MEMOIRE
DE STAGE DE FIN D’ETUDE
Pour l’obtention du
MASTERE PROFESSIONNEL
« Nouvelles Technologies des Télécommunications et Réseaux »
Présenté par :
Ayari Amani
Soutenu le : 05/02/2014
0
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
A ma mère
pour toute l’affection qu’elle me procure.
A mon père
pour ses innombrables et précieux conseils.
A ma tante Mtira
Pour son soutien moral
Amani
1
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Le travail présenté dans ce rapport a été effectué dans le cadre de ce projet de fin
d’études pour l’obtention du diplôme de mastère professionnel en Nouvelles Technologies de
Télécommunications et Réseaux à l’Université Virtuelle de Tunis (UVT)
Je remercie également Mr Khaled Sammoud mon encadreur pour ses conseils lucides et
pertinents.
Je tiens à remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi
Mosly pour la confiance qu’ils ont su me témoigner au cours de toute la durée de l’étude de mon
projet, pour leur disponibilité et leur patience. Je rends ici hommage à leurs qualités d’expert
auditeur, par lesquelles ils ont su guider mes travaux de recherches en sécurité des réseaux.
Mes remerciements vont aussi aux membres du jury, qui donneront à mon travail une
valeur ajoutée à travers leurs recommandations et leurs remarques si importantes, dont je serai
très reconnaissant.
Amani
2
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
3
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
4
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
5
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
6
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Introduction Générale
7
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Dès lors, la sécurité revêt une importance qui grandit avec le développement des
réseaux IP, les entreprises y voient aujourd’hui un avantage concurrentiel et un
nouveau défi à battre. La complexité des technologies utilisée, la croissance
exponentielle des terminaux à protéger ainsi que la prolifération de nouvelles menaces
démontrent que la sécurité est très importante, et nécessaire.
8
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Dans ce contexte il nous a été confié de réaliser une mission d’audit de sécurité
du système d’information du ministère des technologies de l’information et de
communication.
9
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Chapitre I :
Généralités et Etude de
l’Art
10
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction
C'est pourquoi réaliser un audit permet, par une vision claire et globale,
d'entreprendre la rationalisation du parc et par la même d'en augmenter la productivité,
d'anticiper les problèmes et de diminuer les coûts de maintenance. (1)
Les normes sont des accords documentés contenant des spécifications techniques
ou autres critères précis destinés à être utilisés systématiquement en tant que règles,
lignes directrices ou définitions de caractéristiques pour assurer que des processus,
services, produits et matériaux sont aptes à leur emploi.(2)
11
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO
17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a
été rebaptisée en ISO 27002 pour s'intégrer dans la suite ISO 2700x, intitulé « Code de
bonnes pratiques pour la gestion de la sécurité de l'information ».
ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives
générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les
risques pour la sécurité des informations.
Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11
chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui
couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans
ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre).
12
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
L’audit sécurité est une mission d’évaluation de conformité par rapport à une
politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité.
Principe : auditer rationnellement et expliciter les finalités de l’audit, puis en déduire
les moyens d’investigations jugés nécessaires et suffisants.
L’objectif principal d’une mission d’audit sécurité c’est de répondre aux préoccupations
concrètes de l’entreprise, notamment de ses besoins en sécurité, en :
Déterminant les déviations par rapport aux bonnes pratiques.
Proposant des actions d’améliorations de niveau de sécurité de l’infrastructure
informatique.
13
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
14
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
b- Déroulement
Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche
méthodologique qui s’appuie sur un ensemble de questions. Ce questionnaire préétabli
devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce
questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et
d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la
Dans notre contexte, cet audit prendra comme référentiel la norme ISO/27002 :2005.
Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique allant
de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services
réseaux actifs et vulnérables. Cette analyse devra faire apparaître les failles et les
risques, les conséquences d’intrusions ou de manipulations illicites de données.
16
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Au cours de cette phase, l’auditeur pourra également apprécier l’écart avec les
réponses obtenues lors des entretiens. Il sera à même de tester la robustesse de la
sécurité du système d’information et sa capacité à préserver les aspects de
confidentialité, d’intégrité, de disponibilité et d’autorisation.
b- Déroulement
L’audit technique sera réalisé selon une succession de phases respectant une
approche méthodique. L’audit technique permet la détection des types de
vulnérabilités suivante, à savoir :
Les erreurs de programmation et erreurs d’architecture.
Les erreurs de configurations des composants logiques installés tels que les
services (ports) ouverts sur les machines, la présence de fichiers de configuration
installés par défaut, l’utilisation des comptes utilisateurs par défaut.
Les problèmes au niveau de trafic réseau (flux ou trafic non répertorié, écoute
réseau,...).
Les problèmes de configuration des équipements d’interconnexion et de contrôle
d’accès réseau.
17
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger
un rapport de synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des
défaillances enregistrées. Autant est-il important de déceler un mal, autant il est
également important d’y proposer des solutions. Ainsi, l’auditeur est également invité à
proposer des solutions (recommandations), détaillées, pour pallier aux défauts qu’il
aura constatés.
Les recommandations devront inclure au minimum :
Une étude de la situation existante en termes de sécurité au niveau du site
audité, qui tiendra compte de l’audit organisationnel et physique, ainsi que les
éventuelles vulnérabilités de gestion des composantes du système (réseau,
systèmes, applications, outils de sécurité) et les recommandations
correspondantes.
18
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les
réseaux des organismes soumis a l'audit obligatoire périodique de la sécurité
informatique et les critères relatifs a la nature de l'audit et a sa périodicité et aux
procédures de suivi de l'application des recommandations contenues dans le rapport
d'audit.(6)
8- Conclusion
L’audit est une démarche collaborative visant l’exhaustivité. Elle est moins
réaliste qu’un test mais permet en contrepartie de passer méthodiquement en revue tout
le réseau et chacun de ses composants en détail.
19
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Chapitre II :
Présentation de
l’organisme d’accueil et
étude de l’existant
20
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction
e-mail info@infocom.tn
21
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
22
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
23
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
24
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Dans cette partie nous allons identifier tous les éléments et les entités qui
participent au fonctionnement du Système informatique.
D’après les visites effectuées et les documents qui nous ont été fournis, nous
répartissons l’inventaire des équipements informatiques comme suit :
25
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
26
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
l’Etat
RACHED Application pour Externe
l’automatisation des procédures
relatives aux missions effectuées
a l’étranger par les agents de
l’administration
ADAB Application d’aide a la décision Externe
Budgétaire
Gestion des biens Application permettant le suivi Externe
mobiliers de l’Etat des différentes étapes de gestion
« MANKOULET » des biens mobiliers du ministère,
depuis leur acquisition jusqu'à la
fin de leur utilisation
Gestion des stocks de Application de gestion des stocks Externe
l’Administration des produits tenus en stock dans
« MAKHZOUN » les magasins du ministère
Tableau 2:liste des applications du MTIC
27
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
28
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Toute l’architecture du réseau Interne est autour d’un doublet de firewall (qui
fonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps.
Les firewalls internes sont reliés à un doublet de firewall Frontal.
Des mesures de sécurité ont été prises pour assurer au mieux la sécurité des
infrastructures et des utilisateurs du réseau.
29
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Salle serveur fermée à clef, seuls les personnes autorisées et qui possèdent la clé
peuvent y accéder,
La climatisation est assurée par (deux) climatiseurs domestiques installé dans la salle
des serveurs.
Les prises de courant électriques ne sont pas ondulées.
Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de
marque APC 1kva) pour assurer la continuité de service des ressources critique en
cas de problèmes électrique.
30
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Des procédures de sauvegarde pour les données sensibles sont appliquées selon les
fréquences suivantes :
- Pour la base de données de l’application SyGec : une image sur disque chaque
jour.
- Pour les Emails au niveau du serveur de messagerie : une sauvegarde est
planifiée tous les jours (fin de la journée) sur un poste de travail dédié pour
backup Mail.
- Pour la configuration du firewall : une sauvegarde de la configuration chaque
mois ou lors d’une modification importante, et une sauvegarde des logs est
assurée chaque semaine.
Afin d’assurer la continuité des services et éviter l’arrêt des services même
partiellement en cas des problèmes (panne matériel, crash disque...), une certaine
redondance matérielle a été constaté notamment au niveau des firewalls ainsi qu’au
niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.
Quelque soit les mesures mises en place, on ne peut pas éviter à 100% que les
machines ne seront pas infectées par des virus.
31
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en
place avec une architecture client/serveur, et une version client (agent) est installée sur
toutes les machines du réseau (une version pour les postes de travail et une version
pour les serveurs), le serveur de l’antivirus télécharge les mises à jour régulièrement et
les installe sur tous les Ordinateurs.
6- Conclusion
32
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Chapitre III :
Taxonomies des failles
organisationnelles et physiques
basées sur la Norme 27002
33
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction
2- Approche adopté
Lors de cette phase, je me suis ainsi entretenu avec le chef service informatique :
Mr Marouane LADJIMI. Des visites ont été réalisées au site afin de vérifier la sécurité
physique.
Voir annexe 1
34
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
PS
70
OS
60 GB
50 SRH
SPE
40
GCE
30 CA
DMS
20
GI
10 GCA
C
0
39
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
4- Conclusion
40
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Chapitre IV:
41
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction
Nous utilisons tout au long de cette partie un ensemble des outils permettant
d’obtenir les informations nécessaires et de déceler les différentes vulnérabilités.
Concernant le plan d’adressage, tous les hôtes du réseau utilisent des adresses IP
privée de classe A (10.0.x.0/24) avec un masque réseau de classe C.
42
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Tous les hôtes du réseau utilisent des adresses IP privée de classe A (10.*.*.*/24)
avec un masque réseau de classe C ce qui n’est pas conforme aux normes en vigueur. La
configuration TCP/IP des hôtes est manuelle, ce qu’indique qu’elle est protégée contre
les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24.
Pour l’accès au réseau public Internet, une translation d’adresse (NAT) est
assurée par le Firewall frontal.
Nous signalons à cet égard, que la configuration réseau au niveau des postes
n’est pas protégée contre les modifications. En effet, chaque utilisateur peut changer son
adresse ce qui peut générer des conflits d’adresses. Des attaques de type IP Spoofing
(usurpation d'identité) peuvent être facilement menées et générer un déni du service; il
suffit de remplacer l’adresse IP du poste par celle d’un équipement critique (routeur,
43
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
44
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Des essais de balayage systématique des ports avec des options de détection des
systèmes d ‘exploitation ont permis d’avoir la liste des O.S au niveau des stations de
l’ensemble du réseau audité de la MTIC.
Les résultats de test ont confirmé que le réseau local du site est exclusivement
Windows pour les postes utilisateurs (des stations tournant sous le système Win XP),
Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de données et
d’application en exploitation.
J’ai constaté que les versions des O.S détectées sur un échantillon important des
serveurs au niveau du réseau local ne sont pas mise à jour vu l’absence d’une solution
de gestion centralisée des mises à jour.
Il s’agit de déterminer les services offerts par les serveurs et les postes de travail
qui peuvent être une source de vulnérabilité.
J'ai effectué un balayage des machines (serveurs et postes de travail) du réseau
interne, j’ai pu cerner la liste des ports ouverts sur les stations en activité.
J’ai retenu utile de présenter deux petits échantillons de ces prélevés effectué sur
le serveur backup mail en utilisant l’outil Zenmap et le console sur Back-Track 5(8) :
45
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
46
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
J’ai appliqué l’outil GFI LANguard sur les serveurs et les équipements critiques
et j’ai constaté qu’il existe des ports qui sont ouverts et non utilisés.
47
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Le port 445 est ouvert pour la plupart des serveurs et peut être utilisé par le ver
NIMDA.
Le port 139 est ouvert pour la plupart des serveurs, ce port peut être utilisé par les
chevaux des Troie(11) suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz.
Le port 25 (service SMTP) étant actif sur les serveurs messageries, il présente un
risque de SPAM et par suite un risque de saturation de disque. Ce service doit être
désactivé s’il n’est pas utilisé.
Le port 443 est ouvert au niveau de plusieurs serveurs d’applications, qui peut être
exploité par le trojan Slapper.
d- Identification des flux réseaux
48
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
J’ai utilisé l’outil GFI LANguard sur les serveurs et les équipements critiques pour
déterminer les partages réseaux utilisés :
49
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
50
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
51
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
52
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Les vulnérabilités sont réparties sur des vulnérabilités relatives aux services
réseaux en activité et vulnérabilités systèmes.
Le sondage des ports avec les vulnérabilités associées est présenté comme suit :
Sasser (5554|TCP) (Vulnérabilité d’ordre grave)
Utilisé en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a été
un ver qui a exploité un débordement de tampon dans Windows LSA service. Le ver
a attaqué le port TCP 445 avec l'exploit, puis en cas de succès il a ouvert une
commande Shell à distance sur le port TCP 9996 et un service ftp sur le port 5554. Le
service ftp est pourtant même exploitable et la tentative de ver Dabber tente
d'exploiter cette vulnérabilité.
POP3 (110|TCP) (Vulnérabilité d’ordre grave)
Le port 110 est ouvert, désactivé le service s’il n’est pas utilisé car il est possible de
détecter quels chiffrements SSL qui sont pris en charge par le service pour le
cryptage des communications.
SMTP (25|TCP) (Vulnérabilité d’ordre moyenne)
Port SMTP ouvert (cible des spammeurs), il est recommandé de le désactiver s’il n’est
pas utilisé, ou filtrer le trafic entrant à ce port.
HTTP (80|TCP) (Vulnérabilité d’ordre moyenne)
Il est recommandé de le désactiver s’il n’est pas utilisé car il est possible d’extraire
des informations de configuration et de déterminer le type et la version du serveur
web.
53
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Lors d’une réunion avec le chef service informatique, j'ai pu à l’aide du Checklist
présenté en annexe 3 déterminer les vulnérabilités suivantes (c'est un routeur Cisco
2850) :
Absence de contrôle et de suivi de la version IOS du routeur.
Absence d’une procédure documentée pour le backup des configurations du
routeur.
Les logs du routeur ne sont pas révisés.
Identification du port Telnet ouvert.
54
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Voici les remarques que j’ai pu dégager lors d’une réunion avec le chef service
informatique concernant le Switch HP Procurve 5406zl :
Firmware pas mis à jour « Software revision : K.15.02.0005 », la dernière étant la
K.15.06.0017
55
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Les méthodes d'authentification utilisées sont les mots de passe au niveau postes
de travail et serveurs.
Nous remarquons concernant la politique d’usage de mot de passe les points
suivants :
Pour les serveurs, routeurs et tous les autres équipements réseau les mots de passe
sont robustes de point de vue nombre de caractère et la combinaison de minuscules
et majuscules, de chiffres, de lettres et de caractères spéciaux.
56
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
5- Conclusion
57
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Chapitre V :
Recommandations
organisationnelles et
physiques
58
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction
2- Politique de sécurité
Le MTIC est tenu à élaborer sa politique de sécurité qui doit être validée par les
responsables, distribuée et publiée à tout le personnel. Chaque employé doit donner son
consentement et signer son adhésion à la charte du respect de la confidentialité de
l’information. Le message qui doit être délivré à travers la politique de sécurité et la
charte informatique est que toute violation de la confidentialité est un délit punissable
selon le degré de sa gravité.
Aussi une revue régulière de cette politique de sécurité doit être planifiée pour
tenir compte des possibles changements qui surviendront (nouveaux incidents,
nouvelles vulnérabilités, changements à l’infrastructure...)
59
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Les ressources sont répertoriés, mais ils doivent être classifiées selon leur
importance basée sur les 3 axes : besoin en terme de disponibilité, confidentialité et
intégrité.
Définir les types d'actifs qui doivent être identifiés et inventoriés. Les actifs
peuvent être des informations, des logiciels, des équipements matériels, des
services et servitudes, des personnes ou du savoir-faire, des actifs intangibles tels
que la réputation ou l'image.
Tenir à jour l’inventaire des types d'actifs identifiés.
60
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
61
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Il faut mettre des consignes claires à propos du fait manger, boire ou fumer dans
les locaux informatiques.
Contrôler de manière globale le mouvement des visiteurs et des prestataires
occasionnels (signature de la personne visitée, etc.).
Définir des procédures spécifiques de contrôle pour chaque type de prestataire
extérieur au service amené à intervenir dans les bureaux (sociétés de
maintenance, personnel de nettoyage, etc.) : port d'un badge spécifique, présence
d'un accompagnateur, autorisation préalable indiquant le nom de l'intervenant,…
Faire une analyse systématique et exhaustive de toutes les voies possibles d'arrivée
d'eau et de tous les risques d'incendie et les risques environnementaux
envisageables et prendre des mesures en conséquence.
Mettre en place des détecteurs d'humidité et des détecteurs d'eau à proximité de
salle machine qui doivent être reliés à un poste permanent de surveillance.
Définir des procédures de gestion de crise en cas de long arrêt du système et de
permettre la reprise du fonctionnement au moins partiellement (favoriser
quelques machines sur d’autres).
62
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
8- Contrôle d’accès
Etablir une politique de gestion des droits d'accès aux zones de bureaux
s'appuyant sur une analyse préalable des exigences de sécurité, basées sur les
enjeux de l’activité.
63
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Les droits accordés aux utilisateurs dès leur enregistrement doivent être
approuvés par les propriétaires des ressources concernées.
Contrôler strictement le processus d'attribution (ou modification ou retrait) de
droits privilégiés et d'autorisations d'accès à un individu.
Le processus de création ou de modification d’un authentifiant pour les accès
internes doit respecter un ensemble de règles permettant d'avoir confiance dans sa
solidité intrinsèque.
Effectuer un partitionnement du réseau local en domaines de sécurité
correspondant à des exigences de sécurité homogènes et à des espaces de
confiances à l’intérieur desquels les contrôles peuvent être adaptés.
Les règles établissant les critères de connexion au réseau étendu doivent définir les
mesures de sécurité logique devant protéger les équipements de réseau et les
équipements de sécurité, et doivent préciser les filtrages à mettre en place pour
contrôler les accès entrant aussi bien que pour les accès sortant.
Procéder régulièrement à une revue des connexions autorisées (standards et non
standards) et de leur pertinence pour le réseau local et étendu.
Analyser la sensibilité des systèmes généraux pour mettre en évidence leurs
exigences de sécurité et en déduit des mesures d’isolement (physique et logique)
appropriées pour les serveurs ou équipements concernés.
Dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence
d'échange après un délai défini, nécessitant une nouvelle identification –
authentification.
Définir les liens permanents et les échanges de données devant être protégés par
des solutions de chiffrement et mis en place de telles solutions au niveau de réseau
étendu et local.
64
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
65
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Définir des processus, régulièrement mis en œuvre, d’analyse des risques, liés à
l’information, pouvant conduire à une interruption des activités de l’entreprise,
débouchant sur une définition des exigences de sécurité, des responsabilités, des
procédures à appliquer et moyens à mettre en œuvre afin de permettre
l’élaboration des plans de continuité.
Analyser la criticité des différentes activités pour mettre en évidence les besoins de
continuité de service et déduire des plans de continuité d’activité pour chaque
activité critique.
Ces plans doivent prévoir bien toutes les actions à entreprendre pour assurer la
continuité de l'activité entre l'alerte et la mise en œuvre éventuelle des solutions de
remplacement prévues par les plans de secours techniques.
Ces plans doivent traiter tous les aspects organisationnels liés à la solution de
secours "manuel" (personnel, logistique, encadrement,...).
Mettre en place une solution de secours pour pallier l’indisponibilité de tout
équipement ou de toute liaison critique du réseau étendu et local.
Identifier précisément les scénarios de sinistre pouvant affecter l’ensemble du parc
des postes utilisateurs et analyser pour chaque scénario, ses conséquences en
termes de service rendus impossibles aux utilisateurs.
12- Conformité
Définir et documenter les règles concernant les audits menés sur le réseau, les
procédures et les responsabilités associées.
Les outils d'audit doivent être protégés afin d'éviter toute utilisation indue ou
malveillante. Ceci s'applique, en particulier, aux tests de pénétration et aux
évaluations de vulnérabilités.
Les résultats d'audit doivent être protégés contre toute modification ou
divulgation.
13- Conclusion
Dans cette partie, j’ai proposé des recommandations que je juge nécessaires à
mettre en œuvre pour améliorer la sécurité du système d’information du MTIC en se
basant sur la norme 27002. Dans la partie suivante, je vais aborder l’aspect
technique.
67
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Chapitre VI :
Recommandations
techniques
68
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction
Après avoir terminé l’évaluation technique, Les outils de scan et les tests
techniques effectués ont permis de déceler des failles de sécurité et des vulnérabilités
des différents composant du système d’information.
Par la suite, je vais proposer des recommandations techniques à mettre en œuvre
pour pallier les insuffisances et les défaillances détectées.
2- Recommandations
Au niveau Firewall
Effectuer un enregistrement détaillé de toutes les traces de connexions qui sont
bloquées ou passées par le firewall.
Etablir des statistiques sur l’usage du Firewall.
Vérification des derniers patchs et mises à jour de manière régulière et
automatiquement à partir du site du constructeur.
Etablir un rapport d'audit à long terme présentant l'historique des incidents
survenus au niveau du firewall.
Définir un document ou une spécification des règles de filtrage contenant une
description de l’utilité de chaque filtre/règle.
Définir un document précisant la configuration du Firewall et le suivi des
modifications de cette configuration.
Au niveau Routeur
Etablir une procédure documentée pour le backup des configurations du routeur.
Toutes les modifications de configuration des routeurs doivent être documentés et
conservés dans un endroit sécurisé afin d’assurer la continuité de travail.
Enregistrement de toute tentative refusée à n’importe quel port, protocole ou
service.
Assurer le contrôle, la vérification et l’archivage des logs en concordance avec la
politique locale.
Mettre à jour l’IOS à chaque publication d’une nouvelle version.
Politique d’usage de mots de passe
Veillez à ce que tous les mots de passe surtout des serveurs et des équipements
réseaux et sécurité soient des mots de passe robustes et les changer régulièrement.
70
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Une bonne politique de sécurisation des accès par mot de passe consiste également
en la définition d'un délai d'expiration du mot de passe. Il est par exemple possible
de définir le renouvellement des mots de passe par période de 15, 30 ou 45 jours.
Ne divulguez jamais un mot de passe et surtout pas en l'envoyant par courrier
électronique.
Évitez de noter le mot de passe quelque part ou de le laisser exposé (sur écran,
sous le clavier, dans un fichier non protégé, ...).
Proposer des changements réguliers tout en bloquant la possibilité d'utiliser des
mots de passe déjà employés.
Définir la fréquence des audits afin de s'assurer que la politique est bien respectée.
Des outils tels que LophtCrack, John the Ripper ou Crack permettent de contrôler
régulièrement la robustesse des mots de passe.
Politique de sauvegarde
Mettre en place une stratégie de sauvegarde et de restitution des données
formellement décrite et de vérifier le bon fonctionnement des supports de
sauvegarde après chaque cycle de ce dernier.
Procéder régulièrement à la vérification des sauvegardes en procédant à des essais
de restauration des données sauvegardées.
Sensibiliser régulièrement le personnel de l’importance de sauvegarde.
Procéder à une sauvegarde système, des journaux et sauvegarde des
configurations des équipements réseaux.
Mettre en place un plan de sauvegarde couvrant l’ensemble des configurations des
réseaux définissant les objets à sauvegarder et la fréquence des sauvegardes.
Les accès aux systèmes doivent être journalisées avec si possible et au minimum
l'identité de l'utilisateur, le système concerné, la date et l'heure de l'accès.
71
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
3- Solution proposée
3.1- Déploiement complet d’Active directory (Annexe 4)
L’objectif principal d’Active Directory est de fournir des services centralisés
d’identification et d’authentification à un réseau d’ordinateurs utilisant le système
Windows. Il permet également l’attribution et l’application de stratégies, la distribution
des logiciels, et l’installation de mise à jour critique par les administrateurs.(5)
Active Directory répertorie les éléments d’un réseau administré tels que les
comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les
imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées,
et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de
distribution, de duplication, de partitionnement et de sécurisation des accès aux
ressources répertoriées.
3.2- Windows Server Update Services
4- Conclusion
J’ai proposé dans ce chapitre des recommandations sur le plan technique à fin de
minimiser le risque d’exploitation des vulnérabilités du réseau et de protéger les
différents équipements pour assurer une continuité et une disponibilité complète.
73
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Conclusion Générale
74
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
75
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
76
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Bibliographie
77
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
1 :http://www.pommef.com/audit-informatique-Macintosh-paris.html
2 :http://users.polytech.unice.fr/~hugues/GL/Norme/norme.html
3 :http://www.blog.saeeed.com/2012/11/implementation-et-mise-en-oeuvre-de-la-
norme-iso-cei-27001/
4 :http://cisco.goffinet.org/s2/methode_diagnostic#.UpXKE9JHR-s
5 :http://www.arkeia.com/fr/products/arkeia-network-backup/backup-
agent/directory-server-agents/active-directory-agent
6 : http://www.ansi.tn/fr/presentation_agence/cadre_juridique.html
7 : http://nmap.org/
8 :http://www.ehacking.net/p/backtrack-5-tutorial.html
9 : http://www.networkview.com
10 :http://www.cyber-
infos.net/modules.php?name=Forums&file=viewtopic&t=59&view=previous
11 :http://www.securiteinfo.com/conseils/portstroyens.shtml
12 :http://forum.cigiema.fr/t235-Les-Ports-Reseaux.html
http://www.nessus.org/products/nessus
78
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Annexes
79
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
80
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
81
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Aucun
Y a-t-il un contrat qui stipule les conditions d’accès et les recours en cas de O
panne lors des accès par des tiers ou des sous traitants ?
Les risques dus aux effets externes sont ils identifiés ? N
En cas d’externalisation l’entreprise précise t elle dans un contrat les clauses N
relatives à :
La sécurité des valeurs de l’organisation
La sécurité physique
L’existence d’un plan de secours
Aucun
Avez-vous appliqué une démarche méthodologique d’analyse et de gestion N
des risques SSI ?
L’organisation de la sécurité est-elle formalisée dans un document ? N
Une politique de confidentialité a-t-elle été élaborée dans le cadre de ce N
projet ?
Des révisions périodiques de la mise en œuvre de la gestion de la sécurité N
sont-elles prévues ?
3. Gestion des biens
Existe-t-il un inventaire des biens du projet ? O
Existe-t-il une classification des biens par rapport à leurs critères de N
sensibilité (en termes de disponibilité, d’intégrité et de confidentialité) ?
Les actifs de l’organisme sont ils identifiés répertoriés ? O
Est-ce qu’on a prévu une classification des informations selon leur N
importance ?
A chaque actif est-il associé un propriétaire qui doit en assurer également la O
responsabilité ?
Quelles sont les valeurs critiques de l’entreprise ? - Donnée
Les personnes s
Le matériel - Service
Les logiciels s
Les données - Matérie
Les services ls
Les sous réseaux
L’image de marque et réputation
L’entreprise procède t elle régulièrement à un inventaire de ces avoirs ? O
Existe-il des fiches concernant les mouvements ? O
(date d’entrée, date de sortie, date de mouvement, destination, provenance)
Les informations sensibles bénéficient elles des procédures définissant leurs N
conservations ou destruction ?
Le matériel informatique est-il inventorié par un élément identifiable et O
unique ? (ex : n° de série ?
Le matériel en prêt est-il clairement identifié sur l’inventaire ? (nom de la O
82
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
83
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
naturels ou industriels ?
Le câblage électrique est il conforme aux règles de sécurité ? O
Est-ce qu’une analyse de risque a été effectuée pour évaluer la sécurité O
physique de la société ?
Parmi ces procédures quels sont ceux qui figurent dans la protection - Limitat
physique des locaux : ion
Contrôles des portes d’entrée d’accès
Clôtures hautes
Attribution des badges
Contrôle à la sortie
Caméra de surveillance
Limitation d’accès
Est-ce que des mesures de sécurité particulière ont été instaurées pour le N
centre informatique ? (si oui commenter...)
Par
badge………………………………………………………………………………
………………………………….
Y a-t-il une réglementation spéciale contre le fait de fumer, boire, et manger N
dans les locaux informatiques ?
Existe-il une protection de câblage informatique et de télécommunication à O
l’égard des risques électrique ? (variation de tension…)
Les équipements acquis suivent ils une politique de maintenance ? N
Existe-t-il un système de protection contre les coupures et les micros O
coupures ? -
Si oui Onduleu
lesquels ?.............................................Onduleurs………………………………… rs
… - Groupe
électrogè
ne
Existe-t-il un système de climatisation conforme aux recommandations du O
constructeur ?
Existe-t-il un groupe électrogène pour les coupures de longue durée ? O
Y a-t-il une procédure de crise en cas de long arrêt ? (favoriser quelques N
machines sur d’autres…)
Quelles mesures de sécurité contre l’incendie figurent parmi ces mesures :
Existence d’un système de détection automatique d’incendie pour
l’ensemble de bâtiment
Existence d’un système d’extinction automatique pour les salles
d’ordinateur
Existence d’extincteurs mobiles
Existence des meubles réfractaires pour le stockage des documents et
des supports informatique vitaux
84
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
85
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
vitales ?
Les accès aux locaux (sensibles ou pas) sont ils contrôlés, enregistrés et O
analysés à travers des logs ?
Existe-t-il une politique qui hiérarchise les autorisations d’accès ? N
Un ancien employé perd t-il ces droits d’accès aux locaux et aux O
informations
sensibles de l’organisme ?
L’accès distant (logique) au réseau informatique est-il protégé ? Par quel O
équipement ou outil ou mécanisme ?
L’accès au système est il contrôlé par un dispositif d’identification et N
d’authentification ?
Existe-t-il un dispositif de revue des droits d’accès à des intervalles N
réguliers ?
Est-ce que les terminaux sensibles sont équipés d’un économiseur d’écran O
avec mot de passe ?
Est-ce que les utilisateurs verrouillent leur session de travail avant de ?
quitter leur poste de travail même pour quelques instants ?
Les mots de passe sont-ils affectés individuellement ? O
Y a-t-il des conditions à respecter lors du choix des mots de passe (ex : min N
6 caractères…) ?
Un ancien employé perd t-il ces droits d’accès aux informations et locaux ? O
Y a-t-il une suite aux tentatives d’accès infructueuses ? O
A- t-on prévu des limitations contre : N
L’utilisation des applications
Le téléchargement d’application
L’utilisation des disquettes, CD…
8. Développement et maintenance des systèmes
Existe-t-il des procédures de validation des changements réalisés sur les N
programmes ?
La garantie de la confidentialité, l’authenticité et l’intégrité de l’information O
s’effectue-t-elle au moyen de signature électronique ou de cryptographie ?
La sécurité de la documentation du système d’information est elle assurée ? N
Est-ce que les programmes sont contrôles contre les portes dérobés et O
chevaux de trois ?
Existe-t-il des procédures de contrôle pour les logiciels développés en sous- N
traitance ?
S’assure-t-on que l’équipement à acquérir répondra aux besoins exprimé ? O
S’assure-t-on de la non régression de service lors du développement ou de N
l’intégration des nouveaux services ?
Existe-t-il une politique de maintenance périodique et assidue des N
équipements ?
9. Gestion des incidents
86
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
87
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
88
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
89
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
90
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Je partirai du principe que le Windows server 2008 a été bien installé et allons
donc poursuivre dans ce sens.
Commencez par démarrer votre serveur et connectez-vous-y en tant
qu’Administrateur
Démarrer le gestionnaire de serveur
Cliquez sur le nœud Rôles (1) puis sur Ajouter des rôles (2)
91
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
92
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
La case Services de domaine Active Directory est bien cochée… cliquez sur Suivant
Cliquez sur Suivant
Une fenêtre de récapitulatif apparait, vérifiez vos paramètres et cliquez sur Installer
L’assistant d’ajout de rôle a bien installé les services de rôle mais le serveur n’est pas
pour autant passer en contrôleur de domaine.
Pour cela, nous devons cliquez sur: lancez l’assistant Installation des services de
domaine Active Directory (dcpromo.exe)
93
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
94
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
N’ayant actuellement aucun domaine, cochez la case Créer un domaine dans une
nouvelle forêt (1) afin de créer ce dernier, ensuite cliquez sur Suivant (2).
Attention toutefois à ne pas créer un nouveau domaine dans une nouvelle forêt si
vous êtes déjà dans un domaine.
Le risque étant de tout lessiver sur votre domaine existant
95
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Nous allons en profiter pour ajouter le rôle de serveur DNS à notre serveur
Si elle ne l’est pas, cochez la case Serveur DNS puis cliquez sur Suivant
96
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Paramétrage d’adresse IP
97
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
98
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
99
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
100
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
101
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Cliquez suivant
102
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
103
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
104
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
105
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Protection de c:\windows\systeme32\spool
Protection de SamSs
Protection de kerberos
106
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Installation terminé
Redémarrage de l’ordinateur
107
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Les tests
On va remplir le formulaire
108
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Le serveur DNS fonction convenablement .il peut résoudre dans les deux sens
du nom BIOS à l’@ IP et de l’@ IP au nom BIOS
109
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
110
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
111
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
112
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Résultat :
-avant -après : icône désactivé
113
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
Résultat :
-avant
-après
Message d’erreur « F:\ n’est pas accessible » et « Accès refusé »
114