Académique Documents
Professionnel Documents
Culture Documents
DEDICACE
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
i
Thème : Réalisation d’audit
sécurité d’un réseau local : cas de
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
TALENTYS
LOCAL : CAS DE TALENTYS
REMERCIEMENTS
Le présent travail n’aurait pas vu le jour sans la contribution de certaines personnes que nous
tenons à remercier. Ce sont particulièrement :
Notre Directeur de mémoire Dr. Jean K Hermann YANOGO, malgré ses multiples
occupations, a accepté avec une approche très remarquable de nous accompagner lors
de la réalisation de ce document. Nous le remercions aussi pour sa disponibilité et nous
en profitons pour lui exprimer ici notre plus profonde gratitude ;
Notre maître de stage Monsieur Jean-Louis Bertrand PARE, pour sa confiance, sa
disponibilité et surtout l’autonomie qu’il nous a offert pendant ce stage. Nous le
remercions aussi pour ses conseils et la qualité de son encadrement en entreprise ;
Monsieur Cheick Oumar OUEDRAOGO, Directeur Général de Talentys qui nous a
offert l’opportunité de faire ce stage au sein de son entreprise et à tous les personnels de
Talentys ;
Le Corps professoral et l’administration de l’Université Aube Nouvelle en général et au
département de High Tech en particulier ;
Nos frères et amis DJIBRINE Agadji et HAMID Hassane Lony (pour leurs conseils et
encouragements) ;
Monsieur Sekou Zoumana BARRO pour la relecture ;
Notre cher père MAHAMAT Youssouf et notre chère mère ACHTA Mahamat Wachil
pour leurs soutiens inconditionnels, à la fois moral et économique. Nous voudrions
exprimer nos reconnaissances envers notre cher oncle YOUSSOUF Moussa pour ses
conseils et ses encouragements paix à son âme qu’Allah lui fasse miséricorde et qu’il
l’accueille dans son vaste paradis j’en suis reconnaissant et notre grand frère ADOUM
Youssouf.
Tous nos frères et sœurs, qu’ils trouvent ici l’expression de notre amour fraternel ;
Nos grands frères Mahamat Choukou, DJIBRINE Mahamat Youssouf et notre petit
frère OUMAR Mahamat Youssouf et à tous les membres de la famille ;
Tous ceux ou celles qui ont contribué de loin ou de près à la réalisation de ce travail.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
ii
Thème : Réalisation d’audit
sécurité d’un réseau local : cas de
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
TALENTYS
LOCAL : CAS DE TALENTYS
SOMMAIRE
DEDICACE ................................................................................................................................. i
REMERCIEMENTS .................................................................................................................. ii
SOMMAIRE ............................................................................................................................. iii
LISTES DES TABLEAUX ET FIGURES ............................................................................... iv
SIGLES ET ABREVIATIONS .................................................................................................. v
RESUME .................................................................................................................................. vii
ABSTRACT ............................................................................................................................ viii
INTRODUCTION ...................................................................................................................... 1
PROBLEMATIQUE .................................................................................................................. 2
OBJECTIF PRINCIPAL ............................................................................................................ 3
OBJECTIFS SPECIFIQUES...................................................................................................... 3
HYPOTHESE............................................................................................................................. 3
METHODOLOGIE .................................................................................................................... 4
PERTINENCE ET RETOMBEES ANTICIPEES ..................................................................... 4
CHAPITRE I : PRESENTATION DES STRUCTURES DE FORMATION ET D’ACCUEIL
.................................................................................................................................................... 5
I. Présentation de l’Université Aube Nouvelle ................................................................... 5
II. Présentation de Talentys Burkina .................................................................................... 8
Chapitre II : Etat de l’Art ......................................................................................................... 11
I. Sécurité des systèmes d’informations ........................................................................... 11
II. Introduction à l’audit des systèmes d’informations ...................................................... 19
CHAPITRE III : MISSION D’AUDIT, NORMES ET METHODOLOGIES ........................ 27
I. Audit de sécurité des systèmes d’informations ............................................................. 27
II. Démarche de réalisation d’un audit de sécurité de SI ................................................... 29
III. Normes et Méthodologies d’audit ............................................................................. 35
CHAPITRE IV : ANALYSE ET CONCEPTION ................................................................... 41
I. Analyse de l’existant ..................................................................................................... 41
II. Audit Organisationnel ................................................................................................... 43
III. Audit Technique ........................................................................................................ 45
IV. Recommandation ....................................................................................................... 57
V. Proposition des solutions ............................................................................................... 64
VI. Estimation financière de la réalisation du projet ....................................................... 75
CONCLUSION GENERALE .................................................................................................. 76
REFERENCES BIBLIOGRAPHIQUE .................................................................................. viii
TABLE DE MATIERES ............................................................................................................ x
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
iii
Thème : Réalisation d’audit
sécurité d’un réseau local : cas de
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
TALENTYS
LOCAL : CAS DE TALENTYS
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
iv
Thème : Réalisation d’audit
sécurité d’un réseau local : cas de
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
TALENTYS
LOCAL : CAS DE TALENTYS
SIGLES ET ABREVIATIONS
ACL Access Control List
AD Active Directory
ADSL Asymmetric Digital Subscriber Line
ANSI American National Standards Institute
BSD Berkeley Software Distribution
CAMES Conseil Africain et Malgache pour l’Enseignement Superieur
CCTV Closed-Circuit Television
CEI Commission Electronique Internationale
CERT/CC Computer Emergency Response Team/Coordination Center
CLUSIF Club de la Sécurité des Systèmes d'Information Français
CMM Capability Maturity Model
CMMI Capability Maturity Model Integrated
COBIT Control Objectives for Information and Related Technology
CRAMM Central Computer and Telecommunications Agency Risk
Analysis and Management Method
DAS Direct-attached storage
DCSSI Direction Centrale de la Sécurité des Systèmes d'Information
DMZ Demilitarized Zone
DNS Domaine Name System
EBIOS Expression des Besoins et Identification des Objectifs de Sécurité
HIDS Host Intrusion Detection Systems
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IP Internet Protocol
IPS Intrusion Prevention System
IPSec Internet Protocol Security
ISACA L’Information System Audit & Control Association
ISO International Organization for Standardization
IT Information Technology
ITIL Information Technology Infrastructure Library
L2TP Layer to Tunneling Protocol
LAN Local Area Network
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
v
Thème : Réalisation d’audit
sécurité d’un réseau local : cas de
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
TALENTYS
LOCAL : CAS DE TALENTYS
MAC Media Access Control
MEHARI Méthode Harmonisée d'Analyse de Risques
MPLS Multi-Protocol Label Switching
NAS Network Area Storage
NetBIOS Network Basic Input Output System
NIDS Network Intrusion Detection Systems
NMAP Network Mapper
OS Operating System
P2P Peer to peer
PABX Private Automatic Branch eXchange
PDCA Plan Do Check Act
PPTP Point-to-Point Tunneling Protocol
PSSI Politique de Sécurité du Système d’Information
RAM Ramdom Access Memory
RPO Recovery Point Objective
RTO Recovery Time Objective
SAN storage area network
SEI Software Engineering Institute
SI Système d’Information
SNMP Simple Network Monitoring Protocol
SQL Structured Query Language
SSI Sécurité des Systèmes d’Information
SSL Secure Sockets Layer
TCP Transmission Control Protocol
TLS Transport Layer Security
U-AUBEN Université Aube Nouvelle
UDP User Datagram Protocol
UTM Unified Threat Management
VPN Virtual Private Network
WIFI Wireless Fidelity
WMI Windows Management Instrumentation
ZBF Zone Based Firewall
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
vi
Thème : Réalisation d’audit
sécurité d’un réseau local : cas de
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
TALENTYS
LOCAL : CAS DE TALENTYS
RESUME
Ce projet s’inscrit dans le cadre de stage de fin d’études en vue de l’obtention du diplôme de
master en Sécurité Informatique effectué à la société Talentys. L’objectif de ce projet est de
réaliser un audit de sécurité d’un réseau local. Cet audit consiste à valider les moyens de
protection mis en œuvre sur les plans organisationnels, procéduraux et techniques pour
améliorer son système d’informations. L’audit de sécurité conduit au-delà du constat, à analyser
les risques opérationnels pour le domaine étudié, et par la suite proposer des recommandations
et des solutions et un plan d’action quantifiés et hiérarchisés pour corriger les vulnérabilités et
réduire l’exposition aux risques.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
vii
Thème : Réalisation d’audit
sécurité d’un réseau local : cas de
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
TALENTYS
LOCAL : CAS DE TALENTYS
ABSTRACT
This project is part of an end-of-study internship to obtain a master's degree in IT Security
carried out at Talentys. The objective of this project is to carry out a security audit of a local
network, this audit consists in validating the means of protection implemented on the
organizational, procedural and technical levels to improve its information system. The security
audit leads beyond the observation, to analyze the operational risks for the studied domain, and
then to propose recommendations and solutions and a quantified and prioritized action plan to
correct vulnerabilities and reduce exposure. to risks.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
viii
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
INTRODUCTION
L’interconnexion croissante des réseaux et les besoins de dématérialisation des processus ou
des documents exposent les systèmes d’informations à des risques de vol, de modification ou
de destruction de données. Ainsi, les points d’interconnexion avec l’extérieur, en particulier les
accès internet associés à la messagerie ou à des téléservices, sont autant d’accès qu’un attaquant
peut tenter d’utiliser pour s’introduire et se maintenir au sein même du système d’information,
pour dérober, dénaturer ou encore détruire son patrimoine informationnel.
Pour s’en protéger, les organismes doivent, à l’issue d’une démarche de gestion des risques,
sécuriser leurs systèmes d’informations de façon adaptée et proportionnée. Les mesures de
sécurité mises en place dans ce but peuvent être de différentes natures : organisationnelles,
physiques et techniques. Sur ce dernier volet, la mise en œuvre des produits de sécurité est
certes fondamentale, mais elle ne suffit pas : l’absence d’application des mises à jour et des
correctifs de sécurité, le maintien de mots de passe faibles ou constructeur, la mauvaise
configuration de logiciels ou le non-respect de règles élémentaires de sécurité lors du
développement d’un logiciel ou d’une application sont autant de vulnérabilités exploitables par
un attaquant.
L’audit est l’un des moyens mis à la disposition de tout organisme pour éprouver et s’assurer
du niveau de sécurité de son système d’information. Il permet, en pratique, de mettre en
évidence les forces mais surtout les faiblesses et vulnérabilités du système d’information. Ses
conclusions permettent d’identifier des axes d’amélioration, de proposer des recommandations
et de contribuer ainsi à l’élévation de son niveau de sécurité, en vue, notamment, de son
homologation de sécurité. Il devient donc impératif que les administrations et les organismes
publics mettent à jour leur système d’information en procédant à la réalisation d’audits de
sécurité de SI. C’est dans cette optique que la société Talentys nous a soumis un projet portant
sur « REALISATION D’AUDIT DE SECURITE D’UN RESEAU LOCAL : CAS DE TALENTYS ».
Notre travail sera structuré en quatre principaux chapitres : D’abord, dans un premier chapitre,
nous allons présenter les structures d’accueil et de la formation, Ensuite le deuxième chapitre,
portera sur l’état de l’art : les notions de la sécurité et l’audit des systèmes d’information et le
troisième chapitre sera consacré à la mission d’audit, normes et méthodologie d’audit. Et enfin
le quatrième chapitre sera consacré à l’analyse et conception du projet.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
1
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
PROBLEMATIQUE
Aujourd’hui, les entreprises ont besoins d’assurer la fluidité de circulation de leurs informations
et de garantir la sécurité des données afin d’éviter les pertes et l’instabilité des processus métiers
de l’entreprise.
Durant nos premières semaines de stage, nous avons constaté des insuffisances relatives au
fonctionnement, à l’organisation et à la sécurité au niveau du système informatique de Talentys.
Parmi ces insuffisances, nous avons :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
2
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
OBJECTIF PRINCIPAL
L’objectif principal de notre étude est d’évaluer avec précision la capacité du système
d’information de Talentys à résister face aux attaques informatiques, à identifier les failles et
appliquer les actions correctives nécessaires en effectuant un audit de sécurité.
OBJECTIFS SPECIFIQUES
Pour améliorer le niveau de sécurité du système informatique de Talentys, nous nous sommes
fixé les objectifs spécifiques suivants :
HYPOTHESE
Toute démarche d'un travail scientifique suppose une interprétation anticipée des faits à étudier
et à concevoir qui seront par la suite confrontés à la pratique qui les confirmera ou les infirmera.
Dans nos recherches exploratoires, nous avons supposé que :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
3
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
METHODOLOGIE
Tout travail bien défini d’un système d’information nécessite une méthode de travail claire.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
4
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
L’Université Aube Nouvelle est organisée sur deux campus, Ouagadougou et Bobo-Dioulasso.
Son siège est à Ouagadougou la capitale du Burkina Faso. L’Université Aube Nouvelle
entretient de nombreux partenariats aux niveaux national, régional et international (Afrique,
Europe, Amérique, Asie) en vue de faciliter la poursuite des études à ses étudiants
I.2. Objectifs
Dans le souci de mettre sur le marché de l’emploi des travailleurs bien formés et très
compétents, l’Université Aube Nouvelle propose des formations pluridisciplinaires de haut
niveau dans les domaines suivants :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
5
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Ainsi, chaque année, 20 missions d’enseignements sont programmées à Aube Nouvelle. Cela
lui permet d’avoir les chiffres clés suivants :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
6
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Il compte deux campus, Ouagadougou et Bobo Dioulasso, tous deux délivrant la Licence, le
Master et le Doctorat. Le siège de l’U-AUBEN est à Ouagadougou la capitale du Burkina Faso
au cœur du quartier 1200 logements.
I.3. Formations
L’U-AUBEN offre les formations suivantes :
HIGH TECH :
Technologie des Réseaux et Systèmes ;
Technologie du Génie Informatique ;
Electricité Industriel.
Electronique Electrotechnique et Automatisme (EEA).
Télécommunication
BUSINESS SCHOOL :
Marketing et Gestion Commercial ;
Transport et Logistique ;
Gestion de Projet ;
Gestion des Ressources Humaines ;
Finance – Comptabilité ;
Assistant de Direction Bilingue ;
Assurance – Banque ;
Finance Banque.
ITRI-GEC
Electricité et Energie Renouvelable ;
Génie Civil : Construction ;
Génie Civil : Architecture et Urbanisme ;
UFR/SEG.
Analyse Economique ;
Management International.
UFR/SJP
Droit Public ;
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
7
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Droit Privé.
UFR/ST
Géologie Appliquée et Mines ;
Bio Analyse et Contrôle Qualité ;
Industrie Agroalimentaire ;
Agronomie ;
Eau, Hygiène et Assainissement (EHA).
UFR/LLSHS
Traduction et Interprétariat : Anglais ;
Sociologie Urbaine et Rurale.
SCIENCES ET TECNIQUES DE L’INFORMATION ET DE LA
COMMUNICATION
Communication pour le Développement ;
Communication des Organisations ;
Journalisme.
FORMATION A DISTANCE (E-LEARNING)
Licence en Finance Comptabilité ;
Licence en Gestion de Projets (GP) ;
Licence en GRH ;
Licence en Communication ;
Licence en Marketing ;
Ingéniorat.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
8
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Téléphonie Mobile Et Télécom
Banque - Finances-Assurance
Services - Organismes - Internationaux
Architecture - Communication - Distribution
Gouvernement - Secteurs Publics - Education
Talentys est une société de service en audit et sécurité des systèmes d’informations et télécoms
qui fournit des solutions techniques et innovantes et optimales pour la transformation digitale
des entreprises et des administrations publiques dans la sous-région.
II.1. Objectif
Notre objectif est de vous apporter une solution sur mesure, répondant à vos attentes dans le
strict respect de votre budget. Pour ce faire, nous disposons d’une équipe compétente et
qualifiée, composée d’ingénieurs et techniciens expérimentés et certifiés.
II.2. Métiers
Les domaines d’intervention du staff qualifié et certifié de TALENTYS sont :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
9
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
II.3. Organigramme
L’organigramme suivant représente la direction Générale et les différents départements au sein
de Talentys
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
10
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
11
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Après avoir décrit brièvement la notion de base du système d’information, nous allons passer à
la notion de sécurité de SI tout en commençant par les définitions de quelques concepts en
sécurité informatique.
Menace
Nous classons les menaces en deux catégories selon qu’elles ne changent rien (menaces
passives) ou qu’elles perturbent effectivement le réseau (menaces actives) :
Risques
En système d’information, un risque se définit comme la probabilité d’occurrence qu’une
menace exploite une vulnérabilité afin d’impacter un actif. Les risques se mesurent en fonction
de deux critères principaux : la vulnérabilité et la sensibilité.
Vulnérabilités
Les vulnérabilités sont des failles qui peuvent être issues des caractéristiques propres à l’actif
ou provenant de l’environnement externe de l’actif. La vulnérabilité se trouve sous plusieurs
formes :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
12
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Vulnérabilité humaine : l’être humain du fait de sa nature est vulnérable. La plupart des
vulnérabilités humaines proviennent des erreurs (négligences, manque de compétences,
surexploitation, etc.)
Vulnérabilités technologiques : ces vulnérabilités sont aux bases dues à une négligence
humaine lors de la conception et la réalisation. Avec la progression des outils informatiques,
les vulnérabilités technologiques sont annoncées périodiquement.
Vulnérabilité au niveau mise en œuvre : les vulnérabilités peuvent être dues à la non prise en
compte de certains aspects de sécurité lors de la réalisation d’un projet.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
13
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
I.2.1. Définir risque et objets à protéger
Périmètre de sécurité
Inutile de se préoccuper de sécurité sans avoir défini ce qui était à protéger : en d’autres termes,
toute organisation désireuse de protéger ses systèmes et ses réseaux doit déterminer son
périmètre de sécurité. Le périmètre de sécurité, au sein de l’univers physique, délimite
l’intérieur et l’extérieur, mais sa définition doit aussi englober (ou pas) les entités immatérielles
qui peuplent les ordinateurs et les réseaux, essentiellement les logiciels et en particulier les
systèmes d’exploitation. Une fois fixé ce périmètre, il faut aussi élaborer une politique de
sécurité, c’est-à-dire décider de ce qui est autorisé et de ce qui est interdit.
Politique de sécurité
Face à la résurgence et la professionnalisation des tentatives d’intrusions malveillantes et
d’escroqueries, certains documents tels que des politiques et des procédures doivent être
soigneusement élaborés. La pièce maitresse qui constitue le principal document de référence en
matière de sécurité du système d’information est la politique de sécurité du système
d’information, plus communément appelée la « PSSI ».
L’intégrité, c’est-à-dire garantir que les données sont bien celles que l’on croit être ;
La confidentialité, consistant à s’assurer que seules les personnes autorisées ont accès
aux ressources échangées ;
La disponibilité, permettant de maintenir le bon fonctionnement du système
d’information ;
La non-répudiation, permettant de garantir qu’une transaction ne peut être niée ;
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
14
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Et l’authentification, consistant à s’assurer que seules les personnes autorisées ont accès
aux ressources.
Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en
compte les aspects suivants :
Nous allons citer quelques malveillances informatiques liées aux systèmes d’informations et
aux mécanismes de sécurité disponibles pour la protection de l’informations.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
15
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
auront réussi à violer les protections pour y commettre des méfaits, et aussi pour se propager
vers d’autres victimes. Cette section leur sera consacré ; nous essayerons d’en dresser une
nomenclature.
Virus
Un virus est un morceau de programme informatique malicieux conçu et écrit pour qu’il se
reproduise. Sans la permission de l'utilisateur, il peut toucher l'ordinateur par sa capacité de se
multiplier. En termes plus techniques, le virus s’attache à un programme exécutable et se copie
systématiquement.
Ver
C’est un type de virus particulier qui s'étend par le réseau. Le ver contrairement aux virus, une
fois implanté et activé dans un ordinateur, il est capable de se propager d’un ordinateur à un
autre via le réseau, sans intervention de l’utilisateur et sans exploiter le partage de fichiers. Les
clés USB infectés peuvent entrainer la propagation d'autorun qui est un exemple de ver.
Cheval de Troie
Un cheval de Troie (Trojan horse) est un logiciel qui se présente sous un jour honnête, utile ou
agréable, et qui une fois installé sur un ordinateur y effectue des actions cachées et pernicieuses.
Porte dérobée
Une porte dérobée (backdoor) est un logiciel de communication caché, installé par exemple
par un virus ou par un cheval de Troie, qui donne à un agresseur extérieur accès à l’ordinateur
victime, par le réseau.
Bombe logique
Une bombe logique est une fonction, cachée dans un programme en apparence honnête, utile
ou agréable, qui se déclenchera, lorsque sera atteinte une certaine date, ou lorsque surviendra
un certain événement. Cette fonction produira alors des actions indésirées, voire nuisibles.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
16
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Logiciel espion
Un logiciel espion, comme son nom l’indique, collecte à l’insu de l’utilisateur légitime des
informations au sein du système où il est installé, et les communique à un agent extérieur, par
exemple au moyen d’une porte dérobée. Une variété particulièrement toxique de logiciel espion
est le keylogger (espion dactylographique), qui enregistre fidèlement tout ce que l’utilisateur
tape sur son clavier et le transmet à son honorable correspondant ; il capte ainsi les identifiants,
mots de passe et codes secrets.
Injection SQL
L’attaque par injection SQL vise les sites Web qui proposent des transactions mal construites
dont les résultats sont emmagasinés dans une base de données relationnelle. Elle consiste en
ceci : SQL est un langage qui permet d’interroger et de mettre à jour une base de données
relationnelle ; les requêtes sont soumises au moteur de la base en format texte, sans être
compilées. Une requête typique est construite à partir de champs de formulaire remplis par
l’internaute.
17
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
fonctionne la plupart du temps grâce à des règles de filtrage indiquant les adresses IP autorisées
à communiquer avec les machines du réseau. Il s’agit ainsi d’une passerelle filtrante.
Il permet d’une part de bloquer des attaques ou connexions suspectes d’accéder au réseau
interne. D’un autre côté, un firewall sert dans de nombreux cas également à éviter la fuite non
contrôlée d’informations vers l’extérieur. Il y a plusieurs types de firewall réseaux et applicatifs,
matériels et logiciels : Sophos, Fortigate. Ces deux solutions sont payantes. Cependant il y a
plusieurs firewalls gratuits comme pfSense, Endian, IPCOP qui proposent un contrôle sur le
trafic entre machines et l’Internet avec des règles entrantes et sortantes.
I.4.2.2 Antivirus
L’antivirus est un logiciel conçu pour identifier, neutraliser et éliminer des logiciels
malveillants. Ceux-ci peuvent se baser sur l’exploitation de failles de sécurité, mais il peut
également s’agir de programmes modifiants ou supprimant des fichiers, que ce soit des
documents de l’utilisateur sur l’ordinateur infecté, ou des fichiers, nécessaires au bon
fonctionnement de l’ordinateur. Un antivirus vérifie les fichiers et courriers électroniques, les
secteurs de boot, mais aussi la mémoire vive de l’ordinateur, les médias amovibles, les données
qui transitent sur les éventuels réseaux. Les antivirus les plus connus sont Kaspersky, Norton,
et BITDEFENDER.
18
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
détecte un balayage automatisé, l’IPS peut bloquer les portes automatiquement. Firepower
NGIPS1(système de prévention des intrusions de nouvelle génération) de Cisco est un exemple
courant des périphériques IPS matériels. Il y a d’autres IPS logiciels tel que : SolarWinds
Security Event Manager et Security Onion WinPatrol…
Le système d’information est d’une grande utilité au sein de l’entreprise, puisqu’il sert d’aide à
la décision. Il permet en plus d’agir de manière optimale, de faire des prévisions qui vont
orienter les stratégies élaborées. En addition il sert à contrôler et superviser les différentes
activités de l’entreprise. Avec la complexité de l’environnement de l’entreprise, les dirigeants
comptent sur un système d’information efficace et fiable pour la création de la valeur et la
réalisation d’un avantage comparatif. Le système d’information représente l’ensemble de
moyens, de ressources, d’éléments organisés permettant de collecter, saisir, traiter, stocker et
diffuser l’information. L’objectif de la mise en place des systèmes d’informations se résume
dans leur rôle d’aide à la conception de la stratégie de l’entreprise, ainsi que celui de la
supervision de sa réalisation.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
19
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Figure 2 : Stratégies du SI
[Source : Cours d’audit informatique by prof Yende Raphael]
II.1. Définitions
L’audit est donc un examen méthodique des composantes et des acteurs de la sécurité, de la
politique, des mesures, des solutions, des procédures et des moyens mis en œuvre par une
entreprise, pour sécuriser son environnement et effectuer des contrôles de conformité de son
système d’information.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
20
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
II.1.3. Notion de la sécurité informatique
La sécurité informatique c’est l’ensemble des moyens techniques, organisationnels, juridiques
et humains mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces
accidentelles ou intentionnelles.
L'audit informatique a pour objectif d’identifier, d’évaluer et déterminer les risques (financiers,
opérationnels, de réputation…) associés aux activités informatiques d'une entreprise ou d'une
administration.
De même, l’audit des systèmes d’informations requiert deux grandes caractéristiques pour sa
mise en place effective :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
21
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
L’audit informatique est une mission, qui ne demande pas de simples auditeurs, puisque ces
derniers doivent avoir de fortes connaissances en informatique, car des notions, ainsi que des
techniques sont à cerner pour comprendre et savoir gérer un processus d’informatisation.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
22
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
La détermination de la cible : cette seconde partie consiste à référer le mode de circulation
des informations et leurs interprétations ; les différentes redondances dans les graphes ; la
dispersion des infrastructures ainsi que les points de contrôle et de validation nécessaires, et le
découpage en zone en sous-graphes.
N.B : c’est à l’issue de ce modèle, que généralement le processus de l’audit aboutit à une
élaboration et approbation d’un projet informatique.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
23
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
réplication. D'un autre côté, le résultat de calcul issu d'un empilement de modèles peut aboutir
à des résultats particulièrement pertinents et surprenants.
Par ailleurs, au sein même de la fonction informatique, l’audit relève également des études
informatiques : les objectifs sont d’évaluer l’entreprise dans sa manière de planifier les activités
d’études, de respecter les normes de documentation, de contrôler la sous-traitance ainsi que la
qualité des livrables.
24
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
conséquent, il est important de mettre en place plusieurs outils de surveillance de la production,
tels que Opview de HP, Tivoli d’IBM, etc. Ce sont de véritables systèmes d'informations dédiés
à l'exploitation.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
25
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
La maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le
niveau des risques notamment en renforçant les contrôle d'accès, et l'authentification des
utilisateurs ;
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
26
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
27
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
I.2. Classification d’audit
Les audits peuvent être classifiés en trois catégories :
Les audits internes (appelés aussi audits de 1ère partie) sont réalisés pour les organismes
souhaitant que leur système d’information soit examiné par rapport à des exigences de
sécurité de système d’information. Ces audits sont établis par des auditeurs internes ou
externes à l’organisme.
Les audits externes (appelés aussi audits de 2ème partie) sont commandités par des
entités ayant un intérêt à l’égard de l’organisme audité, dans le but d’évaluer le niveau
de sécurité du système d’information de ce dernier. Ces audits sont établis par des
organismes d’audit externes.
Les audits de certification (appelés aussi audits de tierce partie) sont réalisés pour les
organismes qui souhaitent faire reconnaître que la sécurité de leur système
d’information est conforme aux exigences comme celles de l’ISO/CEI 27001. Ces
audits sont établis par des organismes externes généralement accrédités.
28
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
L’audit de sécurité informatique se présente essentiellement suivant deux parties comme le
présente le précédent schéma :
Test d’intrusion
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
29
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
II.1. Définition de la charte d’audit
Avant de procéder à une mission d’audit, une charte d'audit doit être réalisée. Elle a pour objet
de définir la fonction de l'audit, les limites et modalités de son intervention, ses responsabilités
ainsi que les principes régissant les relations entre les auditeurs et les audités. Elle fixe
également les qualités professionnelles et morales requises des auditeurs.
Une fois que les deux parties (auditeur-audité) ont “harmonisé leurs accords“, l’audit sur terrain
peut être entamé. Il débute par l’audit organisationnel et physique.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
30
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Organisation de la sécurité de l’information : Cette section définit un cadre de gestion
et d’approbation de la politique de sécurité, et traite les aspects contractuels liés à la
sécurisation des accès au système d’information par les tiers.
Sécurité des ressources humaines : Cette section donne des recommandations pour
réduire le risque d’erreur ou de fraude favorisant la formation et la sensibilisation des
utilisateurs sur les menaces affectant la sécurité de l’information, ainsi que les
comportements à adopter pour protéger l’information.
Gestion des actifs : Cette section décrit la nécessité d’inventorier et de classifier les
actifs informationnels de l’organisme, dans le but d’identifier les besoins et le niveau de
protection adapté à ces actifs.
Contrôle d’accès : Cette section définit les mesures pour gérer et contrôler les accès à
l’information afin d’assurer la protection des systèmes en réseau. Elle couvre également
la sécurité de l’information lors de l’utilisation d’appareils mobiles.
Cryptographie : Cette section traite les mesures visant à protéger la confidentialité et
l’intégrité de l’information par des moyens cryptographiques.
Sécurité physique et environnementale : Cette section définit les mesures pour protéger
les lieux et les locaux de l’organisme contre les accès non autorisés, et pour minimiser
les dommages causés par les menaces environnementales. Elle traite également la
sécurité des matériels afin de réduire les menaces liées aux risques de vol, et de fuites
d’informations.
Sécurité liée à l’exploitation : Cette section définit les mesures permettant d’assurer une
exploitation correcte et sécurisée des moyens de traitement de l’information (protection
contre les logiciels malveillants, maitrise des logiciels en exploitation, et gestion des
vulnérabilités techniques).
Sécurité des communications : Cette section définit les mesures d’une part, pour assurer
la protection des informations sur les réseaux et la protection de l’infrastructure sur
laquelle ils s’appuient, et d’autre part, pour maintenir la sécurité des informations et des
logiciels échangés au sein de l’organisme et avec une entité extérieure.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
31
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
réseau, réseaux d’accès interne, réseaux d’interconnexion, etc.) pour identifier les vulnérabilités
techniques éventuelles.
Il est recommandé de faire précéder l’audit technique par un audit organisationnel afin
d’identifier les points critiques du système d’information nécessitant une étude exhaustive.
Ci-après les activités qui peuvent être réalisées lors d’un audit de sécurité technique :
Phase de découverte des vulnérabilités : cette phase consiste à effectuer des tests
automatisés à l’aide d’outils spécifiques qui s’appuient en général sur une base de failles
connues (scanners des vulnérabilités systèmes, scanners des vulnérabilités applicatives
et web, etc.) pour détecter les éventuelles vulnérabilités du système d’information.
Phase d’analyse des vulnérabilités : cette phase consiste à analyser les vulnérabilités
identifiées lors de la première phase afin de proposer les actions de remédiation en
cohérence avec les pratiques et les exigences de sécurité adoptées au sein de l’organisme
audité.
L’audit d’architecture peut être étendu aux interconnexions avec des réseaux tiers, et
notamment Internet.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
32
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
L’audit d’architecture ne peut pas être dissocié de l’audit de configuration car il permet
de traiter les points névralgiques de l’architecture du système d’information.
Les tests d’intrusion externes : permettent d’évaluer la capacité d’un attaquant externe
à pénétrer le réseau interne de l’organisme audité ;
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
33
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Les tests d’intrusion internes : permettent d’évaluer l’impact d’un acte malveillant mené
de l’intérieur du réseau de l’organisme audité.
Généralement, ces tests s’effectuent selon les étapes suivantes :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
34
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Les systèmes d’informations actuels doivent faire face à de nombreuses menaces susceptibles
d’exploiter leurs vulnérabilités. Afin de limiter les impacts résultant de ces menaces, une
politique de traitement des risques doit être mise en place. L’analyse des risques en sécurité de
l’information permet d’identifier les dangers introduits par les applications et les SI, de les
évaluer, et de définir et mettre en œuvre des mesures de protection adaptées.
Dans cette section, nous présentons une synthèse de la famille des normes ISO 27000 et une
étude de quelques méthodes d’audit d’analyse des risques.
La série des normes ISO/CEI 27000 est une famille de normes apparue à la fin des années 1990
lorsque la BSI publia les exigences pour la mise en place d’un SMSI. Ces documents ont ensuite
été regroupés dans une série de normes, l’ISO/CEI 270XX. Cet ensemble est composé de
normes d'exigences et de normes d’outils afin d’obtenir un ensemble d’exigences, de
renseignements, de bonnes pratiques pour mieux sécuriser un système d’informations pour tous
types d’organismes concernant la sécurité de l’information, par exemple les données
financières, les informations relatives au personnel, les données confiées par un tiers ou
soumises à la propriété intellectuelle.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
35
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
ISO/CEI 27000
L’ISO/CEI 27000 : présente une vue d’ensemble des systèmes de management de la sécurité
de l’information. Le document définit les termes qui s’y rapportent.
ISO/CEI 27001
La norme ISO/CEI 27001 : spécifie les exigences pour la mise en place, la mise en œuvre, la
mise à jour et l’amélioration continue d’un SMSI. Elle définit également une gestion globale et
le cadre de contrôle afin de traiter les risques de sécurité de l’information. Les exigences fixées
dans l'ISO/CEI 27001 : couvre tous les types d’organisations, quel que soit son type, sa taille et
sa nature.
ISO/CEI 27002
L’ISO/CEI 27002 : donne les lignes directrices en matière de normes organisationnelles
relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de
l'information. Ce document permet aux organisations de sélectionner les mesures nécessaires
dans le cadre d'un processus de mise en œuvre d'un SMSI selon l'ISO/CEI 27001. A minima, il
s’agit de parcourir l’ensemble des contrôles issus de la norme ISO/CEI 27001.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
36
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
IS0/CEI 27003
Le document vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001 ; elle
encourage à la mise en place d’une approche processus.
ISO/CEI 27004
L’ISO/CEI 27004 : est un ensemble de lignes directives qui fournit des conseils pour le
développement d’un programme de mesures et de contrôles et la formalisation d’indicateurs
permettant de mesurer l’efficience d’un système de management de la sécurité de l’information.
ISO/CEI 27005
Ce document vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001 ; elle est
conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de
gestion des risques.
Le processus de gestion des risques définit par cette norme comprend les étapes suivantes selon
l’ordre croissant de l’établissement du contexte à la communication du risque :
Etablissement du contexte ;
Identification du risque ;
Estimation du risque ;
Evaluation du risque ;
Traitement du risque ;
Acceptation du risque ;
Communication du risque.
La phase gestion du risque consiste à analyser les scénarios de risque identifiés afin de décider
le traitement à admettre : le maintien, la modification, le transfert et l’évitement.
Pour planifier le traitement des risques, il est possible de regrouper les risques par familles de
scénarios. La figure ci-dessous présente la phase de traitement de risque.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
37
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
COBIT
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
38
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Le référentiel CobiT (Control OBjectives for Information & related Technology) est une
méthode de maîtrise des systèmes d’informations (IT Gouvernance) et d'audit de systèmes
d'information, éditée par l’Information System Audit & Control Association (ISACA) en 1996.
C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité,
conformité) et les investissements.
Cobit est une approche orientée processus : les tâches et activités définies sont intégrées dans
les 34 processus établis, ces derniers sont eux-mêmes regroupés en 4 domaines de processus.
Cobit est une approche multicritère, qui permet à chaque utilisateur de ce référentiel d'obtenir
pour chaque processus les informations qui l'intéressent.
ITIL
ITIL est un ensemble de livres qui regroupe les bonnes pratiques de management d’un service
informatique dans le but d’optimiser l’utilisation des ressources informatiques. Ces guides sont
une source d’informations permettant d’adapter l’organisation de son service IT à son business.
En effet, suivre ce modèle permet de partager un même vocabulaire, d’identifier le rôle de
chacun et de professionnaliser l’organisation. La démarche ITIL comprend, dans sa version 3
(ITIL V3), 24 processus traitant de : gestion des problèmes, perspective business/métier,
planification de l’implémentation de la gestion de services… pour 4 fonctions : Centre de
service, Gestion de techniques, Gestions des opérations et Gestion des applications
CMMI
Le CMMI (Capability Maturity Model Integrated) est un modèle d'évaluation du niveau de
maturité d'une organisation concernant le développement de systèmes, de produit et/ou de
logiciels. Il a pour objectif la maîtrise des processus d'ingénierie et par conséquent celle de la
qualité des produits et des services issus de ces processus. Il propose un référentiel des
meilleures pratiques (best practices) en matière de développement logiciel.
Le CMMI est une extension du modèle CMM (Capability Maturity Model), présenté par le SEI
(Software Engineering Institute) dans les années 80. Celui-ci, à la demande du ministère
américain de la Défense, avait élaboré un référentiel de critères permettant de déterminer si un
projet serait terminé dans les temps, sans dépassement de budget et selon les spécifications.
CRAMM
La méthode CRAMM est une méthode d’analyse et de maîtrise des risques concernant le
système d’information d’une entreprise créée en 1986 par Siemens en Angleterre. Cette
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
39
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
méthode est entièrement conforme aux normes BS7799 « Information security management
systems. Guidelines for information security risk management » et ISO27001 « Technologies
de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information –
Exigences ». L’utilisation de la méthode CRAMM n’est pas spécifique à une infrastructure
informatique ou technologie informatique particulière, elle peut s’appliquer à l’ensemble des
systèmes informatiques, que l’on soit en phase de mise en place, d’évolution ou de changement
du système d’information.
EBIOS
Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Informations)
en 1996. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet
d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoins de
l'entreprise (ou d'une administration). La méthode EBIOS se compose de 5 guides
(Introduction, Démarche, Techniques Outillages) et d'un logiciel permettant de simplifier
l'application de la méthodologie explicitée dans ces guides. Ce logiciel, libre et gratuit, (les
sources sont disponibles) permet de simplifier l'application de la méthode et d'automatiser la
création des documents de synthèse.
MEHARI
La méthode MEHARI (Méthode Harmonisée d'Analyse de Risques) est proposée par le
CLUSIF (Club de la Sécurité des Systèmes d'Informations Français). Elle est destinée à
permettre l'évaluation des risques mais également le contrôle et la gestion de la sécurité de
l'Entreprise sur court, moyen et long terme, quelle que soit la répartition géographique du
système d'information. MEHARI consiste à faire un point sur les enjeux liés à la sécurité du
système d’information dans l’entreprise et à en faire un classement par rapport aux critères de
sécurité de base : confidentialité, intégrité et disponibilité. Les dysfonctionnements ayant un
impact sur l’activité de l’entreprise sont ainsi répertoriés et évalués selon des scénarios.
Nous avons étudié quelques méthodes d’analyses de risque et normes des bonnes pratiques,
mais nous n’allons pas les utiliser pour la réalisation de notre audit. Nous passons directement
au chapitre suivant pour auditer le réseau de Talentys.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
40
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
41
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
I.1.1. Serveurs
Nous allons lister les différents serveurs de Talentys dans le tableau ci-dessous :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
42
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Tableau 2 : Equipement réseau de Talentys
I.1.3. Machines
Nous allons lister les différentes machines de Talentys dans le tableau suivant :
II.Audit Organisationnel
II.1. Mesure de sécurité existant
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
43
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Aucune solution de sécurité contre les intrusions n’est mise en place (IDS/IPS), notamment
pour le suivi des journaux du Firewall.
44
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Il n’y a pas une politique d’affectation des mots de passes ;
L’utilisateur a le droit de changer son mot de passe ;
III.Audit Technique
L’audit technique suit une étude organisationnelle et physique permettant d’avoir une vue
globale de l’état de sécurité du système d’information et d’identifier les risques potentiels. A
cette étape nous passons à la recherche des vulnérabilités afin d’analyser le niveau de protection
de l’infrastructure face aux attaques notamment celles qui exploitent ces vulnérabilités.
Nous utilisons tout au long de l’audit technique un ensemble des outils d’investigation
numérique permettant d’obtenir les informations nécessaires et de déceler les différentes
vulnérabilités.
Dans notre cas ici, il s’agit de déterminer le plan d’adressage IP de Talentys, la cartographie du
réseau et les principaux équipements réseaux. L’outil utilisé pour l'identification de la topologie
réseau est Network View à sa version 3.62 du 30/04/2011 qui permet de fournir une
représentation graphique des composantes actives sur le réseau et leurs attributs.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
45
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Au terme de l’exécution de cet outil, nous recensons 5 machines actives. Nous signalons à cet
égard, que la configuration réseau au niveau des postes n’est pas protégée contre les
modifications. En effet, chaque utilisateur peut changer son adresse, ce qui peut générer des
conflits d’adresses. Des attaques de type IP Spoofing (usurpation d'identité) peuvent être
facilement menées et générer un déni du service ; il suffit de remplacer l’adresse IP du poste
par celle d’un équipement critique (routeur, serveur, etc.). Cette attaque permet la dégradation
des performances de l’équipement concerné voir même son arrêt complet.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
46
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
On remarque que la majorité des nomenclatures des machines (PC) sont significatifs, ils portent
le nom par défaut de la machine ou bien la marque de la machine, et cela mène à une probabilité
d'un danger de sécurité.
47
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
réseau. Ce logiciel est devenu une référence pour les administrateurs réseaux car l'audit des
résultats de Nmap fournit des indications sur la sécurité d'un réseau. Il est disponible sous
Windows, Mac OS X, Linux, BSD et Solaris.
Pour scanner les ports d'un ordinateur distant, Nmap utilise diverses techniques d'analyse basées
sur des protocoles tels que TCP, IP, UDP ou ICMP. De même, il se base sur les réponses
particulières qu'il obtient à des requêtes particulières pour obtenir une empreinte de la pile IP,
souvent spécifique du système qui l'utilise. C'est par cette méthode que l'outil permet de
reconnaitre la version d'un système d'exploitation et aussi la version des services en écoute.
Port ouvert : ce port d’une application est en écoute, un client peut y connecter
Port fermé : lorsque nous voulons nous connecter à ce port, aucune application n’est en
écoute
Port filtré : une application réseau filtre l’accès sur le port. Il s’agit d’un pare-feu
Port non filtré : le port est accessible, mais le programme qui émet la connexion ne
détermine pas l’état si ouvert ou fermé
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
48
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
En appliquant NMAP sur les serveurs et les équipements critiques nous avons constaté qu’il
existe des ports qui sont ouverts et non utilisés.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
49
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
III.1.2.2. Les services réseaux
Il s’agit de déterminer les services offerts par les serveurs et les postes de travail qui
peuvent être une source de vulnérabilité. Le schéma suivant est donné par NetCrunch présentant
les différents serviwirces réseau :
Nous avons identifié des services les plus occurrents sur le réseau et qui présentent des
failles de sécurité :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
50
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
En reniflant, nous pouvons surveiller tout type de trafic, qu'il soit protégé ou non. Les attaques
peuvent être l'usurpation d'adresse MAC, les attaques DHCP, l'empoisonnement ARP,
l'usurpation DNS...
Nous avons utilisé WireShark pour effectuer des captures sur le réseau ainsi qu’une analyse du
trafic. La capture d’écran suivante représente l’interface d’interception des paquets de
Wireshark :
51
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
52
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Nous remarquons que le site Web : https://www.talentys.com ne présente que des risques de
type faibles et moyens. Nous faisons attention aux cookies et l’activation des entrées de
protection XSS. Pour le site Web, il n’est pas utilisé pour des applications Web.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
53
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Le fonctionnement du PHP est sensible, nous ne trouvons pas des vulnérabilités telles que SQL
Injection. Pour les applications installées, une vulnérabilité est de type potentiel s’il s’agit d’une
mise à jour à appliquer.
La démarche adoptée consiste à auditer le firewall, les règles de filtrage et des mécanismes de
log. Le firewall utilisé à Talentys est le Fortigate 100F.
Après avoir échangé avec le responsable du système d’information, nous avons pu constater les
vulnérabilités suivantes :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
54
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Les logs du firewall ne sont pas enregistrés sur un système distant automatique pour une
analyse en cas d’incident ;
Absence d’un serveur de log dédié au traitement et à l’archivage des logs du Firewall ;
Absence des statistiques sur l’usage du Firewall ;
Outils pour l’analyse des fichiers de log et la production des rapports ne sont pas
configurés sur le pare-feu ;
Le système de détection/prévention d’intrusion n’est pas déployé sur le forti ;
Absence d’une vérification des derniers patchs et mises à jour ;
Absence d’une procédure de test périodique des vulnérabilités du Firewall ainsi que des
essais de test de pénétration pour vérifier la résistance du système contre les attaques ;
Absence d’un rapport d'audit à long terme présentant l'historique des incidents survenus
au niveau du firewall (violation des règles de sécurité, crash par débordement du
tampon) ;
Absence d’un document ou une spécification des règles de filtrage (ACLs) précisant la
politique de sécurité implantée (description de l’utilité de chaque filtre/règle) ;
Le contrôle d’intégrité du FW n’est pas entièrement automatisé ;
Absence d’un document précisant la configuration du Firewall et le suivi des
modifications de cette configuration ;
Absence d’un secours automatique pour le firewall ;
Absence d’un système d’alerte en temps réel.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
55
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Absence d'une charte d'utilisation et d'un plan de sensibilisation des utilisateurs ;
Absence de suivi de mise à jour pour certains postes qui ne sont pas utilisés
quotidiennement ;
Absence d’analyse des logs du système antiviral ;
Absence d’une procédure antivirale ;
Absence d'une politique de lutte antivirale ;
Absence d’outils de filtrage amont pour prévenir les infections virales ;
Les utilisateurs ne sont pas responsabilisés et éduqués vis-à-vis de l’usage de la
messagerie ;
Absence de sensibilisation des utilisateurs concernant l’utilisation des médias amovibles
(Clé USB, disque dur externe…).
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
56
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Au cours de cette étape, nous avons essayé de déceler certaines vulnérabilités au niveau réseau
et applications en analysant les différents flux et les politiques de sécurité adoptées par les
équipements réseaux.
Il s’agit maintenant pour nous de proposer des solutions et des recommandations à suivre pour
palier à ces vulnérabilités.
IV.Recommandation
Dans cette section nous allons proposer des recommandations par rapport aux différentes
clauses des normes de sécurité. Ces recommandations seront divisées en deux grandes parties :
Les recommandations organisationnelles et physiques, ensuite les recommandations
techniques. Également, au vu des vulnérabilités constatées lors de l’audit de l’architecture, nous
allons proposer une nouvelle architecture réseau.
Rédiger une politique de sécurité qui définit clairement les objectifs en termes de
sécurité du site ;
Définir des procédures documentées de : mise à jour automatique, gestion des incidents
de sécurité, sauvegarde automatique, gestion de la continuité, gestion de
l’authentification des utilisateurs du réseau, gestion des supports …
Rédiger pour chaque équipement réseau une charte d’utilisation qui décrit comment
exploiter cet équipement d’une manière sécurisée, que faut-il faire en cas de panne, et à
qui faut-il s’adresser en cas de problème.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
57
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Définir une classification des informations sensibles de l’organisation. Cette
classification doit être basée sur les 3 axes correspondant aux besoins en termes de
Disponibilité, Intégrité et Confidentialité pour pouvoir lui attribuer le niveau de
protection nécessaire.
De même il faut revoir la conformité du SI aux différentes lois et normes qui définissent les
critères de sécurité et prendre les mesures nécessaires pour la garantir.
Désigner un comité qui aura pour mission le suivi de l’état de sécurité et de prendre les
décisions nécessaires ;
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
58
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Définir une organisation informatique formelle dotée de manuels, de guides de
procédures, de politiques et des chartes d'utilisation,
Définir les responsabilités (en termes de sécurité) de chaque utilisateur du SI et diffuser
le document correspondant.
S’assurer que les actifs les plus critiques sont à l’abri de tout danger : fuite d’eau
humidité, chocs électriques… ;
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
59
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Les supports contenant les sauvegardes de secours doivent être fortement protégées dans
des armoires anti-feu par exemple et ne doivent pas être dans le même endroit qui abrite
la version originale ;
Pour la protection des biens et des personnes, il faut mettre un système de
vidéosurveillance et contrôle d‘accès.
La protection de tous les équipements réseaux et les postes de travails des utilisateurs
avec des onduleurs afin d’éviter l’endommagement du matériel informatique ou
électrique, la perte de données non sauvegardées, la destruction de supports logiques
surtout les disques durs ;
L’achat d’un groupe électrogène pour éviter les effets des coupures de courant qui
dépassent 30 minutes.
60
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Sécuriser les accès distants entre les serveurs : authentification par certificat et
utilisation d’un canal sécurisé de communication (SSH, IPsec) ;
Créer une zone d’administration permettant aux responsables de contrôler le réseau
facilement et en toute sécurité.
Les règles de bonnes pratiques de configuration des systèmes (Windows, Linux et MAC
OS) ;
Les règles de bonnes pratiques de configuration d’un Firewall ;
Les règles de bonnes pratiques de configuration des applications.
Définir et mettre en place une passerelle antivirale pour les accès web, cette passerelle
peut être en hardware ou en software ;
Prévoir un serveur qui permet de faire la mise à jour centralisée ;
Accélérer les mécanismes de déploiement de la procédure de lutte antivirale. Prévoir
une procédure de sauvegarde sur un support externe pour le serveur antivirus ;
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
61
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Installer une solution antivirale qui permet de supprimer automatiquement un virus lors
de sa détection contrairement à celle qui existe, elle laisse le choix de l’action au client
(supprimer, mettre en quarantaine, ignorer).
Mettre à jour des versions des Firmware (tel que les IOS) des firewalls et Switch ;
Définir des ACL et les mettre à jour sur ces équipements ;
Mettre en place une solution de duplication pour ces équipements.
Mettre en place une solution de protection logique qui inclut un Pare-feu applicatif ;
Prévenir des intrusions et le renforcement des politiques de sécurité : revoir les ACL
des différents composants et les définir en cas de besoin (comme c’est le cas pour le
Switch de N3).
Pour les ressources critiques (serveurs par exemple) utiliser la stratégie « restreindre
tout » puis donner l’accès seulement qu’à celui qui le mérite ;
Normaliser et standardiser les postes de travail ;
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
62
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Lutter contre l’abus de droits : installation des clients P2P, streaming … ;
Intégrer des solutions de contrôle des applications installées sur les postes utilisateurs.
IV.2.9. Mettre en place une procédure formalisée pour la gestion des utilisateurs
Il est clair que la gestion des utilisateurs au sein du Talentys n’est pas encore formalisée, il est
nécessaire de définir une méthodologie pour la standardiser. Nous recommandons de
synthétiser un document décrivant les droits d’accès et qui soit installé pour les différents
systèmes de la société.
La réussite d’une telle étape permettra de s'assurer que le paramétrage de la sécurité logique tel
qu'il a été défini est conforme aux droits que devraient avoir les utilisateurs.
Contrôler la gestion des mots de passe (ce qui n’est pas encore le cas) ;
Définition d’une politique stricte d’expiration automatique des mots de passe non
renouvelés ;
Contrôler la qualité des mots de passe ;
Définir des mots de passe pour le bios en cas de besoin ;
Les applications sensibles doivent être protégées par un fort mécanisme
d’authentification.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
63
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Dans cette partie, en premier lieu, nous avons proposé des recommandations que nous jugeons
nécessaires à mettre en œuvre pour améliorer la sécurité du réseau du Talentys en se basant sur
la famille des normes 2700X.
En deuxième lieu nous avons proposé des recommandations sur le plan technique afin de
minimiser le risque d’exposition aux attaques et d’exploitation des vulnérabilités du réseau et
de protéger les différents équipements pour assurer la continuité et la disponibilité du réseau.
Enfin nous avons proposé des améliorations de l’architecture réseau.
V.1.1. Vidéosurveillance
La surveillance, qui autre fois accomplie uniquement par les agents de sécurité, a vu arriver la
technologie comme une révolution. La vidéosurveillance, parfois désignéé par le sigle anglais
CCTV, est un système de caméras et de transmission d’images, disposé dans un espace public
ou privé pour le surveiller. Les images ou vidéos obtenues avec ce système peuvent être traitées
automatiquement et/ou visionnées puis archivées ou détruites.
Comme nous l’avons indiqué lors de l’étude de l’existence, il n’y a pas un système de
vidéosurveillance en place pour la protection des biens et des personnes, ni un système de
contrôle d’accès. C’est pour cette raison que nous avons proposé une solution des systèmes de
vidéosurveillance. L’objectif de notre étude est concevoir un audit de sécurité, donc nous
n’avons pas abordé le volet déploiement mais plutôt nous restons au niveau conceptuel. Nous
avons proposé des solutions de sécurité et des recommandations pour améliorer l’état de
sécurité de l’entreprise à la suite des vulnérabilités rencontrées dans l’entreprise.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
64
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
L’objectifs visé ici est la proposition d'une solution technique de vidéosurveillance visant à :
La vidéosurveillance analogique
La vidéosurveillance analogique est à ce jour la technologie la plus répandue. Ce système
de sécurité convient plus particulièrement aux entreprises dont les besoins en équipement
se situent aux alentours d’une vingtaine de caméras de surveillance. Celles-ci n’ont pas,
comme les modèles IP par exemple, de fonctionnalités particulièrement développées.
Toutefois, elles offrent un double avantage :
65
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
logiciels de vidéosurveillance peuvent être disponibles à titre gratuit ou pour seulement une
cinquantaine d’euros.
La vidéosurveillance en mode Wifi repose sur le principe d’une connexion sans fil, comme pour
les box Internet. Le système de caméras installées dans la société est relié à un récepteur. Ce
dernier transmet par ondes radios les images filmées à l’enregistreur ou au moniteur de contrôle.
Mode filaire
Le mode filaire, ou Internet Protocol, fonctionne comme la vidéosurveillance analogique. Son
installation nécessite en effet les mêmes éléments : caméras, écrans de contrôle, câbles, base
d’enregistrement. A la différence près qu’un logiciel spécifique est requis pour faire fonctionner
le système. La particularité de la technique réside dans le mode de transmission des images :
celles-ci transitent par le réseau informatique de la société.
Des caméras spéciales sont installées sur le réseau informatique, des caméras IP ;
Elles filment les images, les envoient au moniteur via le réseau informatique ;
Le logiciel de vidéosurveillance centralise ces données, les stocke, les traite.
Nous avons tendance à parler dans ce cas de « contrôle d’accès physique » pour le différencier
du contrôle d’accès, qui empêche les personnes d’entrer dans des espaces virtuels par exemple
en se connectant à un réseau informatique.
Et, bien que l’une de ses principales utilisations soit de renforcer la sécurité, un système de
contrôle d’accès physique peut offrir de nombreux autres avantages, comme l’amélioration de
vos processus d’entreprise et de la gestion de vos sites ou bâtiment.
66
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Lorsqu’on parle d’un système de contrôle d’accès physique, généralement on fait référence à
un système de sécurité électronique. Ce dernier utilise généralement un identifiant, qui peut se
présenter sous forme de badge d’accès, pour autoriser les gens à pénétrer dans certaines zones.
Et comme il est capable d’enregistrer qui est entré où et quand, il peut par la suite fournir des
données et graphiques précieux pour aider les responsables à suivre l’utilisation des bâtiments
et sites.
Qui a accès à un lieu : Vous pouvez par exemple, autoriser uniquement l’accès
automatique aux employés, tandis que les visiteurs et les sous-traitants devront se rendre
à la réception à leur arrivée ;
Quelles sont les portes auxquelles ils ont accès : Il se peut que vous souhaitiez que seules
certaines personnes puissent entrer dans certaines zones. Par exemple, que seuls les
techniciens soient autorisés à entrer dans les salles techniques ;
À quelle heure il est possible d’accéder à un lieu : Les sous-traitants et le personnel
junior peuvent n’avoir accès à un lieu que pendant leurs heures de travail normales,
alors que le personnel plus gradé peut pénétrer dans les bâtiments à tout moment ;
La principale différence entre l’IPS et l’IDS est l’action prise lorsqu’un incident potentiel a été
détecté.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
67
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Les systèmes de détection des intrusions ne sont pas conçus pour bloquer les attaques.
Ils se contentent de surveiller le réseau et d’envoyer des alertes aux administrateurs si
une menace potentielle est détectée.
Les NIDS (Network Based Intrusion Detection System), qui surveillent l'état de la
sécurité au niveau du réseau.
Les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité
au niveau des hôtes.
Le H-IDS réside sur un hôte particulier et la gamme de ces logiciels couvre donc une grande
partie des systèmes d’exploitation tels que Windows, Solaris, Linux, HP-UX, Aix, etc…
Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes.
Les HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les NIDS
permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un
hôte.
Nous n’avons pas détaillé les différentes familles de système de détection d’intrusion. Nous
avons proposé à talentys de déployer l’IDS sur le fortigate pour que le réseau sois plus
performant.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
68
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
l’entreprise, afin de dissuader les employés et les invités du réseau d’enfreindre les règles
incluses dans ces politiques.
Un système de prévention des intrusions est généralement configuré pour utiliser un certain
nombre d’approches différentes pour protéger le réseau contre les accès non autorisés. On peut
citer :
Approche basée sur les signatures : Cette approche utilise des signatures prédéfinies de
menaces réseau bien connues. Lorsqu’une attaque correspondant à l’une de ces
signatures ou à l’un de ces modèles est lancée, le système prend les mesures nécessaires.
Approche basée sur les anomalies : Permet de surveiller tout comportement anormal ou
inattendu sur le réseau. Si une anomalie est détectée, le système bloque immédiatement
l’accès à l’hôte cible.
Approche basée sur les politiques : Cette approche nécessite que les administrateurs
configurent les politiques de sécurité en fonction des politiques de sécurité
organisationnelles et de l’infrastructure du réseau. Lorsqu’une activité viole une
politique de sécurité, une alerte est déclenchée et envoyée aux administrateurs du
système.
V.3. Sauvegarde
Elle est souvent oubliée par les directions informatiques. Il s’agit de sauvegarder les données et
le travail réalisé sur des machines. Les techniques de sauvegarde sont nombreuses, modulables
et peuvent être imbriquées à souhait. Nous présentons les principales solutions, leurs avantages
et inconvénients ainsi nous allons proposer une solution de sauvegarde intelligente.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
69
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Incrémentiel Rapide s'il y a moins de données. Espace Lent en restauration, car toutes les
faible de stockage. Peut contenir plusieurs incrémentations doivent être restaurés.
versions. Besoin d'un full Backup en avant pour
commencer les backups incrémentiels
Prend un grand temps pour restaurer un
fichier spécifique. Si l'un des Backup
échoue, la restauration sera incomplète.
Différentiel Un espace de stockage faible par rapport Lent Backup par rapport au backup
aux backups incrémentiels. Seulement un incrémentiel. Besoin d'un full Backup en
full Back et le dernier Backup différentiel avant pour commencer les backups
sont utilisés pour la restauration. Permet différentiels. Un full backup et tous les
de restaurer plusieurs versions des backups différentiels sont en besoin pour
fichiers. la restauration.
Si l'un des Backup échoue, la
restauration sera incomplète. Prend un
grand temps pour restaurer un fichier
spécifique.
Avantages Inconvénients
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
70
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Les supports amovibles peuvent être Les supports sont fragiles, ils peuvent subir des
externalisés (il s’agit de mettre les chocs. Avec le temps, les supports amovibles
sauvegardes à l’abri en dehors de peuvent se détériorer. Les supports amovibles
l’entreprise). sont sensibles à l’environnement (électricité,
Si le lieu de production est très endommagé, température, humidité…). Une solution DAS est
les sauvegardes ne seront pas détruites. destinée à effectuer des sauvegardes journalières
Cependant, le coût de lieu de stockage est à ou hebdomadaires afin d’externaliser les données.
prendre en compte. La permutation des Cette solution peut être associée à d’autres
supports de stockage n’est pas entièrement systèmes de sauvegarde afin d’effectuer des
automatisée. Il est soumis aux erreurs sauvegardes en parallèle. Les disques durs
humaines (oubli, perte, etc.) externes peuvent effectuer les mêmes opérations
qu’un lecteur de bandes mais ils sont plus
sensibles au choc.
Il existe deux solutions réseaux majeurs qui sont le NAS (Network Attached Storage) et le
Le tableau suivant représente la différence entre les deux solutions SAN et NAS.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
71
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Toutes les données du système d’information Le NAS facilite le partage des données entre
sont stockées dans des baies de disques des systèmes d’exploitation. Le système de
parfaitement identifiés. fichier est géré par le contrôleur NAS.
Le stockage en réseau permet de temps de Les sauvegardes sont faites sur les dossiers,
reprise très bas. Il suffit de migrer la liaison donc sur les données existantes.
du réseau de stockage défectueux vers le
réseau de stockage de backup ce qui se
résume finalement à un changement
d’adresse IP.
Toutefois, les NAS sont basés sur Ethernet, tandis que les SAN peuvent aussi bien utiliser
Ethernet que Fibre Channel. Alors que les SAN sont plus performants et présentent une latence
réduite, les NAS se démarquent par leur simplicité d'utilisation et de gestion, leur évolutivité et
un meilleur coût total de possession.
Il existe plusieurs logiciels de sauvegarde tels que : Veeam, Acronis et Veritas. Plusieurs sites
comparent les solutions logicielles. Selon le site connu TrustRaduis, Veeam Backup est le
meilleur de ces produits en 2018.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
72
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
plutôt qu’en local. Les informations de configurations sont également importantes à
sauvegarder. Les configurations des commutateurs, routeurs et autres équipements peuvent être
longues à recréer. Une sauvegarde mensuelle ne prend que peu de temps et peut en faire gagner
beaucoup. Pour définir une politique de sauvegarde, il existe des règles à respecter telles que :
posséder une sauvegarde à l’extérieur pour se protéger du risque incendie, tester les sauvegardes
régulièrement sur des machines qui ne sont pas en production. La sauvegarde de l’information
reste un compromis entre le coût d’investissement dans le matériel de sauvegarde et
l’importance des données. La restauration est aussi un choix délicat qui peut déterminer la
survie d’une entreprise à la suite d’une crise.
Nous avons proposé à Talentys de déployer une sauvegarde intelligente avec le logiciel Veeam
Backup pour répondre aux besoins de sécurité.
Le contrôle d'accès est un élément fondamental de la sécurité des données qui dicte qui est
autorisé à accéder et à utiliser les informations et les ressources de l'entreprise. Grâce à
l'authentification et à l'autorisation, les politiques de contrôle d'accès garantissent que les
utilisateurs sont bien ceux qu'ils prétendent être et qu'ils disposent d'un accès approprié aux
données de l'entreprise.
Une fois qu'un utilisateur est authentifié, le contrôle d'accès autorise alors le niveau d'accès
approprié et les actions autorisées associées aux informations d'identification et à l'adresse IP
de cet utilisateur.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
73
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Nous avons proposé une nouvelle architecture, à la suite des solutions et des recommandations
proposées plus haut qui permettra d’améliorer le niveau de sécurité de Talentys.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
74
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Le cout d’urbanisation du futur système du Talentys s’élève à 3 100 000 F CFA. L’évaluation
financière de la réalisation du futur système est définie dans le tableau suivant :
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
75
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
CONCLUSION GENERALE
En somme, assurer la sécurité de l’information est devenu primordial aujourd’hui afin de
permettre aux entreprises de persister dans un marché de plus en plus concurrentiel. On rappelle
que cette sécurité implique une veille efficace sur les aspects de l’intégrité, la disponibilité et la
confidentialité de l’information. De plus, avec la quantité importante de données circulantes,
les organismes sont de plus en plus vulnérables à des pertes significatives ou à des problèmes
d’efficacité.
L’audit informatique a été conçu pour sensibiliser les organismes de l’importance de la sécurité
de l’information en se basant sur la famille des normes ISO/CEI 270XX. C’est dans ce contexte
que s’inscrit notre projet « Réalisation d’audit sécurité d’un réseau local ».
Dans un premier temps nous avons aborder la notion de l’audit des systèmes d’informations et
les missions, normes et méthodologies d’audit. Ensuite, nous avons fait un état de lieu de
l’existant du réseau informatique de Talentys. À la suite de l’analyse de l’existant, nous avons
déceler quelques failles et vulnérabilités qui handicapent le bon fonctionnement du réseau.
Pour l’investigation technique de l’existant, nous avons pu travailler avec des outils des
vulnérabilités libres qui sont destinés au recensement des failles et des vulnérabilités dans un
système.
Ce projet nous a été très bénéfique du fait qu’il nous a permis d’acquérir des nouvelles
connaissances en dehors de ce qu’on a vu lors de notre formation sur l’audit des systèmes
d’informations et la sécurité. En plus l’utilisation des outils de test des vulnérabilités nous a
permis aussi de mieux comprendre la réalisation d’audit de sécurité informatique dans une
organisation.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
76
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
REFERENCES BIBLIOGRAPHIQUE
Bibliographie
https://gplexpert.com/securite-informatique/mise-oeuvre-politique-securite-informatique-pssi/
consulté le 29/09/2022 à 22h00
https://www.techniques-ingenieur.fr/base-documentaire/technologies-de-l-information-
th9/securite-des-si-organisation-dans-l-entreprise-et-legislation-42458210/ consulté le
30/09/2022 14h15
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
vii
i
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
https://www.ivision.fr/securite-informatique/audit-de-securite-informatique/ consulté le
30/09/2022 à 23h10
https://support.nouvelleindustrie.com/fr/article/audits-premi%C3%A8re-seconde-tierce-
partie-quelle-diff%C3%A9rence consulté le 02/10/2022 à 21h10
https://www.ivision.fr/audit-de-systeme-dinformation-4-bonnes-pratiques-de-pilotage/
consulté le 02/10/2022 à 23h30
https://www.value-info.fr/pourquoi-realiser-un-audit-de-securite-regulierement/ consulté le
02/10/2022 à 1h30
https://www.memoireonline.com/12/09/3035/Audit-et-definition-de-la-politique-de-securite-
du-reseau-informatique-de-la-fi.html consulté le 15/08/2022 à 15h00
https://www.memoireonline.com/02/17/9637/m_Mise-en-place-d-un-systeme-d-audit-et-d-
inventaire-dans-une-infrastructure-reseau-d-entreprise1.html consulté le 17/08/2022 à 10h30
https://fre.myservername.com/15-best-network-scanning-tools-network consulté le
27/08/2022 à 11h15
https://www.malekal.com/comment-utiliser-nmap-windows-zenmap/ consulté le
10/10/2022 à 13h45
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
ix
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
TABLE DE MATIERES
DEDICACE ................................................................................................................................. i
REMERCIEMENTS .................................................................................................................. ii
SOMMAIRE ............................................................................................................................. iii
LISTES DES TABLEAUX ET FIGURES ............................................................................... iv
SIGLES ET ABREVIATIONS .................................................................................................. v
RESUME .................................................................................................................................. vii
ABSTRACT ............................................................................................................................ viii
INTRODUCTION ...................................................................................................................... 1
PROBLEMATIQUE .................................................................................................................. 2
OBJECTIF PRINCIPAL ............................................................................................................ 3
OBJECTIFS SPECIFIQUES...................................................................................................... 3
HYPOTHESE............................................................................................................................. 3
METHODOLOGIE .................................................................................................................... 4
PERTINENCE ET RETOMBEES ANTICIPEES ..................................................................... 4
CHAPITRE I : PRESENTATION DES STRUCTURES DE FORMATION ET D’ACCUEIL
.................................................................................................................................................... 5
I. Présentation de l’Université Aube Nouvelle ................................................................... 5
I.1. Historique ..................................................................................................................... 5
I.2. Objectifs........................................................................................................................ 5
I.3. Formations .................................................................................................................... 7
II. Présentation de Talentys Burkina .................................................................................... 8
II.1. Objectif ........................................................................................................................ 9
II.2. Métiers ......................................................................................................................... 9
II.3. Organigramme ........................................................................................................... 10
Figure 1 : Organigramme de Talentys ....................................................................... 10
Chapitre II : Etat de l’Art ......................................................................................................... 11
I. Sécurité des systèmes d’informations ........................................................................... 11
I.1. Définition de quelques concepts de sécurité informatique ......................................... 12
I.2. Aspects techniques de la sécurité ............................................................................... 13
I.2.1. Définir risque et objets à protéger ........................................................................ 14
I.2.2. Objectif de la sécurité de systèmes d’informations ............................................. 14
I.2.3. Nécessité d’une approche globale ........................................................................ 15
I.3. Aspects organisationnels de la sécurité ..................................................................... 15
I.4. Malveillances informatiques ....................................................................................... 15
I.4.1. Types de logiciels malveillants ............................................................................ 16
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
x
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
I.4.2. Lutte contre les malveillances informatiques ...................................................... 17
I.4.2.1 Pare-feu (firewall) .......................................................................................... 17
I.4.2.2 Antivirus ......................................................................................................... 18
I.4.2.3 VPN (Virtual Private Network)...................................................................... 18
I.4.2.4. IDS (Intrusion Detection System) ................................................................. 18
I.4.2.5. IPS (Intrusion Prevention System) ................................................................ 18
I.4.2.6 DMZ (Demilitarized Zone) ............................................................................ 19
I.4.2.7. UTM (Unified Threat Management) ............................................................. 19
II. Introduction à l’audit des systèmes d’informations ...................................................... 19
Figure 2 : Stratégies du SI ......................................................................................... 20
II.1. Définitions ................................................................................................................. 20
II.1.1. Notion de l’audit de système d’information ....................................................... 20
II.1.2. Notion de référentiel d’audit ............................................................................... 20
II.1.3. Notion de la sécurité informatique ..................................................................... 21
II.2. Contexte d’études ...................................................................................................... 21
Figure 3 : Processus de l’audit informatique ............................................................. 22
II.3. Modèles de l’audit des systèmes d’informations ...................................................... 22
II.3.1. Le modèle de l’audit de besoin ........................................................................... 22
II.3.2. Le modèle de l’audit de découverte des connaissances ...................................... 23
II.4. Typologie de l'audit des systèmes d’informations .................................................... 24
II.4.1. Audit de la fonction informatique ...................................................................... 24
II.4.2. Audit des études informatiques .......................................................................... 24
II.4.3. Audit de l'exploitation ........................................................................................ 24
II.4.4. Audit des projets informatiques .......................................................................... 25
II.4.5. Audit des applications opérationnelles ............................................................... 25
II.4.6. Audit de la sécurité informatique ....................................................................... 25
CHAPITRE III : MISSION D’AUDIT, NORMES ET METHODOLOGIES ........................ 27
I. Audit de sécurité des systèmes d’informations ............................................................. 27
I.1. Objectifs de l’audit de SI ............................................................................................ 27
I.2. Classification d’audit .................................................................................................. 28
I.1. Le cycle de vie d’un audit de sécurité de système d’information ........................... 28
Figure 4 : Le cycle de vie d’audit de sécurité ............................................................ 28
II. Démarche de réalisation d’un audit de sécurité de SI ................................................... 29
Figure 5 : Processus d’audit....................................................................................... 29
II.1. Définition de la charte d’audit ................................................................................... 30
II.2. Préparation de l’audit ................................................................................................ 30
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
xi
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
II.3. Les domaines de l’audit ............................................................................................. 30
II.3.1. Audit organisationnel et physique ...................................................................... 30
II.3.2. Audit technique de sécurité ................................................................................ 31
II.3.2.1. Audit des vulnérabilités infrastructure et système ....................................... 32
II.3.2.2. Audit d’architecture réseau .......................................................................... 32
II.3.2.3. Audit de configuration ................................................................................. 33
II.3.2.4. Audit de code source .................................................................................... 33
II.3.2.5. Audit applicatif ............................................................................................ 33
II.4. Test d’intrusion ......................................................................................................... 33
II.5. Rapport et recommandation d’audit .......................................................................... 34
III. Normes et Méthodologies d’audit ............................................................................. 35
III.1. Normes de la famille ISO/CEI 2700X ..................................................................... 35
Figure 6 : famille ISO/CEI 2700X ............................................................................ 36
Figure 7 : Traitement de risque.................................................................................. 38
III.2. Méthodologies d’audit ............................................................................................. 38
III.2.1. Etude comparative des méthodologies d’audit .................................................. 38
CHAPITRE IV : ANALYSE ET CONCEPTION ................................................................... 41
I. Analyse de l’existant ..................................................................................................... 41
Figure 8 : Architecture du Talentys ........................................................................... 42
I.1. Inventaire des équipements ........................................................................................ 42
I.1.1. Serveurs ................................................................................................................ 42
Tableau 1 : Serveurs de Talentys ............................................................................... 42
I.1.2. Equipements réseaux ........................................................................................... 42
Tableau 2 : Equipement réseau de Talentys .............................................................. 43
I.1.3. Machines .............................................................................................................. 43
Tableau 3 : Machines de Talentys ............................................................................. 43
II. Audit Organisationnel ................................................................................................... 43
II.1. Mesure de sécurité existant ....................................................................................... 43
II.1.1. Sécurité réseaux .................................................................................................. 43
II.1.2. Sécurité physique ................................................................................................ 44
II.1.3. Sécurité logique .................................................................................................. 44
II.1.4. Sécurité des machines ......................................................................................... 44
III. Audit Technique ........................................................................................................ 45
III.1. Audit de l’architecture du système........................................................................... 45
III.1.1. Découverte et scan du réseau ............................................................................ 45
Figure 9 : Cartographie du réseau de Talentys .......................................................... 46
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
xii
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
Figure 10 : Configuration réseau au niveau du poste ................................................ 47
III.1.2. Sondage des services réseaux ............................................................................ 47
III.1.2.1. Les ports ouverts ......................................................................................... 47
Figure 11 : Découverte du réseau de Talentys .......................................................... 48
Figure 12 : Découverte des ports ............................................................................... 49
Figure 13 : Détermination du système d’exploitation ............................................... 49
III.1.2.2. Les services réseaux ................................................................................... 50
Figure 14 : Capture des services avec NetCrunch ..................................................... 50
III.1.2.3. Sondage des flux réseaux ........................................................................... 50
Figure 15 : Flux réseau .............................................................................................. 51
Figure 16 : Graphique du flux réseau ........................................................................ 51
Figure 17 : Information sur le Wi-Fi ......................................................................... 52
III.1.2.4. Sondage du système.................................................................................... 52
Figure 18 : Exploration du LAN de Talentys ........................................................... 52
Figure 19 : Statistique de scan ................................................................................... 53
III.1.3. Scan de Vulnérabilités Web .................................................................................. 53
Figure 20 : Alerte avec l’Outil OWASP ZAP ........................................................... 54
III.2. Analyses des vulnérabilités ...................................................................................... 54
III.2.1. Audit de Firewall et des règles de filtrages ....................................................... 54
III.2.2. Audit de mise à jour antivirus ........................................................................... 55
III.2.3. Audit de la politique d’usage de mots de passe ................................................ 56
IV. Recommandation ....................................................................................................... 57
IV.1. Recommandations d’ordre organisationnel et physique .......................................... 57
IV.1.1. Définir et documenter une politique de sécurité ............................................... 57
IV.1.2. Classifier les ressources .................................................................................... 57
IV.1.3. Définir une charte de confidentialité ................................................................. 58
IV.1.4. Spécifier et documenter les exigences réglementaires et légales ...................... 58
IV.1.5. Désigner et réorganiser les responsabilités ....................................................... 58
IV.1.6. Faire de l’audit une pratique de base................................................................. 59
IV.1.7. Sensibiliser et former périodiquement le personnel .......................................... 59
IV.1.8. Protéger les ressources, les actifs et les biens et personnes .............................. 59
IV.1.9. Contrôler l’abandon et la destruction des supports ........................................... 60
IV.1.10. Garantir la disponibilité de l’énergie .............................................................. 60
IV.2. Recommandations d’ordre technique ...................................................................... 60
IV.2.1. Renforcer l'architecture du réseau LAN............................................................ 60
IV.2.2. Limiter les services réseaux disponibles ........................................................... 61
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
xii
i
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
LOCAL : CAS DE TALENTYS
IV.2.3. Définir des procédures de configuration des équipements réseaux .................. 61
IV.2.4. Renforcer la solution antivirale ......................................................................... 61
IV.2.5. Sécuriser les équipements réseaux critiques ..................................................... 62
IV.2.6. Consolider la protection contre les attaques internes ........................................ 62
IV.2.7. Recommandations système ............................................................................... 62
IV.2.8. Améliorer la méthodologie d’administration .................................................... 62
IV.2.9. Mettre en place une procédure formalisée pour la gestion des utilisateurs....... 63
IV.2.10. Renforcer les mesures d’authentification ........................................................ 63
IV.2.11. Mettre en place une plateforme de gestion des incidents ................................ 63
V. Proposition des solutions ............................................................................................... 64
V.1. Vidéosurveillance et contrôle d’accès ....................................................................... 64
V.1.1. Vidéosurveillance ............................................................................................... 64
V.1.2. Contrôle d’accès ................................................................................................. 66
V.2. Détection et prévention d’intrusion........................................................................... 67
V.2.1. Détection d’intrusion .......................................................................................... 68
V.2.2. Prévention d’intrusion ........................................................................................ 68
V.3. Sauvegarde ................................................................................................................ 69
V.3.1. Les modes de Backup ......................................................................................... 69
Tableau 4 : Les modes de Backup ............................................................................. 69
V.3.2. Les solutions de Sauvegarde .............................................................................. 70
V.3.2.1. Stockage directement attaché DAS (Directly Attached Storage) ................ 70
Tableau 5 : Avantages et désavantages de DAS ........................................................ 70
V.3.2.2. Solution réseau............................................................................................. 71
Tableau 6 : Comparaison entre SAN et NAS ............................................................ 71
V.3.2.3. Les solutions logicielles ............................................................................... 72
V.3.3. Sauvegarde intelligente ...................................................................................... 72
V.4. Contrôle d’accès ........................................................................................................ 73
Figure 21 : Nouvelle architecture proposée ............................................................... 74
VI. Estimation financière de la réalisation du projet ....................................................... 75
Tableau 7 : Estimation financière du projet ............................................................... 75
Tableau 8 : Urbanisation du futur système de Talentys ............................................ 75
CONCLUSION GENERALE .................................................................................................. 76
REFERENCES BIBLIOGRAPHIQUE .................................................................................. viii
TABLE DE MATIERES ............................................................................................................ x
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
xi
v