pages de audit securite systeme informatique mtic

7/25/2019 Pages de Audit Securite Systeme Informatique MTIC

1/15

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

0

MEMOIREDE STAGE DE FIN DETUDE

Pour lobtention du

MASTERE PROFESSIONNEL

Nouvelles Technologies des Tlcommunications et Rseaux

Prsent par :

Ayari Amani

Audit de Scurit du Systme

Informatique de MTIC

Soutenu le : 05/02/2014

Devant le jury : Mr : Khaled Ghorbel

Mme : Emna Souissi

Mme : Chiraz Houaidia
http://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2tr


2/15


1

Ama mre

pour toute laffection quelle me procure.

Amon pre

pour ses innombrables et prcieux conseils.

Ames frres et leurs conjointes

pour leur soutien.

Aux petites, Lina etFatouma

pour la joie quils me font vivre.

A mon fiancAhmed

Lhommeque jaime tantet avec qui je

construirai ma vie

Ama tanteMtira

Pour son soutien moral

Atoute ma famille, mes oncles, mes tantes,

mes cousins et mes cousines

A tous mes amis

Amani


3/15


2

Le travail prsent dans ce rapport a t effectu dans le cadre de ce projet de fin

dtudes pour lobtention du diplme de mastre professionnel en Nouvelles Technologies de

Tlcommunications et Rseaux lUniversit Virtuelle de Tunis (UVT)

Ce travail ralis au sein des locaux du Ministre des Technologies de lInformation et de

Communication(MTIC) a pu tre men terme grce la collaboration de certaines personnes

quil nous plat de remercier.

Je remercie galement Mr Khaled Sammoud mon encadreur pour ses conseils lucides et

pertinents.

Je tiens remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi

Moslypour la confiance quils ont su me tmoigner au cours de toute la dure d e ltude de mon

projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert

auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux.

Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une

valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai

trs reconnaissant.

Je remercie particulirement aux responsables et lquipement informatiqueau ministre pour

leur aide, leur patience et leur disponibilit.

Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de cetravail.

Amani


4/15


3

Table des matires

Introduction Gnrale ..........................................................................................................................7

Chapitre I : ......................................................................................................................................... 10

Gnralits et Etude de lArt............................................................................................................ 10

1- Introduction.................................................................................................................... 11

2- Gnralit sur la scurit informatique....................................................................... 11

3- Normes et standards relatives la scurit................................................................ 11

3.1- ISO/IEC 27001............................................................................................................. 12

3.2- ISO/IEC 27002............................................................................................................ 12

3.3- ISO/IEC 27005............................................................................................................ 13

4- Rle et objectifs daudit................................................................................................. 13

5- Cycle de vie dun audit de scurit des systmes dinformation............................ 14

6- Dmarche de ralisation dune mission daudit de scurit des systmesdinformation............................................................................................................................ 15

6.1-

Prparation de laudit............................................................................................ 15

6.2- Audit organisationnel et physique........................................................................ 16

6.3-

Audit technique...................................................................................................... 16

6.4-

Audit intrusif........................................................................................................... 18

6.5-

Rapport daudit....................................................................................................... 18

7- Lois relative la scurit informatique en Tunisie................................................... 19

8- Conclusion....................................................................................................................... 19

Chapitre II :........................................................................................................................................ 20

Prsentation de lorganisme daccueil et tude de lexistant.......................................................... 20

1- Introduction.................................................................................................................... 21

2- Prsentation de lorganisme daccueil......................................................................... 21

2.1-

Prsentation gnrale............................................................................................. 21

2.2-

Rles et attributions............................................................................................... 21

2.3-

Organigramme :...................................................................................................... 23

2.4-

Le bureau des systmes dinformation............................................................... 25

3- Description du systme informatique......................................................................... 25


5/15


4

3.1-

Inventaire des micro-ordinateurs et serveurs.................................................... 25

3.2-

Inventaire des logiciels et systme dexploitation........................................... 26

3.3-

Inventaire des quipements rseaux................................................................... 27

4- Architecture et topologie du rseau............................................................................ 28

4.1-

Plan dadressage...................................................................................................... 28

4.2-

Description de larchitecture rseau................................................................... 28

5- Aspects de scurit existante........................................................................................ 29

5.1-

Scurit physique................................................................................................... 29

5.2-

Scurit logique...................................................................................................... 30

5.3-

Scurit rseau......................................................................................................... 31

5.4-

Scurit des systmes............................................................................................. 31

6- Conclusion....................................................................................................................... 32

Chapitre III :....................................................................................................................................... 33

Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002.................... 33

1- Introduction.................................................................................................................... 34

2- Approche adopt............................................................................................................ 34

3- Droulement de la taxonomie organisationnel et physique.................................... 34

3.1-

Prsentation des interviews.................................................................................. 34

3.2-

Prsentation et interprtation des rsultats....................................................... 34

4-

Conclusion....................................................................................................................... 40

Chapitre IV: ....................................................................................................................................... 41

Taxonomies des failles techniques.................................................................................................... 41

1- Introduction.................................................................................................................... 42

2- Analyse de larchitecture rseau et systme............................................................... 42

2.1-

Reconnaissance du rseau et du plan dadressage........................................... 42

2.2-

Sondage systme et des services rseaux........................................................... 44

3- Analyse des vulnrabilits............................................................................................ 50

3.1-

Serveur Backup Mail.............................................................................................. 50

3.2-

Serveur SyGec......................................................................................................... 51

3.3-

Serveur de messagerie Lotus Notes.................................................................... 52

4- Analyse de larchitecture de scurit existante.......................................................... 53

4.1-

Analyse du Firewall............................................................................................... 54


6/15


5

4.2-

Analyse du Routeur Cisco..................................................................................... 54

4.3-

Analyse du Switch HP Procurve.......................................................................... 55

4.4-

Analyse de la politique dusage de mots de passe ........................................... 56

5- Conclusion....................................................................................................................... 57

Chapitre V :........................................................................................................................................ 58

Recommandations organisationnelles et physiques........................................................................ 58

1- Introduction.................................................................................................................... 59

2- Politique de scurit....................................................................................................... 59

3- Organisation de la scurit de linformation.............................................................. 59

4- Gestion des biens............................................................................................................ 60

5- Scurit lie aux ressources humaines........................................................................ 61

6-

Scurit physique et environnementale...................................................................... 62

7- Gestion des communications et de lexploitation...................................................... 63

8- Contrle daccs.............................................................................................................. 63

9- Dveloppement et maintenance des systmes........................................................... 64

10- Gestion des incidents..................................................................................................... 65

11- Gestion de la continuit dactivit............................................................................... 66

12- Conformit...................................................................................................................... 66

13- Conclusion....................................................................................................................... 67

Chapitre VI : ...................................................................................................................................... 68

Recommandations techniques........................................................................................................... 68

1- Introduction.................................................................................................................... 69

2- Recommandations.......................................................................................................... 69

3- Solution propose........................................................................................................... 72

3.1-

Dploiement complet dActive directory (Annexe 4)...................................... 72

3.2-

Windows Server Update Services...................................................................... 72

3.3-

Deuxime Switch HP Procurve............................................................................ 72

3.4-

Nouvelle architecture............................................................................................. 73

4- Conclusion....................................................................................................................... 73

Conclusion Gnrale.......................................................................................................................... 74

Bibliographie...................................................................................................................................... 77

Annexes.............................................................................................................................................. 79


7/15


6

TABLE DES FIGURES

Figure 1:Cycle de vie d'audit scurit ........................................................................................... 14

Figure 2:Processus d'audit ............................................................................................................ 15Figure 3:Site du ministre(MTIC) ................................................................................................ 22

Figure 4:Organigramme de MTIC ................................................................................................ 23

Figure 5:Stuctures de cabinet ........................................................................................................ 24Figure 6:Topologie du rseau du ministre(MTIC) ...................................................................... 29

Figure 7:Interface d'administration des onduleurs ........................................................................ 30

Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32

Figure 9:Rsultat de la taxonomie organisationnelle .................................................................... 39Figure 10:Rseau local .................................................................................................................. 43

Figure 11:Configuration rseau au niveau du poste ..................................................................... 44

Figure 12:Sondage des systmes dexploitation avec GFI LANguard......................................... 45

Figure 14:Sondage des services en activit du serveur Backup Mail ........................................... 46Figure 15:Sondage des services avec Zenmap.............................................................................. 46

Figure 16:Sondage des ports ouverts ............................................................................................ 47

Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47Figure 18:Capture des flux avec wireshark .................................................................................. 48

Figure 19:Partages rseau avec GFI LANguard ........................................................................... 49

Figure 20:Vulnrabilits (GFI LANguard) ................................................................................... 50

Figure 21:Capture du serveur Backup Mail .................................................................................. 51Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51

Figure 23:Serveur SyGec .............................................................................................................. 52

Figure 24:Serveur primaire messagerie ........................................................................................ 52Figure 25:Capture PuTTy ............................................................................................................. 55

Figure 26:Capture PuTTy(2)......................................................................................................... 55

Figure 27:Capture de la version du Switch ................................................................................... 56Figure 28:Capture des adresses IP autorises ............................................................................... 56

Figure 29:Nouvelle architecture scurise .................................................................................... 73

TABLE DESTABLEAUXTableau 1:liste des serveurs du MTIC .......................................................................................... 26

Tableau 2:liste des applications du MTIC .................................................................................... 27

Tableau 3:liste des quipements rseaux de MTIC ...................................................................... 27Tableau 4:liste des plans d'adressage ............................................................................................ 28


8/15


7

Introduction Gnrale


9/15


8

Le prsent rapport entre dans le cadre de ralisation dune mmoire du mastre

professionnel Nouvelles Technologies des Tlcommunications et Rseaux

lUniversit Virtuelle de Tunis pour lobtention dune mission daudit de scurit de

systme informatique de Ministre des Technologies de lInformation et deCommunication.

Les systmes informatiques sont devenus des outils indispensables au

fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs

professionnels, savoir, le secteur bancaire, les assurances, la mdecine voire dans le

domaine aronautique.

Cette volution a assouvi par consquent les besoins de nombreux utilisateurs

qui ne sont pas forcment de bonne foi. Ils peuvent exploiter les vulnrabilits des

rseaux et des systmes dans le but daccder des informations confidentielles et de

les utiliser dans leurs propre intrt. Il en dcoule que ces rseaux sont devenus cibls

par ce genre de menaces et leurs scurisation recle une proccupation de plus en plus

importante. La mise en place dune politique de scurit autour de ces systmes est

donc primordiale.

Ds lors, la scurit revt une importance qui grandit avec le dveloppement desrseaux IP, les entreprises y voient aujourdhui un avantage concurrentiel et un

nouveau dfi battre. La complexit des technologies utilise, la croissance

exponentielle des terminaux protger ainsi que la prolifration de nouvelles menaces

dmontrent que la scurit est trs importante, et ncessaire.

Les oprations informatiques offrent de nouvelles perspectives de rentabilit

pour les pirates et les malveillants. Elles constituent un moyen dattaque qui peut tre

men des milliers de kilomtres de la cible vise. Ces risques ont gagn du terrain

depuis la naissance du rseau mondial Internet. Par consquent, toute organisation qui

a des ordinateurs relies internet (ou tout autre rseau externe) doit laborer une

politique pour assurer la scurit de chaque systme.


10/15


9

Ici interviennent les mthodes daudit de scurit des systmes dinformation

qui sont la base mme dune politique permettant lentreprise de mettre en uvre

une dmarche de gestion de ses risques.

Dans ce contexte il nous a t confi de raliser une mission daudit de scurit

du systme dinformation du ministre des technologies de linformation et de

communication.

Le prsent rapport sera structur en six parties :

La premire partie prsente des gnralits sur la scurit informatique et sur

une mission daudit ainsi quun aperu sur les normes de scurit de

linformation. La deuxime partie prsente lorganisme daccueil et ltude de lexistant et

lidentification de systme cible.

La troisime partie est consacre aux taxonomies des failles organisationnelles et

physiques bass sur la norme 27002 et ses rsultats.

La quatrime partie sera consacre aux taxonomies des failles techniques qui

permettent, travers des outils de dtection des vulnrabilits, dvaluer la

scurit mise en place pour la protection du systme dinformation. Enfin, les deux dernires parties de ce rapport comporteront des

recommandations et des conseils suggrs pour remdier ces problmes de

scurit.


11/15


12/15


11

1-Introduction

L'informatique est l'un des lments clefs de la comptitivit d'une entreprise.

C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant,

rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins.

C'est pourquoi raliser un audit permet, par une vision claire et globale,

d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit,

d'anticiper les problmes et de diminuer les cots de maintenance.(1)

2-

Gnralit sur la scurit informatique

Le systme dinformation, considr comme le cur de lentreprise, est

lensemble des moyens organisationnels, humains et technologiques mis en uvre pour

la gestion de linformation. Il doit tre exempt de toute faille de scurit qui risquerait

de compromettre linformation qui y circule, du point de vue de la conf identialit, de

lintgrit ou de la disponibilit. Ainsi, des normes de scurit ont t dfinies, donnant

les rgles respecter afin de maintenir la scurit du systme dinformation de

lentreprise. Paralllement, tant donn la complexit de la mise en uvre de ces

normes, plusieurs mthodes danalyse des risques ont t mises au point afin de faciliter

et dencadrer leur utilisation. Cependant, la plupart de ces mthodes en sont que

partiellement compatibles, ne tenant compte que dune partie des rgles nonces dans

ces normes.

3- Normes et standards relatives la scurit

Les normes sont des accords documents contenant des spcifications techniquesou autres critres prcis destins tre utiliss systmatiquement en tant que rgles,

lignes directrices ou dfinitions de caractristiques pour assurer que des processus,

services, produits et matriaux sont aptes leur emploi.(2)


13/15


12

3.1- ISO/IEC 27001

La norme ISO/IEC a t publie en octobre 2005, intitul ExigencesdeSMSI ,

elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui dfinit

les conditions pour mettre en uvre et documenter un SMSI(Systme de Management de laScurit de l'Information).

3.2- ISO/IEC 27002

Cette norme est issue de la BS 7799-1 (datant de 1995) qui a volu en ISO

17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a

t rebaptise en ISO 27002 pour s'intgrer dans la suite ISO 2700x, intitul Code de

bonnes pratiques pour la gestion de la scurit de l'information.ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives

gnrales sur la slection et l'utilisation de mthodes appropries pour analyser les

risques pour la scurit des informations.

Elle est compose de 15 chapitres dont 4 premiers introduisent la norme et les 11

chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui

couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans

ses aspects oprationnels (les objectifs de scurit et les mesures prendre).

chapitres dfinissant le cadre de la norme:

Chapitre n1: Champ d'application

Chapitre n2: Termes et dfinitions

Chapitre n3: Structure de la prsente norme

Chapitre n4: valuation des risques et de traitement

Les chapitres dfinissant les objectifs de scurit et les mesures prendre Chapitre n5: Politique de scurit de l'information

Chapitre n6: Organisation de lascurit de l'information

Chapitre n7: Gestion des actifs

Chapitre n8: Scurit lie auxressources humaines
http://wapedia.mobi/fr/S%C3%A9curit%C3%A9_de_l%27informationhttp://wapedia.mobi/fr/Gestion_des_ressources_humaineshttp://wapedia.mobi/fr/Gestion_des_ressources_humaineshttp://wapedia.mobi/fr/S%C3%A9curit%C3%A9_de_l%27information


14/15


13

Chapitre n9: Scurits physiques et environnementales

Chapitre n10: Exploitation et gestion des communications

Chapitre n11: Contrle d'accs

Chapitre n12: Acquisition, dveloppement et maintenance des systmesd'informations

Chapitre n13: Gestion des incidents

Chapitre n14: Gestion de lacontinuit d'activit

Chapitre n15: Conformit.

3.3- ISO/IEC 27005

La norme ISO/IEC 27005, intitul Gestion du risque en scurit del'information, est une volution de la norme ISO 13335, dfinissant les techniques

mettre en uvre dans le cadre dune dmarche de gestion des risques.

4- Rle et objectifs daudit

Laudit scurit est une mission dvaluation de conformit par rapport une

politique de scurit ou dfaut par rapport un ensemble de rgles de scurit.

Principe :auditer rationnellement et expliciter les finalits de laudit, puis en dduire

les moyens dinvestigations jugs ncessaires et suffisants.

Lobjectif principal dune mission daudit scurit cest de rpondre aux proccupations

concrtes de lentreprise, notamment de ses besoins en scurit, en:

Dterminant les dviations par rapport aux bonnes pratiques.

Proposant des actions damliorations de niveau de scurit de linfrastructure

informatique.

Cependant, laudit de scurit peut prsenter un aspect prventif. C'est--dire

quil est effectu de faons priodiques afin que lorganisme puisse prvenir les failles

de scurit. Egalement, laudit peut simposer suite des incidents de scurit.
http://wapedia.mobi/fr/Plan_de_continuit%C3%A9_d%27activit%C3%A9_(informatique)http://wapedia.mobi/fr/Plan_de_continuit%C3%A9_d%27activit%C3%A9_(informatique)


15/15


14

5- Cycle de vie dun audit de scurit des systmesdinformation

Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit

un cycle de vie qui est schmatis laide de la figure suivante (3)

Figure 1:Cycle de vie d'audit scurit

Laudit de scurit informatique se prsente essentiellement suivant deux parties

comme le prsente le prcdent schma :

Laudit organisationnel et physique.

Laudit technique.

Une troisime partie optionnelle peut tre galement considre. Il sagit de

laudit intrusif. Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport

prsente une synthse de laudit. Il prsente galement les recommandations mettre

en place pour corriger les dfaillances organisationnelles et techniques constates. Uneprsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe

suivant qui prsente le droulement de laudit.(3)

pages de audit securite systeme informatique mtic

Documents