Вы находитесь на странице: 1из 80

Dedicace

Jai le grand plaisir de ddier ce travail en tmoignage daffectation et de reconnaissance


A mes parents,
Pour votre amour, votre affection, vos prires et vos conseils Que ce travail
Soit le fruit de toutes vos peines et vos sacrifices.
Acceptez ce travail comme tmoignage de lestime, le respect et le grand
Amour que jprouve pour vous.
A mes frres et surs,
Symboles de fraternit, de soutien et dencouragement En tmoignage
Mon profond respect et affection. A toutes ma famille
Avec toutes mes affections,
Et mes souhaits de bonheur et de russite.
A tout (es) mes fidles ami(e) s,
Que notre amiti puisse durer ternellement. Puisse ce travail vous exprime
Mes souhaits de succs.
A tous ceux qui me soutiennent encore,
A tous mes professeurs, A tous mes amis, A tous le personnel de centre de calcul,
toute personne qui mayant consacr un jour, un moment
De sa vie pour maider me conseiller, mencourager ou simplement me sourire,
Mounia
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Remerciement

Ma reconnaissance va tout d'abord M. Youssef BAGUI qui a bien voulu mencadrer. Grce
sa disponibilit et sa volont, jai pu surmonter certains obstacles.
Mes remerciements vont galement aux enseignants du dpartement informatique de la
facult des sciences et techniques de SETTAT pour leurs prcieux enseignements. Je tiens
remercier particulirement le Coordonnateur du MASTER RESEAUX ET SYSTEMES M.
NASSERDDINE pour leurs prcieux conseils et leur dvouement pour le bon droulement de
notre formation.
Ce travail tant le fruit d'un stage de six mois au sein de l'entreprise SIGMATEL je tiens
exprimer ma profonde gratitude MR Oualid TAHAOUI directeur de la BU rseaux et
systmes pour sa disponibilit et ses conseils permanents.
Je remercie galement Mme ZAYDI Hayat chef service du parc informatique de lENIM, pour
son soutien financier et moral tout au long de mes tudes.et pour lopportunit qui ma
offerte pour raliser une mission daudit au sein des locaux de lcole.
Je remercie tous les tudiants de MASTER RESEAUX ET SYSTEMES pour leur esprit de
fraternit et de partage tout au long de cette formation.

1
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Rsum

Ce projet porte sur laudit de scurit des systmes dinformation, ce prsent rapport est la
synthse dune mission daudit que jai men avec lquipe SIGMATEL pour le compte de
lEcole Nationale de lIndustrie Minrale(ENIM).

Celle mission se dcompose en plusieurs phases, chacune delles comporte plusieurs


activits. La premire tape consiste en laudit organisationnel et physique, je mintressais
ici aux aspects de gestion et dorganisation de la scurit, sur les plans organisationnels,
humains et physiques, afin davoir un aperu global de niveau de scurit de lorganisme
selon la norme ISO 27002.

La deuxime tape consiste en laudit de scurit technique du systme informatique de


lcole, pour le mener bien jai commenc par la collecte dinformation sur le rseau de
laudit, pour ce faire jai fait un audit darchitecture pour tracer la topologie rseau, puis
jai fait un scan de ports pour savoir les ports ouverts, galement jai effectu un scan de
vulnrabilits pour mettre nu les failles et les brches du systme informatique, et pour
savoir la robustesse de ce systme et son degr de rsistance toute ventuelle attaque, jai
effectu un test dintrusion dont jai exploit toutes les vulnrabilits dcouvertes durant les
prcdentes phases.

La dernire tape consiste en la proposition de diffrentes recommandations


organisationnelles et techniques pour prmunir le systme dinformation de lcole.

2
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Abstract

This project focuses on security auditing information systems, this report is a synthesis of an
audit I conducted with the team SIGMATEL on behalf of the National School of Industry
mineral (ENIM).

This mission is divided into several phases, each of which includes several activities. The first
step is the organizational and physical audit, I was interested here in the aspects of
management and organizational security, both organizational, human and physical, to get an
overview of security level the body according to ISO 27002.

The second step in the security audit system technical school computer to complete it I started
collecting information on the network of the audited to do this I made an audit architecture to
draw the network topology, then I did a port scan to find open ports, also I did a scan of
vulnerabilities to expose the flaws and loopholes in the system, and to know the robustness of
the system and its degree of resistance to any possible attack, I did a penetration test which I
used all the vulnerabilities discovered during previous phases.

The last step consists in the proposal of various organizational and technical
recommendations to protect the information system of the school.

Table des matires


3
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Liste de figures :

Figure 1 : Organisation du groupe SIGMATEL .10

Figure 2 : Organigramme du comit de direction de SIGMATEL10

Figure 3 : Organigramme du pole commerciale de SIGMATEL...11

Figure 4 : Organigramme du pole technique de SIGMATEL11

Figure 5 : Cycle de vie dun audit de scurit............................................17

Figure 6 : Les phases daudit de scurit18

Figure 7 : Normes de la famille ISO 27000.23

Figure 8 : Organigramme de lENIM.30

Figure 9 : La MAP rseau de laudit(ENIM)31

Figure 10 : La topologie logique de laudit32

Figure 11 : Automatisation du traitement de questionnaire.33

Figure 12 : Histogramme de niveau de scurit de lENIM..34

Figure 13 : Interface de Backtrack 5R1..44

Figure 14 : Initialisation de NESSUS..46

Figure 15 : Connexion au service NESSUS46

Figure 16 : Lancement du scan du rseau .47

Figure 17 : Rapport de vulnrabilits de NESSUS47

Figure 18 : Scan de rseau 192.168.1.0 avec NMAP..49

Figure 19 : La mthodologie dune attaque selon CEH.51

Figure 20 : Console daccueil de METASPLOIT...53

Figure 21 : Attaque russi, connexion distance tablie.54


4
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Introduction gnrale :

La scurit des systmes dinformation constitue un domaine qui a toujours t


dactualit, encore plus de nos jours vu les mutations et avances permanentes qui surviennent
dans le monde des technologies de linformation. Garantir la scurit dun systme
dinformation nest pas une tche ponctuelle. Elle constitue un processus continue et cyclique
qui seffectue autour des points suivants :

La protection : Dfinir nos ressources sensibles protger ainsi que les mcanismes de
protection.
La dtection : Dtecter les failles aux quelles sont exposes nos ressources.
La raction : Dfinir les solutions mettre en place pour la correction.
La rvision : Sassurer que nos correctifs ne sont pas en conflit avec les politiques de
scurit dj en place et sy intgrent parfaitement.

Un moyen pour suivre la scurit dun systme dinformation de faon continue est
deffectuer un audit de scurit des systmes dinformation de faon priodique. Cest dans ce
contexte que sinscrit ce projet qui vise laudit du systme dinformation de lcole nationale
dindustrie minrale (ENIM).

Pour se faire, je prsenterai certains concepts cl de laudit des systmes


dinformation, ainsi que lorganisme cible (laudit). Par la suite, jentamerai ma mission
daudit par laudit organisationnel et physique, ensuite laudit technique. Enfin ma mission
daudit sachvera par un ensemble de recommandations visant amliorer la scurit du
systme dinformation de lENIM et palier aux ventuelles lacunes et insuffisances.

5
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Chapitre I : Contexte et prsentation du projet

6
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

I. Prsentation de lentreprise daccueil


1. Le Groupe SIGMATEL

SIGMATEL est l'interlocuteur de rfrence dans lintgration dinfrastructures de


communication scurises au Maroc. Fruit d'une prsence affirme sur le
march, SIGMATEL a dvelopp depuis sa cration en 1991 une expertise de pointe en
matire de conception, dintgration et dexploitation de solutions de communication, et ceci,
dans les domaines de la voix, des donnes, des images, de la vido et des applications de
mobilit et de scurit.

Alors que la tendance dominante cette poque chez les socits tlcoms tait de se
spcialiser exclusivement dans un des mtiers, savoir la voix ou les donnes, SIGMATEL a
choisi de miser sur les deux technologies en mme temps, anticipant lavenir de la
convergence Voix et Donnes. Le rsultat de ce choix se justifie par une longue et solide
expertise en convergence qui ft couronne par un partenariat avec AVAYA, lun des leaders
mondiaux de la Tlphonie et des Centres dAppels.

A ce titre, SIGMATEL se prsente aujourd'hui comme lun des leaders marocains de


lintgration Voix et Donnes. Sa force rside dans son positionnement d'interlocuteur unique
dans lintgration dinfrastructures de communication scurises. Ainsi le groupe contient
deux socits qui appartiennent au secteur des TIC :

7
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 1 : Organisation du groupe SIGMATEL

2. Organisation interne du Groupe SIGMATEL

Le comit de direction du groupe est organis comme suit :

8
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 1 : Organigramme du comit direction du groupe SIGMATEL

Lorganigramme du Groupe SIGMATEL est constitu de 2 ples : ple commerciale et


technique Le ple commercial est organis comme suit :

Figure 1 : Organigramme du ple commercial du groupe SIGMATEL

Le ple technique est organis comme suit :

9
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 1 : Organigramme du ple technique du groupe SIGMATEL

Ce stage a t effectu au sein du dpartement Ralisations du ple technique, qui soccupe de


la ralisation des projets chez les clients.

3. Prsentation du projet et des tches ralises :

Le projet daudit de scurit du systme dinformation de laudit que doit mener SIGMATEL
sinscrit dans une vision global de complmentarit par rapport un projet prcdent : un
appel doffre pour la mise niveau et la refonte du rseau local de lENIM.

A lissue de ce projet, SIGMATEL sest engag offrir au soumissionnaire un rapport daudit


en guise de gage dune bonne ralisation de lAO, ce qui sera aussi une base pour
llaboration dun contrat de maintenance moyenne dure avec la mme entreprise Cet audit
sera dcoup en phases cohrentes et chronologiquement logiques, commencer par un audit
organisationnel et physique pour avoir une vue global de la scurit au niveau organisationnel,
physique et humain.

La deuxime activit consiste en laudit technique du systme informatique afin de dceler


toutes les vulnrabilits et les brches de la scurit.

10
Audit de scurit des systmes
dinformation

Lauditeur doit tudier et proposer une prestation daudit de scurit visant


Mission daudit de scurit de systme dinformation de lENIM

valider les moyens de protection mis en uvre sur le plan organisationnel et


technique, au regard de la politique de scurit.

4. Primtre de laudit :

Laudit que je vais effectuer tiendra pour cible le rseau de management de lcole Il sera
question dauditer larchitecture rseau, des postes de travail et serveurs et deffectuer des
tests intrusifs sur base dventuelles vulnrabilits qui seront dtectes lors de laudit en la
matire.

Chapitre II : Mission daudit de scurit des


systmes dinformation

11
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Introduction :

Les entreprises ou organismes ne sont plus constitus de nos jours dune entit, mais
reparties en plusieurs entits distantes qui changent entre elles des informations. La scurit
de leurs systmes dinformation en gnral et de leurs rseaux informatiques en particulier est
dune importance capitale pour assurer le bon fonctionnement de leurs activits. Cest dans ce
contexte quest introduit laudit de scurit des systmes dinformations. Il est un moyen de
garantir la scurit des systmes dinformation.
12
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Le chapitre premier prsente le droulement de laudit de scurit des systmes


dinformation, les normes sur lesquelles il peut se baser, ainsi que mon cadre de travail. Mais
au premier lieu, jvoquerai ce que reprsente laudit de scurit des systmes dinformations
au Maroc.
I-1 Audit de scurit des systmes dinformation au Maroc :
Au Journal officiel du 17 octobre 2011, est paru le Dcret n 2.11.508 portant sur la cration
de la Commission Stratgique de la Scurit des Systmes dInformation et le Dcret n
2.11.509 portant sur la cration dune Direction Gnrale de la Scurit des Systmes
dInformation. Les deux instances seront cres au sein de la direction de dfense nationale.
La commission stratgique de la scurit des systmes dinformation :
Ses rles :
tablir les orientations stratgiques dans le domaine de la scurit des Systmes
dInformation pour garantir la scurit et lintgrit des infrastructures critiques
marocaines ;
Lapprobation du plan daction de la Direction Gnrale de la Scurit des
Systmes dInformation et lvaluation de ces rsultats ;
Dlimitation des prrogatives de la Direction Gnrale de la Scurit des Systmes
dInformation ;

Statuer sur les projets de lois et des normes relatifs la scurit des systmes
dinformation.
Son prsident :

Le ministre dlgu charg de ladministration de la dfense nationale.


I-2 Rles et objectifs de laudit :

Une mission daudit vise diffrents objectifs. En effet je peux numrer ce titre :
La dtermination des dviations par rapport aux bonnes pratiques de scurit.

13
Audit de scurit des systmes
dinformation

La proposition dactions visant l'amlioration du niveau de scurit du systme


Mission daudit de scurit de systme dinformation de lENIM

dinformation.
Egalement, une mission daudit de scurit dun systme dinformation se prsente comme un
moyen d'valuation de la conformit par rapport une politique de scurit ou dfaut par
rapport un ensemble de rgles de scurit.
Par l mme, un organisme audit pourra corriger les failles de scurit.
Dfinition: Essentiellement laudit de scurit est souvent dsigne comme tant loutil de
contrle pour vrifier que les moyens et les procdures mis en uvre pour la protection de
nos systmes dinformation, SI, sont efficaces ou le cas chant, en relever leurs faiblesses.
Les moyens et les procdures de protection du SI tant dfinis dans la politique de scurit,
laudit de scurit est aussi appel audit de la politique de scurit. Il est utile de relever que le
procd daudit de scurit travers les mthodes danalyse et de gestion des risques peut
galement tre utilis pour aboutir la politique de scurit.

Description: Il est trs important de rappeler quen aucun cas laudit de scurit ne doit se
rsumer lune de ses actions la plus simple, la recherche active des failles, laide de
scanners de vulnrabilits, qui effectuent les recherches sur la base dattaques connues et qui
ne dtectent donc que les failles connues. Cette fonction de laudit effectue les tests de
vulnrabilits dun point donn du rseau contrl tandis quune autre fonction de laudit, les
tests dintrusion, sont pratiqus depuis lextrieur. Ces derniers ne peuvent mettre en vidence
que des intrusions possibles travers des vulnrabilits identifies et il est trs frquent, l
aussi, que des failles potentielles ne soient pas dceles.

Seul laudit purement technique, qui, lissue dune vritable tude inspectera
larchitecture du rseau tlcommunication et informatique ainsi que le systme
dinformation, pourra assurer que le systme ne prsente pas de failles pouvant tre exploites
ou au contraire, le SI est sujet des failles quil faut combler.

Cet audit est gnralement pratiqu aprs de laudit organisationnel qui identifie les risques et
mesure tout lment critique, mtier et informatique, et confronte les pratiques de scurit
existantes la ralit du terrain. Dailleurs l'audit de scurit se doit d'tre organisationnel,
puis technique. Cest cette approche que les puristes de la profession qualifient daudit de

14
Audit de scurit des systmes
dinformation

scurit. Elle permet dapprcier la scurit dune manire gnrale en tenant compte de la
Mission daudit de scurit de systme dinformation de lENIM

scurit physique, organisationnelle, logique, informatique, tlcommunication et mtier.

Droulement: Bien que souvent sa ncessit soit mconnue, l'audit est indispensable pour
toute entreprise, quel que soit sa taille, ds lors que celle-ci utilise des SI. Sa premire mise en
pratique doit normalement seffectuer lors de la conception du SI afin daboutir au Choix des
solutions techniques y compris les solutions de scurit et dboucher dans le mme temps sur
une politique de scurit.

Ensuite laudit est ncessaire la mise en place initiale de la PSSI, la politique de


scurit des systmes dinformation. Ceci pour contrler l'efficacit des moyens et procdures
mis en uvre et que la PSSI est correctement applique, ou, le cas chant, en relever les
faiblesses.

Laudit de scurit doit ensuite tre effectu assez rgulirement pour sassurer que les usages
restent conformes la rglementation dicte par la PSSI, mais surtout pour sassurer que les
mesures de scurit sont mises niveau chaque dtection dune nouvelle vulnrabilit et que
les mises jour des failles et des logiciels sont continuellement ralises.

I-3 Cycle de vie dun audit de scurit des systmes dinformation :

Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit un cycle de


vie qui est schmatis laide de la figure suivante :

15
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 5- Cycle de vie dun audit de scurit

Laudit de scurit informatique se prsente essentiellement suivant deux parties comme le


prsente le prcdent schma :
Laudit organisationnel et physique.
Laudit technique.
Une troisime partie optionnelle peut tre galement considre. Il sagit de laudit intrusif.
Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport prsente une synthse de
laudit. Il prsente galement les recommandations mettre en place pour corriger les
dfaillances organisationnelles ou techniques constates.
Une prsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe suivant
qui prsente le droulement de laudit.

1-4 Dmarche de ralisation dune mission daudit de scurit des


systmes dinformation :

Tel que prcdemment voqu, laudit de scurit des systmes dinformation se droule
suivant deux principales tapes. Cependant il existe une phase tout aussi importante qui est
une phase de prparation. Je schmatise lensemble du processus daudit travers la figure
suivante :

16
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 6- Les phases de laudit

1-4-1 Prparation de laudit :


Cette phase est aussi appele phase de pr audit. Elle constitue une phase importante pour la
ralisation de laudit sur terrain. En effet, cest au cours de cette phase que se dessinent les
grands axes qui devront tre suivis lors de laudit sur terrain. Elle se manifeste par des
rencontres entre auditeurs et responsables de lorganisme auditer. Au cours de ces entretiens,
devront tre exprimes les esprances des responsables vis--vis de laudit. Aussi,

17
Audit de scurit des systmes
dinformation

Il doit tre fix ltendu de laudit ainsi que les sites auditer, de mme quun planning de
Mission daudit de scurit de systme dinformation de lENIM

ralisation de la mission de laudit.

Les personnes qui seront amenes rpondre au questionnaire concernant laudit


organisationnel doivent tre galement identifies. Lauditeur (ou les auditeurs) pourrait
(pourraient) galement solliciter les rsultats de prcdents audits.
Une fois que les deux parties (auditeur-audit) ont harmonis leur accordons , laudit sur
terrain peut tre entam. Il dbute par laudit organisationnel et physique.
1-4-2 Audit organisationnel et physique :
a. Objectifs :
Dans cette tape, il sagit de sintresser laspect physique et organisationnel de lorganisme
cible, auditer. Je mintresse donc aux aspects de gestion et dorganisation de la scurit, sur
les plans organisationnels, humains et physiques.
Lobjectif vis par cette tape est donc davoir une vue globale de ltat de scurit du
systme dinformation et didentifier les risques potentiels sur le plan organisationnel.
b. Droulement :
Afin de raliser cette tape de laudit, ce volet doit suivre une approche mthodologique qui
sappuie sur une batterie de questions . Ce questionnaire prtabli devra tenir compte et
sadapter aux ralits de lorganisme auditer. A lissu de ce questionnaire, et suivant une
mtrique, lauditeur est en mesure dvaluer les failles et dapprcier le niveau de maturit en
termes de scurit de lorganisme, ainsi que la conformit de cet organisme par rapport la
norme rfrentielle de laudit.

Dans mon contexte, suivant les recommandations de lANSI et du fait de sa notorit, cet
audit prendra comme rfrentiel une norme de lISO. Il sagit de toutes les clauses (ou
chapitres ou domaines) de la version 2007 de la norme ISO/IEC 27002.
Le questionnaire que je propose se compose dun peu moins dune centaine de questions.
Chaque question est affecte dun coefficient de pondration portant sur lefficacit de la rgle
du rfrentiel sur laquelle porte la question, en matire de rduction de risque.

18
Audit de scurit des systmes
dinformation

Aprs la validation du Questionnaire (QSSI), les rponses choisies seront introduites dans
Mission daudit de scurit de systme dinformation de lENIM

lapplication que jai dveloppe pour permettre lautomatisation du traitement du


questionnaire.
Le traitement consiste au calcul dune moyenne pondre par les notes obtenues en fonction
des rponses choisies et du coefficient defficacit. Lon obtient un rsultat chiffr (de 0 6 ou
exprim en pourcentage) reprsentant le niveau de scurit (la maturit) du systme
dinformation audit.
Une fois cette phase ralise, il est question de passer ltape suivante de laudit ; il sagit
notamment de laudit technique.
Voir le questionnaire en annexe.
1-4-3 Audit technique :
a. Objectifs :
Cette tape de laudit sur terrain vient en seconde position aprs celle de laudit
organisationnel. Laudit technique est ralis suivant une approche mthodique allant de la
dcouverte et la reconnaissance du rseau audit jusquau sondage des services rseaux actifs
et vulnrables.
Cette analyse devra faire apparatre les failles et les risques, les consquences dintrusions ou
de manipulations illicites de donnes.
Au cours de cette phase, lauditeur pourra galement apprcier lcart avec les rponses
obtenues lors des entretiens. Il sera mme de tester la robustesse de la scurit du systme
dinformation et sa capacit prserver les aspects de confidentialit, dintgrit, de
disponibilit et dautorisation.

Cependant, lauditeur doit veiller ce que les tests raliss ne mettent pas en cause la
continuit de service du systme audit.
b. droulement :
Vu les objectifs escompts lors de cette tape, leurs aboutissements ne sont possibles que par
lutilisation de diffrents outils. Chaque outil commercial qui devra tre utilis, doit bnficier
dune licence dutilisation en bonne et du forme.
Egalement les outils disponibles dans le monde du logiciel libre sont admis.

19
Audit de scurit des systmes
dinformation

Lensemble des outils utiliss doit couvrir entirement/partiellement la liste non exhaustive
Mission daudit de scurit de systme dinformation de lENIM

des catgories ci-aprs :


Outils de sondage et de reconnaissance du rseau.
Outils de test automatique de vulnrabilits du rseau.
Outils spcialiss dans laudit des quipements rseau (routeurs, switchs).
Outils spcialiss dans laudit des systmes dexploitation.
Outils danalyse et dinterception de flux rseaux.
Outils de test de la solidit des objets dauthentification (fichiers de mots cls).
Outils de test de la solidit des outils de scurit rseau (firewalls, IDS, outils
dauthentification).
Chacun des outils utiliser devra faire lobjet dune prsentation de leurs caractristiques et
fonctionnalits aux responsables de lorganisme audit pour les assurer de lutilisation de ces
outils.
1-4-4 Audit intrusif :
a. Objectifs
Cet audit permet dapprcier le comportement du rseau face des attaques. Egalement, il
permet de sensibiliser les acteurs (management, quipe informatique sur site, les utilisateurs)
par des rapports illustrant les failles dceles, les tests qui ont t effectus (scnarios et
outils) ainsi que les recommandations pour pallier aux insuffisances identifies.
b. Droulement
La phase de droulement de cet audit doit tre ralise par une quipe de personnes ignorante
du systme audit avec une dfinition prcise des limites et horaires des tests. Etant donn
laspect risqu (pour la continuit de services du systme dinformation) que porte ce type
daudit, lauditeur doit.
Bnficier de grandes comptences.
Adhrer une charte dontologique.
Sengager (par crit) un non dbordement: implication ne pas provoquer de
perturbation du fonctionnement du systme, ni de provocation de dommages

1-4-5 Rapport daudit :


20
Audit de scurit des systmes
dinformation

A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger un rapport de
Mission daudit de scurit de systme dinformation de lENIM

synthse sur sa mission daudit.


Cette synthse doit tre rvlatrice des dfaillances enregistres. Autant est-il important de
dceler un mal, autant il est galement important dy proposer des solutions
(recommandations), dtailles, pour pallier aux dfauts quil aura constats.
Ces recommandations doivent tenir compte de laudit organisationnel et physique, ainsi que
de celui technique et intrusif.
1-6 Rfrences pour laudit :
Laudit des systmes dinformation est un moyen de vrifier lcart dun systme
dinformation par rapport une rfrence donne. Une mission daudit sappuie donc
imprativement sur une rfrence. Dans ce domaine, il existe diffrentes normes sur
lesquelles se basent les missions d'audit de scurit des systmes dinformation.La famille de
normes ISO 27000 constitue un vritable espoir pour les RSSI dans la mesure o elle apporte
une aide indniable dans la dfinition, la construction et la dclinaison d'un SMSI efficace
travers une srie de normes ddies la scurit de l'information :Comme dcrit la figure
suivante :

Figure 7 : Normes de la famille ISO/CEI 2700x

ISO/CEI 27001 : systme de Gestion de la Scurit de l'Information (ISMS)


-Exigences ;
21
Audit de scurit des systmes
dinformation

ISO/CEI 27002 : code de bonnes pratiques pour la gestion de la scurit de


Mission daudit de scurit de systme dinformation de lENIM

l'information (anciennement ISO/CEI 17799) ; En rsum, lISO/CEI 27002 est un


guide de bonnes pratiques, une srie de prconisations concrtes, abordant les aspects
tant organisationnels que techniques, qui permettent de mener bien les diffrentes
actions dans la mise en place dun SMSI.
Cette norme a constitu le socle de ma mission daudit. La norme ISO 27002 est un
ensemble de recommandations pour la gestion de la scurit de l'information et un
rfrentiel en matire de bonnes pratiques de scurit. Elle mane de la norme britannique
BS7799. La norme ISO 27002 couvre aussi bien les aspects techniques, organisationnels
et physiques et peut tre utilise par n'importe quel organisme quel que soit son activit et
sa dimension. Les aspects quelle recouvre sont structurs suivant onze (11) grandes
thmatiques. Les clauses constitutives de lISO/IEC 27002 :2007 sont les suivantes,
ordonnes tel quvoqu dans la norme:
Politique de scurit
Organisation de la scurit
Classification et contrle des actifs
Scurit des ressources humaines
Scurit physique et environnementale
Gestion des communications et de lexploitation
Contrle daccs
Acquisition, dveloppement et maintenance des systmes dinformation
Gestion des incidents de scurit
Gestion de la continuit dactivit
Conformit

ISO/CEI 27003 : systme de Gestion de la Scurit de l'Information (ISMS) - Guide


d'implmentation ; Publie en janvier 2010, ISO 27003 facilite la mise en uvre du
SMSI. Elle est utilise en complment de la norme ISO 27001. LISO 27003 propose
cinq tapes pour implmenter le SMSI.

22
Audit de scurit des systmes
dinformation

Ces tapes concernent linitialisation du projet, sa politique et son primtre, lanalyse des
Mission daudit de scurit de systme dinformation de lENIM

exigences en matire de scurit de linformation, lapprciation des risques et enfin


llaboration du SMSI. Chacune de ces tapes est divise en activits qui font lobjet
dune clause contenant :
un rsum de lactivit (explication de ltape en question),
les entres (tous les documents utiliser au cours de ltape),
les recommandations (dtail des points aborder),
les sorties (liste des livrables produire).
ISO/CEI 27004 : mesure de la gestion de la scurit de l'information ; Cette norme
concerne la gestion des indicateurs. Lutilisation dindicateurs dans le domaine de la
scurit est nouvelle. La norme ISO/CEI 27001 impose leur mise en place dans le
SMSI mais sans prciser comment et lesquels utiliser. En utilisant les mesures des
indicateurs lobjectif est didentifier les points du SMSI qui ncessitent une
amlioration ou une correction.
ISO/CEI 27005 : gestion du risque en scurit de l'information ; Une des tapes du
PDCA les plus difficiles mettre en uvre est lapprciation des risques 7 .
LISO/CEI 27001 fixe des objectifs atteindre pour tre en conformit avec la norme,
mais ne donne aucune indication sur les moyens dy parvenir. Nous verrons quil
existe un nombre important de mthodes dapprciation des risques qui offrent une
dmarche formelle et pragmatique. Nanmoins, lISO/CEI a souhait proposer sa
propre mthode avec la norme ISO/CEI 27005. Lobjectif nest pas de remplacer ou
rendre obsoltes les mthodes existantes mais dharmoniser le vocabulaire employ.
LISO/CEI 27005 est constitue de douze chapitres. Les points les plus importants
sont traits dans les chapitres sept douze.
Chap. 7, tablissement du contexte
Chap. 8, apprciation du risque
Chap. 9, traitement du risque
Chap. 10, acceptation du risque
Chap. 11, communication du risque
Chap. 12, surveillance et rvision du risque
23
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

ISO/CEI 27006 : exigences pour les organismes ralisant l'audit et la certification de


Systmes de Gestion de la Scurit de l'Information (ISMS) ;
ISO/CEI 27007 : guide pour l'audit de Systmes de Gestion de la Scurit de
l'Information (ISMS). Cette norme est ltat de brouillon WD . On peut
cependant avancer quelle sera le pendant de la norme gnrique ISO 190119 pour les
SMSI. LISO/CEI 27007 donnera les lignes directrices pour auditer les SMSI.
ISO/CEI 27008 :
A ltat de WD, lISO/CEI 27008 traitera de laudit des SMSI en proposant un guide qui
permettra de contrler les mesures de scurit. Elle fournira pour chacune des mesures
de scurit de la 27002, des moyens danalyse des besoins en contrle, en tenant compte
de limportance des risques et des actifs. On pourra ainsi dterminer les mesures
contrler. Ces points sont importants car les auditeurs internes ou externes doivent
contrler des mesures aussi varies que la gestion des mots de passe, la procdure de
gestion des incidents et le suivi de lgislation en vigueur.

1-7 Prsentation de laudit LEcole Nationale dIndustrie Minrale(ENIM) :

LEcole Nationale de lIndustrie Minrale (ENIM), base Rabat, est l'une des plus anciennes
coles marocaines d'ingnieurs d'tats.
Fonde en 1972, l'ENIM avait, au dbut, pour mission principale de former des ingnieurs
pour le secteur minier et lindustrie minrale. Ainsi entre 1975 et 1983, plus de 400 ingnieurs
ont t forms dans les domaines des Mines, traitement des Minerais, et plus de 60 ingnieurs
dans le domaine de la mtallurgie. En 1983, lENIM a vu la cration de deux nouveaux
dpartements, savoir llectromcanique et le Gnie Chimique nergtique. En 1990, le
dpartement informatique a vu le jour.
En 1990 aussi, une rforme des tudes a eu lieu pour sadapter la suppression des cycles des
annes prparatoires dans les coles dingnieurs et la cration des centres de classes

24
Audit de scurit des systmes
dinformation

prparatoires aux grandes coles (CPGE) lchelle nationale. Ainsi la formation lcole est
Mission daudit de scurit de systme dinformation de lENIM

passe de six trois ans, et les programmes de certaines spcialits ont t revus et adapts
ce nouveau systme et aux nouveaux besoins : Le dpartement Gnie Chimique Energtique a
t transform en Gnie des Procds Industriels.
Les comptences dveloppes par lcole sont donc ds lorigine trs diverses, et lcole a su
voluer au cours du temps pour devenir aujourdhui une cole dite gnraliste .

Conclusion

25
Audit de scurit des systmes
dinformation

Je viens dexposer, une liste non exhaustive dun ensemble de normes qui constituent des
Mission daudit de scurit de systme dinformation de lENIM

rfrences dans le cadre dun audit de systmes dinformation ainsi que les procdures de
ralisation de celui-ci, et lenjeu que prsente ce dernier au Maroc.
Le rseau de lorganisme prsent constitue mon cadre de travail. La suite de ce document
consistera mettre en pratique les prcdents aspects de ralisation dun audit, a sera dbut
par un audit organisationnel.

26
Audit de scurit des systmes
dinformation

Chapitre III : Audit organisationnel et physique de


Mission daudit de scurit de systme dinformation de lENIM

lENIM

Introduction :

Ma mission daudit organisationnel et physique sest droule lcole nationale de


lindustrie minrale (ENIM) rabat. Elle sest ralise du 02 au 07 juin 2012. Jai eu pour
interlocuteur lingnieur principal en informatique, et un technicien rseaux, tous deux
employs au sein de lENIM. Soulignons que les objectifs fixs, sont :
Evaluer le niveau de scurit du systme dinformation de lcole.
Valider les mesures de scurit mises en uvre.
Sensibiliser nos interlocuteurs aux risques et cot du non scurit.
Ce chapitre prsente les points cls suite nos entrevues au sujet de la scurit du rseau de
lENIM.
Pour mener bien cet aspect de laudit, je me suis servi dune application web dveloppe
base de java et jsf ce qui ma facilite le traitement du questionnaire, puis les rsultats de cet
audit organisationnel.
27
Audit de scurit des systmes
dinformation

Dans ce qui suit, je vais prsenter les diffrentes fonctionnalits de la dite application, ainsi
Mission daudit de scurit de systme dinformation de lENIM

que sa conception et sa mise en pratique.

II.1 Etude de lexistant organisationnel et physique :


II.1.1 organisation de laudit :

Sur le plan organisationnel, lENIM est constitue de 3 directions rattaches directement la


direction gnrale ; pour chacune de ces directions on trouve des services et/ou dpartements
qui leur sont directement rattaches comme illustr dans le diagramme suivant :

28
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 8 : Organigramme de lcole

II.1.2 Rseau et quipements :

Le rseau local de laudit est prsent par deux topologies : physique et logique.

Pour la topologie physique, il sagit de deux Etoiles optiques relies par deux FO (une fibre
pour le trafic chang, et le deuxime lien sert de backup).

Chacune de ces deux toiles dessert un ensemble de btiments (dpartements, services et cits
des tudiants) par ligne fibre optique.

29
Audit de scurit des systmes
dinformation

Le schma suivant illustre clairement cette topologie :


Mission daudit de scurit de systme dinformation de lENIM

Figure 9: La MAP rseau de laudit

Pour la topologie logique, le LAN de laudit est constitu en ralit de plusieurs vlan
dynamique qui sont attribus lutilisateur lors de sa connexion au domaine grce un
serveur radius en utilisant lauthentification 802.1x, le nombre de vlan dynamique est de 15.
Le rseau est constitu aussi dun segment DMZ et dun VLAN ddi au WIFI, et dun autre
VLAN ddi au BTS (quipements ALTAI). Le tout se trouve derrire un firewall
STANGATE comme montre le schma suivant :

30
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 10 : La topologie logique de laudit

II.2 Laudit organisationnel de lENIM : ISO 27002


Etape de ralisation de lapplication :

Pour automatiser le traitement du questionnaire, jai ralis une application qui consiste en
lutilisation de pages Html, java, JSF et dun serveur web local. En effet, le questionnaire se
prsente sous forme de page Html. Par la suite le traitement sous-jacent, du questionnaire, a
t possible grce un traitement Java. Chacune des rponses est pondre dun coefficient
31
Audit de scurit des systmes
dinformation

(0-6). Lexcution de lensemble sest ralise par lutilisation dun serveur web local Apache.
Mission daudit de scurit de systme dinformation de lENIM

Par la suite jobtiens une moyenne pour chaque clause dfini par la norme ISO/IEC
27002 :2007.
Jarrive ainsi mesurer la conformit de lorganisme par rapport chacune des clauses
dfinies par la norme ISO/IEC 27002 :2007.
Le schma suivant indique les tapes de ralisation de cette application.

Figure 11: Automatisation du traitement du questionnaire

II.3 Rsultat de graphique de laudit organisationnel :


Les moyennes (exprimes en pourcentage) sont rvlatrices de la maturit (niveau de scurit)
de lorganisme au niveau organisationnel. Une note en dessous de 60% dnote dun manque
de maturit. Soulignons que le barme pour le questionnaire a t dcid par le responsable

32
Audit de scurit des systmes
dinformation

du SI de laudit selon limportance de chaque volet dans la scurit de lorganisme, et cest


Mission daudit de scurit de systme dinformation de lENIM

g gnralement et approximativement cest les mmes coefficients utiliss dans les autres
audits.

Figure 12 : Histogramme reprsentatif du niveau de scurit de lENIM

A lissu de ces rsultats, lcole enregistre une conformit globale de 65%, par rapport la
norme ISO/IEC 27002 ; cette valeur situe ltat de sant de la scurit de laudit dans la zone
de la maturit. Jaborde prsent lanalyse des rsultats obtenus. Les points seront abords
suivant les clauses (ou chapitres) dfinis dans la norme ISO/IEC 27002 :2007 selon lordre
dans lequel elles ont t voques.

33
Audit de scurit des systmes
dinformation

II.4 Analyse des rsultats :


Mission daudit de scurit de systme dinformation de lENIM

Lors de lanalyse de chacune des clauses, nous leurs attribuerons une classification en
fonction du degr de gravit de non-conformit par rapport la norme ISO/IEC 27002 :2007.
Cette classification comprendra trois classes :

Faible: indique une pratique de scurit qui ncessite une attention


(conformit>=80%).
Moyenne: indique une pratique de scurit importante car les risques sont
importants. Ainsi cela ncessite une attention toute particulire court ou moyen
terme (60%<conformit<80%.).
Critique: indique une pratique de scurit trs importante, car les risques encourus
sont trs importants. (Conformit<60%).
II.4.1 Politique de scurit :
Le niveau de conformit de cette clause par rapport la norme ISO 27002 est de 56%.
Cela sexplique par la prsence dune forte politique de scurit.
Pour scuriser laccs aux donnes dune faon logicielle, lcole exige une
authentification centralise et limplmente via une architecture base de RADIUS.
Ladministrateur de lcole scurise galement laccs physique aux donnes : les serveurs
placs dans une salle portant des fiches interdisent tout accs non autoris. Seules les
personnes habilites y ont laccs.
Lcole dispose aussi dun firewall STONGATE de la famille stonsoft, qui permet de
filtrer le trafic rseau entrant et sortant, rediriger les trafics sur des supports internet
diffrents, prioriser les trafics selon leurs provenances, il permet aussi de faire l deep
inspection et le filtrage URL.
Et pour scuriser les diffrentes machines branches sur le rseau, lcole dispose dun
antivirus avec une licence de 500 machines dune dure de 3 ans, avec les mises jour
centralises.
Ce qui manque cette PSSI, cest quelle nest pas documente, cela veut dire que lcole
ne dispose pas dun document crit de la PSSI, et elle nest pas communique aux

34
Audit de scurit des systmes
dinformation

personnels de lcole afin de les sensibiliser de limportance de la scurit. Le niveau de


Mission daudit de scurit de systme dinformation de lENIM

svrit accord cette clause est moyen

II.4.2 Organisation de la scurit :


Le niveau de conformit de cette clause par rapport la norme ISO 27002 est de 44,7%. Ce
niveau de conformit sexplique par le fait que les services fournis par des personnes tiers
(trs rarement) sont contrls. Egalement, les informations sensibles de lcole sont
identifies et attirent lattention des responsables quant leur protection. Cependant, il
nexiste pas pour linstant la fonction de Responsable de Scurit du Systme dInformation
(RSSI) au sein de lcole. Cette responsabilit reste planifie, mais na pas encore vu le jour.
Cette clause enregistre un degr de svrit critique.

II.4.3 Contrle et classification des actifs :


Cette clause enregistre une conformit de 36,11% ; cela lui inflige une svrit critique.
Lensemble des principaux actifs de lorganisme est identifi puis rpertori. Il sagit entre
autres des serveurs mtiers, des postes de bureau, des quipements rseau, des applications
utilises par lcole, des quipements de lutte contre les incendies, etc. toute personne
empruntant un quipement en devient responsable jusqu son retour. Les documents
recueillis sous format papier sont rangs dans des armoires. Chaque dossier est muni dune
rfrence telle que la date dentre, la date de sortie etc.
Cependant, les procdures de classification ne se basent pas sur une documentation prcise
qui dfinit les critres de classification, de sorte pouvoir valuer les consquences dune
altration de cet actif sur lcole.

De plus il nexiste pas de procdure dtiquetage pour la classification ; simplement, les


dossiers considrs sensibles sont astreints rester dans le bureau du responsable en question.
II.4.4 Scurit lie aux ressources humaines :
Concernant le volet ressources humaines et scurit, la vrification de lauthenticit des
documents (diplmes, documents fournis,) des employs faite par un service ddi
35
Audit de scurit des systmes
dinformation

ressources humaines. En effet, le recrutement du personnel est effectu par lorganisation de


Mission daudit de scurit de systme dinformation de lENIM

concours sous la responsabilit de service recrutement. Il revient donc au jury tabli par
lcole dexaminer minutieusement les pices fournies par les participants retenues.
Ainsi avant de prendre effectivement la fonction, les candidats retenus sont informs de leur
future responsabilit vis--vis de lorganisme. Ces nouveaux employs sont informs (et
ratifient) de leurs droits et devoirs vis--vis de la scurit de lcole galement. Le personnel
de lcole est ainsi inform de son rle dans la gestion de cette scurit. En dehors de ces
informations lembauche, il nest pas dfini de procdures visant rappeler lensemble du
personnel son rle dans la scurit de lcole. Le personnel du service informatique est soumis
des sances de formations pour les sensibiliser sur limportance de la scurit de
linformation et leur inculquer les notions de bonnes exploitations des technologies de
linformation.
Le niveau de svrit appliqu cette clause est moyen car elle reste conforme la norme
ISO 17799 62,96%.
II.4.5 Scurit physique et environnementale
La moyenne de cette clause est de 69,72% par rapport la norme iso 27002, soit une svrit
moyenne. Lenvironnement de localisation ne prsente pas dexposition des dangers naturels
apparents. En ce qui concerne la scurit physique des locaux elle est assure par une clture
qui les entoure, ainsi que des postes de gardiennage qui surveillent les principales entres. Un
mcanisme denregistrement des visiteurs a t instaur. Il permet de relever les identits des
visiteurs ainsi que les dates et heures dentre et sortie.
La zone sensible quest la salle serveur bnficie dune scurit toute particulire, et ce
travers laccs qui y est trs rserv. En effet pour protger cette salle de toutes malveillances
physiques, laccs est protg par une cl que seulement trois personnes possdent. Elles sont
les seules habilites y pntrer.
La protection des serveurs, routeurs et commutateurs contre les alas lectriques est mise en
place. Chaque serveur est muni dun onduleur, et dautres onduleurs veillent lalimentation
des routeurs et commutateurs en cas de coupure dalimentation lectrique. Les cblages
lectriques et rseau sont encastrs.
Au niveau de la salle serveur le cblage rseau est bien organis. Egalement ces cbles sont
tiquets, ce qui rend la tche dauthentification dun cble trs facile.
36
Audit de scurit des systmes
dinformation

Les moyens rglementaires de lutte contre les incendies sont en place tel que des bouches
Mission daudit de scurit de systme dinformation de lENIM

incendies ou des dtecteurs de fumes. Cependant aucune procdure de test de ces moyens et
quipements de protection nest ralise.
Les bureaux des employs sont dots de serrures, offrant la possibilit de les verrouiller en
leur absence. Egalement laccs physique aux postes de travail de chacun des utilisateurs,
pour certain, est protg par un mot de passe. Pour viter toutes tentatives de vol des
quipements, ceux devant quitter ou entrer dans les locaux doivent bnficier de bons de
sortie et de dcharges en non des bnficiaires. A travers ces bons les quipements sont
rpertoris, en entre comme en sortie.
II.4.6 Gestion de lexploitation et des communications :
Les serveurs mtiers sont constitus 70 % de serveurs LINUX et 30 % de serveurs
Windows 2008 et 2003. Les postes de bureau sont 100% quip de systme dexploitation
Microsoft Windows XP et windows7. Les systmes dexploitation utiliss bnficient de
licences dexploitation. Les mesures de continuit de services sont en parties assures. Le
rseau LAN de lcole est de type Ethernet, et un adressage priv a t mis en place. Bien
quil existe une politique dadressage par VLAN qui permet une segmentation un niveau
plus lev. Egalement le rseau LAN est organis en domaine ce qui rend difficile de passer
dun groupe un autre et qui rend la scurit robuste.
Chaque employ (corps administratif ou enseignant) bnficie dun ordinateur de bureau, dont
il assume lentire responsabilit.
Lensemble des serveurs est protg des intrusions externes par un firewall StoneGate de la
firme Stonesoft. Il existe une zone DMZ contient tous les serveurs qui doivent avoir un accs
aussi bien de lintrieur que lextrieur notamment le serveur de messagerie et le serveur
hbergeant le site web de lcole.

II.4.7 Contrle daccs :


La clause enregistre une moyenne de 58%, par rapport la norme, donc une svrit critique.
Une politique de mot de passe est instaure au sein de lorganisme, pour laccs certaines
applications. Cependant ces mots de passe ne sont pas changs suivant une frquence bien
dfinie. La permanence de ces mots de passe ne permet pas de rduire les risques dusurpation
de mots de passe ou de vol. Egalement, laccs aux locaux sensibles tel que la salle serveur
37
Audit de scurit des systmes
dinformation

reste protg par une simple clef. Seul le chef de service est habilit accder ce local .
Mission daudit de scurit de systme dinformation de lENIM

Cependant, la salle ne dispose pas dune alarme (sonore) indique louverture de la porte de
cette salle, et ce, pendant et en dehors des heures de travail.
Laccs distant, partir de lInternet est protg on utilisant un VPN daccs. Etant donn
quon ne peut garantir quun accs illicite ne peut se raliser 100%, il est donc important de
se munir de systme de dtection dventuelles intrusions. De ce fait lcole se dote dun
systme de dtection dintrusion (IDS), et une option de prvention dintrusion (IPS) intgr
dans le firewall.

II.4.8 Acquisition, maintenance et dveloppement des systmes :


Cette clause prsente une svrit critique due la moyenne de 58% par rapport la norme
ISO 27002. Lacquisition de nouveaux systmes porte lattention particulire des
informaticiens afin de sassurer que le systme acqurir correspond aux besoins de lcole et
ne mettra pas mal la scurit. Egalement des tests pour sassurer quun nouvel quipement
ne sera pas source de rgression de service sont effectus. Cependant, Les fichiers systmes
des projets informatiques ne suivent pas de procdures particulires de prservation de toute
indiscrtion.
Egalement les procdures de chiffrement ou de signature lectronique ne sont pas intgres
dans les procdures de lcole. De mme la scurit de la documentation des systmes nest
pas dactualit.

II.4.9 Gestion des incidents de scurit :


Cette clause enregistre une moyenne de 38,37% par rapport la norme ISO 27002, donc une
svrit critique. Le personnel a t sensibilis sur la ncessit de dclarer les incidents ou
failles de scurit rencontre. Cependant, pour linstant il nest planifi linstauration de
procdures pour la gestion des incidents de scurit. Lcole a planifi llaboration dun
certain nombre de rgles pour la reprise dactivit en cas de catastrophe ou dincident lis
des erreurs humaines. Cependant les rapports dtaills des incidents qui surviennent ne sont
pas dits. Il nest donc pas possible de sinformer des incidents dj survenus.
38
Audit de scurit des systmes
dinformation

II.4.10 Gestion de la continuit dactivit :


Mission daudit de scurit de systme dinformation de lENIM

Cette clause prsente une svrit moyenne lie sa moyenne de 60% par rapport la norme
ISO 27002.
Lcole ne dispose pas de plan clair et prcis rvlant dans les dtails et dans lordre les
actions entreprendre en cas de reprise suite une catastrophe.
Pour permettre une continuit dactivit en cas de coupure de la fourniture lectrique, chaque
serveur est dot dun onduleur. Lors de mon enqute, jai constat que la salle serveur se dote
des quipements de la haute gamme pour la climatisation.
Laction de veiller une temprature idale au fonctionnement des serveurs mtiers nest pas
mis en place, de mme pour une alarme en cas daugmentation de la temprature.
Cette situation est dautant plus critique si cela arrivait en pleine nuit. Aussi il nest pas prvu
de vido surveillance de la salle serveur.
II.4.11 Conformit :
Cette clause a une moyenne de 76%, do une svrit moyenne par rapport la norme ISO
27002. Les applications commerciales utilises au sein de lcole sont dotes de licences
dexploitation.
Cependant, le personnel nest pas averti sur les bonnes utilisations des technologies de
linformation au sein de lcole laide dune charte. Egalement, laudit priodique nest pas
encore encr dans les habitudes de lcole. Il en est de mme pour le suivi des rgles dictes
par lcole elle-mme.

39
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Conclusion
A lissu de cette tape de laudit, je constate au vu des rponses obtenues, que la maturit en
terme de scurit de lcole admet un niveau en gnral en dessous de 60%. Je vrifie ce
niveau grce laudit technique qui constitue la prochaine tape de ma mission daudit.

Chapitre IV : Audit technique de lENIM

40
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Introduction :

Jentame prsent la deuxime tape importante de mon audit de lENIM. Cette tape
portera sur laudit technique. Il sagit dans un premier temps de dterminer la topologie ou
larchitecture du rseau de laudit. Dans un second temps, jtablirai un diagnostic des
services actifs sur le rseau de laudit, ainsi que de leurs ventuelles vulnrabilits. Enfin je
procderai au test de vulnrabilit des quipements, pour estimer leur capacit rsister aux
attaques.
41
Audit de scurit des systmes
dinformation

Pour ce faire je me suis base sur la distribution Unix Backtrack5 qui englobe tous les outils
Mission daudit de scurit de systme dinformation de lENIM

de laudit de scurit rseau et de pentest (Test dintrusion).


III-1 Audit de larchitecture rseau :
Cette tape constitue la premire tape dans la phase de laudit technique. Elle consiste en la
dcouverte de diffrentes architectures (physique et logique) du rseau audit.
Cette phase a t faite au niveau de ltude de lexistant : voir II.1.2 page 32

III-2 Backtrack 5 R1 :
BackTrack est une distribution GNU/Linux dont lobjectif est de regrouper un ensemble
doutils ncessaires des tests de scurit sur un rseau. Cest un outil complet qui vise
aborder tous les problmes de scurit moderne.
La figure suivante montre linterface daccueil de backtrack 5 :

42
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 13 : Linterface backtrack5

La premire version de BackTrack est sortie au dbut 2006, aujourdhui la version 5 Pre-
Release 2 est disponible.
Cette distribution comprend environ 300 outils daudit de scurit, permettant par exemple de
dcouvrir le rseau (Genlist), de sniffer ce rseau (Wireshark), de craquer une connexion Wifi
(air-crack), dcouter les ports (Nmap) ou de pntrer une machine distante (Metasploit).
A noter que Tenable, qui est le dveloppeur de lexcellent outil daudit rseau Nessus, na pas
autoris son intgration dans BackTrack, donc je vais linstaller et lutiliser.
BackTrack est lheure actuelle la distribution la plus aboutie en matire de scurit
informatique. BackTrack se qualifie tant par le nombre impressionnant doutils que leur par
qualit reconnu par les professionnels. Cest pourquoi, BackTrack a t lu comme tant la
premire distribution de scurit.
III-3 Sondage des services rseau :
43
Audit de scurit des systmes
dinformation

Identifier lensemble des services actifs par poste de travail au niveau de laudit a t chose
Mission daudit de scurit de systme dinformation de lENIM

possible grce aux outils Nessus et Nmap.


Nessus, application incontournable dans le cadre des scanners rseau nous a t dun apport
important.
III-3-1 Sondage avec Nessus :

Nessus est un outil de test de vulnrabilit. Il fonctionne en mode client/serveur, avec une
interface graphique. Une fois install, le serveur Nessusd , ventuellement sur une machine
distante, effectue les tests et les envoie au client Nessus qui fonctionne sur une interface
graphique.
Nessus est un produit commercial diffus par la socit TENABLE Network Security. Il peut
toutefois tre utilis gratuitement avec une base des vulnrabilits dont la mise jour est
dcale d'une semaine.
Lobjectif de cette partie est surtout de prsenter les rsultats des scans de vulnrabilits
effectus sur le rseau informatique de laudit. Dans ce qui suit linterface dinitialisation de
Nessus.

Figure 14 : Initialisation de Nessus

44
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Une fois Nessus est dmarr, il affiche une interface de connexion comme la figure suivante
montre, puis on lance le scan selon les paramtres dsirs et qui rpondent notre besoin.

Figure 15 : Connexion au service Nessus

Dans mon cas le scan lanc concerne le rseau de management de laudit et qui contient 29
quipement actifs comme montre la capture suivante.

45
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 16 : Lancement de scan de rseau de management

Une fois le scan termin, Nessus gnre un rapport de vulnrabilits trouves, en les classant
selon leurs tats de criticits, ainsi des solutions possibles pour corriger ces failles.
Un exemple de rapport Nessus est captur ci-contre :

Figure 17 : Rapport de vulnrabilits de rseau de management

III-3-2 Sondage avec Nmap :

46
Audit de scurit des systmes
dinformation

Nmap est un outil d'exploration rseau et scanneur de ports/scurit dont la syntaxe est la
Mission daudit de scurit de systme dinformation de lENIM

suivante : nmap [types de scans ...] [options] {spcifications des cibles}. Nmap existe aussi en
mode graphique sous le nom Zenmap GUI .
Nmap permet d'viter certaines attaques et aussi de connatre quels services tournent sur une
machine. Une installation faite un peu trop vite peut laisser des services en coute (donc des
ports ouverts sans que cela ne soit ncessaire) et donc vulnrables une attaque. Nmap est un
logiciel trs complet et trs volutif, et il est une rfrence dans le domaine du scanning.
Description de Nmap :
Nmap a t conu pour rapidement scanner de grands rseaux, mais il fonctionne aussi trs
bien sur une cible unique. Nmap innove en utilisant des paquets IP bruts (raw packets) pour
dterminer quels sont les htes actifs sur le rseau, quels services (y compris le nom de
l'application et la version) ces htes offrent, quels systmes d'exploitation (et leurs versions)
ils utilisent, quels types de dispositifs de filtrage/pare-feux sont utiliss, ainsi que des
douzaines d'autres caractristiques. Nmap est gnralement utilis pour les audits de scurit
mais de nombreux gestionnaires des systmes et de rseau l'apprcient pour des tches de
routine comme les inventaires de rseau, la gestion des mises jour planifies ou la
surveillance des htes et des services actifs.
Le rapport de sortie de Nmap est une liste des cibles scannes ainsi que des informations
complmentaires en fonction des options utilises.
La figure suivante prsente une interface dexcution de Nmap. Les trois fonctionnalits
suivantes peuvent tre simultanment excutes.
dcouverte du rseau,
dtermination des ports ouverts,
dtermination du systme dexploitation des machines cibles.
Tel a t mon approche travers lexcution de la commande : Nmap v O 192.168.1.0/24
Soit le rsultat suivant :

47
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 18 : Scan de rseau 192.168.1.0 avec NMAP

III-5 Analyse des services vulnrables par serveur :


A ce niveau de travail, il ma t autoris de faire une analyse sur les serveurs suivants :

Serveur web, Serveur de messagerie et serveur de nom de domaine DNS.

Grace loutil Nessus, jai pu dgager un ensemble de protocoles et ports ouverts qui ne
doivent pas ltre, certains dentre eux prsentent un risque majeur de fait que les
vulnrabilits qui leurs sont associes sont susceptibles dtre exploites.

Ces analyses ont t effectues en boite blanche, pour des raisons de confidentialit, il ne
mest pas autoris de les faire figurer dans mon rapport, qui est un rapport public.

48
Audit de scurit des systmes
dinformation

Toutefois, pour mettre en vidence cet outil en pratique, jai attaqu une machine dont
Mission daudit de scurit de systme dinformation de lENIM

lattaque ne peut pas mettre en cause le fonctionnement du rseau de lorganisme

III-5 Mthodologie globale dune attaque :

Les hackers ayant l'intention de s'introduire dans les systmes informatiques recherchent dans
un premier temps des failles, c'est--dire des vulnrabilits nuisibles la scurit du systme,
dans les protocoles, les systmes dexploitation, les applications ou mme le personnel d'une
organisation ! Les termes de vulnrabilit, de brche ou en langage plus familier de trou de
scurit (en anglais security hole) sont galement utiliss pour dsigner les failles de scurit.

Pour pouvoir mettre en uvre un exploit (il s'agit du terme technique signifiant exploiter une
vulnrabilit), la premire tape du hacker consiste rcuprer le maximum d'informations
sur l'architecture du rseau et sur les systmes d'exploitations et applications fonctionnant sur
celui-ci. La plupart des attaques sont l'uvre de script kiddies essayant btement des exploits
trouvs sur internet, sans aucune connaissance du systme, ni des risques lis leur acte.

Une fois que le hacker a tabli une cartographie du systme, il est en mesure de mettre en
application des exploits relatifs aux versions des applications qu'il a recenses. Un premier
accs une machine lui permettra d'tendre son action afin de rcuprer d'autres informations,
et ventuellement d'tendre ses privilges sur la machine.

Lorsqu'un accs administrateur (le terme anglais root est gnralement utilis) est obtenu, on
parle alors de compromission de la machine (ou plus exactement en anglais root compromise),
car les fichiers systmes sont susceptibles d'avoir t modifis. Le hacker possde alors le
plus haut niveau de droit sur la machine.

S'il s'agit d'un pirate, la dernire tape consiste effacer ses traces, afin d'viter tout soupon
de la part de l'administrateur du rseau compromis et de telle manire pouvoir garder le plus
longtemps possible le contrle des machines compromises.

Le schma suivant rcapitule la mthodologie complte :

49
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Figure 19 : La mthodologie dune attaque


III-6 Test intrusif :

Les tests d'intrusion (en anglais penetration tests, abrgs en pen tests) consistent prouver
les moyens de protection d'un systme d'information en essayant de s'introduire dans le
systme en situation relle.

50
Audit de scurit des systmes
dinformation

On distingue gnralement deux mthodes distinctes :


Mission daudit de scurit de systme dinformation de lENIM

La mthode dite bote noire (en anglais black box ) consistant essayer
d'infiltrer le rseau sans aucune connaissance du systme, afin de raliser un test en
situation relle ;

La mthode dite bote blanche (en anglais white box ) consistant tenter de
s'introduire dans le systme en ayant connaissance de l'ensemble du systme, afin
d'prouver au maximum la scurit du rseau.

Une telle dmarche doit ncessairement tre ralise avec l'accord (par crit de prfrence) du
plus haut niveau de la hirarchie de l'entreprise, dans la mesure o elle peut aboutir des
dgts ventuels et tant donn que les mthodes mises en uvre sont interdites par la loi en
l'absence de l'autorisation du propritaire du systme. Un test d'intrusion, lorsqu'il met en
vidence une faille, est un bon moyen de sensibiliser les acteurs d'un projet. Cette phase de
laudit reste trs importante. En effet, elle permet de faire prendre conscience aux
responsables de la gravit de leurs vulnrabilits, face aux attaques dun esprit malveillant
interne lorganisme. Elle permet galement de donner un aperu de lampleur des
consquences nfastes qui pourraient advenir dans le cas o un esprit malveillant venait
exploiter leurs vulnrabilits.

Pour laccomplissement de cette tape, jai jou le rle de lattaquant tant lintrieur de
lorganisme. Puis jai install la version backtrack 5 R1 disponible sous format ISO sous une
plateforme virtuelle VMware Workstation 7.
Cette distribution se compose de diffrentes applications et jen ai utilis quelques-unes.
En se basant sur le Framework Metasploit la plateforme dattaque, les rsultats de Nessus et
nmap, dexploits et des payload afin de mener bien une attaque.
III-6-1 Utilisation de Mtasploit :

Mtasploit est une plateforme d'attaque, open source, base sur l'utilisation d'exploits afin
dexcuter un code arbitraire sur un hte distant. Chaque exploit est compos de payload. Ces

51
Audit de scurit des systmes
dinformation

derniers sont les codes qui sont excuts pour permettre le succs de lexploit. Le lancement
Mission daudit de scurit de systme dinformation de lENIM

dune attaque partir de Mtasploit seffectue en choisissant lexploit, le payload puis la


cible de lattaque.

La figure suivante montre la console de Metasploit.

Figure 20 : Console daccueil de Metasploit

Suite diffrentes investigations, diffrentes vulnrabilits ont t dcouvertes. Mtasploit,


dispose dexploits dans sa base, qui peuvent tre utiliss pour les vulnrabilits observes.
Pour tayer mes propos, jai trouv au sein de la base des exploits de Mtasploit,
ms08_067_netapi qui utilise une vulnrabilit de protocole SMB "port 445". Le rsultat de
52
Audit de scurit des systmes
dinformation

cet exploit rsulte sur une connexion entre la machine dauditeur et la machine cible (La
Mission daudit de scurit de systme dinformation de lENIM

victime) comme montre la figure suivante :

Figure 21: Attaque russie, connexion tablie.

Cet exemple illustre lexposition dont fait montre les serveurs de lorganisme. Une personne
malveillante peu dessein mettre mal le bon fonctionnement des serveurs mtiers.
III-7 Audit des commutateurs :
Les commutateurs au sein de laudit proviennent de la firme HP_Procurve aussi bien pour
les commutateurs dtage que les commutateurs fdrateurs, Linterconnexion des
commutateurs est effectue en pile (stack), chaque pile est constitue dun bloc de
53
Audit de scurit des systmes
dinformation

commutateurs, dont un joue le rle du commander et les autres des salves ; laccs chaque
Mission daudit de scurit de systme dinformation de lENIM

pile seffectue via une seule adresse IP et les autres composants de la pile comme des
modules, ce qui facilite le management de lactif.
Lpine dorsale de larchitecture est compose de deux Switch fdrateurs de la mme firme
HP_procurve.
Le tout est connect par fibre optique sous forme de deux principales Etoiles, chacune autour
dun fdrateur comme montre le schma 9 (La MAP du rseau LAN).
III-8 Audit des routeurs :
A ce niveau daudit, on na pas pu aller plus loin, du fait que le routeur de lENIM est sous la
gestion total de Meditel dans le cadre du rseau MARWAN.

Ce qui est important signaler, cest que le contrat en question charge loperateur de veiller
ce que ltat de sant du routeur en termes de scurit respecte les exigences en vigueur.

III-9 Audit des firewalls :


En termes de firewaling on va dtailler les principales fonctionnalits du firewall dont
dispose lENIM afin de monter quil rponde aux exigences en la matire

Gestion de la bande passante ;

Poursuite des adresses suspectes ;

Balcklisting des adresses bavardes ;

Deep inspection.

54
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Conclusion
Ce prsent chapitre ma permis certes de manipuler diffrents outils, mais il a t surtout
dune importance capitale pour mettre nu les failles de scurit de systme dinformation de
laudit. Suite aux rsultats des tests de vulnrabilits et dintrusion effectus, plusieurs
recommandations fournir sur le niveau organisationnel et technique. Le chapitre suivant mit
laccent sur ces prconisations.

55
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Chapitre V: Recommandations organisationnelles


et techniques

56
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Introduction :
Ce chapitre fait office de chapitre visant proposer des recommandations par rapport aux
diffrentes clauses de la norme ISO/IEC 27002. Egalement, au vu des vulnrabilits
constates lors du chapitre prcdent, je vais proposer une architecture rseau scuris.

IV-1 Recommandations au niveau organisationnel et physique :

Les recommandations suivantes visent apporter des suggestions pour amliorer laspect
organisationnel et physique de la scurit du systme dinformation de lENIM.

4.1.1 Politique de scurit :

La direction de lcole doit fournir les directives prcises et claires pour ldition dun
document de scurit qui renfermera la politique de scurit. Egalement, cette dernire doit
montrer son engagement et son appui pour ltablissement de cette politique. Ce document
une fois labor et approuv par la direction, pourra tre publi au personnel, tout en veillant
ne pas communiquer des informations sensibles. Aussi une revue rgulire de cette politique
de scurit doit tre planifie pour tenir compte des possibles changements qui surviendront.

4.1.2 Organisation de la scurit :

Organiser la scurit de lorganisme passe par ltablissement et la dsignation dun


Responsable de Scurit des Systmes dInformation (RSSI). Ce dernier devra documenter
toutes les mesures ou rgles de scurit quil devra mettre en uvre. Une dfinition claire et

57
Audit de scurit des systmes
dinformation

prcise des rles et responsabilits vis--vis de la scurit de linformation est ncessaire.


Mission daudit de scurit de systme dinformation de lENIM

Egalement, lcole doit se faire aider de spcialistes en scurit quand le besoin se fait sentir.

4.1.3 Classification et contrle des actifs :

Linventaire des actifs ne doit pas seulement tenir compte des quipements, mais galement
des documents. La classification et le contrle des actifs ncessitent une dfinition claire et
prcise des diffrentes classes dactifs possibles. Partant de ce fait, il serait aise de classer les
actifs et de les marquer de cette classe (exemple : politique dtiquetage), puis de les
accorder le niveau de scurit ncessaire. Aussi lorganisme doit prciser pleinement et
clairement les procdures lies la destruction des informations.

4.1.4 Scurit des ressources humaines :

Il est important de mettre en place une procdure dinformation et de formation continuelle du


personnel sur les risques de scurit, ainsi que leur contribution llaboration de cette
scurit. Llaboration de chartes prcisant le comportement avoir vis--vis des technologies
de communication est un moyen pour y parvenir. Aussi lcole doit apporter les changements
ncessaires en cas de dpart dun membre du personnel (surtout sil est li des informations
sensibles), pour rduire les risques datteinte la scurit de lcole de la part de cet employ.

4.1.5 Scurit physique et environnementale :

De faon intuitive, la scurit voque la scurit physique et environnementale, et cette vision


est bien une ralit au sein de lcole. Nempche que cette scurit doit sappuyer sur un
document qui lui est li et galement sur un contrle des moyens de scurit mis en place par

58
Audit de scurit des systmes
dinformation

des tests. Aussi lcole doit sassurer de la mise en uvre dune zone scurise des
Mission daudit de scurit de systme dinformation de lENIM

quipements rutiliser.

4.1.6 Gestion des communications et de lexploitation :

Lcole doit dfinir des procdures dexploitation du rseau qui spcifie lexcution du
traitement informatique, les sauvegardes ainsi que la gestion des anomalies. Egalement, pour
veiller au bon fonctionnement des quipements qui concourent la protection de lintgrit
physique aussi bien du local que de ces quipements. Il sagit entre autre de veiller au
fonctionnement des moyens rglementaires de lutte contre les incendies. Toujours pour veiller
lintgrit physique de son matriel informatique (serveurs), il est opportun de se doter
dune alarme qui serait active au cas o la temprature de la salle serveur serait au-dessus
dun seuil fix. Bien videmment il faudra dfinir des rondes par les gardiens autour de ces
locaux. Aussi, elle doit dfinir des critres rigoureux dacceptation dquipements. Afin de
dtecter les traitements dinformation non autoriss, il faut mettre en place une surveillance et
un log afin denregistrer les activits sur un systme donn. Pour une structure dune telle
envergure il serait ncessaire de se doter de serveur de Back Up afin dviter une interruption
de service en cas de dfaillance de lun des serveurs.

4.1.7 Contrle daccs :

Une gestion des accs utilisateurs est ncessaire pour permettre laccs aux personnes
autorises et empcher ceux ntant pas autoris daccder au systme dinformation. Aussi,
une politique efficace et rigoureuse de gestion de mots de passe utilisateurs doit tre dfinie et
applique au sein de lcole. Egalement, les droits daccs attribus aux utilisateurs doivent
tre revus de faon priodique par la direction concerne.

4.1.8 Acquisition, maintenance et dveloppement des systmes :

Linstauration de procdures pour assurer la confidentialit tel que le chiffrement ou la


signature lectronique doit faire partie des procdures dveloppes de lcole. Il sen suit donc
quune gestion des cls doit tre mise en place pour la meilleure organisation de lutilisation

59
Audit de scurit des systmes
dinformation

des techniques cryptographiques. Egalement assurer la scurit des fichiers de projets


Mission daudit de scurit de systme dinformation de lENIM

informatiques doit tre tenu.

4.1.9 Gestion des incidents de scurit :

Il est important de sassurer que les vnements de scurit, ainsi que les faiblesses relatives
au systme dinformation de lcole sont communiqus aux entits concernes qui se
chargeront dappliquer les mesures correctives dans les dlais les plus brefs.

Cela impose que la dfinition et la structuration de la remonte des incidents de scurit


doivent se faire afin de pouvoir agir immdiatement dans les cas urgents. Le personnel doit
tre inform de limportance signaler les failles de scurit dtectes. La gestion des
incidents de scurit doit attirer lattention des responsables de scurit. En effet une gestion
cohrente dincident survenu serait profitable pour lorganisme. Egalement un rapport dtaill
de cet incident permettrait de se prmunir dune rptition de ce dernier, ou dy faire face
rapidement en cas doccurrence du mme type dincident.

4.1.10 Gestion de la continuit dactivit :

Lcole peut tre confronte un dsastre de quelques origines et nimporte quel moment ;
celui-ci pouvant altrer le systme dinformation. Cest pourquoi il est important de mettre en
place des processus de recouvrement pour assurer la continuit dactivit de lcole. Cela
passe par llaboration dun plan de continuit dactivit qui rpond aux exigences de
scurit. Ce plan doit connatre une valuation de faon rgulire. Aussi, assurer la continuit
dactivit passe par le contrle continu et permanent des moyens de protection mis en uvre
ainsi que les sauvegardes qui sont effectues. Dailleurs ces dernires peuvent tre chiffres
pour plus de scurit.

4.1.11 Conformit :

60
Audit de scurit des systmes
dinformation

Etant donn que lcole traite des donnes caractre confidentiel(les salaires des employs,
Mission daudit de scurit de systme dinformation de lENIM

les notes des tudiants), ces dernires doivent rester secrtes. Dfinir des procdures daudit
internes doit tre intgr aux procdures de lcole.

IV-2 Recommandations au niveau technique :

Les recommandations de cette partie ne sont qu'une consquence des scans, des tests
d'intrusions effectus dans les prcdentes sections ainsi que de notre exprience en audit de
scurit.

R1. Fermeture des ports non utiliss.

Les ports non utiliss peuvent tre exploits tout moment par les attaquants comme porte
d'entre dans le systme.

Ils doivent tre ferms parce qu'ils prsentent un risque pour la scurit.

R2.Rendre les serveurs furtifs :

Les configurations par dfaut doivent tre vites au niveau des serveurs. Les informations
comme le type et la version du systme d'exploitation utilis, les versions des services qui
coutent sur les diffrents ports doivent tre caches et rendues inaccessibles lors des scans.
Les sections rserves cet effet se trouvent dans les fichiers de configuration des diffrents

61
Audit de scurit des systmes
dinformation

services. Les fichiers de configuration des diffrents serveurs doivent tre dits et modifis
Mission daudit de scurit de systme dinformation de lENIM

pour viter d'avoir des serveurs dits bavards .

Pour le serveur Apache par exemple, il faut ajouter les lignes suivantes dans le fichier
http.conf :

ServerTokens Prod
ServerSignature Off

R3. La mise jour des applications :

L'volution des applications ne concerne pas seulement les commodits d'utilisation au niveau
de l'interface et l'ajout des fonctions supplmentaires mais aussi la scurit de ces
applications. Ce dernier aspect n'est pas souvent peru par l'utilisateur non averti qui est de ce
fait insensible la mise jour des applications. Ainsi plusieurs versions d'une mme
application offrent souvent les mmes fonctions ainsi que les mmes commodits d'utilisation
mais les dernires versions corrigent souvent certains dtails de scurit qui ne sont pas
facilement perceptibles.

R4. Scurit des mots de passe :

Les mots de passe par dfaut au niveau des serveurs, des routeurs ainsi que des applications
rseaux doivent tre supprims et remplacs par des mots de passe plus srs ds la premire
utilisation de ces derniers. Bien plus, les mots de passe doivent tre choisis de manire
chapper aux attaques de type dictionnaire (noms, prnoms, date de naissance, mots du
langage courant) et aux attaques de force brute.

Pour combattre ce type d'attaques il est recommand de :

ne pas utiliser des mots du langage courant,

choisir des mots de passe longs (souvent au moins 8 caractres), avec une suite de
caractres totalement alatoires et avec des caractres spciaux,

62
Audit de scurit des systmes
dinformation

alterner les majuscules et les minuscules.


Mission daudit de scurit de systme dinformation de lENIM

R5 .Attaques sur les protocoles :

Je vais proposer dans cette section les parades prendre pour viter les attaques sur certains
protocoles : ARP, DHCP.

ARP-POISONING :

La solution la plus immdiate consiste saisir manuellement sur chaque poste la table de
toutes les adresses physiques prsentes sur le rseau local. Si elle est immdiate, cette solution
est quasiment inapplicable compte tenu du nombre d'htes connects au rseau local.

Une solution correcte consiste mettre en place un serveur DHCP avec une liste ferme de
correspondance entre adresses physiques (MAC) et IP. Relativement la solution prcdente,
la liste exhaustive des adresses physiques est centralise sur le serveur DHCP. On peut ensuite
configurer la journalisation du service pour que toute requte DHCP relative une adresse
MAC inconnue gnre un courrier vers l'administrateur systme ou rseau. Pour cela,
l'administrateur rseau peut utiliser sous Windows l'outil DHCPCMD pour configurer le
serveur dhcp en ligne de commande.

Cette deuxime solution convient galement pour pallier les attaques sur le serveur DHCP.

R6. Veille scurit :

Face lvolution rapide des dangers et des failles de scurit des systmes d'information et
des rseaux informatiques en particulier, seule la veille stratgique permet de rpondre aux
objectifs de continuit de service, elle permet ainsi dtre lcoute permanente des
nouveauts aussi bien au terme des attaques et intrusions que des solutions.

Pour assurer cette veille, les responsables scurit et veille doivent surveiller l'apparition de
nouvelles vulnrabilits et alerter sur les menaces ciblant les systmes et rseaux
informatiques. Compte tenu du faut que la cellule scurit et veille (appel dans dautres

63
Audit de scurit des systmes
dinformation

organismes R&D pour recherche et dveloppement), laudit est dans lobligation de


Mission daudit de scurit de systme dinformation de lENIM

renforcer lquipe pour pouvoir avoir assez de ressources affecter cette cellule et veiller
sa formation continue.

La veille scurit permet aux RSSI et leurs quipes d'anticiper les incidents de scurit :
intrusion, attaque virale, Dos,

Enfin, l'entreprise peut acqurir la version commerciale du logiciel d'analyse des


vulnrabilits connues Nessus pour bnficier des mises jour temps vu la criticit de ce
facteur.

R7.Audits internes de scurit :

Des audits internes de scurit doivent tre raliss de manire permanente et les
recommandations qui en dcoulent doivent intgrer la politique de scurit.

Conclusion

64
Audit de scurit des systmes
dinformation

A lissue de ce chapitre, on a trac les grandes lignes des recommandations adopter pour
Mission daudit de scurit de systme dinformation de lENIM

pallier aux failles dtectes, mais aussi des recommandations qui permettront de prvenir les
failles.

Perspectives :

Conventionnellement, mais pas dans tous les cas, les audits de scurits donnent suite
llaboration dune PSSI adapt lorganisme audit et selon les rsultats de laudit.

Comme dans ce cas de figure, la finalit tait autre que laboutissement dune PSSI, il ne
mest pas possible, toutefois de passer ct de limportance de la PSSI.

Pour cette raison, on en parle en guise de perspectives futures ; il sagit de pouvoir tirer parti
des rsultats de laudit ralis pour pouvoir modliser et rdiger une PSSI convenable .

A ce niveau, je recommande vivement lutilisation du MotOrbac qui se base sur le modle de


scurit OrBac.

65
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Conclusion gnrale

Laudit de scurit des systmes dinformation occupe une place de plus en plus importante
depuis ces dernires annes.
Ce projet consiste en laudit de scurit du systme dinformation de lcole nationale
dindustrie minrale. Pour se faire, jaborde ma mission daudit travers laudit
organisationnel et physique. Ce dernier se base sur une srie de questions en rfrence une
norme. Dans mon cas, il sagit de la norme ISO/IEC 27002 :2007, constitue donze
principaux contrles de scurit. Cette norme est une rfrence en matire de bonnes
pratiques de scurit. Grce au questionnaire ralis et layant soumis pour rponse
lorganisme audit, ce dernier prsente une conformit de 65% par rapport la norme ISO. Ce

66
Audit de scurit des systmes
dinformation

taux de conformit implique une forte maturit en termes de scurit. Suite laudit
Mission daudit de scurit de systme dinformation de lENIM

organisationnel, fait place laudit technique. Cette phase est loccasion de manipuler certains
outils dans le but de dcouvrir larchitecture rseau, de dtecter les vulnrabilits lies aux
services et de raliser des attaques en se basant sur ces vulnrabilits. La dcouverte du rseau
est possible en utilisant des outils comme Nmap et Networkview. Certains outils (Nessus)
maident scanner les vulnrabilits des services sur lensemble du rseau. Je constate que de
nombreux services enregistrent des vulnrabilits critiques. Par la suite jai exploit ces
vulnrabilits en utilisant par exemple Mtasploit pour la ralisation dattaques. Une fois ces
insuffisances de scurit constates je propose des recommandations sur les aspects
organisationnels physique et technique.

Bibliographies :

Livre Tableau de bord de la scurit rseau de Cdric Llorens , Laurent Levier, Denis
Valois.

Livre de scurit informatique Ethical hacking Apprendre lattaque pour mieux se


dfendre .

Livre dALEXANDRE FERNANDEZ-TORO Management de la scurit de linformation


Mise en place dun SMSI et audit de certification 2e Edition Implmentation ISO 27001 .

Documentation de rfrence nmap : http://insecure.org/nmap/man/fr/man-port-scanning-


techniques.html, mai 2007.

Guillaume Desgeorge. La scurit des rseaux. Disponible sur http://www.guill.net/, mai


2008.

David Burgermeister, Jonathan Krier. Les systmes de dtection d'intrusions. Disponible


surhttp://dbprog.developpez.com, mai 2008.

67
Audit de scurit des systmes
dinformation

Webographies :
Mission daudit de scurit de systme dinformation de lENIM

http://projet.piratage.free.fr/menaces.html, mai 2007.

http://orbac.org/index.php?page=orbac&lang=fr

http://www.ansi.tn/fr/audit/modele_cc_audit.htm

http://www.commune-tunis.gov.tn/fr/mairie_administration.asp#2

http://www.commune-tunis.gov.tn/fr/prestation_service0.htm

www.ysosecure.com

http://www.ssi.gouv.fr/

http://www.clusif.asso.fr/fr/production/mehari/

http://www.ansi.tn/fr/audit/norme_iso15408.htm

Outils utiliss :

Backtrack http://www.remote-xploit.org/backtrack.html

Mtasploit http://www.metasploit.com/

Nessus http://www.nessus.org

Nmap http://insecure.org/nmap/
68
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM

Acronymes :
A:

AO : Appel doffre

ANSI : Agence Nationale de Systme dInformation

B:

BTS : Base Transceiver Station


69
Audit de scurit des systmes
dinformation

C:
Mission daudit de scurit de systme dinformation de lENIM

CPGE : Classes Prparatoires aux Grandes Ecoles

D:

DMZ : Demilitarized Zone

DNS : Domain Name Server

E:

ENIM : Ecole Nationale dIndustrie Minrale

I:

IEC : International Engineering Consortium


IDS : Intrusion Detection System

IPS : Intrusion Prevention System

L:

LAN: Local Area Network

M:

MARWAN:

P:

PSSI : Politique de scurit des Systmes dInformation

Q:

QSSI : Questionnaire de Scurit des Systmes dInformation

70
Audit de scurit des systmes
dinformation

R:
Mission daudit de scurit de systme dinformation de lENIM

RSSI : Responsable de Scurit des Systmes dInformation

S:

SI : Systme dInformation

SMSI : Systme de management de Systme dinformation

SMB :

U:

URL : Uniform Resource Locator

V:

VPN : Virtual Private Network

VLAN : Virtual Local Area Network

W:

WIFI : Wireless Fidelity

Annexes:

Questionnaire pour laudit organisationnel et physique se rfrant la


norme ISO/CEI 27002 :

Les rponses sont choisies de 0 6 comme suit :

Oui

71
Audit de scurit des systmes
dinformation

Partiellement oui
Mission daudit de scurit de systme dinformation de lENIM

Planifi

Non

Non applicable

1- Politique de scurit :

1-1- La politique de scurit de linformation est-elle documente et spcifientelle


clairement les objectifs de scurit de lorganisme, ainsi que des mesures de rvisions de cette
politique ?

La politique de scurit de lorganisme dfinie-t-elle :

1-2-une structure en charge de la dfinition de la politique de scurit des systmes


dinformation ainsi que de sa mise en place ?

1-3- un plan de continuit dexercice, une ducation aux exigences de scurit et aux risques
de scurit, les consquences dune violation des rgles de scurit ainsi que les
responsabilits des incidents de scurit ?

1-4- une structure charge de lvaluation des risques et de leurs gestions ?

1-5- des principes de scurit de l'information tel quils soient conforment la stratgie
d'affaires et aux objectifs de lorganisme ?

1-6 une prsentation de la stratgie de scurit de linformation aux employs ainsi quaux
partenaires de lorganisme?

1-7- les responsabilits gnrales et spcifiques lies la gestion de la scurit de


l'information ainsi que les incidents?

1-8- La politique de scurit dfinie bnficie-t-elle de lappui de la direction gnrale?

2- Organisation de la scurit :

72
Audit de scurit des systmes
dinformation

2-1- La direction soutient activement la politique de scurit au sein de lorganisme au moyen


Mission daudit de scurit de systme dinformation de lENIM

de directives claires, dun engagement dmontr, dattribution de fonctions explicites et dune


reconnaissance des responsabilits lies la scurit de linformation ?

2-2- Les activits relatives la scurit de linformation sont coordonnes par des
intervenants ayant des fonctions et des rles appropris reprsentatifs des diffrentes parties
de lorganisme ?

2-3- Les rgles de scurit prcisent t-elles une dfinition claire des tches, rles spcifiques
affectation des responsables de scurit de linformation ?

2-4 Existe-t-il une dfinition des possibles utilisations des informations confidentielles ?

2-5 Existe-t-il une dfinition des possibles utilisations des informations confidentielles ?

2-6 Les risques d'accs des tiers sont ils identifis et contrls?

2-7 Existe-il un contrat formel contenant, ou se rfrant toutes les exigences de scurit pour
assurer la conformit avec les politiques de scurit de l'organisation et les normes

2-8 Les exigences de scurit sont abordes dans le contrat avec le tiers, lorsque l'organisation
a confi la gestion et le contrle de tout ou partie de ses systmes d'information, rseaux et /
ou environnements de bureau?

2-9- Les informations sensibles sont-elles protges de l'accs des partenaires de l'organisme ?

3- Classification et contrle des actifs

3-1 Les actifs de lorganisme sont ils identifis et rpertoris ?

3-2 A chaque actif est-il associ un propritaire qui doit en assurer galement la responsabilit
?

3-3 Les actifs sont ils classifis suivant un degr de protection ?

3-4 La classification bnficie elle dune documentation dtaille ?

4- Scurit des ressources humaines

4-1 Les rles et responsabilits en matire de scurit des salaris, contractants et utilisateurs
tiers sont-ils dfinis et documents conformment la politique de scurit de linformation
de lorganisme?

73
Audit de scurit des systmes
dinformation

4-2 Lorganisme saccorde t-il les moyens de vrifier lauthenticit et la vracit des diplmes
Mission daudit de scurit de systme dinformation de lENIM

et documents fournis par les potentiels futurs employs ?

4-3 Le personnel est il inform de ces responsabilits vis--vis de la scurit des actifs :

- Avant lembauche,

- Pendant la priode de son exercice,

- Aprs remerciement ?

4-4 Les termes et conditions de l'emploi couvre la responsabilit de l'employ pour la scurit
des informations. Le cas chant, ces responsabilits pourraient continuer pendant une priode
dfinie aprs la fin de l'emploi?

4-5 Existe-t-il des sessions (de sensibilisation et dducation) dinformation du personnel sur
la scurit des systmes dinformation de lorganisme?

4-6 Existe- il un processus disciplinaire formel labor pour les salaris ayant enfreint les
rgles de scurit ?

5- Scurit Physique et Environnementale

5-1 Les zones contenant des informations et des moyens de traitement de linformation sont-
elles protges par des primtres de scurit (obstacles tels que des murs, des portes avec un
contrle daccs par cartes, ou des bureaux de rception avec personnel daccueil)?

5-2 Existe-t-il une politique de contrle des entres et sorties des locaux de lorganisme
(humains, actifs) ?

5-3 Le service de traitement d'information est protg contre les catastrophes naturelles et
celles causes par l'homme ?

5-4 Existe t-il une politique de prvention et de gestion des incendies ?

5-5 Les points daccs tels que les zones de livraison/chargement et les autres points par
lesquels des personnes non habilites peuvent pntrer dans les locaux sont-ils contrls?

5-6 Les quipements ont t situs dans un endroit appropri afin de minimiser l'accs inutile
dans les zones de travail ?

5-7 Existe-t-il une protection contre les risques de menaces potentielles (le vol, le feu, les
explosifs, surtension, variation de tension) ?

5-8 Le cblage lectrique est il conforme aux rgles de scurit ?

74
Audit de scurit des systmes
dinformation

5-9 Les quipements acquis suivent-ils une politique de maintenance ?


Mission daudit de scurit de systme dinformation de lENIM

5-10 La maintenance est effectue seulement par les personnels autoriss ?

5-11 Sassure-t-on que les quipements abandonner sont dpourvues dinformations


importantes pour la scurit de lorganisme ?

5-12 Existe-t-il une documentation lie la scurit physique et environnementale?

5-13 Des vrifications ponctuelles ou des audits rguliers ont t effectus pour dtecter le
retrait non autoris de la proprit?

6- Gestion des tlcommunications et de lexploitation

6-1 La politique de scurit identifie toutes les procdures dexploitations telles que Back-up,
maintenance des quipements, etc ?

6-2 Les changements apports aux systmes et moyens de traitement de linformation sont-ils
contrls ?

6-3 Les journaux d'audit sont maintenus pour toute modification apporte aux programmes de
production?

6-4 Existe-t-il une politique de gestion des incidents de scurit ?

6-5 Existe-t-il une distinction entre les phases de dveloppement, de test et dintgration
dapplications ?

6-6 Lutilisation des ressources est surveille et ajuste au plus prs, et des projections sont-
elles faites sur les dimensionnements futurs pour assurer les performances requises par le
systme ?

6-7 Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers, cheval de
Troie,.) ainsi quune mise jour priodique et constante de ces derniers ?

6-8 Des copies de sauvegarde des informations et logiciels sont-elles ralises et soumises
rgulirement essai conformment la politique de sauvegarde convenue ? Exemple: Mon-
Thu: Incremental Backup and Fri: Full Backup.

6-9 Les rseaux sont-ils grs et contrls de manire adquate pour quils soient protgs des
menaces et pour maintenir la scurit des systmes et des applications utilisant le rseau,
notamment les informations en transit ?

6-10 Existe-t-il des procdures mises en place pour la gestion des supports amovibles ( disks,
cassettes, carte mmoire et reports) ?
75
Audit de scurit des systmes
dinformation

6-11 Des procdures de manipulation et de stockage des informations sont tablies pour
Mission daudit de scurit de systme dinformation de lENIM

protger ces informations dune divulgation non autorise ou dun mauvais usage ?

6-12 Existe-il des politiques, procdures et mesures dchange formelles mises en place pour
protger les changes dinformations lies tous types dquipements de tlcommunication ?

6-13 Les informations lies aux transactions en ligne sont protges pour empcher la
transmission incomplte, les erreurs dacheminement, la modification non autorise, la
divulgation non autorise, la duplication non autorise du message ou la rmission ?

6-14 Les informations lies la messagerie lectronique sont protges de manire adquate ?

7- Contrle daccs

7-1 Les besoins de l'entreprise pour le contrle d'accs ont t dfinis et documents ?

7-2 Existe-t-il une politique de contrle d'accs qui traite les rgles et les droits pour chaque
utilisateur ou un groupe d'utilisateurs ?

7-3 Une procdure formelle dinscription et dsinscription des utilisateurs destine accorder
et supprimer laccs tous les systmes et services dinformation est-elle dfinie ?

7-4 Lattribution et lutilisation des privilges sont-ils restreint existe-il un processus


d'examen des droits d'accs des utilisateurs intervalles rguliers. Exemple: examen privilge
spcial tous les 3 mois, les privilges normaux tous les 6 mois et contrles ?

7-5 Existe-t-il une procdure mise en place pour guider les utilisateurs dans le choix et le
maintien de mots de passe scuriss?

7-6 les utilisateurs et les entrepreneurs soient mis au courant des exigences et procdures de
scurit pour la protection de l'quipement sans surveillance, ainsi que leur responsabilit de
mettre en uvre une telle protection?

7-7 Existe-t-il une politique dauthentification forte pour laccs aux services rseaux?

7-8 existe-t-il un mcanisme d'authentification pour contester les connexions externes.


76
Audit de scurit des systmes
dinformation

7-9 Existe-t-il un contrle de connexion rseau pour les rseaux partags qui s'tendent au-
Mission daudit de scurit de systme dinformation de lENIM

del des frontires organisationnelles. Exemple: courrier lectronique, l'accs Internet,


transferts de fichiers, etc ?

7-10 Un identifiant unique est fourni chaque utilisateur tels que les oprateurs, les
administrateurs systme et tous les autres membres du personnel, y compris technique ?

7-11 Existe il un systme de gestion des mots de passe qui applique des contrles de mot de
passe diffrents tels que: mot de passe individuel, de faire appliquer les modifications de mot
de passe, mots de passe sous forme crypte, pas afficher les mots de passe sur l'cran, etc ?

7-12 Existe-t-il une procdure de surveillance de l'utilisation des technologies de 'information


par le personnel?

7-13 La protection de linformatique nomade est elle assure ainsi que les sances de tl
travail ?

8- Acquisition, dveloppement et maintenance des systmes

8-1 Sassure-t-on que lquipement acqurir rpondra aux besoins exprims ?

8-2 La garantie de la confidentialit, lauthenticit et lintgrit de linformation seffectue-t-


elle au moyen de signature lectronique ou de cryptographie ?

8-3 Existe-t-il une politique de maintenance priodique et assidue des quipements ?

8-4 La scurit de la documentation du systme dinformations elle assure ?

8-5 Une politique dutilisation des mesures cryptographiques en vue de protger linformation
est labore et mise en uvre ?

8-6 Sassure-t-on du non rgression de service lors du dveloppement ou de lintgration


nouveaux services

8-7 Existe-il une procdure de gestion des cls mise en place pour favoriser lutilisation par
lorganisme de techniques cryptographiques. ?

8-8 Des procdures sont mises en place pour contrler linstallation du logiciel sur les
systmes en exploitation ?

8-9 Laccs au code source du programme est-il restreint ?

8-10 La mise en uvre des modifications est-elle contrle par le biais de procdures
formelles ?

77
Audit de scurit des systmes
dinformation

8-11 Lorsque des modifications sont apportes aux systmes dexploitation, les applications
Mission daudit de scurit de systme dinformation de lENIM

critiques mtier sont-ils rexamines et testes afin de vrifier labsence de tout effet
indsirable sur lactivit ou sur la scurit ?

9- Gestion des incidents lis la scurit de linformation :

9-1 Les vnements lis la scurit de linformation sont-ils signals, dans les meilleurs
dlais, par les voies hirarchiques appropries ?

9-2 Existe-t-il un report dtaill des incidents qui surviennent ?

9-3 Est-il dfini une politique de rpartition des responsabilits en cas dincident ?

9-4 Les potentielles faiblesses descelles font elles objet de rapport complet et dtaill ?

9-5 Des responsabilits et des procdures sont-elles tablies, permettant de garantir une
rponse rapide, efficace et pertinente en cas dincident li la scurit de linformation

9-6 Des mcanismes sont-ils mis en place, permettant de quantifier et surveiller les diffrents
types dincidents lis la scurit de information ainsi que leur volume et les cots associs ?

9-7 Lorsquune action en justice civile ou pnale est engage contre une personne physique
ou un organisme, la suite dun incident li la scurit de linformation, les lments de
preuve sont-ils recueillis, conservs et prsents conformment aux dispositions lgales
relatives la prsentation de preuves rgissant la ou les juridiction(s) comptente(s) ?

10-Continuit des activits

10-1 Un processus de continuit de lactivit dans lensemble de lorganisme est-il labor et


gr, qui satisfait aux exigences en matire de scurit de linformation requises pour la
continuit de lactivit de lorganisme ?

Les vnements pouvant tre lorigine dinterruptions des processus mtier sont-ils
identifis, tout comme la probabilit et limpact de telles interruptions et leurs consquences
pour la scurit de linformation ?

10-2 Les units organisationnelles lies la scurit informatique ont-elles t dfinies?

10-3 Existe-t-il un plan de reprise en cas de dsastre ?

10-4 En cas de changement dquipe de travail, la continuit de service est elle assure ?
10-5 Existe-t-il une politique de sauvegarde dautres actifs de lorganisme ?
78
Audit de scurit des systmes
dinformation

10-6 Existe t-il une (des) alarme(s) pour lavertissement lors daccs aux actifs sensibles en
Mission daudit de scurit de systme dinformation de lENIM

dehors des heures de travail ou en cas daccs non autoriss?

10-7 Un plan de continuit dactivit est il dfini ?

11-Conformit

11-1 Tous les lgislatives pertinentes, les exigences rglementaires et contractuelles ont t
explicitement dfinis et documents pour chaque systme d'information.

11-2 Le droit la proprit intellectuelle et la protection des donnes personnelles sont-ils


prservs ?

11-3 Existe-t-il des procdures qui sont bien mises en uvre ?

11-4 Les dossiers importants de l'organisation sont protgs de la destruction et de la perte ?

11-5 Les utilisateurs sont-ils dissuads de toute utilisation de moyens de traitement de


linformation des fins illgales ?

11-6 Des mesures cryptographiques sont-elles prises conformment aux accords, lois et
rglementations applicables ?

11-7 Existe-t-il une procdure dfinissant une bonne utilisation des technologies de
linformation par le personnel ?

11-8 Existe-t-il une procdure daudit interne et rgulier de lorganisme ?

11-9 Laccs aux outils daudit du systme dinformation est-il protg afin dempcher tous
mauvais usage ou compromission ventuels ?

79

Оценить