RAPPORT DE PROJET DE FIN D’ÉTUDE

Présenté par

ESSAYAD HOUDA

Pour l’obtention du diplôme du

MASTER Mathématiques, Cryptographie et Cybersécurité.

Option : Cybersécurité

Titre :
Etude de cas d’un client réel : Evaluation de la
sécurité des applications web

Encadrante : MANDAR MERIEM

Table des matières
I. Organisme d’accueil :.....................................................................................................................3
1. TECHSOGROUP :.........................................................................................................................3
a) Conseil :..................................................................................................................................4
b) Solutions :...............................................................................................................................5
c) Infogérance :..........................................................................................................................6
d) Formation :.............................................................................................................................6
II. Déroulement de stage :.................................................................................................................7

I. Organisme d’accueil :
1. TECHSOGROUP :

Figure 1: LOGO de TECHSO GROUP

 Fondée en 2021 avec un siégé social à Casablanca, TECHSOGROUP est une entreprise
spécialisée en Cybersécurité dont les convictions sont fortement liées à ses expériences, à
l'expertise et le savoir-faire de ses équipes, en 2022 TECHSOGROUP rejoint la liste restreinte
des entreprises accréditées PCI QSA par le consortium PCI Security Standards Council. Un
gage de confiance pour la sécurité des données de porteurs de carte de ses clients, Même en
étant start-up, TECHSOGROUP a pu s’élargir en ayant 3 locaux dans 3 pays différents :
Maroc, Sénégal et France et a pu mettre en place 19 partenariats avec des entreprises de
haut calibre dans le domaine de la cybersécurité dont on cite IBM, PALOALTO, KASPERSKY,
CISCO, FORTINET...(etc).
Ceci d’une part, d’autre part, avec une vision 360° de la Cybersécurité,
TECHSOGROUP met à la disposition de ses clients une équipe d'experts, certifiés ISO 27001,
ISO 27005, CISM ou CISSP ou des spécialistes en continuité d'activité (CBCP, CBCI, ISO
22301), en investigation (CCFP, CCE, CHFI, CFCE, GSFA, GSFE GIAC designations), pour les
accompagner dans leurs projets de renforcement de la sécurité de leurs données.

2. Services de TECHSOGROUP :
Les services de TECHSOGROUP peuvent être divisé en quatre catégories :

a) Conseil :
 TECHSOGROUP met à la disposition de ses clients des experts en cybersécurité pour
les accompagner sur tout le cycle de leurs projets en cybersécurité, à la fois sur les
thématiques techniques et organisationnelles.

Ces experts ayant un bon retour d’expérience proposent des services en

cybersécurité adaptés aux besoins, ils interviennent sur la chaine de valeur en cybersécurité
de bout en bout notamment sur :
 L’audit de la sécurité technique :
 Tests d’intrusion.
 Audit de configuration.
 Audit d'architecture.
 Exercice Red Team.
 Sécurité applicative :
 Revue de code source.
 Audit de sécurité applicatif.
 Stratégie de sécurité Digitale.
 DevSecOps.
 Test de performance applicatif.
 Sécurité des systèmes industriels :
 Audit de sécurité ICS/DCS.
 Cartographie du système industriel sur la base d’une sonde passive.
 Revue de la sécurité organisationnelle des systèmes industriels.
 GRC (Gouvernance, Risk and compliance) :
 Assistance à la maitrise d’ouvrage en cybersécurité.
  Accompagnement à la mise en place de SMSI conformément à l'ISO
27001.
 Accompagnement à la mise en place d’un SMCA conformément à ISO
22301.
 Continuité d’activité (PCA).
 Classification de données.
 Conformité RGPD.
 Analyse de risque.
 Schéma directeur sécurité.
 Respect des exigences et de conformité en sécurité :
 Customer Security Program SWIFT.
 Assistance conformité PCI DSS.
 Conformité réglementaire en sécurité.
 Mise en place de gouvernance de sécurité.
 Investigation numérique :
 Investigation numérique des incidents de fraudes financières.
 Investigation des terminaux.
 Investigation numérique des bases de données.

b) Solutions :

TECHSOGROUP est un partenaire stratégique pour la mise en œuvre des projets de

conception et d'implémentations de solutions techniques en cybersécurité tel que : Solution
de gestion des informations et des événements de sécurité (SIEM), Solution de scan et
gestion de vulnérabilités, Solution PKI, etc...

Avec la démarche suivante :

 c) Infogérance :
TECHSOGROUP met sa forte expérience dans le domaine de l’infogérance en
cybersécurité au service de ses clients.

TECHSOGROUP met au service des entreprises une équipe support certifiée sur les
dernières technologies marchés (Microsoft, Oracle, IBM, Cisco, Etc..), opérant à distance ou
dans les locaux des clients. Ses techniciens sont les interlocuteurs dédiés au conseil, et aux
assiste à la résolution des différents incidents.

Afin de prévenir tout risque d’incident, TECHSOGROUP assure une supervision

proactive du système d’information de ses clients. Via un monitoring permanent de ce
dernier (7j/7, 24h/24), l’équipe d’experts récupère des informations sur le système
informatique et les analyse afin d’anticiper tout dysfonctionnement.

d) Formation :
TECHSO GROUP renforce les compétences de ses collaborateurs en proposant une
offre vaste et diversifiée qui comprend près de 125 formations. Les clients ainsi peuvent se
former dans plusieurs domaines relatifs aux nouvelles technologies et aux systèmes
d’informations avec son catalogue de formation riche et varié, TECHSOGROUP leur permet
de développer le savoir-faire en cybersécurité, son catalogue contient des formations en :

- Management des systèmes d’information.

- Business intelligence et big data.
- Réseaux informatique et systèmes d’exploitation
- Base de données relationnelles et nosql.

II. Cadre général et problématique du projet :

1. Cadre général :

Ce projet d'évaluation de la sécurité des applications web s'inscrit dans le cadre du

stage de fin d'études au sein de TECHSO GROUP, où mon objectif est d’évaluer la sécurité des
applications web d'un client réel afin d'identifier les vulnérabilités potentielles pour renforcer
la sécurité de ces applications. Ce projet s'inscrit dans le cadre de la mission de l'entreprise
visant à maintenir un niveau élevé de sécurité des systèmes d'information et à protéger les
données sensibles du client contre les menaces cybernétiques. Ces tests seront réalisés en
utilisant la méthodologie OWASP TOP 10 et des outils spécialisés pour identifier les
vulnérabilités. En faisant cela, il faut respecter les politiques de la sécurité de l'entreprise et à
assurer la confidentialité des données sensibles tout au long du processus d'évaluation.

2. Problématique

La problématique générale de ce projet d'évaluation de la sécurité des applications

web réside dans la nécessité de protéger efficacement les données sensibles et les systèmes
informatiques contre les menaces croissantes qui ciblent les applications web. Étant donné
qu'elles sont présentées partout et constamment exposées à Internet, les applications web
sont devenues des cibles privilégiées pour les attaquants qui cherchent à exploiter les
vulnérabilités afin d'accéder à des informations confidentielles, perturber les opérations
commerciales ou compromettre la réputation de l'entreprise. La problématique se pose donc
quant à la capacité des entreprises à identifier rapidement les vulnérabilités des applications
web, tout en garantissant une protection continue contre les cyberattaques.

Ce projet vise ainsi à répondre à cette problématique en menant une évaluation

approfondie de la sécurité des applications web, en identifiant les failles de sécurité pour
renforcer la posture de sécurité de l’entreprise cliente

III. Déroulement de stage :

1) Cahier de charge :
a) Le contexte :
Le contexte de ce projet c’est d’effectuer des tests d'intrusion externe sur les
applications web sur un cas d’un client réel, dont les objectifs sont :

 Identification des vulnérabilités potentielles dans les applications web du client.

 Évaluer les risques associés à ces vulnérabilités.

b) Périmètre du Projet
L'évaluation de la sécurité se concentrera sur les applications web principales utilisées
par l'entreprise cliente pour ses opérations commerciales. Cela inclut :

 Applications Web Incluses :

 Points d'Entrée Possibles :
  Contraintes de Temps
 Objectifs Spécifiques :

c) Méthodologie
Le projet va suivre la méthodologie OWASP Top 10 pour l'évaluation de la sécurité des
applications web. Les étapes clés comprennent :

- Reconnaissance : Identifier les applications web cibles, leurs technologies sous-

jacentes et leur architecture.
- Analyse de Vulnérabilités : Utiliser des outils automatisés et manuels pour
détecter les vulnérabilités courantes telles que les injections SQL, les failles XSS,
etc.
- Évaluation des Risques : Évaluer la gravité et l'impact potentiel des vulnérabilités
détectées.
- Exploitation : Avec l'autorisation appropriée, tenter d'exploiter les vulnérabilités
pour démontrer leur impact réel.
- Rapport et Recommandations : Préparer un rapport détaillé des résultats y
compris les vulnérabilités détectées et les risques associés.

d) Calendrier
Le projet commencera le [date de début prévue] et devrait être terminé d'ici [date de
fin prévue].

2) Planning du projet :

Diagramme de Gant