ADOUM Mahamat Youssouf

Thème : Réalisation d’audit
sécurité d’un réseau local : cas de

THEME : REALISATION D’AUDIT SECURITE D’UN RESEAU
TALENTYS
LOCAL : CAS DE TALENTYS
DEDICACE
Nous dédions ce modeste travail à

notre cher Père MAHAMAT
Youssouf.
Mémoire de fin d’étude rédigé par ADOUM Mahamat Youssouf U-AUBEN 2021-2022
i
TALENTYS
REMERCIEMENTS
Le présent travail n’aurait pas vu le jour sans la contribution de certaines personnes que nous
tenons à remercier. Ce sont particulièrement :
 Notre Directeur de mémoire Dr. Jean K Hermann YANOGO, malgré ses multiples
occupations, a accepté avec une approche très remarquable de nous accompagner lors
de la réalisation de ce document. Nous le remercions aussi pour sa disponibilité et nous
en profitons pour lui exprimer ici notre plus profonde gratitude ;
 Notre maître de stage Monsieur Jean-Louis Bertrand PARE, pour sa confiance, sa
disponibilité et surtout l’autonomie qu’il nous a offert pendant ce stage. Nous le
remercions aussi pour ses conseils et la qualité de son encadrement en entreprise ;
 Monsieur Cheick Oumar OUEDRAOGO, Directeur Général de Talentys qui nous a
offert l’opportunité de faire ce stage au sein de son entreprise et à tous les personnels de
Talentys ;
 Le Corps professoral et l’administration de l’Université Aube Nouvelle en général et au
département de High Tech en particulier ;
 Nos frères et amis DJIBRINE Agadji et HAMID Hassane Lony (pour leurs conseils et
encouragements) ;
 Monsieur Sekou Zoumana BARRO pour la relecture ;
 Notre cher père MAHAMAT Youssouf et notre chère mère ACHTA Mahamat Wachil
pour leurs soutiens inconditionnels, à la fois moral et économique. Nous voudrions
exprimer nos reconnaissances envers notre cher oncle YOUSSOUF Moussa pour ses
conseils et ses encouragements paix à son âme qu’Allah lui fasse miséricorde et qu’il
l’accueille dans son vaste paradis j’en suis reconnaissant et notre grand frère ADOUM
Youssouf.
 Tous nos frères et sœurs, qu’ils trouvent ici l’expression de notre amour fraternel ;
 Nos grands frères Mahamat Choukou, DJIBRINE Mahamat Youssouf et notre petit
frère OUMAR Mahamat Youssouf et à tous les membres de la famille ;
 Tous ceux ou celles qui ont contribué de loin ou de près à la réalisation de ce travail.
ii
TALENTYS
SOMMAIRE
DEDICACE ................................................................................................................................. i
REMERCIEMENTS .................................................................................................................. ii
SOMMAIRE ............................................................................................................................. iii
LISTES DES TABLEAUX ET FIGURES ............................................................................... iv
SIGLES ET ABREVIATIONS .................................................................................................. v
RESUME .................................................................................................................................. vii
ABSTRACT ............................................................................................................................ viii
INTRODUCTION ...................................................................................................................... 1
PROBLEMATIQUE .................................................................................................................. 2
OBJECTIF PRINCIPAL ............................................................................................................ 3
OBJECTIFS SPECIFIQUES...................................................................................................... 3
HYPOTHESE............................................................................................................................. 3
METHODOLOGIE .................................................................................................................... 4
PERTINENCE ET RETOMBEES ANTICIPEES ..................................................................... 4
CHAPITRE I : PRESENTATION DES STRUCTURES DE FORMATION ET D’ACCUEIL
.................................................................................................................................................... 5
I. Présentation de l’Université Aube Nouvelle ................................................................... 5
II. Présentation de Talentys Burkina .................................................................................... 8
Chapitre II : Etat de l’Art ......................................................................................................... 11
I. Sécurité des systèmes d’informations ........................................................................... 11
II. Introduction à l’audit des systèmes d’informations ...................................................... 19
CHAPITRE III : MISSION D’AUDIT, NORMES ET METHODOLOGIES ........................ 27
I. Audit de sécurité des systèmes d’informations ............................................................. 27
II. Démarche de réalisation d’un audit de sécurité de SI ................................................... 29
III. Normes et Méthodologies d’audit ............................................................................. 35
CHAPITRE IV : ANALYSE ET CONCEPTION ................................................................... 41
I. Analyse de l’existant ..................................................................................................... 41
II. Audit Organisationnel ................................................................................................... 43
III. Audit Technique ........................................................................................................ 45
IV. Recommandation ....................................................................................................... 57
V. Proposition des solutions ............................................................................................... 64
VI. Estimation financière de la réalisation du projet ....................................................... 75
CONCLUSION GENERALE .................................................................................................. 76
REFERENCES BIBLIOGRAPHIQUE .................................................................................. viii
TABLE DE MATIERES ............................................................................................................ x
iii
TALENTYS
LISTES DES TABLEAUX ET FIGURES

Liste des Tableaux
Tableau 1 : Serveurs de Talentys ............................................................................... 42

Tableau 2 : Equipement réseau de Talentys .............................................................. 43
Tableau 3 : Machines de Talentys ............................................................................. 43
Tableau 4 : Les modes de Backup ............................................................................. 69
Tableau 5 : Avantages et désavantages de DAS ........................................................ 70
Tableau 6 : Comparaison entre SAN et NAS ............................................................ 71
Tableau 7 : Estimation financière du projet ............................................................... 75
Tableau 8 : Urbanisation du futur système de Talentys ............................................ 75
Liste des Figures
Figure 1 : Organigramme de Talentys ....................................................................... 10

Figure 2 : Stratégies du SI ......................................................................................... 20
Figure 3 : Processus de l’audit informatique ............................................................. 22
Figure 4 : Le cycle de vie d’audit de sécurité ............................................................ 28
Figure 5 : Processus d’audit....................................................................................... 29
Figure 6 : famille ISO/CEI 2700X ............................................................................ 36
Figure 7 : Traitement de risque.................................................................................. 38
Figure 8 : Architecture du Talentys ........................................................................... 42
Figure 9 : Cartographie du réseau de Talentys .......................................................... 46
Figure 10 : Configuration réseau au niveau du poste ................................................ 47
Figure 11 : Découverte du réseau de Talentys .......................................................... 48
Figure 12 : Découverte des ports ............................................................................... 49
Figure 13 : Détermination du système d’exploitation ............................................... 49
Figure 14 : Capture des services avec NetCrunch ..................................................... 50
Figure 15 : Flux réseau .............................................................................................. 51
Figure 16 : Graphique du flux réseau ........................................................................ 51
Figure 17 : Information sur le Wi-Fi ......................................................................... 52
Figure 18 : Exploration du LAN de Talentys ........................................................... 52
Figure 19 : Statistique de scan ................................................................................... 53
Figure 20 : Alerte avec l’Outil OWASP ZAP ........................................................... 54
Figure 21 : Nouvelle architecture proposée ............................................................... 74
iv
TALENTYS
SIGLES ET ABREVIATIONS
ACL Access Control List
AD Active Directory
ADSL Asymmetric Digital Subscriber Line
ANSI American National Standards Institute
BSD Berkeley Software Distribution
CAMES Conseil Africain et Malgache pour l’Enseignement Superieur
CCTV Closed-Circuit Television
CEI Commission Electronique Internationale
CERT/CC Computer Emergency Response Team/Coordination Center
CLUSIF Club de la Sécurité des Systèmes d'Information Français
CMM Capability Maturity Model
CMMI Capability Maturity Model Integrated
COBIT Control Objectives for Information and Related Technology
CRAMM Central Computer and Telecommunications Agency Risk
Analysis and Management Method
DAS Direct-attached storage
DCSSI Direction Centrale de la Sécurité des Systèmes d'Information
DMZ Demilitarized Zone
DNS Domaine Name System
EBIOS Expression des Besoins et Identification des Objectifs de Sécurité
HIDS Host Intrusion Detection Systems
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IP Internet Protocol
IPS Intrusion Prevention System
IPSec Internet Protocol Security
ISACA L’Information System Audit & Control Association
ISO International Organization for Standardization
IT Information Technology
ITIL Information Technology Infrastructure Library
L2TP Layer to Tunneling Protocol
LAN Local Area Network
v
TALENTYS
MAC Media Access Control
MEHARI Méthode Harmonisée d'Analyse de Risques
MPLS Multi-Protocol Label Switching
NAS Network Area Storage
NetBIOS Network Basic Input Output System
NIDS Network Intrusion Detection Systems
NMAP Network Mapper
OS Operating System
P2P Peer to peer
PABX Private Automatic Branch eXchange
PDCA Plan Do Check Act
PPTP Point-to-Point Tunneling Protocol
PSSI Politique de Sécurité du Système d’Information
RAM Ramdom Access Memory
RPO Recovery Point Objective
RTO Recovery Time Objective
SAN storage area network
SEI Software Engineering Institute
SI Système d’Information
SNMP Simple Network Monitoring Protocol
SQL Structured Query Language
SSI Sécurité des Systèmes d’Information
SSL Secure Sockets Layer
TCP Transmission Control Protocol
TLS Transport Layer Security
U-AUBEN Université Aube Nouvelle
UDP User Datagram Protocol
UTM Unified Threat Management
VPN Virtual Private Network
WIFI Wireless Fidelity
WMI Windows Management Instrumentation
ZBF Zone Based Firewall
vi
TALENTYS
RESUME
Ce projet s’inscrit dans le cadre de stage de fin d’études en vue de l’obtention du diplôme de
master en Sécurité Informatique effectué à la société Talentys. L’objectif de ce projet est de
réaliser un audit de sécurité d’un réseau local. Cet audit consiste à valider les moyens de
protection mis en œuvre sur les plans organisationnels, procéduraux et techniques pour
améliorer son système d’informations. L’audit de sécurité conduit au-delà du constat, à analyser
les risques opérationnels pour le domaine étudié, et par la suite proposer des recommandations
et des solutions et un plan d’action quantifiés et hiérarchisés pour corriger les vulnérabilités et
réduire l’exposition aux risques.
vii
TALENTYS
ABSTRACT
This project is part of an end-of-study internship to obtain a master's degree in IT Security
carried out at Talentys. The objective of this project is to carry out a security audit of a local
network, this audit consists in validating the means of protection implemented on the
organizational, procedural and technical levels to improve its information system. The security
audit leads beyond the observation, to analyze the operational risks for the studied domain, and
then to propose recommendations and solutions and a quantified and prioritized action plan to
correct vulnerabilities and reduce exposure. to risks.
viii
Thème : Réalisation d’audit sécurité d’un
réseau local : cas de TALENTYS
INTRODUCTION
L’interconnexion croissante des réseaux et les besoins de dématérialisation des processus ou
des documents exposent les systèmes d’informations à des risques de vol, de modification ou
de destruction de données. Ainsi, les points d’interconnexion avec l’extérieur, en particulier les
accès internet associés à la messagerie ou à des téléservices, sont autant d’accès qu’un attaquant
peut tenter d’utiliser pour s’introduire et se maintenir au sein même du système d’information,
pour dérober, dénaturer ou encore détruire son patrimoine informationnel.
Pour s’en protéger, les organismes doivent, à l’issue d’une démarche de gestion des risques,
sécuriser leurs systèmes d’informations de façon adaptée et proportionnée. Les mesures de
sécurité mises en place dans ce but peuvent être de différentes natures : organisationnelles,
physiques et techniques. Sur ce dernier volet, la mise en œuvre des produits de sécurité est
certes fondamentale, mais elle ne suffit pas : l’absence d’application des mises à jour et des
correctifs de sécurité, le maintien de mots de passe faibles ou constructeur, la mauvaise
configuration de logiciels ou le non-respect de règles élémentaires de sécurité lors du
développement d’un logiciel ou d’une application sont autant de vulnérabilités exploitables par
un attaquant.
L’audit est l’un des moyens mis à la disposition de tout organisme pour éprouver et s’assurer
du niveau de sécurité de son système d’information. Il permet, en pratique, de mettre en
évidence les forces mais surtout les faiblesses et vulnérabilités du système d’information. Ses
conclusions permettent d’identifier des axes d’amélioration, de proposer des recommandations
et de contribuer ainsi à l’élévation de son niveau de sécurité, en vue, notamment, de son
homologation de sécurité. Il devient donc impératif que les administrations et les organismes
publics mettent à jour leur système d’information en procédant à la réalisation d’audits de
sécurité de SI. C’est dans cette optique que la société Talentys nous a soumis un projet portant
sur « REALISATION D’AUDIT DE SECURITE D’UN RESEAU LOCAL : CAS DE TALENTYS ».
Notre travail sera structuré en quatre principaux chapitres : D’abord, dans un premier chapitre,
nous allons présenter les structures d’accueil et de la formation, Ensuite le deuxième chapitre,
portera sur l’état de l’art : les notions de la sécurité et l’audit des systèmes d’information et le
troisième chapitre sera consacré à la mission d’audit, normes et méthodologie d’audit. Et enfin
le quatrième chapitre sera consacré à l’analyse et conception du projet.
1
PROBLEMATIQUE
Aujourd’hui, les entreprises ont besoins d’assurer la fluidité de circulation de leurs informations
et de garantir la sécurité des données afin d’éviter les pertes et l’instabilité des processus métiers
de l’entreprise.
Durant nos premières semaines de stage, nous avons constaté des insuffisances relatives au
fonctionnement, à l’organisation et à la sécurité au niveau du système informatique de Talentys.
Parmi ces insuffisances, nous avons :
 Le pare-feu assure à la fois la protection du réseau et le routage, ce qui ne garantit pas

la continuité de service en cas de panne de pare-feu ;
 Absence de stratégie de sécurité, ce qui implique l’absence de la mise en œuvre des
mécanismes de sécurité ;
 Seul le serveur et les composants à importance élevée sont protégés par un onduleur ;
 Il n’y pas une bonne politique des mots de passe pour les utilisateurs ;
 Absence d’un système de vidéosurveillance et de contrôle d’accès pour la protection du
site.
Talentys soucieuse de ces différentes insuffisances et du maintien de la qualité du service
fournie à ses clients, note que la réalisation d’un audit de sécurité de son réseau, permettrait de
répondre aux difficultés rencontrées. C’est dans ce contexte que ce projet portant sur
« Réalisation d’audits de sécurité d’un réseau local : cas de Talentys » nous été soumis.
2
OBJECTIF PRINCIPAL
L’objectif principal de notre étude est d’évaluer avec précision la capacité du système
d’information de Talentys à résister face aux attaques informatiques, à identifier les failles et
appliquer les actions correctives nécessaires en effectuant un audit de sécurité.
OBJECTIFS SPECIFIQUES
Pour améliorer le niveau de sécurité du système informatique de Talentys, nous nous sommes
fixé les objectifs spécifiques suivants :
 S’assurer de l’intégrité des données et du capital informationnel de l’entreprise.

 Découvrir et comprendre les éventuelles vulnérabilités du système d’information
 Mettre en place des politiques de protection et de sécurité adaptée au fonctionnement
de l’entreprise et à son système d’information.
Enfin, l’audit ne concerne pas seulement les équipements informatiques ; il touche aussi et
surtout chaque utilisateur. C’est la raison pour laquelle une formation sur les règles d’usages
sécuritaires doit être dispensées afin de mieux contrôler les pratiques de chaque collaborateur.
HYPOTHESE
Toute démarche d'un travail scientifique suppose une interprétation anticipée des faits à étudier
et à concevoir qui seront par la suite confrontés à la pratique qui les confirmera ou les infirmera.
Dans nos recherches exploratoires, nous avons supposé que :
 Réaliser un audit de sécurité, permet d’obtenir une vision complète et réaliste de la

capacité de l’infrastructure analysée à résister aux attaques de tous types et de toutes
origines, pour obtenir un système plus performant, mieux sécurisé et enfin, plus
économique.
 Auditer régulièrement le système informatique permet de vérifier la productivité des
équipements du parc informatique, des systèmes d’exploitations et des logiciels, afin
d’apprécier l’adéquation de chaque poste avec les besoins actuels de l’utilisateur.
 Adopter régulièrement des actions correctrices, l’entreprise évite de perdre en rapidité
et efficacité et élimine les risques d’attaques imprévues, pouvant engendrer des
conséquences désastreuses (ralentissement de l’activité, pertes financières…).
3
METHODOLOGIE
Tout travail bien défini d’un système d’information nécessite une méthode de travail claire.
Cette méthode s’articulera autour des points suivants :
 Contexte du projet et présentation des structures de formation et d’accueil ;

 Une vue d’ensemble sur les systèmes d’informations et audits de systèmes
d’informations ;
 Missions, normes et méthodologies d’audits des systèmes d’informations ;
 Analyse et conception du projet ;
 L’analyse de l’existant qui consiste à critiquer le système actuel pour ressortir ses limites
 Recommandation et proposition des solutions.
PERTINENCE ET RETOMBEES ANTICIPEES

En effet, la réalisation d’audits de sécurité peut avoir plusieurs retombées du point de vue de
plusieurs groupes d’utilisateurs.
Du point de vue du gain, l’organisme gagnera un temps considérable avec un audit

informatique, car l’audit permettra d’anticiper face aux éventuels problèmes en rapport avec
certaines erreurs techniques et de réagir ainsi de manière proactive. L’entreprise aura un état
des lieux récents et complets. Cela va permettre à l’organisme de se comparer avec ses
concurrents. C’est également un avantage pour effectuer des mises à jour d’applications qui
sont nécessaires, qui corrigent en général les failles de sécurité.
4
CHAPITRE I : PRESENTATION DES STRUCTURES DE

FORMATION ET D’ACCUEIL
I. Présentation de l’Université Aube Nouvelle
I.1. Historique
ISIG International devenu aujourd’hui Université Aube Nouvelle est l’une des premières
écoles privées d’enseignement supérieur au Burkina Faso. Elle a été fondée en octobre 1992
par M. KINI Gnatan Isidore, agréé par l’Etat par arrêté n°92-125/ESSRS du 21 Octobre 1992,
ensemble ces modificatifs par arrêté 2010-335/MESSRS/ETFP/CAB du 11 octobre 2010
portant modification des statuts de l’ISIG-INTERNATIONAL et arrêté 2010-356
/MESSRS/ETPF/CAB du 11 octobre 2010 portant autorisation d’ouverture de cycles de filières
d’études et de délivrance de diplômes à l’ISIG-INTERNATIONAL, devenu Université Aube
Nouvelle (U.AUBEN) par autorisation n°20120000344/MESS/SG/DGESR/DIEPr du 17
février 2012.
L’Université Aube Nouvelle est organisée sur deux campus, Ouagadougou et Bobo-Dioulasso.
Son siège est à Ouagadougou la capitale du Burkina Faso. L’Université Aube Nouvelle
entretient de nombreux partenariats aux niveaux national, régional et international (Afrique,
Europe, Amérique, Asie) en vue de faciliter la poursuite des études à ses étudiants
I.2. Objectifs
Dans le souci de mettre sur le marché de l’emploi des travailleurs bien formés et très
compétents, l’Université Aube Nouvelle propose des formations pluridisciplinaires de haut
niveau dans les domaines suivants :
 Sciences économiques et de gestion ;

 Sciences et technologies ;
 Environnement et développement durable ;
 Sciences juridiques et politiques ;
 Sciences des techniques comptables et financières ;
 Lettres – Langues et Sciences Humaines.
Aussi, dans la même optique de formation, Aube Nouvelle a signé de nombreux partenariats
avec des universités et institutions d’enseignement supérieur, scientifiques et de recherches.
5
Ainsi, chaque année, 20 missions d’enseignements sont programmées à Aube Nouvelle. Cela
lui permet d’avoir les chiffres clés suivants :
 Plus, de 4000 étudiants ;

 Plus, de 28 nationalités ;
 Trente-neuf (39) diplômes reconnus par le CAMES ;
 Plus de 5000 diplômés sur le marché.
Pour la formation des étudiants, l’Université Aube Nouvelle comprend :
 Quatre unités de Formations et de Recherches (UFR)

 Sciences et Technologies
 Sciences Economiques et de Gestion ;
 Sciences Juridiques et Politiques ;
 Des Langues, Lettres, Sciences Humaines et Sociales.
 Trois (3) instituts :
 L’Institut Supérieur d'Informatique et de Gestion (ISIG International) ;
 L’Institut de Technologie et de Recherche Industrielle et Génie Civil (ITRI-GEC) ;
 Et l’Institut des Métiers de la Communication, du Journalisme, de l’Audio-Visuel et
du Cinéma
 Quatre centres à savoir :
 Le Centre Américain de Langue (The American langages center : ALC) ;
 Le Laboratoire de langue (TOEIC) ;
 L’académie CISCO ;
 Le centre C2i.
 Une école doctorale
 Quatre (4) laboratoires :
 Laboratoire de Sciences biologiques appliquées ;
 Laboratoire de Génie Civil, de Géologie et Mines ;
 Laboratoire d’Informatique ;
 Laboratoire d’Architecture.
6
Il compte deux campus, Ouagadougou et Bobo Dioulasso, tous deux délivrant la Licence, le
Master et le Doctorat. Le siège de l’U-AUBEN est à Ouagadougou la capitale du Burkina Faso
au cœur du quartier 1200 logements.
I.3. Formations
L’U-AUBEN offre les formations suivantes :
 HIGH TECH :
 Technologie des Réseaux et Systèmes ;
 Technologie du Génie Informatique ;
 Electricité Industriel.
 Electronique Electrotechnique et Automatisme (EEA).
 Télécommunication
 BUSINESS SCHOOL :
 Marketing et Gestion Commercial ;
 Transport et Logistique ;
 Gestion de Projet ;
 Gestion des Ressources Humaines ;
 Finance – Comptabilité ;
 Assistant de Direction Bilingue ;
 Assurance – Banque ;
 Finance Banque.
 ITRI-GEC
 Electricité et Energie Renouvelable ;
 Génie Civil : Construction ;
 Génie Civil : Architecture et Urbanisme ;
 UFR/SEG.
 Analyse Economique ;
 Management International.
 UFR/SJP
 Droit Public ;
7
 Droit Privé.
 UFR/ST
 Géologie Appliquée et Mines ;
 Bio Analyse et Contrôle Qualité ;
 Industrie Agroalimentaire ;
 Agronomie ;
 Eau, Hygiène et Assainissement (EHA).
 UFR/LLSHS
 Traduction et Interprétariat : Anglais ;
 Sociologie Urbaine et Rurale.
 SCIENCES ET TECNIQUES DE L’INFORMATION ET DE LA
COMMUNICATION
 Communication pour le Développement ;
 Communication des Organisations ;
 Journalisme.
 FORMATION A DISTANCE (E-LEARNING)
 Licence en Finance Comptabilité ;
 Licence en Gestion de Projets (GP) ;
 Licence en GRH ;
 Licence en Communication ;
 Licence en Marketing ;
 Ingéniorat.
II. Présentation de Talentys Burkina

TALENTYS est née en 2007 de l'idée que tout un pan de l'activité relative aux technologies de
l'information échappait aux intégrateurs ivoiriens et était adressée par les firmes européennes.
Intégrateur jusqu'en 2005, nous n'avions que des revendeurs de matériels informatiques qui ne
maitrisaient accessoirement que les technologies complémentaires du hardware de base
(Microsoft, Symantec, Oracle.)
L'offre de solution Talentys s'adresse à une large gamme de produits de secteurs :
8
 Téléphonie Mobile Et Télécom
 Banque - Finances-Assurance
 Services - Organismes - Internationaux
 Architecture - Communication - Distribution
 Gouvernement - Secteurs Publics - Education
Talentys est une société de service en audit et sécurité des systèmes d’informations et télécoms
qui fournit des solutions techniques et innovantes et optimales pour la transformation digitale
des entreprises et des administrations publiques dans la sous-région.
II.1. Objectif
Notre objectif est de vous apporter une solution sur mesure, répondant à vos attentes dans le
strict respect de votre budget. Pour ce faire, nous disposons d’une équipe compétente et
qualifiée, composée d’ingénieurs et techniciens expérimentés et certifiés.
II.2. Métiers
Les domaines d’intervention du staff qualifié et certifié de TALENTYS sont :
 L’optimisation et la sécurisation des Systèmes d’Information (Audit, Firewalling,

Gestion de bande passante) ;
 La détection/Prévention d’intrusion, Passerelle Anti-Spam … ;
 L’Infrastructure (Serveurs, Data Center, Stockage/Sauvegarde, Virtualisation, Wifi) ;
 Les solutions de Communication Unifiées et de Collaboration (TOIP, VOIP,
 Visioconférence, …) ;
 Les matériels et logiciels informatiques (HPE, Cisco, Fortinet, Office365…) ;
 Formation et Conseil.
Les différents niveaux de partenariats et de certifications de Talentys sont entre autres avec :
Fortinet Platinum Partner, Cisco Premier Partner, POLYCOM Gold Partner, Microsoft Gold
Partner Communication, HPE Gold Partner.
9
II.3. Organigramme
L’organigramme suivant représente la direction Générale et les différents départements au sein
de Talentys
Figure 1 : Organigramme de Talentys

[Source : Talentys]
10
Chapitre II : Etat de l’Art

Ce chapitre sera consacré à la sécurité et l’audit des systèmes d’informations. Dans un premier
temps nous allons introduire les notions de base de la sécurité informatique : menace, risque,
vulnérabilité ; ensuite effectué un premier parcours de l’ensemble du domaine, de ses aspects
humains, techniques et organisationnels, sans en donner la description technique. Et dans un
second temps nous allons aborder la notion de l’audit des systèmes d’informations.
I. Sécurité des systèmes d’informations

La sécurité des systèmes d’informations (SSI) est aujourd’hui un sujet important parce que le
système d’information est pour beaucoup d’entreprises un élément absolument vital. Nous
allons commencer par définir ce que c’est qu’un système d’information et en quoi consiste-t-il
? avant d’aborder la question de la sécurité des systèmes d’informations.
 Qu’est-ce qu’un système ?

Un système est un ensemble d'éléments en relation les uns avec les autres et formant un tout. Il
représente une unité parfaitement identifiable et évoluant dans un environnement. Il existe donc
une limite qui départage le système de son environnement.
 Qu’est-ce qu’un système d’information ?

Un système d’information est un ensemble organisé de ressources (matériels, logiciels,
personnels, données et procédures) qui représente l’ensemble des éléments participant à la
gestion, au traitement, au transport et à la diffusion de l’information au sein de l’entreprise. A
l’origine, les systèmes d’informations ont fait leur première apparition dans les domaines de
l’informatique et des télécommunications, cependant nous voyons aujourd’hui apparaître le
concept dans tous les secteurs, que ce soit des entreprises privées ou publiques.
 En quoi consiste un système d’information ?

Un système d’information peut être apparenté au véhicule qui permettra d’établir la
communication dans toute l’entreprise. La structure du système est constituée de l’ensemble
des ressources (hommes, matériels, logiciels) qui s’organise pour : collecter, stocker, traiter et
communiquer les informations. Le système d’information est le grand coordinateur des activités
de l’entreprise et qui joue un rôle crucial dans l’atteinte des objectifs fixés par cette dernière.
Le système d’information (SI) se construit tout autour des processus « métier » et ses
interactions. Pas seulement autour des bases de données ou des logiciels informatiques qui le
constituent. Le SI doit être en accord avec la stratégie de l’entreprise.
11
Après avoir décrit brièvement la notion de base du système d’information, nous allons passer à
la notion de sécurité de SI tout en commençant par les définitions de quelques concepts en
sécurité informatique.
I.1. Définition de quelques concepts de sécurité informatique

 Menace, Risque et Vulnérabilités
Les menaces contre le système d’information entrent dans une des catégories suivantes : atteinte
à la disponibilité des systèmes et des données, destruction de données, corruption ou
falsification de données, vol ou espionnage de données, usage illicite d’un système ou d’un
réseau, usage d’un système compromis pour attaquer d’autres cibles.
Menace
Nous classons les menaces en deux catégories selon qu’elles ne changent rien (menaces
passives) ou qu’elles perturbent effectivement le réseau (menaces actives) :
Les menaces passives : consistent essentiellement à copier ou à écouter l’information sur le

réseau, elles nuisent à la confidentialité des données. Dans ce cas, celui qui prélève une copie
n’altère pas l’information elle-même.
Les menaces actives : sont de nature à modifier l’état du réseau.
Risques
En système d’information, un risque se définit comme la probabilité d’occurrence qu’une
menace exploite une vulnérabilité afin d’impacter un actif. Les risques se mesurent en fonction
de deux critères principaux : la vulnérabilité et la sensibilité.
La vulnérabilité : désigne le degré d’exposition à des dangers. Un élément de ce réseau peut

être très vulnérable tout en présentant un niveau de sensibilité très faible.
Sensibilité : c’est lorsque nous fournissons un accès à une donnée confidentielle.
Vulnérabilités
Les vulnérabilités sont des failles qui peuvent être issues des caractéristiques propres à l’actif
ou provenant de l’environnement externe de l’actif. La vulnérabilité se trouve sous plusieurs
formes :
12
Vulnérabilité humaine : l’être humain du fait de sa nature est vulnérable. La plupart des
vulnérabilités humaines proviennent des erreurs (négligences, manque de compétences,
surexploitation, etc.)
Vulnérabilités technologiques : ces vulnérabilités sont aux bases dues à une négligence
humaine lors de la conception et la réalisation. Avec la progression des outils informatiques,
les vulnérabilités technologiques sont annoncées périodiquement.
Vulnérabilités organisationnelles : les vulnérabilités d’ordre organisationnel sont dues à

l’absence de documents cadres et formels, des procédures (de travail, de validation)
suffisamment détaillées pour faire face aux problèmes de sécurité du système.
Vulnérabilité au niveau mise en œuvre : les vulnérabilités peuvent être dues à la non prise en
compte de certains aspects de sécurité lors de la réalisation d’un projet.
Si la question de la sécurité des systèmes d’informations a été radicalement bouleversée par

l’évolution rapide de l’internet, elle ne saurait se réduire ; il s’agit d’un vaste problème dont les
aspects techniques ne sont qu’une partie. Les aspects juridiques, sociaux, ergonomiques,
psychologiques et organisationnels sont aussi importants, sans oublier les aspects immobiliers,
mais nous commencerons par les aspects techniques liés à l’informatique :
I.2. Aspects techniques de la sécurité

Les problèmes techniques actuels de sécurité informatique peuvent, au moins provisoirement,
être classés en deux grandes catégories :
 Ceux qui concernent la sécurité de l’ordinateur proprement dit, serveur ou poste de

travail, de son système d’exploitation et des données qu’il abrite ;
 Ceux qui découlent directement ou indirectement de l’essor des réseaux, qui multiplie
la quantité et la gravité des menaces.
Si les problèmes de la première catégorie citée ici existent depuis la naissance de l’informatique,
il est clair que l’essor des réseaux, puis de l’internet, en a démultiplié l’impact potentiel en
permettant leur combinaison avec ceux de la seconde catégorie. La résorption des vulnérabilités
repose sur un certain nombre de principes et de méthodes que nous allons énumérer dans la
présente section avant de les décrire plus en détail.
13
I.2.1. Définir risque et objets à protéger
 Périmètre de sécurité
Inutile de se préoccuper de sécurité sans avoir défini ce qui était à protéger : en d’autres termes,
toute organisation désireuse de protéger ses systèmes et ses réseaux doit déterminer son
périmètre de sécurité. Le périmètre de sécurité, au sein de l’univers physique, délimite
l’intérieur et l’extérieur, mais sa définition doit aussi englober (ou pas) les entités immatérielles
qui peuplent les ordinateurs et les réseaux, essentiellement les logiciels et en particulier les
systèmes d’exploitation. Une fois fixé ce périmètre, il faut aussi élaborer une politique de
sécurité, c’est-à-dire décider de ce qui est autorisé et de ce qui est interdit.
 Politique de sécurité
Face à la résurgence et la professionnalisation des tentatives d’intrusions malveillantes et
d’escroqueries, certains documents tels que des politiques et des procédures doivent être
soigneusement élaborés. La pièce maitresse qui constitue le principal document de référence en
matière de sécurité du système d’information est la politique de sécurité du système
d’information, plus communément appelée la « PSSI ».
La politique de sécurité du système d’information définit l’intégralité de la stratégie de sécurité

informatique de l’entreprise. Elle se traduit par la réalisation d’un document qui regroupe
l’ensemble des règles de sécurité à adopter ainsi que le plan d’actions ayant pour objectif de
maintenir le niveau de sécurité de l’information dans l’organisme.
I.2.2. Objectif de la sécurité de systèmes d’informations

La sécurité informatique, d’une manière générale, consiste à assurer que les ressources
matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
 L’intégrité, c’est-à-dire garantir que les données sont bien celles que l’on croit être ;
 La confidentialité, consistant à s’assurer que seules les personnes autorisées ont accès
aux ressources échangées ;
 La disponibilité, permettant de maintenir le bon fonctionnement du système
d’information ;
 La non-répudiation, permettant de garantir qu’une transaction ne peut être niée ;
14
 Et l’authentification, consistant à s’assurer que seules les personnes autorisées ont accès
aux ressources.
I.2.3. Nécessité d’une approche globale

La sécurité d’un système informatique fait souvent l’objet de métaphores. En effet, on la
compare régulièrement à une chaîne en expliquant que le niveau de sécurité d’un système est
caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile
dans un bâtiment si les fenêtres sont ouvertes sur la rue.
Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en
compte les aspects suivants :
 La sensibilisation des utilisateurs aux problèmes de sécurité

 La sécurité logique, c’est-à-dire la sécurité au niveau des données, notamment les
données de l’entreprise, les applications ou encore les systèmes d’exploitation.
 La sécurité des télécommunications : technologies réseaux, serveurs de l’entreprise,
réseaux d’accès, etc.
 La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles
sécurisées, lieux ouverts au public, espaces communs de l’entreprise, postes de travail
des personnels, etc.
I.3. Aspects organisationnels de la sécurité

À côté des mesures techniques destinées à assurer la protection des systèmes et des réseaux, la
sécurité du SI comporte un volet humain et social au moins aussi important : la sécurité dépend
en dernière analyse des comportements humains et, si les comportements sont inadaptés, toutes
les mesures techniques seront parfaitement vaines parce que contournées.
Nous allons citer quelques malveillances informatiques liées aux systèmes d’informations et
aux mécanismes de sécurité disponibles pour la protection de l’informations.
I.4. Malveillances informatiques

Parmi les multiples procédés d’attaques contre le système d’information, il convient de réserver
une place spéciale à une famille de logiciels malveillants qui se répandent en général par le
réseau, soit par accès direct à l’ordinateur attaqué, soit cachés dans un courriel ou sur un site
Web attrayant, mais aussi éventuellement par l’intermédiaire d’une disquette, d’une clé USB
ou d’un CD-Rom. La destination de ces logiciels est de s’installer sur l’ordinateur dont ils
15
auront réussi à violer les protections pour y commettre des méfaits, et aussi pour se propager
vers d’autres victimes. Cette section leur sera consacré ; nous essayerons d’en dresser une
nomenclature.
I.4.1. Types de logiciels malveillants

Aujourd’hui, c’est un truisme, quiconque navigue sur l’internet ou reçoit du courrier
électronique s’expose aux logiciels malveillants que sont les virus, les vers et quelques autres
que nous allons décrire. Comme tout le monde navigue sur l’internet ou reçoit du courrier
électronique, il importe que chacun acquière un minimum d’informations sur ces logiciels
nuisibles, ne serait-ce que pour pouvoir les nommer aux experts auxquels on demandera de
l’aide pour s’en débarrasser. C’est l’objet du petit catalogue que voici.
 Virus
Un virus est un morceau de programme informatique malicieux conçu et écrit pour qu’il se
reproduise. Sans la permission de l'utilisateur, il peut toucher l'ordinateur par sa capacité de se
multiplier. En termes plus techniques, le virus s’attache à un programme exécutable et se copie
systématiquement.
 Ver
C’est un type de virus particulier qui s'étend par le réseau. Le ver contrairement aux virus, une
fois implanté et activé dans un ordinateur, il est capable de se propager d’un ordinateur à un
autre via le réseau, sans intervention de l’utilisateur et sans exploiter le partage de fichiers. Les
clés USB infectés peuvent entrainer la propagation d'autorun qui est un exemple de ver.
 Cheval de Troie
Un cheval de Troie (Trojan horse) est un logiciel qui se présente sous un jour honnête, utile ou
agréable, et qui une fois installé sur un ordinateur y effectue des actions cachées et pernicieuses.
 Porte dérobée
Une porte dérobée (backdoor) est un logiciel de communication caché, installé par exemple
par un virus ou par un cheval de Troie, qui donne à un agresseur extérieur accès à l’ordinateur
victime, par le réseau.
 Bombe logique
Une bombe logique est une fonction, cachée dans un programme en apparence honnête, utile
ou agréable, qui se déclenchera, lorsque sera atteinte une certaine date, ou lorsque surviendra
un certain événement. Cette fonction produira alors des actions indésirées, voire nuisibles.
16
 Logiciel espion
Un logiciel espion, comme son nom l’indique, collecte à l’insu de l’utilisateur légitime des
informations au sein du système où il est installé, et les communique à un agent extérieur, par
exemple au moyen d’une porte dérobée. Une variété particulièrement toxique de logiciel espion
est le keylogger (espion dactylographique), qui enregistre fidèlement tout ce que l’utilisateur
tape sur son clavier et le transmet à son honorable correspondant ; il capte ainsi les identifiants,
mots de passe et codes secrets.
 Courrier électronique non sollicité (spam)

Le spam est une vraie problématique. Il encombre les résultats de recherche ce qui gêne
l’utilisateur. Un spam peut être définit comme étant un courriel anonyme, non sollicité,
indésirable et envoyé en grand nombre de façon automatique sans l’accord de son destinataire.
 Attaques sur le Web et sur les données

Avec la multiplication et la diversification des usages du Web, notamment pour des sites
marchands ou de façon plus générale pour des transactions financières, sont apparues de
nouveaux types d’attaques qui en exploitent les faiblesses de conception. D’autre part, des
attaquants que l’on pourrait nommer les charognards informatiques exploitent dans les
documents des zones que leurs auteurs croient avoir effacées, cependant que d’autres pillent les
disques durs des matériels de rebut.
 Injection SQL
L’attaque par injection SQL vise les sites Web qui proposent des transactions mal construites
dont les résultats sont emmagasinés dans une base de données relationnelle. Elle consiste en
ceci : SQL est un langage qui permet d’interroger et de mettre à jour une base de données
relationnelle ; les requêtes sont soumises au moteur de la base en format texte, sans être
compilées. Une requête typique est construite à partir de champs de formulaire remplis par
l’internaute.
I.4.2. Lutte contre les malveillances informatiques

A cause des menaces provenant des logiciels malveillants, il faut mettre en place des
mécanismes de sécurité pour assurer les services.
I.4.2.1 Pare-feu (firewall)

C’est un ensemble de différents composants matériels (physique) et logiciels (logique) qui
contrôlent le trafic intérieur/extérieur selon une politique de sécurité. Un système pare-feu
17
fonctionne la plupart du temps grâce à des règles de filtrage indiquant les adresses IP autorisées
à communiquer avec les machines du réseau. Il s’agit ainsi d’une passerelle filtrante.
Il permet d’une part de bloquer des attaques ou connexions suspectes d’accéder au réseau
interne. D’un autre côté, un firewall sert dans de nombreux cas également à éviter la fuite non
contrôlée d’informations vers l’extérieur. Il y a plusieurs types de firewall réseaux et applicatifs,
matériels et logiciels : Sophos, Fortigate. Ces deux solutions sont payantes. Cependant il y a
plusieurs firewalls gratuits comme pfSense, Endian, IPCOP qui proposent un contrôle sur le
trafic entre machines et l’Internet avec des règles entrantes et sortantes.
I.4.2.2 Antivirus
L’antivirus est un logiciel conçu pour identifier, neutraliser et éliminer des logiciels
malveillants. Ceux-ci peuvent se baser sur l’exploitation de failles de sécurité, mais il peut
également s’agir de programmes modifiants ou supprimant des fichiers, que ce soit des
documents de l’utilisateur sur l’ordinateur infecté, ou des fichiers, nécessaires au bon
fonctionnement de l’ordinateur. Un antivirus vérifie les fichiers et courriers électroniques, les
secteurs de boot, mais aussi la mémoire vive de l’ordinateur, les médias amovibles, les données
qui transitent sur les éventuels réseaux. Les antivirus les plus connus sont Kaspersky, Norton,
et BITDEFENDER.
I.4.2.3 VPN (Virtual Private Network)

Dans les réseaux informatiques, le réseau privé virtuel est une technique permettant aux postes
distants de communiquer de manière sûre. Un VPN repose sur un protocole, appelé protocole
de tunnel, c'est-à-dire un protocole permettant aux données passant d’une extrémité à l’autre du
VPN d’être sécurisées par des algorithmes de cryptographie. Plusieurs protocoles peuvent
intervenir dans une connexion VPN et qui sont : PPTP, L2TP, IPSec, MPLS, SSL/TLS.
I.4.2.4. IDS (Intrusion Detection System)

Un système de détection d’intrusion est un mécanisme destiné à repérer des activités anormales
ou suspectes sur la cible analysée (un réseau ou un hôte). Le RSSI vérifie les logs et cherche
des signatures d’attaques. Par exemple Snort est un exemple d’IDS. Il permet d’avoir une
connaissance sur les tentatives réussies comme échouées des intrusions.
I.4.2.5. IPS (Intrusion Prevention System)

Un système de prévention d’intrusion est un outil similaire aux IDS, mais ce système peut
prendre des mesures afin de diminuer les risques d’impact d’une attaque. C’est un IDS actif, il
18
détecte un balayage automatisé, l’IPS peut bloquer les portes automatiquement. Firepower
NGIPS1(système de prévention des intrusions de nouvelle génération) de Cisco est un exemple
courant des périphériques IPS matériels. Il y a d’autres IPS logiciels tel que : SolarWinds
Security Event Manager et Security Onion WinPatrol…
I.4.2.6 DMZ (Demilitarized Zone)

C’est une zone où nous pouvons mettre des services accessibles de l’intérieur et de l’extérieur
du SI. Elle est délimitée par un ou deux firewalls. Le DMZ peut aider à atténuer les attaques de
sécurité où nous isolons des routeurs ou des serveurs. Dans ZBF (Zone Based Firewall), le
firewall basé sur des zones, les interfaces des périphériques sont placées dans différentes zones
uniques telles que (intérieur, extérieur, DMZ), puis des stratégies sont appliquées dans ces
zones.
I.4.2.7. UTM (Unified Threat Management)

L’UTM englobe tous les outils présentés précédemment dans un seul boitier. C’est à dire il joue
le rôle d’un firewall, IPS, IDS, Antivirus, VPN.
II. Introduction à l’audit des systèmes d’informations
Le système d’information est d’une grande utilité au sein de l’entreprise, puisqu’il sert d’aide à
la décision. Il permet en plus d’agir de manière optimale, de faire des prévisions qui vont
orienter les stratégies élaborées. En addition il sert à contrôler et superviser les différentes
activités de l’entreprise. Avec la complexité de l’environnement de l’entreprise, les dirigeants
comptent sur un système d’information efficace et fiable pour la création de la valeur et la
réalisation d’un avantage comparatif. Le système d’information représente l’ensemble de
moyens, de ressources, d’éléments organisés permettant de collecter, saisir, traiter, stocker et
diffuser l’information. L’objectif de la mise en place des systèmes d’informations se résume
dans leur rôle d’aide à la conception de la stratégie de l’entreprise, ainsi que celui de la
supervision de sa réalisation.
19
Figure 2 : Stratégies du SI
[Source : Cours d’audit informatique by prof Yende Raphael]
D’ailleurs, la mise en place d’un système d’information permet d’assurer la continuité de

l’activité, de se garantir une information fiable et efficace à la gestion, et également se permettre
d’effectuer des ajustements au niveau des orientations stratégiques avec grande souplesse.
II.1. Définitions
II.1.1. Notion de l’audit de système d’information

L'audit d'un système d’information est une vue à un instant donné de tout ou une partie du
système d’information, permettant de comparer l'état du système à un référentiel.
L’audit est donc un examen méthodique des composantes et des acteurs de la sécurité, de la
politique, des mesures, des solutions, des procédures et des moyens mis en œuvre par une
entreprise, pour sécuriser son environnement et effectuer des contrôles de conformité de son
système d’information.
II.1.2. Notion de référentiel d’audit

Un référentiel d’audit est un ensemble codifié de règles, de procédures ou de bonnes pratiques
établies par des organismes reconnus, que l’auditeur utilise pour mener à bien sa mission d’audit
et pour formuler ses recommandations.
20
II.1.3. Notion de la sécurité informatique
La sécurité informatique c’est l’ensemble des moyens techniques, organisationnels, juridiques
et humains mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces
accidentelles ou intentionnelles.
II.2. Contexte d’études

L’audit informatique (aussi appelé « audit des systèmes d’informations ou de l’anglais
Information Technology audit ») consiste à une intervention réalisée par une personne
indépendante et extérieure au service audité, qui permet d’analyser tout ou une partie d’une
organisation informatique, d’établir un constat des points forts et des points faibles et dégager
ainsi les recommandations d’amélioration. Autrement dit, l'audit informatique peut aussi être
défini comme l'évaluation des risques des activités informatiques, dans le but d'apporter une
diminution de ceux-ci et d'améliorer la maîtrise des systèmes d'informations.
L'audit informatique a pour objectif d’identifier, d’évaluer et déterminer les risques (financiers,
opérationnels, de réputation…) associés aux activités informatiques d'une entreprise ou d'une
administration.
De même, l’audit des systèmes d’informations requiert deux grandes caractéristiques pour sa
mise en place effective :
 La première caractéristique : comporte les évaluations globales d'entités durant

lesquelles toutes les activités du système d’informations sont évaluées.
 La seconde caractéristique : correspond aux évaluations correspondantes aux audits
thématiques, ayant pour objectif la revue d’un thème informatique au sein d’une entité
(la gestion de projet, la sécurité logique par exemple).
L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à
améliorer le fonctionnement et la performance d'une organisation avec une éventuelle
implication dans la mise en œuvre de cette amélioration. Ces deux activités, audit et conseil, ne
peuvent être exercées pour une entité donnée par les mêmes acteurs afin de ne pas créer une
situation favorable aux conflits d’intérêts. Le processus de l’audit des systèmes d’informations
représente :
21
Figure 3 : Processus de l’audit informatique

[Source : Cours d’audit informatique by prof Yende Raphael]
L’audit informatique est une mission, qui ne demande pas de simples auditeurs, puisque ces
derniers doivent avoir de fortes connaissances en informatique, car des notions, ainsi que des
techniques sont à cerner pour comprendre et savoir gérer un processus d’informatisation.
II.3. Modèles de l’audit des systèmes d’informations

Un « modèle » est une base de donnée pour servir de référence. En conséquence, il existe 2
modèles d’audits des systèmes d’informations : le modèle de l’audit de besoin et le modèle de
l’audit de découverte des connaissances.
II.3.1. Le modèle de l’audit de besoin

Du fait de sa définition, un « besoin » peut être considéré comme un élément nécessaire à
l’existence (autrement dit, c’est un état qui résulte de la privation ou d’un manque du
nécessaire). Le modèle de l’audit du besoin est subdivisé en 2 grandes parties : l’analyse de
l’existant et la détermination de la cible.
L’analyse de l’existant : consiste en un examen (appréciation) du terrain au terme duquel

l’auditeur informatique formalise la circulation des « documents-types » d’un acteur à l’autre
et le traitement que chaque acteur applique à ces documents, à l’aide de logigrammes
(traitement sur les documents) et la représentation des graphes relationnels (circulation des
documents) ;
22
La détermination de la cible : cette seconde partie consiste à référer le mode de circulation
des informations et leurs interprétations ; les différentes redondances dans les graphes ; la
dispersion des infrastructures ainsi que les points de contrôle et de validation nécessaires, et le
découpage en zone en sous-graphes.
N.B : c’est à l’issue de ce modèle, que généralement le processus de l’audit aboutit à une
élaboration et approbation d’un projet informatique.
II.3.2. Le modèle de l’audit de découverte des connaissances

Le modèle de l’audit de découverte des connaissances consiste à valoriser les données et les
connaissances existantes dans l’entreprise. Généralement, ce modèle aboutit au montage d’un
système d’information décisionnel (désigne les moyens, les outils et les méthodes qui
permettent de collecter, consolider, modéliser et restituer les données matérielles et
immatérielles d’une entreprise) mais également être le prélude (précurseur) à un système de
gestion de connaissances.
Le modèle de l'audit de découverte des connaissances se pratique de la manière suivante :
 Pas d'objectifs : on ne sait pas ce que l'on va découvrir ;

 Un domaine : on sait sur quels métiers on travaille, donc sur quelles bases de données ;
 Le travail se fait par boucle courte de prototypage ;
 Pour faciliter le brassage des données, on modifie leur format et leur disposition relative,
 À l'aide d'algorithmes à apprentissage d'une part, et de visualisations de données d'autre
part, le fouilleur met en évidence des liens empiriques entre les données ;
 Les corrélations et liens retenus doivent répondre à trois critères : inconnu de
l'utilisateur, explicable a posteriori et utile. La démonstration théorique du phénomène
est totalement superflue ;
 Les connaissances détectées sont formalisées (arbres, graphes, tableaux, règles, etc.)
puis prototypées par des logiciels ;
 Si le test est passé, le modèle est mis en production ;
 On recommence le cycle.
Concrètement, l'empilement des modèles, eux-mêmes parfois complexes (arbres et récursivité)
peuvent aboutir à de vrais problèmes d'architecture informatique : les Parallélisations des
calculs ; la Volumétrie des données ; et la Charge du réseau, en partie due aux mécanismes de
23
réplication. D'un autre côté, le résultat de calcul issu d'un empilement de modèles peut aboutir
à des résultats particulièrement pertinents et surprenants.
II.4. Typologie de l'audit des systèmes d’informations

La démarche d'audit informatique est générale et s'applique à différents domaines comme la
fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la
planification de l'informatique, les réseaux et les télécommunications, la sécurité informatique,
les achats informatiques, l'informatique locale ou l'informatique décentralisée, la qualité de
service, l'externalisation, la gestion de parc, les applications opérationnelles… Ci-dessous une
présentation succincte des différents types d’audits informatiques les plus fréquents :
II.4.1. Audit de la fonction informatique

L’audit va évaluer l’organisation de la fonction informatique au sein de l’entreprise, son
pilotage, son positionnement. Il se base ainsi sur les pratiques connues comme la clarté des
structures et des responsabilités de l’équipe, la définition des relations, l’existence des
dispositifs de mesures comme un tableau de bord, le niveau des compétences du personnel. Il a
ainsi pour objectif de mettre en œuvre des procédures spécifiques à la fonction, de définir ses
responsabilités respectives, de suivre les coûts informatiques et de mesurer l’impact de
l’informatique sur les performances de l’entreprise.
Par ailleurs, au sein même de la fonction informatique, l’audit relève également des études
informatiques : les objectifs sont d’évaluer l’entreprise dans sa manière de planifier les activités
d’études, de respecter les normes de documentation, de contrôler la sous-traitance ainsi que la
qualité des livrables.
II.4.2. Audit des études informatiques

L'audit des études informatiques est un sous-ensemble de l'audit de la fonction informatique.
Le but de cet audit est de s'assurer que son organisation et sa structure soient efficaces, que son
pilotage soit adapté, que ses différentes activités soient maîtrisées, que ses relations avec les
utilisateurs se déroulent normalement. Il existe de nombreux autres objectifs de contrôle
concernant les études informatiques et ils sont choisis en fonction des préoccupations du
demandeur.
II.4.3. Audit de l'exploitation

L'audit de l'exploitation a pour but de s'assurer que les différents centres de production
informatiques fonctionnent de manière efficace et qu'ils soient correctement gérés. Par
24
conséquent, il est important de mettre en place plusieurs outils de surveillance de la production,
tels que Opview de HP, Tivoli d’IBM, etc. Ce sont de véritables systèmes d'informations dédiés
à l'exploitation.
II.4.4. Audit des projets informatiques

L’audit contrôle l’enchaînement logique et efficace des opérations et s’assure du bon
développement d’une application. Ses objectifs s’inscrivent dans la garantie de la clarté du
processus de développement, la vérification de l’application de la méthodologie, la validation
du périmètre fonctionnel, et la gestion des risques. Comme on peut le constater, un audit d’un
projet informatique est loin d’être similaire à l’audit des études informatiques, bien qu’on ait
tendance à les confondre.
II.4.5. Audit des applications opérationnelles

Contrairement aux audits précédents, l’audit d’applications opérationnelles s’étend à un
domaine plus large et couvre le système d’information de l’entreprise. Il est conseillé d’en faire
tous les deux ou trois ans pour s’assurer de son bon fonctionnement. L’audit va également servir
à la vérification de l’application des règles de contrôle interne. Les objectifs sont de s’assurer
de la conformité de l’application opérationnelle, de la vérification des dispositifs de contrôle
mis en place, de la fiabilité des traitements ainsi que de la mesure des performances.
II.4.6. Audit de la sécurité informatique

L'audit de la sécurité informatique a pour but de donner au management une assurance
raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En
effet, l'observation montre que l'informatique représente souvent un niveau élevé de risques
pour l'entreprise. On constate actuellement une augmentation de ces risques liée au
développement d'Internet. Ils sont liés à la conjonction de quatre notions fondamentales :
 En permanence il existe des menaces significatives concernant la sécurité informatique de

l'entreprise et notamment ses biens immatériels ;
 Le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation, des
méthodes, des techniques ou du système de contrôle ;
 La manifestation du risque : Tôt ou tard le risque se manifeste. Il peut être physique
(incendie, inondation) mais la plupart du temps il est invisible et se traduit notamment par
la destruction des données, l'indisponibilité du service, et le détournement de trafic ;
25
 La maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le
niveau des risques notamment en renforçant les contrôle d'accès, et l'authentification des
utilisateurs ;
26
CHAPITRE III : MISSION D’AUDIT, NORMES ET

METHODOLOGIES
I. Audit de sécurité des systèmes d’informations
L’audit selon la norme ISO 19011 : 2011 est « un processus systématique, indépendant et
documenté en vue d’obtenir des preuves d’audit et de les évaluer de manière objective pour
déterminer dans quelle mesure les critères d’audit sont satisfaits ». En ce qui concerne le
domaine de la sécurité des systèmes d’informations, l’audit permet de mettre en évidence les
faiblesses et les vulnérabilités organisationnelles et/ou techniques du système d’information et
de déterminer des axes d’amélioration visant à augmenter le niveau de sécurité. Pour mener un
programme d’audit, il convient de bien définir les besoins, le périmètre, ainsi que l’implication
des différents acteurs concernés.
I.1. Objectifs de l’audit de SI

Un audit de sécurité SI peut être réalisé pour répondre à des besoins différents, notamment :
 Evaluer le niveau de maturité du SI en termes de sécurité suite à la demande du

commanditaire d’audit ;
 Vérifier l’efficacité de la politique de sécurité du SI mise en place ;
 Tester l’installation d’un nouvel élément dans le SI ;
 Analyser et réagir par suite d’une attaque ;
 Tester la résistance du SI par la simulation des attaques dans des conditions réelles ;
 Se certifier (par exemple ISO 27001) ;
Une mission d’audit de sécurité SI ne permet que de trouver les vulnérabilités liées au SI et de
proposer des actions correctives à travers un ensemble de vérifications et de contrôles. A l’issue
de la mission, le prestataire d’audit livre un rapport détaillé pour mettre en évidence les écarts
et les non-conformités trouvés. Un plan d’action contenant les mesures à mettre en œuvre par
priorité est établi, partagé et validé avec l’organisme audité. Il faut distinguer entre l’audit et
l’analyse de risques. Cette dernière permet d’apprécier les risques identifiés liés à la sécurité
afin de les traiter (accepter, transférer, éviter, réduire, etc.). Le risque est un concept dynamique
qui dépend de la menace, de la vulnérabilité, de l’impact (sur la disponibilité, confidentialité,
intégrité) et de la probabilité d’occurrence.
27
I.2. Classification d’audit
Les audits peuvent être classifiés en trois catégories :
 Les audits internes (appelés aussi audits de 1ère partie) sont réalisés pour les organismes
souhaitant que leur système d’information soit examiné par rapport à des exigences de
sécurité de système d’information. Ces audits sont établis par des auditeurs internes ou
externes à l’organisme.
 Les audits externes (appelés aussi audits de 2ème partie) sont commandités par des
entités ayant un intérêt à l’égard de l’organisme audité, dans le but d’évaluer le niveau
de sécurité du système d’information de ce dernier. Ces audits sont établis par des
organismes d’audit externes.
 Les audits de certification (appelés aussi audits de tierce partie) sont réalisés pour les
organismes qui souhaitent faire reconnaître que la sécurité de leur système
d’information est conforme aux exigences comme celles de l’ISO/CEI 27001. Ces
audits sont établis par des organismes externes généralement accrédités.
I.1. Le cycle de vie d’un audit de sécurité de système d’information

Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit un cycle de vie
qui est schématisé à l’aide de la figure suivante :
Figure 4 : Le cycle de vie d’audit de sécurité

[Source : Cloudfront.net]
28
L’audit de sécurité informatique se présente essentiellement suivant deux parties comme le
présente le précédent schéma :
 L’audit organisationnel et physique.

 L’audit technique.
 Une troisième partie optionnelle peut être également considérée. Il s’agit de l’audit
Intrusif (test d’intrusions). Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce
rapport présente une synthèse de l’audit. Il présente également les recommandations à
mettre en place pour corriger les défaillances organisationnelles ou techniques
constatées
II. Démarche de réalisation d’un audit de sécurité de SI

Dans la section précédente on a évoqué les principales étapes de l’audit de sécurité des systèmes
d’informations. Cependant, il existe une phase tout aussi importante, qui est la phase de la
préparation. Nous pouvons schématiser l’ensemble du processus d’audit comme suite :
Définition de la charte d’audit
Phase de préparation de l’audit
Les domaines de l’audit
Test d’intrusion
Rapport et recommandation d’audit
Figure 5 : Processus d’audit

[Source : Audit de sécurité du système d’information de Le Moteur Diesel]
29
II.1. Définition de la charte d’audit
Avant de procéder à une mission d’audit, une charte d'audit doit être réalisée. Elle a pour objet
de définir la fonction de l'audit, les limites et modalités de son intervention, ses responsabilités
ainsi que les principes régissant les relations entre les auditeurs et les audités. Elle fixe
également les qualités professionnelles et morales requises des auditeurs.
II.2. Préparation de l’audit

Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante pour la
réalisation de l’audit sur terrain. En effet, c’est au cours de cette phase que se dessinent les
grands axes qui devront être suivis lors de l’audit. Elle se manifeste par des rencontres entre
auditeurs et responsables de l’organisme à auditer. Au cours de ces entretiens, devront être
exprimées les espérances des responsables vis-à-vis de l’audit. Aussi, il doit être fixé l’étendu
de l’audit ainsi que les sites à auditer, de même qu’un planning de réalisation de la mission de
l’audit.
Les personnes qui seront amenées à répondre au questionnaire concernant l’audit

organisationnel doivent être également identifiées. L’auditeur pourrait également solliciter les
résultats de précédents audits.
Une fois que les deux parties (auditeur-audité) ont “harmonisé leurs accords“, l’audit sur terrain
peut être entamé. Il débute par l’audit organisationnel et physique.
II.3. Les domaines de l’audit

L’audit de sécurité SI représente une activité complexe qui couvre l’ensemble des composants
du système d’information. Il consiste à évaluer le niveau de sécurité et à proposer les moyens
de correction adaptés. Cette évaluation concerne les domaines suivants :
II.3.1. Audit organisationnel et physique

L’audit organisationnel et physique permet de faire un état des lieux complet de la sécurité du
SI et d’en identifier les dysfonctionnements et les risques. Il permet ainsi de couvrir l’ensemble
du SI de l’organisme et de détecter les carences liées aux différents processus de gestion et
d’organisation de la sécurité. Durant cet audit les éléments suivants peuvent être abordés :
 Politiques de sécurité de l’information : Cette section met l’accent sur la nécessité de la

mise en place, et révision régulière d’une politique de sécurité de l’information.
30
 Organisation de la sécurité de l’information : Cette section définit un cadre de gestion
et d’approbation de la politique de sécurité, et traite les aspects contractuels liés à la
sécurisation des accès au système d’information par les tiers.
 Sécurité des ressources humaines : Cette section donne des recommandations pour
réduire le risque d’erreur ou de fraude favorisant la formation et la sensibilisation des
utilisateurs sur les menaces affectant la sécurité de l’information, ainsi que les
comportements à adopter pour protéger l’information.
 Gestion des actifs : Cette section décrit la nécessité d’inventorier et de classifier les
actifs informationnels de l’organisme, dans le but d’identifier les besoins et le niveau de
protection adapté à ces actifs.
 Contrôle d’accès : Cette section définit les mesures pour gérer et contrôler les accès à
l’information afin d’assurer la protection des systèmes en réseau. Elle couvre également
la sécurité de l’information lors de l’utilisation d’appareils mobiles.
 Cryptographie : Cette section traite les mesures visant à protéger la confidentialité et
l’intégrité de l’information par des moyens cryptographiques.
 Sécurité physique et environnementale : Cette section définit les mesures pour protéger
les lieux et les locaux de l’organisme contre les accès non autorisés, et pour minimiser
les dommages causés par les menaces environnementales. Elle traite également la
sécurité des matériels afin de réduire les menaces liées aux risques de vol, et de fuites
d’informations.
 Sécurité liée à l’exploitation : Cette section définit les mesures permettant d’assurer une
exploitation correcte et sécurisée des moyens de traitement de l’information (protection
contre les logiciels malveillants, maitrise des logiciels en exploitation, et gestion des
vulnérabilités techniques).
 Sécurité des communications : Cette section définit les mesures d’une part, pour assurer
la protection des informations sur les réseaux et la protection de l’infrastructure sur
laquelle ils s’appuient, et d’autre part, pour maintenir la sécurité des informations et des
logiciels échangés au sein de l’organisme et avec une entité extérieure.
II.3.2. Audit technique de sécurité

L’audit technique de sécurité est une évaluation permettant d’analyser en profondeur le système
d’information (systèmes, applications, composants et équipements actifs de l’infrastructure
31
réseau, réseaux d’accès interne, réseaux d’interconnexion, etc.) pour identifier les vulnérabilités
techniques éventuelles.
Il est recommandé de faire précéder l’audit technique par un audit organisationnel afin
d’identifier les points critiques du système d’information nécessitant une étude exhaustive.
Ci-après les activités qui peuvent être réalisées lors d’un audit de sécurité technique :
II.3.2.1. Audit des vulnérabilités infrastructure et système

L’objectif de l’audit des vulnérabilités infrastructure et système est de réaliser les tests
permettant de ressortir les faiblesses et les failles techniques sur les systèmes, les applications
et les équipements réseaux. Il permet ainsi de proposer un plan de remédiation avec des actions
correctives. L’audit des vulnérabilités se déroule en deux phases :
 Phase de découverte des vulnérabilités : cette phase consiste à effectuer des tests
automatisés à l’aide d’outils spécifiques qui s’appuient en général sur une base de failles
connues (scanners des vulnérabilités systèmes, scanners des vulnérabilités applicatives
et web, etc.) pour détecter les éventuelles vulnérabilités du système d’information.
 Phase d’analyse des vulnérabilités : cette phase consiste à analyser les vulnérabilités
identifiées lors de la première phase afin de proposer les actions de remédiation en
cohérence avec les pratiques et les exigences de sécurité adoptées au sein de l’organisme
audité.
II.3.2.2. Audit d’architecture réseau

Cette activité d’audit a pour vocation d’analyser l’architecture réseau existante afin de
déterminer les éléments pouvant nuire à la sécurité. Elle consiste à étudier la topologie du
réseau, ainsi que les hôtes et les équipements d’interconnexion. L’audit d’architecture repose
sur l’analyse de la documentation du réseau et la réalisation des sondages en utilisant des outils
de traçage et de découverte. L’objectif étant de s’assurer du respect des bonnes pratiques et des
recommandations en matière de sécurité quant à l’emplacement des actifs réseaux et sécurité
(pare-feu, pare-feu applicatif, sondes, proxy, relais anti-virus, relais messagerie, etc.), le
cloisonnement, l’échange des flux, les réseaux sans fil, etc.
 L’audit d’architecture peut être étendu aux interconnexions avec des réseaux tiers, et
notamment Internet.
32
 L’audit d’architecture ne peut pas être dissocié de l’audit de configuration car il permet
de traiter les points névralgiques de l’architecture du système d’information.
II.3.2.3. Audit de configuration

L’audit de configuration repose sur une évaluation technique de la configuration des
composants du système d’information afin de s’assurer que les mesures de sécurité déployées
respectent les bonnes pratiques en matière de sécurité. Les audits de configuration peuvent
s’effectuer sur tout type d’élément informatique (équipements réseaux, systèmes d’exploitation,
logiciels, applications, bases de données, etc.) en utilisant des outils appropriés d’analyse de
configuration.
II.3.2.4. Audit de code source

L’audit de code source consiste en l’analyse de tout ou partie du code source ou des conditions
de compilation d’une application dans le but d’y découvrir des vulnérabilités, liées à de
mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un
impact en matière de sécurité.
II.3.2.5. Audit applicatif

L’audit applicatif permet d’évaluer le niveau de sécurité des applications déployées au niveau
du système d’information de l’organisme audité. Cet audit peut se faire selon plusieurs
approches dont l’audit du code applicatif qui consiste à examiner les vulnérabilités liées au code
source d’une application. Cette activité exige l’implication d’un auditeur expert du langage de
programmation utilisé dans le développement de l’application. D’une manière générale, le
périmètre de l’audit de sécurité d’un système d’information peut ne pas intégrer toutes les
activités citées ci-dessus.
II.4. Test d’intrusion

Le concept des tests d’intrusion repose sur l’exploitation des failles identifiées afin de mesurer
l’impact réel sur la sécurité du système d’information de l’organisme audité. Ces tests simulent
des scénarios d’attaques préparés à l’avance dans des conditions réelles. L’objectif est de tester
la résistance du système d’information aux attaques informatiques provenant de l’intérieur ou
de l’extérieur du réseau de l’organisme (ex : réseau internet).
 Les tests d’intrusion externes : permettent d’évaluer la capacité d’un attaquant externe
à pénétrer le réseau interne de l’organisme audité ;
33
 Les tests d’intrusion internes : permettent d’évaluer l’impact d’un acte malveillant mené
de l’intérieur du réseau de l’organisme audité.
Généralement, ces tests s’effectuent selon les étapes suivantes :
 Reconnaissance du périmètre à auditer ;

 Recherche des vulnérabilités ;
 Mise en œuvre des attaques (exploits) ;
 Mesure de l’impact ;
 Proposition de recommandations et correctifs.
Les tests d’intrusion peuvent être conduits selon plusieurs approches :
 Approche en boite noir : Le testeur ne dispose d’aucune connaissance préalable de

l’environnement avant l’attaque ;
 Approche en boite grise : le testeur dispose de connaissances partielles de
L’environnement à auditer ;
 Approche en boite blanche : le testeur dispose de toutes les informations qui lui
permettent d’examiner l’architecture complète et non pas juste la surface d’attaque
directement visible.
Afin d’éviter des conséquences liées aux éventuels dysfonctionnements sur un environnement
de production, il est préférable de réaliser les tests d’intrusion qui peuvent causer l’arrêt du
système ou l’altération des données critiques sur un environnement de test ou pré-production.
II.5. Rapport et recommandation d’audit

La phase finale du processus d’Audit Sécurité est consacrée à la rédaction des rapports de
synthèse :
 Recueil des principales vulnérabilités et insuffisances décelées ;

 Synthèse des solutions et outils de sécurité proposés ;
 Synthèse des recommandations de mise en œuvre (organisationnelles, physiques et
techniques) ;
 Esquisse d’un plan d’action sécurité (Estimation des budgets à allouer pour la mise en
œuvre des mesures recommandées).
34
III.Normes et Méthodologies d’audit

L’audit de la sécurité est une opération périodique pour éviter les pertes dues aux attaques,
identifier les failles et les remédier. L’audit a pour objectif d’améliorer la performance par des
recommandations et passer à un plan d'action.
Les systèmes d’informations actuels doivent faire face à de nombreuses menaces susceptibles
d’exploiter leurs vulnérabilités. Afin de limiter les impacts résultant de ces menaces, une
politique de traitement des risques doit être mise en place. L’analyse des risques en sécurité de
l’information permet d’identifier les dangers introduits par les applications et les SI, de les
évaluer, et de définir et mettre en œuvre des mesures de protection adaptées.
Dans cette section, nous présentons une synthèse de la famille des normes ISO 27000 et une
étude de quelques méthodes d’audit d’analyse des risques.
III.1. Normes de la famille ISO/CEI 2700X

Une norme est donc selon le guide ISO/CEI est un document établi par consensus et approuvé
par un organisme reconnu, qui fournit, pour des usages communs et répétés, des règles, des
lignes directrices ou des caractéristiques, pour des activités ou leurs résultats garantissant un
niveau d'ordre optimal dans un contexte donné.
La série des normes ISO/CEI 27000 est une famille de normes apparue à la fin des années 1990
lorsque la BSI publia les exigences pour la mise en place d’un SMSI. Ces documents ont ensuite
été regroupés dans une série de normes, l’ISO/CEI 270XX. Cet ensemble est composé de
normes d'exigences et de normes d’outils afin d’obtenir un ensemble d’exigences, de
renseignements, de bonnes pratiques pour mieux sécuriser un système d’informations pour tous
types d’organismes concernant la sécurité de l’information, par exemple les données
financières, les informations relatives au personnel, les données confiées par un tiers ou
soumises à la propriété intellectuelle.
35
Figure 6 : famille ISO/CEI 2700X

[Source : Management de la sécurité de l’information : OUTILS D’AIDE AU
DEPLOIEMENT DE LA NORME ISO/CEI 27001 VERSION 2013]
 ISO/CEI 27000
L’ISO/CEI 27000 : présente une vue d’ensemble des systèmes de management de la sécurité
de l’information. Le document définit les termes qui s’y rapportent.
 ISO/CEI 27001
La norme ISO/CEI 27001 : spécifie les exigences pour la mise en place, la mise en œuvre, la
mise à jour et l’amélioration continue d’un SMSI. Elle définit également une gestion globale et
le cadre de contrôle afin de traiter les risques de sécurité de l’information. Les exigences fixées
dans l'ISO/CEI 27001 : couvre tous les types d’organisations, quel que soit son type, sa taille et
sa nature.
 ISO/CEI 27002
L’ISO/CEI 27002 : donne les lignes directrices en matière de normes organisationnelles
relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de
l'information. Ce document permet aux organisations de sélectionner les mesures nécessaires
dans le cadre d'un processus de mise en œuvre d'un SMSI selon l'ISO/CEI 27001. A minima, il
s’agit de parcourir l’ensemble des contrôles issus de la norme ISO/CEI 27001.
36
 IS0/CEI 27003
Le document vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001 ; elle
encourage à la mise en place d’une approche processus.
 ISO/CEI 27004
L’ISO/CEI 27004 : est un ensemble de lignes directives qui fournit des conseils pour le
développement d’un programme de mesures et de contrôles et la formalisation d’indicateurs
permettant de mesurer l’efficience d’un système de management de la sécurité de l’information.
 ISO/CEI 27005
Ce document vient en appui des concepts généraux énoncés dans l'ISO/CEI 27001 ; elle est
conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de
gestion des risques.
Le processus de gestion des risques définit par cette norme comprend les étapes suivantes selon
l’ordre croissant de l’établissement du contexte à la communication du risque :
 Etablissement du contexte ;
 Identification du risque ;
 Estimation du risque ;
 Evaluation du risque ;
 Traitement du risque ;
 Acceptation du risque ;
 Communication du risque.
La phase gestion du risque consiste à analyser les scénarios de risque identifiés afin de décider
le traitement à admettre : le maintien, la modification, le transfert et l’évitement.
Pour planifier le traitement des risques, il est possible de regrouper les risques par familles de
scénarios. La figure ci-dessous présente la phase de traitement de risque.
37
Figure 7 : Traitement de risque

[Source : Le processus global de gestion des risques]
III.2. Méthodologies d’audit

Après avoir mesurer la maturité de l’entreprise en termes de sécurité du système d’information
aux bonnes pratiques de la norme ISO 27002, nous allons à présent nous intéresser à l’analyse
des risques en identifiant les risques et en estimant leurs impacts, leurs potentialités et leurs
gravités.
III.2.1. Etude comparative des méthodologies d’audit

Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des
systèmes d’informations sont disponibles. Elles constituent des guides méthodologiques ainsi
que le moyen de fournir l'assurance d'une démarche de sécurité cohérente.
 COBIT
38
Le référentiel CobiT (Control OBjectives for Information & related Technology) est une
méthode de maîtrise des systèmes d’informations (IT Gouvernance) et d'audit de systèmes
d'information, éditée par l’Information System Audit & Control Association (ISACA) en 1996.
C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité,
conformité) et les investissements.
Cobit est une approche orientée processus : les tâches et activités définies sont intégrées dans
les 34 processus établis, ces derniers sont eux-mêmes regroupés en 4 domaines de processus.
Cobit est une approche multicritère, qui permet à chaque utilisateur de ce référentiel d'obtenir
pour chaque processus les informations qui l'intéressent.
 ITIL
ITIL est un ensemble de livres qui regroupe les bonnes pratiques de management d’un service
informatique dans le but d’optimiser l’utilisation des ressources informatiques. Ces guides sont
une source d’informations permettant d’adapter l’organisation de son service IT à son business.
En effet, suivre ce modèle permet de partager un même vocabulaire, d’identifier le rôle de
chacun et de professionnaliser l’organisation. La démarche ITIL comprend, dans sa version 3
(ITIL V3), 24 processus traitant de : gestion des problèmes, perspective business/métier,
planification de l’implémentation de la gestion de services… pour 4 fonctions : Centre de
service, Gestion de techniques, Gestions des opérations et Gestion des applications
 CMMI
Le CMMI (Capability Maturity Model Integrated) est un modèle d'évaluation du niveau de
maturité d'une organisation concernant le développement de systèmes, de produit et/ou de
logiciels. Il a pour objectif la maîtrise des processus d'ingénierie et par conséquent celle de la
qualité des produits et des services issus de ces processus. Il propose un référentiel des
meilleures pratiques (best practices) en matière de développement logiciel.
Le CMMI est une extension du modèle CMM (Capability Maturity Model), présenté par le SEI
(Software Engineering Institute) dans les années 80. Celui-ci, à la demande du ministère
américain de la Défense, avait élaboré un référentiel de critères permettant de déterminer si un
projet serait terminé dans les temps, sans dépassement de budget et selon les spécifications.
 CRAMM
La méthode CRAMM est une méthode d’analyse et de maîtrise des risques concernant le
système d’information d’une entreprise créée en 1986 par Siemens en Angleterre. Cette
39
méthode est entièrement conforme aux normes BS7799 « Information security management
systems. Guidelines for information security risk management » et ISO27001 « Technologies
de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information –
Exigences ». L’utilisation de la méthode CRAMM n’est pas spécifique à une infrastructure
informatique ou technologie informatique particulière, elle peut s’appliquer à l’ensemble des
systèmes informatiques, que l’on soit en phase de mise en place, d’évolution ou de changement
du système d’information.
 EBIOS
Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Informations)
en 1996. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet
d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoins de
l'entreprise (ou d'une administration). La méthode EBIOS se compose de 5 guides
(Introduction, Démarche, Techniques Outillages) et d'un logiciel permettant de simplifier
l'application de la méthodologie explicitée dans ces guides. Ce logiciel, libre et gratuit, (les
sources sont disponibles) permet de simplifier l'application de la méthode et d'automatiser la
création des documents de synthèse.
 MEHARI
La méthode MEHARI (Méthode Harmonisée d'Analyse de Risques) est proposée par le
CLUSIF (Club de la Sécurité des Systèmes d'Informations Français). Elle est destinée à
permettre l'évaluation des risques mais également le contrôle et la gestion de la sécurité de
l'Entreprise sur court, moyen et long terme, quelle que soit la répartition géographique du
système d'information. MEHARI consiste à faire un point sur les enjeux liés à la sécurité du
système d’information dans l’entreprise et à en faire un classement par rapport aux critères de
sécurité de base : confidentialité, intégrité et disponibilité. Les dysfonctionnements ayant un
impact sur l’activité de l’entreprise sont ainsi répertoriés et évalués selon des scénarios.
Nous avons étudié quelques méthodes d’analyses de risque et normes des bonnes pratiques,
mais nous n’allons pas les utiliser pour la réalisation de notre audit. Nous passons directement
au chapitre suivant pour auditer le réseau de Talentys.
40
CHAPITRE IV : ANALYSE ET CONCEPTION

I. Analyse de l’existant
Il est essentiel de disposer des informations précises sur l’infrastructure de réseau physique et
les problèmes qui ont incidence sur le bon fonctionnement du réseau. En effet, ces informations
affectent une grande partie des décisions que nous allons prendre dans la recherche des
vulnérabilités et de recommandations à formuler.
L’existant est décrit selon les points suivants :
 L’antivirus utilisé est propriétaire et se met à jour régulièrement ;

 Les machines des employés sont protégées par un antivirus ;
 La lenteur des machines à cause de l’infrastructure réseau et la congestion de la bande
passante ;
 Les équipements réseau que dispose Talentys sont : des serveurs, routeur, switches,
pare-feu.
 Un Load Balancer en équilibre la charge pour permettre à chaque sous réseau de
disposer d’un bon débit d’internet.
 Modem ADSL : c’est un périphérique qui permet de se connecter à internet. C’est une
porte d’accès entre internet et les autres composants du réseau. Le Fournisseur d’Accès
Internet (FAI) de ce réseau est Orange et canalbox.
 Fortinet 100F : il sert de firewall et de proxy, il filtre et protège la connexion et les
données entrants. Il définit les communications autorisées.
 PABX : Private Automatic Branch eXchange (PABX) est un autocommunicateur
téléphonique privé permettant la communication téléphonique en interne et en externe.
 NAS : Network Attached Storage (NAS) est un périphérique de stockage connecté au
réseau local
 Forti AP : c’est un point d’accès WIFI connecté au switch. Il délivre la connexion aux
machines du réseau via son signal internet.
41
Figure 8 : Architecture du Talentys

[Source : personnelle]
I.1. Inventaire des équipements
I.1.1. Serveurs
Nous allons lister les différents serveurs de Talentys dans le tableau ci-dessous :
Tableau 1 : Serveurs de Talentys
Nom Fonctionnalité Système

AD Active Directory et DNS Windows serveur 2016
MyCloud Serveur de backub
I.1.2. Equipements réseaux

Nous allons lister les différents équipements réseaux de Talentys dans le tableau ci-dessous :
42
Tableau 2 : Equipement réseau de Talentys
Equipement Marque Fonctionnalité Nombre

Switch Cisco Réseau 1
Pare-feu Fortinet Routage et sécurité 1
PABX 1
Modem Orange Connexion internet1 1
Modem Canalbox Connexion internet 2 1
Copieur Canon Impression 1
Scanner Scan 1
I.1.3. Machines
Nous allons lister les différentes machines de Talentys dans le tableau suivant :
Tableau 3 : Machines de Talentys
Machine Nombre Modèle OS RAM Processeur

Ordinateurs 4 Dell Latitude Windows 10 16GO Intel core I7
portables E7440
Ordinateurs 3 Dell Latitude Windows 10 16GO Intel core I7
de labo E7440
Poly 1 GS500
Ordinateurs 4 HP All-In-One Windows 10 16GO Intel core I3
de bureau 1 HP Prodesk 400 Windows 10 16GO Intel core I5
G3
II.Audit Organisationnel
II.1. Mesure de sécurité existant
II.1.1. Sécurité réseaux

L’architecture est protégée en entrée de réseau par un firewall Fortigate 100F destiné à filtrer
les flux de données entrant depuis l’extérieur. Le firewall a pour rôle de bloquer les accès non
autorisés.
43
Aucune solution de sécurité contre les intrusions n’est mise en place (IDS/IPS), notamment
pour le suivi des journaux du Firewall.
II.1.2. Sécurité physique

Elle est basée principalement sur les aspects suivants :
 Un agent d’accueil qui contrôle l’accès au périmètre du site et enregistre des

informations relatives à chaque visiteur ;
 La salle serveur est fermée à clef et seuls les personnes autorisées peuvent y accéder ;
 La climatisation est assurée au niveau de la salle serveurs ;
 Seuls les serveurs et les composants réseaux à importance élevée sont protégés par des
onduleurs pour éliminer les problèmes d’alimentation électrique de courte durée ;
 Présence d’un groupe électrogène pour coupure de courant à long terme ;
 Absence de contrôle d’accès physique pour garantir la sécurité des employés ;
 Absence des caméras de surveillance pour les zones sensibles.
II.1.3. Sécurité logique

Pour la sécurité logique, les principaux points cités sont :
 L’architecture réseau segmenté ;

 Existence d’un contrôleur de domaine pour gérer l’accès aux postes de travail des
utilisateurs mais il n’est pas déployé ;
 Existence d’un Firewall pour configurer des Access liste.
II.1.4. Sécurité des machines

 Gestion des mises à jour et distribution de correctifs :
 Pas des mises à jour correctives en termes de sécurité pour les systèmes Windows ;
 Tous les systèmes d’exploitation bénéficient de licence ;
 Les OS des switches, routeurs et pare-feu bénéficient des mises à jour.
 Le système Antiviral :
Un système antiviral est mis en place (solution Kaspersky) pour détecter et éliminer les menaces
et les codes malicieux mais la stratégie de scan présente une défaillance car le choix de l’action
dépend du client.
 Gestion des mots de passe :

44
 Il n’y a pas une politique d’affectation des mots de passes ;
 L’utilisateur a le droit de changer son mot de passe ;
III.Audit Technique
L’audit technique suit une étude organisationnelle et physique permettant d’avoir une vue
globale de l’état de sécurité du système d’information et d’identifier les risques potentiels. A
cette étape nous passons à la recherche des vulnérabilités afin d’analyser le niveau de protection
de l’infrastructure face aux attaques notamment celles qui exploitent ces vulnérabilités.
Nous utilisons tout au long de l’audit technique un ensemble des outils d’investigation
numérique permettant d’obtenir les informations nécessaires et de déceler les différentes
vulnérabilités.
III.1. Audit de l’architecture du système
III.1.1. Découverte et scan du réseau

NetworkView est un logiciel qui permet de donner le plan complet de configuration d’un réseau
et analyse l’état du réseau s’il est bien sécurisé. Il note l’ensemble des nœuds et toutes les routes
avec SNMP, DNS, Ports, NetBIOS ET WMI et il communique des informations sur le
fabriquant et les adresses MAC.
Dans notre cas ici, il s’agit de déterminer le plan d’adressage IP de Talentys, la cartographie du
réseau et les principaux équipements réseaux. L’outil utilisé pour l'identification de la topologie
réseau est Network View à sa version 3.62 du 30/04/2011 qui permet de fournir une
représentation graphique des composantes actives sur le réseau et leurs attributs.
45
Figure 9 : Cartographie du réseau de Talentys

Au terme de l’exécution de cet outil, nous recensons 5 machines actives. Nous signalons à cet
égard, que la configuration réseau au niveau des postes n’est pas protégée contre les
modifications. En effet, chaque utilisateur peut changer son adresse, ce qui peut générer des
conflits d’adresses. Des attaques de type IP Spoofing (usurpation d'identité) peuvent être
facilement menées et générer un déni du service ; il suffit de remplacer l’adresse IP du poste
par celle d’un équipement critique (routeur, serveur, etc.). Cette attaque permet la dégradation
des performances de l’équipement concerné voir même son arrêt complet.
46
Figure 10 : Configuration réseau au niveau du poste

On remarque que la majorité des nomenclatures des machines (PC) sont significatifs, ils portent
le nom par défaut de la machine ou bien la marque de la machine, et cela mène à une probabilité
d'un danger de sécurité.
Le NetworkView permet de générer un graphique du LAN scanné mais il n’inspecte qu’une

liste très limitée des ports usuels et ne permet pas de bien reconnaître certaines entités scannées
alors on va utiliser d’autres outils pour avoir une description plus détaillée ciblant les services
réseaux mis en jeu.
III.1.2. Sondage des services réseaux

Le sondage des services réseaux consiste à déterminer les services réseaux et la stratégie de
déploiement de ces services et les mesures de sécurité mises en œuvre pour savoir quels sont
les ports ouverts sur les machines du réseau audité (ouverts, fermés, filtrés ou non filtrés).
III.1.2.1. Les ports ouverts

Nmap (ou Zenmap sous Windows) est un scanner de ports open source créé par Fyodor et
distribué par Insecure.org. Il est conçu pour détecter les ports ouverts, identifier les services
hébergés et obtenir des informations sur le système d'exploitation d'un ordinateur distant. Il
permet de faire un port scan, analyses de réseau, des audits de sécurité de l’infrastructure du
47
réseau. Ce logiciel est devenu une référence pour les administrateurs réseaux car l'audit des
résultats de Nmap fournit des indications sur la sécurité d'un réseau. Il est disponible sous
Windows, Mac OS X, Linux, BSD et Solaris.
Pour scanner les ports d'un ordinateur distant, Nmap utilise diverses techniques d'analyse basées
sur des protocoles tels que TCP, IP, UDP ou ICMP. De même, il se base sur les réponses
particulières qu'il obtient à des requêtes particulières pour obtenir une empreinte de la pile IP,
souvent spécifique du système qui l'utilise. C'est par cette méthode que l'outil permet de
reconnaitre la version d'un système d'exploitation et aussi la version des services en écoute.
 Port ouvert : ce port d’une application est en écoute, un client peut y connecter
 Port fermé : lorsque nous voulons nous connecter à ce port, aucune application n’est en
écoute
 Port filtré : une application réseau filtre l’accès sur le port. Il s’agit d’un pare-feu
 Port non filtré : le port est accessible, mais le programme qui émet la connexion ne
détermine pas l’état si ouvert ou fermé
Figure 11 : Découverte du réseau de Talentys

48
En appliquant NMAP sur les serveurs et les équipements critiques nous avons constaté qu’il
existe des ports qui sont ouverts et non utilisés.
Figure 12 : Découverte des ports

Figure 13 : Détermination du système d’exploitation

49
III.1.2.2. Les services réseaux
Il s’agit de déterminer les services offerts par les serveurs et les postes de travail qui
peuvent être une source de vulnérabilité. Le schéma suivant est donné par NetCrunch présentant
les différents serviwirces réseau :
Figure 14 : Capture des services avec NetCrunch

Nous avons identifié des services les plus occurrents sur le réseau et qui présentent des
failles de sécurité :
HTTP (80/TDP), Netbios-ssn (139/TCP), Microsoft-ds (445/TCP), Https (443/tcp)
III.1.2.3. Sondage des flux réseaux

Nous avons utilisé Wireshark qui est un analyseur de paquets gratuit et à source ouverte. Il est
utilisé pour le dépannage du réseau, l’analyse et le développement de logiciel et de protocole
de communication. Il permet de voir ce qui se passe dans le réseau.
50
En reniflant, nous pouvons surveiller tout type de trafic, qu'il soit protégé ou non. Les attaques
peuvent être l'usurpation d'adresse MAC, les attaques DHCP, l'empoisonnement ARP,
l'usurpation DNS...
Nous avons utilisé WireShark pour effectuer des captures sur le réseau ainsi qu’une analyse du
trafic. La capture d’écran suivante représente l’interface d’interception des paquets de
Wireshark :
Figure 15 : Flux réseau

Figure 16 : Graphique du flux réseau

51
Figure retom17 : Information sur le Wi-Fi

III.1.2.4. Sondage du système

A cette étape, nous avons utilisé le logiciel Look@Lan qui est un logiciel de supervision et de
scannage de réseau. Pour chaque adresse qui répond, le logiciel affiche le statut, le système
d’exploitation, le nom de la machine et le nom NetBIOS. Les systèmes d’exploitations installés
sont des Windows.
Figure 18 : Exploration du LAN de Talentys

52
Comme indique la figure ci-dessous :
 L’utilisation du NETBIOS est de l’ordre de 100% du flux réseau.
 L’utilisation du protocole SNMP est de l’ordre de 100% du flux réseau.
Figure 19 : Statistique de scan

III.1.3. Scan de Vulnérabilités Web

Nous avons utilisé OWAS ZAP qui est une solution open source pour analyser tout un site Web.
C'est également un excellent outil pour les testeurs de pénétration (ou pentesters) expérimentés
à utiliser pour les tests de sécurité et il assure la sécurité des applications Web contre les attaques
des pirates informatiques. La figure ci-dessous présente 12 alertes trouvées par OWASP ZAP.
Nous remarquons que le site Web : https://www.talentys.com ne présente que des risques de
type faibles et moyens. Nous faisons attention aux cookies et l’activation des entrées de
protection XSS. Pour le site Web, il n’est pas utilisé pour des applications Web.
53
Le fonctionnement du PHP est sensible, nous ne trouvons pas des vulnérabilités telles que SQL
Injection. Pour les applications installées, une vulnérabilité est de type potentiel s’il s’agit d’une
mise à jour à appliquer.
Figure 20 : Alerte avec l’Outil OWASP ZAP

III.2. Analyses des vulnérabilités

L’objectif est ici d’analyser l’architecture technique de Talentys et de mesurer la conformité
des configurations des équipements réseaux, pare-feu, commutateur, etc. avec la politique de
sécurité définie et les règles mises en place.
III.2.1. Audit de Firewall et des règles de filtrages

Cette étape consiste à déterminer le bon fonctionnement du firewall. Le rôle du firewall est de
protéger le réseau contre des accès non autorisés selon une politique de sécurité bien définie.
La démarche adoptée consiste à auditer le firewall, les règles de filtrage et des mécanismes de
log. Le firewall utilisé à Talentys est le Fortigate 100F.
Après avoir échangé avec le responsable du système d’information, nous avons pu constater les
vulnérabilités suivantes :
54
 Les logs du firewall ne sont pas enregistrés sur un système distant automatique pour une
analyse en cas d’incident ;
 Absence d’un serveur de log dédié au traitement et à l’archivage des logs du Firewall ;
 Absence des statistiques sur l’usage du Firewall ;
 Outils pour l’analyse des fichiers de log et la production des rapports ne sont pas
configurés sur le pare-feu ;
 Le système de détection/prévention d’intrusion n’est pas déployé sur le forti ;
 Absence d’une vérification des derniers patchs et mises à jour ;
 Absence d’une procédure de test périodique des vulnérabilités du Firewall ainsi que des
essais de test de pénétration pour vérifier la résistance du système contre les attaques ;
 Absence d’un rapport d'audit à long terme présentant l'historique des incidents survenus
au niveau du firewall (violation des règles de sécurité, crash par débordement du
tampon) ;
 Absence d’un document ou une spécification des règles de filtrage (ACLs) précisant la
politique de sécurité implantée (description de l’utilité de chaque filtre/règle) ;
 Le contrôle d’intégrité du FW n’est pas entièrement automatisé ;
 Absence d’un document précisant la configuration du Firewall et le suivi des
modifications de cette configuration ;
 Absence d’un secours automatique pour le firewall ;
 Absence d’un système d’alerte en temps réel.
III.2.2. Audit de mise à jour antivirus

L’antivirus n’est pas centralisé sur un serveur, l’installation et la mise à jour se fait
manuellement par le technicien sur les postes de travail. L’antivirus utilisé est Kaspersky.
 L’antivirus possède une licence 365 et on renouvèle chaque année.

 La mise à jour de tous les postes se fait manuellement
 Kaspersky permet de réaliser des rapports et des statistiques et fournit des alertes
concernant les infections virales chez les utilisateurs fournissant ainsi des informations
telles que le nom de l’hôte, la date et l’heure de l’infection, le fichier suspect, le nom du
virus ainsi que le comportement face à cette menace (suppression, mise en quarantaine).
À la suite d’une investigation nous avons remarqué :
55
 Absence d'une charte d'utilisation et d'un plan de sensibilisation des utilisateurs ;
 Absence de suivi de mise à jour pour certains postes qui ne sont pas utilisés
quotidiennement ;
 Absence d’analyse des logs du système antiviral ;
 Absence d’une procédure antivirale ;
 Absence d'une politique de lutte antivirale ;
 Absence d’outils de filtrage amont pour prévenir les infections virales ;
 Les utilisateurs ne sont pas responsabilisés et éduqués vis-à-vis de l’usage de la
messagerie ;
 Absence de sensibilisation des utilisateurs concernant l’utilisation des médias amovibles
(Clé USB, disque dur externe…).
III.2.3. Audit de la politique d’usage de mots de passe

Les méthodes d'authentification utilisées sont les mots de passe au niveau postes de travail et
serveurs.
Nous remarquons concernant la politique d’usage de mot de passe :

 Pour les serveurs et tous les autres équipements réseau les mots de passe sont basés sur
les bonnes pratiques de sécurité, c’est-à-dire : un mélange de lettres majuscules et
minuscules, de chiffres et de caractères spéciaux ; les mots de passe sont longs et
imprévisibles et les mots de passe de saisie dans le navigateur Web sont désactiver ;
 Au niveau poste de travail, chaque utilisateur est responsable de la définition de son mot
de passe ;
 Certains mots de passe (aux niveaux des postes, des serveurs et des équipements réseaux
et sécurité) ne respectent pas les bonnes pratiques de sécurité ;
 L’absence d’une sensibilisation des utilisateurs et de la mise en place d’une procédure
de contrôle a priori ;
 Absence d’une charte d'utilisation qui spécifie aux utilisateurs leurs obligations de
protection de leurs postes ;
 Absence d’une politique qui définit notamment quelle est le mécanisme de mots de
passe autorisés, la longueur des mots de passe, les délais d'expiration, la technique de
génération, l'occurrence d'utilisation des mots de passe, etc.
56
Au cours de cette étape, nous avons essayé de déceler certaines vulnérabilités au niveau réseau
et applications en analysant les différents flux et les politiques de sécurité adoptées par les
équipements réseaux.
Il s’agit maintenant pour nous de proposer des solutions et des recommandations à suivre pour
palier à ces vulnérabilités.
IV.Recommandation
Dans cette section nous allons proposer des recommandations par rapport aux différentes
clauses des normes de sécurité. Ces recommandations seront divisées en deux grandes parties :
Les recommandations organisationnelles et physiques, ensuite les recommandations
techniques. Également, au vu des vulnérabilités constatées lors de l’audit de l’architecture, nous
allons proposer une nouvelle architecture réseau.
IV.1. Recommandations d’ordre organisationnel et physique

Les recommandations suivantes visent à apporter des suggestions pour améliorer l’aspect
organisationnel et physique de la sécurité du réseau de Talentys.
IV.1.1. Définir et documenter une politique de sécurité

Le côté formel d’une politique de sécurité devient de plus en plus exigé pour tout organisme
intéressé à la sécurité de son SI, c’est pourquoi il est nécessaire que cette politique soit
documentée et à la portée de tout le monde en question. Ces étapes permettent d’atteindre ces
objectifs. Il s’agit de :
 Rédiger une politique de sécurité qui définit clairement les objectifs en termes de
sécurité du site ;
 Définir des procédures documentées de : mise à jour automatique, gestion des incidents
de sécurité, sauvegarde automatique, gestion de la continuité, gestion de
l’authentification des utilisateurs du réseau, gestion des supports …
IV.1.2. Classifier les ressources

Pour faciliter la gestion des ressources et des dangers qui menacent leur utilisation, il est
fortement recommandé de :
 Rédiger pour chaque équipement réseau une charte d’utilisation qui décrit comment
exploiter cet équipement d’une manière sécurisée, que faut-il faire en cas de panne, et à
qui faut-il s’adresser en cas de problème.
57
 Définir une classification des informations sensibles de l’organisation. Cette
classification doit être basée sur les 3 axes correspondant aux besoins en termes de
Disponibilité, Intégrité et Confidentialité pour pouvoir lui attribuer le niveau de
protection nécessaire.
IV.1.3. Définir une charte de confidentialité

L’utilisation des ressources du SI peut engendrer des effets négatifs sur sa robustesse envers les
failles de sécurité. Pour palier à ce problème, nous recommandons de :
 Diffuser à l’ensemble du personnel ayant accès au SI une charte de sécurité d’utilisation

de la messagerie et de l’Internet et contrôler le respect de cette charte ;
 Fournir des documents à signer concernant les bonnes pratiques et les responsabilités ;
 Inclure l’accord de confidentialité dans le contrat de chaque utilisateur, contractuel et
stagiaire. Les nouveaux utilisateurs du SI doivent être informés de la politique de
sécurité de l’organisme dès leur arrivée.
IV.1.4. Spécifier et documenter les exigences réglementaires et légales

Le respect des règlements définis à l’échelle nationale et internationale permet au SI d’atteindre
un niveau de maturité. Il est indispensable de contrôler régulièrement l’application des lois
internes par les utilisateurs et vérifier que les facilités offertes par le réseau local ne sont utilisées
que pour le bien de l’organisme.
De même il faut revoir la conformité du SI aux différentes lois et normes qui définissent les
critères de sécurité et prendre les mesures nécessaires pour la garantir.
IV.1.5. Désigner et réorganiser les responsabilités

Talentys ne possède pas un comité de sécurité groupant le responsable de SI et ces
collaborateurs.
Organiser les responsabilités vis-à-vis de la sécurité permet d’assurer une implémentation

appropriée des mesures de sécurité en rapport avec les objectifs de la société, et de pouvoir
prévenir et anticiper les risques éventuels sur les systèmes de la société avec rapidité et
efficacité, parmi les étapes à prendre pour garantir ceci :
 Désigner un comité qui aura pour mission le suivi de l’état de sécurité et de prendre les
décisions nécessaires ;
58
 Définir une organisation informatique formelle dotée de manuels, de guides de
procédures, de politiques et des chartes d'utilisation,
 Définir les responsabilités (en termes de sécurité) de chaque utilisateur du SI et diffuser
le document correspondant.
IV.1.6. Faire de l’audit une pratique de base

Les missions d’audit internes et externes permettent de savoir à quel niveau le SI est-il conforme
aux exigences de la sécurité et quelles sont les mesures à prendre pour le sécuriser d'une façon
efficace. Nous recommandons de planifier des audits internes et externes d'une manière
régulière (au moins une fois chaque deux ou trois ans), et ceci pour évaluer le niveau de sécurité
de l’organisme et des procédures efficaces de traitement des risques en s’appuyant
éventuellement sur l’avis d’un expert externe en sécurité dans les décisions importantes.
IV.1.7. Sensibiliser et former périodiquement le personnel

Les mesures prises pour sécuriser le SI ne peuvent être efficaces que si l’ensemble du personnel
est conscient de l’importance du système d’information et capable de distinguer les bonnes
pratiques qui met le SI à l’abri de tout danger :
 Planifier des cycles de formations spécifiques et approfondis en sécurité pour tout le

service informatique. Une fois formés, les informaticiens seront capables d’organiser
des journées de sensibilisation pour le reste des utilisateurs du SI ;
 Encourager les responsables du service informatique à consolider leurs connaissances
et favoriser les programmes de formations et les cycles de certification ;
 Sensibiliser et former le personnel aux menaces dues aux éventuelles intrusions au
système d’information et à l’importance de la sécurité ;
 Sensibiliser le personnel aux éventuelles manipulations qui menacent la sécurité du
système d’information.
IV.1.8. Protéger les ressources, les actifs et les biens et personnes

La protection physique des ressources est un des principaux enjeux de la sécurité. De ce de vue,
nous recommandons :
 S’assurer que les actifs les plus critiques sont à l’abri de tout danger : fuite d’eau
humidité, chocs électriques… ;
59
 Les supports contenant les sauvegardes de secours doivent être fortement protégées dans
des armoires anti-feu par exemple et ne doivent pas être dans le même endroit qui abrite
la version originale ;
 Pour la protection des biens et des personnes, il faut mettre un système de
vidéosurveillance et contrôle d‘accès.
IV.1.9. Contrôler l’abandon et la destruction des supports

L’abandon des supports physiques et logiques ne subit aucun contrôle. Il est fortement
recommandé de définir une politique de destruction des équipements les plus sensibles et
d’abondons des supports contenant des informations sensibles. Pour s’assurer que les
informations critiques ne seront pas divulguées, on recommande d’acquérir un équipement de
démagnétisation pour détruire définitivement des anciens disques durs.
IV.1.10. Garantir la disponibilité de l’énergie

Parmi les points faibles dégagés pendant notre mission on doit citer l’absence de mesures
spécifiques pour garantir la disponibilité de l’énergie et particulièrement l’électricité hors la
salle serveur. Ceci nous invite à recommander :
 La protection de tous les équipements réseaux et les postes de travails des utilisateurs
avec des onduleurs afin d’éviter l’endommagement du matériel informatique ou
électrique, la perte de données non sauvegardées, la destruction de supports logiques
surtout les disques durs ;
 L’achat d’un groupe électrogène pour éviter les effets des coupures de courant qui
dépassent 30 minutes.
IV.2. Recommandations d’ordre technique

Après avoir étudié les différentes vulnérabilités affectant le réseau et les systèmes, nous
proposons dans cette section des recommandations à suivre afin de faire face ou minimiser le
risque.
IV.2.1. Renforcer l'architecture du réseau LAN

Une architecture fiable est la première clé de réussite pour un organisme et la garantie de la
sécurité de son SI.
Pour améliorer l’architecture actuelle, nous recommandons ces mesures :
 Créer une zone DMZ pour protéger les actifs critiques ;

60
 Sécuriser les accès distants entre les serveurs : authentification par certificat et
utilisation d’un canal sécurisé de communication (SSH, IPsec) ;
 Créer une zone d’administration permettant aux responsables de contrôler le réseau
facilement et en toute sécurité.
IV.2.2. Limiter les services réseaux disponibles

Nous avons constaté que beaucoup de services inutiles ou peu sûrs sont activés sur les serveurs
ou /et les postes des utilisateurs. Ceci expose le réseau à plusieurs types de dangers et il est
indispensable de :
 Fermer les ports inutilisables sur tout équipement réseau ;

 Désactiver le protocole SNMP au niveau des équipements réseaux afin d’empêcher les
pirates de cartographier rapidement la topologie du réseau.
IV.2.3. Définir des procédures de configuration des équipements réseaux

Il est recommandé de développer des procédures de configuration sécurisée des différents
équipements informatiques du Talentys. Dans l’élaboration de ces procédures, le responsable
sécurité peut se référer aux règles de bonnes pratiques définies par les organismes
internationaux spécialisés (ANSI, CERT/CC, …). Ils devraient inclure nécessairement :
 Les règles de bonnes pratiques de configuration des systèmes (Windows, Linux et MAC
OS) ;
 Les règles de bonnes pratiques de configuration d’un Firewall ;
 Les règles de bonnes pratiques de configuration des applications.
IV.2.4. Renforcer la solution antivirale

La lutte antivirale est indispensable pour le bon fonctionnement et la robustesse du réseau et du
SI. Parmi les mesures proposées :
 Définir et mettre en place une passerelle antivirale pour les accès web, cette passerelle
peut être en hardware ou en software ;
 Prévoir un serveur qui permet de faire la mise à jour centralisée ;
 Accélérer les mécanismes de déploiement de la procédure de lutte antivirale. Prévoir
une procédure de sauvegarde sur un support externe pour le serveur antivirus ;
61
 Installer une solution antivirale qui permet de supprimer automatiquement un virus lors
de sa détection contrairement à celle qui existe, elle laisse le choix de l’action au client
(supprimer, mettre en quarantaine, ignorer).
IV.2.5. Sécuriser les équipements réseaux critiques

Nous recommandons à Talentys de revoir les configurations des équipements dorsaux de
l’architecture réseau :
 Mettre à jour des versions des Firmware (tel que les IOS) des firewalls et Switch ;
 Définir des ACL et les mettre à jour sur ces équipements ;
 Mettre en place une solution de duplication pour ces équipements.
IV.2.6. Consolider la protection contre les attaques internes

Les attaques auxquelles le réseau peut être exposé ne viennent pas seulement de l’extérieur mais
aussi des entités ou des utilisateurs internes. Nous recommandons ces mesures concernant ces
équipements :
 Mettre en place une solution de protection logique qui inclut un Pare-feu applicatif ;
 Prévenir des intrusions et le renforcement des politiques de sécurité : revoir les ACL
des différents composants et les définir en cas de besoin (comme c’est le cas pour le
Switch de N3).
IV.2.7. Recommandations système

Nous avons constaté que les vulnérabilités recensées étaient liées au fait que des mises à jour
software n’étaient pas constamment tenues. C’est pourquoi nous invitons les administrateurs
réseau du Talentys à visiter le site web de Microsoft, qui propose des mises à jour pour les
corrections des failles découvertes.
IV.2.8. Améliorer la méthodologie d’administration

Durant notre mission, nous avons constaté que la méthodologie d’administration n’est pas assez
souple et que les tâches sont parfois assez lourdes à gérer. De même la communication avec les
utilisateurs est aussi à revoir en procédant ainsi :
 Pour les ressources critiques (serveurs par exemple) utiliser la stratégie « restreindre
tout » puis donner l’accès seulement qu’à celui qui le mérite ;
 Normaliser et standardiser les postes de travail ;
62
 Lutter contre l’abus de droits : installation des clients P2P, streaming … ;
 Intégrer des solutions de contrôle des applications installées sur les postes utilisateurs.
IV.2.9. Mettre en place une procédure formalisée pour la gestion des utilisateurs
Il est clair que la gestion des utilisateurs au sein du Talentys n’est pas encore formalisée, il est
nécessaire de définir une méthodologie pour la standardiser. Nous recommandons de
synthétiser un document décrivant les droits d’accès et qui soit installé pour les différents
systèmes de la société.
La réussite d’une telle étape permettra de s'assurer que le paramétrage de la sécurité logique tel
qu'il a été défini est conforme aux droits que devraient avoir les utilisateurs.
IV.2.10. Renforcer les mesures d’authentification

Il faut déterminer une stratégie d’authentification plus efficace et plus évoluée. Ceci nécessite
une révision qui passe par les points suivants :
 Contrôler la gestion des mots de passe (ce qui n’est pas encore le cas) ;
 Définition d’une politique stricte d’expiration automatique des mots de passe non
renouvelés ;
 Contrôler la qualité des mots de passe ;
 Définir des mots de passe pour le bios en cas de besoin ;
 Les applications sensibles doivent être protégées par un fort mécanisme
d’authentification.
IV.2.11. Mettre en place une plateforme de gestion des incidents

Mettre en place une plateforme de support technique permettant de gérer les requêtes des
utilisateurs de façon plus efficace : support technique, dépannage, améliorations …
Une telle solution assurera :
 Le classement des requêtes ;

 L’adhésion à une démarche et à un processus clair lors de leur traitement ;
 Le suivi de toutes les actions en cours ;
 Avoir des statistiques concernant les différents problèmes, leurs sources et les solutions
possibles.
63
Dans cette partie, en premier lieu, nous avons proposé des recommandations que nous jugeons
nécessaires à mettre en œuvre pour améliorer la sécurité du réseau du Talentys en se basant sur
la famille des normes 2700X.
En deuxième lieu nous avons proposé des recommandations sur le plan technique afin de
minimiser le risque d’exposition aux attaques et d’exploitation des vulnérabilités du réseau et
de protéger les différents équipements pour assurer la continuité et la disponibilité du réseau.
Enfin nous avons proposé des améliorations de l’architecture réseau.
V. Proposition des solutions

Cette section sera consacrée aux propositions des solutions sous plusieurs angles. Nous avons
proposé des solutions pour la sécurité des biens et des personnes, il s’agit de la
vidéosurveillance et le contrôle d’accès, ensuite nous avons proposé des solutions au niveau de
firewall et le serveur, il s’agit d’un système de détection et prévention d’intrusion, un système
de sauvegarde intelligente et un système de contrôle d’accès basé sur l’AD.
V.1. Vidéosurveillance et contrôle d’accès
V.1.1. Vidéosurveillance
La surveillance, qui autre fois accomplie uniquement par les agents de sécurité, a vu arriver la
technologie comme une révolution. La vidéosurveillance, parfois désignéé par le sigle anglais
CCTV, est un système de caméras et de transmission d’images, disposé dans un espace public
ou privé pour le surveiller. Les images ou vidéos obtenues avec ce système peuvent être traitées
automatiquement et/ou visionnées puis archivées ou détruites.
Aujourd’hui la vidéosurveillance est omniprésente et on la retrouve dans de nombreux secteurs

d’activités (banques, transports, industries, grande distribution, etc.) ou lieux de vie (villes,
immeubles de bureau, équipements collectifs, etc.).
Comme nous l’avons indiqué lors de l’étude de l’existence, il n’y a pas un système de
vidéosurveillance en place pour la protection des biens et des personnes, ni un système de
contrôle d’accès. C’est pour cette raison que nous avons proposé une solution des systèmes de
vidéosurveillance. L’objectif de notre étude est concevoir un audit de sécurité, donc nous
n’avons pas abordé le volet déploiement mais plutôt nous restons au niveau conceptuel. Nous
avons proposé des solutions de sécurité et des recommandations pour améliorer l’état de
sécurité de l’entreprise à la suite des vulnérabilités rencontrées dans l’entreprise.
64
L’objectifs visé ici est la proposition d'une solution technique de vidéosurveillance visant à :
 Garantir sensiblement le niveau de sécurité ;

 Surveiller les entrée et sorties des clients ;
 Dissuader les individus mal intentionnés à commettre les délits ;
 En cas de délits, retrouver des preuves pour une poursuite.
Pour installer un système de vidéosurveillance au sein d'une entreprise, nous avons le choix
entre plusieurs familles de technologies : analogique, WIFI, IP, filaire, Internet.
 La vidéosurveillance analogique
La vidéosurveillance analogique est à ce jour la technologie la plus répandue. Ce système
de sécurité convient plus particulièrement aux entreprises dont les besoins en équipement
se situent aux alentours d’une vingtaine de caméras de surveillance. Celles-ci n’ont pas,
comme les modèles IP par exemple, de fonctionnalités particulièrement développées.
Toutefois, elles offrent un double avantage :
 Le choix : de nombreuses marques et de nombreux modèles aux dimensions et

performances différentes existent sur le marché.
 Le prix : à l’achat, une caméra analogique est moins chère qu’une caméra IP.
Le fonctionnement de ce système de surveillance vidéo est assez simple puisqu’il ne
nécessite pas de travaux d’installation d’un réseau informatique par exemple, il ne nécessite
pas non plus la mise en place d’un serveur ou enfin l’utilisation d’un logiciel comme dans
les installations numériques.
 Le système de surveillance par Internet (IP)

Dernière-née en matière de technologie, la vidéosurveillance par Internet permet de visualiser
les images filmées grâce à une simple connexion Internet.
Le fonctionnement de ce système de surveillance est le suivant :
 Des caméras (webcams ou IP) sont installées dans l’entreprise ;

 Elles sont reliées à un ordinateur ;
 Elles filment et envoient les images sur le réseau ;
 Vous les consultez en direct ou en différé via une connexion Web au serveur.
C’est un des avantages de ce système : son faible coût. En effet, on trouve sur le marché des
webcams à des prix très attractifs : seulement quelques dizaines d’euros. Par ailleurs, les
65
logiciels de vidéosurveillance peuvent être disponibles à titre gratuit ou pour seulement une
cinquantaine d’euros.
 WIFI (sans fil)

Parmi les différentes technologies disponibles en matière de vidéosurveillance, celle utilisant
le Wifi apparaît comme étant une des plus avancées.
La vidéosurveillance en mode Wifi repose sur le principe d’une connexion sans fil, comme pour
les box Internet. Le système de caméras installées dans la société est relié à un récepteur. Ce
dernier transmet par ondes radios les images filmées à l’enregistreur ou au moniteur de contrôle.
 Mode filaire
Le mode filaire, ou Internet Protocol, fonctionne comme la vidéosurveillance analogique. Son
installation nécessite en effet les mêmes éléments : caméras, écrans de contrôle, câbles, base
d’enregistrement. A la différence près qu’un logiciel spécifique est requis pour faire fonctionner
le système. La particularité de la technique réside dans le mode de transmission des images :
celles-ci transitent par le réseau informatique de la société.
 Des caméras spéciales sont installées sur le réseau informatique, des caméras IP ;
 Elles filment les images, les envoient au moniteur via le réseau informatique ;
 Le logiciel de vidéosurveillance centralise ces données, les stocke, les traite.
V.1.2. Contrôle d’accès

Au niveau le plus élémentaire, le contrôle d’accès est un moyen de contrôler qui pénètre dans
un lieu et quand. La personne qui entre dans ce lieu peut être un employé, un sous-traitant ou
un visiteur. Elle peut être à pied, conduire un véhicule ou utiliser un autre moyen de transport.
Le lieu dans lequel elle entre peut s’apparenter à un site, un bâtiment, une pièce ou même juste
une armoire.
Nous avons tendance à parler dans ce cas de « contrôle d’accès physique » pour le différencier
du contrôle d’accès, qui empêche les personnes d’entrer dans des espaces virtuels par exemple
en se connectant à un réseau informatique.
Et, bien que l’une de ses principales utilisations soit de renforcer la sécurité, un système de
contrôle d’accès physique peut offrir de nombreux autres avantages, comme l’amélioration de
vos processus d’entreprise et de la gestion de vos sites ou bâtiment.
 Qu’est-ce qu’un système de contrôle d’accès ?

66
Lorsqu’on parle d’un système de contrôle d’accès physique, généralement on fait référence à
un système de sécurité électronique. Ce dernier utilise généralement un identifiant, qui peut se
présenter sous forme de badge d’accès, pour autoriser les gens à pénétrer dans certaines zones.
Et comme il est capable d’enregistrer qui est entré où et quand, il peut par la suite fournir des
données et graphiques précieux pour aider les responsables à suivre l’utilisation des bâtiments
et sites.
 Renforcement du contrôle et de la sécurité

En utilisant un système de contrôle d’accès électronique, vous pouvez éviter les inconvénients
associés à l’utilisation de clés mécaniques et améliorer le contrôle de l’accès.
Un système de contrôle d’accès électronique pourra gérer les éléments suivants :
 Qui a accès à un lieu : Vous pouvez par exemple, autoriser uniquement l’accès
automatique aux employés, tandis que les visiteurs et les sous-traitants devront se rendre
à la réception à leur arrivée ;
 Quelles sont les portes auxquelles ils ont accès : Il se peut que vous souhaitiez que seules
certaines personnes puissent entrer dans certaines zones. Par exemple, que seuls les
techniciens soient autorisés à entrer dans les salles techniques ;
 À quelle heure il est possible d’accéder à un lieu : Les sous-traitants et le personnel
junior peuvent n’avoir accès à un lieu que pendant leurs heures de travail normales,
alors que le personnel plus gradé peut pénétrer dans les bâtiments à tout moment ;
V.2. Détection et prévention d’intrusion

En examinant les solutions IPS, vous rencontrerez également des systèmes de détection
d’intrusion (IDS). Avant de nous pencher sur le fonctionnement de ces systèmes anti-intrusions,
examinons la différence entre IPS et IDS.
La principale différence entre l’IPS et l’IDS est l’action prise lorsqu’un incident potentiel a été
détecté.
 Les systèmes de prévention des intrusions contrôlent l’accès à un réseau informatique

et le protègent contre les abus et les attaques. Ces systèmes sont conçus pour surveiller
les données d’intrusion et prendre les mesures nécessaires pour éviter qu’une attaque ne
se déclenche.
67
 Les systèmes de détection des intrusions ne sont pas conçus pour bloquer les attaques.
Ils se contentent de surveiller le réseau et d’envoyer des alertes aux administrateurs si
une menace potentielle est détectée.
V.2.1. Détection d’intrusion

Un système de détection d’intrusions (« Intrusion Detection Systems » ou IDS) est un appareil
ou une application qui alerte l’administrateur en cas de faille de sécurité, de violation de règles
ou d’autres problèmes susceptibles de compromettre son réseau informatique.
Il existe trois grandes familles distinctes d’IDS :
 Les NIDS (Network Based Intrusion Detection System), qui surveillent l'état de la
sécurité au niveau du réseau.
 Les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité
au niveau des hôtes.
Le H-IDS réside sur un hôte particulier et la gamme de ces logiciels couvre donc une grande
partie des systèmes d’exploitation tels que Windows, Solaris, Linux, HP-UX, Aix, etc…
 Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes.
Les HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les NIDS
permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un
hôte.
Nous n’avons pas détaillé les différentes familles de système de détection d’intrusion. Nous
avons proposé à talentys de déployer l’IDS sur le fortigate pour que le réseau sois plus
performant.
V.2.2. Prévention d’intrusion

Un système de prévention des intrusions (IPS) est une forme de sécurité de réseau qui sert à
détecter et prévenir les menaces identifiées. Les systèmes de prévention des intrusions
surveillent en permanence le réseau d’une entreprise, recherchant les éventuels actes de
malveillance et capturent des informations à leur sujet. L’IPS signale ces événements aux
administrateurs du système et prend des mesures préventives, telles que la fermeture des points
d’accès et la reconfiguration des firewalls pour empêcher de futures attaques. Les solutions IPS
peuvent également être utilisées pour identifier les problèmes liés aux politiques de sécurité de
68
l’entreprise, afin de dissuader les employés et les invités du réseau d’enfreindre les règles
incluses dans ces politiques.
Un système de prévention des intrusions est généralement configuré pour utiliser un certain
nombre d’approches différentes pour protéger le réseau contre les accès non autorisés. On peut
citer :
 Approche basée sur les signatures : Cette approche utilise des signatures prédéfinies de
menaces réseau bien connues. Lorsqu’une attaque correspondant à l’une de ces
signatures ou à l’un de ces modèles est lancée, le système prend les mesures nécessaires.
 Approche basée sur les anomalies : Permet de surveiller tout comportement anormal ou
inattendu sur le réseau. Si une anomalie est détectée, le système bloque immédiatement
l’accès à l’hôte cible.
 Approche basée sur les politiques : Cette approche nécessite que les administrateurs
configurent les politiques de sécurité en fonction des politiques de sécurité
organisationnelles et de l’infrastructure du réseau. Lorsqu’une activité viole une
politique de sécurité, une alerte est déclenchée et envoyée aux administrateurs du
système.
V.3. Sauvegarde
Elle est souvent oubliée par les directions informatiques. Il s’agit de sauvegarder les données et
le travail réalisé sur des machines. Les techniques de sauvegarde sont nombreuses, modulables
et peuvent être imbriquées à souhait. Nous présentons les principales solutions, leurs avantages
et inconvénients ainsi nous allons proposer une solution de sauvegarde intelligente.
V.3.1. Les modes de Backup

Le tableau 4 illustre les trois modes de récupération des données ou Backup ainsi que leurs
avantages et inconvénients.
Tableau 4 : Les modes de Backup
Mode Avantages Inconvénients

Full Backup Sauvegarde rapide, facile, les fichiers et Besoin d'un grand espace de stockage.
les dossiers seront restaurés. Contrôle Nécessité d'une bande passante
simple. importante, son temps est lent.
69
Incrémentiel Rapide s'il y a moins de données. Espace Lent en restauration, car toutes les
faible de stockage. Peut contenir plusieurs incrémentations doivent être restaurés.
versions. Besoin d'un full Backup en avant pour
commencer les backups incrémentiels
Prend un grand temps pour restaurer un
fichier spécifique. Si l'un des Backup
échoue, la restauration sera incomplète.
Différentiel Un espace de stockage faible par rapport Lent Backup par rapport au backup
aux backups incrémentiels. Seulement un incrémentiel. Besoin d'un full Backup en
full Back et le dernier Backup différentiel avant pour commencer les backups
sont utilisés pour la restauration. Permet différentiels. Un full backup et tous les
de restaurer plusieurs versions des backups différentiels sont en besoin pour
fichiers. la restauration.
Si l'un des Backup échoue, la
restauration sera incomplète. Prend un
grand temps pour restaurer un fichier
spécifique.
V.3.2. Les solutions de Sauvegarde

Il y a 3 types de solutions de sauvegarde.
V.3.2.1. Stockage directement attaché DAS (Directly Attached Storage)

La solution technique de stockage de type DAS consiste à connecter directement un
périphérique au serveur ou à la station de travail. Il s’agit principalement d’un lecteur de bandes
magnétiques mais d’autres solutions peuvent être envisagées comme le support optique ou les
disques durs externes. Le matériel existant à nos jours, les supports amovibles tel que le CD /
DVD, disque dur externe offrent un stockage de masse avec un temps d’accès très faible et un
taux de transfert élevé par les interfaces des flashs USB 3.0.
Le tableau ci-dessous représente les avantages de la sauvegarde DAS
Tableau 5 : Avantages et désavantages de DAS
Avantages Inconvénients
70
Les supports amovibles peuvent être Les supports sont fragiles, ils peuvent subir des
externalisés (il s’agit de mettre les chocs. Avec le temps, les supports amovibles
sauvegardes à l’abri en dehors de peuvent se détériorer. Les supports amovibles
l’entreprise). sont sensibles à l’environnement (électricité,
Si le lieu de production est très endommagé, température, humidité…). Une solution DAS est
les sauvegardes ne seront pas détruites. destinée à effectuer des sauvegardes journalières
Cependant, le coût de lieu de stockage est à ou hebdomadaires afin d’externaliser les données.
prendre en compte. La permutation des Cette solution peut être associée à d’autres
supports de stockage n’est pas entièrement systèmes de sauvegarde afin d’effectuer des
automatisée. Il est soumis aux erreurs sauvegardes en parallèle. Les disques durs
humaines (oubli, perte, etc.) externes peuvent effectuer les mêmes opérations
qu’un lecteur de bandes mais ils sont plus
sensibles au choc.
V.3.2.2. Solution réseau

Lorsque nous parlons de stockage de réseau, c’est par opposition à l’attachement direct où, les
unités de sauvegardes sont physiquement reliées à un serveur. Dans le cas du stockage en
réseau, les unités de sauvegarde sont indépendantes d’un quelconque serveur, elles sont
accessibles par le réseau, qu’il soit Ethernet ou Fibre Optique.
Il existe deux solutions réseaux majeurs qui sont le NAS (Network Attached Storage) et le
SAN (Storage Area Network).
Le tableau suivant représente la différence entre les deux solutions SAN et NAS.
Tableau 6 : Comparaison entre SAN et NAS

SAN NAS
Être au moins aussi grand que le système en Toutes les machines connectées au réseau
production. Le stockage en réseau permet une local peuvent accéder aux données du NAS
gestion de la sauvegarde simplifiée à Les données sont caractérisées par un nom de
l’extrême : fichier ou une méta-information (propriétaire
et permissions, etc.)
71
Toutes les données du système d’information Le NAS facilite le partage des données entre
sont stockées dans des baies de disques des systèmes d’exploitation. Le système de
parfaitement identifiés. fichier est géré par le contrôleur NAS.
Le stockage en réseau permet de temps de Les sauvegardes sont faites sur les dossiers,
reprise très bas. Il suffit de migrer la liaison donc sur les données existantes.
du réseau de stockage défectueux vers le
réseau de stockage de backup ce qui se
résume finalement à un changement
d’adresse IP.
Toutefois, les NAS sont basés sur Ethernet, tandis que les SAN peuvent aussi bien utiliser
Ethernet que Fibre Channel. Alors que les SAN sont plus performants et présentent une latence
réduite, les NAS se démarquent par leur simplicité d'utilisation et de gestion, leur évolutivité et
un meilleur coût total de possession.
V.3.2.3. Les solutions logicielles

La sauvegarde des données informatiques est indispensable pour la survie d’une entreprise. La
sauvegarde des données est nécessaire : base de données, des applications critiques, fichiers
bureautiques, etc. L‘objectif est de ne jamais perdre les informations importantes.
Il existe plusieurs logiciels de sauvegarde tels que : Veeam, Acronis et Veritas. Plusieurs sites
comparent les solutions logicielles. Selon le site connu TrustRaduis, Veeam Backup est le
meilleur de ces produits en 2018.
V.3.3. Sauvegarde intelligente

Nous avons vu les familles de solutions pour construire une sauvegarde efficace. Il faut aussi
intégrer ces solutions techniques dans une politique de sauvegarde intelligente. Nous devons
alors :
 Evaluer le temps de reprise maximum RTO (Recovery Time Objective) ;

 Evaluer le point de reprise des données RPO (Recovery point objective) ;
 Evaluer le coût de la perte (destruction de données).
Une politique de sauvegarde implique qu’il faut sauvegarder tous les fichiers de tous les types
présents. Le stockage en réseau est efficace, les utilisateurs travaillent sur des partages réseaux
72
plutôt qu’en local. Les informations de configurations sont également importantes à
sauvegarder. Les configurations des commutateurs, routeurs et autres équipements peuvent être
longues à recréer. Une sauvegarde mensuelle ne prend que peu de temps et peut en faire gagner
beaucoup. Pour définir une politique de sauvegarde, il existe des règles à respecter telles que :
posséder une sauvegarde à l’extérieur pour se protéger du risque incendie, tester les sauvegardes
régulièrement sur des machines qui ne sont pas en production. La sauvegarde de l’information
reste un compromis entre le coût d’investissement dans le matériel de sauvegarde et
l’importance des données. La restauration est aussi un choix délicat qui peut déterminer la
survie d’une entreprise à la suite d’une crise.
Nous avons proposé à Talentys de déployer une sauvegarde intelligente avec le logiciel Veeam
Backup pour répondre aux besoins de sécurité.
V.4. Contrôle d’accès

La sécurisation des accès des utilisateurs est nécessaire pour permettre l’accès aux personnes
autorisées et empêcher celles n’étant pas autorisées à accéder au système d’information. Aussi,
une politique efficace et rigoureuse des droits d’accès attribués aux utilisateurs doit se vérifier
de façon périodique par la direction concernée.
Le contrôle d'accès est un élément fondamental de la sécurité des données qui dicte qui est
autorisé à accéder et à utiliser les informations et les ressources de l'entreprise. Grâce à
l'authentification et à l'autorisation, les politiques de contrôle d'accès garantissent que les
utilisateurs sont bien ceux qu'ils prétendent être et qu'ils disposent d'un accès approprié aux
données de l'entreprise.
 Comment fonctionne le contrôle d'accès ?

Le contrôle d'accès identifie les utilisateurs en vérifiant diverses informations d'identification
de connexion, qui peuvent inclure des noms d'utilisateurs et des mots de passe, des codes PIN,
des analyses biométriques et des jetons de sécurité. De nombreux systèmes de contrôles d'accès
incluent également l'authentification multi-facteur (MFA), une méthode qui nécessite plusieurs
méthodes d'authentification pour vérifier l'identité d'un utilisateur.
Une fois qu'un utilisateur est authentifié, le contrôle d'accès autorise alors le niveau d'accès
approprié et les actions autorisées associées aux informations d'identification et à l'adresse IP
de cet utilisateur.
73
Nous avons proposé une nouvelle architecture, à la suite des solutions et des recommandations
proposées plus haut qui permettra d’améliorer le niveau de sécurité de Talentys.
Figure 21 : Nouvelle architecture proposée

74
VI. Estimation financière de la réalisation du projet

Le coût de la réalisation de ce projet, compte tenu de la main d’œuvre, de l’audit organisationnel
et de l’audit technique s’élève à 1 600 000 F CFA. L’évaluation financière de la réalisation de
notre projet est définie dans le tableau suivant :
Tableau 7 : Estimation financière du projet

Désignation Prix Unitaire Prix total
Audit organisationnel 350.000 350.000
Audit de l’architecture 750.000 750.000
Analyse des vulnérabilités 500.000 500.000
Total 1.600.000
NB : le cout d’audit varie en fonction de la taille de l’entreprise et de l’infrastructure IT que

dispose cette entreprise.
Le cout d’urbanisation du futur système du Talentys s’élève à 3 100 000 F CFA. L’évaluation
financière de la réalisation du futur système est définie dans le tableau suivant :
Tableau 8 : Urbanisation du futur système de Talentys
Désignation Quantité Prix unitaire Prix total

Système de vidéosurveillance 1 1.200.000 1.200.000
Système de contrôle d’accès 1 600.000 600.000
Système de sauvegarde 1 1.300.000 1.300.000
Total 3.100.000
75
CONCLUSION GENERALE
En somme, assurer la sécurité de l’information est devenu primordial aujourd’hui afin de
permettre aux entreprises de persister dans un marché de plus en plus concurrentiel. On rappelle
que cette sécurité implique une veille efficace sur les aspects de l’intégrité, la disponibilité et la
confidentialité de l’information. De plus, avec la quantité importante de données circulantes,
les organismes sont de plus en plus vulnérables à des pertes significatives ou à des problèmes
d’efficacité.
L’audit informatique a été conçu pour sensibiliser les organismes de l’importance de la sécurité
de l’information en se basant sur la famille des normes ISO/CEI 270XX. C’est dans ce contexte
que s’inscrit notre projet « Réalisation d’audit sécurité d’un réseau local ».
Dans un premier temps nous avons aborder la notion de l’audit des systèmes d’informations et
les missions, normes et méthodologies d’audit. Ensuite, nous avons fait un état de lieu de
l’existant du réseau informatique de Talentys. À la suite de l’analyse de l’existant, nous avons
déceler quelques failles et vulnérabilités qui handicapent le bon fonctionnement du réseau.
Pour l’investigation technique de l’existant, nous avons pu travailler avec des outils des
vulnérabilités libres qui sont destinés au recensement des failles et des vulnérabilités dans un
système.
Ce projet nous a été très bénéfique du fait qu’il nous a permis d’acquérir des nouvelles
connaissances en dehors de ce qu’on a vu lors de notre formation sur l’audit des systèmes
d’informations et la sécurité. En plus l’utilisation des outils de test des vulnérabilités nous a
permis aussi de mieux comprendre la réalisation d’audit de sécurité informatique dans une
organisation.
76
REFERENCES BIBLIOGRAPHIQUE
Bibliographie
Sécurité informatique principes et méthode de Laurent Bloch Christophe Wolfhugel.

Edition Eyrolles 61.
Management de la sécurité de l’information OUTILS D’AIDE AU DEPLOIEMENT
DE LA NORME ISO/CEI 27001 VERSION 2013, Master 2 QPO - DUMONT, JEMAI,
XU
HES.SO MASTER : Bonnes pratiques relatives à la gestion du mot de passe et de
l’ordinateur
LE Grand Livre de sécurité.info
Audit de sécurité du système d’information de Le Moteur Diesel
Rapport-PFE-Sécurité de Bassem ABDALLAH
Mémoire de projet de fin d’étude de M. Abbes RHARRAB : Audit sécurité des systèmes
d’information, 2011-2012
Guide d’audit de la sécurité des systèmes d’informations de l’Administration de la
Défense Nationale du Royaume du Maroc
Support de cours de l’audit des systèmes d’information de Dr. YENDE Raphael
Grevisse, PhD, 2018
Audit informatique : Tous concernés ! Le guide pratique complet 2019
Guide pratique du CHAI (Comité d’Harmonisation de l’audit interne)
Cours_Audit_Informatique_SI_U-AUBEN de Dr. Didier BASSOLE, 2021-2022
Webographie
https://gplexpert.com/audit-de-securite-informatique/ consulté le 29/09/2022 à 20h30
https://gplexpert.com/securite-informatique/mise-oeuvre-politique-securite-informatique-pssi/
consulté le 29/09/2022 à 22h00
https://www.intrapole.com/spip.php?article18 consulté le 30/09/2022 à 8h00
https://www.techniques-ingenieur.fr/base-documentaire/technologies-de-l-information-
th9/securite-des-si-organisation-dans-l-entreprise-et-legislation-42458210/ consulté le
30/09/2022 14h15
vii
i
https://www.ivision.fr/securite-informatique/audit-de-securite-informatique/ consulté le
30/09/2022 à 23h10
https://support.nouvelleindustrie.com/fr/article/audits-premi%C3%A8re-seconde-tierce-
partie-quelle-diff%C3%A9rence consulté le 02/10/2022 à 21h10
https://www.codeur.com/blog/audit-systeme-information/ consulté le 02/10/2022 à 22h45
https://www.ivision.fr/audit-de-systeme-dinformation-4-bonnes-pratiques-de-pilotage/
consulté le 02/10/2022 à 23h30
https://www.value-info.fr/pourquoi-realiser-un-audit-de-securite-regulierement/ consulté le
02/10/2022 à 1h30
https://www.memoireonline.com/12/09/3035/Audit-et-definition-de-la-politique-de-securite-
du-reseau-informatique-de-la-fi.html consulté le 15/08/2022 à 15h00
https://www.memoireonline.com/02/17/9637/m_Mise-en-place-d-un-systeme-d-audit-et-d-
inventaire-dans-une-infrastructure-reseau-d-entreprise1.html consulté le 17/08/2022 à 10h30
https://www.apog.net/realiser-audit-informatique consulté le 25/08/2022 à 22h00
https://fre.myservername.com/15-best-network-scanning-tools-network consulté le
27/08/2022 à 11h15
https://www.techno-science.net/glossaire-definition/Nmap.html consulté le 05/10/2022 à

21h00
https://www.malekal.com/comment-utiliser-nmap-windows-zenmap/ consulté le
10/10/2022 à 13h45
https://www.01net.com/telecharger/?arr consulté le 15/10/2022 à 23h00
https://www.varonis.com/fr/blog/comment-utiliser-wireshark consulté le 18/10/2022 à 7h45
ix
TABLE DE MATIERES
DEDICACE ................................................................................................................................. i
REMERCIEMENTS .................................................................................................................. ii
SOMMAIRE ............................................................................................................................. iii
LISTES DES TABLEAUX ET FIGURES ............................................................................... iv
SIGLES ET ABREVIATIONS .................................................................................................. v
RESUME .................................................................................................................................. vii
ABSTRACT ............................................................................................................................ viii
INTRODUCTION ...................................................................................................................... 1
PROBLEMATIQUE .................................................................................................................. 2
OBJECTIF PRINCIPAL ............................................................................................................ 3
OBJECTIFS SPECIFIQUES...................................................................................................... 3
HYPOTHESE............................................................................................................................. 3
METHODOLOGIE .................................................................................................................... 4
PERTINENCE ET RETOMBEES ANTICIPEES ..................................................................... 4
CHAPITRE I : PRESENTATION DES STRUCTURES DE FORMATION ET D’ACCUEIL
.................................................................................................................................................... 5
I. Présentation de l’Université Aube Nouvelle ................................................................... 5
I.1. Historique ..................................................................................................................... 5
I.2. Objectifs........................................................................................................................ 5
I.3. Formations .................................................................................................................... 7
II. Présentation de Talentys Burkina .................................................................................... 8
II.1. Objectif ........................................................................................................................ 9
II.2. Métiers ......................................................................................................................... 9
II.3. Organigramme ........................................................................................................... 10
Figure 1 : Organigramme de Talentys ....................................................................... 10
Chapitre II : Etat de l’Art ......................................................................................................... 11
I. Sécurité des systèmes d’informations ........................................................................... 11
I.1. Définition de quelques concepts de sécurité informatique ......................................... 12
I.2. Aspects techniques de la sécurité ............................................................................... 13
I.2.1. Définir risque et objets à protéger ........................................................................ 14
I.2.2. Objectif de la sécurité de systèmes d’informations ............................................. 14
I.2.3. Nécessité d’une approche globale ........................................................................ 15
I.3. Aspects organisationnels de la sécurité ..................................................................... 15
I.4. Malveillances informatiques ....................................................................................... 15
I.4.1. Types de logiciels malveillants ............................................................................ 16
x
I.4.2. Lutte contre les malveillances informatiques ...................................................... 17
I.4.2.1 Pare-feu (firewall) .......................................................................................... 17
I.4.2.2 Antivirus ......................................................................................................... 18
I.4.2.3 VPN (Virtual Private Network)...................................................................... 18
I.4.2.4. IDS (Intrusion Detection System) ................................................................. 18
I.4.2.5. IPS (Intrusion Prevention System) ................................................................ 18
I.4.2.6 DMZ (Demilitarized Zone) ............................................................................ 19
I.4.2.7. UTM (Unified Threat Management) ............................................................. 19
II. Introduction à l’audit des systèmes d’informations ...................................................... 19
Figure 2 : Stratégies du SI ......................................................................................... 20
II.1. Définitions ................................................................................................................. 20
II.1.1. Notion de l’audit de système d’information ....................................................... 20
II.1.2. Notion de référentiel d’audit ............................................................................... 20
II.1.3. Notion de la sécurité informatique ..................................................................... 21
II.2. Contexte d’études ...................................................................................................... 21
Figure 3 : Processus de l’audit informatique ............................................................. 22
II.3. Modèles de l’audit des systèmes d’informations ...................................................... 22
II.3.1. Le modèle de l’audit de besoin ........................................................................... 22
II.3.2. Le modèle de l’audit de découverte des connaissances ...................................... 23
II.4. Typologie de l'audit des systèmes d’informations .................................................... 24
II.4.1. Audit de la fonction informatique ...................................................................... 24
II.4.2. Audit des études informatiques .......................................................................... 24
II.4.3. Audit de l'exploitation ........................................................................................ 24
II.4.4. Audit des projets informatiques .......................................................................... 25
II.4.5. Audit des applications opérationnelles ............................................................... 25
II.4.6. Audit de la sécurité informatique ....................................................................... 25
CHAPITRE III : MISSION D’AUDIT, NORMES ET METHODOLOGIES ........................ 27
I. Audit de sécurité des systèmes d’informations ............................................................. 27
I.1. Objectifs de l’audit de SI ............................................................................................ 27
I.2. Classification d’audit .................................................................................................. 28
I.1. Le cycle de vie d’un audit de sécurité de système d’information ........................... 28
Figure 4 : Le cycle de vie d’audit de sécurité ............................................................ 28
II. Démarche de réalisation d’un audit de sécurité de SI ................................................... 29
Figure 5 : Processus d’audit....................................................................................... 29
II.1. Définition de la charte d’audit ................................................................................... 30
II.2. Préparation de l’audit ................................................................................................ 30
xi
II.3. Les domaines de l’audit ............................................................................................. 30
II.3.1. Audit organisationnel et physique ...................................................................... 30
II.3.2. Audit technique de sécurité ................................................................................ 31
II.3.2.1. Audit des vulnérabilités infrastructure et système ....................................... 32
II.3.2.2. Audit d’architecture réseau .......................................................................... 32
II.3.2.3. Audit de configuration ................................................................................. 33
II.3.2.4. Audit de code source .................................................................................... 33
II.3.2.5. Audit applicatif ............................................................................................ 33
II.4. Test d’intrusion ......................................................................................................... 33
II.5. Rapport et recommandation d’audit .......................................................................... 34
III. Normes et Méthodologies d’audit ............................................................................. 35
III.1. Normes de la famille ISO/CEI 2700X ..................................................................... 35
Figure 6 : famille ISO/CEI 2700X ............................................................................ 36
Figure 7 : Traitement de risque.................................................................................. 38
III.2. Méthodologies d’audit ............................................................................................. 38
III.2.1. Etude comparative des méthodologies d’audit .................................................. 38
CHAPITRE IV : ANALYSE ET CONCEPTION ................................................................... 41
I. Analyse de l’existant ..................................................................................................... 41
Figure 8 : Architecture du Talentys ........................................................................... 42
I.1. Inventaire des équipements ........................................................................................ 42
I.1.1. Serveurs ................................................................................................................ 42
Tableau 1 : Serveurs de Talentys ............................................................................... 42
I.1.2. Equipements réseaux ........................................................................................... 42
Tableau 2 : Equipement réseau de Talentys .............................................................. 43
I.1.3. Machines .............................................................................................................. 43
Tableau 3 : Machines de Talentys ............................................................................. 43
II. Audit Organisationnel ................................................................................................... 43
II.1. Mesure de sécurité existant ....................................................................................... 43
II.1.1. Sécurité réseaux .................................................................................................. 43
II.1.2. Sécurité physique ................................................................................................ 44
II.1.3. Sécurité logique .................................................................................................. 44
II.1.4. Sécurité des machines ......................................................................................... 44
III. Audit Technique ........................................................................................................ 45
III.1. Audit de l’architecture du système........................................................................... 45
III.1.1. Découverte et scan du réseau ............................................................................ 45
Figure 9 : Cartographie du réseau de Talentys .......................................................... 46
xii
Figure 10 : Configuration réseau au niveau du poste ................................................ 47
III.1.2. Sondage des services réseaux ............................................................................ 47
III.1.2.1. Les ports ouverts ......................................................................................... 47
Figure 11 : Découverte du réseau de Talentys .......................................................... 48
Figure 12 : Découverte des ports ............................................................................... 49
Figure 13 : Détermination du système d’exploitation ............................................... 49
III.1.2.2. Les services réseaux ................................................................................... 50
Figure 14 : Capture des services avec NetCrunch ..................................................... 50
III.1.2.3. Sondage des flux réseaux ........................................................................... 50
Figure 15 : Flux réseau .............................................................................................. 51
Figure 16 : Graphique du flux réseau ........................................................................ 51
Figure 17 : Information sur le Wi-Fi ......................................................................... 52
III.1.2.4. Sondage du système.................................................................................... 52
Figure 18 : Exploration du LAN de Talentys ........................................................... 52
Figure 19 : Statistique de scan ................................................................................... 53
III.1.3. Scan de Vulnérabilités Web .................................................................................. 53
Figure 20 : Alerte avec l’Outil OWASP ZAP ........................................................... 54
III.2. Analyses des vulnérabilités ...................................................................................... 54
III.2.1. Audit de Firewall et des règles de filtrages ....................................................... 54
III.2.2. Audit de mise à jour antivirus ........................................................................... 55
III.2.3. Audit de la politique d’usage de mots de passe ................................................ 56
IV. Recommandation ....................................................................................................... 57
IV.1. Recommandations d’ordre organisationnel et physique .......................................... 57
IV.1.1. Définir et documenter une politique de sécurité ............................................... 57
IV.1.2. Classifier les ressources .................................................................................... 57
IV.1.3. Définir une charte de confidentialité ................................................................. 58
IV.1.4. Spécifier et documenter les exigences réglementaires et légales ...................... 58
IV.1.5. Désigner et réorganiser les responsabilités ....................................................... 58
IV.1.6. Faire de l’audit une pratique de base................................................................. 59
IV.1.7. Sensibiliser et former périodiquement le personnel .......................................... 59
IV.1.8. Protéger les ressources, les actifs et les biens et personnes .............................. 59
IV.1.9. Contrôler l’abandon et la destruction des supports ........................................... 60
IV.1.10. Garantir la disponibilité de l’énergie .............................................................. 60
IV.2. Recommandations d’ordre technique ...................................................................... 60
IV.2.1. Renforcer l'architecture du réseau LAN............................................................ 60
IV.2.2. Limiter les services réseaux disponibles ........................................................... 61
xii
i
IV.2.3. Définir des procédures de configuration des équipements réseaux .................. 61
IV.2.4. Renforcer la solution antivirale ......................................................................... 61
IV.2.5. Sécuriser les équipements réseaux critiques ..................................................... 62
IV.2.6. Consolider la protection contre les attaques internes ........................................ 62
IV.2.7. Recommandations système ............................................................................... 62
IV.2.8. Améliorer la méthodologie d’administration .................................................... 62
IV.2.9. Mettre en place une procédure formalisée pour la gestion des utilisateurs....... 63
IV.2.10. Renforcer les mesures d’authentification ........................................................ 63
IV.2.11. Mettre en place une plateforme de gestion des incidents ................................ 63
V. Proposition des solutions ............................................................................................... 64
V.1. Vidéosurveillance et contrôle d’accès ....................................................................... 64
V.1.1. Vidéosurveillance ............................................................................................... 64
V.1.2. Contrôle d’accès ................................................................................................. 66
V.2. Détection et prévention d’intrusion........................................................................... 67
V.2.1. Détection d’intrusion .......................................................................................... 68
V.2.2. Prévention d’intrusion ........................................................................................ 68
V.3. Sauvegarde ................................................................................................................ 69
V.3.1. Les modes de Backup ......................................................................................... 69
Tableau 4 : Les modes de Backup ............................................................................. 69
V.3.2. Les solutions de Sauvegarde .............................................................................. 70
V.3.2.1. Stockage directement attaché DAS (Directly Attached Storage) ................ 70
Tableau 5 : Avantages et désavantages de DAS ........................................................ 70
V.3.2.2. Solution réseau............................................................................................. 71
Tableau 6 : Comparaison entre SAN et NAS ............................................................ 71
V.3.2.3. Les solutions logicielles ............................................................................... 72
V.3.3. Sauvegarde intelligente ...................................................................................... 72
V.4. Contrôle d’accès ........................................................................................................ 73
Figure 21 : Nouvelle architecture proposée ............................................................... 74
VI. Estimation financière de la réalisation du projet ....................................................... 75
Tableau 7 : Estimation financière du projet ............................................................... 75
Tableau 8 : Urbanisation du futur système de Talentys ............................................ 75
CONCLUSION GENERALE .................................................................................................. 76
REFERENCES BIBLIOGRAPHIQUE .................................................................................. viii
TABLE DE MATIERES ............................................................................................................ x
xi
v

ADOUM Mahamat Youssouf

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ADOUM Mahamat Youssouf

Transféré par

Droits d'auteur :

Formats disponibles

Thème : Réalisation d’audit

sécurité d’un réseau local : cas de

Nous dédions ce modeste travail à

LISTES DES TABLEAUX ET FIGURES

Tableau 1 : Serveurs de Talentys ............................................................................... 42

Figure 1 : Organigramme de Talentys ....................................................................... 10

 Le pare-feu assure à la fois la protection du réseau et le routage, ce qui ne garantit pas

 S’assurer de l’intégrité des données et du capital informationnel de l’entreprise.

 Réaliser un audit de sécurité, permet d’obtenir une vision complète et réaliste de la

Cette méthode s’articulera autour des points suivants :

 Contexte du projet et présentation des structures de formation et d’accueil ;

PERTINENCE ET RETOMBEES ANTICIPEES

Du point de vue du gain, l’organisme gagnera un temps considérable avec un audit

CHAPITRE I : PRESENTATION DES STRUCTURES DE

 Sciences économiques et de gestion ;

 Plus, de 4000 étudiants ;

 Quatre unités de Formations et de Recherches (UFR)

II. Présentation de Talentys Burkina

L'offre de solution Talentys s'adresse à une large gamme de produits de secteurs :

 L’optimisation et la sécurisation des Systèmes d’Information (Audit, Firewalling,

Figure 1 : Organigramme de Talentys

Chapitre II : Etat de l’Art

I. Sécurité des systèmes d’informations

 Qu’est-ce qu’un système ?

 Qu’est-ce qu’un système d’information ?

 En quoi consiste un système d’information ?

I.1. Définition de quelques concepts de sécurité informatique

Les menaces passives : consistent essentiellement à copier ou à écouter l’information sur le

Les menaces actives : sont de nature à modifier l’état du réseau.

La vulnérabilité : désigne le degré d’exposition à des dangers. Un élément de ce réseau peut

Sensibilité : c’est lorsque nous fournissons un accès à une donnée confidentielle.

Vulnérabilités organisationnelles : les vulnérabilités d’ordre organisationnel sont dues à

Si la question de la sécurité des systèmes d’informations a été radicalement bouleversée par

I.2. Aspects techniques de la sécurité

 Ceux qui concernent la sécurité de l’ordinateur proprement dit, serveur ou poste de

La politique de sécurité du système d’information définit l’intégralité de la stratégie de sécurité

I.2.2. Objectif de la sécurité de systèmes d’informations

La sécurité informatique vise généralement cinq principaux objectifs :

I.2.3. Nécessité d’une approche globale

 La sensibilisation des utilisateurs aux problèmes de sécurité

I.3. Aspects organisationnels de la sécurité

I.4. Malveillances informatiques

I.4.1. Types de logiciels malveillants

 Courrier électronique non sollicité (spam)

 Attaques sur le Web et sur les données

I.4.2. Lutte contre les malveillances informatiques

I.4.2.1 Pare-feu (firewall)

I.4.2.3 VPN (Virtual Private Network)

I.4.2.4. IDS (Intrusion Detection System)

I.4.2.5. IPS (Intrusion Prevention System)

I.4.2.6 DMZ (Demilitarized Zone)

I.4.2.7. UTM (Unified Threat Management)

II. Introduction à l’audit des systèmes d’informations

D’ailleurs, la mise en place d’un système d’information permet d’assurer la continuité de

II.1.1. Notion de l’audit de système d’information

II.1.2. Notion de référentiel d’audit

II.2. Contexte d’études

 La première caractéristique : comporte les évaluations globales d'entités durant

Figure 3 : Processus de l’audit informatique

II.3. Modèles de l’audit des systèmes d’informations

II.3.1. Le modèle de l’audit de besoin

L’analyse de l’existant : consiste en un examen (appréciation) du terrain au terme duquel

II.3.2. Le modèle de l’audit de découverte des connaissances

Le modèle de l'audit de découverte des connaissances se pratique de la manière suivante :