Pages de Audit Securite Systeme Informatique MTIC
Transcript of Pages de Audit Securite Systeme Informatique MTIC
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
1/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
0
MEMOIREDE STAGE DE FIN DETUDE
Pour lobtention du
MASTERE PROFESSIONNEL
Nouvelles Technologies des Tlcommunications et Rseaux
Prsent par :
Ayari Amani
Audit de Scurit du Systme
Informatique de MTIC
Soutenu le : 05/02/2014
Devant le jury : Mr : Khaled Ghorbel
Mme : Emna Souissi
Mme : Chiraz Houaidia
http://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2tr -
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
2/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
1
Ama mre
pour toute laffection quelle me procure.
Amon pre
pour ses innombrables et prcieux conseils.
Ames frres et leurs conjointes
pour leur soutien.
Aux petites, Lina etFatouma
pour la joie quils me font vivre.
A mon fiancAhmed
Lhommeque jaime tantet avec qui je
construirai ma vie
Ama tanteMtira
Pour son soutien moral
Atoute ma famille, mes oncles, mes tantes,
mes cousins et mes cousines
A tous mes amis
Amani
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
3/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
2
Le travail prsent dans ce rapport a t effectu dans le cadre de ce projet de fin
dtudes pour lobtention du diplme de mastre professionnel en Nouvelles Technologies de
Tlcommunications et Rseaux lUniversit Virtuelle de Tunis (UVT)
Ce travail ralis au sein des locaux du Ministre des Technologies de lInformation et de
Communication(MTIC) a pu tre men terme grce la collaboration de certaines personnes
quil nous plat de remercier.
Je remercie galement Mr Khaled Sammoud mon encadreur pour ses conseils lucides et
pertinents.
Je tiens remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi
Moslypour la confiance quils ont su me tmoigner au cours de toute la dure d e ltude de mon
projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert
auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux.
Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une
valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai
trs reconnaissant.
Je remercie particulirement aux responsables et lquipement informatiqueau ministre pour
leur aide, leur patience et leur disponibilit.
Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de cetravail.
Amani
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
4/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
3
Table des matires
Introduction Gnrale ..........................................................................................................................7
Chapitre I : ......................................................................................................................................... 10
Gnralits et Etude de lArt............................................................................................................ 10
1- Introduction.................................................................................................................... 11
2- Gnralit sur la scurit informatique....................................................................... 11
3- Normes et standards relatives la scurit................................................................ 11
3.1- ISO/IEC 27001............................................................................................................. 12
3.2- ISO/IEC 27002............................................................................................................ 12
3.3- ISO/IEC 27005............................................................................................................ 13
4- Rle et objectifs daudit................................................................................................. 13
5- Cycle de vie dun audit de scurit des systmes dinformation............................ 14
6- Dmarche de ralisation dune mission daudit de scurit des systmesdinformation............................................................................................................................ 15
6.1-
Prparation de laudit............................................................................................ 15
6.2- Audit organisationnel et physique........................................................................ 16
6.3-
Audit technique...................................................................................................... 16
6.4-
Audit intrusif........................................................................................................... 18
6.5-
Rapport daudit....................................................................................................... 18
7- Lois relative la scurit informatique en Tunisie................................................... 19
8- Conclusion....................................................................................................................... 19
Chapitre II :........................................................................................................................................ 20
Prsentation de lorganisme daccueil et tude de lexistant.......................................................... 20
1- Introduction.................................................................................................................... 21
2- Prsentation de lorganisme daccueil......................................................................... 21
2.1-
Prsentation gnrale............................................................................................. 21
2.2-
Rles et attributions............................................................................................... 21
2.3-
Organigramme :...................................................................................................... 23
2.4-
Le bureau des systmes dinformation............................................................... 25
3- Description du systme informatique......................................................................... 25
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
5/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
4
3.1-
Inventaire des micro-ordinateurs et serveurs.................................................... 25
3.2-
Inventaire des logiciels et systme dexploitation........................................... 26
3.3-
Inventaire des quipements rseaux................................................................... 27
4- Architecture et topologie du rseau............................................................................ 28
4.1-
Plan dadressage...................................................................................................... 28
4.2-
Description de larchitecture rseau................................................................... 28
5- Aspects de scurit existante........................................................................................ 29
5.1-
Scurit physique................................................................................................... 29
5.2-
Scurit logique...................................................................................................... 30
5.3-
Scurit rseau......................................................................................................... 31
5.4-
Scurit des systmes............................................................................................. 31
6- Conclusion....................................................................................................................... 32
Chapitre III :....................................................................................................................................... 33
Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002.................... 33
1- Introduction.................................................................................................................... 34
2- Approche adopt............................................................................................................ 34
3- Droulement de la taxonomie organisationnel et physique.................................... 34
3.1-
Prsentation des interviews.................................................................................. 34
3.2-
Prsentation et interprtation des rsultats....................................................... 34
4-
Conclusion....................................................................................................................... 40
Chapitre IV: ....................................................................................................................................... 41
Taxonomies des failles techniques.................................................................................................... 41
1- Introduction.................................................................................................................... 42
2- Analyse de larchitecture rseau et systme............................................................... 42
2.1-
Reconnaissance du rseau et du plan dadressage........................................... 42
2.2-
Sondage systme et des services rseaux........................................................... 44
3- Analyse des vulnrabilits............................................................................................ 50
3.1-
Serveur Backup Mail.............................................................................................. 50
3.2-
Serveur SyGec......................................................................................................... 51
3.3-
Serveur de messagerie Lotus Notes.................................................................... 52
4- Analyse de larchitecture de scurit existante.......................................................... 53
4.1-
Analyse du Firewall............................................................................................... 54
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
6/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
5
4.2-
Analyse du Routeur Cisco..................................................................................... 54
4.3-
Analyse du Switch HP Procurve.......................................................................... 55
4.4-
Analyse de la politique dusage de mots de passe ........................................... 56
5- Conclusion....................................................................................................................... 57
Chapitre V :........................................................................................................................................ 58
Recommandations organisationnelles et physiques........................................................................ 58
1- Introduction.................................................................................................................... 59
2- Politique de scurit....................................................................................................... 59
3- Organisation de la scurit de linformation.............................................................. 59
4- Gestion des biens............................................................................................................ 60
5- Scurit lie aux ressources humaines........................................................................ 61
6-
Scurit physique et environnementale...................................................................... 62
7- Gestion des communications et de lexploitation...................................................... 63
8- Contrle daccs.............................................................................................................. 63
9- Dveloppement et maintenance des systmes........................................................... 64
10- Gestion des incidents..................................................................................................... 65
11- Gestion de la continuit dactivit............................................................................... 66
12- Conformit...................................................................................................................... 66
13- Conclusion....................................................................................................................... 67
Chapitre VI : ...................................................................................................................................... 68
Recommandations techniques........................................................................................................... 68
1- Introduction.................................................................................................................... 69
2- Recommandations.......................................................................................................... 69
3- Solution propose........................................................................................................... 72
3.1-
Dploiement complet dActive directory (Annexe 4)...................................... 72
3.2-
Windows Server Update Services...................................................................... 72
3.3-
Deuxime Switch HP Procurve............................................................................ 72
3.4-
Nouvelle architecture............................................................................................. 73
4- Conclusion....................................................................................................................... 73
Conclusion Gnrale.......................................................................................................................... 74
Bibliographie...................................................................................................................................... 77
Annexes.............................................................................................................................................. 79
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
7/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
6
TABLE DES FIGURES
Figure 1:Cycle de vie d'audit scurit ........................................................................................... 14
Figure 2:Processus d'audit ............................................................................................................ 15Figure 3:Site du ministre(MTIC) ................................................................................................ 22
Figure 4:Organigramme de MTIC ................................................................................................ 23
Figure 5:Stuctures de cabinet ........................................................................................................ 24Figure 6:Topologie du rseau du ministre(MTIC) ...................................................................... 29
Figure 7:Interface d'administration des onduleurs ........................................................................ 30
Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32
Figure 9:Rsultat de la taxonomie organisationnelle .................................................................... 39Figure 10:Rseau local .................................................................................................................. 43
Figure 11:Configuration rseau au niveau du poste ..................................................................... 44
Figure 12:Sondage des systmes dexploitation avec GFI LANguard......................................... 45
Figure 14:Sondage des services en activit du serveur Backup Mail ........................................... 46Figure 15:Sondage des services avec Zenmap.............................................................................. 46
Figure 16:Sondage des ports ouverts ............................................................................................ 47
Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47Figure 18:Capture des flux avec wireshark .................................................................................. 48
Figure 19:Partages rseau avec GFI LANguard ........................................................................... 49
Figure 20:Vulnrabilits (GFI LANguard) ................................................................................... 50
Figure 21:Capture du serveur Backup Mail .................................................................................. 51Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51
Figure 23:Serveur SyGec .............................................................................................................. 52
Figure 24:Serveur primaire messagerie ........................................................................................ 52Figure 25:Capture PuTTy ............................................................................................................. 55
Figure 26:Capture PuTTy(2)......................................................................................................... 55
Figure 27:Capture de la version du Switch ................................................................................... 56Figure 28:Capture des adresses IP autorises ............................................................................... 56
Figure 29:Nouvelle architecture scurise .................................................................................... 73
TABLE DESTABLEAUXTableau 1:liste des serveurs du MTIC .......................................................................................... 26
Tableau 2:liste des applications du MTIC .................................................................................... 27
Tableau 3:liste des quipements rseaux de MTIC ...................................................................... 27Tableau 4:liste des plans d'adressage ............................................................................................ 28
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
8/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
7
Introduction Gnrale
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
9/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
8
Le prsent rapport entre dans le cadre de ralisation dune mmoire du mastre
professionnel Nouvelles Technologies des Tlcommunications et Rseaux
lUniversit Virtuelle de Tunis pour lobtention dune mission daudit de scurit de
systme informatique de Ministre des Technologies de lInformation et deCommunication.
Les systmes informatiques sont devenus des outils indispensables au
fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs
professionnels, savoir, le secteur bancaire, les assurances, la mdecine voire dans le
domaine aronautique.
Cette volution a assouvi par consquent les besoins de nombreux utilisateurs
qui ne sont pas forcment de bonne foi. Ils peuvent exploiter les vulnrabilits des
rseaux et des systmes dans le but daccder des informations confidentielles et de
les utiliser dans leurs propre intrt. Il en dcoule que ces rseaux sont devenus cibls
par ce genre de menaces et leurs scurisation recle une proccupation de plus en plus
importante. La mise en place dune politique de scurit autour de ces systmes est
donc primordiale.
Ds lors, la scurit revt une importance qui grandit avec le dveloppement desrseaux IP, les entreprises y voient aujourdhui un avantage concurrentiel et un
nouveau dfi battre. La complexit des technologies utilise, la croissance
exponentielle des terminaux protger ainsi que la prolifration de nouvelles menaces
dmontrent que la scurit est trs importante, et ncessaire.
Les oprations informatiques offrent de nouvelles perspectives de rentabilit
pour les pirates et les malveillants. Elles constituent un moyen dattaque qui peut tre
men des milliers de kilomtres de la cible vise. Ces risques ont gagn du terrain
depuis la naissance du rseau mondial Internet. Par consquent, toute organisation qui
a des ordinateurs relies internet (ou tout autre rseau externe) doit laborer une
politique pour assurer la scurit de chaque systme.
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
10/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
9
Ici interviennent les mthodes daudit de scurit des systmes dinformation
qui sont la base mme dune politique permettant lentreprise de mettre en uvre
une dmarche de gestion de ses risques.
Dans ce contexte il nous a t confi de raliser une mission daudit de scurit
du systme dinformation du ministre des technologies de linformation et de
communication.
Le prsent rapport sera structur en six parties :
La premire partie prsente des gnralits sur la scurit informatique et sur
une mission daudit ainsi quun aperu sur les normes de scurit de
linformation. La deuxime partie prsente lorganisme daccueil et ltude de lexistant et
lidentification de systme cible.
La troisime partie est consacre aux taxonomies des failles organisationnelles et
physiques bass sur la norme 27002 et ses rsultats.
La quatrime partie sera consacre aux taxonomies des failles techniques qui
permettent, travers des outils de dtection des vulnrabilits, dvaluer la
scurit mise en place pour la protection du systme dinformation. Enfin, les deux dernires parties de ce rapport comporteront des
recommandations et des conseils suggrs pour remdier ces problmes de
scurit.
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
11/15
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
12/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
11
1-Introduction
L'informatique est l'un des lments clefs de la comptitivit d'une entreprise.
C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant,
rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins.
C'est pourquoi raliser un audit permet, par une vision claire et globale,
d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit,
d'anticiper les problmes et de diminuer les cots de maintenance.(1)
2-
Gnralit sur la scurit informatique
Le systme dinformation, considr comme le cur de lentreprise, est
lensemble des moyens organisationnels, humains et technologiques mis en uvre pour
la gestion de linformation. Il doit tre exempt de toute faille de scurit qui risquerait
de compromettre linformation qui y circule, du point de vue de la conf identialit, de
lintgrit ou de la disponibilit. Ainsi, des normes de scurit ont t dfinies, donnant
les rgles respecter afin de maintenir la scurit du systme dinformation de
lentreprise. Paralllement, tant donn la complexit de la mise en uvre de ces
normes, plusieurs mthodes danalyse des risques ont t mises au point afin de faciliter
et dencadrer leur utilisation. Cependant, la plupart de ces mthodes en sont que
partiellement compatibles, ne tenant compte que dune partie des rgles nonces dans
ces normes.
3- Normes et standards relatives la scurit
Les normes sont des accords documents contenant des spcifications techniquesou autres critres prcis destins tre utiliss systmatiquement en tant que rgles,
lignes directrices ou dfinitions de caractristiques pour assurer que des processus,
services, produits et matriaux sont aptes leur emploi.(2)
-
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
13/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
12
3.1- ISO/IEC 27001
La norme ISO/IEC a t publie en octobre 2005, intitul ExigencesdeSMSI ,
elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui dfinit
les conditions pour mettre en uvre et documenter un SMSI(Systme de Management de laScurit de l'Information).
3.2- ISO/IEC 27002
Cette norme est issue de la BS 7799-1 (datant de 1995) qui a volu en ISO
17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a
t rebaptise en ISO 27002 pour s'intgrer dans la suite ISO 2700x, intitul Code de
bonnes pratiques pour la gestion de la scurit de l'information.ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives
gnrales sur la slection et l'utilisation de mthodes appropries pour analyser les
risques pour la scurit des informations.
Elle est compose de 15 chapitres dont 4 premiers introduisent la norme et les 11
chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui
couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans
ses aspects oprationnels (les objectifs de scurit et les mesures prendre).
chapitres dfinissant le cadre de la norme:
Chapitre n1: Champ d'application
Chapitre n2: Termes et dfinitions
Chapitre n3: Structure de la prsente norme
Chapitre n4: valuation des risques et de traitement
Les chapitres dfinissant les objectifs de scurit et les mesures prendre Chapitre n5: Politique de scurit de l'information
Chapitre n6: Organisation de lascurit de l'information
Chapitre n7: Gestion des actifs
Chapitre n8: Scurit lie auxressources humaines
http://wapedia.mobi/fr/S%C3%A9curit%C3%A9_de_l%27informationhttp://wapedia.mobi/fr/Gestion_des_ressources_humaineshttp://wapedia.mobi/fr/Gestion_des_ressources_humaineshttp://wapedia.mobi/fr/S%C3%A9curit%C3%A9_de_l%27information -
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
14/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
13
Chapitre n9: Scurits physiques et environnementales
Chapitre n10: Exploitation et gestion des communications
Chapitre n11: Contrle d'accs
Chapitre n12: Acquisition, dveloppement et maintenance des systmesd'informations
Chapitre n13: Gestion des incidents
Chapitre n14: Gestion de lacontinuit d'activit
Chapitre n15: Conformit.
3.3- ISO/IEC 27005
La norme ISO/IEC 27005, intitul Gestion du risque en scurit del'information, est une volution de la norme ISO 13335, dfinissant les techniques
mettre en uvre dans le cadre dune dmarche de gestion des risques.
4- Rle et objectifs daudit
Laudit scurit est une mission dvaluation de conformit par rapport une
politique de scurit ou dfaut par rapport un ensemble de rgles de scurit.
Principe :auditer rationnellement et expliciter les finalits de laudit, puis en dduire
les moyens dinvestigations jugs ncessaires et suffisants.
Lobjectif principal dune mission daudit scurit cest de rpondre aux proccupations
concrtes de lentreprise, notamment de ses besoins en scurit, en:
Dterminant les dviations par rapport aux bonnes pratiques.
Proposant des actions damliorations de niveau de scurit de linfrastructure
informatique.
Cependant, laudit de scurit peut prsenter un aspect prventif. C'est--dire
quil est effectu de faons priodiques afin que lorganisme puisse prvenir les failles
de scurit. Egalement, laudit peut simposer suite des incidents de scurit.
http://wapedia.mobi/fr/Plan_de_continuit%C3%A9_d%27activit%C3%A9_(informatique)http://wapedia.mobi/fr/Plan_de_continuit%C3%A9_d%27activit%C3%A9_(informatique) -
7/25/2019 Pages de Audit Securite Systeme Informatique MTIC
15/15
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS
14
5- Cycle de vie dun audit de scurit des systmesdinformation
Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit
un cycle de vie qui est schmatis laide de la figure suivante (3)
Figure 1:Cycle de vie d'audit scurit
Laudit de scurit informatique se prsente essentiellement suivant deux parties
comme le prsente le prcdent schma :
Laudit organisationnel et physique.
Laudit technique.
Une troisime partie optionnelle peut tre galement considre. Il sagit de
laudit intrusif. Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport
prsente une synthse de laudit. Il prsente galement les recommandations mettre
en place pour corriger les dfaillances organisationnelles et techniques constates. Uneprsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe
suivant qui prsente le droulement de laudit.(3)