18
Cours SIE : FRAP et Rapport 1 Version 2003.03 © P.Nasarre 1. Rapport d’Audit et FRAP Le présent document est un extrait d’un rapport d’Audit et de FRAP réalisés pour le compte d’un PMI du Nord Vaucluse. Ce document est issu d’un rapport authentique et permet d’avoir une première approche, certes incomplète, mais suffisante de ce type de document. Afin de préserver l’anonymat de la société réelle, tous les noms et toutes les références ont été volontairement modifiés. La version ci-après est extraite de la version finale remise à l’entreprise lors d’un audit externe visant à faire un état des lieux de son réseau et de la sécurité associée. Le présent document ne doit être considéré comme un exemple POSSIBLE et non comme un MODELE ni comme un DOCUMENT DE REFERENCE .

Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Embed Size (px)

Citation preview

Page 1: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 1

Version 2003.03 © P.Nasarre

1. Rapport d’Audit et FRAP

Le présent document est un extrait d’un rapport d’Audit et de FRAP réalisés pour le compte d’un PMI du Nord Vaucluse. Ce document est issu d’un rapport authentique et permet d’avoir une première approche, certes incomplète, mais suffisante de ce type de document. Afin de préserver l’anonymat de la société réelle, tous les noms et toutes les références ont été volontairement modifiés. La version ci-après est extraite de la version finale remise à l’entreprise lors d’un audit externe visant à faire un état des lieux de son réseau et de la sécurité associée. Le présent document ne doit être considéré comme un exemple POSSIBLE et non comme un MODELE ni comme un DOCUMENT DE REFERENCE.

Page 2: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 2

Version 2003.03 © P.Nasarre

2. Diffusion

Le présent rapport a été remis à la SARL Dombard Frères à l’issue de la mission d’audit de son système informatique et plus particulièrement de son réseau informatique et de la sécurité associée. Le présent document revêt un caractère confidentiel ; il ne peut être diffusé à l’extérieur de l’entreprise sans le consentant de la direction de Dombard Frères et l’accord du cabinet NT-Audit. Le présent document édité en recto-verso comporte :

• 45 pages numérotés de 1 à 45 représentant le corps du document • 32 pages numérotés de I à XXXII représentant l’ensemble des annexes • 8 pages numérotés de A à F représentant l’ensemble du glossaire

Chaque page comporte en fond le filigramme « Confidentiel – Ne peut être reproduit ». Chaque page blanche comporte le filigramme « Page vide ». Le présent rapport a été remis en quatre exemplaires reliés et référencés à la direction de Dombard Frères, à destination de la direction et des personnes impliquées dans le projet de refonte du système informatique.

Page 3: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 3

Version 2003.03 © P.Nasarre

3. Mission

La mission confiée au cabinet NT-Audit se décrit ainsi : o Cartographie du réseau (Emplacement machines, Hub, connectique, câblage,

prises, identifications machines, tables des droits d’accès, etc.) o Inventaire complet du serveur (état machine, configuration détaillée exacte,

logiciels installés et versions, trafic du réseau) o Inventaire complet des clients (état machine, configuration détaillée exacte,

logiciels installés et versions, usage) o Etat de la sécurité 1° niveau

o Antivirus o Accès restreints (mots de passe) o Profils utilisateurs o Sauvegardes (Batch process, rotations, etc.) o Restaurations (Conformités, usage, etc.) o Procédures internes de sécurité o Plan de secours o Conformité des licences o Cédéthèque et logithèque o Etat des sauvegardes des configurations serveur o Etat des sauvegardes des configurations clients (polices, logiciels, fichiers

ini, bases de registres, disquette de démarrage, etc.) o Etat de la logithèque (ensemble des logiciels disponibles)

o Versions o Installations o Configurations o Paramétrages o Fichiers

La mission a été réalisée par M. Granier et Mle Josian durant la période du 7 au 29 Avril 2001, dans les locaux de l’entreprise à Courthezon (84).

Page 4: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 4

Version 2003.03 © P.Nasarre

4. État des lieux

4.1 Entreprise

4.1.1 Général

L’entreprise Dombard Frères, spécialiste du mobilier en bois traditionnel, est implanté dans la région depuis 1949 et réalise 90% de son chiffre d’affaires auprès des grands réseaux de vendeurs de meubles (Atlas, But, Conforama, etc.). Elle s’appuie pour se faire sur un réseau de commerciaux placés dans 4 régions : Nord, Paris, Sud-Ouest et Sud-Est. 4.1.2 Organisation

L’entreprise est organisée en 4 services :

• Direction .......................................................... 2 personnes • Service commercial .................................... 4 commerciaux

........................................................... 1 assistante accueil • Service administratif ........................................ 2 personnes • Service production et technique ...................... 2 personnes • Ateliers de production .................................... 21 personnes • Service manutention ........................................ 3 personnes

La structure de l’entreprise, d’origine familiale, est basée sur une hiérarchie pyramidale classique et s’appuie sur 4 personnes :

• M. Daniel Dombard pour la direction d’entreprise, le marketing et l’activité commerciale et juridique

• M. Patrick Dombard pour la direction technique et productique • M. Julien Danselme pour les études et la gestion informatique • Mme Sylviane Rocher pour la gestion administrative et du personnel

4.1.3 Ressources humaines

L’ensemble des ressources humaines comporte 33 personnes permanentes, 2 apprentis et suivant les saisons1 à 3 intérimaires. Les niveaux de compétence dans le personnel non administratif et commercial se répartissent ainsi :

• Ingénieurs 2 • Techniciens ou équivalents 2 • Agents de maîtrise 2 • Ouvriers spécialisés 15 • Apprentis 2 • Autres 2

Actuellement, l’ensemble du personnel administratif est amené à manipuler l’informatique ainsi que les 2 ingénieurs et les techniciens. Les 2 agents de maîtrise sont amenés à effectuer des saisies des fiches de production réalisés, sans autre qualification ni accès.

Page 5: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 5

Version 2003.03 © P.Nasarre

4.1.4 Informatique

L’informatique actuelle a été décrite par l’entreprise, lors de la prise en compte de la mission, de la manière suivante :

4.1.4.1 MATERIEL 1 Serveur micro-ordinateur de type PC à base de Pentium III (500 Mhz) et

streamer de sauvegarde (sur DAT 500) dans le bureau d’accueil Parc de 8 micros-ordinateurs de type PC à base de Pentium III (350 à 500

Mhz) dans les bureaux 1 micro-ordinateur de type PC à base de Pentium IV à 900 Mhz 1 micro-ordinateur de type PC à base de Pentium III (350 Mhz) en caisson

isolé dans l’atelier 1 réseau Ethernet sur protocole IP avec 2 hubs internes et câblage gainé 1 accès Internet par ligne Numéris 64Kb avec modem Gazel 1 liaison bancaire via un modem US Robotic 56K 1 station EDI pour ses relations avec les chaînes de grandes magasins avec

qui elle travaille.

4.1.4.2 OS et logiciels Système Windows NT version 4 7 licences Office PME 2000 2 licences Office Pro 2000 9 licences Excalibur (logiciel de GPAO) 1 licence Dreamweaver 4 et Flash 4 1 licence Photoshop 5.5 et Illustrator 8 1 licence Gazel pour la gestion des connexions Internet (multiposte)

4.1.4.3 Accès Internet

Accès Numéris partagé via Gazelle 8 comptes mail chez wanadoo ([email protected] +

[email protected]) 1 site Internet (www.dombard.tm.fr) créé par un employé de l’entreprise qui a

quitté cette dernière pour une petite SSII locale.

4.1.4.4 Prestataires L’entreprise ne dispose que de 5 prestataires informatiques :

• Nadia’Logic à Orange qui a installé et préparé l’ensemble de son parc informatique et de son réseau

• Téléphonie Sud Orange qui a câblé son installation téléphonique et informatique

• Wanadoo Pro pour l’accès Internet, l’hébergement de son site et les messageries

• OC2I pour le logiciel Excalibur • STERLING COMMERCE pour le logiciel EDI Connect Express.

4.1.5 Ressources financières

Sans objet.

Page 6: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 6

Version 2003.03 © P.Nasarre

4.1.6 Projets et stratégies L’entreprise vise deux grands objectifs qui conditionnent la mission d’audit : • Développer son activité de production dans les composants de meubles bois

(portes, étagères, tiroirs, tirettes, planchettes, etc.) et aborder le marché du bricolage par ce biais (auprès des grands groupes tels que Castorama avec qui elle a pris d’excellents contacts)

• Améliorer son outil informatique qu’elle souhaite rendre plus viable et performant, point auquel elle rajoute en corollaire l’optimisation de son système de GPAO.

4.2 Services et domaines

Sans objet.

4.3 Acteurs stratégiques

Sans objet.

Page 7: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 7

Version 2003.03 © P.Nasarre

5. Informatique

5.1 Recensement matériel

Le système informatique se compose d’1 serveur de type PC et 8 ordinateurs PC-AT tous basés sur des Pentium III-500 MHz, issus d’un assembleur local, ainsi qu’un PC évolué et un PC de base pour l’atelier (voir pages précédentes). A ceci s’ajoute :

• 4 imprimantes HP DJ locales • 1 imprimante Brother en réseau • 1 appareil photo numérique Fuji (connectable sur 2 postes : PC2 et PC5) • 1 graveur de CD-RW Yamaha (sur 1 poste : PC5) • 1 scanner EPSON (connecté à 1 seul poste : PC5) • 1 lecteur ZIP externe en port parallèle (poste PC5) • 1 modem US Robotic 56 K en externe (poste PC 7)

On trouvera en annexe 1, le détail des postes tels que recensés avec leurs principales caractéristiques.

5.2 Recensement logiciel

Le système est basé sur l’OS Windows NT 4 avec des disques durs SCSI en NTFS, partitionnés en 2 disques logiques. Le disque logique C : reçoit les dossiers Windows et les Programmes. Le disque logique D : reçoit les fichiers de travail. L’ensemble logiciel s’articule autour de 5 axes :

• Axe GPAO : logiciel Excalibur (V4) installé sur chaque poste en client et sur le serveur avec les fichiers et le programme maître.

• Axe bureautique : gamme MS-Office 2000 • Axe comptable : gamme SAGE 100 • Axe communication : ligne Numéris partagée logiquement pour les accès au

Web (via IE) et à la messagerie d’autre part (via Outlook), ainsi que pour des accès au fax logiciel BVRP partagé

• Axe graphique : ensemble de logiciels Adobe et Micrografx, plus les logiciels spécifiques aux matériels photo et scanner

• Axe annexe : des logiciels annexes tels que « Azale C39 Tools (code barre) » (qui permet les éditions des étiques code-barre C39 des produits), …

On trouvera en annexe 2, le détail, poste par poste, des logiciels tels que recensés avec leurs versions. On trouvera en annexe 6, le détail des numéros de licence des divers logiciels recensés, avec le nombre de postes associés et le n° des postes utilisateur de chaque licence.

5.3 Réseau

Le réseau implanté est un réseau de type Ethernet en TCP/IP, organisé en Workgroup. Il se compose de :

Page 8: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 8

Version 2003.03 © P.Nasarre

• Un ordinateur utilisé comme serveur de fichiers pour Excalibur serveur de fichiers pour les documents communs à sauvegarder, ainsi que

pour les dossiers de messagerie (outlook.pst) serveur de logiciel pour Client Gazel Access qui permet le partage logique

de la ligne Numéris reliée au PC via un coffret Numéris classique • un ensemble de PC • une imprimante laser de grande capacité Brother 05352 (actuellement en

réparation et momentanément remplacée par une Canon 660) • un ensemble de 2 HUB 3 Com (Office Connect Dual Speed Hub 8 et HUB TP

800) comportant chaque 8 ports de connexion • un troisième HUB 3 Com (HUB TP 400) de 4 ports inutilisé depuis 2 ans • un câblage non blindé posé dans des goulottes PVC • un ensemble de prises RJ45 femelles placées dans des racks de prises

(comportant 2 chacun prises électriques, 1 prise téléphonique, 1 prise RJ45) Il n’y a ni armoire de brassage, ni support spécialisés. On trouvera en annexe 3, le plan des locaux et des implantations réseau.

5.4 Plan d’installation

L’installation informatique est réalisée sur l’ensemble des bureaux comportant d’une part les bureaux « techniques » avec la salle de réunion, et d’autre part les bureaux « administratifs » et de la direction. Elle se complète par un ordinateur de saisie seule placé dans l’atelier, dans un boîtier étanche évitant la pollution poussière. On trouvera en annexe 3, le plan des locaux et des implantations réseau.

5.5 Personnel informatique

Il n’existe pas de personnel informatique. Actuellement, depuis son embauche dans l’entreprise il y a un an et demi, M. Julien Danselme est en charge

5.6 Aspects annexes du SI

La station EDI est ne comporte qu’un logiciel installé sur le serveur. Cette station n’a jamais eu d’incidents à ce jour. Les messages étant envoyé en fin de journée et reçus en matinée, via la ligne Numéris hors toute connexion partagée, elle ne nécessite aucune étude particulière.

Page 9: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 9

Version 2003.03 © P.Nasarre

6. Présentation des FRAP

Seules 3 feuilles de révélation et d’analyse des problèmes sont ici présentées. Il existe dans le cas de cette entreprise une vingtaine de problèmes recensés. Il existe 15 feuilles FRAP dont le contenu a été mis dans le rapport final. Pour parvenir à ces 15 feuilles, on a procédé ainsi : Un dossier avec pour chacun des 34 problèmes constatés sur le terrain a été fait avec par problèmes les informations suivantes :

• N° d’ordre • Problème (texte détaillé) • Type (panne, incident, dysfonction, omission, bug, risque, …) • Conséquences / Risques (texte détaillé) • Thème (thème de référence) • Cause (origine et cause du problème) • Preuves (texte expliquant comment a été trouvé le problème) • Acteurs (concernés par le problème ou ses conséquences) • Seuil confiance (4 seuils 25-50-75 et 100%, les points en dessous de

75% ont été revus et – sauf pour 3 – ont été réétudiés et ont eu un seuil réévalué après recherches de meilleures preuves et définitions)

• Importance : SETA [stratégique, économique, technique ou autre], importance des risques et conséquences

• Dépendance (n° des problèmes liés) • Préconisation (texte détaillant une ou plusieurs préconisations).

Les thèmes retenus ont été :

• Sécurité des données (confidentialité et pérennité) • Sécurité des accès internes (logiques) • Sécurité des accès externes (accès internes, transfert vers la banques,

messagerie) • Sécurité technique (matériel réseau, ordinateurs, accès aux

périphériques) • Sécurité logiciels (conformité, adéquation, légalité, etc.) • Sécurité humaine (compétences et savoir-faire informatique

principalement)

Page 10: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 10

Version 2003.03 © P.Nasarre

Audit de la sécurité du réseau informatique interne. Fiche n° 1 – Sécurité générale de domaine NT Concerne : Toute l’entreprise – tout le réseau

Problème

Le réseau NT ne dispose d'aucun domaine et n'est qu'organisé en Workgroup, sans accès protégés

Constats

L'analyse des divers postes fait apparaître les éléments suivants : • pas de référence à un domaine NT • pas d'ouvertures de sessions NT • pas d'accès à un poste par un mot de passe (sauf poste PC7 - comptable) • pas de définitions de droits d'accès utilisateurs sur les postes

Causes - Origines

Le système n'a pas été étudié ni mis en place comme un réel réseau NT, les personnes ayant installé le dit réseau sont parties du principe que NT s'autoprotégeait. Et que la définition d'un Workgroup était suffisante vu la petite taille de l'entreprise

Il semble, mais ceci n'a pu être prouvé du fait de l'arrêt des relations avec le prestataire, que la société ayant installé le système n'avait pas les compétences NT, ni l'organisation d'un réseau Ethernet (erreurs nombreuses dans les adressages IP -voir fiche n° 12)

Conséquences

Le système actuel ne dispose d'aucune protection des accès. Il est actuellement possible à n'importe quelle personne pouvant physiquement s'approcher d'une machine d'accéder aux fichiers de celles-ci, voire plus.

Le système actuel ne dispose d'aucune séparation des accès. De ce fait, lors d'une connexion Internet, il est possible d'avoir accès à l'ensemble du réseau depuis l'extérieur en cas d'attaque.

Risques : Economiques et Techniques

Les risques potentiels sont ceux classiques liés à ce type de non-sécurité :- perte ou vol de données confidentielles ou sensibles au sein de l'entreprise ou par un tiers non autorisé.

Les risques ne sont pas chiffrables directement, mais l'actuel problème de l'entreprise sur les conflits de vols de savoir-faire par l'un de ses concurrents donne déjà l'indication des conséquences.

Recommandations

La mise en place d'un réseau NT réel avec domaine est indispensable, il n'est pas possible malgré tout de réaliser cela sans un arrêt complet de tout le système et la reprise de toutes les machines (serveur, PC, imprimante réseau).

Il est fortement conseiller de prévoir d'ici à la fin de l'année en cours, durant la période de ralentissement de l'activité, voire de la fermeture de l'usine en août une reprise complète du réseau

Cette reprise doit s'effectuer en respectant les contraintes suivantes : • arrêt du système après sauvegardes de toutes les données (serveurs et pc) • création du domaine et définition des profils utilisateurs • définition des droits d'accès spécifiques à chaque utilisateur • contact avec la société ayant installé le logiciel de GPAO pour intégration durant

le changement de système

Page 11: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 11

Version 2003.03 © P.Nasarre

Audit de la sécurité du réseau informatique interne. Fiche n° 5 – Accès aux réseaux publics et spécialement à Internet. Concerne : Toute l’entreprise – tout le réseau

Problème Le réseau interne dispose d'un routeur logiciel et non d'un routeur électronique, qui ralentit et utilise de nombreuses ressources du serveur.

Constats Le constat fait est que le réseau est connecté à la ligne Numéris via un modem Numéris intégré au "serveur". Ce dernier dispose d'un logiciel qui partage les accès numéris.

Causes – Origines Le système n'a pas été étudié. Lors de l'acquisition de la ligne, le modem Numéris interne à été livré. Il a été installé par ancien employé ayant quelques connaissances en informatique. Afin de permettre le partage de la ligne, il a été demandé au prestataire informatique un moyen d'effectuer le partage. La demande n'ayant pas été faite correctement sur le plan technique et le prestataire n'ayant pas de grandes compétences sur le sujet, il a été proposé la mise en place d'un logiciel sharewhare pour régler le problème.

Le problème n'a pas été créé par le prestataire, mais par la demande qui lui a été faite de manière incorrecte.

Conséquences Le logiciel utilisé n'est pas spécialement adapté à NT et provoque de fréquents conflits qui "plantent" le serveur parfois deux à trois fois durant une semaine. Ces plantages bloquent l'entreprise qui n'a plus accès au système commun de GPAO durant ce temps. Outre ces plantages, le "serveur" lors des connexions travaille inutilement ralentissant parfois, même si cela est très léger les transactions (les pertes sont inférieures à la seconde sur une transaction de type interrogation, peuvent atteindre une seconde lors d'une transaction de type mise à jour de données), l'entreprise n'ayant pas de contraintes de temps importantes sur les transactions.

Risques : Economiques et Techniques Les risques sont importants; le plus significatif est que : lors d'un plantage des données pourraient être perdues et provoquer des incohérences de la base de données GPAO. Le plantage étant logique et non physique, l'onduleur n'a aucun effet de secours contrairement à ce que pensent certaines personnes de l'entreprise.

Les risques annexes sont dus au fait que le logiciel utilisé n'est plus sur le marché et qu'aucune mise à jour n'est disponible; il n'existe aucune version réellement compatible avec Windows NT; le logiciel nécessite en outre d'installer le driver Gazel (pour le modem Numéris) sur chaque machine, ce qui entraîne une obligation de mise à jour de chaque machine si le modem devait être changé.

Recommandations La mise en place d'un routeur Numéris physique de type 3Com, D-Link, Cisco ou autre est à mettre en œuvre. Ceci devra être accompagné : • de la désinstallation du modem sur le serveur • de la désinstallation des drivers modems sur chaque machine • de la désinstallation du logiciel de partage des accès sur le serveur • de la définition d'une adresse IP pour le routeur • de la définition de cette adresse comme passerelle sur chaque machine

Contrainte La désinstallation du pilote modem ne devra être effectuée que sur les PC n’ayant pas besoin d’accès au fax partagé.

Page 12: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 12

Version 2003.03 © P.Nasarre

Audit de la sécurité du réseau informatique interne. Fiche n° 12 – Sécurité des données comptables. Concerne : La direction, le service comptable, le responsable informatique. Problème Les fichiers comptables ne sont pas protégés, ni en copie ni en suppression.

Constats

Alors que l'entreprise et le comptable de cette dernière pensent que la comptabilité est protégée du fait que le logiciel est installé sur une seule machine qui ne dispose d'aucun espace partagé, et que le démarrage du dit logiciel se fait par la demande d'un mot de passe, il apparaît que cette protection est illusoire.

Afin de permettre la gestion des sauvegardes sur bandes DAT, réalisées sur l'ordinateur serveur, les fichiers comptables sont placés sur le disque D: du serveur. Ce disque est totalement partagé sans restriction ni mot de passe. Toute personne disposant d'un accès à un ordinateur peut réaliser l'opération suivante :

a- démarrage de l'explorateur Windows b- sélectionner le disque E: de l'ordinateur (tous les disques E: représentent le disque c- du serveur en accès automatique) d- sélectionner le dossier « compta_sage » e- réaliser toute opération de type copie, suppression, "renommage", etc. de tout fichier

de ce dossier Causes - Origines

Absence de compétences et de connaissances des risques et conséquences lors de l'installation du logiciel. Ceci a été fait en toute bonne foi, mais sans aucune mesure des risques réels, ni aucune connaissance de la situation exacte du réseau.

Conséquences

Il est possible de perdre tout ou partie des fichiers comptables suite soit à une erreur de manipulation, soit à une malveillance (interne comme externe). Il est possible d'avoir copie des données et, par un professionnel ou un bon hacker, de relire l'ensemble des informations comptables, financières et de paye de l'entreprise.

Risques : Stratégiques et Economiques

Les risques directs sont principalement : • pertes de temps (obligation de récupérer les données des dernières sauvegardes,

ressaisie des informations) • pertes possibles d'informations (lors de la ressaisie, risque de ne pas tout ressaisir et

par la même perte de temps à posteriori ou usage d'informations comptables partiellement incomplètes ou erronées)

• divulgation des informations comptables et financières de l'entreprise à des tiers non autorisés.

Recommandations Deux solutions peuvent être envisagés (parmi d'autres) :

- transfert des données comptables sur l'ordinateur du comptable dans un répertoire partagé en lecture seule et inclus dans le processus de sauvegarde journalier. Ceci n'est pas l'idéal mais évite déjà les risques de pertes et modifications des données, et surtout peut être fait très rapidement.

- mise en place d'un vrai réseau NT avec domaines et profils utilisateurs associant une protection du répertoire sur le serveur au profil des seuls administrateur d'une part et comptable d'autre part. (voir fiche problème n° 1)

Page 13: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 13

Version 2003.03 © P.Nasarre

7. Synthèse générale et recommandations

L’ensemble des problèmes présentés nécessite la mise en place de manière plus générale d’une solution complète qui synthétisent les diverses préconisations proposées. La solution retenue avec la direction et les deux interlocuteurs privilégiés de l’entreprise (M. Danselme et Mme Roche) est la suivante : 1. Mise en place d’un responsable informatique officiel M. Julien Danselme, qui

devra être formé et acquérir des compétences nécessaires à : a. La connaissance du système informatique actuel b. La maintenance de 1° niveau de ce système c. La connaissance de l’OS Windows NT et sa maintenance de 1° et 2°

niveau d. Toute autre connaissance future nécessaire à la maîtrise par

l’entreprise de son système informatique et de ses échanges avec des prestataires

2. Mise en place d’un assistant à M. Danselme, à savoir Mme Roche 3. Mise en place des formations nécessaires pour ces deux personnes

a. D’ici à fin avril sur Windows NT b. D’ici à fin juin sur la maintenance de 1° niveau

4. Sécurisation immédiate des données comptables 5. Mise en place progressive d’un profil utilisateur sur chaque poste avec mot de

passe, remplacement des mots de passe actuels trop simplistes (il n’y avait que 3 mots de passe dans l’entreprise drabmod, daniel et total)

6. Etude d’ici à juin de l’évolution de NT 4.0 vers Windows 2000 a. Coût b. Impact et intérêt c. Contraintes

7. Préparation de la refonte du réseau actuel : a. Temps 1 : Serveur

i. Rapatriement sur le serveur de toutes les données de chaque poste nécessitant d’être sauvegardées

ii. Sauvegarde complète (3 sauvegardes dont 1 externe) iii. Arrêt sécurisé du système iv. Image du disque serveur v. Réinstallation de NT du serveur (voire de Windows 2000 si

besoin) vi. Définition du domaine, paramétrage du serveur vii. Création des profils nécessaires au serveur viii. Implantation des logiciels dont celui de sauvegarde ix. Implantation du routeur x. Paramétrage du routeur et des accès externes xi. Restauration des données

b. Temps 2 : PC (pour chaque PC) i. Image du disque ii. Réinstallation de NT (voire installation de 2000 si besoin)

Page 14: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 14

Version 2003.03 © P.Nasarre

iii. Définition des adressages et accès au domaine interne et aux réseaux externes

iv. Définition des profils v. Changement des câbles simples en câbles blindés vi. Installation ou mise à niveau des logiciels locaux

c. Temps 3 : périphériques partagés (dont imprimantes laser brother) d. Temps 4 : Cartographie des connexions

i. numérotation des prises murales (pièces et vers HUB) ii. identification des prises sur les HUB iii. identification physiques (plaque ou étiquette spéciale) des

postes e. Temps 5 : réimplantation et test d’Excalibur f. Temps 6 : contrôle et tests (réseaux, logiciels, données, accès

extérieurs), correctifs 8. Implantation des évolutions

a. Ordinateur portable de direction b. Ordinateur portable des 2 commerciaux locaux c. Etude et mise en place d’un Intranet

Etc. A ceci s’ajoutent bien sûr (mais il faudrait doubler la taille du document), l’étude d’un planning proposé et d’un budget prévisionnel.

Page 15: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 15

Version 2003.03 © P.Nasarre

8. Annexes

8.1 Matériel

1 2 Utilisateur M. Dombard M. Danselme Référence plan PC 1 PC 2 Ordinateur PCx86 AT PCx86 AT Mémoire 128 Mo 384 Mo Adresse IP 192.168.1.1 192.168.1.2 Réf. Réseau Poste1 Poste2 OS NT 4.00.1381 NT 4.00.1381 IE 5.5.00.2314.1003 5.5.00.4807.2300 HD 1 HD réf ST 36421A SCSI 1 HD réf ST 36421A SCSI Disques logiques Disque C partition non partagé partition non partagé

Type NTFS NTFSTaille 3 Go dont 0.85 utilisés 3 Go dont 1.6 utilisés

Nom volume ------- -------Compression ------- -------

Disque D partition partagé partition partagéType NTFS NTFSTaille 3 Go dont 0,93 utilisés 3 Go dont 0,7 utilisés

Nom volume ------- -------Compression ------- -------

Lecteur CD E: x32 - partagé E: x52 - non partagé Sony CDU5211 SCSI Samsung SC-152 CAccès réseaux F: serveur F: serveurImprimante locale HP DJ 1100C défaut HP DJ 895Cxi défaut A3 partagé A4 partagé Imprimantes réseau BOR O53952 (PC4) BOR O53952 (PC4) HP DJ 895C (PC2) hold (Canon) spool hold (Canon) spool print (canon) direct print (canon) direct Fax BVRP Fax BVRP Carte réseau D-Link Fast Ethernet 10/100 D-Link Fast Ethernet 10/100 Ecran 17 " Panasonic 17 " Panasonic Carte vidéo ATI 3D Rage Pro AGP 2x 8 Mo ATI 3D Rage Pro AGP 2x 8 Mo Affichage vidéo 1024x768 75 Mhz 1024x768 75 Mhz Périph spécifique IntelliMouse PS2 Fonts installés 201 388 Onduleur Pulsar EL4 ok Pulsar EL4 ok Messagerie Dossier pst en local sur C: Dossier pst en local sur C:Définition Virus 16/11/2001 27/01/2002Programmation auto Activée Lundi 13:00 Activée Lundi 13:00 MAJ Programme NAV Novembre 2001 Janvier 2002Porte-documents Poste 2 / Excalibur non utilisé

Page 16: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 16

Version 2003.03 © P.Nasarre

8.2 Logiciels

1 2 Utilisateur M. Dombard M. Danselme Logiciels Autocad LT Release 3 Acrobat Reader 3.01

dont associés à Client Gazel Access Adobe PhotoDelux Home 3.0 licences Copernic 2000 4.55b Adobe Type Manager 4.0

Excalibur 4.2. Azale C39 Tools (code barre) ?? Media Player 6.4 Colorwize Protools Micrografx Designer 7 (97) Command Work Station Micrografx Graphics Suite 2 2 Crystal Distributed Report 7 Mid Point Guest Excalibur V.4.2. NAV & Live Update 5.01 Info Maker 6.5 NT Client Agent (Arc serve) Microapplication Tarot 3.4.5 Office 2000 Small Business 9.04 Micrografx Designer V7 (97) Sybase Ad.Server Anywhere 6.0.2 (99) Micrografx Flow Charter 7 Sybase SQL Anywhere 7.03 (2001) Micrografx Graphics Suite 2 V2 Winphone 3.0 (99) Micrografx Picture Publisher 7 Winzip US 6.2 Micrografx Quick Silver 3 Mid Point Guest Mjuice Components NAV & Live Update 5.01 NT Client Agent (Arc serve) Office 2000 Small Business 9.04 Resolv buffer over Seagate Crystal Report 7 Toolbook II Runtime 6.1 Winamp 3.01 Winphone 3.0 (99) Winzip US 6.2 TOTAL 15 26

Page 17: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 17

Version 2003.03 © P.Nasarre

8.3 Plan des bureaux

PC3 PC2

PC1

Figure 1 : Plan des bureaux techniques et salle de réunion

Prises murales (2Elec, 1RJ, 1T)

Gaines murales au sol

Gaines montantes

Gaines murales en hauteur

Figure 2 : Légende des plans

Page 18: Cours SIE FRAP et Rapport - m.behe.free.frm.behe.free.fr/Cours/L3/semestre_6/SIE/Exemple_Frap.pdf · Cours SIE : FRAP et Rapport 3 Version 2003.03 © P.Nasarre 3. Mission La mission

Cours SIE : FRAP et Rapport 18

Version 2003.03 © P.Nasarre

PLA

CA

RD

1

PC5

PC

4

PC6

PC7

Serveur

Hub 1,2 et 3

Imprimante Canon

Figure 3 : Plan des bureaux administratifs

Les autres annexes ne sont pas présentées ici car inutiles pour notre exemple.

Fin du document