Omont Ayadi 04 PDF

Ecole nationale suprieure Ernst & Young
des tlcommunications Ple service technology &

46, rue Barrault security risk services
75013 Paris Tour Ernst & Young
92037 Paris-La Dfense Cedex
Travaux daudit et de conception au

sein dun cabinet daudit
Rapport de Stage dingnieur
Nicolas Omont
1er septembre 2003 30 janvier 2004
Correspondant de stage : Matre de stage :

Jean-Marc Saglio Marc Ayadi
Directeur d'tudes Senior Manager
TRAVAUX DAUDIT ET DE CONCEPTION
AU SEIN DUN CABINET DAUDIT

Rsum
A loccasion de du stage de fin dtude, jai rejoint les quipes dErnst & Young France, dans
le service daudit des systmes dinformation durant cinq mois. Dans le contexte de la
fusion des quipes historique de Ernst & Young et de celles de lancien cabinet Arthur
Andersen, jai particip diffrentes missions :
1. Conception et implmentation dun annuaire Active Directory pour une collectivit

locale :
Conception :
o Etude des besoins fonctionnels et de contraintes techniques

dinteroprabilit ;
o Elaboration du schma et de larborescence de lannuaire.
Assistance la mise en place de cet annuaire dentreprise:
o Ralisation dune plate-forme de test ;
o Rdaction de procdures dinstallation ;
o Etude et ralisation de scripts pour la migration des donnes.
Conception et dveloppement dune solution de gestion des flux dalimentation

pour cet annuaire dentreprise (par exemple, larrive et le dpart de personnel).
2. Analyse de donnes dans le cadre de laudit des stocks dune filiale dune
multinationale.
3. Amlioration dun outil de gestion des projets de scurit des systmes

dinformation.
1/45

Structure du document
Ce document est structur en plusieurs chapitres.
Dans une premire partie, je prsente le cabinet et le contexte du stage puis je dcris
de manire dtaille lorganisation des missions et les travaux que jai concrtement
effectus.
Dans une seconde partie, je dtaille le contenu des missions les plus importantes
regroupes autour des thmes de lannuaire dentreprise, de laudit des stocks et de la
gestion de projets de scurit.
2/45

Table des matires

Rsum.......................................................................................................................................1
Structure du document...............................................................................................................2
Table des matires......................................................................................................................3
1. Prsentation du stage...............................................................................................................6
1.1. Synthse...........................................................................................................................6
1.2. Lentreprise......................................................................................................................7
1.2.1. Prsentation gnrale................................................................................................7
1.2.2. Contexte ...................................................................................................................9
1.2.3. Organisation..............................................................................................................9
1.2.4. Prsentation du ple service TSRS.........................................................................10
1.2.4.1. Prsentation gnrale.......................................................................................10
1.2.4.2. Contexte...........................................................................................................11
1.3. Droulement du stage : vue gnrale.............................................................................12
1.3.1. Synthse..................................................................................................................12
1.3.2. Accueil....................................................................................................................13
1.3.3. Travaux raliss......................................................................................................14
1.3.3.1. Conception et assistance la mise en place dun annuaire dentreprise..........14
1.3.3.2. Amlioration dun outil de gestion des projets de scurit..............................16
1.3.3.3. Assistance au commissariat au compte............................................................17
1.3.3.4. Identification de cibles pour une enqute........................................................18
1.3.3.5. Semaine de formation......................................................................................18
2. Problmatiques et solutions..................................................................................................19
3/45

2.1. Synthse des travaux effectus.......................................................................................19
2.2. Les annuaires dentreprise..............................................................................................20
2.2.1. Introduction aux annuaires......................................................................................20
2.2.1.1. Dfinition.........................................................................................................20
2.2.1.2. Historique.........................................................................................................20
2.2.1.3. Utilisation par les entreprises...........................................................................20
2.2.1.4. Mta-annuaires et annuaires virtuels................................................................21
2.2.1.5. Enjeux pour la scurit.....................................................................................22
2.2.2. Conception dun annuaire un cas dtude............................................................22
2.2.2.1. Cadre de la mission..........................................................................................22
2.2.2.2. Cas dutilisation...............................................................................................23
2.2.2.3. Le schma et larborescence............................................................................27
2.2.3. Mise en place dun annuaire...................................................................................29
2.2.3.1. Maquette...........................................................................................................29
2.2.3.2. Migration..........................................................................................................29
2.2.3.3. Interface homme-machine rudimentaire..........................................................32
2.2.4. Alimentation dun annuaire....................................................................................34
2.2.4.1. Problmatique..................................................................................................34
2.2.4.2. Cas du client.....................................................................................................34
2.2.4.3. Les logiciels de gestion des flux dalimentation..............................................36
2.3. Assistance laudit financier.........................................................................................38
2.3.1. Objectifs et moyens.................................................................................................38
2.3.2. Comprhension de la gestion des stocks.................................................................38
2.3.3. Anomalies trouves.................................................................................................41
2.4. La scurit des systmes dinformation.........................................................................42
4/45

2.4.1. Sources de progrs..................................................................................................42
2.4.2. La gestion des projets de scurit...........................................................................43
2.4.2.1. Spcificits.......................................................................................................43
2.4.2.2. Solutions apportes par le logiciel dvelopp..................................................43
Conclusion...............................................................................................................................45
Table des figures......................................................................................................................46
Remerciements.........................................................................................................................47
5/45

1. Prsentation du stage
1.1.Synthse
Objectif global du stage
Du fait de la position privilgie des auditeurs comme interlocuteurs des entreprises avec
le monde de linformatique, jattendais de ce stage de dcouvrir le monde des
entreprises par le biais des systmes dinformation.
Cette attente a t satisfaite car jai t au contact de diffrents interlocuteurs : directions

des services informatiques, diteurs de logiciels ou intgrateurs.
Connaissances acquises
Ce stage ma aussi apport de bonnes connaissances dans le domaine des annuaires

dentreprises et surtout de Microsoft Active Directory. Jai aussi acquis des notions dans
les domaines de la scurit des systmes dinformation et de la gestion comptable des
stocks.
Mthodes de travail
Sur le plan moins visible des mthodes de travail, cette exprience ma certainement
apport le sens de la satisfaction du client, notion diffrente de la production dun travail
parfait . Le contexte de la fusion ma aussi appris madapter de nouvelles
mthodes de travail. Jai aussi compris quil tait important de bien documenter ses
travaux, car ils sont inutilisables dans le cas contraire.
Affinement du projet professionnel
Toutefois, bien que lexprience ft globalement intressante, en contrepartie de

lacquisition dune mthodologie aboutie dans une organisation performante, jai t
confront un manque dautonomie et de responsabilits pour la ralisation de
certaines tches.
Par ailleurs, aprs avoir expriment le rythme de travail des auditeurs, suite de priodes
caractrises par une charge de travail modre et de priodes de surcharge
imprvisibles, jai compris que le rythme de travail que je souhaitais, ne correspondait
pas celui que jai rencontr.
6/45

1.2.Lentreprise
1.2.1.Prsentation gnrale
Ernst & Young est une firme multinationale qui compte 110 000 collaborateurs dont le
sige est bas aux Etats-Unis. Son activit traditionnelle est la certification des
comptabilits des entreprises. Cest lun des quatre cabinets couverture globale parmi
lesquels les grandes multinationales cotes en bourse choisissent prfrentiellement leurs
commissaires aux comptes. Ces quatre cabinets sont appels les Big Four (Ernst &
Young, Deloitte Touche Tohmatsu, PriceWaterHouseCoopers et KPMG). La carte ci-dessous
montre la couverture mondiale dErnst & Young.
Figure 1 : Implantations internationales du cabinet Ernst & Young
Cette activit daudit lgal permet au cabinet dacqurir une bonne connaissance des
entreprises et de leur fonctionnement. Ainsi, Ernst & Young a-t-il dvelopp une palette de
service trs large pour satisfaire les demandes de ses clients en matire de conseil. En dehors
des auditeurs financiers, le cabinet emploie des avocats dans les domaines du juridique et du
fiscal, des experts des transactions financires et des quipes dans de nombreux domaines lis
la gestion des risques dans les entreprises. La palette ci-dessous (figure 2) illustre les
diffrents services proposs par la branche franaise.
7/45

En France, le cabinet compte 5 400 collaborateurs. Il est le premier cabinet daudit franais
par son chiffre daffaires de 640 M en 2002-2003. Le second, la Socit Fiduciaire Nationale
ralise un chiffre daffaires infrieur de moiti. De plus, ce cabinet nest pas un cabinet
international. Ernst & Young audite au titre du commissariat au compte 110 des 250 socits
cts au SBF 250, 62 des 120 socits du SBF 120 et 23 de celles du CAC 40. Les graphiques
ci-dessous (figure 3) illustrent ses parts de marchs pour le SBF 120 et le CAC 40
respectivement en comparaison de celle des 3 autres cabinets denvergure mondiale. Il met en
vidence le fait que le cabinet est le leader franais pour laudit des grandes entreprises.
Figure 2 : La palette des services du cabinet Ernst & Young en France
Figure 3 : Mandat de commissaire au compte des grands cabinets daudits en France
8/45

1.2.2.Contexte
Pour les grands cabinets daudit, les dfis pour surmonter la crise conomique et les scandales
financiers des dernires annes sont importants.
Sur le front intrieur, le ralentissement conomique oblige les cabinets restreindre les
embauches de dbutants par rapport aux annes Internet . Cela conduit une pyramide des
ges dsquilibre : beaucoup de managers, correspondant des collaborateurs qui ont plus de
6 annes danciennet et peu de dbutants. Il en rsulte des tensions car lacquisition de
responsabilits, toujours relle, est ralentie par rapport aux annes Internet . A ce contexte
gnral sajoutent, pour Ernst & Young, les difficults dune fusion : Il nest jamais vident
de se crer une nouvelle culture dentreprise partir de deux cultures trs diffrentes.
Sur le front extrieur, il faut sassurer de la confiance des clients la suite de laffaire
Enron, qui a violemment marqu les esprits dans tous les cabinets mais surtout les anciens de
Andersen qui ont vcu la disparition de leur entreprise et sortent dune priode dincertitude
qui a dur prs de deux ans. Toutefois, les actions et la volont sont relles et marques en
matire de sparation des clients pour lesquels le cabinet est commissaire aux comptes et donc
les autres missions interdites, et les autres clients pour lesquels il ny a pas de restrictions sur
les missions proposables.
De plus, le cabinet doit sans cesse embaucher et donc de crotre pour bien fonctionner car cela
permet aux anciens dacqurir plus rapidement des responsabilits. Or, le march du
commissariat aux comptes est limit. Ainsi la stratgie du cabinet est de dvelopper les
missions autres que le commissariat aux comptes. Lobjectif annonc du cabinet Ernst &
Young est de parvenir 50 % de son chiffre daffaires provenant de ces autres missions. Cette
stratgie concourt une diminution globale des risques de conflits dintrt, car elle cible
prcisment le march conqurir.
1.2.3.Organisation
Dans les cabinets daudit, il existe une structure de grades permettant de situer rapidement le
niveau de responsabilit quaura une personne dans une mission. Il est possible de changer de
niveau chaque anne, selon les capacits et les performances dont font preuve les consultants
durant lanne. En arrivant, les collaborateurs sont appels assistants , dbutants la
premire anne et expriments la deuxime anne. Ils sont eux-mmes sous la responsabilit
des seniors , dont le grade est complt par le nombre dannes qui se sont droules
depuis quils y ont accds. On reste souvent quatre annes Senior, sans que cela soit une
norme. Les assistants et les seniors ont des rles oprationnels. Ils ralisent lessentiel du
travail des missions. Ils sont leur tour encadrs par des managers et senior
managers qui ont un rle de supervision. Ils sont galement en charge de la prospection des
clients. Enfin, les associs possdent des parts du cabinet et en assurent la direction et
lorganisation.
9/45

Dans le cas du commissariat au compte, ce sont eux qui endossent la responsabilit de

certifier la bonne tenue des comptes.
1.2.4.Prsentation du ple service TSRS

1.2.4.1.Prsentation gnrale
Au sein du cabinet franais, le ple service TSRS (Technology and Security Risk Services)
traduit en franais par (Audit et scurit des systmes dinformation) appartient la
division AMA (Autres Mtiers de lAudit) qui elle-mme sintgre dans la business unit
des mtiers de laudit. Il compte aujourdhui 160 personnes. Il dveloppe une offre autour de
laudit et la scurit des systmes dinformation dentreprise.
Mme si le cur de ses comptences est la gestion des risques lis aux systmes
dinformation, le ple service propose aussi daccompagner les directions dans leur rle de
matrise douvrage pour des projets informatiques. Si le ple service jouit dune relative
autonomie au sein du cabinet, il nen collabore pas moins avec les auditeurs financiers lors de
missions conjointes dans les entreprises o le systme dinformation joue un rle crucial dans
la dtermination du rsultat financier. Ces missions peuvent tre de lassistance au
commissariat au compte comme des audits dits de due diligence dans le cas de la
valorisation dune entreprise lors de sa vente. Elles constituent la raison dtre du service et la
source de ses connaissances de lentreprise. Une autre spcificit de ces missions est que la
prospection de clients est aussi interne, car il faut convaincre les auditeurs financiers de
partager le budget de mission qui leur est allou avec leurs collgues du ple service TSRS.
Enfin, des auditeurs se sont spcialiss dans la gestion de la scurit des systmes
dinformation, les uns concevant des solutions, les autres les auditant.
Note : Comme nous verrons par la suite, lune des missions que jai ralise sinscrit
directement dans le cadre de laccompagnement de projets, lautre dans le cadre dune
assistance aux travaux de commissariat aux comptes, et la dernire dans le cadre de loffre
de gestion de la scurit des systmes dinformation.
10/45

1.2.4.2.Contexte
Comme dans le reste du cabinet, un des objectifs prioritaires du ple service est dachever la
fusion entame il y a 18 mois avec le dpartement TRC (Technology Risk Consulting) de
B.F.A.. Au-del des procdures et de lorganisation, les cultures sont assez diffrentes et
chacun sattache naturellement la sienne. Les nouveaux entrants jouent le rle de pont et
catalysent lmergence dune nouvelle culture.
Toutefois, la complmentarit des deux cultures et des comptences associes est relle et
augure la constitution dune offre de service globale et de qualit. La runion des quipes
dans un mme lieu a eu lieu dbut octobre 2003 et permet dacclrer grandement la
constitution dquipes mixtes.
Enfin, dans un systme bas sur une implication des collaborateurs ncessitant des arbitrages
impactant la vie prive (horaires de travail dbordant le soir et le week-end, imprvisibilit de
la charge de travail), la rmunration et les responsabilits croissantes sont un facteur
essentiel pour garantir la motivation des collaborateurs. Le retour de la croissance va
permettre damliorer ce point.
Au final, mon stage sest droul dans un service en cours de fusion, travaillant tantt avec
des consultants issus dArthur Andersen, tantt avec des consultants historiquement chez
Ernst & Young qui ne se connaissent pas encore. Jai donc eu une vue privilgie sur ce
processus de fusion et sur les deux cultures.
11/45

1.3.Droulement du stage : vue gnrale
1.3.1.Synthse
Cette partie prsente de matire exhaustive les missions que jai effectues lors de mon stage,
afin que le lecteur puisse se faire une ide juste du travail effectu. En plus de la description
des travaux effectus, on y trouve un certain nombre danalyses sur le fonctionnement et
lorganisation du cabinet. On ny trouvera pas le dtail des problmatiques rencontres car
cela fait lobjet de la seconde partie du rapport.
Sur lorganisation du cabinet, je retiens essentiellement le fait que le cabinet est centr autour
du client dans le but de le satisfaire, ce qui entrane la ncessit de grer des problmes tels
que la variabilit et limprvisibilit de la charge de travail.
Sur le plan quantitatif, le bilan horaire se trouve dans le tableau 1. On voit quun quart de
temps de travail tait disponible pour la formation personnelle (acquisitions de nouvelles
comptences pour participer de nouvelles missions, par exemple). Toutefois, certaines
missions comme lassistance au commissariat au compte taient trs prenantes et constituaient
de grosses semaines. Ceci montre, dans mon cas prcis, cette forte variabilit de lactivit
intrinsque au mtier, mme si javais globalement moins de travail que les consultants. Ce
caractre imprvisible de la charge de travail constitue le revers de la mdaille de la varit
des missions et des environnements rencontrs.
Type de prestation Volume horaire

Amlioration dun outil de gestion des projets de scurit 94 heures
Conception et assistance la mise en place dun annuaire dentreprise 285 heures
Mission dassistance au commissariat au compte 90 heures
Identification de cibles pour une enqute 35 heures
Formation 35 heures
Rdaction du rapport 35 heures
Quantit totale dheures 574 heures
Quantit dheures ouvertes (100 jours) 800 heures
Quantit dheures restantes 226 heures
Tableau 1 : Bilan horaire global
12/45

1.3.2.Accueil
La premire semaine du stage, dbut septembre, a t une priode daccueil et dobtention
dun ordinateur portable, indispensable tout travail dans le cabinet. Je tiens vraiment
insister sur cette omniprsence de lordinateur, indispensable au bureau comme en clientle.
A titre personnel, jai aussi apprci que les stagiaires disposent de moyens identiques ceux
des autres consultants.
13/45

1.3.3.Travaux raliss
1.3.3.1.Conception et assistance la mise en place dun annuaire
dentreprise
Dbut septembre commence une mission dont le but est initialement la conception du schma
de lannuaire dentreprise dune collectivit locale franaise. Cette mission a constitu
lessentiel de mon stage, car elle a couvert environ la moiti de mon temps. Elle sest
dveloppe jusqu la fin janvier et nest pas encore termine. Les travaux raliss sont les
suivants :
Dans le cadre de la mise en place de la tlphonie sur IP, formalisation des cas
dutilisation de lannuaire dentreprise avec des diagrammes UML partir du
cahier des charges fourni pour ce projet de tlphonie sur IP. La formalisation UML a
t intgre dans le rapport de conception remis au client, et le client a apprci
lutilisation de cet outil.
Toujours dans ce cadre, analyse critique de la rponse au cahier des charges de la
matrise duvre retenue afin de prparer une ventuelle reprise de lassistance
matrise douvrage. Cette reprise nest pas encore lordre du jour lheure de mon
dpart.
Ralisation dune maquette reproduisant lannuaire Active Directory Windows 2000
de la collectivit locale afin de tester les extensions de schma. Conception et
formalisation de la procdure dextension de schma permettant de revenir en arrire
en cas de problme (point dvelopp dans la seconde partie du rapport). La migration
en production sest bien droule.
Reproduction de la maquette de lannuaire chez la matrise duvre du projet voix
sur IP. Linstallation sest bien droule.
Etude et ralisation dune solution permettant dentrer et consulter les donnes
(dont la photo didentit) dans lannuaire. La solution a bien fonctionn.
Etude dune solution de gestion des flux dalimentation de lannuaire, cest--dire
dun logiciel capable de grer larrive, le mouvement ou le dpart dune personne
dans lentreprise, dont :
- Etude de CDM (Calendra Directory Manager)
- Etude de eTrust Admin
- Conception du flux de gestion des arrives/dpart de personnes.
- Ralisation de la maquette laide du progiciel CDM. Cette maquette ne fut pas
pleinement oprationnelle, mais une version simplifie a permis au client de faire
son choix.
Travail administratif (organisation du classeur).
Enfin, pour un autre client potentiel, dans le cadre dune proposition en matire
dannuaire dentreprise, ralisation dune plate-forme de dmonstration comptant
quatre serveurs. La maquette a bien fonctionn, et leffet marketing a t russi.
14/45

Grce cette mission, jai aussi particip au knowledge des quipes, notamment par la
ralisation dun recueil de procdures sur Active Directory et Microsoft Exchange 2000.
En dehors des aspects techniques, cette mission est celle qui ma permis de comprendre le
mieux comment la relation avec le client est au centre des proccupations de lquipe. Bien
que nous lui proposions toujours une solution de grande qualit, il peut avoir besoin dune
solution partielle trs rapidement. Dans ce cas, le cabinet lui livre en en prcisant bien les
limites. Cest bien le client qui prend les dcisions, le rle du cabinet tant de linformer au
mieux pour quil puisse les prendre. Dans la majeure partie des cas, le travail effectu est
remis sous la forme dun document qui sera toujours dune prsentation extrmement
soigne.
Enfin, cette mission ma aussi fait comprendre le primtre de comptence du service. En
arrivant, je pensais que le service tait capable dtudier les problmes dorganisation des
entreprises. En fait, dans cette mission, cest la branche Entrepreneur Conseil qui sen est
charg : elle ltude de la procdure darrive des employs, nous limplmentation de
cette procdure dans le systme dinformation.

Formalisation de cas dutilisations en UML 27 heures
Analyse critique dune rponse appel doffre 8 heures
Ralisation de la maquette du rseau du client 70 heures
Travail administratif 8 heures
Installation de la maquette de lannuaire chez la matrise duvre 20 heures
Dveloppement VBscript (interface avec lannuaire) 36 heures
Prsentation CDM et eTrust admin 16 heures
Conception et dveloppement de la maquette CDM 45 heures
Adaptation de la maquette de lannuaire pour une dmonstration 20 heures
Formation et documentation partir dInternet 35 heures
Tableau 2 : Charges de la mission de conception et dassistance la mise en place dun annuaire
dentreprise
15/45

1.3.3.2.Amlioration dun outil de gestion des projets de scurit
Ces pripties passes, je suis accueilli par les auditeurs historiques dErnst & Young la
semaine suivante. On me prsente mon travail : dans une mission, a t vendu un outil
informatique de suivi des projets de scurit des systmes dinformation qui nexiste pas
encore. Dun autre cot, le cabinet dispose dune prcdente mission dun outil assez
comparable permettant de suivre les recommandations et les actions engages la suite
daudit de scurit. Mon rle est dadapter loutil une base Access sa nouvelle utilisation
et de participer llaboration de son contenu. Concrtement, jai effectu les tches
suivantes :
La mission ne comprenant pas daudit de scurit, les recommandations devaient se
baser sur les comptes rendus dentretiens raliss par le cabinet portant sur le systme
dinformation de lentreprise et sur les bonnes pratiques, essentiellement issues de la
norme ISO 17799 portant sur la gestion de la scurit de linformation . Les
travaux raliss dans ce cadre sont les suivants :
- Lecture de la norme ISO 17799
- Extraction des lments portant sur la scurit des systmes dinformation des
comptes rendus dune vingtaine dentretiens.
Ensuite les modifications effectues sur loutil concernent les points suivants :
- Le changement de termes afin de sadapter aux vocables spcifiques du client
- Lajout de la possibilit de changer le logo dans la perspective dune utilisation
pour dautres clients.
- Le reformatage des interfaces
- Lajout dinterfaces permettant nimporte quel auditeur de remplir la base pour
dautres clients.
- Lajout de la possibilit de dcouper les projets en tapes chronologiques.
La mission sest droule entre septembre et octobre sur environ deux semaines et demi de
travail. Lintrt de la mission, en dehors de la dcouverte du monde de laudit de scurit,
tait que je pouvais lorganiser librement. Cela ma notamment permis de travailler lorsque
les autres missions taient au point mort. Le tableau ci-dessous (tableau n2) dtaille les
heures ralises. Au final, le client na pas souhait acqurir loutil et a prfr la remise des
recommandations et des projets conus pour lui sous la forme dun rapport. Toutefois, cette
base pourra servir pour un autre client.

Etude des recommandations de scurit 22 heures
Runions pour la conception du logiciel: 3 heures
Dveloppement Access 61 heures
Formation par la lecture des normes de scurit 8 heures
16/45

Tableau 3 : Charges de la mission damlioration dun outil de gestion des projets de scurit
1.3.3.3.Assistance au commissariat au compte
Parmi les bonnes surprises du stage, jai particip une mission dassistance au commissariat
au compte pour une filiale dun groupe de dindustrie mtallurgique. Jy ai beaucoup appris.
Une senior et moi sommes alls pendant une semaine sur le terrain pour comprendre
lorganisation de lentreprise et de ses usines. Notre rle tait dassister les trois auditeurs
financiers dans lvaluation les risques lis au systme dinformation de lentreprise.
Pour cela, il est ncessaire de parler le langage des auditeurs financiers. Ainsi, jai acquis des
notions de comptabilit des stocks et de comptabilit analytique. Jai vu la complexit du
problme de valorisation des stocks. Cette dcouverte du fonctionnement de lentreprise de
la visite du complexe sidrurgique la dtermination de la valeur des stocks tait trs
intressante mais la position dauditeur des systmes dinformation ne ma pas permis de
mintresser autant que je laurais souhait aux aspects organisationnels et financiers. Nous
tions en quelque sorte des sous-traitants des auditeurs financiers qui avaient une vision
beaucoup plus globale des enjeux. En effet, les objectifs de notre mission taient :
Dtablir une cartographie du systme dinformation de lentreprise, cest--dire un
diagramme des applications utilises.
Danalyser les donnes issues des tats de stocks. Cest--dire essentiellement
didentifier les anomalies et les tats contraires aux lois, aux rgles de la firme ou
aux bonnes pratiques.
Sur le plan humain, jai pu constater que le mtier dauditeur demandait beaucoup en termes
dengagement et dhoraires de travail. Pour eux, les horaires dbordaient sur les soires et
les week-ends.
En conclusion, ces deux semaines une sur le terrain, une pour exploiter les rsultats furent
trs intressantes, mme si jai pu voir que ce genre de mission reste assez exceptionnel en
matire danalyse de donnes car le travail est dordinaire ralis au cabinet sans les visites
qui permettent davoir une vue plus globale de lentreprise.

Semaine sur le terrain 45 heures
Semaine danalyse des donnes 40 heures
Travaux ponctuels ultrieurs 5 heures
Tableau 4 : Charge de la mission dassistance au commissariat au compte
17/45

1.3.3.4.Identification de cibles pour une enqute
Enfin, jai particip une mission de deux semaines dans un autre service qui navait rien
voir avec les systmes dinformation puisquil sagissait dune entit de conseil auprs des
services publics, quil sagisse de collectivits locales ou dadministrations franaises et
europennes. Si la tche qui ma t confie tait peu complexe, puisquil sagissait de mettre
jour partir dInternet une liste de personnes charges de lvaluation des politiques
publiques dans diffrentes administrations en vue de raliser une enqute, lobservation de
lquipe de travail fut trs intressante. En effet la culture y tait diffrente car les consultants
avaient presque tous tudis lInstitut des Sciences Politiques de Paris.

Deux semaines de mission 35 heures
Tableau 5 : Charge de la mission didentification de cibles pour une enqute
1.3.3.5.Semaine de formation
Lattraction dun cabinet daudit rside aussi dans sa capacit former les consultants. Ainsi,
jai profit dune semaine de formation avec les nouveaux arrivants du service. Ils avaient
auparavant particip deux semaines de formation laudit comptable avant que je ne les
rejoigne pour cette dernire semaine portant sur laudit des systmes dinformation. Cette
semaine ma permis davoir une vision plus globale du cabinet.
Nous avons appris raliser des cartographies de systme dinformation et nous servir
dun outil danalyse de donnes spcifique aux auditeurs : ACL. Cet outil possde une partie
des fonctionnalits dAccess. Il possde des options dimportation de fichier trs pousses
permettant limportation dtats dimpression par exemple. Il possde les caractristiques de
ne rien changer aux donnes importes et de donner un fichier denregistrement des actions
effectues afin de pouvoir se servir des rsultats comme preuve daudit.

Une semaine de formation 35 heures
Tableau 6 : Temps de formation
18/45

2. Problmatiques et solutions
2.1.Synthse des travaux effectus
Parmi les problmes rencontrs lors des missions et les solutions mises en uvre, voici ceux
que jai choisi de dvelopper ici du fait de leur importance ou du dfi quils reprsentaient.
1) En premier lieu, la conception et la mise en place dun annuaire dentreprise est le

projet dans lequel les problmes que nous avons rsolus taient les plus intressants :
Conception dun schma dannuaire correspondant un besoin identifi.

Jai ainsi pu apprhender la complexit des systmes dinformation
modernes.
Dveloppement dune nouvelle procdure scurise dextension de schma.

La construction de la maquette de test ma permis de comprendre le
fonctionnement dActive Directory. La formalisation de cette procdure fut
une occasion de produire un document rigoureux et complet.
Dveloppement rapide dextensions linterface homme-machine avec

lannuaire afin de permettre au client dentrer des donnes dans lannuaire.
En proposant une solution dans lurgence au client, jai commenc
comprendre ce que signifiait tre tourn vers le client
Je dveloppe aussi dans cette partie la conception et de limplmentation dune

application de gestion des flux dalimentation de lannuaire, bien que le projet
soit toujours en cours, car le problme est intressant sur le plan conceptuel.
2) Ensuite, jai particip une mission daudit des stocks qui tait trs motivante du fait
de la capacit dadaptation ncessaire pour travailler avec les auditeurs financiers. Le
principal problme rsolu tait lidentification puis lobtention des informations
ncessaires laudit.
3) Enfin, lamlioration dun outil de gestion des projets de scurit des systmes
dinformation mrite sa place tant par le temps que jy ai consacr que par les
concepts abords. En accomplissant cette mission, jai appris mesurer le temps
ncessaire un dveloppement et amlior mes comptences en dveloppement sous
Access.
19/45

2.2.Les annuaires dentreprise
2.2.1.Introduction aux annuaires

2.2.1.1.Dfinition
Un annuaire est une application donnant accs des donnes sur un rseau. A la diffrence
des bases de donnes relationnelles, les annuaires sont conus pour stocker des donnes qui
sont consults beaucoup plus frquemment quelles ne sont modifies. Les annuaires se
caractrisent par une organisation arborescente. Cest--dire que les objets qui composent
lannuaire sont soit des nuds soit des feuilles. Pour accder directement un objet et aux
donnes quil contient, il faut connatre son chemin, cest--dire lensemble de ses
antcdents dans larborescence jusquau nud racine. Une autre caractristique des
annuaires est la dfinition dun schma, constitu de lensemble des rgles qui nomment et
dcrivent les objets qui peuvent se trouver dans larbre de lannuaire et les attributs quils
peuvent possder.
2.2.1.2.Historique
La norme de rfrence en matire dannuaire est la norme X500 qui dfinit essentiellement
un schma extensible, un protocole daccs aux annuaires (DAP, Directory Access Protocol)
et un protocole de rplication entre annuaires. Du fait des difficults de mises en uvre de la
norme X500 en gnral et du protocole DAP en particulier, cest le protocole LDAP
(Lightweight Directory Access Protocol), mieux adapt aux rseaux TCP/IP, qui est devenu le
standard en matire de communication avec les annuaires.
Parmi les annuaires les plus connus, on peut citer Sun One (anciennement iPlanet) et
OpenLDAP qui sont pleinement compatibles avec le protocole LDAP et surtout Microsoft
Active Directory qui implmente un protocole daccs LDAP complt par des extensions
propritaires. Ces extensions limitent linteroprabilit du produit. A leur dfense, on peut
dire que ces extensions sont bien acceptes par le monde informatique car elles permettent de
faire dActive Directory un annuaire multi-matre, cest--dire que tous les serveurs qui
publient un annuaire accepte les mises jour.
2.2.1.3.Utilisation par les entreprises
Si la conception des annuaires permet une utilisation trs gnrale, les entreprises les utilisent
essentiellement pour les raisons suivantes :
Publier des informations sur les ressources de lentreprise. Ces ressources peuvent
tre :
- Des personnes (coordonnes, mots de passe)
- Des ressources informatiques (serveurs, imprimantes).
20/45

- Des services (rponse des questions du type : O y-a-t-il un serveur SMTP ?).
Cette fonction est aussi historiquement assure par certains serveurs de nom de
domaine. De ce fait, ils ont vocation sintgrer dans les annuaires. En effet, les
donnes stockes dans un serveur de nom peuvent tre stockes dans un annuaire.
La seule diffrence rside dans le protocole daccs : LDAP pour lannuaire et
DNS pour le serveur de nom. Active Directory implmente partiellement cette
intgration.
Grer des droits daccs ces ressources et lauthentification des utilisateurs.
On voit tout de suite poindre une notion : celle de lannuaire unifi. Dans labsolu, un
annuaire unifi regroupe toutes les donnes concernant les utilisateurs du rseau afin dviter
des duplications et de simplifier ladministration. Par exemple, toutes les applications qui
ncessitent une authentification utilisent le mot de passe stock dans lannuaire, ce qui permet
lutilisateur de nen avoir quun. Une tape supplmentaire vers lannuaire unifi consiste
mme dans le stockage des droits daccs des utilisateurs pour cette application dans
lannuaire. Dans la ralit, vu lhtrognit des systmes dinformation, il nest en gnral
pas possible de parvenir ce but.
Dautre part, des duplications de donnes sont parfois souhaitables. Par exemple, il ne parat
pas opportun de stocker dans lannuaire de lentreprise toutes les donnes de lapplication de
gestion des ressources humaines concernant un utilisateur. En effet, on peut trouver quelles
sont tellement sensibles quil ne faut pas les hberger sur le mme systme que le reste des
donnes. Dans ce cas, on aura recours des mta-annuaires et des annuaires virtuels,
notions que je vais maintenant dfinir.
2.2.1.4.Mta-annuaires et annuaires virtuels
Dans des environnements complexes, il est parfois souhaitable de ne pas regrouper toutes les
donnes dans un annuaire unifi. Outre les problmes dhtrognit ou de scurit, la
rigidit du schma dActive Directory ou la ncessit de mises jour frquentes de la donne
peuvent justifier ce fait.
Dans ce cas, on peut mettre en place une application appele mta-annuaire. Cette
application est charge de mettre en uvre un ensemble de rgles de rplication. Ainsi, dans
une configuration idale, lensemble des rpliquas du systme htrogne est mis jour si
lun dentre eux est modifi. Ce mta-annuaire permet de garantir la cohrence du systme
dinformation.
En complment de cet outil, un annuaire virtuel permet dagrger les donnes concernant un
mme objet provenant de diffrentes sources et de les prsenter comme si elles provenaient de
la mme source dans une vue unique. Par exemple, on peut le paramtrer pour quil retrouve
le login dun utilisateur dans Active Directory et son salaire dans la base des ressources
humaines.
21/45

2.2.1.5.Enjeux pour la scurit
Il est trs frquent que lannuaire soit un point central de la scurit du systme dinformation
dune entreprise.
En effet, lannuaire est souvent utilis pour stocker les mots de passe des utilisateurs. Dans ce
cas, labsence dannuaire empche toute authentification et donc le fonctionnement de toute
application qui repose sur lannuaire pour raliser lauthentification. De plus, lannuaire est
souvent intgr au serveur de nom (DNS) en labsence duquel il est impossible de localiser un
serveur sur le rseau. Ainsi, la disponibilit de lannuaire est essentielle.
De mme, la ncessit de la confidentialit est vidente dans la mesure o les mots de passe
sont stocks dans lannuaire. Mme sils ne sont pas stocks, il conviendra toujours dassurer
une gestion fine des droits de lecture des utilisateurs, des donnes confidentielles concernant
les personnes pouvant tre stockes dans lannuaire.
Enfin, lintgrit des donnes doit tre assure dans le cadre de la haute-disponibilit
ncessaire. En effet, lannuaire sera souvent rpliqu sur plusieurs serveurs, ce qui entrane
des difficults pour maintenir la cohrence entre eux. Toutefois, dans le cadre dutilisation
pour des donnes changeant peu, on acceptera souvent un temps de synchronisation de
lensemble du systme la suite dune modification allant de quelques minutes sur un rseau
local quelques heures pour un systme mondial.
2.2.2.Conception dun annuaire un cas dtude

2.2.2.1.Cadre de la mission
Le client est une collectivit locale. Environ 500 personnes y travaillent.
Lors de la phase dtude dun projet de mise en place de la tlphonie sur IP, il est apparu que
ce projet ncessitait de mettre en place un annuaire unifi dentreprise. En effet, afin de
profiter du nouveau systme de tlphonie, il tait ncessaire de pouvoir consulter toutes
les donnes concernant un utilisateur et notamment ses coordonnes tlphoniques travers
une multitude de moyens (cran de lIP-phone, Intranet, Internet). Une refonte des annuaires a
donc t dcide.
Jusquici, le service de la communication de la collectivit disposait dj dune partie des

donnes que lon souhaitait faire apparatre dans lannuaire car une de ses missions tait de
publier un trombinoscope des services. Dautre part, la direction des services informatiques
administre un rseau dordinateurs sous Windows 2000 et possde donc des serveurs appels
contrleurs de domaine. Le fonctionnement de ces contrleurs de domaine repose sur
lannuaire Active Directory. Dans cet annuaire sont stocks la liste des utilisateurs du
rseau, leur mot de passe et les droits qui leur sont associs. Lide est donc de fusionner ces
annuaires afin de progresser vers un annuaire unifi.
Tout en gardant en tte lobjectif de simplifier ladministration travers lannuaire unifi, il

est ncessaire danticiper les futurs usages de lannuaire et de le concevoir en consquence.
22/45

Par exemple, il faut prvoir que lapplication de comptabilit doit pouvoir utiliser les
fonctions dauthentification de lannuaire voire y stocker les droits des utilisateurs. Dans ce
but, on commence donc par recenser lensemble des cas dutilisation futurs de lannuaire.
2.2.2.2.Cas dutilisation
La lecture du schma directeur, du cahier des charges du projet de tlphonie sur IP et de la

rponse retenue font apparatre diffrents cas dutilisations. Il apparat au travers de ces
documents que les utilisateurs doivent pouvoir utiliser lannuaire au travers dun certain
nombre dapplications dans le but de pouvoir sauthentifier, consulter ou rechercher des
donnes ou bien encore de modifier des attributs. Ceci se rsume dans les cas dutilisation trs
gnraux de la figure 4.
De mme, ladministration de lannuaire peut se reprsenter par les cas dutilisation illustrs
par la figure 5. On distingue la cration dun nouvel attribut lors de lextension du schma de
celle dune nouvelle entre qui est simplement lajout de donnes publier dans lannuaire.
On distingue aussi la modification dune entre, cest--dire de son dplacement dans
larborescence, de la modification dun attribut de cette entre.
Cas d'utilisation utilisateur
Modification d'un attribut (valeur)

Interface
d'adm inistration...
(f rom Actors)
Consu ltation
Recherche partir de 5 critres
Recherche annuai re
Utilisateur
Rech erch e partir d'un nom
(f rom Actors)
Recherche partir d'un num ro de

Authentification d'une application tl phone
Figure 4 : Cas d'utilisation de l'annuaire
23/45

Adm inis tration de l'annuaire
Cration d'un abonn interne
Cration Cration d'attributs (extens ion de

Inte rface
s chm a)
d'adm inis tration...
(f rom Ac tors )
Modification Modification d'une entre
Su ppres s ion d'une entre Modification d'un attribut (valeur)

Adm ini s trateur
annuaire
(f rom Actors)
Figure 5 : Cas d'utilisation par l'administrateur de lannuaire
Dans le mme temps, ltude des documents permet de lister lensemble des applications
interagissant avec lannuaire. Cette tude approfondie me permettait de rpondre rapidement
aux questions diverses portant sur larchitecture cible du systme dinformation. Elle ma
aussi permis de raliser lanalyse critique de la rponse lappel doffre pour le projet voix
sur IP retenue. Pour information, voici la liste des applications ncessaires au projet :
Le Call Manager (Cisco) fait rfrence au logiciel charg dtablir des communications
tlphoniques. Il remplit les fonctions dvolues au commutateur dans un systme
tlphonique classique. Il stocke les profils utilisateurs dans un annuaire qui peut-tre
spcifique ou tre lannuaire unifi de lentreprise. Il possde une interface
dadministration propre qui modifie des donnes dans lannuaire. Cisco prcise que ces
donnes ne doivent pas tre modifies laide dune autre interface.
Unity est le logiciel de messagerie unifie de Cisco. Il est insparable du serveur de
messagerie Microsoft Exchange sur lequel il sappuie pour distribuer des messages
vocaux ou des tlcopies. A linverse, il est capable de lire des courriels aux personnes
consultant leur messagerie par tlphone. Tout comme Exchange 2000, il sintgre
fortement Active Directory pour stocker les profils utilisateurs.
Linterface dadministration de Unity est une application web de Cisco permettant aux
utilisateurs de personnaliser leur messagerie Unity en particulier mais aussi certains
paramtres gnraux stocks dans Active Directory.
Le client de messagerie Outlook est utilis en lien avec Exchange. Il utilise lannuaire
afin de retrouver les adresses lectroniques des correpondants.
Lannuaire possde sa propre interface dadministration native, en loccurrence
lapplication Utilisateurs et Ordinateurs dActive Directory.
24/45

Linterface de consultation web permet de lancer des recherches dans lannuaire depuis
Internet ou lintranet. Une extension installe sur le navigateur permet ensuite de
composer le numro du correspondant recherch partir de lIP-phone voulu ou depuis
lmulateur dIP-phone install sur lordinateur.
Le serveur XML-IP-phones est lquivalent de linterface de consultation web dcrite
prcdemment. Seul le format est diffrent car le navigateur des IP-phones utilise un
format de donnes XML.
Caller Detective est une petite application effectuant des recherches dans lannuaire afin
de raliser la fonction dannuaire invers et dafficher le rsultat sur lcran des IP-
phones.
Cisco IPMA permet de grer des supervisions de lignes tlphoniques de directeurs par
des secrtaires. Les informations concernant les associations des directeurs et des
secrtaires sont stockes dans lannuaire.
Le serveur vocal interactif sera implment sur une solution de Cisco. Il permettra la
mise en place dun accueil et dune orientation vers les services automatiques voire une
consultation de donnes contenues dans lannuaire (coordonnes) ou dans des bases
relationnelles (dossiers de subventions).
Enfin, Charmed est un systme ddi au standard tlphonique, notamment la
rpartition des appels entre les oprateurs de laccueil. Il est tranger au monde Cisco et a
certainement t retenu car cette solution permet dobtenir des tlphones adapts aux
aveugles. Son intgration avec lannuaire se limite la recherche des numros de
correspondants.
Ces applications se retrouvent dans le diagramme de classe ci-dessous qui illustrent la

complexit du travail de lintgrateur. On y ajoutera lapplication de comptabilit Astre qui
est intgre au projet dannuaire bien quindpendante du projet de tlphonie sur IP.
Application
(f rom Actors)
Unity Call Manage r Caller Detective Ci sco IPMA Interfac e consultation web Charm ed
(f ro m A ctors) (f rom Actors) (f rom Actors) (f rom Actors) (f rom Actors) (f rom Ac to rs )
Serveur de m ess agerie Exchange In terfa ce a dm inistr ation Cis co Serveur XML -IP Phon es Serveur vocal interactif
(f ro m A ctors) (f rom Actors) (f rom Actors) (f ro m Ac to rs )
Interface adm inis tration de la m ess agerie Exchange/Unity Interface d'adm inis tration de l'annuaire Cl ien t de mes sagerie Outlook
(f rom Actors) (f ro m Ac to rs ) (f rom Actors)
Figure 6 : Diagramme de classe des applications
25/45

Enfin, les documents permettent de classer les utilisateurs en diffrentes catgories. On notera
que les diffrences de ce diagramme de classe peuvent porter sur les droits daccs
lannuaire ou sur les donnes les concernant stockes dans lannuaire. Les classes
Organizational person , Contact et User existent dj dans le schma dActive
Directory. Les autres correspondent aux profils identifis. Par la suite, leur implmentation
sera ralise sous la forme de profils de droits spcifiques et/ou de la drivation dune
nouvelle classe dobjet dans lannuaire. Parmi les profils particuliers, le gestionnaire de
lannuaire pour une application est charg dadministrer les donnes que cette application
stocke dans lannuaire. Les abonns internes possdant un profil de tlphonie sur IP
peuvent tre des lus, pour lesquels des donnes particulires sont publier, tandis que lagent
est un membre de ladministration de la collectivit.
Di agram m e d e cla sse

Organ i za ti on al perso n
util isateur e t con tact
Co nt act User
Corre spo nda nt externe Uti lisa te ur

(from Actor s)
(from Actors)
Adm in istra te ur Exc han ge

(from Actors)
Adm in istrateur a nnua ire

(from Actors)
G esti on na ir e an nua ire po ur u ne a ppl i catio n Util isateur Astre Abon n in terne
(from Actors) (fr om Actor s) (from Actors)
Elus Agen ts
Figure 7 : Diagramme de classe des utilisateurs et des contacts
26/45

2.2.2.3.Le schma et larborescence
Ltude des cas dutilisation tant ralise, la conception du schma et de larborescence peut
commencer.
Active Directory possde de nombreux objets et de nombreux attributs en standard. Il serait

cependant impossible et contre-productif de satisfaire tous les besoins de cette manire. La
premire version dActive Directory prsente malheureusement un dfaut, corrig dans la
version 2003 : il est impossible de supprimer un attribut ou un objet du schma. Ainsi, les
extensions de schma doivent tre ralises avec le plus grand soin. Cest pourquoi, nous
avons pris le parti de ne pas crer de nouvelles classes dobjet, mais simplement dajouter des
attributs spcifiques la classe User . Ces attributs sont :
Nom du btiment pour les utilisateurs (ajout en standard dans Active Directory 2003)
Trois attributs spcifiques aux lus.
Les autres spcificits seront gres par des droits attribues aux personnes de certains
groupes et branches de lannuaire. Par exemple, il faut interdire le remplissage ou la
consultation des attributs spcifiques aux lus dans le cas o lutilisateur est un agent. Ds
lors, lorganisation de larborescence est importante car une bonne organisation permet de
cibler simplement les groupes dutilisateurs qui il faut octroyer des droits dfinis, simplifiant
ainsi grandement ladministration de lannuaire. Larborescence retenue est dcrite ci-dessous
dans la figure 8.
Cette arborescence dcoule la fois les droits donner chaque utilisateur dans lannuaire et
de lorganisation dj existante dans lannuaire. On remarque la prsence de lunit
dorganisation (OU) CISCO ncessaire au bon fonctionnement du Call Manager. Chaque
utilisateur de la tlphonie sur IP possde dans son profil un pointeur vers son profil
spcifiquement tlphonie stocke dans cette OU Cisco. On remarque aussi la prsence dune
OU stockant les profils des applications ncessitant un compte utilisateur gnrique pour
accder lannuaire.
27/45

dc=changeme, dc=fr
OU=Users
OU= CISCO OU =
Contacts
OU = OU =
OU = Agents
OU = OU = OU = OU = OU = Entreprises collectivit
OU =
Ancienne Ancienne Ancienne Ancienne Ancienne s
Application Agent User1-
conserve conserve conserve conserve conserve LDAP profile
agentUser 1 agentUser 2 Correspondan

t externe
OU = OU =
Ancienne Ancienne
conserve conserve
CallerDetectiv ASTREt Interface Web Charmed
e
Serveur CallManag Unity I/F

XML er Adlministratio
n
Pointeur vers son profil CISCO
Figure 8 : Arborescence de lannuaire retenue
28/45

2.2.3.Mise en place dun annuaire

2.2.3.1.Maquette
Afin de se former Active Directory et en vue de prparer la mise en place de lannuaire, il

est dcid de raliser une maquette reproduisant au mieux lenvironnement du client. Cest
ainsi que nous avons install et configur un domaine dadministration Windows et un
serveur Exchange 2000. Nous avons rdig lensemble des procdures dinstallation et de
configuration afin que les connaissances accumules lors de ces tests ne soient pas perdues.
Cette participation au knowledge de lquipe ma permis daller plus loin que le simple
maquettage du systme du client, car ces connaissances pourront tre nouveau utilises dans
dautres missions
Ensuite, nous avons import les donnes de lannuaire du client dans la maquette. Nous
avons partiellement russi cette import car les schmas taient lgrement diffrents
(lidentifiant de groupe des listes de diffusion tait diffrent sur les deux systmes). De plus,
lexportation de lannuaire du client comportait des donnes systme dont limport est interdit
car il provoquerait la corruption de lannuaire. Nanmoins, nous avons jug que limportation
des donnes donnait un rsultat satisfaisant pour lusage de la maquette. Nous avons par la
suite loccasion dutiliser nouveau cette procdure dimport sur la maquette de la matrise
duvre du projet tlphonie sur IP.
Enfin, nous avons fait voluer cette maquette afin quelle puisse servir des dmonstrations
lors de prospections de nouveaux clients. Ainsi, nous avons mis en place un rseau bas sur
une fort et deux domaines dadministration Windows. Dans une fort, tous les annuaires
partagent le mme schma et chaque domaine possde un annuaire hbergeant une partie des
donnes des autres domaines. Ainsi, les utilisateurs peuvent sauthentifier en nimporte quel
domaine de la fort, cependant chaque domaine possde son administration propre. Une limite
de Microsoft Exchange 2000 impose de ne dployer quune seule organisation par fort, ce
qui implique une administration conjointe de la messagerie. Par manque de temps, je navais
pas document initialement cette installation et sa configuration, ce qui fit perdre du temps
la senior qui fit la dmonstration aux clients prospects en mon absence. Sil est utile
dapprendre de ses erreurs, la maquette a toutefois bien fonctionne et lobjectif de la
dmonstration a t atteint.
2.2.3.2.Migration
Dans un souci de scurit, on dcide que lopration de modification de lannuaire doit tre
rversible avec un minimum dinterruptions de service. En effet, bien que lextension de
schma et la rorganisation aient t pralablement testes sur maquette, on ne peut prendre le
moindre risque de bloquer lannuaire, ce qui bloquerait tout le rseau, de lauthentification
la messagerie, voire de perdre des donnes.
On objectera quil ne sagit que de cinq attributs et de la cration de quelques units

dorganisation, mais on ne peut exclure ni erreurs de manipulations ni les erreurs de
conception. En effet, linstallation de Microsoft Exchange 2000, du Call Manager de Cisco ou
29/45

de la messagerie Unity implique des extensions du schma de lannuaire bien plus

consquentes, mais il sagit de procdures standardises, automatises et utilises de
nombreuses reprises, permettant lallgement de la procdure de retour en arrire par rapport
celle que nous avons dveloppe dans ce cas prcis.
La procdure de migration dcrite ci-dessous permet de minimiser les dfauts de service

lors du retour en arrire suite un dysfonctionnement, alors que la procdure classique
provoque linterruption du service. Voici les diffrentes tapes de cette procdure :
Obtention des OID (Object Identifiers) auprs de Microsoft. En effet, chaque

attribut est identifi par un code unique selon la norme X500. Ces codes sont grs par
lISO (International Standard Organisation) qui attribue des prfixes aux organismes
qui en font la demande. Obtenir un prfixe nest pas une opration simple, mais
Microsoft possde le sien (1.2.840.113556) et octroie des sous-prfixes de son prfixe
sur simple envoi dun courrier lectronique. Cest la solution que nous avons
conseille au client afin de lui permettre dtendre son schma dans les rgles de lart.
Sauvegarde des donnes de lannuaire existant laide de Microsoft Backup.
Mise en place dun second contrleur de domaine/annuaire Active Directory. On

profite ici dun des grands avantages dActive Directory : la mise en place dune
topologie de rplication sur un rseau local est entirement automatique. On obtient
ainsi deux annuaires synchroniss. A noter que la configuration DNS de lentreprise
peut ncessiter une mise jour afin que les clients puissent trouver ce second
contrleur de domaine en temps normal comme en labsence du premier contrleur de
domaine.
Transfert du rle de matre de schma au second contrleur. En effet, mme si

Active Directory est multi-matre, cest--dire que tous les serveurs dun systme
acceptent les requtes de modification, certains rles sont attribus un seul serveur.
En particulier, les requte dextension de schma ne peuvent tre ralises que sur un
seul serveur. Il est important de laisser le temps la rplication entre annuaires de
seffectuer afin de navoir quun seul matre du schma ltape suivante.
Dsynchronisation du second contrleur de domaine par dconnexion physique du

rseau.
Sauvegarde des donnes de lannuaire sur le second contrleur de domaine.
Extension du schma sur le second contrleur de domaine utilisant le fichier LDIF

prpar auparavant. On peut soit lcrire la main, soit utiliser linterface graphique
dextension de schma sur une machine de test puis raliser un export de ce schma au
format LDIF. Microsoft dconseille fortement dutiliser linterface graphique en phase
de production. Lextrait de fichier prsent dfinit lattribut buildingName , utiliser
pour stocker le nom du btiment des utilisateurs. attributeID correspond lOID
de cet attribut.
30/45

dn: CN=CRPL-Building-Name,CN=Schema,CN=Configuration,DC=changeme
changetype: add
adminDisplayName: Building-Name
attributeID: 1.2.840.113556.1.8000.1333.1
attributeSyntax: 2.5.5.12
cn: Building-Name
instanceType: 4
isSingleValued: TRUE
lDAPDisplayName: buildingName
distinguishedName:
CN=Building-Name,CN=Schema,CN=Configuration,DC=changeme
objectCategory:
CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=changeme
objectClass: attributeSchema
oMSyntax: 64
name: Building-Name
schemaIDGUID:: MRos8u8MCUG+3BVLAqZkNQ==
systemOnly: FALSE
Figure 9 : Exemple de fichier LDIF dextension de schma
Rorganisation de larborescence selon le document de conception.
Dconnexion du premier contrleur de domaine puis reconnexion du second. Il

faut oprer dans cet ordre car linverse provoquerait une synchronisation non-
souhaite des annuaires, interdisant un retour en arrire rapide.
Test de bon fonctionnement avec le second contrleur de domaine. Par exemple,

test dauthentification, test de rcupration du courrier. La bonne configuration des
clients DNS est ici cruciale.
Dans le cas o aucun problme nest dtect :
Dconnexion du second contrleur de domaine puis reconnexion du premier.
Excution de la procdure authoritative restore sur le deuxime contrleur de

domaine. Cette procdure augmente le numro de version de tous les objets contenus
dans lannuaire, ce qui fait quils seront conservs sil y a des conflits de version lors
de la synchronisation avec le premier contrleur de domaine. Cette procdure
ncessite darrter le service dannuaire.
Reconnexion du deuxime contrleur de domaine. Aprs le temps de

synchronisation, vrification du conteneur Lost and Found de lannuaire dans
lequel se retrouvent les objets pour lesquels les conflits entre la version prsente dans
chaque annuaire nont pu tre rsolus.
31/45

En cas de problme ncessitant un retour en arrire :
Dconnexion du second contrleur de domaine puis reconnexion du premier.
Restauration de lannuaire initial sur le second contrleur de domaine avant de le

reconnecter. En effet, il est dconseill de ne jamais reconnecter un contrleur de
domaine sans lavoir auparavant dgrad au rang de simple membre du domaine, car
cela oblige capturer les rles mono-matres dont il disposait, ce qui ncessite larrt
du service sur un contrleur de domaine. A noter que ceci peut arriver en cas de
destruction physique dun serveur.
2.2.3.3.Interface homme-machine rudimentaire
Lopration de migration stant droule sans problmes majeurs chez le client, il entreprit
alors de complter lannuaire Active Directory partir des donnes habituellement prsentes
dans le trombinoscope/annuaire papier. Mais, force fut de constater que linterface de
Microsoft Utilisateurs et Ordinateurs ne permet pas daccder aux attributs
propritaires ni lattribut standard thumbnailPhoto utilis pour stocker les
photographies didentit des utilisateurs.
Heureusement, lors de la conception, nous nous tions pos le problme avant notre client, ce
qui mavait permis dtudier plusieurs solutions dont la plus simple tait la ralisation de
petits scripts en VBscript permettant dtendre linterface Utilisateurs et Ordinateurs
dActive Directory. A laide des quelques rares fonctions disponibles, jai pu raliser
rapidement une interface basique permettant un oprateur de saisir les donnes. Cette
interface tait une suite de fentres de la sorte de celle prsente ci-dessous (figure 10) que
lon ouvrait en cliquant sur un utilisateur dans larborescence de Utilisateurs et
Ordinateurs . Cela a permis de rsoudre dans lurgence le problme du client.
Figure 10 : Fentre de linterface graphique
Je remarque aussi que dvelopper cette interface a mis en vidence ce que je considre tre un
dfaut de conception : il a t dcid de stocker les noms de direction et de sous-direction
dans le mme attribut, ce qui est possible car certains attributs sont multivalus. Cest,
selon moi, un dfaut car cela complique beaucoup la rcupration et la modification des
donnes. Dans le cadre prcis dun organigramme, ce genre dattribut devrait tre utilis de
manire multivalue uniquement lorsque le nombre dchelons hirarchiques stocker est
variable dun utilisateur lautre, ce qui ntait absolument pas le cas pour ce client. A notre
32/45

dcharge, il faut dire que le client a modifi sa demande de besoins peu de temps avant la fin
de la conception.
Dans un deuxime temps, je me suis occup dune solution permettant dentrer les
photographies didentit et de les visionner. Cette solution devait tre rapide et peu
coteuse, la solution finale devant tre dveloppe par la suite.
Aprs recherche sur Internet et parmi les outils Microsoft, jai trouv un client LDAP capable
dexcuter de telles requtes de mise jour dimage. Jai ensuite trouv un autre client LDAP
qui sintgre lexplorateur de Windows et permet dafficher les images contenues dans
lattribut thumbnailPhoto .
La solution rpond encore une fois lexigence de rapidit formule par le client. Nous
lavons inform prcisment des inconvnients de cette solution dveloppe dans lurgence.
Le client LDAP pour insrer les photos nest autre que le client LDAP ldp.exe dvelopp
par et pour les quipes de test dActive Directory chez Microsoft. Il nest donc pas du tout
adapt lutilisation en production par un personnel non informaticien. Par exemple, il ny a
pas de limitation dans la taille du fichier insrer. On peut ainsi faire exploser la taille de
lannuaire par erreur. Lautre client LDAP est une vieille version gratuite dun logiciel de
Maxware aujourdhui payant. Le seul format dimage accept est le JPEG dans ses versions
antrieures aux JPEG 2000, comme jai pu lapprendre lorsque le client a essay dutiliser le
logiciel sans y parvenir. Malgr tout, vu les dlais, cette solution suffisait au client qui avait
dj prvu la date de la venue du prestataire charg dentrer les donnes.
33/45

2.2.4.Alimentation dun annuaire

2.2.4.1.Problmatique
Lannuaire mis en place, reste savoir qui va mettre les donnes jour et comment. Il faut
dfinir des responsables des donnes et mettre en place des procdures garantissant leur
mise jour notamment en cas de dpart ou darrive de personnel. La gestion de cet aspect
organisationnel est ncessaire et pose souvent plus de problmes que la technique elle-mme.
Lalimentation de lannuaire reprsente une somme de travail supplmentaire pour les
directions qui vont sen charger. Cest pourquoi, il est ncessaire de les informer en parallle
des avantages dune bonne organisation de lannuaire, telle que la mise disposition de
donnes jour et de qualit.
En rgle gnrale, plusieurs solutions existent au problme de lalimentation des annuaires :
Elaboration dun document tablissant des procdures manuelles nommant des

responsables qui schangent des courriers lectroniques et entrent chacun une partie
des donnes dans lannuaire Active Directory.
Utilisation dun mta-annuaire permettant de synchroniser les diverses bases de

donnes dans lesquelles sont aujourdhui stockes les donnes avec Active Directory.
Utilisation dannuaires virtuels prsentant des vues dun utilisateur regroupant des
donnes issues des diffrentes bases de donnes aujourdhui existantes.
Utilisation dune application ddie la gestion des flux dalimentation de

lannuaire. Cette solution peut se rapprocher du mta-annuaire car cette application
peut mettre jour des informations dans diffrentes bases de donnes.
2.2.4.2.Cas du client
Dans le cas du client, la solution du mta-annuaire est considre comme trop lourde mettre
en place et la solution des annuaires virtuels nest pas souhaitable car on souhaite progresser
vers un annuaire unifi. De plus, ces solutions ne rsolvent pas le problme organisationnel de
la gestion de larrive ou du dpart dun employ. Celle-ci doit tre amliore afin de
diminuer la charge dadministration du systme pour les services informatiques et assurer une
meilleure scurit en supprimant de manire certaine les droits des collaborateurs ds leur
dpart.
Le problme organisationnel a t trait par un autre service de Ernst & Young, appel
Entrepreneur Conseil car spcialis dans le conseil des structures de moins de 500
personnes. Il a attribu la responsabilit de chaque donne un service dtermin et a dfini
un flux fonctionnel darrive et de dpart dun employ. Voici par exemple le flux darriv
dun employ tel que lont dfini ces consultants :
34/45

Ressources Comm. Service Serv. d Admin.

Informatique Oprateur
Humaines Interne intrieur appartenance fonctionnel
(suprieur Astre
hirarchique)
Contrat
Signature
de travail
Cration dans
lannuaire
Max. le 10
du mois de
lembauche
Saisie des
Informations Max. le 10 Dfinition
SEDIT du mois de Prise en Prise en Prise en
Du profil
lembauche charge charge charge
utilisateur
Vrifier si lagent Validation

Saisie Saisie Saisie
nest pas dans Du profil
lannuaire (retour utilisateur
de suspension)
Saisie
Du profil
Figure 11 : Flux fonctionnel darrive dun collaborateur
On constate que ce flux nest pas complet. En effet, nul ne dit dans quel ordre les donnes
doivent tre cres dans lannuaire. Parmi les dpendances, on peut citer lvidence quil est
ncessaire que lutilisateur soit cr pour que ses attributs puissent tre entrs. On voit aussi
que les services informatique qui sont aussi en charge de la tlphonie, ne pourra pas attribuer
un numro de tlphone lutilisateur tant que le service intrieur naura pas renseign la
localisation de son bureau. Enfin, ce flux ne propose pas toutes les validations ncessaires. En
effet, il est prfrable que le manager du nouveau collaborateur valide les donnes
renseignes son propos et puisse informer le nouveau collaborateur de lavance de son
dossier.
Ces quelques remarques faites, nous choisissons lorganisation prsente dans la figure 12
non valide par le client qui servira ventuellement ultrieurement de base ltablissement
dun cahier des charges technique. On remarque que les tapes du niveau 3 sont
conditionnes par les tapes 2b et 2c, cest--dire :
La nomination du manager par les ressources humaines, car celui-ci doit bien
videmment tre nomm pour pouvoir valider les tapes du niveau 3.
La cration effective de lentre dans lannuaire par les services informatiques, car il
est impossible de renseigner des attributs supplmentaires sur une entre qui na pas
encore t cre dans lannuaire.
Les flux de modification et de suppression des entres sont conus suivant le mme modle.
35/45

2a- Communication 3a- Manager

interne
Validation de
Photo didentit la photo
2b- Ressources H.
Donnes lies
lorganisation dont le 3b- Manager
manager
Validation des 4a. Admin. 6- DSIM
donnes lies 5a- Manager
1-Ressources H. 2c- Informatique Astre
lorganisation et Validation
Validation du
Prnom et Nom Donnes lies au au systme Cration du finale par
profil Astre
systme et la profil Astre la DSIM
Vrification de Dfinition du
messagerie
lexistence du profil Astre
collaborateur Vrification de la
dans la base prsence dun
homonyme et cration
de lentre de
lutilisateur dans
lannuaire
Lgende
Acteur 2d- Service intrieur 3c- Manager 4b- Informatique 5b- Manager
Donnes Donnes lies la Validation de Donnes lies Validation de

renseignes localisation physique la localisation la tlphonie la tlphonie
Autres actions
Figure 12 : Flux technique darrive dun collaborateur
2.2.4.3.Les logiciels de gestion des flux dalimentation
Dans le but de vendre laccompagnement de la matrise douvrage sur le projet

dimplmentation du flux dcrit pralablement, nous tudions les progiciels proposs par
Calendra (Calendra Directory Manager) et Computer Associates (eTrust Admin). Le
dveloppement dune solution spcifique est aussi tudi. Cest finalement cette solution qui a
t retenue.
Il apparat trs rapidement que eTrust Admin nest pas adapte aux besoins du client.
Cest un outil trs puissant capable dadministrer de grandes quantits dutilisateurs selon des
profils dfinis lavance dans de multiples systmes (par exemple un compte Windows et un
compte Unix en mme temps). Il est surtout utilis par de grands groupes franais pour grer
les comptes utilisateurs. Sa gestion des flux dalimentation est plus que rduite, du moins dans
la version qui nous a t prsente, puisque le seul flux possible est la saisie de donnes par
une premire personne suivie de n validations successives par des managers, suivies elles-
mmes dun certain nombre de passages successifs entre les mains de divers administrateurs
chargs de raliser les oprations. Bref, une organisation linaire.
A la prsentation, Calendra Directory Manager semble fonctionnellement beaucoup plus

intressant. Cest lorigine un progiciel de gestion dannuaire (cration, modification,
suppression et consultation dentres) bas sur un serveur TomCat-J2EE. Il permet de crer
ses propres vues sur lannuaire assez simplement. Il permet dailleurs de grer de manire
satisfaisante les photos didentit qui mavaient pos problme auparavant. Le progiciel
36/45

propose en outre un module pour implmenter des flux dalimentation qui convient trs bien
au modle prcdemment expos.
Je suis donc charg de cette implmentation en vue de raliser la maquette destine au choix
entre les solutions, le cabinet nayant ni lorganisation ni la structure pour devenir diteur.
Limplmentation du flux se droule sans problme, car un environnement graphique permet
dtre trs proche de la modlisation :
Figure 13 : Flux dans Calendra Directory Manager
On dfinit aussi de manire simple quels attributs sont en lecture seule, en modification ou
obligatoirement remplis chaque tape, puis on compile lapplication ce qui gnre la fois
les formulaires web, le moteur du flux et la base XML ncessaire au stockage des
informations temporaires. Toutefois, rien nest fait automatiquement pour programmer
lcriture dans lannuaire quelque moment que ce soit. Il faut pour cela crire des
mthodes en java qui sont excutes lorsquune tape est valide. Ces mthodes utilisent les
interfaces de programmation de Calendra afin daccder lannuaire sous-jacent, en
loccurrence Active Directory. Cette interface avec Active Directory est sensible car Active
Directory nimplmente pas le protocole LDAP parfaitement et CDM na pas t
spcialement conu pour fonctionner avec. Cest pourquoi, aprs une semaine deffort et de
tests, je ne suis parvenu crire dans Active Directory partir de CDM que de rares fois et
nous avons d nous rabattre sur un flux beaucoup plus simple pour la dmonstration. Cela
nous a permis de comprendre que ladaptation du progiciel une situation donne ncessitait
lintervention de dveloppeurs forms CDM.
De toute manire, en contrepartie de sa puissance et de sa flexibilit, CDM tait trop

onreux pour lusage quen ferait le client, cest pourquoi on soriente vers un
dveloppement spcifique pour implmenter les flux dalimentation de lannuaire.
37/45

2.3.Assistance laudit financier
2.3.1.Objectifs et moyens
A la suite de longues ngociations internes, un protocole de mission a t sign entre le ple
service TSRS et lassoci commissaire au compte de lentreprise audite. Ce protocole
prvoyait la mise jour de la cartographie du systme dinformation et lanalyse des
tats de stocks. Fort heureusement, le primtre tait ds le dpart restreint au module de
gestion des stocks du progiciel en place : SAP MM (Material Management).
Lquipe TSRS tait compose de trois personnes :
Une manager, dont le rle devait en thorie se limiter une supervision de la mission,
lencadrement oprationnel tant assur par le manager de lquipe daudit financier.
Une senior qui avait reu une formation de base SAP.
Un stagiaire pour assister la senior, en loccurrence moi-mme.
Le budget allou tait confortable. Cela permit la manager de travailler activement sur le
dossier. Cela fut dautant plus utile que la mission initiale ne devait durer quune semaine,
alors quil en fallut une deuxime pour exploiter les rsultats.
2.3.2.Comprhension de la gestion des stocks

Les diffrents entretiens raliss nous ont permis de comprendre les processus de gestion des
stocks. Nous avons ensuite labor puis fait valider une cartographie du systme
dinformation de lentreprise dont un extrait est prsent dans la figure 14.
Cette cartographie met en vidence lhtrognit des systmes. En effet, la production

utilise des applications spcifiques chaque usine qui sont trs peu interfaces avec les
diffrents modules de SAP. De plus, on constate que la valorisation des stocks est effectue
dans des feuilles Excel. Ainsi, cette valorisation est une zone de risque leve o les
contrles informatiques sont quasi-inexistants.
38/45

39/45

40/45

Acirie SAP R/3 4.6C Tuberie
MM
Rception ferraille GP/GF
PAF Donnes relles
Gestion des stocks production Gestion production
Suivi prlvement Ferrailles, consommables, Suivi stocks MP,
en quantit et par pices rechange, MP encours et PF
Consommation
nature en quantit
ferrailles
Qts
CO
Quantits
Gestion du budget Macros Excel
GPAO
Gestion Valorisation MP
Gestion production
prodution Donnes relles production Calcul des carts
Suivi conso. ferraille sur cots de production (mtal) au standard
quantit PF + expd. entre rel et budget
Excel
carts budgtaires
Facture
Valo. MP avec
Quantits FI Acirie
carts achats mtal
critures
Excel critures comptables de stocks DBase
Valorisation stocks Ventes Valorisation encours
Produits finis et PF au standard
Facture
Mtal -sur la base des prix
standards des PF critures de stocks
carts budgtaires
- puis avec intgration SD Excel
carts achat mtal + critures de stocks Valo.encours et PF
Facturation client
carts budgtaires au rel
Expditions clients
Base tarifaire
(prix de vente et prix de Expditions clients
ERP Flux automatique Document revient budgt)
Application de gestion de papier
Flux semi-automatique
la production
Autres applications Flux manuel Lgende
Figure 14 : Cartographie applicative de lentreprise audite
2.3.3.Anomalies trouves.
Les rsultats obtenus sont lchelle de la difficult de la tche de lauditeur. En effet, outre
les difficults de comprendre le systme, analyser les donnes des tats de stocks ncessite de
pouvoir raliser des extractions des systmes correspondants. Or, seules les pices de
rechange et les consommables ainsi que les ferrailles sont gres de manire centralise
dans le progiciel de gestion SAP. Le reste des matires premires ainsi que les produits
semi-finis et finis sont grs dans des systmes spcifiques chaque usine. Cest pourquoi
nous avons d nous restreindre analyser les donnes issues de SAP, ce qui tait fort
heureusement en accord avec le protocole sign, mme si on pensait lpoque que tous les
stocks taient grs dans SAP.
Parmi les anomalies releves dans le rapport daudit, les plus intressantes concernaient les
stocks de pices de rechange rpares. En effet, il est difficile de les valoriser. La rgle de la
firme est de leur attribuer une valeur comptable nulle, mais cette rgle pourrait bien tre
remise en cause. Les enjeux ne sont pas ngligeables car la valeur des objets quivalents neufs
est suprieure 2 millions deuros. Nous avons aussi pu relever une application diffrente
des rgles de dprciation des stocks peu utiliss entre les diffrentes usines, en dsaccord
avec la rgle de la firme.
41/45

2.4.La scurit des systmes dinformation
2.4.1.Sources de progrs
Mdiatise depuis quelques annes par les attaques russies de pirates informatiques, la
scurit des systmes dinformation fait lobjet dune rflexion de la part des entreprises. Elle
se dfinit comme lassurance que chacun puisse avoir accs aux donnes auxquelles il doit
avoir accs (disponibilit et intgrit) sans avoir accs aux autres (confidentialit).
La rflexion a men une normalisation de la gestion de la scurit des systmes

dinformation dans la norme ISO 17799 qui ressemble un recueil de bonnes pratiques.
Parmi dautres thmes, elle propose de dfinir dans un document la politique de scurit de
lentreprise, elle dfinit le rle de responsable de la scurit des systmes dinformation
(RSSI), elle dfinit des procdures doctroi de droits daccs logiques et physiques des
utilisateurs. Elle sintresse peu la technique se contentant par exemple de dire quil faut
appliquer les mises jour de scurit des logiciels dont on dispose. Lapplication de cette
norme dans une organisation ncessite de dcliner chacun de ses thmes dans un plan
daction pour parvenir au niveau de scurit voulu. Il faut donc du discernement dans la
conception dune politique de scurit pour arriver ce niveau et non au-del, ce qui est
coteux et contre-productif pour lentreprise.
Au-del de cette norme, pour valuer la scurit des entreprises, Ernst & Young possde une
structure capable de raliser des audits de scurit. Ceux-ci peuvent consister en une visite
de lentreprise et une srie dentretiens, mais ils peuvent aussi tre raliss par le biais de tests
dintrusions. Dans tous les cas, il faut obtenir des preuves daudit. Les tests dintrusions
peuvent tre logiques. Dans ce cas, des auditeurs sont charger dattaquer une entreprise par
son accs Internet, son rseau Wifi ou des modems rests allums. Les tests peuvent aussi tre
physiques, avec des intrusions suivis du piratage du rseau depuis lintrieur de lentreprise.
Les techniques dites de social engineering sont aussi pratiques. Elles consistent par
exemple obtenir des renseignements en tlphonant des collaborateurs de lentreprise.
Dans le but de raliser ses missions et de montrer son expertise, le cabinet possde Paris un
laboratoire de scurit dont lorganisation reprend les bonnes pratiques de la norme ISO. On
y trouve deux sous-ensembles. Dun cot, ceux qui conoivent les solutions de scurit
possdent des serveurs des fins de maquettage. Cest dans cette quipe que je me suis
trouv. De lautre, ceux qui attaquent les clients possdent un ensemble de machines dattaque
plac sur un rseau indpendant du reste de la firme et sur lequel le trafic est enregistr des
fins lgales prouver que les auditeurs ne sont pas sortis de leur mandat et surtout que les
disfonctionnements des rseaux des clients ne sont pas dus aux attaques.
42/45

2.4.2.La gestion des projets de scurit

2.4.2.1.Spcificits
A la suite dun audit, des recommandations sont faites. Elles peuvent tre issues de bonnes
pratiques mettre en place comme de vulnrabilits identifies lors de tests. Elles sont
souvent assez nombreuses, ce qui oblige mettre en place une organisation pour les suivre.
De plus, un projet peut mettre en place plusieurs recommandations, et une recommandation
peut tre couverte par plusieurs projets. Enfin, la scurit dun systme tant celle de son
point le plus faible, il est important dtre exhaustif dans les rponses apportes. Cest
pourquoi, un outil de gestion des projets de scurit peut lui-mme tre intgr dans la
politique de scurit de lentreprise. Son utilisation sappuie sur une organisation dj
prsente, permettant notamment de valider la conformit des projets avec la politique de
scurit de lentreprise.
Toutefois, la gestion des projets de scurit nest pas de la gestion de projet. Le but nest pas
de crer un outil de gestion des plannings et des charges de travail. On se contentera dvaluer
la charge de travail et le cot des projets.
2.4.2.2.Solutions apportes par le logiciel dvelopp
Loutil est organis de la manire suivante : A des faiblesses identifies chez le client ou des
bonnes pratiques non mises en place, on rattache une ou plusieurs recommandations sur
une organisation mettre en place ou des modifications apporter des systmes. Une
recommandation peut couvrir plusieurs faiblesses et rciproquement. Enfin, on cre des
projets qui peuvent recouvrir plusieurs recommandations afin de les mettre en place. Pour
une plus grande souplesse, les recommandations peuvent tre couvertes par plusieurs projets.
Ces projets se dcoupent eux-mmes en tapes chronologiques dcrivant leur mise en uvre.
Enfin, des tats permettent dobtenir de visualiser les recommandations non couvertes,
lavancement des projets ou la charge de travail par responsable de projet. Lorganisation
descendante de loutil est illustre par lcran daccueil du logiciel dont on peut voir une
capture dcran dans la figure 15.
Dans le cadre de ce projet, une rflexion a t mene afin dintgrer un outil, dvelopp dans
Excel permettant dvaluer la scurit du systme dinformation dune entreprise en attribuant
une note de ralisation chacune des bonnes pratiques dcrites dans la norme ISO 17799.
Finalement, cette solution na pas t retenue afin de ne pas trop compliquer loutil. De plus,
il est apparu souhaitable de ne pas automatiser le passage du diagnostic la
recommandation, car cest l que se situe la valeur ajoute de laudit. Par contre, les outils
permettant des audits de scurit automatiques sont toujours trs apprcis. Ils permettent par
exemple dexplorer des rseaux ou de gnrer automatiquement des rapports illustrant la
proportion de mots de passe dchiffrs. Ces outils ne sont toutefois utilisables que par des
spcialistes car il faut toujours sadapter dune manire ou dune autre lenvironnement du
client.
43/45

Figure 15 : Capture d'cran de l'outil de gestion des projets de scurit
44/45

Conclusion
En conclusion, au cours de ces cinq mois passs dans un cabinet daudit, jai abord une
varit de missions qui permettent daborder la vie active dun il nouveau. Ce stage est un
pont entre mes tudes et le monde du travail : il ma permis de commencer convertir les
annes de formation gnrale en comptences oprationnelles, par exemple dans le domaine
des annuaires dentreprises.
Grce lui, jai pris conscience de certains de mes atouts. Ainsi, jai fait preuve de capacit
dadaptation lors de la mission daudit des stocks qui a dur deux semaines. Il ma fallu
madapter et tre oprationnel trs rapidement dans un contexte totalement inconnu. Jai aussi
appris sur mes capacits apprhender des environnements complexes en ciblant
linformation dans une masse de la documentation, en particulier pour analyser les besoins en
matire dannuaire dentreprise du client. Enfin, jai montr un got prononc pour la
modlisation de problmes complexes, travers la formalisation UML utilise lors de la
conception du mme annuaire dentreprise.
Au final, lenvironnement dynamique du cabinet ma permis dacqurir des connaissances

tout en dveloppant mes atouts. Ainsi, jai affin mon projet professionnel : je recherche
aujourdhui dvelopper mes comptences en modlisation de problmes complexes en
morientant vers la recherche oprationnelle. Je recommande une telle exprience en cabinet
toute personne souhaitant avoir un aperu large du monde des systmes dinformation dans un
environnement dynamique. Cet environnement lui donnera lopportunit de dcouvrir ses
atouts travers la varit des missions quil rencontrera.
45/45

Table des figures

Figure 1 : Implantations internationales du cabinet Ernst & Young..........................................7
Figure 2 : La palette des services du cabinet Ernst & Young en France....................................8
Figure 3 : Mandat de commissaire au compte des grands cabinets daudits en France..............8
Figure 4 : Cas d'utilisation de l'annuaire...................................................................................23
Figure 5 : Cas d'utilisation par l'administrateur de lannuaire..................................................24
Figure 6 : Diagramme de classe des applications.....................................................................25
Figure 7 : Diagramme de classe des utilisateurs et des contacts...............................................26
Figure 8 : Arborescence de lannuaire retenue.........................................................................28
Figure 9 : Exemple de fichier LDIF dextension de schma....................................................31
Figure 10 : Fentre de linterface graphique.............................................................................32
Figure 11 : Flux fonctionnel darrive dun collaborateur ......................................................35
Figure 12 : Flux technique darrive dun collaborateur .........................................................36
Figure 13 : Flux dans Calendra Directory Manager.................................................................37
Figure 14 : Cartographie applicative de lentreprise audite....................................................41
Figure 15 : Capture d'cran de l'outil de gestion des projets de scurit..................................44
46/45

Remerciements
Je tiens remercier tout particulirement :
Marc Ayadi pour les encouragements dispenss tout au long du stage, et la relecture
attentive du rapport,
Delphine Zberro et Fabrice Groseil pour leur soutien au quotidien,
Patrice Kalfon et Olivier Meullemeestre, qui mont retenu aprs les entretiens de
slection, mais avaient dj quitt le navire mon arrive,
Jean-Marc Saglio pour son engagement au service des lves,
Et toutes les personnes avec lesquelles jai travaill durant ce stage pour leur bon
accueil.
47/45

Omont Ayadi 04 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Omont Ayadi 04 PDF

Загружено:

Авторское право:

Доступные форматы

Ecole nationale suprieure Ernst & Young

des tlcommunications Ple service technology &

Travaux daudit et de conception au

1er septembre 2003 30 janvier 2004

Correspondant de stage : Matre de stage :

1. Conception et implmentation dun annuaire Active Directory pour une collectivit

o Etude des besoins fonctionnels et de contraintes techniques

o Elaboration du schma et de larborescence de lannuaire.

Assistance la mise en place de cet annuaire dentreprise:

o Ralisation dune plate-forme de test ;

o Rdaction de procdures dinstallation ;

o Etude et ralisation de scripts pour la migration des donnes.

Conception et dveloppement dune solution de gestion des flux dalimentation

3. Amlioration dun outil de gestion des projets de scurit des systmes

Table des matires

Table des matires......................................................................................................................3

1.2.1. Prsentation gnrale................................................................................................7

1.2.2. Contexte ...................................................................................................................9

1.2.4. Prsentation du ple service TSRS.........................................................................10

1.2.4.1. Prsentation gnrale.......................................................................................10

1.3. Droulement du stage : vue gnrale.............................................................................12

1.3.3. Travaux raliss......................................................................................................14

1.3.3.1. Conception et assistance la mise en place dun annuaire dentreprise..........14

1.3.3.2. Amlioration dun outil de gestion des projets de scurit..............................16

1.3.3.3. Assistance au commissariat au compte............................................................17

1.3.3.4. Identification de cibles pour une enqute........................................................18

1.3.3.5. Semaine de formation......................................................................................18

2.1. Synthse des travaux effectus.......................................................................................19

2.2. Les annuaires dentreprise..............................................................................................20

2.2.1. Introduction aux annuaires......................................................................................20

2.2.1.3. Utilisation par les entreprises...........................................................................20

2.2.1.4. Mta-annuaires et annuaires virtuels................................................................21

2.2.1.5. Enjeux pour la scurit.....................................................................................22

2.2.2. Conception dun annuaire un cas dtude............................................................22

2.2.2.1. Cadre de la mission..........................................................................................22

2.2.2.2. Cas dutilisation...............................................................................................23

2.2.2.3. Le schma et larborescence............................................................................27

2.2.3. Mise en place dun annuaire...................................................................................29

2.2.3.3. Interface homme-machine rudimentaire..........................................................32

2.2.4. Alimentation dun annuaire....................................................................................34

2.2.4.2. Cas du client.....................................................................................................34

2.2.4.3. Les logiciels de gestion des flux dalimentation..............................................36

2.3. Assistance laudit financier.........................................................................................38

2.3.1. Objectifs et moyens.................................................................................................38

2.3.2. Comprhension de la gestion des stocks.................................................................38

2.3.3. Anomalies trouves.................................................................................................41

2.4. La scurit des systmes dinformation.........................................................................42

2.4.1. Sources de progrs..................................................................................................42

2.4.2. La gestion des projets de scurit...........................................................................43

2.4.2.2. Solutions apportes par le logiciel dvelopp..................................................43

Table des figures......................................................................................................................46

Cette attente a t satisfaite car jai t au contact de diffrents interlocuteurs : directions

Ce stage ma aussi apport de bonnes connaissances dans le domaine des annuaires

Affinement du projet professionnel

Toutefois, bien que lexprience ft globalement intressante, en contrepartie de

Figure 1 : Implantations internationales du cabinet Ernst & Young

Figure 2 : La palette des services du cabinet Ernst & Young en France

Figure 3 : Mandat de commissaire au compte des grands cabinets daudits en France

Dans le cas du commissariat au compte, ce sont eux qui endossent la responsabilit de

1.2.4.Prsentation du ple service TSRS

1.3.Droulement du stage : vue gnrale

Type de prestation Volume horaire

Type de prestation Volume horaire