance de la salle
serveur.
2.3.11 Conformité
Cette clause a une moyenne de 49,03%, d’où une sévérité critique par rapport à la
norme ISO 17799. Les applications commerciales utilisées au sein de l’organisme
(principalement les applications Microsoft) sont dotées de licences d’exploitation.
Cependant, le personnel n’est interpellé sur les bonnes utilisations des technologies
de l’information au sein de la municipalité à l’aide de charte. Egalement, l’audit
périodique de l’organisme n’est pas encore encré dans les habitudes de l’organisme.
Il en est de même pour le suivi des règles édictées par l’organisme lui-même.
2.3.12 Résumé
Tel que le présente l’histogramme de la figure 6, nous constatons que les clauses
”Sécurité des ressources humaines” (C4), et ”sécurité physique et environnementale”

(C5) bénéficient d’une sévérité moyenne. Hors mis ces clauses, toutes les autres
enregistrent une sévérité critique.
Conclusion
A l’issu de cette étape de l’audit, nous constatons au vu des réponses obtenues, que
la maturité en terme de sécurité de la municipalité de Tunis admet un niveau en
général en dessous de 60%. Nous vérifierons ce niveau grâce à l’audit technique qui
constitue la prochaine étape de notre mission d’audit.

Chapitre 3 Audit technique
Introduction
Nous entamons à présent la deuxième étape importante de notre audit de la

municipalité de Tunis. Cette étape portera sur l’audit technique. Il s’agit dans un
premier temps de déterminer la topologie ou l’architecture du réseau de la
municipalité. Dans un second temps, nous établirons un diagnostic des services actifs
sur le réseau de la municipalité de Tunis, ainsi que de leurs éventuels vulnérabilité.
Enfin nous procéderons au test de vulnérabilité des équipements, pour estimer leur
capacité à résister aux attaques.
3.1 Présentation du réseau de la municipalité de Tunis
L e réseau global de la municipalité de Tunis est un MAN (Metropolian Area Network).

Ce dernier se constitue de différents sites distants. En plus de ces sites distants, il inclut
également une interconnexion avec des partenaires tels que le CNI ou le ministère des
finances. Ces interconnexions permettent un échange de données permanent entre site
central, sites distants et partenaires. Les sites distants se composent d’arrondissements
ainsi que de Régies et Recettes. L’interconnexion entre ces différentes entités est
possible au moyen de lignes spécialisées ou Frame Relay (voir figure 7):

RESEAU
FR & LS
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x
Ethernet
Ethernet
C C
7 8 9101112 7 8 9 101112
A 1 2 3 4 5 6 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x A 1 2 3 4 5 6 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B A B
Figure 7-Réseau de la municipalité de Tunis
Chacun des sites distants appartient à un sous réseau. Nous dénombrons 11 par rapport
à l’application GRB et 16 par rapport à la madania.
Nous allons dans un premier temps nous intéresser au site central.
3.2 Audit de l’architecture réseau du site central
Cette étape constitue la première étape dans la phase de l’audit technique. Nous allons
tout d’abord déterminer l’architecture du réseau, déterminer les éventuels sous réseaux
présents ainsi que le plan d’adressage. Pour se faire nous nous sommes aidés de l’outil
Networkview, en utilisant la version 3.52. Cet outil nous permet d’avoir une vue
graphique du réseau audité, ainsi que le plan d’adressage et des informations sur les
équipements réseaux présents (adresse mac, type de l’équipement…). La figure
suivante présente une partie du résultat obtenu lors de l’exécution de Networkview au
site central de la municipalité de Tunis.

Figure 8- Découverte du réseau du site central de la municipalité de Tunis avec

Networkview
Au terme de l’exécution de cet outil, nous recensons 62 machines actives (postes de

travail + serveurs). Parmi ces machines nous avons recensé 7 serveurs. Ces serveurs
sont :
Le serveur GRB.
Le serveur F-Secure d’antivirus.
Le serveur intranet et bureau d’ordre.
Le serveur Proxy.
Serveur portail (serveur web).
Le serveur madania.
Le serveur d’autorisations administratives.
Toutes ces machines appartiennent au même sous réseau. En effet il n’existe pas de
segmentation du réseau du site central. L’adressage IP est plan, et cela n’empêche
aucun des employés du site central d’accéder à un des serveurs de l’organisme.
Egalement, nos investigations nous ont permis de déceler plusieurs commutateurs des
firmes HP (Hewlett Packard), Huawei et 3Com.

3.3 Sondage des services réseaux
Identifier l’ensemble des services actifs par poste de travail au niveau du site central de
la municipalité de Tunis a été chose possible grâce aux outils Nessus, Nmap et Languard.
Nessus, application incontournable dans le cadre des scanners réseau nous a été d’un
apport important.
3.3.1 Sondage avec Nessus
Nessus fonctionne suivant l’architecture client serveur. Ainsi le client paramètre le

scanne et c’est le serveur qui se charge de la tache de scanne. Avant chaque opération
de scanne, l’outil Nmap est exécuté par Nessus pour déterminer les ports en écoute et
service en exécution. Par la suite, grâce à un ensemble de plugins, il passe à
l’identification des services en cours d’exécution sur chaque machine cible. Les
informations récupérées de la machine cible sont comparées avec la base de
vulnérabilité que possède Nessus, pour ensuite donner ses conclusions. Le résultat de ce
scanne est présenté sous forme de rapport (en page Html) qui contient une description
des vulnérabilités décelées de façon à les corriger.
Ainsi, après sondage, nous avons obtenu la figure suivante qui présente les services les
plus occurrents au niveau du réseau du site central de la municipalité.
16
14
%occurence
12
10
8
6
4
2
0
p)
p)
p)
p)
p)
p)
p)
p)
p)
p)
p)
p)
ud
ud
tc
tc
/tc
/tc
tc
/tc
tc
/tc
tc
tc
9/
5/
3/
9/
0/
3/
26
00
1/
4/
35
25
(6
12
44
13
(2
(8
16
02
10
50
(1
10
tp
tp
et
s(
p(
n(
p(
(1
p(
n(
Tf
ap
ln
k(
ht
t-d
Nt
ss
Ca
ai
te
ac
m
Sn
Kd
s-
of
-m
kj
Ep
io
os
ac
ex
tb
icr
Bl
pl
Ne
M
m
Co
services
Figure 9- Services les plus occurrents

Les services précédemment présentés ne sont pas les seuls. Il en existe d’autres qui sont
moins fréquents. Ce sont les services kerberos (88/tcp), domain (53/tcp), ntp (123/tcp),
ssh (22/tcp), ndmp (10000/tcp), filenet-tms (32768/tcp), sunrpc (111/tcp), nfsd-status
(1110/tcp), iclslap (2869/tcp), ms-wbt-server (3389/tcp).
Après avoir présenté les services les plus occurrents, nous vous présentons ceux qui
sont la source de plus de vulnérabilité.
% de vulnérabilité
80
70
60
50
40
30
20
10
0
p)
p)
p)
p)
p)
p)
p)
/tc
tc
tc
tc
ud
/tc
/tc
0/
5/
6/
35
45
25
1/
(8
22
22
16
(1
(4
10
tp
(5
(5
p(
ds
ht
k(
ap
us
er
m
ft-
ac
rv
at
Sn
so
kj
Ep
se
st
ac
ro
p-
p-
ic
Bl
ht
H
M
services
Figure 10-Services vulnérables
Nous remarquons que la règle des 20/80 s’applique. En effet 20% des services les plus
vulnérables enregistrent 80% des vulnérabilités des services réseaux. Soulignons
également que les vulnérabilités rencontrées se repartissent entre quatre niveaux de
sévérité suivant les proportions suivantes :
vulnérabilités
critique
élevée
moyenne
faible
Figure 11- Répartition des vulnérabilités

Nous constatons que nombreuses sont les vulnérabilités jugées critiques. Il importe
donc de réagir au plus tôt. Le tableau suivant décrit ces services vulnérables.
Service N° de port Description du service
microsoft-ds 445/tcp Le port 445 est un port utilisé depuis Windows 2000. Il
est utilisé pour le partage de fichiers et d'imprimantes sur
un réseau local.
blackjack 1025/tcp Ce port est généralement utilisé par le premier service

voulant établir une connexion externe.
epmap 135/tcp Ce service permet la réalisation des appels de procédures

distantes (RPC ou Remote Procedure Call). Il intervient
également dans le cas où une machine sollicite un
service sur une machine distante, elle se connecte d'abord
via le port 135 pour localiser le port réel sur lequel tourne
le service qui l'intéresse.
snmp 161/udp Ce service ou protocole est utilisé pour la gestion ou

l’administration des équipements réseaux (routeur,
commutateur, serveur, hôte).
http 80/tcp Ce port est utilisé pour la navigation sur le World

Wide Web (www). Des serveurs du Web s'ouvrent ce
port, écoutent pour établir connexions entrantes de
navigateurs Internet.
Tableau 1- Description des services les plus vulnérables
3.3.2 Sondage avec Nmap
Nmap est un outil open source. Il présente une multitude de fonctionnalités. Parmi les
fonctionnalités que Nmap met à notre disposition, nous avons eu recours aux
fonctionnalités
découverte du réseau,
détermination des ports ouverts,

détermination du système d’exploitation des machines cibles.
La figure suivante présente une interface d’exécution de Nmap. Les trois fonctionnalités
précédemment évoquées peuvent être simultanément exécutées. Tel a été notre
approche à travers l’exécution de la commande : Nmap –v –O X.XX.0/24
Soit le résultat suivant :
Figure 12- Découverte du réseau avec Nmap
Nous étayons ainsi nos résultats, car nous recensons le même nombre de services en
exécution que précédemment évoqué par Nessus. Egalement, nous avons obtenu les
systèmes d’exploitation des machines sur le réseau. Il s’agit de Windows Xp, millenium
et Windows 98/SE. En effet 23% du parc informatique du site central utilise le système
d’exploitation Windows Xp, contre 34 % pour Windows millenium et 43% pour
Windows 98/SE.
Aussi sur la figure 7, le firewall présent ne sert, pour l’instant, qu’à protéger le réseau
de la municipalité des attaques pouvant survenir de l’Internet. La connexion sites
distants et serveurs du site central ainsi que le LAN ne traverse pas le firewall.
Nous abordons une analyse de chacun des serveurs métiers du site central de la
municipalité à l’aide de Nessus.

3.4 Analyse des services vulnérables par serveur
3.4.1 Serveur GRB
Ce serveur constitue l’un des principaux serveurs métiers de la municipalité de Tunis.

Cette importance se justifie par l’application dont il permet l’exécution : GRB, qui
constitue la principale application utilisée sur le réseau de la municipalité. Du fait de
cette particularité, ce serveur se doit, de présenter le minimum de faille de sécurité
possible. Nous avons inspecté ce serveur à l’aide de l’outil Nessus. Ce serveur enregistre
59 ports ouverts, dont les services les plus vulnérables sont répertoriés dans le tableau
suivant :
Services N° de Ports Description de la vulnérabilité

Présente un risque de vulnérabilité élevée à une attaque de
smtp 25/tcp
type « buffer over flow ». Il est judicieux de désactiver ce
port puisque ce serveur n’est pas un serveur de messagerie
ou de le patcher grâce au patch disponible, pour corriger
cette faille, à l’adresse
http://www.microsoft.com/technet/security/bulletin/MS04-035.mspx
domain 53/tcp Ce service actif présente une vulnérabilité faible. Du fait

que ce service doit être actif (activation du DNS), le risque
qu’il présente est donc acceptable.
nntp 119/tcp Ce service présente une vulnérabilité moyenne due au fait
qu’il permet à des utilisateurs de lire ou poster des articles
de façon anonyme, pour un tel serveur s’il était public. La
solution dans ce cas est de renforcer l’authentification ou de
le désactiver.
ldap 389/tcp Ce service présente une vulnérabilité faible, car il est
possible de révéler des informations LDAP. La solution est
donc de désactiver ce service ou de désactiver l’option
« NULL BIND »
microsoft-ds 445/tcp Présente trois vulnérabilités critique. La première est due
au service SMB, dont un patch est disponible :
http://www.microsoft.com/technet/security/bulletin/ms05-027.mspx
La seconde vulnérabilité élevée, concerne une sensibilité

vis-à-vis de l’attaque « heap overflow ». Et la troisième
vulnérabilité critique, est liée à l’attaque « bufffer overrun ».
Les trois vulnérabilités permettent à l’attaquant d’exécuter
un code arbitraire sur la machine cible. Des patchs sont
disponibles aux adresses respectives :

http://www.microsoft.com/technet/security/bulletin/ms0
6-035.mspx
http://www.microsoft.com/technet/security/bulletin/ms0
6-040.mspx
ms-wbt-server 3389/tcp Une vulnérabilité moyenne est descellée pour ce service. Il
est sensible à une attaque du type « man in the middle » La
solution est de désactiver ce port.
vnc-http 5800/tcp Ce service présente une vulnérabilité moyenne. En effet il
permet de présenter une fenêtre à un hôte distant. Il est
judicieux de le désactiver en cas de non utilisation.
snmp 161/udp Ce service est sujet à une vulnérabilité élevée. Car, il est
possible d’obtenir le nom de la communauté auquel
appartient le serveur SNMP. Un attaquant peut utiliser ces
informations pour avoir plus d’informations sur l'hôte ou
changer sa configuration. La solution est de désactiver ce
port ou de filtrer les paquets UDP entrants au niveau de ce
port.
Tableau 2- Description des services vulnérables - GRB
3.4.2 Serveur Intranet et bureau d’ordre
Ce serveur permet l’échange d’informations en interne, ainsi que l’enregistrement des

références liées aux courriers entrants ou sortants. Il enregistre 71 ports ouverts et
plusieurs vulnérabilités, que nous décrivons ci après.
Services N° de Ports Description des vulnérabilités
smtp 25/tcp Présente un risque de vulnérabilité élevée.

En effet ce service est sujet à un défaut qui émane de la
bibliothèque ASN.1. Cette erreur permet à un attaquant
d’exécuter une commande de façon arbitraire sur l’hôte
distant.
Il est judicieux de désactiver ce port ou de patcher la
machine grâce au patch disponible, pour corriger cette faille,
à l’adresse
http 80/tcp Ce service présente une vulnérabilité faible. Cela est dû à

certains fichiers qui appellent la fonction phpinfo () qui
révèle des informations potentiellement sensibles à
l'attaquant. Ces fichiers sont : /a/phpinfo.php
/a/info.php. La solution est de restreindre leur accès ou de les
supprimer.

nntp 119/tcp Présente la même vulnérabilité moyenne que précédemment

exposée, pour le serveur GRB.
microsoft-ds 445/tcp Présente cinq vulnérabilités critiques et une jugée élevée.
L’ensemble de ces vulnérabilités a un point commun, c’est
qu’elles permettent l’exécution de code arbitraire à distance.
La première est due à un défaut du service d’impression
dont un patch est disponible pour le corriger :
La seconde, vulnérabilité critique, est liée au service SMB.

Egalement, un patch est disponible :
La troisième vulnérabilité est causée par un défaut de la

fonction PNP_QueryResConfList() qui se retrouve dans le
service plug-and-play. Un patch est mis à disposition pour
correction à l’adresse :
Ce même service, suivant l’usage d’une requête RPC mal

formée devient source d’une faille de sécurité.
startron 1057/tcp Il se trouve un défaut dans le gestionnaire de tâche qui peut
permettre à un attaquant l’exécution d’un code arbitraire
cette vulnérabilité est critique. Il est disponible un patch
pour corriger cette faute :
snmp 161/udp La vulnérabilité relevée est élevée. Elle présente la même

description que précédemment (voir serveur GRB)
vnc-http 5800/tcp Ce service présente une vulnérabilité moyenne. Elle
présente la même description que celle faite pour le serveur
GRB.
Tableau 3- Description des services vulnérables – Intranet et bureau d’ordre
3.4.3 Serveur Portail
Ce serveur est utilisé pour le portail interne (futur serveur web de la municipalité,
hébergé à la municipalité) et la gestion des employés temporaires. La municipalité
emploie de façon temporaire (journalière), certains membres de son personnel, et elle
utilise une application pour la gestion du paiement lié à ces derniers. Suite à notre
sondage de ce serveur, il enregistre 31 ports ouverts ainsi que les vulnérabilités
suivantes :

Service N° de port Description des vulnérabilités
http 80/tcp Ce service enregistre trois vulnérabilités élevées. Elles sont

dues à certaines URL se trouvant sur la machine. Les URLs
sont sources d’attaque du type « SQL injection », permettant à
un attaquant de passer la phase d’authentification ou de
contrôler l’hôte.
La solution est de modifier le CGI (common gateway
interface), afin que les arguments soient correctement espacés.
ansyslmd 1055/tcp Ce service est sujet à une vulnérabilité critique.
Cette vulnérabilité permet l’exécution d’un code arbitraire sur
l’hôte. Cela est causé par une erreur enregistrée dans la
version du serveur DNS installé sur le système. Un patch est
disponible à l’adresse suivante pour correction :
http://www.microsoft.com/technet/security/advisory/935964.mspx
Ce service enregistre une vulnérabilité critique. La
neod1 1047/tcp
vulnérabilité est causée par une erreur au niveau de
l’application « gestionnaire de tâche ». Cette vulnérabilité
permet également l’exécution de code arbitraire à distance.
Un correctif est disponible à l’adresse :
http://www.microsoft.com/technet/security/bulletin/ms04-
022.mspx
microsoft-ds 445/tcp Source de SIX (6) vulnérabilités critiques et une (1) élevée.
L’exploitation de ces vulnérabilités permet l’exécution de
code arbitraire à distance. Ces vulnérabilités sont causées par
des erreurs existantes au niveau de certains services. Il s’agit
entre autre du service LASS, le service d’impression, le service
SMB, le service Plug-And-Play, le service Server. La
résolution de ces fautes est possible grâce aux patchs
disponibles respectivement aux adresses suivantes :
ms-sql-s 1433/tcp Vulnérabilité faible du fait d’une absence de mot de passe

pour le compte « SA ». Il convient donc de désactiver ce
compte ou de lui attribuer un mot de passe.
epmap 135/udp Ce service enregistre une vulnérabilité élevée. A la clé de cette

vulnérabilité se trouve le service de messagerie qui permet

l’exécution de code arbitraire. Il est nécessaire de le désactiver
ou d’y apporter un correctif à partir de l’adresse :
ms-sql-m 1434/udp Ce service est source d’une vulnérabilité élevée. Le serveur

MS SQL est vulnérable à une attaque du type « buffer
overflows ». Un patch mis à disposition à l’adresse :
Tableau 4- Description services vulnérables - Portail
3.4.4 Serveur d’antivirus F-Secure
Ce serveur permet une centralisation du contrôle antiviral des postes de travail de la

municipalité de Tunis. Ce serveur tourne sur un hardware de la firme NEC. Il permet
une mise à jour régulière de la base de définition des virus. Nous avons enregistré 15
ports ouverts sur ce serveur, mais aucune faille de sécurité n’a été constatée.
Nous soulignons le nombre important de ports superflus ouverts pour un serveur

d’antivirus qu’il est.
3.4.5 Serveur Proxy
Le serveur Proxy agit en tant qu’un firewall applicatif. En effet il autorise ou pas toutes
les connexions issues du LAN vers le réseau Internet. Le résultat du scanne effectué
nous révèle 8 ports ouverts et deux failles de sécurité.
Service N° de port Description des vulnérabilités
http-alt 8080/tcp Ce service enregistre à lui seul les deux failles de sécurité
constatées. Elles sont toutes deux de niveau élevées. Elles
sont des résultantes de la version du “squid caching” qui et
vulnérable à une attaque pouvant créer un déni de service
ou permettre à l’attaquant d’accéder de façon illégale à
certaines ressources. La solution est de faire une mise à
jour du squid caching pour une version supérieure à la
2.5.STABLE6
Tableau 5- Description des services vulnérables - Proxy

3.4.6 Serveur d’autorisation administrative
Ce serveur, dont 60 ports sont ouverts, est utilisé pour l’enregistrement des
autorisations administratives. Toutes personnes devant exercer une fonction dans le
domaine du secteur tertiaire, (par exemple, ouverture de café…) doit avoir une
autorisation. Le service des autorisations est chargé, en fonction de l’emplacement, du
demandeur, de constater un avis de payement qui sera envoyé à la recette, pour
payement.
Le tableau suivant illustre chacun des services vulnérables ainsi que leur description :
Description N° de port Description des vulnérabilités
epmap 135/tcp Ce service enregistre une vulnérabilité critique qui résulte de

plusieurs bugs issus de l’implémentation du RPC/DCOM. La
conséquence est la possibilité pour un attaquant de l’exécution
de code arbitraire. Un patch est disponible à l’adresse :
microsoft- 445/tcp Ce service est source de 7 vulnérabilités critiques et de 2 autres

élevées. L’ensemble de ces vulnérabilités permet à un attaquant
ds
l’exécution de code arbitraire à distance.
remote-as 1053/tcp Ce service enregistre une vulnérabilité critique. Cette dernière

est causée par une erreur émanant de la version du service DNS
qui est exécuté sur l’hôte distant. Un correctif a été apporté par
microsoft à l’adresse :
snmp 161/ tcp Ce service enregistre une vulnérabilité élevée. Le nom de la

communauté reste exposé. L’obtention de ce dernier permet
l’acquisition d’autres informations sur l’hôte distant. La
solution réside dan la désactivation de ce port.
Tableau 6- Description des services vulnérables – Autorisation administrative

3.4.7 Serveur madania
Sur ce serveur est installée l’application madania qui est utilisée pour la gestion des
actes d’état civil. Il enregistre 47 ports ouverts et 5 vulnérabilités que nous présentons
dans le tableau suivant :
Service N° de port Description
microsoft-ds 445/tcp Ce service enregistre 4 vulnérabilités dont deux

critiques et deux élevées. Les vulnérabilités critiques
permettent l’exécution de code à distance. Elles sont
liées à des erreurs dans les services SMB et server. Les
vulnérabilités élevées sont liées à un partage de fichier
non protégé ainsi qu’à une erreur du service server qui
peut créer un « buffer overrun ». Il convient d’éviter le
partage de fichier sur un serveur, si non de protéger
l’accès et également d’apporter les correctifs requis
pour les erreurs dans les services :
027.mspx
035.mspx
040.mspx
snmp 161/udp Ce service présente une vulnérabilité élevée. Elle est

liée au fait que le nom de la communauté snmp est
accessible. La solution est de désactiver ce port.
Tableau 7- Description des services vulnérables - madania
3.4.9 Audit du serveur du premier bureau
Le service appelé premier bureau occupe les locaux anciennement occupés par la mairie
de Tunis, sis à Barcelone. Ce service est en charge de l’édition et de la perception des
taxes associées aux immeubles bâtis et non bâtis. Pour s’affranchir de cette tâche, ce
bureau est composé d’un serveur local qui tourne sous Windows 2003 Server. Ce
serveur enregistre les travaux effectués en local puis des travaux de recopie vers le
serveur du site central sont effectués par la suite.
Suite à notre enquête grâce à Nessus, 52 ports sont ouverts et les services vulnérables
suivants ont été décelés :

Services N° de Description des vulnérabilités

port
smtp 25/tcp La vulnérabilité découverte est d’un niveau élevé. Elle est due
à la version du service smtp qui est sensible à une attaque de
type « buffer overflow ». A travers cette vulnérabilité, un
attaquant est en mesure d’exécuter un code arbitraire. Faire
face à cette vulnérabilité revient à désactiver le service ou de
patcher le système grâce au patch mis à disposition :
http://www.microsoft.com/technet/security/bulletin/MS04-035.mspx
ldap 389/tcp Ce service enregistre trois vulnérabilités faibles. Elles

permettent : d’exposer les informations du service
Il est judicieux de désactiver ce service.
microsoft-ds 445/tcp Ce service est victime de deux vulnérabilités critiques et une
levée. Elles sont dues par des erreurs dans les services
« server » et SMB. Les conséquences de ces vulnérabilités sont
de permettre à un attaquant l’exécution d’un code. Microsoft à
mis à disposition des patchs aux adressent :
snmp 161/udp Ce service présente une vulnérabilité élevée suite au fait que le
nom de la communauté peut être révélé. Il est judicieux de
désactiver ce port.
Tableau 8- Description des services vulnérables – premier bureau
3.5 Tests intrusifs
Cette phase de l’audit reste très importante. En effet, elle permet de faire prendre
conscience aux responsables de la gravité de leurs vulnérabilités, face aux attaques d’un
esprit malveillant interne à l’organisme. Elle permet également de donner un aperçu de
l’ampleur des conséquences néfastes qui pourraient advenir dans le cas où un esprit
malveillant venait à exploiter leurs vulnérabilités.
Pour l’accomplissement de cette étape, nous avons joué le rôle de l’attaquant étant à
l’intérieur de l’organisme. Aussi, nous nous sommes munis du package d’applications

disponible sur le CD Linux live Backtrack 2. Cet outil se compose de différentes
applications et nous en avons utilisé quelques unes.
3.5.1 Utilisation de Languard
Nos investigations sur les serveurs présents nous ont permis d’être en possession
d’informations importantes. En effet, nous avons obtenu la liste des utilisateurs pour
chacune des bases de données, comme le présente la figure suivante. Fort est de
constater que muni d’outils pour le crack de mots de passe, un attaquant peu causer des
dysfonctionnements sur ces serveurs.
Figure 13- Découverte des utilisateurs d’une BD
Aussi nous constatons que les bases de données sont exposées aux attaques « sql blind »
qui permet de passer la phase d’authentification pour l’accès à la base.
3.5.2 Utilisation de Métasploit
Métasploit est une plateforme d'attaque, open source, basée sur l'utilisation d'exploits
afin d’exécuter un code arbitraire sur un hôte distant. Chaque exploit est composé de
payload. Ces derniers sont les codes qui sont exécutés pour permettre le succès de
l’exploit. Le lancement d’une attaque à partir de Métasploit s’effectue en choisissant
l’exploit, le payload puis la cible de l’attaque.

Figure 14- Fenêtre d’accueil de msfweb
Suite à nos différentes investigations, différentes vulnérabilités ont été découvertes.

Métasploit, dispose d’exploits dans sa base, qui peuvent être utilisés pour les
vulnérabilités observées. Pour étayer nos propos, nous avons trouvé au sein de la base
des exploits de Métasploit, « Microsoft ASN1. Library » qui utilise une vulnérabilité de la
bibliothèque ASN1 de Microsoft. Le résultat de cet exploit résulte sur un « buffer
overflow ». La figure suivante présente la progression lors du lancement de l’attaque.
La conséquence immédiate de cette attaque a été l’arrêt du système cible.
Figure 15- Progression de l’attaque

Cet exemple illustre l’exposition dont fait montre les serveurs de l’organisme. Une
personne malveillante peu à dessein mettre à mal le bon fonctionnement des serveurs
métiers.
3.5.3 Résistance des équipements aux accès directs
Une des failles de sécurité rencontrées lors de notre mission d’audit fut l’accès non
protégé à certaines ressources sensibles de la municipalité. Il s’agit de l’accès au serveur
d’antivirus et aux postes utilisateurs. Cela nous a permis rien qu’en introduisant
l’adresse IP des cibles (serveurs) dans un navigateur, d’y accéder. Les deux figures
suivantes en sont des illustrations :
Figure 16- Accès au serveur anti virus

Figure 17- Accès à un poste utilisateur
Cette figure présente l’accès au répertoire racine d’un serveur web. Nous constatons les
possibles dommages que peut engendrer un utilisateur malveillant.
3.6 Audit des commutateurs
Les commutateurs au sein de la municipalité de Tunis proviennent de trois firmes

différentes :
9 commutateurs HP composés de 24 ports Ethernet chacun, et d’un port SPF.
2 commutateurs Huawei, composés de 24 ports Ethernet et 2 ports SPF.
1 commutateur 3com, composés de 24 ports Ethernet et deux ports SPF.
L’interconnexion des commutateurs est effectuée suivant une cascade. En effet, le

switch de la firme 3COM joue le rôle de switch fédérateur. Par la suite, les autres
switchs (HP et Huawei) sont connectés à ce dernier suivant une connexion en étoile.

Figure 18- Interconnexion des commutateurs
La deuxième cascade effectuée (encerclée ci-dessus) ne se justifie pas. Il n’est pas mis en
place pour l’instant une politique pour une répartition du réseau en VLAN. Il s’en suit
donc qu’il n’existe pas de restrictions au niveau des accès des commutateurs. Ainsi
chaque utilisateur à potentiellement accès à toutes les ressources disponibles.
La figure suivante vient étayer nos précédentes affirmations sur la trop grande
accessibilité aux ressources de l’organisme. Elle nous présente la fenêtre de
configuration d’un des commutateurs. Cela est valable pour tous les commutateurs
rencontrés.
Figure 19- Accès à un commutateur HP
Nous pouvons mesurer ainsi l’impact important qui peut subvenir si une personne
modifie ces configurations.

3.7 Audit des routeurs
La municipalité de Tunis s’est dotée de routeurs de marque Cisco. Ils sont de deux
gammes à savoir :
2 routeurs Cisco 2600
3 routeurs Cisco 1600
Les deux routeurs de la gamme 2600 sont utilisés pour chacun des serveurs MADANIA
et GRB. Tandis que deux routeurs de la gamme 1600 sont utilisés pour l’interconnexion
avec les serveurs ADEB et INSAF respectivement au niveau du ministère des finances
et du CNI. Le troisième routeur 1600 est utilisé pour la connexion internet. Les accès à
ces routeurs sont protégés par des mots de passe. Aucune ACL n’a été défini au niveau
de ces routeurs.
3.8 Audit du firewall
La municipalité de Tunis possède un firewall de la gamme SG 300. Cet équipement est

l’interface entre l’Internet et le réseau de la municipalité. Doté de 4 ports, il gère le trafic
provenant de l’Internet et celui dirigé vers Internet. Il n’autorise que les connections de
type ftp, http, smtp, pop3, ping.
En plus de la gestion de l’accès, en se basant sur les règles d’accès définies au niveau de
sa politique de sécurité, il permet aussi le NAT (Network address translator). Ce service
permet une conversion d’adresse IP, de sorte à préserver l’identité des adresses IP du
réseau.
Conclusion
Ce présent chapitre nous a permis certes de manipuler différents outils, mais il a été
surtout d’une importance capitale pour mettre a nu les failles de sécurité non moins

bénignes, à l’instar des résultats des intrusions, réalisées à la municipalité de Tunis.
Suite à ces constats, notre prochain chapitre se penchera sur les recommandations à
fournir ainsi que la solution technique que nous proposons.

Chapitre 4 Recommandations et solution proposée
Introduction
Ce chapitre fait office de chapitre visant à proposer des recommandations par rapport
aux différentes clauses de la norme ISO/IEC 17799. Egalement, au vu des vulnérabilités
constatées lors du chapitre précédent, nous allons proposer une architecture réseau
sécurisé.
4.1 Recommandations au niveau organisationnel et physique
Les recommandations suivantes visent à apporter des suggestions pour améliorer

l’aspect organisationnel et physique de la sécurité du réseau de la municipalité.
4.1.1 Politique de sécurité
La direction de la municipalité doit fournir les directives précises et claires pour

l’édition d’un document de sécurité [5.1.1], qui renfermera la politique de sécurité.
Egalement, cette dernière doit montrer son engagement et son appui pour
l’établissement de cette politique.
Ce document une fois élaboré et approuvé par la direction, pourra être publié au
personnel et aux partenaires, tout en veillant à ne pas communiquer des informations
sensibles. Aussi une revue régulière de cette politique de sécurité doit être planifiée
pour tenir compte des possibles changements qui surviendront [5.1.2].

4.1.2 Organisation de la sécurité
Organiser la sécurité de l’organisme passe par l’établissement et la désignation d’un

Responsable de Sécurité des Systèmes d’Information (RSSI) [6.1.3]. Ce dernier devra
documenter toutes les mesures ou règles de sécurité qu’il devra mettre en œuvre.
Egalement, il devra déterminer les éventuels risques que court l’organisme en
s’exposant aux partenaires [6.2.1], dans ce cas précis au CNI et le ministère des finances,
et prendre les mesures qui conviennent pour les réduire. Une définition claire et précise
des rôles et responsabilités vis-à-vis de la sécurité de l’information. Egalement,
l’organisme doit se faire aider de spécialistes en sécurité quand le besoin se fait sentir
[6.1.7].
4.1.3 Classification et contrôle des actifs
L’inventaire des actifs ne doit pas seulement tenir compte des équipements, mais
également des documents, et même des actifs intangibles (la réputation) [7.1.1]. La
classification et le contrôle des actifs nécessitent une définition claire et précise des
différentes classes d’actifs possibles [7.2.1]. Partant de ce fait, il serait aisée de classer les
actifs et de les marquer de cette classe (exemple : politique d’étiquetage…), puis de les
accorder le niveau de sécurité nécessaire. Aussi l’organisme doit préciser pleinement et
clairement les procédures liées à la destruction des informations.
4.1.4 Sécurité des ressources humaines
Il est important de mettre en place une procédure d’information continuelle du

personnel sur les risques de sécurité, ainsi que leur contribution à l’élaboration de cette
sécurité [8.2.2]. L’élaboration de chartes précisant le comportement à avoir vis-à-vis des
technologies de communication est un moyen pour y parvenir. Aussi l’organisme doit
apporter les changements nécessaires en cas de départ d’un membre du personnel
(surtout s’il est lié à des informations sensibles), pour réduire les risques d’atteinte à la
sécurité de l’organisme de la part de cet employé [8.3.1].

4.1.5 Sécurité physique et environnementale
De façon intuitive, la sécurité évoque la sécurité physique et environnementale, et cette

vision est bien une réalité au sein de la municipalité. N’empêche que cette sécurité doit
s’appuyer sur un document qui lui est lié et également sur un contrôle des moyens de
sécurité mis en place par des tests [9.2.5].Aussi l’organisme doit s’assurer de la mise en
zone sécurisée des équipements à réutiliser [9.2.6].
4.1.6 Gestion des communications et de l’exploitation
La municipalité doit définir des procédures d’exploitation du réseau qui spécifie

l’exécution du traitement informatique, les sauvegardes ainsi que la gestion des
anomalies [10.1.1]. Egalement, pour veiller au bon fonctionnement des équipements
qui concourent à la protection de l’intégrité physique aussi bien du local que de ces
équipements. Il s’agit entre autre de veiller au fonctionnement des moyens
réglementaires de lutte contre les incendies. Egalement de provoquer cillement une fois
par mois un délestage pour s’assurer du fonctionnement du groupe électrogène présent.
Enfin veiller à ce que ces équipements soient dans des conditions de fonctionnement
idéal (climatisation pour les onduleurs de capacité importantes). Toujours pour veiller à
l’intégrité physique de son matériel informatique (serveurs), il est opportun de se doter
d’une alarme qui serait active au cas où la température de la salle serveur serait au
dessus d’un seuil fixé. Bien évidemment il faudra définir des rondes par les gardiens
autour de ces locaux.
Aussi, elle doit définir des critères rigoureux d’acceptation d’équipements [10.3.2].
Afin de détecter les traitements d’information non autorisés, il faut mettre en place une
surveillance et un «log» afin d’enregistrer les activités sur un système donné [10.10].
La sécurité de l’échange d’information implique aussi une segmentation rationnelle et

judicieuse du LAN. Cela est possible par la mise en place de LAN virtuel permettrait:
De mettre en réseau les départements ou unités qui partagent le plus

d’information en commun

D’améliorer la sécurité au niveau LAN car l’on réduirait ainsi les domaines de
broadcast.
L’ensemble du trafic véhiculé par le réseau de la municipalité est véhiculé en clair.

Certes il est véhiculé sur des lignes spécialisées qui présentent un obstacle aux
malveillants (accéder physiquement à la liaison). Cependant étant donné que le
malveillant possède plus d’un tour dans son sac, il serait nécessaire, pour dresser
encore une embûche sur son chemin et donc mieux protéger le réseau, d’instaurer un
mécanisme de chiffrement des données qui y sont véhiculées.
Pour une structure d’une telle envergure il serait nécessaire de se doter de serveur de
Back Up afin d’éviter une interruption de service en cas de défaillance de l’un des
serveurs.
Une faille au niveau organisationnel de la sécurité a été décelée au niveau de la

protection des serveurs de l’organisme. En effet ces serveurs ne sont protégés que des
attaques pouvant subvenir du réseau Internet.
Aussi, le fait de garantir la disponibilité, passe par une mise en cluster du firewall
existant. Ainsi en cas de panne de l’un, le second permettra au réseau de ne pas être
inaccessible.
4.1.7 Contrôle d’accès
Une gestion des accès utilisateurs est nécessaire pour permettre l’accès aux personnes
autorisées et empêcher ceux n’étant pas autorisé d’accéder au système d’information
[11.2.1]. Aussi, une politique efficace et rigoureuse de gestion de mots de passe
utilisateurs doit être définie et appliquée au sein de la municipalité de Tunis [11.2.3].
Egalement, les droits d’accès attribués aux utilisateurs doivent être revus de façon
périodique par la direction concernée [11.2.4].
Les serveurs métiers qui constituent un patrimoine important pour l’organisme

doivent être protégés. En effet il doit être établi une DMZ pour la sécurité de ces
derniers.
L’analyse du trafic véhiculé sur le réseau en temps réel permettrait de déceler

d’éventuelles attaques ou intrusions. C’est pourquoi nous préconisons la mise en place

d’IDS ou D’IPS. Cependant, étant donné que les IPS ont une aptitude à prendre des
initiatives en temps réel pour faire face aux intrusions, ces derniers seront plus
indiqués.
4.1.8 Acquisition, maintenance et développement des systèmes
L’instauration de procédures pour assurer la confidentialité tel que le chiffrement ou

la signature électronique doit faire partie des procédures développées par la
municipalité [12.3.1]. Il s’en suit donc qu’une gestion des clés doit être mise en place
pour la meilleure organisation de l’utilisation des techniques cryptographiques [12.3.2].
Egalement assurer la sécurité des fichiers de projets informatiques doit être de mise
[12.4.1].
4.1.9 Gestion des incidents de sécurité
Il est important de s’assurer que les évènements de sécurité, ainsi que les faiblesses
relatives au système d’information de la municipalité sont communiqués aux entités
concernées qui se chargeront d’appliquer les mesures correctives dans les délais les plus
brefs. Cela impose que la définition et la structuration de la remontée des incidents de
sécurité doivent se faire afin de pouvoir agir immédiatement dans les cas urgents
[13.1.1]. Le personnel doit être informé de l’importance à signaler les failles de sécurité
détectées [13.1.2]. La gestion des incidents de sécurité doit attirer l’attention des
responsables de sécurité. En effet une gestion cohérente d’incident survenu serait
profitable pour l’organisme. Egalement un rapport détaillé de cet incident permettrait
de se prémunir d’une répétition de ce dernier, ou d’y faire face rapidement en cas
d’occurrence du même type d’incident [13.2.3].
4.1.10 Gestion de la continuité d’activité
La municipalité peut être confrontée à un désastre de quelques origines et à n’importe

quel moment ; celui-ci pouvant altérer le système d’information. C’est pourquoi il est
important de mettre en place des processus de recouvrement pour assurer la continuité
d’activité de l’organisme. Cela passe par l’élaboration d’un plan de continuité d’activité
qui répond aux exigences de sécurité [14.1.1]. Ce plan doit connaître une évaluation de

façon régulière [14.1.5]. Aussi, assurer la continuité d’activité passe par le contrôle
continu et permanent des moyens de protection mis en œuvre ainsi que les sauvegardes
qui sont effectuées. D’ailleurs ces dernières peuvent être chiffrées pour plus de sécurité.
4.1.11 Conformité
La municipalité, au regard de son statut doit se conformer à la législation Tunisienne en

matière de sécurité de systèmes d’informations [15.1.1]. Etant donné que la municipalité
traite des données à caractère personnel, ces dernières doivent rester confidentielles
[15.1.4]. Définir des procédures d’audit internes doit être intégré aux procédures de
l’organisme [15.2.2]. Il en de même pour l’audit externe, qui, depuis la promulgation du
décret N° 1250 de mai 2004 institut l’audit des SI comme une obligation [15.3.1].
4.2 Solution proposée
4.2.1 Recommandations système
Nous avons constaté que les vulnérabilités recensées étaient liées au fait que des mises à
jour software n’étaient pas constamment tenues. C’est pourquoi nous invitons les
administrateurs réseau de la municipalité à visiter le site web de Microsoft, qui propose
des mises à jour pour les corrections des failles découvertes. Il s’agit de l’adresse :
http://www.microsoft.com/tecnet/security/bulletin/ .
Nous avons pris soin de donner les liens précis (voir tableaux chapitre 2) pour trouver
les correctifs.
Egalement il est indispensable de définir des mots de passe au compte « sa » sur les
serveurs MS-SQL. L’organisme peut aussi profiter des options de disponible dans les
systèmes d’exploitations (Exemple : iptable sous les systèmes linux).
4.2.2 Révision du plan d’adressage
Lors de notre mission, nous avons eu l’occasion de constater certaines incorrections

concernant le plan d’adressage. La municipalité utilise un adressage interne. Ce
pendant leur plan d’adressage n’est pas conforme aux recommandations ou normes

internationales (RFC N°1918). En effet selon RFC N°1918, il est prévu une plage
d’adresse pour les plages d’adresses privées. Cette plage couvre les trois classes
d’adresse IP et sont :
Classe A 10 .0.0.0-10.255.255.255 ; Classe B 172.16.0.0-172.16.255.255 ;

Classe C 192.168.1.0-192.168.32.255
Nous suggérons donc à l’organisme audité de tenir compte de cette recommandation.

Ainsi, vu que le parc informatique est de taille moyenne, il est judicieux d’utiliser un
adressage privé de classe C.
Aussi, l’instauration et la segmentation du réseau de la municipalité en VLAN est une

nécessité. Nous rappelons que l’adressage réseau du site central est plan et que toutes
les machines s’y trouvant appartiennent au même réseau et il n’existe pas de
segmentation en sous réseau.
Puisqu’il existe différentes directions au sein du site central, nous proposons que cette
segmentation se fasse en considérant comme critère de segmentation les directions et les
ressources sensibles. Le tableau suivant illustre notre proposition
Département VLAN Plan d’adressage
Cabinet Vlan 1 192.168.1.0/27
Direction du développement Vlan 2 192.168.1.32/27
Serveurs Vlan 3 192.168.1.64/27
Direction du contrôle Vlan 4 192.168.1.96/27
Direction des affaires administratives et financières Vlan 4 192.168.1.128/27
Direction des affaires communales Vlan 4 192.168.1.160/27
Direction de l’hygiène et de la protection de Vlan 4 192.168.1.192/27

l’environnement
Inspection Vlan 4 192.168.1.224/27
Tableau 9- Répartition des VLANs

Nous proposons l’instauration d’une réorganisation par domaine et non par groupe de
travail. Rappelons que la répartition actuelle est faite suivant des groupes de travail, et
qu’il est aisé pour un utilisateur d’intégrer un groupe de travail à souhait. Tandis
qu’une répartition par domaine apportera plus de sécurité dans la mesure où elle
demande que l’utilisateur soit créé, avant qu’il ne puisse joindre le domaine pour y
partager les ressources.
Les sites distants
Le plan d’adressage déjà mis en place pour ces derniers ne respecte également pas la
recommandation RFC N°1918. Nous proposons que cette recommandation s’applique
aussi au plan d’adressage des sites distants. Nous proposons donc :
o Les sous réseaux 192.168.3.0/24-192.168.19.0/24 pour les sites distants

associés à la GRB
o Les sous réseaux 192.168.20.0/24 – 192.168.34.0/24 pour les sites distants

associés à MADANIA
4.2.3 Solution technique
La solution technique nous proposons sur le réseau MAN de la municipalité que tient
compte des aspects suivants :
La haute disponibilité des ressources, afin d’assurer la continuité de service.
L’intégrité des données pour s’assurer de leur non falsification.
La confidentialité, du fait que nous aurons à véhiculer des informations à

caractère personnel.
Le contrôle du trafic interne au site central de la municipalité, pour éviter les

intrusions.
Pour tenir compte de l’ensemble des aspects précédemment évoqués, nous allons
exploiter de façon optimale les fonctionnalités offertes par le firewall StoneGate en
matière de réseau privé virtuel sécurisé, de partage de charge, de continuité de service
et de la sonde IPS en terme de prévention d’intrusion, d’analyse en temps réel du trafic,
d’alerte et de la réaction à adopter.

4.2.4 Solution proposée
Dans le but d’assurer une connexion permanente entre le site central de la municipalité
de Tunis et les sites distants, nous proposons une solution qui permet de garantir de
façon concomitante la continuité de service, le partage de charge ainsi que la sécurité du
trafic réseau.
La mise en place de notre solution se base sur les préalables suivants :
Révision du plan d’adressage.
Répartition du réseau en VLAN.
Equipement de chaque site distant de firewall
Disposition de connexion Internet pour les sites distants.
Acquisition de sonde IPS au niveau du site central.
4.2.5 Détection et prévention d’intrusion
Le mécanisme de détection ou de prévention d’intrusion est réalisé grâce à une sonde.

Cette dernière permet d’inspecter la partie donnée dans le paquet IP. Rappelons que le
paquet IP se constitue de deux parties à savoir l’entête et les données. La sonde inspecte
les données, et traite le paquet en fonction de la politique de sécurité qui lui a été
appliquée. Dans le cas de la municipalité de Tunis, nous proposons l’utilisation d’une
sonde IPS entre la DMZ (les serveurs) et le firewall en mode «inline». Le souci de la
protection des serveurs métiers justifie le choix de cet emplacement. Ainsi, nous aurons
le schéma suivant :
Figure 20- Intégration de la sonde IPS

4.2.6 VPN site-to-site
Les connexions site central - sites distants s’effectuent pour l’instant grâce au Frame
Relay ou liaison louée. Cependant, en cas de problème de ces liens, il y aura une
rupture de service. Pour faire face à cette situation nous proposons une connexion
ADSL pour chaque site distant. Sachant que chaque site distant est muni de firewall
StoneGate, il y aura un basculement immédiat sur le lien ADSL en cas de panne du lien
LS ou FR.
La connexion ADSL, adjointe aux firewalls StoneGate au niveau de chaque site distant,
permet également de sécuriser l’échange d’information.
En effet le firewall StoneGate propose, en plus de sa fonctionnalité première qui

consiste à filtrer les accès, d’autres fonctionnalités. Il s’agit entre autre de la connexion
VPN (Virtual Private Network). Les VPN permettent d’établir une connexion sécurisée
entre deux LAN à travers un réseau public. La sécurité réside dans le chiffrement des
informations échangées entre les deux LAN, car les VPN sont basés sur le protocole
IPsec. Il est possible d’établir deux types de connexions VPN :
Les VPN site-to-site qui sont établis entre deux équipements faisant office de
passerelles.
Les VPN client-to-site qui sont établis entre les utilisateurs mobiles et
l’équipement faisant office de passerelle.
Vu que la municipalité n’intègre pas pour l’instant l’informatique nomade, nous allons
nous intéresser au VPN site-to-site.
La mise en place d’un VPN site-to-site nécessite la présence de SGWs (Security

Gateway). Les SGWs constituent les passerelles de sécurité. Ce sont eux qui prennent en
charge l’établissement de la connexion VPN. Elles représentent le point d’accès au
réseau protégé. Elles permettent le chiffrement des données et le transfert de ces
données à travers le tunnel VPN.
Les firewalls StoneGate offrent la possibilité d’établir une VPN suivant différentes
topologies qui sont :

La topologie maillée : tous les sites sont reliés entre eux.
La topologie en étoile : tous les sites sont reliés au site central.
La topologie en hub : route les connections VPN mobiles vers d’autres sites VPN
à travers un concentrateur VPN en utilisant les VPN site-to-site qui se trouvent
entre les deux.
Dans notre cas nous optons pour la topologie en étoile. Le schéma suivant présente la
topologie de la connexion VPN proposée. (Pour des raisons de clarté du schéma, nous
n’avons pas représenté tous les sites).
Frame Relay ec
IPs
VP
N
N
VP
IPs
ec
LS
AD
SL
AD
VPN IPsec
VPN IPsec Internet A

D
SL
ADSL
ADS
L
Site Central
Figure 21- Connexion VPN site-to-site

4.2.7 Solution finale
Le schéma suivant présente l’architecture de la solution finale que nous proposons. Il

résume les précédentes propositions que nous avons faites :
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x
E th e rn e t
C
7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x

E th e rn e t
C
7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x

E th e rn e t
C
7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x
E th e rn e t
C
7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B
RESEAU
FR & LS
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x
E th e rn e t
E th e rn e t
C C
7 8 9 101112 7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B A B
Figure 22- Architecture de la solution proposée

4.2.8 Réalisation de la solution
Cette partie a connue une réalisation partielle. En effet nous n’avons pas eu l’occasion
de mener de bout en bout la réalisation de la solution globale proposée. Cependant
nous avons réalisé la configuration et l’installation de la sonde IPS. Cette présente partie
décrira donc le processus de configuration et d’installation de la sonde IPS.
L’installation d’une sonde Stonesoft nécessite un client, un serveur de log, un serveur
de management et bien sur la sonde.
La sonde est constituée de deux modules :
Le sensor : cet élément est en charge de l’inspection du trafic proprement dit puis
en se basant sur la politique de sécurité qui lui a été appliquée envoi des
évènements à l’analyser
L’analyser : ce dernier considère les évènements reçus du sensor puis effectue

une corrélation de ces évènements avec sa base d’information en se basant sur la
politique de corrélation qui lui est appliqué. Le résultat de cette corrélation est
envoyé au serveur log en tant qu’évènement.
Une fois l’entité sonde est crée au niveau du client, la configuration de la sonde passe
par la configuration des interfaces « inline » et de l’interface d’administration. Etant
donné que c’est une sonde démo, tout le trafic est accepté sans inspection, pour
observer le flux véhiculé.
Figure 23 Installation de la sonde démo

Conclusion
Nous avons proposé des recommandations et une solution se rapportant à l’architecture

du réseau de la municipalité. Cette solution à été adopté en prenant comme objectif la
continuité d’activité, la disponibilité, la confidentialité des informations et la prévention
d’intrusion.

Conclusion générale
Conclusion générale
L’audit de sécurité des systèmes d’information occupe une place de plus en plus
importante depuis la promulgation de décret N°1249 et 1250 de mai 2004.
Ce projet consiste en l’audit de sécurité du système d’information de la municipalité de

Tunis. Pour se faire, nous abordons notre mission d’audit à travers l’audit
organisationnel et physique. Ce dernier se base sur une série de questions en référence à
une norme. Dans notre cas, il s’agit de la norme ISO/IEC 17799 :2005, constituée d’onze
principaux contrôles de sécurité. Cette norme est une référence en matière de bonnes
pratiques de sécurité. Grâce au questionnaire réalisé et l’ayant soumis pour réponse à
l’organisme audité, ce dernier présente une conformité de 48,26% par rapport à la
norme ISO. Ce taux de conformité implique un éveille des responsables de l’organisme,
vis-à-vis de la sécurité de leur systèmes d’information. Suite à l’audit organisationnel,
fait place l’audit technique. Cette phase est l’occasion de manipuler certains outils dans
le but de découvrir l’architecture réseau, de détecter les vulnérabilités liées aux services
et de réaliser des attaques en se basant sur ces vulnérabilités. La découverte du réseau a
est possible en utilisant des outils comme Nmap et Networkview. Certains outils (Nessus)
nous aident à scanner les vulnérabilités des services sur l’ensemble du réseau. Nous
constatons que de nombreux services enregistrent des vulnérabilités critiques. Par la
suite nous avons exploitons ces vulnérabilités en utilisant par exemple Métasploit pour
la réalisation d’attaques. Une fois ces insuffisances de sécurité constatées nous
proposons des recommandations sur les aspects organisationnels et physique et une
solution technique en nous basant sur les produits de la firme STONESOFT. La solution
proposée permet la confidentialité et l’intégrité à travers le VPN, la haute disponibilité à
travers le « clustering » et une analyse temps réel du trafic par la sonde IPS.
Ce rapport interpelle les responsables de la municipalité sur la nécessité de prêter

d’avantage une oreille attentive à la sécurité de leur système d’information.
Comme perspective à ce projet, il est important qu’un audit soit de nouveau réalisé,
pour veiller à la mise en œuvre des recommandations et solution proposée.

Bibliographie
BIBLIOGRAPHIE
[1] Journal Officiel de la République Tunisienne,
Article 2 du décret N° 2004-1250 du 25 mai 204
[2] Formation technologique – sécurité Informatique, Module Audit de sécurité
Khemiri Elyes- Consultant en Sécurité Réseau & Système Enseignant formateur en Audit
Sécurité auprès De l’Agence Nationale de la Sécurité Informatique2004
[3] ISO/IEC 17799 Information technology — Security techniques — Code of practice

for information security management, Second edition 2005-06-15
[4]Stonesoft, StoneGate high availability firewall and multilink VPN, GENERAL

Firewall principles
[5] Network security second edition,
Chris Brenton, Cameron Hunt, SYBEX, 1999
[6] Sécurité Maximale des systèmes et réseaux,
Anonyme, CampusPress 2002
[X.Y.Z] : Le contrôle de sécurité référencié dans la norme ISO/IEC 17799 :2005
Webographie
[7] http://www.ansi.tn/fr/audit/modele_cc_audit.htm
[8] http://www.commune-tunis.gov.tn/fr/mairie_administration.asp#2
[9] http://www.commune-tunis.gov.tn/fr/prestation_service0.htm
[10] http://www.cni.nat.tn/FR/SCRIPT/MADANIA.asp
[11] www.ysosecure.com
[12] http://www.ssi.gouv.fr/
[13 http://www.clusif.asso.fr/fr/production/mehari/
[14] http://www.ansi.tn/fr/audit/norme_iso15408.htm
Projet de fin d’études I

Bibliographie
[15]http://www.ey.com
Outils utilisés
Backtrack http://www.remote-xploit.org/backtrack.html
Languard http://www.gfi.com/
Métasploit http://www.metasploit.com/
Nessus http://www.nessus.org
Networkview http://www.networkview.com/
Nmap http://insecure.org/nmap/
Projet de fin d’études II

Annexe - Questionnaire audit organisationnel et physique
ANNEXE : Questionnaire pour l’audit organisationnel et physique se référant à

la norme ISO/IEC 17799
1-Politique de sécurité
1-1-La politique de sécurité de l’information est elle documentée et spécifie t–elle

clairement les objectifs de sécurité de l’organisme, ainsi que des mesures de révisions
de cette politique ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
La politique de sécurité de l’organisme définie t-elle :
1-2-… une structure en charge de la définition de la politique de sécurité des

systèmes d’information ainsi que de sa mise en place ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
1-3-… un plan de continuité d’exercice, une éducation aux exigences de sécurité et

aux risques de sécurité, les conséquences d’une violation des règles de sécurité ainsi
que les responsabilités des incidents de sécurité ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
1-4-... une structure chargée de l’évaluation des risques et de leurs gestions ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
1-5-... des principes de sécurité de l'information tel qu’ils soient conforment à la

stratégie d'affaires et aux objectifs de l’organisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
1-6... une présentation de la stratégie de sécurité de l’information aux employés ainsi

qu’aux partenaires de l’organisme?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Projet de fin d’études III

1-7-... les responsabilités générales et spécifiques liées à la gestion de la sécurité de

l'information ainsi que les incidents?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
1-8-La politique de sécurité définie bénéficie t-elle de l’appuie de la direction

générale?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-Organisation de la sécurité
2-1-Les objectifs de sécurité sont ils identifiés, intégrés à la politique globale de
l’organisme, et sont ils en concordance avec les objectifs de l’organisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
..……………………………………………………………………………………………
2-2-Les règles de sécurité précisent t-elles une définition claire des tâches, rôles
spécifiques affectation des responsables de sécurité de l’information ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-3-Existe t-il une coordination de l’exécution des tâches de sécurité des différentes
entités en charge de la sécurité de l’information au sein l’organisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-4- Les informations confidentielles à protéger sont elles identifiées ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-5-Existe-t-il une définition des possibles utilisations des informations

confidentielles ?
Projet de fin d’études IV

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-6-Existe t-il une politique de révision et de documentation de la politique

d’organisation de la sécurité en vue de la mettre à jour ou à niveau ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-7-Les services fournis par des tiers et leurs accès sont ils contrôlés?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-8-Les risques dus aux effets externes des partenaires sont ils identifiés ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-9-Les informations sensibles sont elles protégées de l'accès des partenaires de

l'organisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
3-Classification et contrôle des actifs
3-1- Les actifs de l’organisme sont ils identifiés et répertoriés ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
3-2-Les informations sensibles pour l’organisme bénéficient elles de procédures

définissant leurs conservation ou destruction ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
3-3- A chaque actif est il associé un propriétaire qui doit en assurer également la
responsabilité ?
Commentaire:…………………………………………………………………………………
Projet de fin d’études V

………………………………………………………………………………………………
3-4-Les actifs sont ils classifiés suivant un degré de protection ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
3-5-Est il défini les utilisations possible des actifs ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
3-6-Des critères d’appréciation de la valeur des informations ainsi que leurs

diffusions internes sont elle définies ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
3-7-La classification bénéficient elle d’une documentation détaillée ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
3-8-Existe-t-il une adéquation entre niveau de sécurité accordé à un actif et sa

valeur ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
4-Sécurité des ressources humaines

4-1-L’organisme s’accorde t-il les moyens de vérifier l’authenticité et la véracité des
diplômes et documents fournis par les potentiels futurs employés ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
4-2-Le contrat employeur - employé tient il compte des responsabilités de l’employé

via à vis de la sécurité de l’organisme?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Projet de fin d’études VI

4-3-Le personnel est il informé de ces responsabilités vis-à-vis de la sécurité des

actifs :
-Avant l’embauche,
-Pendant la période de son exercice,
-Après remerciement ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
4-4-Existe-t-il des sessions (de sensibilisation et d’éducation) d’information du

personnel sur la sécurité des systèmes d’information de l’organisme?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
4-5-Le personnel reste t-il astreint à la divulgation d’informations sensibles pour

l’organisme, même après remerciement ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
4-6-Des procédures disciplinaires sont-elles définies pour les employés sources de

failles de sécurité sont elles définies ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
4-7-Les procédures et critères (rigoureux) de sélection du personnel chargé de

travailler sur des informations sensibles?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
4-8-Ces procédures de gestion des ressources humaines sont-elles documentées ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-Sécurité physique et environnementale

5-1-La situation géographique de l’organisme tient elle compte des risques naturelles
ou industriels (séisme, glissement de terrains, industries travaillant sur des produits
Projet de fin d’études VII

explosifs ou toxique) ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-2-La sécurité de l’environnement de livraison ou de vente de produit est il garanti ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-3-Existe-t-il une protection du câblage ainsi qu’a l’égard des risques électriques
(surtension, variation de tension…) ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-4-Le câblage électrique est il conforme aux règles de sécurité ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-5-Existe t-il une politique de prévention et de gestion des incendies ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-6-Existe t-il une redondance de la fourniture électrique?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-7-Existe-t-il une politique de contrôle des entrées et sorties des locaux de

l’organisme (humains, actifs…) ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-8-Existe-t-il une politique de contrôle d’accès aux locaux d’informations sensibles et

de « password » pour retreindre l'accès aux équipements informatiques ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Projet de fin d’études VIII

5-9-Les équipements acquis suivent-ils une politique de maintenance ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-10-S’assure t’on que les équipements à abandonner sont dépourvues

d’informations importantes pour la sécurité de l’organisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-11-Existe-t-il une documentation liée à la sécurité physique et environnementale?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-Gestion des communications et de l’exploitation

6-1-Existe-t-il une distinction entre les phases de développement, de test et
d’intégration d‘applications ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-2-Les données sensibles sont-elles recopiées avant intégration de nouvelles

applications?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-3-Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers,
cheval de Troie,….) ainsi qu’une mise à jour périodique et constante de ces derniers ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-4-L’échange d’informations sur le réseau ainsi que les transactions en ligne sont
elles sécurisée ? Suivant quel mécanisme de sécurité ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Projet de fin d’études IX

6-5-Existe-t-il une protection des données circulant sur le réseau public ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-6-La sécurité des échanges inter organismes est elle garantie ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-7-La sécurité ou l’accès aux services de messagerie électronique, de commerce

électronique de photocopieur, imprimante est elle garantie ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-8-Existe-t-il une DMZ (zone démilitarisée) protégée et qui se distingue

parfaitement du réseau interne de l’organisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-9-Existe-t-il un contrôle quant à l’installation de logiciels malveillants ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-10- Existe-t-il un contrôle permanent de l’intégrité et du bon fonctionnement des

moyens de protection de l’organisme?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-Contrôle d’accès
7-1-Les accès aux locaux (sensibles ou pas) sont ils contrôlés, enregistrés et analysés
à travers des logs ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-2-Existe-t-il une politique d’authentification forte pour l’accès aux services réseaux
?
Projet de fin d’études X


Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-3-Existe-t-il une politique qui hiérarchise les autorisations d’accès ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-4-Un ancien employé perd t-il ces droits d’accès aux locaux et aux informations
sensibles de l’organisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-5-L’accès distant (logique) au réseau informatique est-il protégé ? Par quel

équipement ou outil ou mécanisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-6-L’accès (physique) aux actifs sensibles est-il protégé ? Par quel équipement, outil
ou mécanisme ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-7-Les applications (sensibles) pour l’organisme ainsi que leur code source sont t-ils
sécurisés ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-8-Existe-t-il une identification des informations relatives aux activités de

l’organisme ainsi que leurs potentiels risque de sécurité ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-9-Existe-t-il une consistance entre le contrôle d’accès et la classification des

ressources ?
Commentaire:…………………………………………………………………………………
Projet de fin d’études XI

………………………………………………………………………………………………
7-10-Existe-t-il une procédure de surveillance de l'utilisation des technologies de

l'information par le personnel?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-11-Le suivi des bonnes pratiques en matière de choix et de l’utilisation de mot de

passe est-il assuré ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-12-La protection de l’informatique nomade est elle assurée ainsi que les séances de
télé travail ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
8-Acquisition, développement et maintenance des systèmes

8-1-S’assure t-on que l’équipement à acquérir répondra aux besoins exprimés ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
8-2-La garantie de la confidentialité, l’authenticité et l’intégrité de l’information

s’effectue t-elle au moyen de signature électronique ou de cryptographie ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
8-3-Existe-t-il une politique de maintenance périodique et assidue des équipements ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
8-4-La sécurité de la documentation du système d’informationest elle assurée ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Projet de fin d’études XII

8-5-S’assure t-on de la non régression de service lors du développement ou de

l’intégration nouveaux services ?
Commentaire:…………………………………………………………………………………
9-Gestion des incidents de sécurité

9-1-Existe t-il une politique de gestion des incidents ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
9-2-Existe t-il un report détaillé des incidents qui surviennent ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
9-3-Les potentielles faiblesses descellées font elles objet de rapport complet et

détaillé ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
9-4-Est il défini une politique de répartition des responsabilités en cas d’incident ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
9-5-Les actions à entreprendre pour la résolution des incidents sont –elles définies ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
9-6-Les employés sont ils informés du comportement à avoir en cas d’incident ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
9-7-La résolution des incidents se fait elle de façon cohérente ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Projet de fin d’études XIII

10-Continuité des activités

10-1-Existe t-il des mesures de sauvegarde (sur quel support) des actifs (données
sensibles) ainsi que de leur protection?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-2-Les données sauvegardées sont-elles mise à jour périodiquement ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-3-Est il défini des critères spécifiant les ayant accès à ces données ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-4-Existe-t-il une politique de sauvegarde d’autres actifs de l’organisme ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-5-Existe t-il une (des) alarme(s) pour l’avertissement lors d’accès aux actifs
sensibles en dehors des heures de travail ou en cas d’accès non autorisés?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-6-Les unités organisationnelles liées à la sécurité informatique ont-elles été

définies?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-7-En cas de changement d’équipe de travail, la continuité de service est elle

assurée ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-8-Existe-t-il un plan de reprise en cas de désastre ?

Projet de fin d’études XIV

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-9-Un plan de continuité d’activité est il défini ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
11-Conformité
11-1-Les logicielles utilisées bénéficient ils de licences d'exploitation?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
11-2-Existe-t-il un contrôle de la conformité technique ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
11-3-Les règles de sécurité appliquées restent elles conforment à la législation en

vigueur ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
11-4-Existe-t-il une procédure d’audit interne et régulier de l’organisme ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
11-5-Les règles de sécurité appliquées restent elles conforment à une norme

particulière ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
11-6-Le droit à la propriété intellectuelle et la protection des données personnelles

sont-ils préservés ?
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Projet de fin d’études XV

11-7-Existe-t-il une procédure définissant une bonne utilisation des technologies de

l’information par le personnel ?
C
ommentaire:…………………………………………………………………………………
………………………………………………………………………………………………
11-8-Un audit périodique est-il effectué ?

Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Notation questionnaire
Politique de sécurité
N° Oui Partiellement_oui Planifié Non Pas

question applicable
1.1 6 3 1 0
1.2 6 3 1 0
1.3 6 3 1 0
1.4 6 3 1 0
1.5 6 3 1 0
1.6 6 3 1 0
1.7 6 3 1 0
1.8 6 3 1 0
Nombre total de point : P Nombre de questions applicables : A

Moyenne chapitre 1(en %)=P/ (A*6)
Organisation de la sécurité

question applicable
2.1 4 2 1 0
2.2 6 3 1 0
2.3 4 2 1 0
2.4 4 2 1 0
2.5 4 2 1 0
2.6 4 2 1 0
2.7 4 2 1 0
2.8 4 2 1 0
2.9 4 2 1 0
Projet de fin d’études XVI


Moyenne chapitre 2(en %)=P/ (A*4.22)
Classification et contrôle des actifs

question applicable
3.1 3 2 1 0
3.2 6 3 1 0
3.3 4 2 1 0
3.4 3 2 1 0
3.5 6 3 1 0
3.6 4 2 1 0
3.7 6 3 1 0
3.8 4 2 1 0
Sécurité des ressources humaines

question applicable
4.1 3 2 1 0
4.2 6 3 1 0
4.3 4 2 1 0
4.4 3 2 1 0
4.5 6 3 1 0
4.6 4 2 1 0
4.7 6 3 1 0
4.8 4 2 1 0

Sécurité physique et environnementale

question applicable
5.1 6 3 1 0
5.2 4 2 1 0
5.3 6 3 1 0
5.4 6 3 1 0
5.5 6 3 1 0
5.6 4 2 1 0
5.7 4 2 1 0
5.8 6 3 1 0
Projet de fin d’études XVII

5.9 6 3 1 0
5.10 6 3 1 0
5.11 6 3 1 0

Gestion des communications et de l’exploitation

question applicable
6.1 6 3 1 0
6.2 6 3 1 0
6.3 6 3 1 0
6.4 6 3 1 0
6.5 4 2 1 0
6.6 4 2 1 0
6.7 4 2 1 0
6.8 6 3 1 0
6.9 6 3 1 0
6.10 6 3 1 0

Contrôle d’accès

question applicable
7.1 6 3 1 0
7.2 4 2 1 0
7.3 6 3 1 0
7.4 6 3 1 0
7.5 4 2 1 0
7.6 4 2 1 0
7.7 4 2 1 0
7.8 6 3 1 0
7.9 4 2 1 0
7.10 4 2 1 0
7.11 6 3 1 0
7.12 6 3 1 0
Projet de fin d’études XVIII

Acquisition, Développement et maintenance des systèmes

question applicable
8.1 4 2 1 0
8.2 6 6 1 0
8.3 4 2 1 0
8.4 6 3 1 0
8.5 6 3 1 0

Gestion des incidents

question applicable
9.1 4 2 1 0
9.2 6 3 1 0
9.3 4 2 1 0
9.4 4 2 1 0
9.5 4 2 1 0
9.6 4 2 1 0
9.7 4 2 1 0
Continuité d’activité

question applicable
10.1 6 3 1 0
10.2 4 2 1 0
10.3 6 3 1 0
10.4 4 2 1 0
10.5 6 3 1 0
10.6 3 2 1 0
10.7 4 2 1 0
10.8 6 3 1 0
10.9 6 3 1 0
Moyenne chapitre 10(en %)=P/ (A*5)
Projet de fin d’études XIX

Conformité
question applicable
10.1 6 3 1 0
10.2 6 3 1 0
10.3 4 2 1 0
10.4 4 2 1 0
10.5 4 2 1 0
10.6 3 2 1 0
10.7 4 2 1 0
10.8 4 2 1 0
Moyenne générale (en %)= P/ (A*4.98):

Nombre total de point sur l’ensemble du questionnaire: P Nombre de questions
applicables sur l’ensemble du questionnaire : A
Projet de fin d’études XX

ZONGO Arsene PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ZONGO Arsene PDF

Transféré par

Droits d'auteur :

Formats disponibles

Cycle de formation des ingénieurs en Télécommunications

Rapport de Projet de fin d’études

Audit de sécurité d’un système d’information

Travail proposé et réalisé en collaboration avec

Année universitaire : 2006/2007

Projet de fin d’études i

employer ne saurait être à la mesure de la reconnaissance que je vous

A vous très chers membre de ma famille, je dédie ce modeste travaille.

Projet de fin d’études i

Ce travail, réalisé dans les locaux de STONESOFT et de la municipalité de Tunis, a

Je remercie l’ensemble du personnel de la société STONESOFT Tunis pour le soutien

J’exprime toute ma reconnaissance et gratitude à l’administration et à l’ensemble du

Je tiens à remercier le personnel de la municipalité pour m’avoir permis de

Projet de fin d’études ii

Liste des acronymes ............................................................................................................. vii

Projet de fin d’études iii

Projet de fin d’études iv

Figure 1- Cycle de vie d’un audit de sécurité ................................................................. - 4 -

Liste des tableaux

Tableau 1- Description des services les plus vulnérables ........................................... - 34 -

Projet de fin d’études v

Projet de fin d’études vi

Projet de fin d’études vii

La sécurité des systèmes d’information constitue un domaine qui a toujours été

La protection : Définir nos ressources sensibles à protéger ainsi que les

La réaction : Définir les solutions à mettre en place pour la correction.

Projet de fin d’études -1-

Chapitre 1 : Mission d’audit de sécurité des systèmes

1.1 Audit de sécurité des systèmes d’information en Tunisie

Projet de fin d’études -2-

1.1.1 Rôles et objectifs de l’audit

La détermination des déviations par rapport aux bonnes pratiques de

La proposition d’actions visant l'amélioration du niveau de sécurité du

Egalement, une mission d’audit de sécurité d’un système d’information se présente

Les opérateurs de réseaux publics de télécommunications et

Les entreprises dont les réseaux informatiques sont interconnectés à

Les entreprises qui procèdent au traitement automatisé des données

De ce point de vu, l’audit de sécurité se présente comme une nécessité, pour

Projet de fin d’études -3-

1.1.2 Cycle de vie d’un audit de sécurité des systèmes d’information

Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit un

Figure 1- Cycle de vie d’un audit de sécurité

L’audit de sécurité informatique se présente essentiellement suivant deux parties

L’audit organisationnel et physique.

Projet de fin d’études -4-

1.2 Démarche de réalisation d’une mission d’audit de sécurité des

Tel que précédemment évoqué, l’audit de sécurité des systèmes d’information se

Figure 2- Les phases de l’audit

1.2.1 Préparation de l’audit

Projet de fin d’études -5-

Les personnes qui seront amenées à répondre au questionnaire concernant l’audit

1.2.2 Audit organisationnel et physique

Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de

Dans notre contexte, suivant les recommandations de l’ANSI et du fait de sa

Projet de fin d’études -6-

Nous présentons ci-après notre cheminement pour l’aboutissement au questionnaire.

Figure 3- Etapes de réalisation du questionnaire

Après la validation du Questionnaire (QSSI), les réponses choisies seront introduites

1.2.3 Audit technique

Projet de fin d’études -7-

Outils de sondage et de reconnaissance du réseau.

Outils de test automatique de vulnérabilités du réseau.

Outils spécialisés dans l’audit des équipements réseau (routeurs, switchs).