Chapitre 4: Audit de sécurité

Cours préparé et animé par A.MOHAMMEDI

1
1. Définition
• Un audit de sécurité consiste à s’appuyer sur un tiers de confiance
afin de valider les moyens de protection mis en œuvre
• Un audit de sécurité permet de s’assurer que l’ensemble des
dispositions prises par l’entreprise sont réputées sures.

2
2. Rôle et objectifs d’audit
• L’audit de sécurité est une mission d’évaluation de conformité par rapport à
une politique de sécurité ou à défaut par rapport à un ensemble de règles
de sécurité.
• Principe : auditer rationnellement et expliciter les finalités de l’audit, puis
en déduire les moyens d’investigations jugés nécessaires et suffisants.
• L’objectif principal d’une mission d’audit de sécurité c’est de répondre aux
préoccupations concrètes de l’entreprise, notamment de ses besoins en
sécurité, en :
Déterminant les déviations par rapport aux bonnes pratiques.
Proposant des actions d’améliorations de niveau de sécurité de l’infrastructure
informatique.

3
• Cependant, l’audit de sécurité peut présenter un aspect préventif.
C'est-à-dire qu’il est effectué de façons périodiques afin que
l’organisme puisse prévenir les failles de sécurité. Egalement, l’audit
peut s’imposer suite à des incidents de sécurité.

4
3. Contenu de l’audit
• L’opération d’audit prend notamment en compte des éléments
suivants :
Descriptif des matériels, logiciels et documentations.
Appréciation globale de l’adéquation entre les besoins et le système
d’information existant.
Examen des méthodes d’organisation, de contrôle et de planification des
services informatiques.
Appréciation de la formation, de la qualification et de l’aptitude du personnel.
Appréciation de la qualité, de l’accès, de la disponibilité et de la facilité de
compréhension de la documentation.

5
4. Cycle de vie d’un audit de sécurité
• Le processus d’audit de sécurité est un processus répétitif et
perpétuel. Il décrit un cycle de vie qui est schématisé à l’aide de la
figure suivante:

6
• L’audit de sécurité informatique se présente essentiellement suivant
deux parties comme le présente le précédent schéma :
L’audit organisationnel et physique.
L’audit technique.
• Une troisième partie optionnelle peut être également considérée. Il
s’agit de l’audit intrusif. Enfin un rapport d’audit est établi à l’issue de
ces étapes. Ce rapport présente une synthèse de l’audit. Il présente
également les recommandations à mettre en place pour corriger les
défaillances organisationnelles et techniques constatées.

7
5. Démarche de réalisation d’une mission
d’audit
• Tel que précédemment évoqué, l’audit de sécurité des systèmes
d’information se déroule généralement suivant deux principales
étapes. Cependant il existe une phase tout aussi importante qui est
une phase de préparation.
• Nous schématisons l’ensemble du processus d’audit à travers la
figure suivante :

8
9
5.1 Préparation de l’audit
• Cette phase est aussi appelée phase de pré audit. Elle constitue une
phase importante pour la réalisation de l’audit sur terrain. En
synthèse on peut dire que cette étape permet de :
Définir un référentiel de sécurité (dépend des exigence et attentes des
responsables du site audité, type d’audit).
Elaboration d’un questionnaire d’audit de sécurité à partir du référentiel et
des objectifs de la mission.
Planification des entretiens et informations de personnes impliquées.

10
5.2 Audit organisationnel et physique
a- Objectif
Dans cette étape, il s’agit de s’intéresser à l’aspect physique et
organisationnel de l’organisme cible, à auditer.
Nous nous intéressons donc aux aspects de gestion et d’organisation
de la sécurité, sur les plans organisationnels, humains et physiques.
Les objectifs visés par cette étape sont donc :
D’avoir une vue globale de l´état de sécurité du système d´information,
D´identifier les risques potentiels sur le plan organisationnel.

11
b- Déroulement
Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche
méthodologique qui s’appuie sur un ensemble de questions. Ce
questionnaire préétabli devra tenir compte et s’adapter aux réalités de
l’organisme à auditer. A l’issu de ce questionnaire, et suivant une
métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le
niveau de maturité en termes de sécurité de l’organisme, ainsi que la
conformité de cet organisme par rapport à la norme référentielle de
l’audit.

12
5.3 Audit technique
a- Objectif
Cette étape de l’audit sur le terrain vient en seconde position après
celle de l’audit organisationnel. L’audit technique est réalisé suivant une
approche méthodique allant de la découverte et la reconnaissance du
réseau audité jusqu’au sondage des services réseaux actifs et
vulnérables. Cette analyse devra faire apparaître les failles et les
risques, les conséquences d’intrusions ou de manipulations illicites de
données.

13
Au cours de cette phase, l’auditeur pourra également apprécier l’écart
avec les réponses obtenues lors des entretiens. Il sera à même de
tester la robustesse de la sécurité du système d’information et sa
capacité à préserver les aspects de confidentialité, d’intégrité, de
disponibilité et d’autorisation.

14
b- Déroulement
L’audit technique sera réalisé selon une succession de phases respectant une
approche méthodique. L’audit technique permet la détection des types de
vulnérabilités suivantes, à savoir :
Les erreurs de programmation et erreurs d’architecture.
Les erreurs de configurations des composants logiques installés tels que les services
(ports) ouverts sur les machines, la présence de fichiers de configuration installés par
défaut, l’utilisation des comptes utilisateurs par défaut.
Les problèmes au niveau du trafic réseau (flux ou trafic non répertorié, écoute
réseau,...).
Les problèmes de configuration des équipements d’interconnexion et de contrôle
d’accès réseau.

15
Phase 1 : Audit de l’architecture du système
Reconnaissance du réseau et de plan d’adressage,
Sondage des systèmes,
Sondage réseau,
Audit des applications.
Phase 2 : Analyse des vulnérabilités
Analyse des vulnérabilités des serveurs en exploitation,
Analyse des vulnérabilités des postes de travail.
Phase 3 : Audit de l’architecture de sécurité existante Cette phase
couvre entièrement/partiellement la liste ci après :
16
Audit des firewalls et des règles de filtrage,
Audit des routeurs et des ACLs (Liste de contrôle d’accès),
Audit des sondes et des passerelles antivirales,
Audit des stations proxy,
Audit des serveurs DNS, d’authentification,
Audit des commutateurs,
Audit de la politique d’usage de mots de passe.

17
5.4 Audit intrusif
• Cet audit permet d’apprécier le comportement des installations
techniques face à des attaques. Egalement, il permet de sensibiliser
les acteurs (management, équipes sur site, les utilisateurs) par des
rapports illustrant les failles décelées, les tests qui ont été effectués
(scénarios et outils) ainsi que les recommandations pour pallier aux
insuffisances identifiées.

18
5.5 Rapport d’audit
• A la fin des précédentes phases d’audit sur le terrain, l’auditeur est
invité à rédiger un rapport de synthèse sur sa mission d’audit. Cette
synthèse doit être révélatrice des défaillances enregistrées. Autant
est-il important de déceler un mal, autant il est également important
d’y proposer des solutions. Ainsi, l’auditeur est également invité à
proposer des solutions (recommandations), détaillées, pour pallier
aux défauts qu’il aura constatés.
• Les recommandations devront inclure au minimum :

19
Une étude de la situation existante en termes de sécurité au niveau du site
audité, qui tiendra compte de l’audit organisationnel et physique, ainsi que les
éventuelles vulnérabilités de gestion des composantes du système (réseau,
systèmes, applications, outils de sécurité) et les recommandations
correspondantes.
Les actions détaillées (organisationnelles et techniques) urgentes à mettre en
œuvre dans l’immédiat, pour parer aux défaillances les plus graves, ainsi que
la proposition de la mise à jour ou de l’élaboration de la politique de sécurité
à instaurer.

20
6. La qualité des services de sécurité
6.1 Définition
• La qualité de service désigne l’ensemble de paramètre échangé pendant
une communication avec connexion pour que les informations passent
correctement.
• Appliquée aux réseaux à commutation de paquets « réseau basé sur
l’utilisation de routeurs », la qualité de service « Qos » désigne l’aptitude à
pouvoir garantir un niveau acceptable de perte de paquets, défini
contractuellement, pour un usage donné.
• Les services de sécurité peuvent avoir des niveaux de performance très
différents selon les mécanismes employés. Ces niveaux couvrent :
l’efficacité des services de sécurité.
leur robustesse (puissance)
leur mise sous contrôle.

21
6.2 L’efficacité des services de sécurité
• De même que certaines serrures (fermetures) sont plus faciles à violer
que d’autre, les services de sécurité sont conçus pour résister à des
niveaux d’attaque variables, selon les mécanismes mis en œuvre, ce
qui les rend plus ou moins efficaces.

22
6.3 Leur robustesse
• De même que certaines protections actives peuvent devenir
défaillantes sans que cela provoque une réaction, les services de
sécurité peuvent être étudiés pour détecter toute anomalie par des
mécanismes complémentaires, ce qui les rend plus ou moins
robustes.

23
6.4 Leur mise sous contrôle
• De même qu’un responsable ne sera véritablement sûr de la
protection apportée par la serrure de sécurité que s’il s’assure que les
occupants ferment effectivement à clé l’issue concernée.
• Les services de sécurité peuvent être accompagnés de mesure de
contrôle destinés à garantir la pérennité des mesures pratiques mises
en place, ce qui les rend plus ou moins ( sous contrôle).

24
7. Les risques de sécurité informatique
7.1 Les types de risques
• En ce qui concerne l’analyse de risque, on défini 12 types de menaces.
Accidents physiques.
Malveillance physique
Panne du SI
Carence de personnel.
Interruption de fonctionnement du réseau.
Erreur de saisie.
Erreur de transmission.
Erreur d’exploitation.
Erreur de conception/ développement.
Copie illicite de logiciels.
Indiscrétion/ détournement d’information
Attaque logique du réseau.

25
7.2 Classification des risques
7.2.1 Les risques Humains
• Les risques humains sont les plus importants, ils concernent les
utilisateurs mais également les informaticiens.
Malveillances : Certains utilisateurs peuvent volontairement mettre en
danger le système d’information en y introduisant en connaissance de causes
des virus, ou en introduisant volontairement de mauvaises informations dans
une base de données.
Maladresse : Comme en toute activité les humains commettent des erreurs,
ils leur arrivent donc plus ou moins fréquemment d’exécuter un traitement
non souhaité, d’effacer involontairement des données ou des programmes.
Inconscience : De nombreux utilisateurs d’outils informatiques sont encore
inconscients ou ignorants des risques qu’ils encourent aux systèmes qu’ils
utilisent, et introduisent souvent des programmes malveillants sans le savoir.
26
7.2.2 Les risques Techniques
• Programmes malveillants : C’est un logiciel développé dans le but de
nuire à un système informatique. Voici les principaux types de
programmes malveillants :
Le virus : Programme se dupliquant sur d’autres ordinateurs.
Le ver : Exploite les ressources d’un ordinateur afin d’assurer sa reproduction.
Le Cheval de Troie : Programme à apparence légitime qui exécute des
routines nuisibles sans l’autorisation de l’utilisateur.
• Accidents : il s’agit là d’un évènement perturbant les flux de données
en l’absence de dommages aux équipements (panne, incendie, dégâts
des eaux d’un serveur ou centre informatique,..).

27
• Erreurs : que ce soit une erreur de conception, de programmation de
paramétrage ou de manipulation de données ou de leurs supports,
l’erreur désigne les préjudices consécutifs à une intervention humaine
dans le processus de traitement automatisé des données.
• Technique d’attaques par messagerie : en dehors de nombreux
programmes malveillants qui se propagent par la messagerie
électronique, il existe des attaques spécifiques tels que :
Le Pourriel (Spam) : Un courrier électronique non sollicité, la plus part du
temps de la publicité. Ils encombrent le réseau.
l’Hameçonnage : un courrier électronique dont l’expéditeur se fait
généralement passer pour un organisme financier et demandant au
destinataire de fournir des informations confidentielles.

28
• Attaques sur le réseau : les principales techniques d’attaques sur le
réseau sont :
Le Sniffing : technique permettant de récupérer toutes informations
transitant sur le réseau. Elle est généralement utilisée pour récupérer les
mots de passe des applications qui ne chiffrent pas leurs communications.
La Mystification (Spoofing) : technique consistant à prendre l’identité d’une
autre personne ou d’une autre machine. Elle est généralement utilisée pour
récupérer des informations sensibles.

29
• Attaques sur les mots de passe : les attaques sur les mots de passe
peuvent consister à faire de nombreux essais jusqu’à trouver le bon
mot de passe.
L’attaque par dictionnaire : le mot testé est pris dans une liste prédéfinie
contenant les mots de passe les plus courants.
L’attaque par force brute : toutes les possibilités sont faites dans l’ordre
jusqu’à trouver la bonne solution.

30