République Tunisienne

Ministère de l’Enseignement Supérieur,

de la Recherche Scientifique et de la Technologie

Université de Sousse

Institut Supérieur des Sciences Appliquées et de Technologie

De Sousse (ISSATS)

 : issatso@ issatso.rnu.tn

Tél : 73 332 655

Fax : 73 332 658

Département de Génie InformatiqueDépartement INFORMATIQUE’’ DI ’’

Mini projet : Audit et QualitéAudit de sécurité d’un système d’information en

se référant à l’ISO 17799 et proposition d’une solution basée sur les produits

WNM 

2éme année formation ingénieur informatique industriellePAR :

CHEBBI WAHBI & BEN SLIMANE NABIL & BEN AMOR MOURAD

Enseigné par :Mr. .JGHAM WALID

Année Universitaire : 2011 / 2012

SommaireIntroduction Général..............................................................................................4

1. Présentation du réseau de l’ISSATSO...............................................................5

2. Les Différentes phases d’audit.........................................................................5

2.1 Audit des commutateurs..............................................................................5

2.2 Audit des routeurs.........................................................................................6

2.3 Audit du firewall..........................................................................................6

3. Audit des systèmes d’information avec la procédure <QQOQCP>....................6

4. Audit des systèmes d’information avec la procédure <Diagramme de Pareto>7

5. Solution proposée...............................................................................................8

5.1 Solutions technique.......................................................................................8

5.2 Solution Architecture....................................................................................8

5.3 Solution finale...............................................................................................9

Conclusion Général................................................................................................9

5. Procédure de réalisation de l’audit.....................................................................9

Introduction Général

La   sécurité  des   systèmes  d’information constitue  un domaine  qui  a   toujours  été  d’actualité, encore plus de nos  jours vu  les mutations et avancées permanentes qui surviennent  dans  le monde des technologies de l’information. Garantir la sécurité d’un système d’information n’est pas une tâche ponctuelle. Elle constitue un processus continue et cyclique qui s’effectue autour des points suivants :

La   protection   :   Définir   nos   ressources   sensibles   à   protéger   ainsi   que   les   mécanismes   de 

protection.

La détection : Détecter les failles aux quelles sont exposées nos ressources.

La réaction : Définir les solutions à mettre en place pour la correction.

La révision : S’assurer que nos correctifs ne sont pas en conflit avec les politiques de sécurité déjà 

en place et s’y intègre parfaitement.

Un moyen pour suivre la sécurité d’un système d’information de façon continue est d’effectuer un audit de sécurité des systèmes d’information de façon périodique. C’est dans ce contexte que s’inscrit ce projet qui vise l’audit du système d’information de l’Institue Supérieur des Sciences Appliquées et Technologie de Sousse (ISSATSO). 

Pour se faire, nous présenterons certains concepts clé de l’audit  des systèmes d’information, ainsi que notre organisme cible. Par la suite, nous entamerons notre mission d’audit par l’audit organisationnel et physique, ensuite l’audit technique. Enfin notre mission d’audit s’achèvera par un ensemble de recommandations et la proposition d’une solution technique pour améliorer la sécurité du système d’information d’ISSATSO.

1. Présentation du réseau de l’ISSATSO

L e réseau global de l’ISSATSO  est un MAN (Metropolian Area Network).

Ce   dernier   se   constitue   de   différents   sites   distants.   En   plus   de   ces   sites   distants,   il   inclut également   une   interconnexion   avec   des   partenaires   tels   que   le   CNI   ou   le   ministère   de l’enseignement   et   de   recherche.   Ces   interconnexions   permettent   un   échange   de   données permanent   entre   site   central,   sites   distants   et   partenaires.   Les   sites   distants   se   composent d’arrondissements ainsi que de Régies et Recettes. L’interconnexion entre ces différentes entités est possible au moyen de lignes spécialisées ou Frame Relay (voir figure 1):

Figure 1-Réseau de l’ISSATSO

2. Les Différentes phases d’audit

2.1 Audit des commutateursLes commutateurs au sein de l’ISSATSO proviennent de trois firmes différentes :

9 commutateurs HP composés de 24 ports Ethernet chacun, et d’un port SPF.

2 commutateurs Huawei, composés de 24 ports Ethernet et 2 ports SPF.

1 commutateur 3com, composés de 24 ports Ethernet et deux ports SPF.

L’interconnexion des commutateurs est effectuée suivant une cascade. En effet, le Switch de la firme 3COM joue le rôle de Switch fédérateur. Par la suite, les autres Switch (HP et Huawei) sont connectés à ce dernier suivant une connexion en étoile.

2.2 Audit des routeursL’ISSATSO de Sousse s’est dotée de routeurs de marque Cisco. Ils sont de deux gammes à savoir :

2 routeurs Cisco 2600

3 routeurs Cisco 1600

2.3 Audit du firewallL’ISSATSO   possède   un   firewall   de   la   gamme   SG   300.   Cet   équipement   est   l’interface   entre l’Internet et le réseau de l’ISSATSO. Doté de 4 ports, il gère le trafic provenant de l’Internet et celui dirigé vers Internet. Il n’autorise que les connections de type ftp, http, smtp, pop3, Ping. En plus de la gestion de l’accès, en se basant sur les règles d’accès définies au niveau de sa politique de   sécurité,   il   permet   aussi   le   NAT   (Network   address   translator).   Ce   service   permet   une conversion d’adresse IP, de sorte à préserver l’identité des adresses IP du réseau.

3. Audit des systèmes d’information avec la procédure <QQOQCP>

Quoi ?

-Auditer des applications et des systèmes d’information

-identifier le système de communication

Pourquoi ?

-sécurité  des données

-Intégrité  et confidentialité des données 

-éviter des erreurs de manipulation

-communiquer avec  des composant de manière distribuer et performant

Comment?

-mettre en place un système  

d information bien structure 

-utiliser du firewall pour la sécurité de réseau de

 L’issat 

-utiliser un certificat de chiffrement 

-Utiliser le système NFS pour la détection des intrusionsQue ce qui est concerné ?

-le système de l’entreprise

-les personnels de l’issat

-les ordinateurs de l’issat

-les routeurs

-les serveurs 

Pour qui ?

- les responsables et les chefs de département 

- les techniciens informatiques

Ou ?

- les bureaux des personnels

-département informatique

-système de sécurité soft et hard

4. Audit des systèmes d’information avec la procédure <Diagramme de Pareto> 

Le diagramme de Pareto est élaboré en plusieurs étapes : 

1. Déterminer le problème à résoudre. 2. Faire une collecte des données (par exemple en utilisant la fiche de collecte des données) ou 

utiliser des données déjà existantes. 3. Classer les données en catégories et prévoir une catégorie "Divers" pour les catégories à peu 

d'éléments. 4. Quantifier l'importance de chaque catégorie et déterminer le pourcentage de chacune par 

rapport au total. 5. Classer   ces   pourcentages   par   valeur   décroissante,   la   catégorie   "Divers"   est   toujours   en 

dernier rang. 6. Représenter les données sous forme d'un histogramme. 

Pour  représenter   le  diagramme de Pareto  il   faut  adapter  les  étapes vue précédemment a notre problème 

Le problème :Auditer le système d’information de l issat   et élaborer un rapport contenant les failles(les problèmes) non conforme a la norme 17799

Causes  Nbre de fois  %  Cumul 

Des ports sont ouverte mais nom utilisable 22 fois  44%  44% 

Personnel non qualifie pour ce type de processus  19 fois  38%  82% 

Le système réseau est mal installer  5 fois  10%  92% 

Pas de firewall au niveau de réseau local   2 fois  4%  96% 

Des problèmes de cryptage (absences de certificat)pour le système de chiffrement des données  2 fois  4%  100% 

Total  50 fois  100%    

Classer ces pourcentages par valeur décroissante, la catégorie "Certif de chiffrement" est toujours en dernier rang. Représenter les données sous forme d'un histogramme

5. Solution proposée

5.1 Solutions technique La solution technique nous proposons sur  le réseau MAN de l’ISSATSO que tient compte des aspects suivants :

La haute disponibilité des ressources, afin d’assurer la continuité de service.

L’intégrité des données pour s’assurer de leur non falsification.

La confidentialité, du fait que nous aurons à véhiculer des informations à caractère personnel.

Le contrôle du trafic interne au site central de l’ISSATSO, pour éviter les intrusions.

Pour tenir compte de l’ensemble des aspects précédemment évoqués, nous allons exploiter de façon optimale les fonctionnalités offertes par le firewall StoneGate en matière de réseau privé virtuel sécurisé, de partage de charge, de continuité de service et de la sonde IPS en terme de prévention d’intrusion, d’analyse en temps réel du trafic, d’alerte et de la réaction à adopter.

5.2 Solution Architecture Dans le but d’assurer une connexion permanente entre le site central de l’ISSATSO de Tunis et les sites distants,  nous proposons une solution qui permet de garantir de façon concomitante la continuité de service, le partage de charge ainsi que la sécurité du trafic réseau.

La mise en place de notre solution se base sur les préalables suivants :

Révision du plan d’adressage.

Répartition du réseau en VLAN.

Equipement de chaque site distant de firewall

Disposition de connexion Internet pour les sites distants.

Les failles (problèmes) de sécurité du SI de l’issat de Sousse

Acquisition de sonde IPS au niveau du site central.

5.3 Solution finaleLe schéma suivant présente l’architecture de la solution finale que nous proposons. Il résume les précédentes propositions que nous avons faites 

Figure 2- Architecture de la solution proposée

Conclusion Général

Nous avons  proposé  des  recommandations  et  une solution se  rapportant  à   l’architecture  du réseau  de   l’ISSATSO.   Cette   solution   à   été   adopté   en   prenant   comme  objectif   la   continuité d’activité, la disponibilité, la confidentialité des informations et la prévention d’intrusion.

5. Procédure de réalisation de l’audit

Procédure VersionA

RéférencePQ GEN 004

Réalisation des Audits Date 22/04/2012

Page 1/3

1- Objectif : Réaliser les processus d’audit pour un système d information 2-Domaine d’application : Cette application s’applique sur un système d information d une entreprise donnée a pour but le respect de certaine aspects:

Identifier les problèmes et les faille résidu dans les systèmes d information des entreprises

Assurer une sécurité optimale des informations et les protéger contre une violation illégale

Etablir une structure qui répond au besoin structurel de l entreprise en respectant le cahier de charge

Rendre les systèmes d information rigide contre les opérations de piratage 3-Responsabilité: Des experts spécialisés pour auditer des applications et des systèmes d informations4-Référence / Définition: ISO 9001 :2008 (chap. 7.2.3Communication avec les clients)5-Pièces jointes: Se sont les fichiers ou les documents qu’il faut compléter : PX_ Expert informatique FX_ Expert informatique

6-Description:

Rédigée par Vérifier par Approuvée par DiffusionNom : Nom : Nom :

Fonction : Fonction : Fonction :

Procédure VersionA

RéférencePQ GEN 004

Réalisation des Audits Date 22/04/2012

Page 2/3

Informations nécessaires au processus de communication 

avec l’entreprise

                                                                    (Ou- A Qui- Comment ?recours)

-Enregistrement de la demande

Par téléphone, e-mail ou courrier

Selon des critères : sécurité, complexité

-Etude approfondi des informations pertinentes et comparer avec la la norme internationale

élaboration du rapport d audit (établir les failles +donner des solutions

Réception de la demande d’audit

Accusé de réception

Evaluation du système

Correspondance avec les normes internationales

Rapport d audit

Communication avec des entreprises

opérations d audit passe avec succès obtenir la certificat

Obtenir le certificat

Rédigée par Vérifier par Approuvée par DiffusionNom :Fonction :

Nom :Fonction :

Nom :Fonction :

Procédure VersionA

RéférencePQ GEN 004

Réalisation des Audits Date 22/04/2012

Page 3/3

IX_ Expert informatique

FX_ Expert informatique

IX_ Expert informatique

Certification

Mise en place des contacts et des demandes des entreprises

pour réaliser

Identifier les failles de sécurité du SI de l’entreprise

Etablir un rapport d’audit spécifiant les différents problèmes techniques et structurel du SI (s il existe bien sur)

Début

Expert informatique

Expert informatique

PX_ Expert informatique

PX_ Expert informatique

Rédigée par Vérifier par Approuvée par DiffusionNom :Fonction :

Nom :Fonction :

Nom :Fonction :

                                                                             

Faire la correspondance du SI avec les normes

Expert informatique

Expert informatique

Certification du système

Expert informatique

Si oui