Projet D’audit

Présenté par :
LO Alioune
LOULONGANOU Renel Suzanne
MONTEIRO Mame Diarra
NDIAYE Marie
SEMBENE Aminata Ngoné

ESMT 1
 Sommaire

1 INTRODUCTION
2 CONTEXTE ET OBJECTIFS DE NOTRE
INTERVENTION
3 DETAILS DES CONSTATS ET
RECOMMANDATIONS
4 AUTRES CONSTATS
5 CONCLUSION

ESMT 2
 1 INTRODUCTION

ESMT 3
 Section 1 – Introduction

Introduction

De nos jours, les biens les plus importants sont des données numériques. On tend vers une migration totale vers le digital vue la
croissance exponentielle des réseaux et outils informatiques, et la facilitation de l’accès à l’information. Cette croissance de l’utilisation
de ces outils ainsi que la démocratisation de l’information engendre, logiquement, une hausse des attaques informatiques.
C’est pour cette raison que toute entreprise doit s’assurer de la sécurité de son système d’information : c’est le principe de l’audit
informatique.
Un audit de sécurité, c’est un processus d’analyse complète des différentes strates d’un système d’information, afin de disposer
d’une liste complète des failles potentielles et des points d’amélioration de notre stratégie de sécurité.
En faisant réaliser un audit de sécurité informatique, on s’assure de connaître tous les axes d’amélioration possibles pour sécuriser notre
entreprise : du matériel, aux paramétrages, en passant par les utilisateurs et la stratégie, rien n’est laissé au hasard.
Les lignes suivantes sont le résultat de l’audit qu’on a eu à réaliser sur le système de la team défense dans le cadre du cours d’audit de
la sécurité des réseaux.

ESMT ESMT • Rapport de diagnostic 4

 2 CONTEXTE ET OBJECTIFS DE
NOTRE INTERVENTION

ESMT 5
 Section 2 – Contexte et objectifs de notre intervention

Contexte et objectifs de notre intervention

Après avoir implémenter et déployé leur réseau, la team « Défense » a voulu savoir si son réseau a bien été configuré, sécurisé et surtout
si elle respecte les normes de sécurité et d’implémentation. De ce fait elle a fait appel à la team « Audit » afin de faire une vérification
de ses normes et ainsi s’assurer de la fonctionnalité, de la sécurité et de la qualité de service de tout son réseau.

L’objectif principal de notre intervention est d’évaluer avec précision la capacité de leur réseau à résister aux attaques informatiques,
à identifier les failles et appliquer les actions correctives nécessaires avant qu’il ne soit trop tard.
Identifier les forces et les faiblesses de ce dernier, permet d’obtenir une vision complète et réaliste de la capacité de l’infrastructure à
résister aux attaques de tous types et de toutes origines, en développant les axes de progression préalablement identifiés.

Dans ce rapport, nous allons exposer nos constats en particulier sur les failles et aussi donner des recommandations qui après les avoir
appliquer, assureront une meilleure sécurité et qualité de service à leur réseau.

ESMT ESMT • Rapport de diagnostic 6

 3 Détail des constats et
recommandations

ESMT 7
 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

 La capture d'écran ci-contre Faire une segmentation du réseau en

montre que l'architecture est plusieurs couches afin d'optimiser la
une architecture non performance du réseau et en faciliter
hiérarchisée en couches la maintenance et l'évolutivité. Pour
distinctes. cela, nous recommandons de mettre
en place l'architecture pour entreprise
 Une topologie réseau de ce en 3 couches de Cisco avec les
type pose un problème de couches Accès, Distribution et Cœur.
performance si le réseau est
assez grand.

ESMT ESMT • Rapport de diagnostic 8

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Nous avons constaté que pour  Mettre en place un système

accéder à l'infrastructure réseau d'authentification avec la
filaire, il n’y existe pas technologie 801.X.
d’authentification requise. Par
conséquent, toute personne  Eteindre tous les ports inutilisés
possédant un accès physique à un d'un switch.
port d’un actif (à un switch par
exemple), peut accéder
directement au réseau en branchant
un câble réseau.

ESMT ESMT • Rapport de diagnostic 9

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE
Sur certains des équipements,  Toujours utiliser la commande
nous avons constaté que les enable secret à la place de enable
identifiants de connexions sont password.
crées en local. Bien qu’il y ait
possibilité de chiffrer le mot de  Toujours utiliser si possible
passe créé avec la commande l'option "secret" à la place de
"service encryption "password".
password", ces mots de passe
peuvent être déchiffrés.  Mettre en place une solution AAA
avec CISCO ISE.

ESMT ESMT • Rapport de diagnostic 10

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE
Sur R1, nous avons constater que
bien enable secret a été utilisé, la Utiliser "service encryption
commande "service encryption password" afin de fournir un
password" n’a pas été configuré. niveau maximal de sécurité de
Certains des mots de passes du mots de passes.
routeurs peuvent dans ce cas être
déchiffrés. Utilser enable secret au lieu de
enable password pour un
Sur R2 la commande enable meilleur cryptage.
password a été utilisée à la place
de enable secret.

ESMT ESMT • Rapport de diagnostic 11

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Veillez à la configuration de la
nomenclature. Le nom utilisé pour les
Architecture: nomenclature non configurations (hostname des
conforme avec table d’adressage. équipements) doit être le même pour
l’architecture et la table d’adressage.

ESMT ESMT • Rapport de diagnostic 12

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE
SWS DMZ: la date n'est pas à jour Mettre à jour le fuseau horaire
MARCH 1993. manuellement ou utiliser une solution Ntp
(Network Time Protocol) qui va permettre au
système de synchroniser, via le réseau
informatique, l'horloge locale d'ordinateurs
sur une référence d'heure.

Utiliser des équipements plus récents avec

des licences toujours d’actualité pour
VERSION 15.2 (2)e8 expiréé effectuer les mises à jour récentes et
31/10/2016 fin de vie des equipements. ultérieures car les licences qui ont expiré
sont plus vulnérables que les nouvelles.

ESMT • Rapport de diagnostic

ESMT 13
 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Il faut une implémenter une solution AAA

 no aaa new model.
pour renforcer la sécurité du système. AAA
va permettre aux utilisateurs de
 "enrollment selfsigned" pas non s’authentifier avant d’accéder au réseau.
validé par une autorité de Faire valider les certificats par une autorité
certification de certification pour sécuriser les échanges
et apporter une légitimité à l’entreprise.
 "revocation-check none" option Il faut implémenter une procédure de
vérification des certificats révoquées pour
par defaut, les certificats seront
éviter de les utiliser. Pour cela, mettre en
toujours acceptés: probleme de place une liste de certificats révoqués (CRL)
securité. qui va etre vérifié par le système chaque fois
qu’un certificat doit etre utilisé.

ESMT • Rapport de diagnostic

ESMT 14
 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Veillez à la configuration de la
 Pas de nomenclature pour les
nomenclature. Le nom utilisé pour les
équipements: nomenclature par configurations (hostname des équipements)
défaut. doit être le même pour l’architecture et la
table d’adressage.

Pour assurer la disponibilité, il faut une

 Pas d'alimation redondante architecture redondante au niveau des
"RPS IS NOT PRESENT" équipement réseau mais aussi de
l’alimentation de ces équipements. Une seule
source d’alimentation n’est pas suffisante car
si elle est en panne, toute l’architecture n’est
plus fonctionnelle.

ESMT ESMT • Rapport de diagnostic 15

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Native vlan : vlan par défaut (1) Ne pas utiliser le VLAN par défaut pour
est actif déconseillé éviter les attaques par saut de VLAN.
On recommande plutôt des VLAN dédié
pour la gestion des interfaces trunks.

ESMT ESMT • Rapport de diagnostic 16

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Pas de synchronisation au niveau Mettre en place un serveur de gestion

des horloges. de temps pour l’ensembles des
périphéries réseaux.
Le switch n’est plus pris en
charge.
Migrer l’architecteur vers d’auteurs
switch plus récents.

ESMT ESMT • Rapport de diagnostic 17

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

L’activation de la procédure de utiliser la commande # no service

récupération de mot de passe password-recovery.
permet à toute personne
physiquement connectée au switch
de lancer une procédure de
récupération de mot de passe.

ESMT ESMT • Rapport de diagnostic 18

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS TOPOLOGIE
ÉVIDENCE

Le scan du réseau du DMZ nous

montre qu'il y'a 3 adresses utilisées
:
• 192.168.13.1
• 192.168.13.3(Site Web )
• 192.168.13.22 (DNS)
www.defenses.local
[ rDNS:ServeurSec.DEFENSE
S.local]

ESMT ESMT • Rapport de diagnostic 19

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Le scan du site  Il faut stocker le PHPSESSID dans

web(www.defenses.local) nous un cookie plutôt que dans l'URL
montre qu'ils ont utilisé: pour pouvoir le cacher
• Http/1.1
• Html avec encodage UTF-8  Pour cacher la version de php ,
• Un server Microsoft-IIS/10.0 éditez le fichier /etc./php.ini et
• Php/7.4.13 passez la
• Le cookie PHPSESSID est directive expose_php à Off.
visible (leaking)

ESMT ESMT • Rapport de diagnostic 20

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Le scan du www.defenses.local  Implémenter le dns-nsec et le service

nous montre qu'il n'y a pas de dnssec afin de renforcer
dns-nsec implémenté de même l’authentification du DNS en utilisant
des signatures numériques basées sur la
que le service dnssec . cryptographie à clé publique.
Les ports suivant sont ouverts
• 53/tcp  Fermer les ports qui ne sont utilisés afin
• 53/udp (port filtré) d’empêcher des attaques.

ESMT ESMT • Rapport de diagnostic 21

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

L'énumération de l'adresse du site

dns nous montre les différents
services utilisés :
•Simple dns plus
•Kerberos
•2 Microsoft Windows active
directory LDAP
• 2 Microsoft Windows RPC
•Microsoft IIS httpd 10.0

ESMT ESMT • Rapport de diagnostic 22

 Section 3 – Détail des constats et recommandations

Détail des constats et recommandations

MISE EN
CONSTATS RECOMMANDATIONS
ÉVIDENCE

Le scan des LAN externes donne les  Revoir la configuration du réseau

résultats suivants :
•Les pings du lan1 vers le lan2 ne  Vérifier si les câbles sont bien
passent pas
•Les câbles consoles étaient défaillants branches a leur place
•Mauvaise configuration de Active
Directory  Réactiver les class-map afin de
•Les configurations du Switch 2 sont pouvoir utiliser le vpn site-to-site
incorrectes (vlan 10 et vlan 20 ) car il et ainsi pouvoir communiquer
est impossible de se connecter à leur entre les deux LAN.
réseau
•Le routeur R1 n'avait plus de
ports gigabitEthernet disponibles.

ESMT ESMT • Rapport de diagnostic 23

 4 Autres constats

ESMT 24
 Section 4 – Autres constats

Autres constats
CONSTATS RECOMMANDATIONS

Pas de politique de sécurité (ou charte de Penser à formaliser la politique de

travail) formalisée, documentée et sécurité, à la documenter, ainsi qu’à la
communiqué aux tiers concernés. communiquer aux membres de l’équipe
concernés.
Pas de fiche de sortie.
Mettre en place une fiche de sortie.
La procédure de gestion n’est pas
formalisée. Mettre en place une procédure de gestion.

Aucune formalisation, mise à jour des Mettre en place ces procédures et penser à
procédures opérationnelles d’exploitation les mettre à jour régulièrement.
(systèmes, applications, BD, équipements,
solutions réseaux, sécurité, etc.)

ESMT • Rapport de diagnostic

ESMT 25
 Section 4 – Autres constats

Autres constats
CONSTATS RECOMMANDATIONS

Aucune politique de journalisation Implémenter une politique de

des évènements. journalisation des évènements.

Ils ne disposent pas de SOC (Security Manager le SOC (SecurityPLAN

Operations Operating Center) afin d’assurer la
Center). continuité par la surveillance en
permanence du Système
 Aucune protection au niveau des d’Information.
moyens de journalisation.
Protéger les moyens de
 Aucune sécurité au niveau de la journalisation.
politique de développement.
Protéger la politique de
développement.

ESMT ESMT • Rapport de diagnostic 26

 Section 4 – Autres constats

Autres constats
CONSTATS RECOMMANDATIONS

 Mettre en place des procédures de

Aucunes procédures de contrôle des
contrôle des changements de système.
changements de système.
 Mettre les équipements dans une salle
Aucune disposition prise pour sécurisée et restreindre l’accès à
protéger les équipements contre les certains utilisateurs du réseau.
désastres naturels, les attaques
 Trouver un groupe électrogène
malveillantes ou des accidents .
(électrique) et au moins un onduleur.
Équipements non protégés contre les
 A mettre en place pour une meilleure
coupures d’électricité et accidents.
organisation de l‘administration.
Absence de procédure de travail.

ESMT ESMT • Rapport de diagnostic 27

 Section 3 – Autres constats

Autres constats
CONSTATS RECOMMANDATIONS

 Pas de politique de sécurité de Favoriser les échanges et faire une

l’information diffusée. sensibilisation au sein du groupe.

 Pas d’outils ou moyens de détection Mettre en place ce genre de système

d’appareils étrangers au SI comme car les vulnérabilités peuvent venir
des téléphones portables. d’appareils connectés au réseau.

 Aucune procédure pour le Important de mettre en place une

télétravail. procédure pour le télétravail et mettre
en place une sécurité maximale car on
est dans un contexte de COVID.

ESMT ESMT • Rapport de diagnostic 28

 Section 3 – Autres constats

Autres constats
CONSTATS RECOMMANDATIONS

Aucune procédure disciplinaire contre Mettre en place cette procédure afin de

toute violation de la politique de discipliner les utilisateurs du réseau.
sécurité.
Implémenter cette politique afin de
Aucune politique de sécurité favoriser les échanges entre les
formalisée de l’information dans les fournisseurs et vous.
relations avec les fournisseurs.
Mieux vaut prévenir certains risques en
Aucune procédure de journalisation mettant en place un journal de gestion
des activités de gestion et de traitement des activités pour y recenser les actions
des incidents. réalisés ainsi que les mesures prises lors
de résolution des incidents.

ESMT ESMT • Rapport de diagnostic 29

 Section 3 – Autres constats

Autres constats
CONSTATS RECOMMANDATIONS

Aucune procédure de gestion des Implémenter ces procédures.

équipements réseaux.
Mettre place cette politique pour une
Aucune politique d’utilisation des meilleure sécurité.
mesures cryptographiques.
Faire une journalisation des activités.
Aucune journalisation des activités
liées à la gestion des clés. Mettre en place un PRA.

Aucun Plan de Reprise des Activités Faire l’inventaire des applications

(PRA) pour tous les scénarios utilisées.
probables.

Aucune inventaire des applications.

ESMT ESMT • Rapport de diagnostic 30

 Section 3 – Autres constats

Autres constats

CONSTATS RECOMMANDATIONS

Formaliser la sécurité physique et

Aucune formalisation de la
environnementale.
sécurité physique et
environnementale malgré
l’implémentation.

 Aucun test ou aucune

surveillance sur la capacité du Faire des tests et surveiller la gestion du
fournisseur à gérer les services de fournisseur de services.
façon sécurisée.

ESMT • Rapport de diagnostic

ESMT 31
 5 CONCLUSION

ESMT 32
 Section 5 – Conclusion

Conclusion
Aux termes de notre mission d’audit, nous pouvons dire que le système de la team défense est assez sécurisé. Des bonnes pratiques tels que la mise en
place d’une zone DMZ pour protéger le réseau local, l’utilisation d’Active Directory pour la gestion des comptes utilisateurs, ou encore l’utilisation
d‘ACLs pour réguler le trafic des données ont été identifiées. Cependant, il y a quand même quelques failles de sécurité (utilisation du VLAN par défaut,
ports non-nécessaires ouverts, pas de journalisation des évènements, architecture non-hierarchisée entre autres) qui doivent être corrigés afin d’assurer
une protection optimale.

ESMT ESMT • Rapport de diagnostic 33