Audit de la Sécurité

Informatique
Oualid CHEMEK
oualid.chemek@gmail.com
Sommaire
 Introduction à l’Audit Sécurité

 Démarche de réalisation d’une mission d’Audit Sécurité

◦ Approches d’Audit Sécurité

◦ Les étapes d’Audit Sécurité (Audit Niveau 1, Audit Niveau 2)

 Description détaillée des phases de l’Audit Niveau 2 (Audit

Technique)

 Livrables de la phase d’audit niveau 2 (présentation d’un modèle

type d’un rapport d’audit technique)

 Cadre légal & normatif

Introduction à l’Audit Sécurité
Définition:

 L’Audit Sécurité est une mission d'évaluation

de conformité par rapport à une politique de
sécurité ou à défaut par rapport à un
ensemble de règles de sécurité.
Introduction à l’Audit Sécurité
Objectif Principal d’une mission d’Audit
Sécurité:
 Répondre aux préoccupations concrètes de

l’entreprise , notamment de ses besoins en

sécurité, en :

◦ Déterminant les déviations par rapport aux

bonnes pratiques.
◦ Proposant des actions d'améliorations du niveau
de sécurité de l’ infrastructure informatique
Démarche de réalisation d’une
mission d’Audit Sécurité

 Approches d’Audit Sécurité

 Définir les étapes / les phases de la mission

d’Audit

 Le Cycle d’Audit
Démarche de réalisation d’une
mission d’Audit Sécurité
Approches d’Audit Sécurité
 Une approche " boîte blanche " :

◦ Un audit plus homogène, l'évaluation possède

une caractéristique d'analyse " en complétude " et
les aspects techniques et organisationnels sont
traités de manière uniforme
Démarche de réalisation d’une
mission d’Audit Sécurité
 Une approche " boîte noire " :

◦ Un audit avec une vue plus parcellaire, révélant

plutôt des lacunes ciblées à forte orientation
technique.

◦ Les " tests d'intrusion " ou " tests intrusifs " font
partie de cette catégorie d'audit.
Démarche de réalisation d’une
mission d’Audit Sécurité
Définir les étapes / les phases de la mission
d’Audit
 Cette étape permet de :
◦ Mettre en œuvre l’audit sécurité en définissant les
champs d’étude et les périmètres de la mission.

◦ Définir un planning de réalisation de la mission.

◦ D’élaborer d’une batterie de questionnaires par

rapport à un référentiel défini à partir des exigences
et des attentes des responsables du site audité.
Démarche de réalisation d’une
mission d’Audit Sécurité
 Principalement, la mission sera subdivisée en
deux volets :

◦ Audit Niveau 1 : Audit Organisationnel & Physique ,

Analyse de Risque.

◦ Audit Niveau 2 : Audit Technique

Démarche de réalisation d’une
mission d’Audit Sécurité
Audit Niveau 1

 Avoir une vue globale de l´état de sécurité du système d

´information et d´identifier les risques potentiels (environ tous les
deux ans)

Audit Niveau 2

 Concerne les composants du système d’information :

◦ validation d’une architecture de sécurité,

◦ test de vulnérabilités internes et/ou externes (intrusifs) ,

◦ validation du code (failles dans une application web, contrôle d’accès

trivial...), etc…
Démarche de réalisation d’une
mission d’Audit Sécurité
L’audit Technique d’un périmètre de sécurité
est préconisé dans les situations typiques
suivantes ( d’une manière récurrente) :

 Validation de la sécurité d’un nouveau périmètre, par

exemple d’un Firewall, d’un site eBusiness, d’un
Extranet, d’un accès Internet, d’un système VPN…

 Analyse préalable d’un site pour l’installation d’une

nouvelle infrastructure.
Démarche de réalisation d’une
mission d’Audit Sécurité
Le cycle de l’audit sécurité

 La mission d’audit de sécurité informatique est

effectuée selon un processus cyclique permettant
d’étudier le niveau de sécurité du système
d’information d’un point de vue :

◦ Technique (les points d’entrées sur le réseau, les

équipements de sécurité, les protocoles mis en œuvre,
etc…)

◦ Organisationnel (étude des procédures de définition, de

mise en place et de suivi de la politique de sécurité, etc...)
Démarche de réalisation d’une
mission d’Audit Sécurité
La phase finale du processus d’Audit Sécurité est consacrée à la
rédaction des rapports de synthèse :

 Recueil des principales vulnérabilités et insuffisances

décelées

 Synthèse des recommandations de mise en œuvre

(organisationnels, physiques et techniques)

 Synthèse des solutions et outils de sécurité proposés

 Esquisse d’un plan d’action sécurité (Estimation des budgets

à allouer pour la mise en œuvre des mesures
recommandées )
Démarche de réalisation d’une
mission d’Audit Sécurité
 La mission d’audit sécurité constitue le point de démarrage
du projet de sécurisation d’un site.
Démarche de réalisation d’une
mission d’Audit Sécurité
 Phase récurrente d’Audit Sécurité
Détail de la Démarche
Etude Cas Pratique

 Audit Niveau 1 (AOP,AR)

 Audit Niveau 2 (AT)

Audit Niveau 1

 Audit Organisationnel & Physique (AOP),

Analyse de Risque

◦ Objectif
◦ Déroulement de l’audit niveau 1
◦ Étude Cas – Évaluation du niveau de sécurité d’un SI
◦ Analyse de Risque
◦ Délivrables de la phase d’AOP
Objectif
 Cette première phase de l’audit sécurité
permet :

◦ D’avoir une vision qualitative et quantitative des

différents facteurs de la sécurité informatique du
site audité

◦ D’identifier les points critiques du système

d’information
Déroulement de l’audit des aspects
Organisationnels et Physiques
 Définir un référentiel sécurité (dépend des
exigences et attentes des responsables du site
audité, type d’audit)

 Élaboration d’un questionnaire d’audit sécurité

à partir du référentiel défini précédemment et
des objectifs de la mission

 Planification des entretiens et information des

personnes impliqués avant le déclenchement
de l’audit OP
 Facteurs clés de succès de cette étape :

◦ Comprendre la démarche d'observation : niveau

global puis niveau spécifique

◦ Présenter les objectifs de la démarche d’audit

sécurité avant les entretiens

◦ Instaurer un climat de confiance , éviter la

culpabilité
Délivrables de la phase d’AOP
Les rapports livrés à la fin de cette phase seront
constitués des parties suivantes :
Rapports d'audit couvrant les aspects suivants :

◦ Rapport sur l’Étude de la situation existante en terme de

sécurité au niveau du site audité

◦ Rapport d’audit organisationnel et physique, couvrant les

composantes organisationnelles, physiques et les éventuelles
vulnérabilités de gestion des composantes du système
(réseau, systèmes, applications, outils de sécurité, centre de
calcul, Plans de continuité) et les recommandations
correspondantes pour la politique de sécurité de
l'administration Central.
Audit niveau 2
 Audit Technique (AT)

◦ Définition des phases de l’étape d’AT

◦ Audit de l’architecture du système

 Reconnaissance du réseau et du plan d’adressage

 Sondage des Systèmes

 Sondage des Services réseau

 Audit des applications

◦ Analyse des Vulnérabilités (intrusif interne)

 Analyse des vulnérabilités des serveurs en exploitation

 Analyse des vulnérabilités des postes de travail

◦ Analyse des Vulnérabilités (intrusif externe)

◦ Audit de l’Architecture de Sécurité existante

Venant en suite logique à l’audit de niveau 1, l’audit
de niveau 2 ou l’audit technique s’attache à
identifier les vulnérabilités techniques présentes
sur les systèmes informatiques critiques du site
audité.

Déroulement de l’étape :
 L’audit technique sera réalisé selon une succession

de phases respectant une approche méthodique

allant de la découverte et la reconnaissance du
réseau audité jusqu’à la réalisation des scénarios
d’attaques expertes.
 L’audit technique permet la détection des types de vulnérabilités
suivantes, à savoir :

 Les erreurs de programmation et erreurs d’architecture.

 Les erreurs de configurations des composants logiques installés

tels que les services (ports) ouverts sur les machines, la présence
de fichiers de configuration installés par défaut, l’utilisation de
comptes utilisateurs par défaut.

 Les problèmes au niveau de trafic réseau (flux ou trafic non

répertoriés, écoute réseau, etc …).

 Les problèmes de configuration des équipements

d’interconnexion et de contrôle d’accès réseau
Cet audit s’applique aux environnements suivants :

 Réseau d’accès Internet, réseau d’interconnexion

intersites (Frame Relay , X25, Faisceau Hertzien, etc..).

 Serveurs internes du site audité et les postes sensibles du

LAN.

 Systèmes critiques spécifiques.

 Composants et équipements actifs de l’infrastructure

réseau du site audité (firewalls, routeurs filtrants,
commutateurs niveau 3, etc…)
Principales phases

 Phase 1 : Audit de l’architecture du système

◦ Reconnaissance du réseau et du plan d’adressage

◦ Sondage des Systèmes

◦ Sondage Réseau

◦ Audit des applications

Phase 2 : Analyse des Vulnérabilités (intrusif
interne)

 Analyse des vulnérabilités des serveurs en

exploitation

 Analyse des vulnérabilités des postes de travail

Phase 3 : Analyse des Vulnérabilités (intrusif

externe)
Phase 4 : Audit de l’architecture de sécurité existante

 Audit des Firewalls et Règles de Filtrage

 Audit des routeurs et des ACLs (Liste de Contrôle

d'Accès )

 Audit des Sondes et des passerelles antivirales

 Audit des stations proxy/Reverseproxy

 Audit des serveurs DNS, d’authentification

 Audit de la zone d’administration de l’architecture de
sécurité existante

 Audit des commutateurs (switchs) et de la

configuration en VLANs

 Audit de la politique d’usage de mots de passe

 Audit de la solidité du système, face aux essais

d’interception des flux

 Audit de la résistance aux attaques de déni de service

Détail des phases
Audit de l’architecture du système
 Reconnaissance du réseau et du plan
d’adressage
◦ L'inspection du réseau est un point de départ, lors
duquel la topologie, ainsi que les hôtes et les
équipements réseau seront identifiés.

◦ Cette étape consiste à utilisation de multiples

traçages du réseau et des passerelles, interrogation
des serveurs DNS, afin de détecter les stations,
repérer les équipements de contrôle d’accès sur les
frontières externes du réseau.
Utilisation de l’outil Networkview à l’intérieur du réseau audité
Utilisation de l’outil Networkview sur les périmètres externes du
réseau audité
 Sondage des Systèmes

◦ Elle consiste à auditer les stations, par l’inspection

des moyens de contrôle d’accès et de leur stratégie
d’administration ainsi que l’inspection des traces,
enregistrés par leur logs et les mesures de
protection anti-viral.
 Sondage Réseau

◦ Le sondage des services réseau est une étape qui

permet de savoir quelles sont les ports ouverts sur
les machines du réseau audité (ouverts, fermés ou
filtrés), et également permet d’analyser le trafic ,
reconnaître les protocoles et les services
prédominant au niveau du réseau auditer, le taux
d’utilisation , les flux inter-stations et plusieurs
autres informations.
 Test par les outils de balayage systématique (services/ports) , on
peut cerner la liste des ports ouverts sur les stations en activité.
(Scripts basés sur les outils NMAP, Netcat , Nsat)
Présentation du pourcentage d’utilisation des protocoles TCP et UDP
 Audit des applications

◦ Cette étape de l’audit technique ne représente pas

un audit détaillé des applications.

◦ Toutefois, il s’agit de déceler certaines anomalies

au niveau opérationnelle des applications au sein
de l’environnement du travail du client.
 Analyse des Vulnérabilités (intrusif interne)

◦ L’analyse des vulnérabilités au niveau de tous les

composantes du réseau auditer sera réalisée, via un
ensemble d’outils de scan automatique par
l’édification d’une analyse experte et ciblée du
réseau et des systèmes audités, permettant la mise
au point d’une démarche efficace et experte.
 Audit de vulnérabilités intrusif interne

◦ Permet de mesurer les vulnérabilités des parties les

plus sensibles du réseau local en opérant à partir
d’une station de travail standard, dans des
conditions analogues à celles dont disposerait une
personne mal-intentionnée travaillant sur site
(prestataires, collaborateurs, visiteurs, ...).
 Audit de vulnérabilités intrusif externe avec
connaissance partielle ou totale

◦ Le but de cet audit est de mettre à l’épreuve

l’architecture technique en opérant dans des
conditions analogues à celles dont disposerait une
personne mal-intentionnée ayant une bonne voire
très bonne connaissance du système d’information.
 Audit de vulnérabilités intrusif externe sans
aucune connaissance

◦ Préalable Cette opération est réalisée depuis le

réseau externe du site audité (avec autorisation)
Une simulation de ces attaques pourra être réalisée
à la demande) à partir de postes de travail
positionnés sur le réseau public (Internet) ou sur le
réseau téléphonique dans les mêmes conditions
que celles dont pourrait disposer un pirate
informatique.
Test de l’opacité du réseau depuis l’extérieur :
Examen et test des possibilités offertes à un attaquant
de récupérer, depuis l’extérieur les informations
suivantes :

◦ Topologie du réseau et adresses IP des serveurs et éléments

actifs du réseau.

◦ Protocoles applicatifs et de routage utilisés.

◦ Les services actifs.

◦ Les mécanismes de sécurité supportés.

 Audit de l’architecture de sécurité existante

◦ L’objectif est d’expertiser l’architecture technique

déployée et de mesurer la conformité des
configurations équipements réseaux, parefeu,
autocommutateur privé, sondes , etc. avec la
politique de sécurité définie et les règles de l’art en
la matière.
Étude Cas :
 Audit des Firewalls et Règles de Filtrage

La démarche adoptée consiste à :

◦ Vérifier la configuration, les failles renfermées par la

version installée, les mises à jour

◦ Audit des règles de filtrage (TCP/UDP filtering,

Firewalking)

◦ Audit des mécanismes de log

 Audit des Routeurs

La démarche adoptée consiste à :

◦ Vérifier le type du routeur et sa configuration, ainsi que

les failles éventuelle de version

◦ Test de la conformité des ACLs envers la politique de la

sécurité du site (Audit des ACLs)

◦ Test de la résistance des routeurs contre les attaques

DDOS
 Audit des Commutateurs (switchs) et de la Configurations en
VLANs - la solidité du système, face aux essais d’interception
des flux

La démarche adoptée consiste à :

◦ Réaliser des simulations par des essais d’attaques par des outils d’écoute
réseaux (sniffers) au niveau des différents segments de la configuration en
VLANs

◦ Vérifier de la résistance des commutateurs(switch) contre les attaques

expertes de type MAC Flood et ARP poisoning (Arpspoof)

◦ Réaliser des simulations par des essais d’attaques par des outils d’interception
de flux évolués (interception du contenu des flux http, smtp, pop)
 Audit du Système de Détection d'intrusion (IDS)

La démarche adoptée consiste à :

◦ Tester par des scans et méthodes d’attaques diversifiés et

des essais de simulation (par flood , fausses attaques
simultanées, fragmentation, scans lents) afin de réduire
les possibilités de l’IDS à détecter les attaques

◦ Vérifier les mécanismes de journalisation (log) de la Sonde

◦ Vérifier les performances de la sonde

 Délivrables de la phase d’Audit Technique :
 Rapport d'Audit technique du système d’information,
présentant les vulnérabilités décelées.

 Rapports de synthèse :
◦ Synthèse globale et exhaustif des vulnérabilités et des insuffisances.

◦ Synthèse des solutions et outils de sécurité proposés.

◦ Synthèse des recommandations de mise en œuvre

◦ Esquisse d’un Plan d’action sécurité informatique du site audité

contenant une estimation des budgets à allouer pour la mise en
œuvre des mesures recommandées
 Rapport d'Audit de l’architecture réseau et système

◦ Contient les tests de sécurité qui ont été réalisés ,les

interprétations ainsi qu’un ensemble de recommandations
techniques (cas des anomalies et failles au niveau de
l’architecture réseau existante, vulnérabilités décelées sur les
serveurs et postes sensibles, etc..).
Esquisse du rapport d’ Audit de l’architecture Réseau &
Système :
 A-1 Topologie du réseau - Site Audité

◦ A-1-1 Cartographie du réseau

◦ A-1-2 Cloisonnement du réseau
 A-2 Sondage système
◦ A-2-1 Identification et Mise à jour des systèmes d’exploitation
◦ A-2-2 Mise à jour des applications
◦ A-2-3 Sécurisation des postes de travail (contrôle d’intégrité,
protection antivirale)
◦ A-2-4 Sécurisation des Serveurs
 A-3 Sondage des Flux et services réseau
◦ A-3-1 Sondage Réseau ( ports , services, applications
associées)
◦ A-3-2 Flux réseaux observés
◦ A-3-3 Situation des ressources et partages sur le réseau interne
◦ A-3-4 Politique de gestion des mots de passe
◦ A-3-5 Audit des applications
 A-4 Audit de la gestion des défaillances matérielles
◦ A-4-1 Protection physique des disques durs
◦ A-4-2 Stratégie de sauvegarde des données
Esquisse du Rapport d’Audit des vulnérabilités réseau
et système :
 B-1 Audit des vulnérabilité des Serveurs en exploitation

◦ B-1-1 Analyse des vulnérabilités des Serveurs de données &

d’applications
◦ B-1-2 Analyse des vulnérabilités des Serveurs
Internet/Intranet
 B-2 Audit des vulnérabilité des postes de travail du réseau

audité
◦ B-2-1 Analyse des vulnérabilités des postes de travail
◦ B-2-2 Synthèse des principales vulnérabilités décelées sur les
postes de travail du réseau
Esquisse du rapport d’audit de l’architecture de sécurité existante :

 1- Audit & vérification des règles de filtrage au niveau des

Firewalls

◦ A- Vérifier que le Firewall filtre correctement la circulation

vers/depuis le réseau local, relativement à la politique de
sécurité nécessaire à mettre en œuvre.

◦ B- Vérifier la résistance du firewall contre le Firewalking

◦ C- Vérifier les pénétrations issues des scans inversés

 2- Audit des Commutateurs (Switchs) et de la
configuration en VLANs

◦ A- Identification des vulnérabilités des switchs

◦ B- Audit et vérification de la configuration en VLANs

 3- Audit de la solidité du système face aux essais

d'interception de flux

◦ A- Identification de la liste des services vulnérables à une

écoute passive du réseau

◦ B- Inspection de la résistance du réseau, concernant

l’interception de données sensibles (mots-clés, données
confidentielles)
 4- Audit du Routeur et de la résistance contre les
attaques par déni de service

◦ A- Vérification du type du routeur et sa configuration, ainsi

que les failles éventuelle de version

◦ B- Audit de la conformité des ACL envers la politique de la

sécurité du site

◦ C- Vérification de la réponse des éléments réseaux en

connexion avec l’extérieur contre les attaques de déni de
service (DDos, …).

◦ D- Audit de la réaction du réseau contre les surcharges des

serveurs et du réseau
Cadre légal & normatif (1)
 Le contrôle interne (CI) est l’ensemble des
« mesures de sécurité » permettant à
l’organisation de :

◦ Parvenir à ses objectifs de satisfaction du client,

◦ Mettre en application les décisions de la Direction

Générale,

◦ Respecter le réglementation et préserver les

intérêts de l’organisation.
Cadre légal & normatif (2)
 Les mesures de sécurité reposent sur une
organisation permettant de mettre en œuvre ces
principes :

◦ Les tâches sont allouées de manière à assurer une séparation

des fonctions (pas d’auto-contrôle),

◦ Certains travaux font l’objet d’un contrôle de supervision en

fonction de leur importance ou leur risque,

◦ L’ensemble du dispositif est formalisé par des procédures

qui décrivent les processus et leurs contrôles.
 Ces derniers doivent être décrits de manière suffisamment précise
pour être eux-mêmes contrôlables.
Cadre légal & normatif (3)
 Ainsi le contrôle interne traditionnel repose
principalement sur :

◦ La séparation des tâches pour éviter l’auto-contrôle

◦ La supervision hiérarchique afin de segmenter les

autorisations au regard des opérations

◦ L’audit interne ou encore inspection qui

ponctuellement vient vérifier l’application des
procédures écrites et diffusées.