Mini projet

Audit de Sécurité Informatique

à l’agence APAL
Plan

I- Introduction

II- Préparation de l’audit

III- Périmètre d’audit

IV- Audit organisationnel et physique

V- Audit technique

VI- Test d’intrusion

VI- Les recommandation de sécurité

2
I- Introduction
1- L’audit sécurité
Un audit de sécurité informatique est une démarche qui permet de
connaître le niveau de sécurité global de son système d'information.
2- Le charte d’audit
- Le charte définit et précise la mission, les pouvoirs et les responsabilités
de l’audit interne au sein de l’entreprise.
- Cette charte d’audit interne se réfère aux normes Internationales pour
la pratique professionnelle de l’audit interne.
- L’auditeur doit garantir la confidentialité des informations liées aux missions
d’audit, à moins qu’une communication ne soit requise par une autorité
judiciaire ou une divulgation exigée par l’ANSI.
- L’auditeur assume la responsabilité de l’audit qu’il réalise pour le compte de
l’audité, en particulier des dommages éventuellement causés au cours de l’audit.
- Les informations relatives aux audits, et notamment les preuves, les constats
et les rapports d’audit, doivent être protégés au minimum au niveau diffusion
restreinte. Le traitement de ces données doit être conforme aux normes
et standards relatifs à leur classification, sauvegarde et archivage.
3
3- Présentation d’APAL
L'Agence de Protection et d'Aménagement du Littoral (APAL) est
un établissement public à caractère non administratif, créé par la loi N°95-72
promulguée le 24/07/1995.

Objectif :
Cet audit doit prendre comme référentiel de base la norme ISO/CEI 27002
et suivre une approche méthodologique aussi proche que possible de ce
référentiel. La mission d’audit devra ainsi concerner les aspects organisationnels,
physiques et techniques relatifs à la sécurité du système d’information inclus dans
le périmètre de cet audit.

4
 II- Préparation de l’audit
La mission d’audit, doit couvrir les aspects physiques, organisationnels
et techniques, relatifs à la sécurité de l’ensemble des entités et moyens suivant :
- Personnel
- Outils logiciels,
- Equipements de traitement,
- Equipement réseaux
- Equipement de sécurité……
1- L’accompagnement Pré-audit
Cette phase consiste à assister l’APAL à définir les besoins de sécurité de son système
d’information par rapport aux objectifs de sécurité :
- Confidentialité
- Intégrité
- Disponibilité
- Non répudiation

Cette définition des besoins permettra à l’auditeur de proposer les exigences minimales de
sécurité pour ce système d’information et de choisir les contrôles de sécurité appropriés à
appliquer. Le processus de sélection de ces contrôles doit impliquer la direction
et le personnel opération au sein de l’organisme.
5
 2- Les actions de lancement de la mission
Des réunions préparatoires de la mission seront organisées au début de la mission, dont
l’objet sera de finaliser, sur la base des besoins et documents préparés par
le soumissionnaire retenu, les détails de mise en œuvre de la mission :
- Désignation par l’APAL des détails complémentaires, relatifs au périmètre de l’audit
- Fourniture du document de définition des besoins de sécurité.
- Détermination de la conformité des documents existants aux exigences de la
norme ISO/IEC 27002.
- Examen des détails des listes des interviews à réaliser par le soumissionnaire et fourniture

par L’APAL de la liste nominative des personnes à interviewer.

- Affinement des plannings d’exécution.
- Examen des détails logistiques nécessaires au déroulement de la mission.
3- Les action de sensibilisation pré-audit
Ces actions auront pour premier objectif une sensibilisation générale sur les dangers
cybernétique et les risquer cachés encourus, incluant entre autres la présentation pratique
d’attaque cybernétiques.

6
 III- Périmètre d’audit
L’audit de sécurité a pour objectif de mesurer les ressources critiques
de l’entreprise, ce qui est appelé le périmètre d’audit.

1- Description des systèmes à audité

PC
Nb Total de PCs
- Nombre moyen de pc sous Windows Win XP,Win7
- Nombre moyen de pc sous Mac OS 160
- Nombre moyen de pc sous Linux 0
Autres OS 0

Serveur
Nb Total de Serveurs 10
- Type d’OS Win Server 2003/2008/2012
- Nombre d’utilisateur supportés 200

Applications
Nombre d’applications (objet de l’audit de sécurité) 20
- Nombre d’utilisateurs 130
- Environnement des Applications SQL/ARCGIS

7
Réseau
- Nombre de sites distants interconnectés 10
- Nombre de sous-réseaux (interne et externe) 10
- Connexions externes : IPMPLS inter site
- Nombre de connexions Dial-up 2
- Nombre de routeurs et types de connexions 9 :SDSL
supportées 2 :FO
- Nombre de switchs et niveau (2,3…) 3

Outils de Sécurité
Nombre de systèmes Firewall 2
Firewalls 1 : ASA 5520
1 : ASA 5505
Type de connexions VPN activées au niveau des IPMPLS
firewalls.

Serveur anti-virus
Nombre de serveurs anti-virus et nombre de licences 1 serveur 120 licences
Nombre de passerelles antivirales et leur usage (e-mail, 1
web, FTP…..

8
Outils d’authentification
Nombre de serveurs d’authentification réseau internes et 1/80Users
nombre moyen d’utilisateurs supportés

Outils de détection d’intrusion

Nombre de NIDS (IDS réseau) 0
Nombre de sondes HIDS(IDS hôte) 0
Nombre de Firewalls PC ou Distribués 0
Outils de sauvegarde automatique et leurs types 2 Robots HP LTO4
Outils intégrés administration de la sécurité et leurs 0
types

9
2- Equipements existants

DESIGNATION Nombre
BAIE DE DISQUE 1
COMMUTATEUR 2
CONSOLE 2
DIGITALISEUR 2
DISQUE DUR EXTERNE 5
FIREWALLL 2
GPS 4
IMPRIMANTE 80
IMPRIMANTE RESEAU 8
ONDULEUR 48
ONDULEUR UPS 2
PC 120
PC PORTABLE 40
ROBOT DE SAUVGARDE 2
SCANNER 30
SERVEUR 10
SWITCH 12
TABLETTE 3
TRACEUR 2

10
 IV- Audit organisationnel et physique
1- Niveau organisationnel
L'absence d'une gestion correcte d'un système informatique peut rapidement
conduire à sa compromission. En effet, c'est au niveau de la gestion des solutions
que doivent être définies les règles d'utilisation et d'implémentation de ces dernières.
C'est également à ce niveau que doivent être mis en place les contrôles permettant de veiller
au respect des règlements. La création et la distribution des procédures régissant le bon
fonctionnement de la solution sont aussi régies à ce niveau.

- Documents de politique de sécurité non mis à jour et non formel.

- Inexistence de fiche de fonction avec des attributs de taches liées à la sécurité
du système d’information.
- Inexistence d’un inventaire mis a jour et une classification des actifs.
- Inexistence d’un programme de sensibilisation du personnel au risque d’accident,
d’erreur et de malveillance relatif au traitement de l’information
- Inexistence des outils de contrôle et monitoring d’accès réseau.
- Possibilité de réaliser des attaques en interne et des autres sites distants par
des postes nomades sans être détecter.

11
- Existence des applications non inventées (non inspecter).
- L’absence d’une site de secours.
- Mauvaise utilisation des moyens en place : même si des règles ont été mises en place
au niveau de la gestion des accès (mot de passe), l'absence de contrôles effectifs a
pour conséquence beaucoup d'utilisateurs ayant tendance à ne pas changer leur mot de passe

et à en utiliser certains de type «faibles».

- Organisation interne : la multiplication des pôles informatiques avec leurs solutions dédiées
soit disant moins coûteuses entraîne une complexité voire une impossibilité à gérer
la sécurité des systèmes d'informations et de communication de façon centralisée.
- Absence d’un système de management de la sécurité
- Absence de politique relatives à la sécurité des systèmes d'information et de
communication :
les règles à respecter sont rarement énoncées de façon claire.

12
2- Niveau physique
Cette famille comprend toutes les vulnérabilités liées aux évènements
imprévisibles comme les pannes, les accidents ou encore les atteintes
intentionnelles aux matériels. C'est en réponse à cette famille de vulnérabilités
que l'on analysera toutes les caractéristiques physiques des salles et équipements
informatiques et que l'on parlera également de «Plan de Continuité».
- les risques physiques (les dégâts d’eau, de feu ou d’électricité) ne sont pas pris en compte.
- l'indisponibilité d'un serveur ou d'une base de données peut entraîner la rupture de services.
- Manque de contrôle d'accès aux éléments physiques : l'accès aux salles informatiques,
connectiques ou autres doit être limité de manière à éviter des manipulations (in)volontaires,

mais pouvant causer la perte globale de la salle informatique ou de la connectique

d'une partie des utilisateurs.
- Mauvaise conservation de supports de sauvegarde : les supports de sauvegarde sont souvent
stockés dans la salle informatique ce qui les rend inopérants en cas de sinistre.
- Mauvaise gestion des ressources : les ressources doivent être dimensionnées de
façon correcte et doivent être surveillées de près.
- Absence de gestion du câblage : l'absence de documentation du câblage peut entraîner des
déconnexions intempestives voire la mise à disposition de ressources sur des réseaux publics.

13
V- Audit technique

Lors des audits techniques, l’utilisation d’outils commerciaux doit être

accompagnée de la présentation d’une copie de la licence originale et nominative,
permettant leur usage correct pour telles missions (inexistence de restrictions quant
à leur usage pour les audits : plages d’adresse ouvertes,…).

Les vulnérabilités peuvent se résumer comme suit :

- Ensemble de tests pour découvrir les failles et vulnérabilités des composants
du système d’information (réseaux, serveur, site web, système d’exploitation...)
- Interopérabilité des systèmes d'information et de communication: afin de permettre
une communication aisée entre différents systèmes, des couches de
communication supplémentaires sont souvent mises en place, qui peuvent entraîner
l'apparition de nouvelles vulnérabilités.
- Fiabilité des mises à niveau et correctifs (patchs) : souvent, la mise en place des correctifs

se fait dans l'urgence et sans évaluation préalable.

- Complexité des règles sur les pare-feu et routeurs : la mise en place de filtrages et règles
d'accès, à la demande, rend la vue d'ensemble quasi-impossible.

14
VI- Test d’intrusion

Les outils proposés doivent inclure, sans s’y limiter, les catégories d’outils
suivants :
- Outils de test automatique de vulnérabilités du réseau.
- Outils spécialisés dans l’audit des équipements réseau (routeurs, Switchs, …).
- Outils spécialisés dans l’audit de chaque type de plate-forme systèmes (OS, …)
présentes dans l’infrastructure.
- Outils spécialisés dans l’audit des SGBD existants.
- Outils de test de la solidité des objets d’authentification (fichiers de mots clés, …).
- Outils d’analyse et d’interception de flux réseaux.
- Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS,
outils d’authentification, …).
Et tout autre type d’outil, recensé nécessaire, relativement aux spécificités du SI audité
(test d’infrastructure de PKI, …).

15
 VI- Test d’intrusion
1- Test automatique de vulnérabilités du réseau
Outil utilisé :
- Test de vulnérabilités du réseau « Acunetix »

Acunetix est un scanner de sécurité Web de bout en bout qui offre une vue à 360 °
de la sécurité d'une organisation.

16
- Exécuter des tests d’utilisation réalistes avec le générateur de trafic réseau
« WAN Killer ».

- Nessus
Nessus détecte les machines vivantes sur un réseau, balaie les ports ouverts, identifie
les services actifs, leur version, puis tente diverses attaques.

17
2- Test automatique de vulnérabilités des codes
Tester la vulnérabilité des mots de passe et codes « OWASP »
Consiste à utiliser le scanner de l’OWASP pour identifier les vulnérabilités qui
affaiblissent la sécurité de vos applications, puis, d’utiliser le « Code Review guide »
pour comprendre chacune des failles identifiées avant de les corrige.

18
 VI- Les recommandation de sécurité
1- Recommandation organisationnel et physique
- Sensibiliser le personnel des devoirs et responsabilités et les exigences
- Responsabilité de la direction informatique
- Utilisation de mots de passe différents entre les personnels
- Mettre en place une plateforme /procédures de secours informatique: qui a pour but
de redémarrer l'activité informatique après un sinistre; et ce de la manière la plus
efficace possible (perte minimale de données, de temps et de matériel)
- Assurer l’existence de la veille technologique dans le secteur informatique.
1- L’accompagnement Pré-audit

19
2- Recommandation technique
- Disposition d’une protection antivirus (maintenue à jour)
- Utilisation de mots de passe plus rigides de la sécurité du système d’information.
- Installation des nouvelles versions des systèmes OS plus supporté sur les PCs
et les Serveurs.
- Utilisation des outils de test d’intrusion NIDS et HIDS
- Distribués Les Firewall à jour pour toutes les équipements réseaux
- Spécifier un local protégé et bien aménagé comme salle informatique.
- Placer un climatiseur dans le local ou se trouve l’armoire informatique
- Faire des scans de vulnérabilités périodiques des machines
- Mettre en place une politique de point de sauvegarde
- Configurer des listes de contrôle d’accès ACLs (Access Control List) au niveau
des routeurs d’interconnexion
- Utiliser un analyseur de trafic réseau (surveiller les connexions)
- Sécuriser les communications multi-sites (authentification, chiffrement, etc.)

20