Audit de la Sécurité Informatique - isefc.rnu.tn · PDF fileDr. Ala eddine BAROUNI ( [email protected]) 1 Audit de la Sécurité Informatique Cours présenté par Dr. Ala eddine

Dr. Ala eddine BAROUNI ( [email protected]) 1

Audit de la Sécurité InformatiqueAudit de la Sécurité Informatique

Cours présenté par

Dr. Ala eddine [email protected]

Dr. Ala eddine BAROUNI ( [email protected]) 2 Dr. Ala eddine BAROUNI ( [email protected])

Pourquoi sécuriser un réseau ?

Principes de sécurité importants

Rappel sur les normes utiles en sécurité réseau

Introduction à l’Audit Sécurité

Démarche de réalisation d’une mission d’Audit Sécurité

Approches d’Audit Sécurité

Les étapes d’Audit Sécurité (Audit Niveau 1, Audit Niveau 2)

Description détaillée des phases de l’Audit Niveau 2 (Audit

Technique)

Livrables de la phase d’audit niveau 2 (présentation d’un modèle type

d’un rapport d’audit technique)

Partie 1Partie 1Module O.T.A


Partie 2 : Partie 2 : Outils et logiciels utilisés lors de l’audit niveau 2 (principalement de l’Open Source)

Les outils utilisés pour chaque phase d’audit techniqueLes outils utilisés pour chaque phase d’audit technique Outils et logiciels utilisés lors de la phase 1 de l’Audit Technique :

Audit de l’architecture du système

Outils et logiciels utilisés lors de la phase 2 de l’Audit Technique :

Audit de la résistance du système face aux failles connues, via une analyse

automatisée des vulnérabilités

Outils et logiciels utilisés lors de la phase 3 de l’Audit Technique :

Audit de l’architecture de sécurité existante

Description détaillée des tests de sécurité à réaliser au cours de la Description détaillée des tests de sécurité à réaliser au cours de la

l’audit techniquel’audit technique


Partie 3: Partie 3: Outils de protection réseau (principalement de l’Open Source)

Prototype d’une architecture de sécurité basé sur

des outils du monde des logiciels libres (firewalls,

détection d’intrusions, contrôle d’intégrité, etc..)

Présentation des solutions de corrélation de

vulnérabilités


Pourquoi sécuriser un réseau ?

Intrusexterne

Une conception de sécurité réseau protège les actifs desmenaces et vulnérabilités de façon organiséePour élaborer une conception de sécurité, analysez les risquespesant sur vos actifs et créez des réponses

Actifs de l'entreprise

Intrusinterne

AutorisationsincorrectesVirus


Principes de sécurité importants

Principe Définition

Défense enprofondeur

Offre plusieurs niveaux deprotection contre lesmenaces en plusieurs pointsdu réseau

Moindreprivilège

Octroie à un utilisateur ouune ressource les privilègesou autorisations minimauxnécessairesà l'exécution d'une tâche

Surface d'attaqueminimisée

Réduit les points vulnérablesd'un réseau

Dr. Ala eddine BAROUNI ( [email protected])

Les normes de sécurité informatique

BS 7799 / ISO 17799, ISO 27002 ,

ISO 27001, BS 7799-2


Plan

• Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001

• Normes BS 7799, ISO 17799 et ISO 27002

• Qualités de BS 7799 / ISO 17799

• Les dix contextes clés de ISO 17799

• Normes ISO 27001, BS 7799-2

• Approche de gestion (Modèle PDCA)

• Historique

• Pour qui ?

• Implantation

• Outils et logiciels


Les normes de Sécurité Informatique

.

Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001

• Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des systèmes d’information sont disponibles. Elles constituent des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une démarche de sécurité cohérente.


Les normes de Sécurité Informatique• L’ISO a entrepris un vaste effort de rationalisation

des travaux existants donnant naissance à la série des ISO 27000. Certaines sont obligatoires pour obtenir une certification (27001 et 27006), les autres ne sont que des guides :

• l'ISO 17799 sera renommé en 27002, le 1er avril 2007.

• l'ISO 27006 est en cours de fabrication -sortie prévue fin novembre.

• l'ISO 27004 et l'ISO 27005 sont à l'état de drafts avancés.


Normes BS 7799, ISO 17799 et ISO 27002 ?

• Un ensemble de contrôles basés sur les meilleures pratiques en sécurité des informations;

• Standard international qui couvre tous les aspects de la sécurité informatique:– Équipements;– Politiques de gestion;– Ressources humaines;– Aspects juridiques.


Normes BS 7799, ISO 17799 et ISO 27002

.

• ISO 17799 (partie 1) se veut un guide contenant des conseils et des recommandations permettant d’assurer la sécurité des informations d’une entreprise.

• La norme ISO 17799 (partie 2 :2005), prochainement renommée 27002, est directement tirée de la BS 7799-1 (créée par le BSI British Standard Institute). Elle correspond à un niveau de détail plus fin que la 27001 et spécifie une Poltique de la Sécurité des Systèmes d'Information. C'est une liste détaillée et commentée de mesures de sécurité. Cette norme est un guide de Bonnes Pratiques (Best Practices)



Pour maîtriser la sécurité d'un système d'information. plusieurs versions de la BS 7799 ont été élaborées depuis le début des années 1990 et la dernière est devenue la norme ISO/IEC 17799.

Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes de définition :

1. périmètre à protéger (liste des biens sensibles), 2. nature des menaces, 3. impact sur le système d'information,4. mesures de protection à mettre en place.



• L’ ISO 17799 donne des exemples et des indications sur les niveaux 1 à 3, mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant ce qui est nécessaire de mettre en place, sans toutefois préciser en détail comment.

• La norme ISO 17799 comporte 39 catégories de contrôle et 133 points de vérification répartis en 11 domaines :


Normes BS 7799, ISO 17799 et ISO 27002• 1. Politique de sécurité

• 2. Organisation de la sécurité : - organisation humaine, implication hiérarchique, - notion de propriétaire d’une information et mode declassification,

- évaluation des nouvelles informations, - mode d’accès aux informations par une tierce partie,- Répartition des responsabilités, groupes de travail, …

3. Classification et contrôle des biens - Identifications des actifs, Classification de l’information



• 4. Sécurité du personnel - contrats de travail, Sensibilisation à la sécurité, implication dans la sécurité

• 5. Sécurité physique - organisation des locaux et des accès, - protection contre les risques physiques (incendies,inondations...)

- systèmes de surveillance et d’alerte, - sécurité des locaux ouverts et des documentscirculant.


Normes BS 7799, ISO 17799 et ISO 27002• 6. Communication et exploitation:

- Gestion des incidents, - Gestion du réseau- prise en compte de la sécurité dans les procéduresde l’entreprise,

- mise en oeuvre des systèmes de sécurisation (anti-virus, alarmes..),

• 7. Contrôle d'accès: - Utilisateurs - Définition des niveaux d’utilisateurs et de leur droitd’accès,


Normes BS 7799, ISO 17799 et ISO 27002- Gestion dans le temps des droits, - Réseau- Système d’exploitation- Application

• 8. Acquisition, développement et maintenance des systèmes - Contrôles cryptographiques- Sécurité des fichiers - Chevaux de Troie

• 9. Gestion des incidents


Normes BS 7799, ISO 17799 et ISO 27002• 10. Management de la continuité de service

-Planification , test, réévaluation

• 11. Conformité: - dispositions réglementaires - dispositions légales - dispositions internes (Politique)

• La norme n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de sécurité au fil du temps.

• Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès, locaux...).


Qualités de BS 7799 / ISO 17799

• Couverture de la norme;• Éprouvée;• Publique;• Internationale;• Image de marque associé à « la

qualité »• Évolutive et souplesse (s’adapter aux

contextes);• Disponibilité d’outils et de support.


Contrôle des accès

Classification etcontrôle des actifs

Politique desécurité

Sécurité de L’organisation

Sécurité du personnel

Sécurité physique et environnementaleGestion des

Communications et opérations

Développement et maintenance

Gestion de la continuité

Conformité

Information

Intégrité Confidentialité

Disponibilité

Les dix contextes clés de ISO 17799


Organisationnel

Opérationnel

1. Politique desécurité

2. Sécurité de l’organisation

3. Classification et contrôle des

actifs

7. Contrôle des accès

4. Sécurité du personnel 5. Sécurité physique et environnementale

8. Développement et maintenance

6. Gestion des communications et opérations

9. Gestion de la continuité

10. Conformité

Les dix contextes clés de ISO 17799


Normes ISO 27001, BS 7799-2

• La norme ISO 27001, publiée en Novembre 2005, définit la Politique du Management de la Sécurité des SI au sein d'une entreprise. Elle est issue de la BS 7799-2:1999 Specification for information security management systems qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire.



• La norme ISO 27001 comprend 6 domaines de processus :1. Définir une politique de la sécurité des informations, 2. Définir le périmètre du Système de Management de la sécurité de l'information, 3. Réaliser une évaluation des risques liés à la sécurité, 4. Gérer les risques identifiés, 5. Choisir et mettre en oeuvre les contrôles. Préparer un SoA ( "statement of applicability").



• Comme ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place d’une boucle d’amélioration (PDCA).

• BS 7799 (partie 2) propose des recommandations afin d’établir un cadre de gestion de la sécurité de l'information efficace. BS 7799-2 permet d’établir un système de gestion de sécurité de l’information (SGSI).


Approche de gestion (Modèle PDCA)










Code de bonnes pratiques pour la gestionde la sécurité de l’information

ISO 17799

Guide de gestion de la sécurité de la technologie de l’information

ISO13335 (GMITS)

Produits et systèmes certifiéspar ISO 15408(CC)

Complémentarité avec d’autres normes ISOComplémentarité avec d’autres normes ISO


History and Development of ISMS

19951998

BS 7799 Partie 1

BS 7799 Partie 2

Standards suédois SS 62 77 99 Partie 1 et 21999Nouvelle version de BS 7799 Partie 1 et 2

Décembre 2000 ISO/IEC 17799:2000

2001Révision de BS 7799-2

Septembre 2002 Nouvelle version de BS 7799-2 revue et corrigée

Historique

Novembre 2005 La norme ISO 17799 (partie 2), ISO 27001

Avril 2007 La norme ISO 17799 (partie 2 :2005) renommée 27002


Pour qui les normes?

• Les normes BS 7799/ISO 17799, … peuvent être utilisée par tout organisme ou entreprise. Il suffit qu’une organisation utilise des systèmes informatiques, à l’interne ou à l’externe, qu’elle possède des données confidentielles, qu’elle dépende de systèmes d’informations dans le cadre de ses activités commerciales ou encore qu’elle désire adopter un niveau élevé de sécurité tout en se conformant à une norme.


Achat en ligne du standard ISO 17799

18 %

6 %

23 %

(% par région)

9 %

35 %

Autres : 9 %


Audit et certification BS 7799 / ISO 17799

• Il n’existe pas de certification ISO 17799 pour le moment.

• Une entreprise peut se conformer à ISO 17799 et ensuite se certifier BS 7799-2 : 2002, ISO 27001.

• Une démarche d’audit peut être appuyée:– Vérification interne – Vérification externe (lettre d’opinion)– Bureau de registraire du BSI (certification officielle)


Liste d’entreprises certifiés

• Plus de 80 000 entreprises se conforment à BS 7799/ISO 17799 à travers le monde dont:• Fujitsu Limited;• Insight Consulting Limited;• KPMG ;• Marconi Secure Systems ;• Samsung Electronics Co Ltd;• Sony Bank inc. ;• Symantec Security Services ;• Toshiba IS Corporate


Avantages

• Se conformer aux règles de gouvernance en matière de gestion du risque.

• Une meilleure protection de l’information confidentielle de l’entreprise ;

• Une réduction des risques d’attaques ;

• Une récupération des opérations plus rapidement et plus facilement lors d’attaques ;


Avantages (suite)

• Une méthodologie de sécurité structurée et reconnue internationalement ;

• Une confiance mutuelle accrue entre partenaires ;

• Une diminution potentielle des primes d’assurance contre les risques informatiques ;

• Une amélioration des pratiques sur la vie privée et une conformité aux lois sur les renseignements personnels.


Méthodologie et cycle d’implantationÉtape de la

méthodologiedu cycle

d’implantationde la norme

Description

Initiation du projet •Inciter l’engagement de la haute direction;•Sélectionner et former les membres de l’équipe initiale du projet.

Définition du SGSI (Système de gestion de la sécurité de l’information)

L’identification de la portée et des limites du cadre de gestion de la sécurité de l’information est déterminante pour la bonne conduite du projet.

Évaluation des risques •Identifier et évaluer les menaces et vulnérabilités;•Calculer une valeur de risque associée;•Diagnostiquer le niveau de conformité ISO 17799;•Inventorier et évaluer les actifs à protéger.


Méthodologie et cycle d’implantation (suite)

Étape de laméthodologie

du cycled’implantationde la norme

Description

Traitement de risque Vous comprendrez comment la sélection et l’implantation des contrôles vous permettront de réduire les risques à un niveau acceptable pour l’organisation.

Formation et sensibilisation Vos employés peuvent être le maillon faible dans la chaîne de sécurité de votre organisation.

Préparation à l’audit Apprenez comment valider votre cadre de gestion et ce qu’il faut faire avant la venue d’un auditeur externe pour la certification BS 7799-2 ou ISO27000.

Audit Apprenez-en davantage sur les étapes réalisées par les auditeurs externes et sur les organismes de certification accrédités BS 7799-2 ou ou ISO27000.


Amélioration continue


Livrables – ISO 17799


Obstacles potentiels Facteur de succès• Ressources et personnel

dédiés;• Expertise externe;• Bonne compréhension des

fonctionnements (gestion) et des processus (opérations) de gestion du risque;

• Communications fréquentes;• Sensibilisation des

gestionnaires et des employés• Engagement de la direction

supérieure;• Structure de l’approche.

• Crainte, résistance au changement;

• Augmentation des coûts;

• Connaissances inadéquates pour l’approche sélectionnée;

• Tâche apparemment insurmontable.


Implantation – ISO 17799


Références

• Documents BSI (www.bsi.org.uk/index.xhtml)

• Information Security Management: An Introduction(PD3000)Fournit une vue d'ensemble du fonctionnement pour la certification accréditée et forme une préface utile aux autres guides.

• Guide to BS7799 Risk Assessment and Risk Management (PD3002) Décrit les concepts sous-jacents à l'évaluation de risque de BS 7799, y compris la terminologie, le processus d'évaluation et la gestion de risque.

• ISO/IEC Guidelines for the Management of IT Security(GMITS)

• Selecting BS7799 Controls (PD3005) Décrit le processus de sélection des commandes appropriées.


Introduction à l’Audit Sécurité

L’Audit Sécurité est une mission d'évaluation de

conformité par rapport à une politique de

sécurité ou à défaut par rapport à un ensemble

de règles de sécurité

DéfinitionDéfinition


Objectif Principal d’une mission d’Audit Sécurité

Répondre aux préoccupations concrètes de

l’entreprise , notamment de ses besoins en

sécurité, en : Déterminant les déviations par rapport aux bonnes

pratiques

Proposant des actions d'améliorations du niveau de

sécurité de l’ infrastructure informatique


Démarche de réalisation d’une mission d’Audit Sécurité


Définir les étapes / les phases de la mission d’Audit

Le Cycle d’Audit



Une approche " boîte blanche " : Une approche " boîte blanche " :

Un audit plus homogène, l'évaluation possède une caractéristique d'analyse " en Un audit plus homogène, l'évaluation possède une caractéristique d'analyse " en

complétude " et les aspects techniques et organisationnels sont traités de complétude " et les aspects techniques et organisationnels sont traités de

manière uniformemanière uniforme


Une approche " boîte noire " : Un audit avec une vue plus parcellaire, révélant plutôt des lacunes

ciblées à forte orientation technique.

Les " tests d'intrusion " ou " tests intrusifs " font partie de cette

catégorie d'audit.


Définir les étapes / les phases de la mission d’Audit Sécurité

Cette étape permet de : Mettre en œuvre l’audit sécurité en définissant les

champs d’étude et les périmètres de la mission

Définir un planning de réalisation de la mission

D’élaborer d’une batterie de questionnaires par rapport

à un référentiel défini à partir des exigences et des

attentes des responsables du site audité.


Principalement, la mission sera subdivisée en

deux volets :

Audit Niveau 1 : Audit Organisationnel & Physique , Analyse de Risque

Audit Niveau 2 : Audit Technique


Audit Niveau 1Avoir une vue globale de l´état de sécurité du système dínformation et dídentifier les risques potentiels (environ tous les deux ans)

Audit Niveau 2Concerne les composants du système dínformation : validation d’une architecture de sécurité, test de vulnérabilités internes et/ou externes (intrusifs) , validation du code (failles dans une application web, contrôle dáccès trivial...), etc…


L’audit Technique d’un périmètre de sécurité est préconisé dans les situations typiques suivantes ( d’une manière récurrente) :

Validation de la sécurité d’un nouveau périmètre, par exemple d’un Validation de la sécurité d’un nouveau périmètre, par exemple d’un

Firewall, d’un site Firewall, d’un site eBusinesseBusiness, d’un Extranet, d’un accès Internet, d’un , d’un Extranet, d’un accès Internet, d’un

système VPN…système VPN…

Analyse préalable d’un site pour l’installation d’une nouvelle Analyse préalable d’un site pour l’installation d’une nouvelle

infrastructure.infrastructure.


Le cycle de l’audit sécuritéLe cycle de l’audit sécurité

La mission d’audit de sécurité informatique est effectuée selon un processus cyclique permettant d’étudie le niveau de sécurité du système d’information d’un point de vue :

Technique (les points d’entrées sur le réseau, les équipements de

sécurité, les protocoles mis en œuvre, etc…)

Organisationnel (étude des procédures de définition, de mise en

place et de suivi de la politique de sécurité, etc...)


Com3

Système d’information du réseau Système d’information du réseau audité selon une modélisation audité selon une modélisation d’audit formelled’audit formelle

Audit Organisationnel et Physique

Identification des Identification des vulnérabilités d’ordre vulnérabilités d’ordre organisationnel et physiqueorganisationnel et physique

Évaluation des risquesÉvaluation des risques

Audit TechniqueDétection régulière et Détection régulière et automatisée des automatisée des vulnérabilités et des vulnérabilités et des failles potentiellesfailles potentielles

Test IntrusifTest Intrusif

Identification des vulnérabilités depuis l’extérieur

Fin du cycle Fin du cycle d’Audit Normald’Audit Normal


La phase finale du processus d’Audit Sécurité est consacrée à la rédaction des rapports de synthèse :

Recueil des principales vulnérabilités et insuffisances

décelées

Synthèse des recommandations de mise en œuvre

(organisationnels,physiques et techniques)

Synthèse des solutions et outils de sécurité proposés

Esquisse d’un plan d’action sécurité (Estimation des

budgets à allouer pour la mise en œuvre des mesures

recommandées )


La mission d’audit sécurité constitue le point de démarrage du projet de sécurisation d’un site.

Audit Sécurité du Site

Architecture & Solution de Sécurité proposées

Mise en place de la solution de sécurité

Tests & Validations du système de sécurité implantée


Phase récurrente d’Audit Sécurité


Détail de la DémarcheEtude Cas Pratique

• Audit Niveau 1 (AOP,AR)• Audit Niveau 2 (AT)


Audit Niveau 1

Audit Organisationnel & Physique (AOP), Analyse de Risque

Objectif

Déroulement de l’audit niveau 1

Étude Cas – Évaluation du niveau de sécurité d’un SI

Analyse de Risque

Délivrables de la phase d’AOP


Objectif

Cette première phase de l’audit sécurité permet :

D’avoir une vision qualitative et quantitative des

différents facteurs de la sécurité informatique du site

audité

Dídentifier les points critiques du système dínformation


Déroulement de l’audit des aspects Organisationnels et Physiques

Définir un référentiel sécurité (dépend des exigences et

attentes des responsables du site audité, type d’audit)

Élaboration d’un questionnaire d’audit sécurité à partir

du référentiel défini précédemment et des objectifs de la

mission

Planification des entretiens et information des personnes

impliqués avant le déclenchement de l’audit OP


Comprendre la démarche d'observation : niveau global

puis niveau spécifique

Présenter les objectifs de la démarche d’audit sécurité avant

les entretiens

Instaurer un climat de confiance , éviter la culpabilité

Facteurs clés de succès de cette étape :


Délivrables de la phase d’AOP

Les rapports livrés à la fin de cette phase seront constitués des partiessuivantes :

Rapports d'audit couvrant les aspects suivants :

Rapport sur l’Étude de la situation existante en terme de sécurité

au niveau du site audité

Rapport d’audit organisationnel et physique, couvrant les composantes

organisationnelles, physiques et les éventuelles vulnérabilités de gestion

des composantes du système (réseau, systèmes, applications, outils de

sécurité, centre de calcul, Plans de continuité) et les recommandations

correspondantes pour la politique de sécurité de l'administration Central.


Audit Niveau 2 – (AT)

Contenu de la présentation

Audit Technique (AT) Définition des phases de l’étape d’AT


Reconnaissance du réseau et du plan d’adressage

Sondage des Systèmes

Sondage des Services réseau

Audit des applications


Analyse des Vulnérabilités (intrusif interne)

Analyse des vulnérabilités des serveurs en exploitation

Analyse des vulnérabilités des postes de travail

Analyse des Vulnérabilités (intrusif externe)

Audit de l’Architecture de Sécurité existante


Venant en suite logique à l’audit de niveau 1, l’audit de niveau 2 ou l’audit technique s’attache à identifier les vulnérabilités techniques présentes sur les systèmes informatiques critiques du site audité.

Déroulement de l’étape :

L’audit technique sera réalisé selon une succession de

phases respectant une approche méthodique allant de la

découverte et la reconnaissance du réseau audité jusqu’à la

réalisation des scénarios d’attaques expertes.


L’audit technique permet la détection des types de vulnérabilités suivantes, à savoir : Les erreurs de programmation et erreurs d’architecture.

Les erreurs de configurations des composants logiques

installés tels que les services (ports) ouverts sur les

machines, la présence de fichiers de configuration installés

par défaut, l’utilisation de comptes utilisateurs par défaut.

Les problèmes au niveau de trafic réseau (flux ou trafic

non répertoriés, écoute réseau, etc …).

Les problèmes de configuration des équipements d’interconnexion et

de contrôle d’accès réseau


Cet audit s’applique aux environnements suivants :

Réseau d’accès Internet, réseau d’interconnexion inter-

sites (Frame Relay , X25, Faisceau Hertzien, etc..).

Serveurs internes du site audité et les postes sensibles du LAN.

Systèmes critiques spécifiques.

Composants et équipements actifs de l’infrastructure

réseau du site audité (firewalls, routeurs filtrants, commutateurs

niveau 3, etc…)


Principales phases :

Phase 1 : Audit de l’architecture du système

Reconnaissance du réseau et du plan d’adressage


Sondage Réseau



Phase 2 : Analyse des Vulnérabilités (intrusif interne)

Analyse des vulnérabilités des serveurs en exploitation


Phase 3 : Analyse des Vulnérabilités (intrusif externe)


Phase 4 : Audit de l’architecture de sécurité existante

Audit des Firewalls et Règles de Filtrage

Audit des routeurs et des ACLs (Liste de Contrôle d'Accès )

Audit des Sondes et des passerelles antivirales

Audit des stations proxy/Reverseproxy

Audit des serveurs DNS, d’authentification


Audit de la zone d’administration de l’architecture de sécurité existante

Audit des commutateurs (switchs) et de la configuration en VLANs

Audit de la politique d’usage de mots de passe

Audit de la solidité du système, face aux essais d’interception des flux

Audit de la résistance aux attaques de déni de service


L'inspection du réseau est un point de départ, lors duquel la topologie, ainsi que les hôtes et les équipements réseau seront identifiés.

Cette étape consiste à utilisation de multiples traçages du réseau et des passerelles, interrogation des serveurs DNS, afin de détecter les stations, repérer les équipements de contrôle d’accès sur les frontières externes du réseau.

Détail des phases :


Reconnaissance du réseau et du plan d’adressageReconnaissance du réseau et du plan d’adressage


Utilisation de l’outil Networkview à l’intérieur du Utilisation de l’outil Networkview à l’intérieur du réseau auditéréseau audité


Utilisation de l’outil Utilisation de l’outil NetworkviewNetworkview sur les périmètres sur les périmètres externes du réseau auditéexternes du réseau audité



Elle consiste à auditer les stations, par l’inspection des moyens de contrôle d’accès et de leur stratégie d’administration ainsi que l’inspection des traces, enregistrés par leur logs et les mesures de protection anti-viral.


Sondage Réseau

Le sondage des services réseau est une étape qui permet de savoir quelles sont les ports ouverts sur les machines du réseau audité (ouverts, fermés ou filtrés), et également permet d’analyser le trafic , reconnaître les protocoles et les services prédominant au niveau du réseau auditer, le taux d’utilisation , les flux inter-stations et plusieurs autres informations.


[[root@consultingAuditroot@consultingAudit ]# ]# scan_scriptscan_script --v v --g53 g53 --sSsS --P0 P0 --O O --oNoN Serveur_Serveur_ORASERVERORASERVER .log .log 172.16.203.13172.16.203.13Port State ServicePort State Service

22/tcp open ssh

80/tcp open http

111/tcp open sunrpc

139/tcp open netbios-ssn

443/tcp open https

3306/tcp open mysql

6000/tcp open X11

10000/tcp open snet-sensor-mgmt

22273/tcp open wnn6

22289/tcp open wnn6_Cn

22305/tcp open wnn6_Kr

Test par les outils de balayage systématique (services/ports) , nous avons pu cerner la liste des ports ouverts sur les stations en activité.

(Scripts basés sur les outils NMAP, Netcat , Nsat)


Audit des Flux réseau, trafic inter-station :Présentation du pourcentage d’utilisation des protocoles TCP et UDP :



Cette étape de l’audit technique ne représente pas un audit détaillé des applications.

Toutefois, il s’agit de déceler certaines anomalies au niveau opérationnelle des applications au sein de l’environnement du travail du client.


Analyse des Vulnérabilités (intrusif interne)L’analyse des vulnérabilités au niveau de tous les composantes du réseau auditer sera réalisée, via un ensemble d’outils de scan automatique par l’édification d’une analyse experte et ciblée du réseau et des systèmes audités, permettant la mise au point d’une démarche efficace et experte.

Audit de vulnérabilités intrusif interne

Permet de mesurer les vulnérabilités des parties les plus sensibles du réseau local en opérant à partir d’une station de travail standard, dans des conditions analogues à celles dont disposerait une personne mal-intentionnée travaillant sur site (prestataires, collaborateurs, visiteurs, ...).


Analyse des vulnérabilités des serveurs en exploitationTest intrusif interneTest intrusif interne : Utilisation des scanners de vulnérabilités (Nessus, Sara, ISS) :

Le schéma suivant présente la répartition des Degrés de Vulnérabilités au niveau d’un Serveur UNIX (Solaris) –

Outil de Test: Nessus


Le sondage des ports avec les vulnérabilités associées est présenté comme suitLe sondage des ports avec les vulnérabilités associées est présenté comme suit ::

o ftp (21/tcp) (Vulnérabilité d’ordre grave)

o chargen (19/tcp) (Vulnérabilité d’ordre moyenne)

o daytime (13/tcp) (Vulnérabilité d’ordre moyenne)

o http (80/tcp) (Vulnérabilité d’ordre grave)

o finger (79/tcp) (Vulnérabilité d’ordre moyenne)

o oracle (1521/tcp) (Vulnérabilité d’ordre grave)

o x11 (6000/tcp) (Vulnérabilité d’ordre moyenne)

o dtspc (6112/tcp) (Vulnérabilité d’ordre grave)

o font-service (7100/tcp) (Vulnérabilité d’ordre grave)

o sometimes-rpc13 (32775/tcp) (Vulnérabilité d’ordre grave)




o snmp (161/udp) (Vulnérabilité d’ordre grave)

o xdmcp (177/udp) (Vulnérabilité d’ordre moyenne)


[root@audit-pc]# ftp 172.20.50.11Connected to 172.20.50.11.

220 cmf02 FTP server (SunOS 5.7) ready.

500 'AUTH GSSAPI': command not understood.

500 'AUTH KERBEROS_V4': command not understood.

KERBEROS_V4 rejected as an authentication type

Name (172.20.50.11:root): ias331 Password required for ias.

Password:

230 User ias logged in.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ftp> lsls

Étude Cas 1 : Exploitation des failles au niveau du Serveur Sun Solaris


ftp> cd /ftp> cd /etcetcftp> ls

227 Entering Passive Mode (172,20,50,11,134,123)

150 ASCII data connection for /bin/ls (172.20.20.201,1083) (0 bytes).

total 502

drwxrwxr-x 37 root sys 3584 f?v 24 14:22 .

drwxr-xr-x 33 root root 1024 mar 11 12:54 ..

drwxrwxr-x 10 root sys 512 avr 14 2000 opt

-r-------- 1 root sys 482 mai 8 2000 oshadow

-rw-r--r-- 1 root sys 1742 f?v 29 2000 pam.conf

-rw-r--r-- 1 root other 680 f?v 19 2001 part19022001

-r--r--r-- 1 root sys 1110 jun 10 2003 passwd-r--r--r-- 1 root other 3640 jun 3 2002 path_to_inst

-r--r--r-- 1 root other 3640 jun 3 2002 path_to_inst.old

-rw-r--r-- 1 root sys 960 f?v 28 2000 power.conf

-rw-r--r-- 1 root other 239 mar 23 2000 printers.conf


[root@audit-pc]# showmount –e 172.20.50.11

Export list for 172.20.50.11

/ (everyone)

/ sunpartage (everyone)

les résultats de showmount indiquent que la totalité des systèmes de fichiers / et /usr sont exportés vers l’extérieur , ce qui présente un risque énorme à la sécurité. Il suffit qu’un utilisateur distant exécute mount pour accéder à la totalité du système de fichier / et /usr .

Vulnérabilités NFS

Le type le plus courant de vulnérabilité NFS est lié à une erreur de configuration qui exporte le système de fichiers vers everyone (n’importe quel utilisateur distant pourra accéder à un système de fichier sans authentification).

En interrogeant le mappeur des ports (portmappeur), nous avons constaté que mountd et le serveur nfs sont exécutés, ce qui révèle que le serveur cible est peut être en train d’exporter un ou plusieurs systèmes de fichiers.



Cette analyse de vulnérabilité ciblant l’ensemble des postes utilisateurs du réseau audité a permis de dégager le taux global moyen suivant :

Nombre de vulnérabilités d’ordre grave : 146

Nombre de vulnérabilités d’ordre moyenne : 215

Nombre de vulnérabilités d’ordre minime : 193


Audit de vulnérabilités intrusif externe avec connaissance partielle ou totale

Le but de cet audit est de mettre à l’épreuve l’architecture technique en opérant dans des Le but de cet audit est de mettre à l’épreuve l’architecture technique en opérant dans des conditions analogues à celles dont disposerait une personne conditions analogues à celles dont disposerait une personne malmal--intentionnéeintentionnée ayant une ayant une bonne voire très bonne connaissance du système d’information.bonne voire très bonne connaissance du système d’information.

Audit de vulnérabilités intrusif externe sans aucune connaissance préalable

Cette opération est réalisée depuis le réseau externe du site audité (avec autorisation : Une simulation de ces attaques pourra être réalisée à la demande) à partir de postes de travail positionnés sur le réseau public (Internet) ou sur le réseau téléphonique dans les mêmes conditions que celles dont pourrait disposer un pirate informatique.

Analyse des Vulnérabilités (intrusif externe)


Test de l’opacité du réseau depuis l’extérieur :

Examen et test des possibilités offertes à un attaquant de récupérer, depuis l’extérieur les informations suivantes :

- Topologie du réseau et adresses IP des serveurs et éléments actifs du réseau.

- Protocoles applicatifs et de routage utilisés.

- Les services actifs.

- Les mécanismes de sécurité supportés.


Audit de l’architecture de sécurité existante

L’objectif est d’expertiser l’architecture technique déployée et de mesurer la conformité des configurations équipements réseaux, pare-feu, autocommutateur privé, sondes , etc. avec la politique de sécurité définie et les règles de l’art en la matière.


Étude Cas :Audit des Firewalls et Règles de Filtrage

La démarche adoptée consiste à :

- Vérifier la configuration, les failles renfermées par la version installée, les

mises à jour

- Audit des règles de filtrage (TCP/UDP filtering, Firewalking)

- Audit des mécanismes de log


Audit des Routeurs


- Vérifier le type du routeur et sa configuration, ainsi que les failles

éventuelle de version

- Test de la conformité des ACLs envers la politique de la sécurité

du site (Audit des ACLs)

- Test de la résistance des routeurs contre les attaques DDOS


Audit des des Commutateurs (switchs) et de la Configurations en VLANs - la solidité du système, face aux essais d’interception des flux

La démarche adoptée consiste à :- Réaliser des simulations par des essais d’attaques par des outils d’écoute

réseaux (sniffers) au niveau des différents segments de la configuration en

VLANs

- Vérifier de la résistance des commutateurs(switch) contre les attaques

expertes de type MAC Flood et ARP poisoning (Arpspoof)

- Réaliser des simulations par des essais d’attaques par des outils

d’interception de flux évolués (interception du contenu des flux http, smtp,

pop)


Audit du Système de Détection d'intrusion (IDS)


- Tester par des scans et méthodes d’attaques diversifiés et des essais de

simulation (par flood , fausses attaques simultanées, fragmentation, scans

lents) afin de réduire les possibilités de l’IDS à détecter les attaques

- Vérifier les mécanismes de journalisation (log) de la Sonde

- Vérifier les performances de la sonde


Délivrables de la phase d’Audit Technique : Rapport d'Audit technique du système d’information, présentant les

vulnérabilités décelées (voir le modèle en ce qui suit)

Rapports de synthèse :• Synthèse globale et exhaustif des vulnérabilités et des insuffisances.

• Synthèse des solutions et outils de sécurité proposés.

• Synthèse des recommandations de mise en oeuvre

• Esquisse d’un Plan d’action sécurité informatique du site audité (contenant

une estimation des budgets à allouer pour la mise en œuvre des mesures

recommandées


Modèle d’un rapport d’audit technique

•Rapport d'Audit de l’architecture réseau et systèmeContient les tests de sécurité qui ont été réalisés ,les interprétations ainsi qu’un ensemble de recommandations techniques (cas des anomalies et failles au niveau de l’architecture réseau existante, vulnérabilités décelées sur les serveurs et postes sensibles, etc..).


Esquisse du rapport d’ Audit de l’architecture Réseau & Système :

A-1 Topologie du réseau - Site Audité

A-1-1 Cartographie du réseau

A-1-2 Cloisonnement du réseau

A-2 Sondage systèmeA-2-1 Identification et Mise à jour des systèmes d’exploitation

A-2-2 Mise à jour des applications

A-2-3 Sécurisation des postes de travail (contrôle d’intégrité, protection anti-

virale)

A-2-4 Sécurisation des Serveurs


A-3 Sondage des Flux et services réseau

A-3-1 Sondage Réseau ( ports , services, applications associées)

A-3-2 Flux réseaux observés

A-3-3 Situation des ressources et partages sur le réseau interne

A-3-4 Politique de gestion des mots de passe

A-3-5 Audit des applications

A-4 Audit de la gestion des défaillances matériellesA-4-1 Protection physique des disques durs

A-4-2 Stratégie de sauvegarde des données


Esquisse du Rapport d’Audit des vulnérabilités réseau et système :

B-1 Audit des vulnérabilité des Serveurs en exploitationB-1-1 Analyse des vulnérabilités des Serveurs de données &

d’applications

B-1-2 Analyse des vulnérabilités des Serveurs Internet/Intranet

B-2 Audit des vulnérabilité des postes de travail du réseau auditéB-2-1 Analyse des vulnérabilités des postes de travail

B-2-2 Synthèse des principales vulnérabilités décelées sur les postes

de travail du réseau


Esquisse du rapport d’audit de l’architecture de sécurité existante :

1- Audit & vérification des règles de filtrage au niveau des FirewallsA- Vérifier que le Firewall filtre correctement la circulation vers/depuis le réseaulocal, relativement à la politique de sécurité nécessaire à mettre en oeuvre.

B- Vérifier la résistance du firewall contre le Firewalking

C- Vérifier les pénétrations issues des scans inversés


2- Audit des Commutateurs (Switchs) et de la configuration en VLANsA- Identification des vulnérabilités des switchs

B- Audit et vérification de la configuration en VLANs

3- Audit de la solidité du système face aux essais d'interception de fluxA- Identification de la liste des services vulnérables à une écoute passive du

réseau

B- Inspection de la résistance du réseau, concernant l’interception de données

sensibles (mots-clés, données confidentielles)


2- Audit du Routeur et de la résistance contre les attaques par déni deserviceA- Vérification du type du routeur et sa configuration, ainsi que les failleséventuelle de version

B- Audit de la conformité des ACL envers la politique de la sécurité du site

C- Vérification de la réponse des éléments réseaux en connexion avec l’extérieurcontre les attaques de déni de service (DDos, …).

D- Audit de la réaction du réseau contre les surcharges des serveurs et du réseau