115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies des Télécommunications et Réseaux » Présenté par : Ayari Amani Audit de Sécurité du Système Informatique de MTIC Soutenu le : 05/02/2014 Devant le jury : Mr : Khaled Ghorbel Mme : Emna Souissi Mme : Chiraz Houaidia

MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

  • Upload
    others

  • View
    48

  • Download
    2

Embed Size (px)

Citation preview

Page 1: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

0

MEMOIRE DE STAGE DE FIN D’ETUDE

Pour l’obtention du

MASTERE PROFESSIONNEL

« Nouvelles Technologies des Télécommunications et Réseaux »

Présenté par :

Ayari Amani

Audit de Sécurité du Système Informatique de MTIC

Soutenu le : 05/02/2014

Devant le jury : Mr : Khaled Ghorbel

Mme : Emna Souissi

Mme : Chiraz Houaidia

Page 2: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1

A ma mère

pour toute l’affection qu’elle me procure.

A mon père

pour ses innombrables et précieux conseils.

A mes frères et leurs conjointes

pour leur soutien.

Aux petites, Lina et Fatouma

pour la joie qu’ils me font vivre.

A mon fiancé Ahmed

L’homme que j’aime tant et avec qui je

construirai ma vie

A ma tante Mtira

Pour son soutien moral

A toute ma famille, mes oncles, mes tantes,

mes cousins et mes cousines

A tous mes amis

Amani

Page 3: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

2

Le travail présenté dans ce rapport a été effectué dans le cadre de ce projet de fin

d’études pour l’obtention du diplôme de mastère professionnel en Nouvelles Technologies de

Télécommunications et Réseaux à l’Université Virtuelle de Tunis (UVT)

Ce travail réalisé au sein des locaux du Ministère des Technologies de l’Information et de

Communication(MTIC) a pu être mené à terme grâce à la collaboration de certaines personnes

qu’il nous plaît de remercier.

Je remercie également Mr Khaled Sammoud mon encadreur pour ses conseils lucides et

pertinents.

Je tiens à remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi

Mosly pour la confiance qu’ils ont su me témoigner au cours de toute la durée de l’étude de mon

projet, pour leur disponibilité et leur patience. Je rends ici hommage à leurs qualités d’expert

auditeur, par lesquelles ils ont su guider mes travaux de recherches en sécurité des réseaux.

Mes remerciements vont aussi aux membres du jury, qui donneront à mon travail une

valeur ajoutée à travers leurs recommandations et leurs remarques si importantes, dont je serai

très reconnaissant.

Je remercie particulièrement aux responsables et à l’équipement informatique au ministère pour

leur aide, leur patience et leur disponibilité.

Je remercie enfin tous ceux qui, d’une manière ou d’une autre, ont contribué à la réussite de ce

travail.

Amani

Page 4: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

3

Table des matières

Introduction Générale ..........................................................................................................................7

Chapitre I : ......................................................................................................................................... 10

Généralités et Etude de l’Art ............................................................................................................ 10

1- Introduction .................................................................................................................... 11

2- Généralité sur la sécurité informatique ....................................................................... 11

3- Normes et standards relatives à la sécurité ................................................................ 11

3.1- ISO/IEC 27001 ............................................................................................................. 12

3.2- ISO/IEC 27002 ............................................................................................................ 12

3.3- ISO/IEC 27005 ............................................................................................................ 13

4- Rôle et objectifs d’audit ................................................................................................. 13

5- Cycle de vie d’un audit de sécurité des systèmes d’information ............................ 14

6- Démarche de réalisation d’une mission d’audit de sécurité des systèmes d’information............................................................................................................................ 15

6.1- Préparation de l’audit ............................................................................................ 15

6.2- Audit organisationnel et physique ........................................................................ 16

6.3- Audit technique ...................................................................................................... 16

6.4- Audit intrusif ........................................................................................................... 18

6.5- Rapport d’audit ....................................................................................................... 18

7- Lois relative à la sécurité informatique en Tunisie ................................................... 19

8- Conclusion ....................................................................................................................... 19

Chapitre II : ........................................................................................................................................ 20

Présentation de l’organisme d’accueil et étude de l’existant .......................................................... 20

1- Introduction .................................................................................................................... 21

2- Présentation de l’organisme d’accueil ......................................................................... 21

2.1- Présentation générale ............................................................................................. 21

2.2- Rôles et attributions ............................................................................................... 21

2.3- Organigramme : ...................................................................................................... 23

2.4- Le bureau des systèmes d’information ............................................................... 25

3- Description du système informatique ......................................................................... 25

Page 5: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

4

3.1- Inventaire des micro-ordinateurs et serveurs .................................................... 25

3.2- Inventaire des logiciels et système d’exploitation ........................................... 26

3.3- Inventaire des équipements réseaux ................................................................... 27

4- Architecture et topologie du réseau ............................................................................ 28

4.1- Plan d’adressage ...................................................................................................... 28

4.2- Description de l’architecture réseau ................................................................... 28

5- Aspects de sécurité existante ........................................................................................ 29

5.1- Sécurité physique ................................................................................................... 29

5.2- Sécurité logique ...................................................................................................... 30

5.3- Sécurité réseau......................................................................................................... 31

5.4- Sécurité des systèmes ............................................................................................. 31

6- Conclusion ....................................................................................................................... 32

Chapitre III : ....................................................................................................................................... 33

Taxonomies des failles organisationnelles et physiques basées sur la Norme 27002 .................... 33

1- Introduction .................................................................................................................... 34

2- Approche adopté ............................................................................................................ 34

3- Déroulement de la taxonomie organisationnel et physique .................................... 34

3.1- Présentation des interviews .................................................................................. 34

3.2- Présentation et interprétation des résultats ....................................................... 34

4- Conclusion ....................................................................................................................... 40

Chapitre IV: ....................................................................................................................................... 41

Taxonomies des failles techniques .................................................................................................... 41

1- Introduction .................................................................................................................... 42

2- Analyse de l’architecture réseau et système ............................................................... 42

2.1- Reconnaissance du réseau et du plan d’adressage ........................................... 42

2.2- Sondage système et des services réseaux ........................................................... 44

3- Analyse des vulnérabilités ............................................................................................ 50

3.1- Serveur Backup Mail.............................................................................................. 50

3.2- Serveur SyGec ......................................................................................................... 51

3.3- Serveur de messagerie Lotus Notes .................................................................... 52

4- Analyse de l’architecture de sécurité existante .......................................................... 53

4.1- Analyse du Firewall ............................................................................................... 54

Page 6: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

5

4.2- Analyse du Routeur Cisco..................................................................................... 54

4.3- Analyse du Switch HP Procurve .......................................................................... 55

4.4- Analyse de la politique d’usage de mots de passe ........................................... 56

5- Conclusion ....................................................................................................................... 57

Chapitre V : ........................................................................................................................................ 58

Recommandations organisationnelles et physiques ........................................................................ 58

1- Introduction .................................................................................................................... 59

2- Politique de sécurité ....................................................................................................... 59

3- Organisation de la sécurité de l’information .............................................................. 59

4- Gestion des biens ............................................................................................................ 60

5- Sécurité liée aux ressources humaines ........................................................................ 61

6- Sécurité physique et environnementale ...................................................................... 62

7- Gestion des communications et de l’exploitation ...................................................... 63

8- Contrôle d’accès.............................................................................................................. 63

9- Développement et maintenance des systèmes ........................................................... 64

10- Gestion des incidents ..................................................................................................... 65

11- Gestion de la continuité d’activité ............................................................................... 66

12- Conformité ...................................................................................................................... 66

13- Conclusion ....................................................................................................................... 67

Chapitre VI : ...................................................................................................................................... 68

Recommandations techniques ........................................................................................................... 68

1- Introduction .................................................................................................................... 69

2- Recommandations .......................................................................................................... 69

3- Solution proposée ........................................................................................................... 72

3.1- Déploiement complet d’Active directory (Annexe 4) ...................................... 72

3.2- Windows Server Update Services ...................................................................... 72

3.3- Deuxième Switch HP Procurve ............................................................................ 72

3.4- Nouvelle architecture ............................................................................................. 73

4- Conclusion ....................................................................................................................... 73

Conclusion Générale .......................................................................................................................... 74

Bibliographie ...................................................................................................................................... 77

Annexes .............................................................................................................................................. 79

Page 7: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

6

TABLE DES FIGURES

Figure 1:Cycle de vie d'audit sécurité ........................................................................................... 14 Figure 2:Processus d'audit ............................................................................................................ 15

Figure 3:Site du ministère(MTIC) ................................................................................................ 22 Figure 4:Organigramme de MTIC ................................................................................................ 23 Figure 5:Stuctures de cabinet ........................................................................................................ 24 Figure 6:Topologie du réseau du ministère(MTIC) ...................................................................... 29 Figure 7:Interface d'administration des onduleurs ........................................................................ 30

Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32 Figure 9:Résultat de la taxonomie organisationnelle .................................................................... 39

Figure 10:Réseau local .................................................................................................................. 43 Figure 11:Configuration réseau au niveau du poste ..................................................................... 44

Figure 12:Sondage des systèmes d’exploitation avec GFI LANguard ......................................... 45 Figure 14:Sondage des services en activité du serveur Backup Mail ........................................... 46

Figure 15:Sondage des services avec Zenmap.............................................................................. 46 Figure 16:Sondage des ports ouverts ............................................................................................ 47 Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47

Figure 18:Capture des flux avec wireshark .................................................................................. 48 Figure 19:Partages réseau avec GFI LANguard ........................................................................... 49

Figure 20:Vulnérabilités (GFI LANguard) ................................................................................... 50

Figure 21:Capture du serveur Backup Mail .................................................................................. 51

Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51 Figure 23:Serveur SyGec .............................................................................................................. 52

Figure 24:Serveur primaire messagerie ........................................................................................ 52 Figure 25:Capture PuTTy ............................................................................................................. 55 Figure 26:Capture PuTTy(2)......................................................................................................... 55 Figure 27:Capture de la version du Switch ................................................................................... 56

Figure 28:Capture des adresses IP autorisées ............................................................................... 56 Figure 29:Nouvelle architecture sécurisée .................................................................................... 73

TABLE DES TABLEAUX

Tableau 1:liste des serveurs du MTIC .......................................................................................... 26 Tableau 2:liste des applications du MTIC .................................................................................... 27 Tableau 3:liste des équipements réseaux de MTIC ...................................................................... 27 Tableau 4:liste des plans d'adressage ............................................................................................ 28

Page 8: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

7

Introduction Générale

Page 9: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

8

Le présent rapport entre dans le cadre de réalisation d’une mémoire du mastère

professionnel « Nouvelles Technologies des Télécommunications et Réseaux » à

l’Université Virtuelle de Tunis pour l’obtention d’une mission d’audit de sécurité de

système informatique de Ministère des Technologies de l’Information et de

Communication.

Les systèmes informatiques sont devenus des outils indispensables au

fonctionnement des entreprises. Ils sont aujourd’hui déployés dans tous les secteurs

professionnels, à s’avoir, le secteur bancaire, les assurances, la médecine voire dans le

domaine aéronautique.

Cette évolution a assouvi par conséquent les besoins de nombreux utilisateurs

qui ne sont pas forcément de bonne foi. Ils peuvent exploiter les vulnérabilités des

réseaux et des systèmes dans le but d’accéder à des informations confidentielles et de

les utiliser dans leurs propre intérêt. Il en découle que ces réseaux sont devenus ciblés

par ce genre de menaces et leurs sécurisation recèle une préoccupation de plus en plus

importante. La mise en place d’une politique de sécurité autour de ces systèmes est

donc primordiale.

Dès lors, la sécurité revêt une importance qui grandit avec le développement des

réseaux IP, les entreprises y voient aujourd’hui un avantage concurrentiel et un

nouveau défi à battre. La complexité des technologies utilisée, la croissance

exponentielle des terminaux à protéger ainsi que la prolifération de nouvelles menaces

démontrent que la sécurité est très importante, et nécessaire.

Les opérations informatiques offrent de nouvelles perspectives de rentabilité

pour les pirates et les malveillants. Elles constituent un moyen d’attaque qui peut être

mené à des milliers de kilomètres de la cible visée. Ces risques ont gagné du terrain

depuis la naissance du réseau mondial Internet. Par conséquent, toute organisation qui

a des ordinateurs relies à internet (ou à tout autre réseau externe) doit élaborer une

politique pour assurer la sécurité de chaque système.

Page 10: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

9

Ici interviennent les méthodes d’audit de sécurité des systèmes d’information

qui sont à la base même d’une politique permettant à l’entreprise de mettre en œuvre

une démarche de gestion de ses risques.

Dans ce contexte il nous a été confié de réaliser une mission d’audit de sécurité

du système d’information du ministère des technologies de l’information et de

communication.

Le présent rapport sera structuré en six parties :

La première partie présente des généralités sur la sécurité informatique et sur

une mission d’audit ainsi qu’un aperçu sur les normes de sécurité de

l’information.

La deuxième partie présente l’organisme d’accueil et l’étude de l’existant et

l’identification de système cible.

La troisième partie est consacrée aux taxonomies des failles organisationnelles et

physiques basés sur la norme 27002 et ses résultats.

La quatrième partie sera consacrée aux taxonomies des failles techniques qui

permettent, à travers des outils de détection des vulnérabilités, d’évaluer la

sécurité mise en place pour la protection du système d’information.

Enfin, les deux dernières parties de ce rapport comporteront des

recommandations et des conseils suggérés pour remédier à ces problèmes de

sécurité.

Page 11: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

10

Chapitre I :

Généralités et Etude de l’Art

Page 12: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

11

1- Introduction

L'informatique est l'un des éléments clefs de la compétitivité d'une entreprise.

C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimisé. Cependant,

rare sont celles qui mettent en place une stratégie au fil des évolutions de leurs besoins.

C'est pourquoi réaliser un audit permet, par une vision claire et globale,

d'entreprendre la rationalisation du parc et par la même d'en augmenter la productivité,

d'anticiper les problèmes et de diminuer les coûts de maintenance. (1)

2- Généralité sur la sécurité informatique

Le système d’information, considéré comme le cœur de l’entreprise, est

l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour

la gestion de l’information. Il doit être exempt de toute faille de sécurité qui risquerait

de compromettre l’information qui y circule, du point de vue de la confidentialité, de

l’intégrité ou de la disponibilité. Ainsi, des normes de sécurité ont été définies, donnant

les règles à respecter afin de maintenir la sécurité du système d’information de

l’entreprise. Parallèlement, étant donné la complexité de la mise en œuvre de ces

normes, plusieurs méthodes d’analyse des risques ont été mises au point afin de faciliter

et d’encadrer leur utilisation. Cependant, la plupart de ces méthodes en sont que

partiellement compatibles, ne tenant compte que d’une partie des règles énoncées dans

ces normes.

3- Normes et standards relatives à la sécurité

Les normes sont des accords documentés contenant des spécifications techniques

ou autres critères précis destinés à être utilisés systématiquement en tant que règles,

lignes directrices ou définitions de caractéristiques pour assurer que des processus,

services, produits et matériaux sont aptes à leur emploi.(2)

Page 13: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

12

3.1- ISO/IEC 27001

La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences de SMSI »,

elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit

les conditions pour mettre en œuvre et documenter un SMSI (Système de Management de la

Sécurité de l'Information).

3.2- ISO/IEC 27002

Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO

17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a

été rebaptisée en ISO 27002 pour s'intégrer dans la suite ISO 2700x, intitulé « Code de

bonnes pratiques pour la gestion de la sécurité de l'information ».

ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives

générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les

risques pour la sécurité des informations.

Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11

chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui

couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans

ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre).

chapitres définissant le cadre de la norme:

Chapitre n°1: Champ d'application

Chapitre n°2: Termes et définitions

Chapitre n°3: Structure de la présente norme

Chapitre n°4: Évaluation des risques et de traitement

Les chapitres définissant les objectifs de sécurité et les mesures à prendre

Chapitre n°5: Politique de sécurité de l'information

Chapitre n°6: Organisation de la sécurité de l'information

Chapitre n°7: Gestion des actifs

Chapitre n°8: Sécurité liée aux ressources humaines

Page 14: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

13

Chapitre n°9: Sécurités physiques et environnementales

Chapitre n°10: Exploitation et gestion des communications

Chapitre n°11: Contrôle d'accès

Chapitre n°12: Acquisition, développement et maintenance des systèmes

d'informations

Chapitre n°13: Gestion des incidents

Chapitre n°14: Gestion de la continuité d'activité

Chapitre n°15: Conformité.

3.3- ISO/IEC 27005

La norme ISO/IEC 27005, intitulé « Gestion du risque en sécurité de

l'information », est une évolution de la norme ISO 13335, définissant les techniques à

mettre en œuvre dans le cadre d’une démarche de gestion des risques.

4- Rôle et objectifs d’audit

L’audit sécurité est une mission d’évaluation de conformité par rapport à une

politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité.

Principe : auditer rationnellement et expliciter les finalités de l’audit, puis en déduire

les moyens d’investigations jugés nécessaires et suffisants.

L’objectif principal d’une mission d’audit sécurité c’est de répondre aux préoccupations

concrètes de l’entreprise, notamment de ses besoins en sécurité, en :

Déterminant les déviations par rapport aux bonnes pratiques.

Proposant des actions d’améliorations de niveau de sécurité de l’infrastructure

informatique.

Cependant, l’audit de sécurité peut présenter un aspect préventif. C'est-à-dire

qu’il est effectué de façons périodiques afin que l’organisme puisse prévenir les failles

de sécurité. Egalement, l’audit peut s’imposer suite à des incidents de sécurité.

Page 15: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

14

5- Cycle de vie d’un audit de sécurité des systèmes d’information

Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit

un cycle de vie qui est schématisé à l’aide de la figure suivante (3)

Figure 1:Cycle de vie d'audit sécurité

L’audit de sécurité informatique se présente essentiellement suivant deux parties

comme le présente le précédent schéma :

L’audit organisationnel et physique.

L’audit technique.

Une troisième partie optionnelle peut être également considérée. Il s’agit de

l’audit intrusif. Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce rapport

présente une synthèse de l’audit. Il présente également les recommandations à mettre

en place pour corriger les défaillances organisationnelles et techniques constatées. Une

présentation plus détaillée de ces étapes d’audit sera effectuée dans le paragraphe

suivant qui présente le déroulement de l’audit.(3)

Page 16: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

15

6- Démarche de réalisation d’une mission d’audit de sécurité des systèmes d’information

Tel que précédemment évoqué, l’audit de sécurité des systèmes d’information se

déroule généralement suivant deux principales étapes. Cependant il existe une phase

tout aussi importante qui est une phase de préparation. Nous schématisons l’ensemble

du processus d’audit à travers la figure suivante :

Figure 2:Processus d'audit

6.1- Préparation de l’audit

Cette phase est aussi appelée phase de pré audit. Elle constitue une phase

importante pour la réalisation de l’audit sur terrain.

En synthèse on peut dire que cette étape permet de :

Définir un référentiel de sécurité (dépend des exigence et attentes des

responsables du site audité, type d’audit).

Page 17: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

16

Elaboration d’un questionnaire d’audit sécurité à partir du référentiel et des

objectifs de la mission.

Planification des entretiens et informations de personnes impliquées.

6.2- Audit organisationnel et physique

a- Objectif

Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de

l’organisme cible, à auditer.

Nous nous intéressons donc aux aspects de gestion et d’organisation de la

sécurité, sur les plans organisationnels, humains et physiques.

Les objectifs visés par cette étape sont donc :

D’avoir une vue globale de l´état de sécurité du système d´information,

D´identifier les risques potentiels sur le plan organisationnel.

b- Déroulement

Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche

méthodologique qui s’appuie sur un ensemble de questions. Ce questionnaire préétabli

devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce

questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et

d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la

conformité de cet organisme par rapport à la norme référentielle de l’audit.

Dans notre contexte, cet audit prendra comme référentiel la norme ISO/27002 :2005.

6.3- Audit technique

a- Objectif

Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit

organisationnel. L’audit technique est réalisé suivant une approche méthodique allant

de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services

réseaux actifs et vulnérables. Cette analyse devra faire apparaître les failles et les

risques, les conséquences d’intrusions ou de manipulations illicites de données.

Page 18: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

17

Au cours de cette phase, l’auditeur pourra également apprécier l’écart avec les

réponses obtenues lors des entretiens. Il sera à même de tester la robustesse de la

sécurité du système d’information et sa capacité à préserver les aspects de

confidentialité, d’intégrité, de disponibilité et d’autorisation.

b- Déroulement

L’audit technique sera réalisé selon une succession de phases respectant une

approche méthodique. L’audit technique permet la détection des types de

vulnérabilités suivante, à savoir :

Les erreurs de programmation et erreurs d’architecture.

Les erreurs de configurations des composants logiques installés tels que les

services (ports) ouverts sur les machines, la présence de fichiers de configuration

installés par défaut, l’utilisation des comptes utilisateurs par défaut.

Les problèmes au niveau de trafic réseau (flux ou trafic non répertorié, écoute

réseau,...).

Les problèmes de configuration des équipements d’interconnexion et de contrôle

d’accès réseau.

Les principales phases :

Phase 1 : Audit de l’architecture du système

Reconnaissance du réseau et de plan d’adressage,

Sondage des systèmes,

Sondage réseau,

Audit des applications.

Phase 2 : Analyse des vulnérabilités

Analyse des vulnérabilités des serveurs en exploitation,

Analyse des vulnérabilités des postes de travail.

Phase 3 : Audit de l’architecture de sécurité existante

Cette phase couvre entièrement/partiellement la liste ci après :

Page 19: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

18

Audit des firewalls et des règles de filtrage,

Audit des routeurs et des ACLs (Liste de contrôle d’accès),

Audit des sondes et des passerelles antivirales,

Audit des stations proxy,

Audit des serveurs DNS, d’authentification,

Audit des commutateurs,

Audit de la politique d’usage de mots de passe.

6.4- Audit intrusif

Cet audit permet d’apprécier le comportement des installations techniques face à

des attaques. Egalement, il permet de sensibiliser les acteurs (management, équipes sur

site, les utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été

effectués (scénarios et outils) ainsi que les recommandations pour pallier aux

insuffisances identifiées.

6.5- Rapport d’audit

A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger

un rapport de synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des

défaillances enregistrées. Autant est-il important de déceler un mal, autant il est

également important d’y proposer des solutions. Ainsi, l’auditeur est également invité à

proposer des solutions (recommandations), détaillées, pour pallier aux défauts qu’il

aura constatés.

Les recommandations devront inclure au minimum :

Une étude de la situation existante en termes de sécurité au niveau du site

audité, qui tiendra compte de l’audit organisationnel et physique, ainsi que les

éventuelles vulnérabilités de gestion des composantes du système (réseau,

systèmes, applications, outils de sécurité) et les recommandations

correspondantes.

Page 20: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

19

Les actions détaillées (organisationnelles et techniques) urgentes à mettre en

œuvre dans l’immédiat, pour parer aux défaillances les plus graves, ainsi que la

proposition de la mise à jour ou de l’élaboration de la politique de sécurité à

instaurer.

7- Lois relative à la sécurité informatique en Tunisie

Loi n° 5 - 2004 du 3 février 2004, relative a la sécurité informatique et portant sur

l'organisation du domaine de la sécurité informatique et fixant les règles générales de

protection des systèmes informatiques et des réseaux.(6)

Décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les

réseaux des organismes soumis a l'audit obligatoire périodique de la sécurité

informatique et les critères relatifs a la nature de l'audit et a sa périodicité et aux

procédures de suivi de l'application des recommandations contenues dans le rapport

d'audit.(6)

8- Conclusion

L’audit est une démarche collaborative visant l’exhaustivité. Elle est moins

réaliste qu’un test mais permet en contrepartie de passer méthodiquement en revue tout

le réseau et chacun de ses composants en détail.

Dans le chapitre suivant nous mettons l’accent sur l’étude de l’existant et

l’identification de système cible.

Page 21: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

20

Chapitre II :

Présentation de l’organisme d’accueil et

étude de l’existant

Page 22: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

21

1- Introduction

Notre mémoire de mastère s’est déroulé au sein du Ministère des Technologies

de l’information et de la Communication (MTIC) qui est chargé principalement du

pilotage, de la planification, de la réglementation et l’organisation du secteur des

technologies de la communication en Tunisie.

Ce chapitre présente une étude exhaustive sur le système informatique et les

composants qui le constituent. Toutes les informations ont été rassemblées suite à des

visites sur place et des entretiens avec les membres de l’équipe informatique.

2- Présentation de l’organisme d’accueil

2.1- Présentation générale

Dénomination Ministère des Technologies de l'information

et de la communication

Ministre Mr Mongi Marzouk

Secteur d’activités Informatique et télécommunication

Moyens humains (fin 2012) 230 employés

Adresse 3, bis rue d’Angleterre, 1000 Tunis

e-mail [email protected]

Site web

http://www.infocom.tn

Téléphone : (+216) 71 359 000

2.2- Rôles et attributions

Le ministère a pour mission la mise en place d'un cadre réglementaire qui

organise le secteur, la planification, le contrôle et la tutelle en vue de permettre au pays

d'acquérir les nouvelles technologies. Il assure de même le soutien du développement,

Page 23: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

22

attire l'investissement et encourage les efforts d'exportation et la compétitivité des

entreprises tunisiennes.

L’adresse officielle du site du ministère est : www.mincom.tn[N1]

Figure 3:Site du ministère(MTIC)

A cet effet, le ministère est chargé notamment de :

Coordonner entre les structures chargées des études stratégiques dans le

domaine de la Poste, des Télécommunications et de la technologie de

l'Information ; élaborer des normes techniques ; et encadrer les programmes de la

recherche et les activités industrielles en vue de leur adaptation aux besoins du

secteur,

Elaborer des plans et des études stratégiques dans les domaines des

télécommunications et Postal,

Elaborer les études de rentabilité tarifaires et les modalités de fixation des tarifs

des Télécommunications et des tarifs postaux,

Fixer les conditions et les modalités relatives à la mise en place et à l'exploitation

des services à valeur ajoutée des télécommunications,

Suivre l'activité des Entreprises sous tutelle du ministère du point de vue

technique et financier.

Page 24: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

23

Collecter et analyser des statistiques relatives au secteur et proposer des

programmes à insérer dans les plans de développement et en évaluer les

résultats :

Collecter et analyser et diffuser des statistiques relatives aux activités du

ministère,

Participer à l'élaboration des études stratégiques et des plans de développement

dans le domaine des communications,

Evaluer les résultats des plans de développement relatifs aux domaines afférents

aux attributions du ministère,

2.3- Organigramme :

Figure 4:Organigramme de MTIC

L’organigramme du ministère comprend principalement :

L'inspection générale des communications

Les directions générales tel que :

Page 25: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

24

-Direction générale des technologies de l’information

-Direction générale des technologies de la communication

-Direction générale de l’économie Numérique, de l’investissement et des

statistiques

-Direction générale des entreprises et établissements publics

-Direction générale des services communs

Le cabinet comprend les structures suivantes :

Figure 5:Stuctures de cabinet

-Le bureau d'ordre central

-Le bureau de l’information et de la communication

-Le bureau des systèmes d’information

-Le bureau des relations avec les associations et les organisations

-Le bureau de suivi des décisions du conseil des ministres, des conseils

ministériels restreints et des conseils interministériels

-Le bureau des affaires générales, de la sécurité et de la permanence

-Le bureau des relations avec le citoyen

Page 26: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

25

-Le bureau de supervision des projets statistiques

-Le bureau de la réforme administrative et de la bonne gouvernance

-Le bureau de la coopération internationale, des relations extérieures

2.4- Le bureau des systèmes d’information

Le bureau des systèmes d’information est chargé de :

L’exécution du chemin directeur de l’information et sa mise à jour, de même le

développement de l’utilisation de l’informatique au niveau de différents services

du ministère.

L’exploitation et la maintenance des équipements et des programmes

informatiques.

La fixation de besoins en matière informatique et participation à l’élaboration des

cahiers des charges des appels d’offres pour l’acquisition d’équipements

informatiques.

La participation à l’élaboration des programmes de formation et de recyclage.

Le développement des programmes informatiques concernant les produits

financiers.

Le suivi et l’application des programmes de maintenance des équipements

informatiques au niveau régional à travers les pôles régionaux.

3- Description du système informatique

Dans cette partie nous allons identifier tous les éléments et les entités qui

participent au fonctionnement du Système informatique.

D’après les visites effectuées et les documents qui nous ont été fournis, nous

répartissons l’inventaire des équipements informatiques comme suit :

3.1- Inventaire des micro-ordinateurs et serveurs

Nombre des postes de travail : 220

Tous les ordinateurs sont de type PC

Page 27: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

26

Nombre des serveurs en exploitation est 07 Serveurs :

Serveur en Exploitation

Type d’Application Hébergée

Plates formes OS/ SGBD

Adresse réseau

Serveur SyGec Gestion et suivi des courriers

Windows 2008 Server/

SQL serveur 2005

10.0.3.128/24

Serveur primaire messagerie Lotus Domino/Notes

Messagerie Intranet Windows 2003 SP3

10.0.3.51/24

Serveur Secondaire messagerie Lotus Domino/Notes

Messagerie Intranet Windows 2003 SP3

10.0.3.52/24

Serveur Backup Mail Sauvegarde des mails Windows XP SP2

10.0.3.127/24

Serveur Antivirus réseau Koss 9.0

Système Antiviral Windows 2008 Server 10.0.3.131/24

Serveur Mangement FW

Console d’administration du

FireWall/IDS

Windows 2008 Server R2

10.0.3.131/24

Serveur Fax Gestion électronique des Fax

Windows 2008 Server 10.0.3.101/24

Tableau 1:liste des serveurs du MTIC

3.2- Inventaire des logiciels et système d’exploitation

Les postes de travail sont équipés du système Windows XP (SP2/SP3) et Windows7

(SP1).

Les Serveurs sont équipés du système Windows 2003 Server et Windows 2008 Server

Une suite de bureautique (office 2003 et 2007) est installée sur tous les postes.

Il y a des applications qui sont exploitées sur un réseau physiquement séparé du

réseau Intranet du ministère et dont les serveurs sont hébergés au Centre National de

l’informatique, ils sont comme suit :

Les applications Description Développement Externe/Interne

INSAF Application permet la gestion intégrée des ressources humaines

et de la paie du personnel de

Externe

Page 28: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

27

l’Etat

RACHED Application pour l’automatisation des procédures relatives aux missions effectuées

a l’étranger par les agents de l’administration

Externe

ADAB Application d’aide a la décision Budgétaire

Externe

Gestion des biens mobiliers de l’Etat « MANKOULET »

Application permettant le suivi des différentes étapes de gestion des biens mobiliers du ministère, depuis leur acquisition jusqu'à la

fin de leur utilisation

Externe

Gestion des stocks de l’Administration « MAKHZOUN »

Application de gestion des stocks des produits tenus en stock dans

les magasins du ministère

Externe

Tableau 2:liste des applications du MTIC

3.3- Inventaire des équipements réseaux

Le site compte les équipements réseaux et sécurité suivantes: Marque et Modèle Nombre d’interfaces Plusieurs Switch de marque Dlink et de modèle DGS 3100

24 ports Rj45, 4 ports FO

Plusieurs Switch de marque Dlink et de modèle DGS 1216T

16 ports Rj45, 2 ports FO

Un Routeur CISCO 2850

2 interfaces fast Ethernet et 8 interfaces

séries

Un double de FW de marque

StoneGate et de modèle FW1050e

possèdent 8 interfaces fast Ethernet.

Un commutateur Niv3 de marque HP Procurve de modèle

5406zl

Possède 08 interfaces FO et 24 Interfaces RJ45

Tableau 3:liste des équipements réseaux de MTIC

Page 29: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

28

4- Architecture et topologie du réseau

4.1- Plan d’adressage

Tous les hôtes du réseau utilisent des adresses IP privée de classe A (10.0.x.0/24)

avec un masque réseau de classe C. Le réseau Interne est segmenté en 8 sous réseaux :

Adresse Sous réseau Description

10.0.1.1/24 Zone d’administration

10.1.0.0/24 Postes utilisateurs zone DGTC

10.0.2.0/24 Postes utilisateurs zone inspection

10.0.3.0/24 Zone des serveurs en exploitation

10.0.4.0/24 Postes utilisateurs zone DAAF

10.0.5.0/24 Postes utilisateurs zone juridique

10.0.7.0/24 Postes utilisateurs zone Bâtiment

10.0.8.0/24 Postes utilisateurs zone Informatique

10.0.13.0/24 Postes utilisateurs zone cabinet

Tableau 4:liste des plans d'adressage

4.2- Description de l’architecture réseau

Toute l’informatique est reliée à un réseau de type Ethernet, C’est un réseau local

moderne, 100% commuté, avec des débits élevés (100/1000 Mb/s).

La topologie du site est en étoile étendue, le réseau interne est segmenté

physiquement en 8 sous réseaux, et chaque segment sous réseau est relié a un nœud

central (Switch N3 de marque HP et de modèle 5406zl) via des liaisons fibre optique.

Le réseau interne est relié au réseau Internet à travers une liaison de type Fibre

Optique avec un débit de 10 Mb/s.

Le réseau est relié avec des sites distants (des sites des organismes sous tutelle tel que

SEILL, ONT, OPT, CNI) via des liaisons permanentes à hauts débits (lignes

spécialisées avec un débit qui varie entre 128 ko/s et 512 ko/s).

Page 30: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

29

Toute l’architecture du réseau Interne est autour d’un doublet de firewall (qui

fonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps.

Les firewalls internes sont reliés à un doublet de firewall Frontal.

Figure 6:Topologie du réseau du ministère(MTIC)

5- Aspects de sécurité existante

Des mesures de sécurité ont été prises pour assurer au mieux la sécurité des

infrastructures et des utilisateurs du réseau.

5.1- Sécurité physique

D’après les visites et les entretiens, nous avons constatés les faits suivants :

Le service de nettoyage intervient de 8h à 9h et de 13h à 14h30

Existence des agents d’accueil qui contrôlent l’accès au périmètre du site,

l’enregistrement des informations relatives à chaque visiteur et fournir un badge

pour accéder à l’intérieur du local.

Page 31: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

30

Salle serveur fermée à clef, seuls les personnes autorisées et qui possèdent la clé

peuvent y accéder,

La climatisation est assurée par (deux) climatiseurs domestiques installé dans la salle

des serveurs.

Les prises de courant électriques ne sont pas ondulées.

Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de

marque APC 1kva) pour assurer la continuité de service des ressources critique en

cas de problèmes électrique.

Figure 7:Interface d'administration des onduleurs

Seuls les machines et les composants réseaux à importance élevée sont protégés par

des onduleurs pour éliminer les problèmes d’alimentation électrique de courte durée.

Les extincteurs d’incendies sont disponibles dans chaque couloir

Absence des caméras de surveillance pour les zones sensibles.

5.2- Sécurité logique

Pour la sécurité logique, les moyens mis en place au sein du S.I sont :

Acquisition d’une solution matériel de sauvegarde de données wooxo security box :

qui comprend 2 disques (chacun est de capacité 512Mb), il est administrable via le

web, il est sécurisé contre les risques majeurs tel que : le feu, l’inondation, et le vol

Page 32: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

31

Des procédures de sauvegarde pour les données sensibles sont appliquées selon les

fréquences suivantes :

- Pour la base de données de l’application SyGec : une image sur disque chaque

jour.

- Pour les Emails au niveau du serveur de messagerie : une sauvegarde est

planifiée tous les jours (fin de la journée) sur un poste de travail dédié pour

backup Mail.

- Pour la configuration du firewall : une sauvegarde de la configuration chaque

mois ou lors d’une modification importante, et une sauvegarde des logs est

assurée chaque semaine.

Afin d’assurer la continuité des services et éviter l’arrêt des services même

partiellement en cas des problèmes (panne matériel, crash disque...), une certaine

redondance matérielle a été constaté notamment au niveau des firewalls ainsi qu’au

niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.

5.3- Sécurité réseau

Le réseau est segmenté physiquement en des sous réseaux autour d’un commutateur

niveau 3 qui assure le routage.

Les filtrages des accès depuis et vers les réseaux externes sont assurés par le Firewall

interne de marque StoneGate et de modèle 1050.

Pour l’accès au réseau Internet, le mécanisme du NAT est assuré par le doublet de

Firewall frontal de marque StoneGate et de modèle 1030.

Dans la zone des serveurs en exploitation, un système de détection des intrusions

(IDS/IPS) de marque StoneGate et de modèle 1030 est installé afin de la protéger

contre les attaques.

5.4- Sécurité des systèmes

Le système Antiviral :

Quelque soit les mesures mises en place, on ne peut pas éviter à 100% que les

machines ne seront pas infectées par des virus.

Page 33: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

32

Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en

place avec une architecture client/serveur, et une version client (agent) est installée sur

toutes les machines du réseau (une version pour les postes de travail et une version

pour les serveurs), le serveur de l’antivirus télécharge les mises à jour régulièrement et

les installe sur tous les Ordinateurs.

Figure 8:Interface client-Endpoint Security V8

6- Conclusion

Suite à la description de l’environnement de déroulement de notre mission

d’audit et l’identification de l’architecture réseau et principaux serveurs et équipements,

nous allons procéder, dans le chapitre suivant, aux taxonomies des failles

organisationnelles et physiques basés sur la norme 27002.

Page 34: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

33

Chapitre III :

Taxonomies des failles organisationnelles et physiques

basées sur la Norme 27002

Page 35: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

34

1- Introduction

Ce chapitre vise à avoir une vision qualitative et quantitative des différents

facteurs de la sécurité informatique du site audité et à identifier les points critiques du

système d´informations.

L’audit fonctionnel sera réalisé en se basant sur des entretiens avec le

responsable, et des observations constatés sur le site.

2- Approche adopté

Notre approche consiste à mesurer le niveau de maturité en se basant sur un

questionnaire inspiré de la Norme ISO 27002 (voir annexe 1).

Ce questionnaire comporte 11 chapitres, chaque chapitre présente un thème de

sécurité dans lequel sont exposés des objectifs de contrôles et des recommandations sur

les mesures de sécurité à mettre en œuvre et les contrôles à implémenter.

3- Déroulement de la taxonomie organisationnel et physique

Lors de cette phase, je me suis ainsi entretenu avec le chef service informatique :

Mr Marouane LADJIMI. Des visites ont été réalisées au site afin de vérifier la sécurité

physique.

3.1- Présentation des interviews

Voir annexe 1

3.2- Présentation et interprétation des résultats

Lors de cette intervention et suivant les réponses aux questionnaires, j’ai pu

déceler les constations suivantes :

a- Politique de sécurité de l’information

Page 36: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

35

On remarque l’inexistence d’une politique de sécurité formelle et disponible pour

tous les personnels et par conséquent, l’absence d’un document de politique de

Sécurité écrit, validé et diffusé par la direction générale et de norme appliquée.

La politique de sécurité n’est pas affectée à un responsable, chargé de la révision

régulière de ce document et l’adaptée périodiquement en cas de changement au

niveau de l’organisation ou au niveau de l’architecture, suite à un incident de

sécurité, ou bien à cause des changements technologiques.

b- Organisation de la sécurité de l’information

L’inexistence des fonctions suivantes dans la politique de sécurité : responsable

spécialiste de la sécurité physique ; responsable spécialiste de la sécurité

fonctionnelle et informatique ; directeur responsable de la sécurité générale.

Absence des objectifs de sécurité dans la politique globale de l’organisme.

Absence de l’identification des informations confidentielles.

L’inexistence d’une politique de révision et de documentation de la politique

d’organisation de la sécurité.

Absence du mécanisme d’identification et de classification des accès.

Absence d’un contrat qui stipule les clauses relatives à la sécurité des valeurs de

l’organisation, la sécurité physique et l’existence d’un plan de secours dans le cas

d’externalisation du ministère.

Absence de comité de pilotage du SI.

Absence de l’identification des risques dus aux effets externes.

c- Gestion des biens

Il n’y a pas une classification des ressources basées sur les 3 axes : Disponibilité,

Intégrité et Confidentialité.

Manque des Lignes directrices pour la classification des informations en termes

de valeur, d’exigences légales, de sensibilité et de criticité,

L’inexistence d’un stock inventorié d’équipements et de pièces détachées de

secours.

Absence d’une licence d’acquisition pour tous les logiciels installés.

Page 37: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

36

Il n’y a pas de contrôle des logiciels installés.

L’inexistence des règles d’utilisation des biens et des services d’information.

d- Sécurité liée aux ressources humaines

L’inexistence d’un contrat signé par tous les personnels pour prendre des

décisions en cas de non respect des règles de sécurité, ou bien qu’ils soient

sources des failles.

Absence d’une note précisant les devoirs et responsabilités du personnel.

Absence d’un programme de sensibilisation du personnel aux risques d'accident,

d'erreur et de malveillance relatifs au traitement de l'information.

Les employés doivent noter, signaler toutes les failles et les menaces de sécurités

observées dans les systèmes ou services ou applications, et savoir à qui

s’adressent en cas pareils.

Absence d’un document de confidentialité des informations signé par les

employés lors de l’embauche.

e- Sécurité physique et environnementale

Absence d’une réglementation spéciale contre le fait de fumer, boire, et manger

dans les locaux informatiques.

Absence d’une politique de maintenance pour les équipements sensibles.

Absence des procédures de gestion de crise en cas de long arrêt du système et de

permettre la reprise du fonctionnement au moins partiellement (favoriser

quelques machines sur d’autres).

L’inexistence d’un système de détection ou d’évacuation d’eau.

Absence d’un document lié à la sécurité physique et environnementale.

f- Gestion des communications et de l’exploitation

Absence des procédures formelles pour les opérations d’exploitation : backup,

maintenance et utilisation des équipements et des logiciels.

L’inexistence d’une distinction entre les phases de développement, de test et

d’intégration d’applications.

Absence d’une procédure pour la gestion des incidents.

Page 38: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

37

Absence des procédures formelles pour la prévention contre la détection et la

prévention des logiciels malicieux.

Absence d’une politique pour se débarrasser des documents importants.

L’inexistence des consignes interdisant l’utilisation des logiciels sans licence qui

doivent être respectés et contrôlés.

Absence d’une politique de sécurité pour les emails.

g- Contrôle d’accès

Absence d’une procédure d’attribution ou de retrait des privilèges qui nécessite

l’accord formel de la hiérarchie.

Les utilisateurs non conscients qu’ils doivent verrouiller leurs sessions en

quittant leur bureau même pour quelques instants.

Absence du contrôle par un dispositif d’identification et d’authentification à

l’accès au système.

L’inexistence d’un dispositif de revue des droits d’accès à des intervalles

réguliers.

Absence des conditions à respecter lors du choix des mots de passe.

Il faut sensibiliser les utilisateurs pour prendre précautions à l’utilisation des

disquettes, CD, flash…

h- Développement et maintenance des systèmes

Absence des procédures de validation en cas d’un ou des changements réalisés

sur les programmes ou bien sur les applications.

Absence de l’assurance de la sécurité de la documentation du système

d’information.

L’inexistence des procédures de contrôle pour les logiciels développés en sous-

traitance.

L’inexistence d’une politique de maintenance périodique et assidue des

équipements.

i- Gestion des incidents

L’inexistence d’une politique de gestion des incidents.

Page 39: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

38

Absence d’une politique pour répartition des responsabilités en cas d’incident.

Absence d’un système de reporting des incidents liés à la sécurité de

l’information.

Les employés ne sont pas informés du comportement à avoir si un incident est

survenu.

j- Gestion de la continuité d’activité

Absence d’une politique de sauvegarde pour d’autres actifs de l’organisme.

Une analyse de risque à partir des divers scénarios n’est jamais développé, qui

permet d’identifier les objets et les événements qui pourraient causer des

interruptions (partielle ou totale).

L’inexistence des alarmes pour l’avertissement lors d’accès aux actifs sensibles en

dehors des heures de travail ou en cas d’accès non autorisés.

Absence d’un plan de secours, ce qui vient de dire que l’organisme est incapable

de répondre rapidement et efficacement aux interruptions des activités critiques

résultant de pannes, incident, sinistre.

Absence des plans écrits et implémentés pour restaurer les activités et les services

en cas de problèmes.

k- Conformité

On remarque l’absence d’une définition, d’une documentation et d’une mise à

jour explicite de toutes les exigences légales, réglementaires et contractuelles en

vigueur, ainsi que la procédure utilisée par l’organisme pour satisfaire à ces

exigences.

L’inexistence d’un contrôle de la conformité technique.

La non-conformité des règles de sécurité appliquées.

L’inexistence d’une procédure définissant une bonne utilisation des technologies

de l’information par le personnel.

Il faut que le responsable de la sécurité de l’information évalue périodiquement

des procédures pour le respect de la propriété intellectuelle.

l- Résultat

Page 40: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

39

Le graphe suivant illustre les résultats :

Figure 9:Résultat de la taxonomie organisationnelle

Légende :

PS : Politique de sécurité de l’information (0%)

OS: Organisation de la sécurité de l’information (30%)

GB : Gestion des biens (50%)

SRH : Sécurité liée aux ressources humaines (23%)

SPE : Sécurité physique et environnementale (61%)

GCE : Gestion des communications et de l’exploitation (50%)

CA : Contrôle d’accès (57%)

DMS : Développement et maintenance des systèmes (38%)

GI : Gestion des incidents (0%)

GCA : Gestion de la continuité d’activité (45%)

C : Conformité (50%)

Par conséquent, la moyenne est de : 37%

→ Niveau très bas en terme de sécurité physique et organisationnelle

0

10

20

30

40

50

60

70 PS

OS

GB

SRH

SPE

GCE

CA

DMS

GI

GCA

C

Page 41: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

40

4- Conclusion

La taxonomie organisationnel et physique a permis d’avoir une vue globale sur

le niveau de sécurité du système d’information grâce à un ensemble d’entretiens et au

questionnaire qui se base sur la norme ISO 27002.

Nous entamons dans le chapitre suivant la partie technique.

Page 42: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

41

Chapitre IV:

Taxonomies des failles techniques

Page 43: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

42

1- Introduction

La taxonomie des failles techniques suit une étude organisationnelle et physique

permettant d’avoir une vue globale de l’état de sécurité du système d’information et

d’identifier les risques potentiels. A cette étape nous passons à la recherche des

vulnérabilités à fin d’analyser le niveau de protection de l’infrastructure face aux

attaques notamment celles qui exploitent ces vulnérabilités.

Nous utilisons tout au long de cette partie un ensemble des outils permettant

d’obtenir les informations nécessaires et de déceler les différentes vulnérabilités.

2- Analyse de l’architecture réseau et système

2.1- Reconnaissance du réseau et du plan d’adressage

Durant cette étape, nous allons procéder à une inspection du réseau afin de

déterminer sa topologie, d’identifier les hôtes connectés et les équipements réseau. Pour

réaliser cette tâche, nous commençons par un recueil des données concernant les

équipements inventoriés.

L’outil utilisé pour l'identification de la topologie réseau est NetworkView à sa

version 3.6 qui permet de fournir une représentation graphique des composantes

actives sur le réseau et leurs attributs.

Utilisation de l’outil NetworkView(9) à l’intérieur du réseau audité :

Concernant le plan d’adressage, tous les hôtes du réseau utilisent des adresses IP

privée de classe A (10.0.x.0/24) avec un masque réseau de classe C.

Page 44: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

43

Figure 10:Réseau local

Cette figure montre les postes utilisateurs de la zone inspection, la zone des

serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le réseau interne.

Le réseau interne est segmenté en 8 sous réseaux.

Tous les hôtes du réseau utilisent des adresses IP privée de classe A (10.*.*.*/24)

avec un masque réseau de classe C ce qui n’est pas conforme aux normes en vigueur. La

configuration TCP/IP des hôtes est manuelle, ce qu’indique qu’elle est protégée contre

les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24.

Pour l’accès au réseau public Internet, une translation d’adresse (NAT) est

assurée par le Firewall frontal.

Nous signalons à cet égard, que la configuration réseau au niveau des postes

n’est pas protégée contre les modifications. En effet, chaque utilisateur peut changer son

adresse ce qui peut générer des conflits d’adresses. Des attaques de type IP Spoofing

(usurpation d'identité) peuvent être facilement menées et générer un déni du service; il

suffit de remplacer l’adresse IP du poste par celle d’un équipement critique (routeur,

Page 45: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

44

serveur, etc.). Cette attaque permet la dégradation des performances de l’équipement

concerné voir même son arrêt complet.

Figure 11:Configuration réseau au niveau du poste

2.2- Sondage système et des services réseaux

L’objectif de cette étape est l’identification des systèmes d’exploitation et des

services réseau ce qui permet de savoir les ports ouverts des équipements audités. Il est

également possible d’analyser le trafic, de reconnaître les protocoles et les services

prédominant au niveau du réseau.

Pour réaliser cette étape, nous avons utilisé autres outils qui permettent

d’identifier les OS, les services ouverts, les patches manquants et d’autres informations

utiles:

Nmap(7) est un scanner de ports. Il est conçu pour détecter les ports ouverts,

identifier les services hébergés et obtenir des informations sur le système

d'exploitation d'un ordinateur distant.

GFI LANguard Network Security : c’est un outil qui permet d’effectuer un audit

rapide de sécurité sur le réseau, il regroupe des informations enregistrées sur les

postes de travail telles que les noms d’utilisateurs, les partages, etc.

Page 46: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

45

a- Identification des systèmes d’exploitation

Des essais de balayage systématique des ports avec des options de détection des

systèmes d ‘exploitation ont permis d’avoir la liste des O.S au niveau des stations de

l’ensemble du réseau audité de la MTIC.

Les résultats de test ont confirmé que le réseau local du site est exclusivement

Windows pour les postes utilisateurs (des stations tournant sous le système Win XP),

Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de données et

d’application en exploitation.

J’ai constaté que les versions des O.S détectées sur un échantillon important des

serveurs au niveau du réseau local ne sont pas mise à jour vu l’absence d’une solution

de gestion centralisée des mises à jour.

Figure 12:Sondage des systèmes d’exploitation avec GFI LANguard

b- Identification des services réseaux

Il s’agit de déterminer les services offerts par les serveurs et les postes de travail

qui peuvent être une source de vulnérabilité.

J'ai effectué un balayage des machines (serveurs et postes de travail) du réseau

interne, j’ai pu cerner la liste des ports ouverts sur les stations en activité.

J’ai retenu utile de présenter deux petits échantillons de ces prélevés effectué sur

le serveur backup mail en utilisant l’outil Zenmap et le console sur Back-Track 5(8) :

Page 47: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

46

Figure 13:Sondage des services en activité du serveur Backup Mail

Figure 14:Sondage des services avec Zenmap

Il est aisé d’identifier les services réseau en activité sur les serveurs d’applications

et de données en exploitation au niveau du site MTIC et de connaître le type des OS,

ainsi que les failles relatives aux versions associées.

Certains services en activité sur les stations, dont il faudra décider de leur utilité

et de s’assurer périodiquement de l’absence des failles, par exemple : HTTP 80 (TCP),

TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139

(TCP) et 445 (TCP & UDP).

Page 48: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

47

c- Identification des ports ouverts

J’ai appliqué l’outil GFI LANguard sur les serveurs et les équipements critiques

et j’ai constaté qu’il existe des ports qui sont ouverts et non utilisés.

Figure 15:Sondage des ports ouverts

Plus de détails concernant le serveur secondaire messagerie Lotus

Domino/Notes qui possède l’adresse 10.0.3.52.

Figure 16:Ports ouverts du secondaire messagerie

Page 49: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

48

Les ports ouverts sont :

Le port 445 est ouvert pour la plupart des serveurs et peut être utilisé par le ver

NIMDA.

Le port 139 est ouvert pour la plupart des serveurs, ce port peut être utilisé par les

chevaux des Troie(11) suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz.

Le port 25 (service SMTP) étant actif sur les serveurs messageries, il présente un

risque de SPAM et par suite un risque de saturation de disque. Ce service doit être

désactivé s’il n’est pas utilisé.

Le port 443 est ouvert au niveau de plusieurs serveurs d’applications, qui peut être

exploité par le trojan Slapper.

d- Identification des flux réseaux

Cette étape concerne l’analyse du trafic, l’identification des principaux flux,

protocoles et applications, le taux d'utilisation ainsi que les flux inter-stations et les

protocoles superflu.

J'ai utilisé pour cela Wireshark qui est un logiciel libre d'analyse de protocole, ou

« packet sniffer », permet d’effectuer de capture sur le réseau ainsi qu’une analyse du

trafic. La capture d’écran suivante représente l’interface d’interception des paquets de

Wireshark :

Figure 17:Capture des flux avec wireshark

Page 50: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

49

Une première analyse du trafic permet d’identifier l’existence de plusieurs

protocoles actifs superflus qui génèrent des informations gratuites et qui pourraient être

exploitées par des personnes malintentionnées pour mener des attaques. Les protocoles

identifiés sont les suivants :

Cisco Discovery Protocol (CDP) : Il est utilisé pour obtenir des adresses des

périphériques voisins et de découvrir leur plate-forme, il utilise le protocole SNMP.

CDP peut aussi être utilisé pour voir des informations sur les interfaces qu’un

routeur utilise. ces données peuvent être exploitées dans la recherche des

vulnérabilités du routeur et mener des attaques. (4)

Spanning Tree Protocol (STP) : il permet d’apporter une solution à la suppression

des boucles dans les réseaux pontés et par extension dans les VLANs

e- Identification des partages réseaux

J’ai utilisé l’outil GFI LANguard sur les serveurs et les équipements critiques pour

déterminer les partages réseaux utilisés :

Figure 18:Partages réseau avec GFI LANguard

La plupart des partages existants contiennent les partages administratifs et

partages cachés par défaut ADMIN$, C$, D$, IPC$, K$ …,

En effet, les partages administratifs par défaut peuvent être exploités par un

intrus pour avoir le contrôle total de la machine.

Page 51: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

50

3- Analyse des vulnérabilités

La recherche de vulnérabilités pendant cette phase se base sur le scanner de

vulnérabilité (GFI LANguard) qui teste la résistance du système face aux failles connues

stockées dans leurs bases de connaissance.

Voici une capture générale qui indique l’état de vulnérabilités sur les serveurs et les équipements critiques :

Figure 19:Vulnérabilités (GFI LANguard)

Par la suite, je vais mesurer les vulnérabilités des parties les plus sensibles du

réseau local pour dégager rapidement les failles réellement dangereuses et dégager à

partir des outils, des rapports efficaces et exploitables pour une sécurisation rapide et

efficaces du système.

3.1- Serveur Backup Mail

Identification du compte administrateur (créé par défaut lors de l’installation)

sans aucune protection de mot de passe. Ceci est un exemple sur le serveur backup mail

qui a l'adresse 10.0.3.127 :

Page 52: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

51

Figure 20:Capture du serveur Backup Mail

Identification du port critique ouvert tel que par exemple : port 23 pour le service

Telnet.

Cela peut mettre en danger le serveur vu la criticité du Telnet (accès à distance et flux

circulant en clair).

Figure 21:Capture du serveur Backup Mail(2)

3.2- Serveur SyGec

Le schéma suivant présente le résultat d’un test par un scanner de vulnérabilités,

ciblant le serveur de gestion et suivi des courriers « serveur SyGec » qui a l'adresse

10.*.*.* :

Page 53: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

52

Figure 22:Serveur SyGec

Les vulnérabilités sont réparties sur des vulnérabilités relatives aux services

réseaux en activité (ports critiques ouverts, comme le port 23), vulnérabilités relatives

au système d’exploitation et au système SGBD (le port 1433 (Microsoft SQL Server) est

un port utilisé par le cheval de Troie « Voyager Alpha Force »).

3.3- Serveur de messagerie Lotus Notes

Le schéma suivant présente le résultat d’un test par un scanner de vulnérabilités,

ciblant le serveur primaire messagerie Lotus Domino/Notes qui a l'adresse 10.0.3.51 :

Figure 23:Serveur primaire messagerie

Page 54: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

53

Les vulnérabilités sont réparties sur des vulnérabilités relatives aux services

réseaux en activité et vulnérabilités systèmes.

Le sondage des ports avec les vulnérabilités associées est présenté comme suit :

Sasser (5554|TCP) (Vulnérabilité d’ordre grave)

Utilisé en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a été

un ver qui a exploité un débordement de tampon dans Windows LSA service. Le ver

a attaqué le port TCP 445 avec l'exploit, puis en cas de succès il a ouvert une

commande Shell à distance sur le port TCP 9996 et un service ftp sur le port 5554. Le

service ftp est pourtant même exploitable et la tentative de ver Dabber tente

d'exploiter cette vulnérabilité.

POP3 (110|TCP) (Vulnérabilité d’ordre grave)

Le port 110 est ouvert, désactivé le service s’il n’est pas utilisé car il est possible de

détecter quels chiffrements SSL qui sont pris en charge par le service pour le

cryptage des communications.

SMTP (25|TCP) (Vulnérabilité d’ordre moyenne)

Port SMTP ouvert (cible des spammeurs), il est recommandé de le désactiver s’il n’est

pas utilisé, ou filtrer le trafic entrant à ce port.

HTTP (80|TCP) (Vulnérabilité d’ordre moyenne)

Il est recommandé de le désactiver s’il n’est pas utilisé car il est possible d’extraire

des informations de configuration et de déterminer le type et la version du serveur

web.

4- Analyse de l’architecture de sécurité existante

L’objectif de cette étape est d’expertiser l’architecture technique déployée et de

vérifier les configurations des équipements réseaux avec la politique de sécurité définie

et les règles de l’art en la matière.

Page 55: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

54

4.1- Analyse du Firewall

Cette étape consiste à déterminer si le firewall fonctionne correctement. Le rôle

du firewall consiste à contrôler l’accès selon une politique spécifique adapté pour ces

huit interfaces.

La démarche adoptée consiste à auditer le firewall, les règles de filtrage et des

mécanismes de log. Le firewall utilisé est un Stonegate FW-1050.

Lors d’une réunion avec le chef service informatique, j'ai pu à l’aide du Checklist

présenté en annexe 2 déterminer les vulnérabilités suivantes du firewall :

Absence d’une procédure de test périodique des vulnérabilités du Firewall ainsi que

des essais de test de pénétration pour vérifier la résistance du système contre les

attaques.

Absence d’un rapport d'audit à long terme présentant l'historique des incidents

survenus au niveau du firewall (violation des ACLS, crash par débordement du

tampon).

L’administration n'est pas informée en temps réel par les événements les plus

critiques.

4.2- Analyse du Routeur Cisco

Lors d’une réunion avec le chef service informatique, j'ai pu à l’aide du Checklist

présenté en annexe 3 déterminer les vulnérabilités suivantes (c'est un routeur Cisco

2850) :

Absence de contrôle et de suivi de la version IOS du routeur.

Absence d’une procédure documentée pour le backup des configurations du

routeur.

Les logs du routeur ne sont pas révisés.

Identification du port Telnet ouvert.

Page 56: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

55

Figure 24:Capture PuTTy

Figure 25:Capture PuTTy(2)

4.3- Analyse du Switch HP Procurve

Voici les remarques que j’ai pu dégager lors d’une réunion avec le chef service

informatique concernant le Switch HP Procurve 5406zl :

Firmware pas mis à jour « Software revision : K.15.02.0005 », la dernière étant la

K.15.06.0017

Page 57: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

56

Figure 26:Capture de la version du Switch

Il y a seulement trois adresses IP qui sont autorisées à joindre et à manager le Switch,

y compris l’adresse IP du chef service informatique.

Figure 27:Capture des adresses IP autorisées

4.4- Analyse de la politique d’usage de mots de passe

Les méthodes d'authentification utilisées sont les mots de passe au niveau postes

de travail et serveurs.

Nous remarquons concernant la politique d’usage de mot de passe les points

suivants :

Pour les serveurs, routeurs et tous les autres équipements réseau les mots de passe

sont robustes de point de vue nombre de caractère et la combinaison de minuscules

et majuscules, de chiffres, de lettres et de caractères spéciaux.

Page 58: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

57

Au niveau poste de travail, chaque utilisateur est responsable de la définition de son

mot de passe.

Certains mots de passe (aux niveaux des postes) ressemblent aux noms des

utilisateurs ou sont trop courts (inférieur à 10 caractères), ce ne sont pas de bonnes

pratiques de sécurité.

L’absence d’une sensibilisation des utilisateurs et de la mise en place d’une

procédure de contrôle a priori.

Absence d’une charte d'utilisation qui spécifie aux utilisateurs leurs obligations de

protection de leurs postes.

Absence d’une politique qui définit notamment quelle est la typologie de mots de

passe autorisés, la longueur des mots de passe, les délais d'expiration, la technique

de génération, l'occurrence d'utilisation des mots de passe,…

5- Conclusion

Au cours de cette étape, j’ai essayé de déceler certaines vulnérabilités au niveau

réseau et applications en analysant les différents flux et les politiques de sécurité

adoptés par les équipements tel que firewall, routeur...

Il s’agit maintenant de proposer des recommandations et des actions à suivre

pour remédier à ces faiblesses.

Page 59: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

58

Chapitre V :

Recommandations organisationnelles et

physiques

Page 60: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

59

1- Introduction

Après avoir terminé l’évaluation de la sécurité du système d’information suivant

la norme 27002, je vais proposer dans ce chapitre des recommandations réparties par

thème à mettre en œuvre pour pallier aux insuffisances.

La mise en place de ces recommandations pour remédier aux risques encourus

peut être faite progressivement selon le degré d’urgence et la disponibilité des

ressources humaines et budgétaires.

2- Politique de sécurité

Le MTIC est tenu à élaborer sa politique de sécurité qui doit être validée par les

responsables, distribuée et publiée à tout le personnel. Chaque employé doit donner son

consentement et signer son adhésion à la charte du respect de la confidentialité de

l’information. Le message qui doit être délivré à travers la politique de sécurité et la

charte informatique est que toute violation de la confidentialité est un délit punissable

selon le degré de sa gravité.

Aussi une revue régulière de cette politique de sécurité doit être planifiée pour

tenir compte des possibles changements qui surviendront (nouveaux incidents,

nouvelles vulnérabilités, changements à l’infrastructure...)

3- Organisation de la sécurité de l’information

L’organisation de la sécurité consiste à assurer le développement,

l’implémentation et la mise à jour des politiques et des procédures de sécurité. Pour

gérer la sécurité, il est conseillé de prendre en compte les recommandations suivantes :

Le management de l’organisation doit être impliqué dans la sécurité de

l’information, en particulier dans la définition de la politique de sécurité, la

définition des responsabilités, l’allocation des ressources, ...

Page 61: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

60

Définir la structure et l'organisation du management de la sécurité composé d’un

RSSI et des responsables de toutes les directions du MTIC et préciser leurs rôles et

responsabilités respectifs et vis-à-vis des managers opérationnels.

Cette structure doit avoir la capacité à alerter sans délai la Direction Générale en

cas de problème grave.

Définir les rôles des responsables en matière de sécurité de l’information.

La mise en place d’un système d’autorisation concernant les moyens de traitement

de l’information (contrôle de l’usage d’équipements ou logiciels personnels).

Engagement de personnels vis-à-vis le respect de la sécurité informatique

(définition des devoirs et responsabilités, des notes précisant les obligations

légales,...).

Assurer une veille technologique en matière de sécurité (participation à des

cercles, associations, congrès,...).

Etablir une revue de la sécurité de l’information en fonction des évolutions de

structures.

Analyser les risques liés aux accès de personnel tiers au système d’information ou

aux locaux et établir les mesures de sécurité nécessaire.

4- Gestion des biens

Les ressources sont répertoriés, mais ils doivent être classifiées selon leur

importance basée sur les 3 axes : besoin en terme de disponibilité, confidentialité et

intégrité.

Définir les types d'actifs qui doivent être identifiés et inventoriés. Les actifs

peuvent être des informations, des logiciels, des équipements matériels, des

services et servitudes, des personnes ou du savoir-faire, des actifs intangibles tels

que la réputation ou l'image.

Tenir à jour l’inventaire des types d'actifs identifiés.

Page 62: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

61

Désigner pour chaque actif identifié et inventorié un "propriétaire" qui assume la

responsabilité du développement, de la maintenance, de l'exploitation, de

l'utilisation et de la sécurité de cet actif.

Définir et documenter, pour chaque actif, les règles d'utilisation acceptables.

Définir et contrôler une procédure de revue périodique des classifications.

5- Sécurité liée aux ressources humaines

Etablir une procédure d'information préliminaire auprès du personnel (interne ou

contracté), en ce qui concerne ses devoirs et responsabilités et les exigences de

sécurité de la fonction, avant tout changement d'affectation ou embauche.

Une note précisant les devoirs et responsabilités du personnel doit être diffusée à

l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu

connaissance.

Etablir une clause dans les contrats d'embauche ou dans le règlement intérieur,

précisant l'obligation de respecter l'ensemble des règles de sécurité en vigueur.

Le personnel est tenu à respecter la politique de sécurité que le MTIC va la mettre

en œuvre. A cet effet, une mise à niveau des employés dans le domaine de la

sécurité de l’information doit être menée en planifiant des cycles de formation

périodiques et en organisant des programmes de sensibilisation qui devront

expliquer les méthodes de protection de l’information surtout celle qui sont

critiques. Ce programme doit expliquer :

Les concepts de base de la sécurité.

La sensibilité de l’information et le type de protection nécessaire.

La responsabilité personnelle de chacun dans la gestion de la sécurité et

l’application des protocoles sécuritaires.

Les types de menaces (erreurs humaines, naturelles, techniques..).

Page 63: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

62

Les règles et mesures générales de protection de l'information qui couvrent

l'ensemble des domaines concernés (documents, micro-informatique, accès aux

locaux, systèmes et applications)

Les sanctions à prendre contre le manque de responsabilité.

Ce programme de sensibilisation doit être réactivé régulièrement.

La violation de la politique sécurité et des procédures de sécurité de l'organisme

par des employés devra être traitée au moyen d’un processus disciplinaire et les

mesures correspondantes doivent être communiquées à tous les employés.

6- Sécurité physique et environnementale

Il faut mettre des consignes claires à propos du fait manger, boire ou fumer dans

les locaux informatiques.

Contrôler de manière globale le mouvement des visiteurs et des prestataires

occasionnels (signature de la personne visitée, etc.).

Définir des procédures spécifiques de contrôle pour chaque type de prestataire

extérieur au service amené à intervenir dans les bureaux (sociétés de

maintenance, personnel de nettoyage, etc.) : port d'un badge spécifique, présence

d'un accompagnateur, autorisation préalable indiquant le nom de l'intervenant,…

Faire une analyse systématique et exhaustive de toutes les voies possibles d'arrivée

d'eau et de tous les risques d'incendie et les risques environnementaux

envisageables et prendre des mesures en conséquence.

Mettre en place des détecteurs d'humidité et des détecteurs d'eau à proximité de

salle machine qui doivent être reliés à un poste permanent de surveillance.

Définir des procédures de gestion de crise en cas de long arrêt du système et de

permettre la reprise du fonctionnement au moins partiellement (favoriser

quelques machines sur d’autres).

Page 64: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

63

7- Gestion des communications et de l’exploitation

Etablir des procédures opérationnelles d'exploitation qui doivent être

documentées, maintenues à jour, rendues disponibles à toute personne en ayant

besoin et approuvées par les responsables concernés.

Définir, au sein de l'exploitation des réseaux, des profils correspondant à chaque

type d'activité et attribuer les droits privilégiés nécessaires pour chaque profil.

Etablir, contrôler et tester formellement des mesures de sécurité pour remédier

aux nouveaux risques avant mise en exploitation.

Définir une politique afin de lutter contre les risques d’attaque par des codes

malveillants (virus, chevaux de Troie, vers,…).

Définir une politique et des mesures de protection pour lutter contre des codes

exécutables (applets, contrôle ActiveX, etc.) non autorisés (blocage ou contrôle de

l’environnement dans lequel ces codes s’exécute, authentification de l’émetteur,...).

Etablir une procédure garantissant, en cas de mise en rebut, la non divulgation des

informations sensibles jusqu’à la destruction de leur support.

Etablir des documents définissant :

Les règles générales à appliquer en ce qui concerne la protection des moyens et

supports de stockage, de traitement et de transport de l'information,

Les règles à appliquer en ce qui concerne l’exploitation des ressources

informatiques (réseau, serveurs,..), des services de communication électronique

et des réseaux sans fil.

Mettre en place un service de messagerie électronique chiffrée.

Archiver tous les éléments ayant permis de détecter une anomalie ou un incident.

8- Contrôle d’accès

Etablir une politique de gestion des droits d'accès aux zones de bureaux

s'appuyant sur une analyse préalable des exigences de sécurité, basées sur les

enjeux de l’activité.

Page 65: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

64

Les droits accordés aux utilisateurs dès leur enregistrement doivent être

approuvés par les propriétaires des ressources concernées.

Contrôler strictement le processus d'attribution (ou modification ou retrait) de

droits privilégiés et d'autorisations d'accès à un individu.

Le processus de création ou de modification d’un authentifiant pour les accès

internes doit respecter un ensemble de règles permettant d'avoir confiance dans sa

solidité intrinsèque.

Effectuer un partitionnement du réseau local en domaines de sécurité

correspondant à des exigences de sécurité homogènes et à des espaces de

confiances à l’intérieur desquels les contrôles peuvent être adaptés.

Les règles établissant les critères de connexion au réseau étendu doivent définir les

mesures de sécurité logique devant protéger les équipements de réseau et les

équipements de sécurité, et doivent préciser les filtrages à mettre en place pour

contrôler les accès entrant aussi bien que pour les accès sortant.

Procéder régulièrement à une revue des connexions autorisées (standards et non

standards) et de leur pertinence pour le réseau local et étendu.

Analyser la sensibilité des systèmes généraux pour mettre en évidence leurs

exigences de sécurité et en déduit des mesures d’isolement (physique et logique)

appropriées pour les serveurs ou équipements concernés.

Dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence

d'échange après un délai défini, nécessitant une nouvelle identification –

authentification.

9- Développement et maintenance des systèmes

Définir les liens permanents et les échanges de données devant être protégés par

des solutions de chiffrement et mis en place de telles solutions au niveau de réseau

étendu et local.

Page 66: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

65

Chiffrer les données sensibles contenues éventuellement sur le poste de travail ou

sur un disque logique de données partagées hébergé sur un serveur de données.

La procédure et les mécanismes de conservation, de distribution et d’échange de

clés, et plus généralement la gestion des clés, doivent offrir des garanties de

solidité dignes de confiance, lors des échanges et d’accès distant sur le réseau local

et étendu.

Mettre en place des procédures pour contrôler l’installation du logiciel sur les

systèmes en exploitation.

Les installations, les matériels et les logiciels du système d'information ainsi que

ceux qui assurent la protection du système d'information et la fourniture des

services essentiels doivent être maintenus et testés régulièrement.

10- Gestion des incidents

Les responsabilités et les procédures doivent être établies afin de fournir

rapidement des solutions effectives aux incidents de sécurité.

Mettre en place un système de déclaration des incidents auprès des

correspondants du RSSI avec une synthèse de ces incidents transmise au RSSI.

Le système de déclaration et de gestion des incidents doit inclure tous les incidents

(exploitation, développement, maintenance, utilisation de SI) physiques, logiques

ou organisationnels et les tentatives d’actions malveillantes ou non autorisées

n’ayant pas abouti.

Définir des règles précisant les processus de reporting des incidents et des

anomalies constatées et les comportements adaptés.

Chaque incident réseau (local et étendu) majeur doit faire l’objet d’un suivi

spécifique (nature de description, priorité, solutions techniques, études en

cours,...).

Page 67: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

66

11- Gestion de la continuité d’activité

Définir des processus, régulièrement mis en œuvre, d’analyse des risques, liés à

l’information, pouvant conduire à une interruption des activités de l’entreprise,

débouchant sur une définition des exigences de sécurité, des responsabilités, des

procédures à appliquer et moyens à mettre en œuvre afin de permettre

l’élaboration des plans de continuité.

Analyser la criticité des différentes activités pour mettre en évidence les besoins de

continuité de service et déduire des plans de continuité d’activité pour chaque

activité critique.

Ces plans doivent prévoir bien toutes les actions à entreprendre pour assurer la

continuité de l'activité entre l'alerte et la mise en œuvre éventuelle des solutions de

remplacement prévues par les plans de secours techniques.

Ces plans doivent traiter tous les aspects organisationnels liés à la solution de

secours "manuel" (personnel, logistique, encadrement,...).

Mettre en place une solution de secours pour pallier l’indisponibilité de tout

équipement ou de toute liaison critique du réseau étendu et local.

Identifier précisément les scénarios de sinistre pouvant affecter l’ensemble du parc

des postes utilisateurs et analyser pour chaque scénario, ses conséquences en

termes de service rendus impossibles aux utilisateurs.

12- Conformité

Toutes les exigences légales, réglementaires et contractuelles doivent être définies

explicitement et documentées pour le système informatique et son application par

l'organisation doit figurer dans un document tenu à jour.

Procéder à des contrôles fréquents visant à vérifier que les logiciels installés sont

conformes aux logiciels déclarés ou qu’ils possèdent une licence en règle.

Les opérations d'audit réalisées pour les données critiques doivent être

enregistrées.

Page 68: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

67

Définir et documenter les règles concernant les audits menés sur le réseau, les

procédures et les responsabilités associées.

Les outils d'audit doivent être protégés afin d'éviter toute utilisation indue ou

malveillante. Ceci s'applique, en particulier, aux tests de pénétration et aux

évaluations de vulnérabilités.

Les résultats d'audit doivent être protégés contre toute modification ou

divulgation.

13- Conclusion

Dans cette partie, j’ai proposé des recommandations que je juge nécessaires à

mettre en œuvre pour améliorer la sécurité du système d’information du MTIC en se

basant sur la norme 27002. Dans la partie suivante, je vais aborder l’aspect

technique.

Page 69: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

68

Chapitre VI :

Recommandations techniques

Page 70: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

69

1- Introduction

Après avoir terminé l’évaluation technique, Les outils de scan et les tests

techniques effectués ont permis de déceler des failles de sécurité et des vulnérabilités

des différents composant du système d’information.

Par la suite, je vais proposer des recommandations techniques à mettre en œuvre

pour pallier les insuffisances et les défaillances détectées.

2- Recommandations

Les recommandations sont les suivantes :

Utiliser SSH au lieu de Telnet pour l’administration à distance des équipements

réseaux et sécurité et pour empêcher l’interception des données.

Désactiver ou fermer les services réseaux inutiles et surtout SNMP sur les

équipements critiques (FW, Routeurs, Serveurs,…).

Mettre en place une solution de gestion centralisée des mises à jour (WSUS) afin

de minimiser les bugs et les failles de sécurité et de vérifier que les mises à jour

sont bien installées.

Attribution des mots de passe au niveau de bios sur les machines sensibles afin de

protéger contre les accès physiques.

Utiliser des certificats numériques pour crypter et signer les messages.

Prévoir des matériels redondants pour les équipements critiques (les serveurs en

exploitation, Routeurs,...).

Prévoir des matériels de remplacement en cas de panne d’un composant

essentiels.

Prévoir des cycles de formation pour l’équipe informatique sur les aspects :

Sécurité des systèmes d’exploitation.

Sécurité réseaux et système de gestion de BD.

Prévoir des cycles de sensibilisation pour les utilisateurs pour qu’ils tiennent

compte de l’importance de la sécurité et l’impact de l’insécurité.

Page 71: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

70

Effectuer des tests de récupération et de restauration des systèmes et des données

comme s’il y a eu d’incident.

Au niveau Firewall

Effectuer un enregistrement détaillé de toutes les traces de connexions qui sont

bloquées ou passées par le firewall.

Etablir des statistiques sur l’usage du Firewall.

Vérification des derniers patchs et mises à jour de manière régulière et

automatiquement à partir du site du constructeur.

Etablir un rapport d'audit à long terme présentant l'historique des incidents

survenus au niveau du firewall.

Définir un document ou une spécification des règles de filtrage contenant une

description de l’utilité de chaque filtre/règle.

Définir un document précisant la configuration du Firewall et le suivi des

modifications de cette configuration.

Au niveau Routeur

Etablir une procédure documentée pour le backup des configurations du routeur.

Toutes les modifications de configuration des routeurs doivent être documentés et

conservés dans un endroit sécurisé afin d’assurer la continuité de travail.

Enregistrement de toute tentative refusée à n’importe quel port, protocole ou

service.

Assurer le contrôle, la vérification et l’archivage des logs en concordance avec la

politique locale.

Mettre à jour l’IOS à chaque publication d’une nouvelle version.

Politique d’usage de mots de passe

Veillez à ce que tous les mots de passe surtout des serveurs et des équipements

réseaux et sécurité soient des mots de passe robustes et les changer régulièrement.

Page 72: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

71

Une bonne politique de sécurisation des accès par mot de passe consiste également

en la définition d'un délai d'expiration du mot de passe. Il est par exemple possible

de définir le renouvellement des mots de passe par période de 15, 30 ou 45 jours.

Ne divulguez jamais un mot de passe et surtout pas en l'envoyant par courrier

électronique.

Évitez de noter le mot de passe quelque part ou de le laisser exposé (sur écran,

sous le clavier, dans un fichier non protégé, ...).

Proposer des changements réguliers tout en bloquant la possibilité d'utiliser des

mots de passe déjà employés.

Définir la fréquence des audits afin de s'assurer que la politique est bien respectée.

Des outils tels que LophtCrack, John the Ripper ou Crack permettent de contrôler

régulièrement la robustesse des mots de passe.

Politique de sauvegarde

Mettre en place une stratégie de sauvegarde et de restitution des données

formellement décrite et de vérifier le bon fonctionnement des supports de

sauvegarde après chaque cycle de ce dernier.

Procéder régulièrement à la vérification des sauvegardes en procédant à des essais

de restauration des données sauvegardées.

Sensibiliser régulièrement le personnel de l’importance de sauvegarde.

Procéder à une sauvegarde système, des journaux et sauvegarde des

configurations des équipements réseaux.

Mettre en place un plan de sauvegarde couvrant l’ensemble des configurations des

réseaux définissant les objets à sauvegarder et la fréquence des sauvegardes.

Les accès aux systèmes doivent être journalisées avec si possible et au minimum

l'identité de l'utilisateur, le système concerné, la date et l'heure de l'accès.

Page 73: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

72

3- Solution proposée

3.1- Déploiement complet d’Active directory (Annexe 4)

L’objectif principal d’Active Directory est de fournir des services centralisés

d’identification et d’authentification à un réseau d’ordinateurs utilisant le système

Windows. Il permet également l’attribution et l’application de stratégies, la distribution

des logiciels, et l’installation de mise à jour critique par les administrateurs.(5)

Active Directory répertorie les éléments d’un réseau administré tels que les

comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les

imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées,

et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de

distribution, de duplication, de partitionnement et de sécurisation des accès aux

ressources répertoriées.

3.2- Windows Server Update Services

Windows Server Update Services (WSUS) est un service permettant de distribuer

les mises à jour de Windows et d'autres applications Microsoft sur les différentes

machines Windows d'un parc informatique. WSUS est un serveur de mises à jour local

(ou proxy de mises à jour) qui se synchronise avec le site public Microsoft Update et

permet de contrôler la diffusion des mises à jour dans le parc. Par défaut chaque

machine Windows faisant ses mises à jour, va les chercher sur le site officiel, ce qui

demande beaucoup de bande passante sur un parc avec de nombreuses machines.

3.3- Deuxième Switch HP Procurve

Actuellement on se retrouve avec un seul Switch L3, au cas où ce dernier tombe

en panne, on peut dire qu’il n’y aura pas de production. De ce fait, je propose de mettre

un deuxième Switch HP Procurve 5406zl pour faire de la redondance.

Concernant la configuration, je propose d’implémenter une agrégation de liens

(Port Trunking), c’est une notion de réseau informatique décrivant l'utilisation de

plusieurs câbles ou ports réseau afin d'accroître le débit d'un lien au-delà des limites

d'un seul lien, ainsi que d'accroître la redondance pour une meilleure disponibilité.

Page 74: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

73

Evidement, avant d’implémenter cette méthode, il faut activer le Spanning Tree

(STP) pour éviter d’avoir une boucle.

3.4- Nouvelle architecture

Enfin, suite aux recommandations précédentes et solutions proposées, je

propose une nouvelle architecture du réseau plus sécurisé et plus fiable :

Figure 28:Nouvelle architecture sécurisée

4- Conclusion

J’ai proposé dans ce chapitre des recommandations sur le plan technique à fin de

minimiser le risque d’exploitation des vulnérabilités du réseau et de protéger les

différents équipements pour assurer une continuité et une disponibilité complète.

Page 75: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

74

Conclusion Générale

Page 76: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

75

L’objectif de lancement de notre mission d’audit était d’évaluer le niveau de

maturité du SI du MTIC et de dégager les déviations par rapport aux normes de

sécurité surtout la norme ISO 27002.

A travers cet audit, nous étions en contact direct avec les responsables du MTIC

et nous avons essayé de communiquer avec eux et d’échanger les connaissances pour

réussir l'étape de l'audit organisationnel et physique et nous avons pu travailler avec

différents outils destinés au recensement des failles et des vulnérabilités du système

audité afin d'expertiser l'étape de l'audit technique.

Nous avons essayé de couvrir le maximum d’aspects pendant la période de cette

mission, nous avons évalué le niveau de maturité des différentes clauses qui définissent

la sécurité organisationnelle et physique, puis l’audit s’est concentré sur les aspects

techniques.

Pour l’audit technique nous avons étudié l’architecture du réseau informatique

ainsi que les différents équipements critiques. Nous avons aussi consacré une bonne

partie de cet audit pour étudier les différents systèmes applicatifs tel que le service

messagerie ou le SGBD vu leur importance dans le SI du MTIC.

Nous avons détaillé, examiné et classifié les failles trouvées, pour enfin proposer

différentes recommandations couvrant les domaines étudiés, et nous avons élaboré un

plan d’action permettant à l’organisme d’atteindre ses objectifs et améliorer la façon de

gérer son SI.

Le plan d’action proposé détaille les mesures nécessaires pour améliorer la qualité

de la sécurité du SI, en précisant les objectifs à atteindre et les indicateurs de suivi qui

permettent d’évaluer la réussite des mesures prises. Nous avons aussi proposé quelques

solutions commerciales et gratuites permettant d’aider les responsables à améliorer la

façon de gérer le SI surtout la partie concernant le réseau informatique.

Nous devons signaler que les responsables du MTIC seront les principaux joueurs et

décideurs en ce qui concerne les estimations financières et l’organisation des ressources

humaines impliquées dans l’exécution de ce plan d’action vu leur méthodologie de

Page 77: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

76

travail et les procédures administratives à respecter. Notre rôle est principalement de

les aider à évaluer leur SI et de proposer les mesures nécessaires.

Il est à noter qu’un effort considérable a été déjà fait au sein du MTIC pour

améliorer la qualité du SI dans un monde technologique évoluant à la vitesse de la

lumière, mais d’autres mesures peuvent être prises ou planifiées pour atteindre un seuil

de robustesse honorable.

La valeur que présente le MTIC dans le domaine des télécommunications et les

nouvelles technologies en Tunisie l’invite à continuer les efforts pour donner l’exemple

aux autres organismes à l’échelle nationale et internationale et rester toujours un

modèle et une référence pour les autres.

Aujourd’hui, l’effet de la réflexion humaine est de plus en plus important dans le

domaine de la sécurité, ce qui laisse les spécialistes en sécurité affirmer que "La sécurité

c’est 75% de savoir être et de savoir-faire et 25% de matériel ", atteindre ses objectifs en

matière de sécurité dépend essentiellement du facteur humain et de la culture de

l’organisme.

L’effort qu’exige le sujet de la sécurité n’a jamais été périodique ou temporaire,

mais c’est un effort continu qui doit dépasser le fait de prendre des mesures pendant

une période limitée pour devenir une approche à long terme et une vraie culture

inculquée dans les bonnes habitudes des individus et des organismes concernés.

Page 78: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

77

Bibliographie

Page 79: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

78

1 :http://www.pommef.com/audit-informatique-Macintosh-paris.html

2 :http://users.polytech.unice.fr/~hugues/GL/Norme/norme.html

3 :http://www.blog.saeeed.com/2012/11/implementation-et-mise-en-oeuvre-de-la-

norme-iso-cei-27001/

4 :http://cisco.goffinet.org/s2/methode_diagnostic#.UpXKE9JHR-s

5 :http://www.arkeia.com/fr/products/arkeia-network-backup/backup-

agent/directory-server-agents/active-directory-agent

6 : http://www.ansi.tn/fr/presentation_agence/cadre_juridique.html

7 : http://nmap.org/

8 :http://www.ehacking.net/p/backtrack-5-tutorial.html

9 : http://www.networkview.com

10 :http://www.cyber-

infos.net/modules.php?name=Forums&file=viewtopic&t=59&view=previous

11 :http://www.securiteinfo.com/conseils/portstroyens.shtml

12 :http://forum.cigiema.fr/t235-Les-Ports-Reseaux.html

http://www.nessus.org/products/nessus

Page 80: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

79

Annexes

Page 81: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

80

Annexe 1 : Questionnaire conforme aux exigences de la Norme 27002

1. Politique de sécurité de l’information

Y a-t-il une politique de sécurité écrite et disponible pour tout le personnel ? N (en cours)

La politique de sécurité spécifie t elle clairement les objectifs de sécurité de l’organisme, ainsi que des mesures de révision ?

N

Cette politique de sécurité est-elle revue à intervalles réguliers ou lors du changement significatifs, afin d’assurer le maintien de sa pertinence et de son efficacité ?

N

Quelles sont les règles et principes de sécurité qui figurent dans la politique de sécurité : Charte de sécurité, procédures……….

N

est-ce que la politique de sécurité a été élaborée en tenant compte du principe avantages/coûts ?

N

Est-ce que cette politique fait référence à des documents qui aident dans la compréhension et le respect de cette dernière ?

N

La politique de sécurité de l’organisme définie t-elle :

une structure en charge de la définition de la politique de sécurité des systèmes d’information ainsi que de sa mise en place ?

un plan de continuité d’exercice, une éducation aux exigences de sécurité et aux risques de sécurité, les conséquences d’une violation des règles de sécurité ainsi que les responsabilités des incidents de sécurité ?

une structure chargée de l’évaluation des risques et de leurs gestions ?

des principes de sécurité de l'information tel qu’ils soient conforment à la stratégie d'affaires et aux objectifs de l’organisme ?

N

Etablit-on annuellement un plan de sécurité des systèmes d’information regroupant l’ensemble des plans d’action, moyens à mettre en œuvre, planning, budget ?

N

La politique de sécurité bénéficie t elle de l’appuie de la direction générale ? N

Est-ce que cette politique est publiée et communiquée :

Aux employés

Aux tiers

N

Est-ce que cette politique a un propriétaire qui est responsable de sa revue et maintenance selon un processus prédéfini ?

N

Page 82: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

81

Est-ce que le processus de revue est déclenché suite à des changements affectent le recensement du risque tel que :

Des incidents de sécurité grave

Nouvelle vulnérabilités

Changement dans l’organigramme

Inefficacité des mesures mises en place

Evolutions technologiques

N

L’organisation et la gestion de la sécurité sont-elles formalisées dans un document chapeau couvrant l’ensemble du domaine pour le projet ?

N

Une démarche de certification iso 27002 a-t-elle été prévue pour le projet ? N

2. Organisation de la sécurité de l’information

Quelles sont les fonctions définies dans la politique de sécurité ?

Directeur responsable de la sécurité générale

Responsable spécialiste de la sécurité physique

Responsable spécialiste de la sécurité fonctionnelle et informatique

N

Les objectifs de sécurité sont ils identifiés, intégrés à la politique globale de l’organisme, et sont ils en concordance avec les objectifs de l’organisme ?

N

Les règles de sécurité précisent t-elles une définition claire des tâches, rôles spécifiques affectation des responsables de sécurité de l’information ?

N

Existe t-il une coordination de l’exécution des tâches de sécurité des différentes entités en charge de la sécurité de l’information au sein l’organisme ?

O

Les informations confidentielles à protéger sont elles identifiées ? N

Existe t-il une politique de révision et de documentation de la politique d’organisation de la sécurité en vue de la mettre à jour ou à niveau ?

N

Existe-il un comité de sécurité du SI ? N (en cours)

Existe-il un RSSI dans le site, avec une fiche de poste, ainsi qu’une délégation formelle mentionnant ses attributions et ses moyens d’actions ?

O

L’entreprise entretien t elle des relations en cas de besoin avec :

Des spécialistes indépendants

Des partenaires

Des autorités publiques

Aucune relation

O

L’entreprise entretien t elle des relations en cas de besoin avec :

Audit externe

Audit interne

Aucun

O

L’entreprise dispose t elle d’un mécanisme qui permet :

D’identifier les accès

De classer les accès

De savoir les raisons d’accès

N

Page 83: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

82

Aucun

Y a-t-il un contrat qui stipule les conditions d’accès et les recours en cas de panne lors des accès par des tiers ou des sous traitants ?

O

Les risques dus aux effets externes sont ils identifiés ? N

En cas d’externalisation l’entreprise précise t elle dans un contrat les clauses relatives à :

La sécurité des valeurs de l’organisation

La sécurité physique

L’existence d’un plan de secours

Aucun

N

Avez-vous appliqué une démarche méthodologique d’analyse et de gestion des risques SSI ?

N

L’organisation de la sécurité est-elle formalisée dans un document ? N

Une politique de confidentialité a-t-elle été élaborée dans le cadre de ce projet ?

N

Des révisions périodiques de la mise en œuvre de la gestion de la sécurité sont-elles prévues ?

N

3. Gestion des biens Existe-t-il un inventaire des biens du projet ? O

Existe-t-il une classification des biens par rapport à leurs critères de sensibilité (en termes de disponibilité, d’intégrité et de confidentialité) ?

N

Les actifs de l’organisme sont ils identifiés répertoriés ? O

Est-ce qu’on a prévu une classification des informations selon leur importance ?

N

A chaque actif est-il associé un propriétaire qui doit en assurer également la responsabilité ?

O

Quelles sont les valeurs critiques de l’entreprise ?

Les personnes

Le matériel

Les logiciels

Les données

Les services

Les sous réseaux

L’image de marque et réputation

- Données

- Services

- Matériels

L’entreprise procède t elle régulièrement à un inventaire de ces avoirs ? O

Existe-il des fiches concernant les mouvements ? (date d’entrée, date de sortie, date de mouvement, destination, provenance)

O

Les informations sensibles bénéficient elles des procédures définissant leurs conservations ou destruction ?

N

Le matériel informatique est-il inventorié par un élément identifiable et unique ? (ex : n° de série ?

O

Le matériel en prêt est-il clairement identifié sur l’inventaire ? (nom de la O

Page 84: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

83

personne ayant fait l’emprunt)

Existe-t-il un stock inventorié d’équipements et de pièces détachées de secours ?

N

Les logiciels installés ont-ils tous une licence d’acquisition ? N

Contrôlez-vous si des logiciels autres que ceux de votre inventaire sont installés ? (logiciels pirates)

N

Est-ce qu’il y a un responsable de la bonne tenue des inventaires ? O

Existe-il des règles d’utilisation des biens et des services d’information ? N

Existe-il une procédure pour la dé-classification des biens d’information ? N

Existe-il des procédures de manipulation des biens d’infirmation par des personnes externes à l’organisation ?

N

4. Sécurité liée aux ressources humaines

Le contrat employeur employé tient il compte des responsabilités de l’employé vis-à-vis de la sécurité de l’organisme ?

N

L’organisme s’accorde t-il les moyens de vérifier l’authenticité et la véracité des diplômes et documents fournis par les potentiels futurs employés ?

O

Le personnel est il informé de ces responsabilités vis-à-vis de la sécurité des actifs :

Avant l’embauche,

Pendant la période de son exercice,

Après remerciement ?

N

Y a t il une politique de rotation du personnel occupant des taches clefs ? N

Existe-t-il des sessions d’information du personnel sur la sécurité des systèmes d’information de l’organisme ?

O

Le responsable de sécurité est il formé aux nouvelles technologies ? O

Est-ce que le personnel a signé un document de confidentialité des informations lors de l’embauche ?

N

Existe-t-il des procédures disciplinaires pour les employés sources de failles de sécurité ?

N

Y a-t-il une procédure de revue de ce document, surtout en cas de départ ou une fin de contrat ?

N

Est-ce que les sous traitants ou le personnel contractuel a signé un document pareil ?

N

Est-ce que tout le personnel est informé vers qui et comment rendre compte des incidents de sécurité ?

N

Y a-t-il une procédure d’apprentissage des accidents et des failles de sécurité ?

N

A-t-on organisé régulièrement des tests pour vérifier le degré d’assimilation du personnel de la politique de sécurité ainsi que sa culture en informatique.

N

5. Sécurité physique et environnementale

La situation géographique de l’organisme tient elle compte des risques O

Page 85: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

84

naturels ou industriels ?

Le câblage électrique est il conforme aux règles de sécurité ? O

Est-ce qu’une analyse de risque a été effectuée pour évaluer la sécurité physique de la société ?

O

Parmi ces procédures quels sont ceux qui figurent dans la protection physique des locaux :

Contrôles des portes d’entrée

Clôtures hautes

Attribution des badges

Contrôle à la sortie

Caméra de surveillance

Limitation d’accès

- Limitation

d’accès

Est-ce que des mesures de sécurité particulière ont été instaurées pour le centre informatique ? (si oui commenter...) Par badge………………………………………………………………………………………………………………….

N

Y a-t-il une réglementation spéciale contre le fait de fumer, boire, et manger dans les locaux informatiques ?

N

Existe-il une protection de câblage informatique et de télécommunication à l’égard des risques électrique ? (variation de tension…)

O

Les équipements acquis suivent ils une politique de maintenance ? N

Existe-t-il un système de protection contre les coupures et les micros coupures ? Si oui lesquels ?.............................................Onduleurs……………………………………

O -

Onduleurs

- Groupe électrogè

ne

Existe-t-il un système de climatisation conforme aux recommandations du constructeur ?

O

Existe-t-il un groupe électrogène pour les coupures de longue durée ? O

Y a-t-il une procédure de crise en cas de long arrêt ? (favoriser quelques machines sur d’autres…)

N

Quelles mesures de sécurité contre l’incendie figurent parmi ces mesures :

Existence d’un système de détection automatique d’incendie pour l’ensemble de bâtiment

Existence d’un système d’extinction automatique pour les salles d’ordinateur

Existence d’extincteurs mobiles

Existence des meubles réfractaires pour le stockage des documents et des supports informatique vitaux

Page 86: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

85

Formation et information du personnel

Visite des pompiers pour prendre connaissance de la configuration des locaux

A-t-on prévu des systèmes d’évacuation en cas d’incendie ? O

Est-ce que vous êtes assuré que l’eau ne peut envahir les locaux ? O

Est-ce qu’un système de détection d’eau est instauré ? N

Est-ce qu’un système d’évacuation d’eau est instauré ? N

Existe-t-il une documentation liée à la sécurité physique et environnementale ?

N

6. Gestion des communications et de l’exploitation

Est-ce qu’il y a des procédures formelles pour les opérations d’exploitation : backup, maintenance et utilisation des équipements et des logiciels ?

N

Existe-t-il une distinction entre les phases de développement, de test et d’intégration d‘applications ?

N

Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers, cheval de Troie,….) ainsi qu’une mise à jour périodique et constante de ces derniers ?

O

Est-ce qu’il y a des procédures formelles pour la prévention contre la détection et la prévention contre les logiciels malicieux ?

N

Y a-t-il une procédure définie pour la gestion des incidents ? N

Est-ce que le backup est périodiquement effectué ? O

Est-ce qu’il y a des recommandations écrites interdisant : l’utilisation des logiciels sans licence et le non respect des droits d’auteur ?

N

Y a-t-il des procédures écrites pour la gestion des supports détachables ? N

Y a-t-il une politique précise pour se débarrasser des documents ? N

Y a-t-il une politique de sécurité pour email ? N

Existe-t-il un système antiviral contre les virus et les vers ? O

Est-ce que l’antivirus est régulièrement mis à jour ? O

Existe-t-il une mise à jour contre les programmes malveillants ? O

L’échange d’infirmations sur le réseau ainsi que les transactions en ligne sont elles sécurisée ?

O

Avec quel mécanisme de sécurité ? Droit d’accès

- Certificat

Numérique

- Protocole SSL

Existe-t-il une DMZ qui se distingue parfaitement du réseau interne de l’organisme ?

O

7. Contrôle d’accès

A-t-on prévu de protection logique pour les ressources informationnelles O

Page 87: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

86

vitales ?

Les accès aux locaux (sensibles ou pas) sont ils contrôlés, enregistrés et analysés à travers des logs ?

O

Existe-t-il une politique qui hiérarchise les autorisations d’accès ? N

Un ancien employé perd t-il ces droits d’accès aux locaux et aux informations sensibles de l’organisme ?

O

L’accès distant (logique) au réseau informatique est-il protégé ? Par quel équipement ou outil ou mécanisme ?

O

L’accès au système est il contrôlé par un dispositif d’identification et d’authentification ?

N

Existe-t-il un dispositif de revue des droits d’accès à des intervalles réguliers ?

N

Est-ce que les terminaux sensibles sont équipés d’un économiseur d’écran avec mot de passe ?

O

Est-ce que les utilisateurs verrouillent leur session de travail avant de quitter leur poste de travail même pour quelques instants ?

?

Les mots de passe sont-ils affectés individuellement ? O

Y a-t-il des conditions à respecter lors du choix des mots de passe (ex : min 6 caractères…) ?

N

Un ancien employé perd t-il ces droits d’accès aux informations et locaux ? O

Y a-t-il une suite aux tentatives d’accès infructueuses ? O

A- t-on prévu des limitations contre :

L’utilisation des applications

Le téléchargement d’application

L’utilisation des disquettes, CD…

N

8. Développement et maintenance des systèmes

Existe-t-il des procédures de validation des changements réalisés sur les programmes ?

N

La garantie de la confidentialité, l’authenticité et l’intégrité de l’information s’effectue-t-elle au moyen de signature électronique ou de cryptographie ?

O

La sécurité de la documentation du système d’information est elle assurée ? N

Est-ce que les programmes sont contrôles contre les portes dérobés et chevaux de trois ?

O

Existe-t-il des procédures de contrôle pour les logiciels développés en sous-traitance ?

N

S’assure-t-on que l’équipement à acquérir répondra aux besoins exprimé ? O

S’assure-t-on de la non régression de service lors du développement ou de l’intégration des nouveaux services ?

N

Existe-t-il une politique de maintenance périodique et assidue des équipements ?

N

9. Gestion des incidents

Page 88: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

87

Existe-t-il une politique de gestion des incidents ? N

Les potentielles faiblesses descellées font elles objet de rapport complet et détaillé ?

N

La résolution des incidents se fait elle de façon cohérente ? N

Existe-t-il un rapport détaillé des incidents qui surviennent ? N

Existe-t-il une politique de réparation des responsabilités en cas d’incident ? N

Les actions à entreprendre pour la résolution des incidents sont elles définies ?

N

Les employés sont ils informés du comportement à avoir en cas d’incident ? N

10. Gestion de la continuité d’activité

Est-ce que l’organisme a développé un plan de secours ? N

Existe-t-il un plan stratégique basé sur une analyse du risque détaillant le plan d’urgence ?

N

Les données sauvegardées sont-elles mise à jour périodiquement ? O

Est il défini des critères spécifiant les ayant accès à ces données ? O

Existe-t-il une politique de sauvegarde d’autres actifs de l’organisme ? N

Existe t-il une (des) alarme(s) pour l’avertissement lors d’accès aux actifs sensibles en dehors des heures de travail ou en cas d’accès non autorisés?

N

Y a-t-il des plans écrits et implémentés pour restaurer les activités et services en cas de problèmes ?

N

Existe-t-il des mesures de sauvegarde des actifs (données sensibles), ainsi que de leur protection ?

O

Si oui sur quel support ? Disque, CD

O

En cas de changement d’équipe de travail, la continuité de service est elle assurée ?

O

Est-ce que les plans sont testés et maintenus par des revues régulières ? N

11. Conformité

Est-ce que chaque système d’information les exigences légales, réglementaires et contractuelles sont explicitement définies et documentés ?

N

Existe-t-il un contrôle de la conformité technique ? N

Les règles de sécurité appliquées restent elles conforment à une norme particulière ?

N

Existe-t-il une procédure définissant une bonne utilisation des technologies de l’information par le personnel ?

N

Est-ce que des procédures sont mises en place pour s’assurer du respect de la propriété intellectuelle ?

N

Est-ce que les enregistrements importants de l’organisme sont protégés de la perte, la destruction et falsification ?

O

Est-ce que l’entreprise est conforme aux lois en vigueur concernant le chiffrement ?

O

Page 89: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

88

Les logicielles utilisées bénéficient ils de licence d’exploitation ? O

Les règles de sécurité appliquées restent elles conforment à la législation en vigueur ?

O

Existe-il une procédure d’audit interne et régulier de l’organisme ? O

Les règles de sécurité appliquées restent elles conforment à une norme particulière ?

N

Le droit à la propriété intellectuelle et la protection des données personnelles sont-ils préservés ?

N

Les audits externes sont-ils effectués et planifiés périodiquement ? O

Page 90: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

89

Annexe 2 : check List Firewall

Marque et Modèle: StoneGate FW-1030/StoneGateFW-1050

Sécurité physique des équipements

Existe-t-il une politique de contrôle d’accès physique pour le firewall ? O

Administration

Existe-t-il une politique d’authentification forte au niveau d’ouverture de session sur le firewall ?

O

Quelle type de configuration utilisée pour le firewall (port console, telnet, ssh, http, https..) ?

Logiciel client+

SSH

L’interface d’administration est-t-il facile à utiliser ? O

L’interface d’administration est-t-il sécurisé par mot de passe ? O

La configuration est elle sauvegardée à chaque modification ? O

Patchs et Mise à jour

Qu’elle est la version du firewall ? 5.1.4/5.2.7

Qu’elle est la date de la dernière mise à jour ? 26/04/2013

Existe-t-il un suivi des mises à jour ? O

Les règles de filtrage

Existe-t-il un document ou une spécification des règles de filtrage précisant la politique de sécurité implanté (description de chaque filtre/règle) ?

O

Existe-t-il une vérification et validation des règles de filtrage périodiquement ?

O

Les rapports de suivi et des tests de filtrage sont-ils archivés ? O

Spécifier les critères que peut le firewall filtrer : adresse IP source, adresse IP destination, protocole, service, port, adresse Mac source, adresse Mac destination

TOUS

Y a-t-il une règle bloquante des requêtes ICMP echo ? O

La gestion des logs

Est-ce que les logs sont activés au niveau firewall ? O

Les logs sont ils révisées et analysés ? O

L’administration est elle informée en temps réel par les événements les plus critiques ?

N

Existe-t-il un serveur dédié au traitement et à l’archivage des logs du firewall ?

O

Est-ce que toutes les traces de connexions qui sont bloquées ou passé par le firewall sont enregistrées en détail ?

O

Le firewall a-t-il la capacité de générer des rapports ? O

Page 91: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

90

Existe-t-il des statistiques sur l’usage du firewall ? O

Evaluation/ test de vulnérabilité

Existe-t-il une procédure de test des vulnérabilités du firewall (périodique) ainsi que des essais de test de pénétration (résistance du système face aux attaques) ?

N

Existe-t-il un rapport qui présente l’historique des incidents survenus au niveau du firewall (crash, violation des ACLs…)

N

Disponibilité

Y a-t-il un secours automatique pour le FW primaire ? O

Le groupement de firewall assure t-il la haute disponibilité et répartition de charge ?

O

Le firewall est-il ondulé ? O

Annexe 3 : check List Routeur

Marque et modèle: Cisco 2850

Existe-il une politique de sécurité d’un routeur ? O

Les mesures de sécurité de bases forte au niveau d’ouverture de session sur le routeur ?

O

Existe-il une sécurisation des accès administratifs à distances des routeurs ? O

Qu’elle est la version du routeur ? 12.4 (12a)

Qu’elle est la date de la dernière mise à jour ? Il y a une année

Existe-il un suivi des mises à jour ? N

Page 92: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

91

Annexe 4 : Installation et déploiement complet d’Active Directory

Je partirai du principe que le Windows server 2008 a été bien installé et allons

donc poursuivre dans ce sens.

Commencez par démarrer votre serveur et connectez-vous-y en tant

qu’Administrateur

Démarrer le gestionnaire de serveur

Cliquez sur le nœud Rôles (1) puis sur Ajouter des rôles (2)

Page 93: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

92

L’assistant d’ajout de rôles apparait…. cliquez sur Suivant

Sélectionnez Services de domaine Active Directory

L’assistant vous propose d’ajouter les fonctionnalités du .NET Framework

3.5.1… acceptez l’ajout en cliquant sur Ajouter les fonctionnalités requises

Page 94: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

93

La case Services de domaine Active Directory est bien cochée… cliquez sur Suivant

Cliquez sur Suivant

Une fenêtre de récapitulatif apparait, vérifiez vos paramètres et cliquez sur Installer

L’assistant d’ajout de rôle a bien installé les services de rôle mais le serveur n’est pas

pour autant passer en contrôleur de domaine.

Pour cela, nous devons cliquez sur: lancez l’assistant Installation des services de

domaine Active Directory (dcpromo.exe)

Page 95: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

94

Cliquer sur services de domaine Active directory

Cliquer sur Exécuter l’assistant Installation des services de domaine Active

Directory (dcpromo.exe).

Cochez la case Utiliser l’installation en mode avancé et cliquez sur Suivant

Page 96: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

95

N’ayant actuellement aucun domaine, cochez la case Créer un domaine dans une

nouvelle forêt (1) afin de créer ce dernier, ensuite cliquez sur Suivant (2).

Attention toutefois à ne pas créer un nouveau domaine dans une nouvelle forêt si

vous êtes déjà dans un domaine.

Le risque étant de tout lessiver sur votre domaine existant

On insert un nom et le système vérifie si il existe ou non

Définissez votre nom de domaine (1) puis cliquez sur Suivant (2)

Dans le cadre de ce tutoriel, j’utiliserai MTIC.tn

Page 97: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

96

Nous allons en profiter pour ajouter le rôle de serveur DNS à notre serveur

Si elle ne l’est pas, cochez la case Serveur DNS puis cliquez sur Suivant

Page 98: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

97

Paramétrage d’adresse IP

Cliquez sur OUI

Page 99: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

98

Nous conserverons les options par défaut, cliquez sur Suivant

Entrez votre mot de passe de restauration puis Suivant

Page 100: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

99

Voici le récapitulatif de vos paramètres, cliquez sur Suivant

L’installation est en cours….. Patientez un moment

L’installation est maintenant achevée, cliquez sur Terminer

Redémarrez le serveur pour prendre en compte les modifications

Installation de serveur supplémentaire active directory On va ajouter un contrôleur de domaine à un domaine existant

Page 101: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

100

On va indiquer le nom de serveur primaire Active Directory

On va sélectionner le domaine pour ce contrôleur de domaine

supplémentaire « MTIC.TN »

Page 102: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

101

On va sélectionner le site pour le nouveau contrôleur de domaine qui est

« Default-First-Site-Name »

Coucher les 2 premières lignes

Page 103: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

102

On va coucher « utiliser ce contrôleur de domaine spécifique »

Cliquez suivant

Tapez le mot de passe de restauration

Page 104: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

103

Cliquez sur suivant En attente de fin de l’installation du service

Vérification pour déterminer si la console de gestion des stratégies de groupe

doit être installée

Page 105: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

104

Modification pour cet ordinateur de l’appartenance au domaine

Recherche d’un contrôleur de domaine pour le domaine MTIC.TN qui contient le

compte SRVAD1

Un contrôleur de domaine SRVAD2.MTIC.TN a été trouvé pour le domaine

MTIC.TN

Analyse d’une forêt existante

Page 106: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

105

Réplication en cours de la partition d’annuaire de schéma

Réplication des informations critiques de domaine

La racine de nom d’ordinateur DNS de l’ordinateur est fixée à MTIC.TN

Définition de la sécurité sur le contrôleur de domaine.des fichiers Active

Directory et des clés du Registre.

Page 107: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

106

Protection de c:\windows\systeme32\spool

Protection de SamSs

Protection de kerberos

Page 108: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

107

Installation terminé

Redémarrage de l’ordinateur

Page 109: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

108

Les tests

On va créer un nouveau utilisateur, cliqué sur BSI-nouveau-utilisateur

On va remplir le formulaire

On va créer un mot de passe pour le compte de nouveau utilisateur

Le mot de passe doit etre de haute compléxité

Page 110: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

109

On créer deux comptes des nouveaux utilisateurs

Le serveur DNS fonction convenablement .il peut résoudre dans les deux sens

du nom BIOS à l’@ IP et de l’@ IP au nom BIOS

*Création de stratégie de groupe Cliquer sur BSI

Page 111: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

110

Cliquer sur créer un objet GPO dans ce domaine…

Nommer la nouvelle stratégie ‘régle-pc’

*Configuration de stratégie de groupe : Clique droite sur « Régle-pc » puis « Modifier »

Page 112: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

111

*Empêcher l’accès au panneau de configuration : Cliquer sur « Configuration utilisateur-stratégies-modèles administration-

panneau de configuration »

On va coucher « activé » pour activer l’empechement de l’accés au pannau de configuration

Page 113: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

112

Résultat : imprime écran de l’ordinateur de l’utilisateur « ayari amani » -avant l’application de la stratégie

-après que la stratégie est appliquée

**Empêcher l’accès au Gestionnaire des tâches Cliquer sur « configuration utilisateur-stratégies-système-option Ctrl-Alt-Suppr –

Supprimer le Gestionnaire des tâches.

Page 114: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

113

Résultat : -avant -après : icône désactivé

***interdiction de l’utilisation du support amovible :

Page 115: MEMOIRE DE STAGE DE FIN D’ETUDE2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS 0 MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

114

Résultat : -avant

-après Message d’erreur « F:\ n’est pas accessible » et « Accès refusé »