Académique Documents
Professionnel Documents
Culture Documents
ZONGO Arsene PDF
ZONGO Arsene PDF
Option :
Ingénierie des Réseaux
Thème :
Réalisé par :
Arsène S. ZONGO
Encadrants :
Mr. Chaouki BEN SALAH (STONESOFT)
Mme. Faten AYACHI (SUP’COM)
Mr. Nabil TABBANE (SUP’COM)
Le travail présenté dans ce rapport a été effectué dans le cadre de mon projet de fin
d’études d’Ingénieurs en Télécommunications à l'Ecole Supérieure des
Communications de Tunis (SUP'COM).
Je remercie enfin tous ceux qui, d’une manière ou d’une autre, ont contribué à la
réussite de ce travail et qui n’ont pas pu être cités ici.
Introduction générale
La détection : Détecter les failles aux quelles sont exposées nos ressources.
La révision : S’assurer que nos correctifs ne sont pas en conflit avec les politiques
de sécurité déjà en place et s’y intègre parfaitement.
Un moyen pour suivre la sécurité d’un système d’information de façon continue est
d’effectuer un audit de sécurité des systèmes d’information de façon périodique. C’est
dans ce contexte que s’inscrit ce projet qui vise l’audit du système d’information de la
municipalité de Tunis.
Pour se faire, nous présenterons certains concepts clé de l’audit des systèmes
d’information, ainsi que notre organisme cible. Par la suite, nous entamerons notre
mission d’audit par l’audit organisationnel et physique, ensuite l’audit technique. Enfin
notre mission d’audit s’achèvera par un ensemble de recommandations et la
proposition d’une solution technique pour améliorer la sécurité du système
d’information de la municipalité de Tunis.
Introduction
Les entreprises ou organismes ne sont plus constitués de nos jours d’une entité, mais
reparties en plusieurs entités distantes qui échangent entre elles des informations. La
sécurité de leurs systèmes d’information en général et de leurs réseaux informatiques
en particulier est d’une importance capitale pour assurer le bon fonctionnement de
leurs activités. C’est dans ce contexte qu’est introduit l’audit de sécurité des systèmes
d’informations. Il est un moyen de garantir la sécurité des systèmes d’information.
Le chapitre premier présente le déroulement de l’audit de sécurité des systèmes
d’information, les normes sur laquelle elle peut se baser, ainsi que notre cadre de
travail. Tout d’abord, nous évoquerons ce que représente l’audit de sécurité des
systèmes d’informations en Tunisie.
L’ANSI (Agence nationale de la sécurité informatique), est l’organe accrédité pour les
missions d’audit en Tunisie conformément au décret N° 2004-5 du 3 février 2004
relatif à la sécurité informatique. Cet organisme définit l’audit de sécurité tel une
« intervention de spécialistes, utilisant des techniques et des méthodes adéquates,
pour évaluer la situation de la sécurité d’un système d’information et les risques
potentiels [7]».
Nous présenterons dans la suite de cette partie les rôles, objectifs et déroulement de
l’audit.
Une mission d’audit vise différents objectifs. En effet nous pouvons énumérer à ce
titre :
Par là même, un organisme audité pourra corriger les failles de sécurité. En Tunisie,
la réalisation d’un audit de sécurité informatique possède un caractère obligatoire.
En effet depuis le décret N°2004-1250, du 25 Mai 2004, l’audit de sécurité
informatique est imposé aux organismes suivants [1]:
Cependant, l’audit de sécurité peu présenter un aspect préventif. C'est-à-dire qu’il est
effectué de façons périodiques afin que l’organisme puisse prévenir les failles de
sécurité. Egalement, l’audit peut s’imposer suite à des incidents de sécurité.
3Com
L’audit technique.
Une troisième partie optionnelle peut être également considérée. Il s’agit de l’audit
intrusif. Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce rapport
présente une synthèse de l’audit. Il présente également les recommandations à
mettre en place pour corriger les défaillances organisationnelles ou techniques
constatées.
Une présentation plus détaillée de ces étapes d’audit sera effectuée dans le
paragraphe suivant qui présente le déroulement de l’audit.
Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante
pour la réalisation de l’audit sur terrain. En effet, c’est au cours de cette phase que se
dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se
manifeste par des rencontres entre auditeurs et responsables de l’organisme à
auditer. Au cours de ces entretiens, devront être exprimées les espérances des
responsables vis-à-vis de l’audit. Aussi, il doit être fixé l’étendu de l’audit ainsi que
les sites à auditer, de même qu’un planning de réalisation de la mission de l’audit.
Une fois que les deux parties (auditeur-audité) ont “harmonisé leur accordéons “,
l’audit sur terrain peut être entamé. Il débute par l’audit organisationnel et physique.
a. Objectifs
b. Déroulement
Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche
méthodologique qui s’appuie sur « une batterie de questions ». Ce questionnaire
préétabli devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A
l’issu de ce questionnaire, et suivant une métrique, l’auditeur est en mesure
d’évaluer les failles et d’apprécier le niveau de maturité en termes de sécurité de
l’organisme, ainsi que la conformité de cet organisme par rapport à la norme
référentielle de l’audit.
Le questionnaire que nous proposons se compose d’un peu moins d’une centaine de
questions. Chaque question est affectée d’un coefficient de pondération portant sur
l’efficacité de la règle du référentiel sur laquelle porte la question, en matière de
réduction de risque.
Le traitement consiste au calcul d’une moyenne pondérée par les notes obtenues en
fonction des réponses choisies et du coefficient d’efficacité. L’on obtient un résultat
chiffré (de 0 à 6 ou exprimé en pourcentage) représentant le niveau de sécurité (la
maturité) du système d’information audité.
Une fois cette phase réalisée, il est question de passer à l’étape suivante de l’audit ; il
s’agit notamment de l’audit technique.
a. Objectifs
Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique
allant de la découverte et la reconnaissance du réseau audité jusqu’au sondage des
services réseaux actifs et vulnérables.
Cette analyse devra faire apparaître les failles et les risques, les conséquences
d’intrusions ou de manipulations illicites de données.
Au cours de cette phase, l’auditeur pourra également apprécier l’écart d’avec les
réponses obtenues lors des entretiens. Il sera à même de tester la robustesse de la
sécurité du système d’information et sa capacité à préserver les aspects de
confidentialité, d’intégrité, de disponibilité et d’autorisation.
Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause
la continuité de service du système audité.
b. déroulement
Vu les objectifs escomptés lors de cette étape, leurs aboutissements ne sont possibles
que par l’utilisation de différents outils. Chaque outil commercial qui devra être
utilisé, doit bénéficier d’une licence d’utilisation en bonne et dû forme.
Egalement les outils disponibles dans le monde du logiciel libre sont admis.
L’ensemble des outils utilisés doit couvrir entièrement/partiellement la liste non
exhaustive des catégories ci après :
Chacun des outils à utiliser devra faire l’objet d’une présentation de leurs
caractéristiques et fonctionnalités aux responsables de l’organisme audité pour les
assurer de l’utilisation de ces outils.
a. Objectifs
b. Déroulement
La phase de déroulement de cet audit doit être réalisée par une équipe de personnes
ignorante du système audité avec une définition précise des limites et horaires des
tests. Etant donné l’aspect risqué (pour la continuité de services du système
d’information) que porte ce type d’audit, l’auditeur doit.
A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger un
rapport de synthèse sur sa mission d’audit.
Cette synthèse doit être révélatrice des défaillances enregistrées. Autant est-il
important de déceler un mal, autant il est également important d’y proposer des
L’audit tel que nous venons de le présenter, s’appuie sur une référence. Nous vous
présentons les références qui sont les plus utilisées.
L’audit des systèmes d’information est un moyen de vérifier l’écart d’un système
d’information par rapport à une référence donnée. Une mission d’audit s’appuie
donc impérativement sur une référence. Dans ce domaine, il existe différentes
normes sur les quelles se basent les missions d'audit de sécurité des systèmes
d’information. Nous vous présentons les plus utilisées.
La norme BS7799 a été publiée pour la première fois par le "British Standard
Institute" en 1995. Son objectif est de permettre la mise en place dans l'entreprise
Cette norme qui est apparue en 1996 se présente aujourd’hui en quatre parties. Il
s’agit notamment :
Cette norme a constitué le socle de notre mission d’audit. La norme ISO 17799 est un
ensemble de recommandations pour la gestion de la sécurité de l'information et un
référentiel en matière de bonnes pratiques de sécurité. Elle émane de la norme
britannique BS7799. La norme ISO 17799 couvre aussi bien les aspects techniques,
organisationnels et physiques et peut être utilisée par n'importe quel organisme
quelque soit son activité et sa dimension. Les aspects qu’elle recouvre sont structurés
suivant onze (11) grandes thématiques. Les clauses constitutives de l’ISO/IEC
17799 :2005[3] sont les suivantes, ordonnées tel qu’évoqué dans la norme:
Politique de sécurité
Organisation de la sécurité
Contrôle d’accès
Conformité
Cette norme propose un guide pour la gestion des incidents de sécurité pour les
responsables de sécurité des systèmes d’information. Elle permet également une
description d’un planning et documentation nécessaire pour permettre une meilleure
approche de la gestion des incidents de sécurité et la structuration de l’information.
Pour la bonne gestion des affaires de la cité, la municipalité de Tunis est en charge de
différents rôles et fonctions que nous allons vous présenter.
1.4.1 Organigramme
L’actuel site central de la municipalité de Tunis a été inauguré par son Excellence
Monsieur, Président de la République Tunisienne, le 8 Novembre 1998. A l’instar de
toute municipalité, elle est dirigée par un maire. L’actuel maire est Mr Abbés
MOHSEN, réélu maire en mai 2005. Dans sa tâche d’administrateur, le maire est
épaulé de différents départements ou direction. Le schéma suivant illustre
l’organigramme de la municipalité de Tunis [12].
1.4.2 Composition
Les services de la voirie [8]: Ces services sont chargés de la gestion des
chaussées et trottoirs, de l’éclairage public et de la circulation.
Notons qu’une application est en chantier pour permettre le paiement en ligne des
taxes.
b. MADANIA
Le système «MADANIA» [10] permet la gestion informatisée des actes d’Etat Civil
tel que les actes de naissance, les certificats de décès, de mariage etc. Il s’étend pour
l’instant au gouvernorat de Tunis, mais vise à long terme de s’étendre sur l’ensemble
des gouvernorats de l’état Tunisien, de sorte à ce que les citoyens, puissent bénéficier
de leur documents d’état civil, dans les meilleurs délais et ce quelque soit l’endroit où
ils se trouvent en Tunisie.
L’audit que nous allons effectuer tiendra pour cible le réseau de la municipalité de
Tunis (site central et site distants). Il sera question d’auditer l’architecture de leur
réseau, des postes de travail et serveurs et d’effectuer des tests intrusif sur base
d’éventuelles vulnérabilités.
Conclusion
Nous venons d’exposer, une liste non exhaustive d’un ensemble de normes qui
constituent des références dans le cadre d’un audit de systèmes d’information ainsi
que les procédures de réalisation d’un audit de systèmes d’information, et la place de
l’audit des systèmes d’informations en Tunisie. Le réseau de l’organisme présenté
constitue notre cadre de travail. La suite de ce document consistera à mettre en
pratique les précédents aspects de réalisation d’un audit, par l’entame de l’audit
organisationnel.
Introduction
Ce chapitre présente les points clés suite à nos entrevues au sujet de la sécurité du
réseau de la municipalité de Tunis. Nous vous présentons la démarche suivie pour la
conception d’une application qui nous a facilitée le traitement du questionnaire, puis
les résultats de cet audit organisationnel.
s’est réalisée par l’utilisation d’un serveur web local Apache. Par la suite nous
obtenons une moyenne pour chaque clause défini par la norme ISO/IEC 17799 :2005.
Nous arrivons ainsi à mesurer la conformité de l’organisme par rapport à chacune
des clauses définies par la norme ISO/IEC 17799 :2005.
Soulignons que le barème pour le questionnaire a été inspiré des travaux de la société
YSOSECURE [11] et se trouve en annexe.
C1 : Politique de
sécurité
C2 : Organisation de la
sécurité
C3 : Classification et
contrôle des actifs
C4 : Sécurité des
ressources humaines
C5 : Sécurité physique
et environnementale
C6 : Gestion des
communications et de
l’exploitation
C7 : Contrôle d’accès
C8 : Acquisition,
maintenance et
développement des
systèmes
C9 : Gestion des
incidents de sécurité
C10 : Gestion de la
continuité d’activité
C11 : Conformité
de la municipalité de Tunis
Lors de l’analyse de chacune des clauses, nous leurs attribuerons une classification
en fonction du degré de gravité de non-conformité par rapport à la norme ISO/IEC
17799 :2005. Cette classification comprendra trois classes :
Moyenne: indique une pratique de sécurité importante car les risques sont
importants. Ainsi cela nécessite une attention toute particulière à court ou
moyen terme (60%<conformité<80%.).
Critique: indique une pratique de sécurité très importante, car les risques
encourus sont très importants. (conformité<60%).
Le niveau de conformité de cette clause par rapport à la norme ISO 17799 est de 0%.
Cela s’explique par l’absence de documents de synthèse représentant le document de
la politique de sécurité. Il n’existe ainsi aucun document de sécurité, de même que
des chartes sur l’utilisation des technologies de l’information. Ainsi en plus de mettre
en place une politique de sécurité, il faut prévoir également des mesures pour
permettre à cette dernière d’être revue périodiquement. Le niveau de sévérité
accordé à cette clause est donc critique.
Le niveau de conformité de cette clause par rapport à la norme ISO 17799 est de
44,7%. Ce niveau de conformité s’explique par le fait que les services fournis par des
personnes tiers (très rarement) sont contrôlés. Egalement, les informations sensibles
de l’organisation sont identifiées et attirent l’attention des responsables quand à leur
protection. Cependant, il n’existe pas pour l’instant la fonction de Responsable de
Cette clause enregistre une conformité de 36,11% ; cela induit une sévérité critique.
L’ensemble des principaux actifs de l’organisme est identifié puis répertorié. Il s’agit
entre autres des serveurs métiers, des postes de bureau, des équipements réseau, des
applications utilisées par l’organisme, des données ou informations gérées par
l’organisme, des équipements de lutte contre les incendies, etc. A chacun des actifs
de l’organisme est affecté un responsable. Ce dernier répond des éventuels
dommages que peut subir l’actif. Les documents recueillis sous format papier sont
rangés dans des armoires. Chaque dossier est muni d’une référence telle que la date
d’entrée, la date de sortie etc. Ces références sont enregistrées sur le serveur du
bureau d’ordre. Ainsi la tâche consistant à retrouver certains documents reste une
tâche moins fastidieuse.
minutieusement les pièces fournies par les participants retenues. Ainsi avant de
prendre effectivement fonction, les candidats retenus sont informés de leur future
responsabilité vis-à-vis de l’organisme. Ces nouveaux employés sont informés (et
ratifient) de leurs droits et devoirs vis-à-vis de la sécurité de l’organisme également.
Pour se faire, il leur est soumis la réglementation liée à la norme tunisienne NT
110.12 année 1994 ISO 9000/3 -1991. Cette réglementation renferme les droits et
devoirs de l’employé. Le personnel de l’organisme est ainsi informé de son rôle dans
la gestion de cette sécurité. En dehors de ces informations à l’embauche, il n’est pas
défini de procédures visant à rappeler à l’ensemble du personnel son rôle dans la
sécurité de l’organisme.
Le niveau de sévérité appliqué à cette clause est moyen car elle reste conforme à la
norme ISO 17799 à 62,96%.
La moyenne de cette clause est de 69,72% par rapport à la norme 17799, soit une
sévérité moyenne. L’environnement de localisation ne présente pas d’exposition à
des dangers naturels apparents. En ce qui concerne la sécurité physique des locaux
elle est assurée par une clôture qui les entoure, ainsi que des postes de gardiennage
qui surveillent les principales entrées. Un mécanisme d’enregistrement des visiteurs
a été instauré. Il permet de relever les identités des visiteurs ainsi que les dates et
heures d’entrée et sortie.
La zone sensible qu’est la salle serveur bénéficie d’une sécurité toute particulière, et
ce à travers l’accès qui y est très réservé. En effet pour protéger cette salle de toutes
malveillances physiques, l’accès est protégé par une carte magnétique que seulement
trois personnes possèdent. Elles sont les seules habilitées à y pénétrer.
Les bureaux des employés sont dotés de serrures, offrant la possibilité de les
verrouiller en leur absence. Egalement l’accès physique aux postes de travail de
chacun des utilisateurs, pour certain, est protégé par un mot de passe.
Pour éviter toutes tentatives de vol des équipements, ceux devant quitter ou entrer
dans les locaux doivent bénéficier de bons. Ces bons sont accompagnés
d’autorisation de sortie, dans le cas d’une sortie d’équipement. A travers ces bons les
équipements sont répertoriés, en entrée comme en sortie.
Cette clause mérite une attention et des mesures urgentes à rendre car avec une
conformité de seulement 46,29%, elle enregistre une sévérité critique.
Nous notons également qu’il n’existe pas de redondances de ces serveurs pour
permettre une reprise presque instantanée en cas de panne de l’un des serveurs.
Aussi, il n’existe pas de document définissant les règles à appliquer en ce qui
concerne l'exploitation des ressources informatiques (réseaux, serveurs, etc.). Le
réseau LAN de l’organisation est de type Ethernet, et un adressage privé a été mis en
place. Bien qu’il existe une politique d’adressage par sous réseau, il n’existe
cependant pas de réalisation de LAN virtuel pour permettre une segmentation, a un
niveau plus élevé, du réseau de l’organisme. Egalement le réseau LAN est organisé
en groupe de travail. Il est ainsi aisé de passé d’un groupe de travail à un autre sans
difficulté et profiter de ressources auxquelles l’on a peut être pas droit.
Les applications les plus utilisées sont les applications GRB et MADANIA. La
première est partagée avec plusieurs sites distants ; 11, qui sont des recettes ou
régies, et la seconde est partagée avec 16 sites distants qui sont des arrondissements.
L’interconnexion entre ces sites et le siège de la Kasbah est effectuée au moyen de
lignes spécialisées ou de lignes Frame Relay. Le site central de la municipalité de
Tunis apparaît en tant que client pour l’application INSAF qui est sous l’égide du
CNI (centre national de l’informatique). Quant au site marchand, il est pour l’instant
à la phase de test.
Bien que l’ensemble de ces applications échangées avec les sites distants emprunte
des lignes spécialisées, il n’est pas prévu de procédures de chiffrements des données
véhiculées. En effet, pour l’instant, des techniques telles que le cryptage ou le
scellement des fichiers, qui permettent de garantir l’intégrité et la confidentialité des
données, ne sont pas implémentées. Ainsi ces dernières sont transmises en claires sur
le réseau.
leur disposition sont répertoriés, identifiés par un code et assigné à leur propriétaire.
Cette tâche est effectuée par un magasinier.
L’ensemble des serveurs est protégé des intrusions externes par un firewall
(Appliance) StoneGate de la firme Stonesoft. Il n’existe donc pas de DMZ pour
l’instant au sein de cet organisme. Ce firewall n’est pas installé en cluster ; cela
reviendrait à dire que la haute disponibilité n’est pas assurée et qu’en cas de panne
de ce dernier, la connectivité à Internet ne peut être assurée.
La clause enregistre une moyenne de 41,32%, par rapport à la norme, donc une
sévérité critique. Une politique de mot de passe est instaurée au sein de l’organisme,
pour l’accès à certaines applications. Cependant ces mots de passe ne sont pas
changés suivant une fréquence bien définie. La permanence de ces mots de passe ne
permet pas de réduire les risques d’usurpation de mots de passe ou de vol.
Egalement, l’accès aux locaux sensibles tel que la salle serveur reste protégé par un
lecteur de carte magnétique. Seules les 3 personnes sont habilitées à accéder à ce local
possèdent les cartes adéquates pour y entrer. En plus de ces cartes, une alarme
(sonore) indique l’ouverture de la porte de cette salle, et ce, pendant et en dehors des
heures de travail.
La mise en place de mots de passe pour préserver l’accès aux ordinateurs des
employés n’est pas pleinement instaurée. Selon celle-ci, chaque utilisateur, doit
consigner son mot de passe dans une décharge qui est soigneusement sauvegardé
par un responsable. Cependant cette procédure n’est pas toujours suivie. Le
responsable de la sauvegarde des mots de passe n’a aucunement le droit de
divulguer ou d’utiliser les mots de passe des utilisateurs. N’empêche que cette
pratique déroge à la règle selon laquelle un mot de passe reste personnel.
L’accès distant, à partir de l’Internet est protégé par les règles d’accès gérées par le
firewall. Etant donné qu’on ne peut garantir qu’un accès illicite ne peut se réaliser à
100%, il est donc important de se munir de système de détection d’éventuelles
Cette clause présente une sévérité critique due à la moyenne de 42,30% par rapport à
la norme ISO 17799. L’acquisition de nouveaux systèmes porte l’attention particulière
des dirigeants afin de s’assurer que le système à acquérir correspond aux besoins de
l’organisme et ne mettra pas à mal la sécurité. Egalement des tests pour s’assurer
qu’un nouvel équipement ne sera pas source de régression de service sont effectués.
Cette clause enregistre une moyenne de 33,37% par rapport à la norme ISO 17799,
donc une sévérité critique. Le personnel a été sensibilisé sur la nécessitée de déclarer
les incidents ou failles de sécurité rencontrés. Cependant, pour l’instant il n’est
planifié l’instauration de procédures pour la gestion des incidents de sécurité. Pour
l’instant cette gestion est plutôt faite de façon intuitive. L’organisme a planifié
l’élaboration d’un certain nombre de règles pour la reprise d’activité en cas de
catastrophe ou d’incident liés à des erreurs humaines.
Cependant les rapports détaillés des incidents qui surviennent ne sont pas édités. Il
n’est donc pas possible de s’informer des incidents déjà survenus.
Cette clause présente une sévérité critique liée à sa moyenne de 46,66% par rapport à
la norme ISO 17799. Le plan de continuité d’activité ou de reprise d’activité se base
essentiellement sur les sauvegardes de bases de données. Ainsi l’organisme ne
dispose pas de plan clair et précis révélant dans les détails et dans l’ordre les actions
à entreprendre en cas de reprise suite à une catastrophe.
2.3.11 Conformité
Cette clause a une moyenne de 49,03%, d’où une sévérité critique par rapport à la
norme ISO 17799. Les applications commerciales utilisées au sein de l’organisme
(principalement les applications Microsoft) sont dotées de licences d’exploitation.
Cependant, le personnel n’est interpellé sur les bonnes utilisations des technologies
de l’information au sein de la municipalité à l’aide de charte. Egalement, l’audit
périodique de l’organisme n’est pas encore encré dans les habitudes de l’organisme.
Il en est de même pour le suivi des règles édictées par l’organisme lui-même.
2.3.12 Résumé
Tel que le présente l’histogramme de la figure 6, nous constatons que les clauses
”Sécurité des ressources humaines” (C4), et ”sécurité physique et environnementale”
(C5) bénéficient d’une sévérité moyenne. Hors mis ces clauses, toutes les autres
enregistrent une sévérité critique.
Conclusion
A l’issu de cette étape de l’audit, nous constatons au vu des réponses obtenues, que
la maturité en terme de sécurité de la municipalité de Tunis admet un niveau en
général en dessous de 60%. Nous vérifierons ce niveau grâce à l’audit technique qui
constitue la prochaine étape de notre mission d’audit.
Introduction
RESEAU
FR & LS
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x
Ethernet
Ethernet
C C
7 8 9101112 7 8 9 101112
A 1 2 3 4 5 6 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x A 1 2 3 4 5 6 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B A B
Chacun des sites distants appartient à un sous réseau. Nous dénombrons 11 par rapport
à l’application GRB et 16 par rapport à la madania.
Cette étape constitue la première étape dans la phase de l’audit technique. Nous allons
tout d’abord déterminer l’architecture du réseau, déterminer les éventuels sous réseaux
présents ainsi que le plan d’adressage. Pour se faire nous nous sommes aidés de l’outil
Networkview, en utilisant la version 3.52. Cet outil nous permet d’avoir une vue
graphique du réseau audité, ainsi que le plan d’adressage et des informations sur les
équipements réseaux présents (adresse mac, type de l’équipement…). La figure
suivante présente une partie du résultat obtenu lors de l’exécution de Networkview au
site central de la municipalité de Tunis.
Le serveur GRB.
Le serveur Proxy.
Le serveur madania.
Toutes ces machines appartiennent au même sous réseau. En effet il n’existe pas de
segmentation du réseau du site central. L’adressage IP est plan, et cela n’empêche
aucun des employés du site central d’accéder à un des serveurs de l’organisme.
Egalement, nos investigations nous ont permis de déceler plusieurs commutateurs des
firmes HP (Hewlett Packard), Huawei et 3Com.
Identifier l’ensemble des services actifs par poste de travail au niveau du site central de
la municipalité de Tunis a été chose possible grâce aux outils Nessus, Nmap et Languard.
Nessus, application incontournable dans le cadre des scanners réseau nous a été d’un
apport important.
Ainsi, après sondage, nous avons obtenu la figure suivante qui présente les services les
plus occurrents au niveau du réseau du site central de la municipalité.
16
14
%occurence
12
10
8
6
4
2
0
p)
p)
p)
p)
p)
p)
p)
p)
p)
p)
p)
p)
ud
ud
tc
tc
/tc
/tc
tc
/tc
tc
/tc
tc
tc
9/
5/
3/
9/
0/
3/
26
00
1/
4/
35
25
(6
12
44
13
(2
(8
16
02
10
50
(1
10
tp
tp
et
s(
p(
n(
p(
(1
p(
n(
Tf
ap
ln
k(
ht
t-d
Nt
ss
Ca
ai
te
ac
m
Sn
Kd
s-
of
-m
kj
Ep
io
os
ac
ex
tb
icr
Bl
pl
Ne
M
m
Co
services
Après avoir présenté les services les plus occurrents, nous vous présentons ceux qui
sont la source de plus de vulnérabilité.
% de vulnérabilité
80
70
60
50
40
30
20
10
0
p)
p)
p)
p)
p)
p)
p)
/tc
tc
tc
tc
ud
/tc
/tc
0/
5/
6/
35
45
25
1/
(8
22
22
16
(1
(4
10
tp
(5
(5
p(
ds
ht
k(
ap
us
er
m
ft-
ac
rv
at
Sn
so
kj
Ep
se
st
ac
ro
p-
p-
ic
Bl
ht
H
M
services
Nous remarquons que la règle des 20/80 s’applique. En effet 20% des services les plus
vulnérables enregistrent 80% des vulnérabilités des services réseaux. Soulignons
également que les vulnérabilités rencontrées se repartissent entre quatre niveaux de
sévérité suivant les proportions suivantes :
vulnérabilités
critique
élevée
moyenne
faible
microsoft-ds 445/tcp Le port 445 est un port utilisé depuis Windows 2000. Il
est utilisé pour le partage de fichiers et d'imprimantes sur
un réseau local.
Nmap est un outil open source. Il présente une multitude de fonctionnalités. Parmi les
fonctionnalités que Nmap met à notre disposition, nous avons eu recours aux
fonctionnalités
découverte du réseau,
La figure suivante présente une interface d’exécution de Nmap. Les trois fonctionnalités
précédemment évoquées peuvent être simultanément exécutées. Tel a été notre
approche à travers l’exécution de la commande : Nmap –v –O X.XX.0/24
Nous étayons ainsi nos résultats, car nous recensons le même nombre de services en
exécution que précédemment évoqué par Nessus. Egalement, nous avons obtenu les
systèmes d’exploitation des machines sur le réseau. Il s’agit de Windows Xp, millenium
et Windows 98/SE. En effet 23% du parc informatique du site central utilise le système
d’exploitation Windows Xp, contre 34 % pour Windows millenium et 43% pour
Windows 98/SE.
Aussi sur la figure 7, le firewall présent ne sert, pour l’instant, qu’à protéger le réseau
de la municipalité des attaques pouvant survenir de l’Internet. La connexion sites
distants et serveurs du site central ainsi que le LAN ne traverse pas le firewall.
Nous abordons une analyse de chacun des serveurs métiers du site central de la
municipalité à l’aide de Nessus.
Ce serveur est utilisé pour le portail interne (futur serveur web de la municipalité,
hébergé à la municipalité) et la gestion des employés temporaires. La municipalité
emploie de façon temporaire (journalière), certains membres de son personnel, et elle
utilise une application pour la gestion du paiement lié à ces derniers. Suite à notre
sondage de ce serveur, il enregistre 31 ports ouverts ainsi que les vulnérabilités
suivantes :
microsoft-ds 445/tcp Source de SIX (6) vulnérabilités critiques et une (1) élevée.
L’exploitation de ces vulnérabilités permet l’exécution de
code arbitraire à distance. Ces vulnérabilités sont causées par
des erreurs existantes au niveau de certains services. Il s’agit
entre autre du service LASS, le service d’impression, le service
SMB, le service Plug-And-Play, le service Server. La
résolution de ces fautes est possible grâce aux patchs
disponibles respectivement aux adresses suivantes :
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
http://www.microsoft.com/technet/security/bulletin/ms05-043.mspx
http://www.microsoft.com/technet/security/bulletin/ms05-027.mspx
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
http://www.microsoft.com/technet/security/bulletin/ms05-047.mspx
http://www.microsoft.com/technet/security/bulletin/ms06-035.mspx
http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx
Le serveur Proxy agit en tant qu’un firewall applicatif. En effet il autorise ou pas toutes
les connexions issues du LAN vers le réseau Internet. Le résultat du scanne effectué
nous révèle 8 ports ouverts et deux failles de sécurité.
http-alt 8080/tcp Ce service enregistre à lui seul les deux failles de sécurité
constatées. Elles sont toutes deux de niveau élevées. Elles
sont des résultantes de la version du “squid caching” qui et
vulnérable à une attaque pouvant créer un déni de service
ou permettre à l’attaquant d’accéder de façon illégale à
certaines ressources. La solution est de faire une mise à
jour du squid caching pour une version supérieure à la
2.5.STABLE6
Tableau 5- Description des services vulnérables - Proxy
Ce serveur, dont 60 ports sont ouverts, est utilisé pour l’enregistrement des
autorisations administratives. Toutes personnes devant exercer une fonction dans le
domaine du secteur tertiaire, (par exemple, ouverture de café…) doit avoir une
autorisation. Le service des autorisations est chargé, en fonction de l’emplacement, du
demandeur, de constater un avis de payement qui sera envoyé à la recette, pour
payement.
Le tableau suivant illustre chacun des services vulnérables ainsi que leur description :
Sur ce serveur est installée l’application madania qui est utilisée pour la gestion des
actes d’état civil. Il enregistre 47 ports ouverts et 5 vulnérabilités que nous présentons
dans le tableau suivant :
Le service appelé premier bureau occupe les locaux anciennement occupés par la mairie
de Tunis, sis à Barcelone. Ce service est en charge de l’édition et de la perception des
taxes associées aux immeubles bâtis et non bâtis. Pour s’affranchir de cette tâche, ce
bureau est composé d’un serveur local qui tourne sous Windows 2003 Server. Ce
serveur enregistre les travaux effectués en local puis des travaux de recopie vers le
serveur du site central sont effectués par la suite.
Suite à notre enquête grâce à Nessus, 52 ports sont ouverts et les services vulnérables
suivants ont été décelés :
smtp 25/tcp La vulnérabilité découverte est d’un niveau élevé. Elle est due
à la version du service smtp qui est sensible à une attaque de
type « buffer overflow ». A travers cette vulnérabilité, un
attaquant est en mesure d’exécuter un code arbitraire. Faire
face à cette vulnérabilité revient à désactiver le service ou de
patcher le système grâce au patch mis à disposition :
http://www.microsoft.com/technet/security/bulletin/MS04-035.mspx
snmp 161/udp Ce service présente une vulnérabilité élevée suite au fait que le
nom de la communauté peut être révélé. Il est judicieux de
désactiver ce port.
Tableau 8- Description des services vulnérables – premier bureau
Cette phase de l’audit reste très importante. En effet, elle permet de faire prendre
conscience aux responsables de la gravité de leurs vulnérabilités, face aux attaques d’un
esprit malveillant interne à l’organisme. Elle permet également de donner un aperçu de
l’ampleur des conséquences néfastes qui pourraient advenir dans le cas où un esprit
malveillant venait à exploiter leurs vulnérabilités.
Pour l’accomplissement de cette étape, nous avons joué le rôle de l’attaquant étant à
l’intérieur de l’organisme. Aussi, nous nous sommes munis du package d’applications
Nos investigations sur les serveurs présents nous ont permis d’être en possession
d’informations importantes. En effet, nous avons obtenu la liste des utilisateurs pour
chacune des bases de données, comme le présente la figure suivante. Fort est de
constater que muni d’outils pour le crack de mots de passe, un attaquant peu causer des
dysfonctionnements sur ces serveurs.
Aussi nous constatons que les bases de données sont exposées aux attaques « sql blind »
qui permet de passer la phase d’authentification pour l’accès à la base.
Métasploit est une plateforme d'attaque, open source, basée sur l'utilisation d'exploits
afin d’exécuter un code arbitraire sur un hôte distant. Chaque exploit est composé de
payload. Ces derniers sont les codes qui sont exécutés pour permettre le succès de
l’exploit. Le lancement d’une attaque à partir de Métasploit s’effectue en choisissant
l’exploit, le payload puis la cible de l’attaque.
Une des failles de sécurité rencontrées lors de notre mission d’audit fut l’accès non
protégé à certaines ressources sensibles de la municipalité. Il s’agit de l’accès au serveur
d’antivirus et aux postes utilisateurs. Cela nous a permis rien qu’en introduisant
l’adresse IP des cibles (serveurs) dans un navigateur, d’y accéder. Les deux figures
suivantes en sont des illustrations :
Cette figure présente l’accès au répertoire racine d’un serveur web. Nous constatons les
possibles dommages que peut engendrer un utilisateur malveillant.
La deuxième cascade effectuée (encerclée ci-dessus) ne se justifie pas. Il n’est pas mis en
place pour l’instant une politique pour une répartition du réseau en VLAN. Il s’en suit
donc qu’il n’existe pas de restrictions au niveau des accès des commutateurs. Ainsi
chaque utilisateur à potentiellement accès à toutes les ressources disponibles.
La figure suivante vient étayer nos précédentes affirmations sur la trop grande
accessibilité aux ressources de l’organisme. Elle nous présente la fenêtre de
configuration d’un des commutateurs. Cela est valable pour tous les commutateurs
rencontrés.
Nous pouvons mesurer ainsi l’impact important qui peut subvenir si une personne
modifie ces configurations.
La municipalité de Tunis s’est dotée de routeurs de marque Cisco. Ils sont de deux
gammes à savoir :
Les deux routeurs de la gamme 2600 sont utilisés pour chacun des serveurs MADANIA
et GRB. Tandis que deux routeurs de la gamme 1600 sont utilisés pour l’interconnexion
avec les serveurs ADEB et INSAF respectivement au niveau du ministère des finances
et du CNI. Le troisième routeur 1600 est utilisé pour la connexion internet. Les accès à
ces routeurs sont protégés par des mots de passe. Aucune ACL n’a été défini au niveau
de ces routeurs.
En plus de la gestion de l’accès, en se basant sur les règles d’accès définies au niveau de
sa politique de sécurité, il permet aussi le NAT (Network address translator). Ce service
permet une conversion d’adresse IP, de sorte à préserver l’identité des adresses IP du
réseau.
Conclusion
Ce présent chapitre nous a permis certes de manipuler différents outils, mais il a été
surtout d’une importance capitale pour mettre a nu les failles de sécurité non moins
Introduction
Ce chapitre fait office de chapitre visant à proposer des recommandations par rapport
aux différentes clauses de la norme ISO/IEC 17799. Egalement, au vu des vulnérabilités
constatées lors du chapitre précédent, nous allons proposer une architecture réseau
sécurisé.
Ce document une fois élaboré et approuvé par la direction, pourra être publié au
personnel et aux partenaires, tout en veillant à ne pas communiquer des informations
sensibles. Aussi une revue régulière de cette politique de sécurité doit être planifiée
pour tenir compte des possibles changements qui surviendront [5.1.2].
L’inventaire des actifs ne doit pas seulement tenir compte des équipements, mais
également des documents, et même des actifs intangibles (la réputation) [7.1.1]. La
classification et le contrôle des actifs nécessitent une définition claire et précise des
différentes classes d’actifs possibles [7.2.1]. Partant de ce fait, il serait aisée de classer les
actifs et de les marquer de cette classe (exemple : politique d’étiquetage…), puis de les
accorder le niveau de sécurité nécessaire. Aussi l’organisme doit préciser pleinement et
clairement les procédures liées à la destruction des informations.
Aussi, elle doit définir des critères rigoureux d’acceptation d’équipements [10.3.2].
Afin de détecter les traitements d’information non autorisés, il faut mettre en place une
surveillance et un «log» afin d’enregistrer les activités sur un système donné [10.10].
Pour une structure d’une telle envergure il serait nécessaire de se doter de serveur de
Back Up afin d’éviter une interruption de service en cas de défaillance de l’un des
serveurs.
Aussi, le fait de garantir la disponibilité, passe par une mise en cluster du firewall
existant. Ainsi en cas de panne de l’un, le second permettra au réseau de ne pas être
inaccessible.
Une gestion des accès utilisateurs est nécessaire pour permettre l’accès aux personnes
autorisées et empêcher ceux n’étant pas autorisé d’accéder au système d’information
[11.2.1]. Aussi, une politique efficace et rigoureuse de gestion de mots de passe
utilisateurs doit être définie et appliquée au sein de la municipalité de Tunis [11.2.3].
Egalement, les droits d’accès attribués aux utilisateurs doivent être revus de façon
périodique par la direction concernée [11.2.4].
Il est important de s’assurer que les évènements de sécurité, ainsi que les faiblesses
relatives au système d’information de la municipalité sont communiqués aux entités
concernées qui se chargeront d’appliquer les mesures correctives dans les délais les plus
brefs. Cela impose que la définition et la structuration de la remontée des incidents de
sécurité doivent se faire afin de pouvoir agir immédiatement dans les cas urgents
[13.1.1]. Le personnel doit être informé de l’importance à signaler les failles de sécurité
détectées [13.1.2]. La gestion des incidents de sécurité doit attirer l’attention des
responsables de sécurité. En effet une gestion cohérente d’incident survenu serait
profitable pour l’organisme. Egalement un rapport détaillé de cet incident permettrait
de se prémunir d’une répétition de ce dernier, ou d’y faire face rapidement en cas
d’occurrence du même type d’incident [13.2.3].
4.1.11 Conformité
Nous avons constaté que les vulnérabilités recensées étaient liées au fait que des mises à
jour software n’étaient pas constamment tenues. C’est pourquoi nous invitons les
administrateurs réseau de la municipalité à visiter le site web de Microsoft, qui propose
des mises à jour pour les corrections des failles découvertes. Il s’agit de l’adresse :
http://www.microsoft.com/tecnet/security/bulletin/ .
Nous avons pris soin de donner les liens précis (voir tableaux chapitre 2) pour trouver
les correctifs.
Egalement il est indispensable de définir des mots de passe au compte « sa » sur les
serveurs MS-SQL. L’organisme peut aussi profiter des options de disponible dans les
systèmes d’exploitations (Exemple : iptable sous les systèmes linux).
Puisqu’il existe différentes directions au sein du site central, nous proposons que cette
segmentation se fasse en considérant comme critère de segmentation les directions et les
ressources sensibles. Le tableau suivant illustre notre proposition
Le plan d’adressage déjà mis en place pour ces derniers ne respecte également pas la
recommandation RFC N°1918. Nous proposons que cette recommandation s’applique
aussi au plan d’adressage des sites distants. Nous proposons donc :
La solution technique nous proposons sur le réseau MAN de la municipalité que tient
compte des aspects suivants :
Pour tenir compte de l’ensemble des aspects précédemment évoqués, nous allons
exploiter de façon optimale les fonctionnalités offertes par le firewall StoneGate en
matière de réseau privé virtuel sécurisé, de partage de charge, de continuité de service
et de la sonde IPS en terme de prévention d’intrusion, d’analyse en temps réel du trafic,
d’alerte et de la réaction à adopter.
Dans le but d’assurer une connexion permanente entre le site central de la municipalité
de Tunis et les sites distants, nous proposons une solution qui permet de garantir de
façon concomitante la continuité de service, le partage de charge ainsi que la sécurité du
trafic réseau.
Les connexions site central - sites distants s’effectuent pour l’instant grâce au Frame
Relay ou liaison louée. Cependant, en cas de problème de ces liens, il y aura une
rupture de service. Pour faire face à cette situation nous proposons une connexion
ADSL pour chaque site distant. Sachant que chaque site distant est muni de firewall
StoneGate, il y aura un basculement immédiat sur le lien ADSL en cas de panne du lien
LS ou FR.
La connexion ADSL, adjointe aux firewalls StoneGate au niveau de chaque site distant,
permet également de sécuriser l’échange d’information.
Les VPN site-to-site qui sont établis entre deux équipements faisant office de
passerelles.
Les VPN client-to-site qui sont établis entre les utilisateurs mobiles et
l’équipement faisant office de passerelle.
Vu que la municipalité n’intègre pas pour l’instant l’informatique nomade, nous allons
nous intéresser au VPN site-to-site.
Les firewalls StoneGate offrent la possibilité d’établir une VPN suivant différentes
topologies qui sont :
La topologie en hub : route les connections VPN mobiles vers d’autres sites VPN
à travers un concentrateur VPN en utilisant les VPN site-to-site qui se trouvent
entre les deux.
Dans notre cas nous optons pour la topologie en étoile. Le schéma suivant présente la
topologie de la connexion VPN proposée. (Pour des raisons de clarté du schéma, nous
n’avons pas représenté tous les sites).
Frame Relay ec
IPs
VP
N
N
VP
IPs
ec
LS
AD
SL
AD
VPN IPsec
ADSL
ADS
L
Site Central
E th e rn e t
C
7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B
C
7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B
C
7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B
E th e rn e t
C
7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B
RESEAU
FR & LS
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x
E th e rn e t
E th e rn e t
C C
7 8 9 101112 7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B A B
Cette partie a connue une réalisation partielle. En effet nous n’avons pas eu l’occasion
de mener de bout en bout la réalisation de la solution globale proposée. Cependant
nous avons réalisé la configuration et l’installation de la sonde IPS. Cette présente partie
décrira donc le processus de configuration et d’installation de la sonde IPS.
L’installation d’une sonde Stonesoft nécessite un client, un serveur de log, un serveur
de management et bien sur la sonde.
Le sensor : cet élément est en charge de l’inspection du trafic proprement dit puis
en se basant sur la politique de sécurité qui lui a été appliquée envoi des
évènements à l’analyser
Une fois l’entité sonde est crée au niveau du client, la configuration de la sonde passe
par la configuration des interfaces « inline » et de l’interface d’administration. Etant
donné que c’est une sonde démo, tout le trafic est accepté sans inspection, pour
observer le flux véhiculé.
Conclusion générale
L’audit de sécurité des systèmes d’information occupe une place de plus en plus
importante depuis la promulgation de décret N°1249 et 1250 de mai 2004.
Comme perspective à ce projet, il est important qu’un audit soit de nouveau réalisé,
pour veiller à la mise en œuvre des recommandations et solution proposée.
BIBLIOGRAPHIE
Khemiri Elyes- Consultant en Sécurité Réseau & Système Enseignant formateur en Audit
Sécurité auprès De l’Agence Nationale de la Sécurité Informatique2004
Webographie
[7] http://www.ansi.tn/fr/audit/modele_cc_audit.htm
[8] http://www.commune-tunis.gov.tn/fr/mairie_administration.asp#2
[9] http://www.commune-tunis.gov.tn/fr/prestation_service0.htm
[10] http://www.cni.nat.tn/FR/SCRIPT/MADANIA.asp
[11] www.ysosecure.com
[12] http://www.ssi.gouv.fr/
[13 http://www.clusif.asso.fr/fr/production/mehari/
[14] http://www.ansi.tn/fr/audit/norme_iso15408.htm
Outils utilisés
Backtrack http://www.remote-xploit.org/backtrack.html
Languard http://www.gfi.com/
Métasploit http://www.metasploit.com/
Nessus http://www.nessus.org
Networkview http://www.networkview.com/
Nmap http://insecure.org/nmap/
1-Politique de sécurité
2-Organisation de la sécurité
2-1-Les objectifs de sécurité sont ils identifiés, intégrés à la politique globale de
l’organisme, et sont ils en concordance avec les objectifs de l’organisme ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
..……………………………………………………………………………………………
2-2-Les règles de sécurité précisent t-elles une définition claire des tâches, rôles
spécifiques affectation des responsables de sécurité de l’information ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-3-Existe t-il une coordination de l’exécution des tâches de sécurité des différentes
entités en charge de la sécurité de l’information au sein l’organisme ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-7-Les services fournis par des tiers et leurs accès sont ils contrôlés?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
2-8-Les risques dus aux effets externes des partenaires sont ils identifiés ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
3-3- A chaque actif est il associé un propriétaire qui doit en assurer également la
responsabilité ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
explosifs ou toxique) ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
5-3-Existe-t-il une protection du câblage ainsi qu’a l’égard des risques électriques
(surtension, variation de tension…) ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-3-Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers,
cheval de Troie,….) ainsi qu’une mise à jour périodique et constante de ces derniers ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
6-4-L’échange d’informations sur le réseau ainsi que les transactions en ligne sont
elles sécurisée ? Suivant quel mécanisme de sécurité ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-Contrôle d’accès
7-1-Les accès aux locaux (sensibles ou pas) sont ils contrôlés, enregistrés et analysés
à travers des logs ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-2-Existe-t-il une politique d’authentification forte pour l’accès aux services réseaux
?
7-4-Un ancien employé perd t-il ces droits d’accès aux locaux et aux informations
sensibles de l’organisme ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-6-L’accès (physique) aux actifs sensibles est-il protégé ? Par quel équipement, outil
ou mécanisme ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
7-7-Les applications (sensibles) pour l’organisme ainsi que leur code source sont t-ils
sécurisés ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
7-12-La protection de l’informatique nomade est elle assurée ainsi que les séances de
télé travail ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
9-5-Les actions à entreprendre pour la résolution des incidents sont –elles définies ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-3-Est il défini des critères spécifiant les ayant accès à ces données ?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
10-5-Existe t-il une (des) alarme(s) pour l’avertissement lors d’accès aux actifs
sensibles en dehors des heures de travail ou en cas d’accès non autorisés?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
11-Conformité
11-1-Les logicielles utilisées bénéficient ils de licences d'exploitation?
Oui partiellemnet_oui Planifiée Non Non Applicable
Commentaire:…………………………………………………………………………………
………………………………………………………………………………………………
Notation questionnaire
Politique de sécurité
Organisation de la sécurité
5.9 6 3 1 0
5.10 6 3 1 0
5.11 6 3 1 0
Contrôle d’accès
Continuité d’activité
Conformité
N° Oui Partiellement_oui Planifié Non Pas
question applicable
10.1 6 3 1 0
10.2 6 3 1 0
10.3 4 2 1 0
10.4 4 2 1 0
10.5 4 2 1 0
10.6 3 2 1 0
10.7 4 2 1 0
10.8 4 2 1 0
Nombre total de point : P Nombre de questions applicables : A
Moyenne chapitre 11(en %)=P/ (A*4.37)