Académique Documents
Professionnel Documents
Culture Documents
I- Introduction
V- Audit technique
Objectif :
Cet audit doit prendre comme référentiel de base la norme ISO/CEI 27002
et suivre une approche méthodologique aussi proche que possible de ce
référentiel. La mission d’audit devra ainsi concerner les aspects organisationnels,
physiques et techniques relatifs à la sécurité du système d’information inclus dans
le périmètre de cet audit.
4
II- Préparation de l’audit
La mission d’audit, doit couvrir les aspects physiques, organisationnels
et techniques, relatifs à la sécurité de l’ensemble des entités et moyens suivant :
- Personnel
- Outils logiciels,
- Equipements de traitement,
- Equipement réseaux
- Equipement de sécurité……
1- L’accompagnement Pré-audit
Cette phase consiste à assister l’APAL à définir les besoins de sécurité de son système
d’information par rapport aux objectifs de sécurité :
- Confidentialité
- Intégrité
- Disponibilité
- Non répudiation
Cette définition des besoins permettra à l’auditeur de proposer les exigences minimales de
sécurité pour ce système d’information et de choisir les contrôles de sécurité appropriés à
appliquer. Le processus de sélection de ces contrôles doit impliquer la direction
et le personnel opération au sein de l’organisme.
5
2- Les actions de lancement de la mission
Des réunions préparatoires de la mission seront organisées au début de la mission, dont
l’objet sera de finaliser, sur la base des besoins et documents préparés par
le soumissionnaire retenu, les détails de mise en œuvre de la mission :
- Désignation par l’APAL des détails complémentaires, relatifs au périmètre de l’audit
- Fourniture du document de définition des besoins de sécurité.
- Détermination de la conformité des documents existants aux exigences de la
norme ISO/IEC 27002.
- Examen des détails des listes des interviews à réaliser par le soumissionnaire et fourniture
6
III- Périmètre d’audit
L’audit de sécurité a pour objectif de mesurer les ressources critiques
de l’entreprise, ce qui est appelé le périmètre d’audit.
PC
Nb Total de PCs
- Nombre moyen de pc sous Windows Win XP,Win7
- Nombre moyen de pc sous Mac OS 160
- Nombre moyen de pc sous Linux 0
Autres OS 0
Serveur
Nb Total de Serveurs 10
- Type d’OS Win Server 2003/2008/2012
- Nombre d’utilisateur supportés 200
Applications
Nombre d’applications (objet de l’audit de sécurité) 20
- Nombre d’utilisateurs 130
- Environnement des Applications SQL/ARCGIS
7
Réseau
- Nombre de sites distants interconnectés 10
- Nombre de sous-réseaux (interne et externe) 10
- Connexions externes : IPMPLS inter site
- Nombre de connexions Dial-up 2
- Nombre de routeurs et types de connexions 9 :SDSL
supportées 2 :FO
- Nombre de switchs et niveau (2,3…) 3
Outils de Sécurité
Nombre de systèmes Firewall 2
Firewalls 1 : ASA 5520
1 : ASA 5505
Type de connexions VPN activées au niveau des IPMPLS
firewalls.
Serveur anti-virus
Nombre de serveurs anti-virus et nombre de licences 1 serveur 120 licences
Nombre de passerelles antivirales et leur usage (e-mail, 1
web, FTP…..
8
Outils d’authentification
Nombre de serveurs d’authentification réseau internes et 1/80Users
nombre moyen d’utilisateurs supportés
9
2- Equipements existants
DESIGNATION Nombre
BAIE DE DISQUE 1
COMMUTATEUR 2
CONSOLE 2
DIGITALISEUR 2
DISQUE DUR EXTERNE 5
FIREWALLL 2
GPS 4
IMPRIMANTE 80
IMPRIMANTE RESEAU 8
ONDULEUR 48
ONDULEUR UPS 2
PC 120
PC PORTABLE 40
ROBOT DE SAUVGARDE 2
SCANNER 30
SERVEUR 10
SWITCH 12
TABLETTE 3
TRACEUR 2
10
IV- Audit organisationnel et physique
1- Niveau organisationnel
L'absence d'une gestion correcte d'un système informatique peut rapidement
conduire à sa compromission. En effet, c'est au niveau de la gestion des solutions
que doivent être définies les règles d'utilisation et d'implémentation de ces dernières.
C'est également à ce niveau que doivent être mis en place les contrôles permettant de veiller
au respect des règlements. La création et la distribution des procédures régissant le bon
fonctionnement de la solution sont aussi régies à ce niveau.
11
- Existence des applications non inventées (non inspecter).
- L’absence d’une site de secours.
- Mauvaise utilisation des moyens en place : même si des règles ont été mises en place
au niveau de la gestion des accès (mot de passe), l'absence de contrôles effectifs a
pour conséquence beaucoup d'utilisateurs ayant tendance à ne pas changer leur mot de passe
12
2- Niveau physique
Cette famille comprend toutes les vulnérabilités liées aux évènements
imprévisibles comme les pannes, les accidents ou encore les atteintes
intentionnelles aux matériels. C'est en réponse à cette famille de vulnérabilités
que l'on analysera toutes les caractéristiques physiques des salles et équipements
informatiques et que l'on parlera également de «Plan de Continuité».
- les risques physiques (les dégâts d’eau, de feu ou d’électricité) ne sont pas pris en compte.
- l'indisponibilité d'un serveur ou d'une base de données peut entraîner la rupture de services.
- Manque de contrôle d'accès aux éléments physiques : l'accès aux salles informatiques,
connectiques ou autres doit être limité de manière à éviter des manipulations (in)volontaires,
13
V- Audit technique
14
VI- Test d’intrusion
Les outils proposés doivent inclure, sans s’y limiter, les catégories d’outils
suivants :
- Outils de test automatique de vulnérabilités du réseau.
- Outils spécialisés dans l’audit des équipements réseau (routeurs, Switchs, …).
- Outils spécialisés dans l’audit de chaque type de plate-forme systèmes (OS, …)
présentes dans l’infrastructure.
- Outils spécialisés dans l’audit des SGBD existants.
- Outils de test de la solidité des objets d’authentification (fichiers de mots clés, …).
- Outils d’analyse et d’interception de flux réseaux.
- Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS,
outils d’authentification, …).
Et tout autre type d’outil, recensé nécessaire, relativement aux spécificités du SI audité
(test d’infrastructure de PKI, …).
15
VI- Test d’intrusion
1- Test automatique de vulnérabilités du réseau
Outil utilisé :
- Test de vulnérabilités du réseau « Acunetix »
Acunetix est un scanner de sécurité Web de bout en bout qui offre une vue à 360 °
de la sécurité d'une organisation.
16
- Exécuter des tests d’utilisation réalistes avec le générateur de trafic réseau
« WAN Killer ».
- Nessus
Nessus détecte les machines vivantes sur un réseau, balaie les ports ouverts, identifie
les services actifs, leur version, puis tente diverses attaques.
17
2- Test automatique de vulnérabilités des codes
Tester la vulnérabilité des mots de passe et codes « OWASP »
Consiste à utiliser le scanner de l’OWASP pour identifier les vulnérabilités qui
affaiblissent la sécurité de vos applications, puis, d’utiliser le « Code Review guide »
pour comprendre chacune des failles identifiées avant de les corrige.
18
VI- Les recommandation de sécurité
1- Recommandation organisationnel et physique
- Sensibiliser le personnel des devoirs et responsabilités et les exigences
- Responsabilité de la direction informatique
- Utilisation de mots de passe différents entre les personnels
- Mettre en place une plateforme /procédures de secours informatique: qui a pour but
de redémarrer l'activité informatique après un sinistre; et ce de la manière la plus
efficace possible (perte minimale de données, de temps et de matériel)
- Assurer l’existence de la veille technologique dans le secteur informatique.
1- L’accompagnement Pré-audit
19
2- Recommandation technique
- Disposition d’une protection antivirus (maintenue à jour)
- Utilisation de mots de passe plus rigides de la sécurité du système d’information.
- Installation des nouvelles versions des systèmes OS plus supporté sur les PCs
et les Serveurs.
- Utilisation des outils de test d’intrusion NIDS et HIDS
- Distribués Les Firewall à jour pour toutes les équipements réseaux
- Spécifier un local protégé et bien aménagé comme salle informatique.
- Placer un climatiseur dans le local ou se trouve l’armoire informatique
- Faire des scans de vulnérabilités périodiques des machines
- Mettre en place une politique de point de sauvegarde
- Configurer des listes de contrôle d’accès ACLs (Access Control List) au niveau
des routeurs d’interconnexion
- Utiliser un analyseur de trafic réseau (surveiller les connexions)
- Sécuriser les communications multi-sites (authentification, chiffrement, etc.)
20