You are on page 1of 115

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

0


MEMOIRE
DE STAGE DE FIN DETUDE

Pour lobtention du


MASTERE PROFESSIONNEL



Nouvelles Technologies des Tlcommunications et Rseaux


Prsent par :
Ayari Amani


Audit de Scurit du Systme
Informatique de MTIC






Soutenu le : 05/02/2014


Devant le jury : Mr : Khaled Ghorbel
Mme : Emna Souissi
Mme : Chiraz Houaidia




2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

1


A ma mre
pour toute laffection quelle me procure.

A mon pre
pour ses innombrables et prcieux conseils.

A mes frres et leurs conjointes
pour leur soutien.

Aux petites, Lina et Fatouma
pour la joie quils me font vivre.

A mon fianc Ahmed
Lhomme que jaime tant et avec qui je
construirai ma vie

A ma tante Mtira
Pour son soutien moral

A toute ma famille, mes oncles, mes tantes,
mes cousins et mes cousines
A tous mes amis

Amani
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

2





Le travail prsent dans ce rapport a t effectu dans le cadre de ce projet de fin
dtudes pour lobtention du diplme de mastre professionnel en Nouvelles Technologies de
Tlcommunications et Rseaux lUniversit Virtuelle de Tunis (UVT)
Ce travail ralis au sein des locaux du Ministre des Technologies de lInformation et de
Communication(MTIC) a pu tre men terme grce la collaboration de certaines personnes
quil nous plat de remercier.
Je remercie galement Mr Khaled Sammoud mon encadreur pour ses conseils lucides et
pertinents.
Je tiens remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi
Mosly pour la confiance quils ont su me tmoigner au cours de toute la dure de ltude de mon
projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert
auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux.

Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une
valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai
trs reconnaissant.

Je remercie particulirement aux responsables et lquipement informatique au ministre pour
leur aide, leur patience et leur disponibilit.
Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce
travail.

Amani

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

3

Table des matires


Introduction Gnrale ..........................................................................................................................7
Chapitre I : ......................................................................................................................................... 10
Gnralits et Etude de lArt ............................................................................................................ 10
1- Introduction .................................................................................................................... 11
2- Gnralit sur la scurit informatique ....................................................................... 11
3- Normes et standards relatives la scurit ................................................................ 11
3.1- ISO/IEC 27001 ............................................................................................................. 12
3.2- ISO/IEC 27002 ............................................................................................................ 12
3.3- ISO/IEC 27005 ............................................................................................................ 13
4- Rle et objectifs daudit ................................................................................................. 13
5- Cycle de vie dun audit de scurit des systmes dinformation ............................ 14
6- Dmarche de ralisation dune mission daudit de scurit des systmes
dinformation............................................................................................................................ 15
6.1- Prparation de laudit ............................................................................................ 15
6.2- Audit organisationnel et physique ........................................................................ 16
6.3- Audit technique ...................................................................................................... 16
6.4- Audit intrusif ........................................................................................................... 18
6.5- Rapport daudit ....................................................................................................... 18
7- Lois relative la scurit informatique en Tunisie ................................................... 19
8- Conclusion ....................................................................................................................... 19
Chapitre II : ........................................................................................................................................ 20
Prsentation de lorganisme daccueil et tude de lexistant .......................................................... 20
1- Introduction .................................................................................................................... 21
2- Prsentation de lorganisme daccueil ......................................................................... 21
2.1- Prsentation gnrale ............................................................................................. 21
2.2- Rles et attributions ............................................................................................... 21
2.3- Organigramme : ...................................................................................................... 23
2.4- Le bureau des systmes dinformation ............................................................... 25
3- Description du systme informatique ......................................................................... 25
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

4

3.1- Inventaire des micro-ordinateurs et serveurs .................................................... 25
3.2- Inventaire des logiciels et systme dexploitation ........................................... 26
3.3- Inventaire des quipements rseaux ................................................................... 27
4- Architecture et topologie du rseau ............................................................................ 28
4.1- Plan dadressage ...................................................................................................... 28
4.2- Description de larchitecture rseau ................................................................... 28
5- Aspects de scurit existante ........................................................................................ 29
5.1- Scurit physique ................................................................................................... 29
5.2- Scurit logique ...................................................................................................... 30
5.3- Scurit rseau......................................................................................................... 31
5.4- Scurit des systmes ............................................................................................. 31
6- Conclusion ....................................................................................................................... 32
Chapitre III : ....................................................................................................................................... 33
Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002 .................... 33
1- Introduction .................................................................................................................... 34
2- Approche adopt ............................................................................................................ 34
3- Droulement de la taxonomie organisationnel et physique .................................... 34
3.1- Prsentation des interviews .................................................................................. 34
3.2- Prsentation et interprtation des rsultats ....................................................... 34
4- Conclusion ....................................................................................................................... 40
Chapitre IV: ....................................................................................................................................... 41
Taxonomies des failles techniques .................................................................................................... 41
1- Introduction .................................................................................................................... 42
2- Analyse de larchitecture rseau et systme ............................................................... 42
2.1- Reconnaissance du rseau et du plan dadressage ........................................... 42
2.2- Sondage systme et des services rseaux ........................................................... 44
3- Analyse des vulnrabilits ............................................................................................ 50
3.1- Serveur Backup Mail.............................................................................................. 50
3.2- Serveur SyGec ......................................................................................................... 51
3.3- Serveur de messagerie Lotus Notes .................................................................... 52
4- Analyse de larchitecture de scurit existante .......................................................... 53
4.1- Analyse du Firewall ............................................................................................... 54
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

5

4.2- Analyse du Routeur Cisco..................................................................................... 54
4.3- Analyse du Switch HP Procurve .......................................................................... 55
4.4- Analyse de la politique dusage de mots de passe ........................................... 56
5- Conclusion ....................................................................................................................... 57
Chapitre V : ........................................................................................................................................ 58
Recommandations organisationnelles et physiques ........................................................................ 58
1- Introduction .................................................................................................................... 59
2- Politique de scurit ....................................................................................................... 59
3- Organisation de la scurit de linformation .............................................................. 59
4- Gestion des biens ............................................................................................................ 60
5- Scurit lie aux ressources humaines ........................................................................ 61
6- Scurit physique et environnementale ...................................................................... 62
7- Gestion des communications et de lexploitation ...................................................... 63
8- Contrle daccs.............................................................................................................. 63
9- Dveloppement et maintenance des systmes ........................................................... 64
10- Gestion des incidents ..................................................................................................... 65
11- Gestion de la continuit dactivit ............................................................................... 66
12- Conformit ...................................................................................................................... 66
13- Conclusion ....................................................................................................................... 67
Chapitre VI : ...................................................................................................................................... 68
Recommandations techniques ........................................................................................................... 68
1- Introduction .................................................................................................................... 69
2- Recommandations .......................................................................................................... 69
3- Solution propose ........................................................................................................... 72
3.1- Dploiement complet dActive directory (Annexe 4) ...................................... 72
3.2- Windows Server Update Services ...................................................................... 72
3.3- Deuxime Switch HP Procurve ............................................................................ 72
3.4- Nouvelle architecture ............................................................................................. 73
4- Conclusion ....................................................................................................................... 73
Conclusion Gnrale .......................................................................................................................... 74
Bibliographie ...................................................................................................................................... 77
Annexes .............................................................................................................................................. 79
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

6


TABLE DES FIGURES

Figure 1:Cycle de vie d'audit scurit ........................................................................................... 14
Figure 2:Processus d'audit ............................................................................................................ 15
Figure 3:Site du ministre(MTIC) ................................................................................................ 22
Figure 4:Organigramme de MTIC ................................................................................................ 23
Figure 5:Stuctures de cabinet ........................................................................................................ 24
Figure 6:Topologie du rseau du ministre(MTIC) ...................................................................... 29
Figure 7:Interface d'administration des onduleurs ........................................................................ 30
Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32
Figure 9:Rsultat de la taxonomie organisationnelle .................................................................... 39
Figure 10:Rseau local .................................................................................................................. 43
Figure 11:Configuration rseau au niveau du poste ..................................................................... 44
Figure 12:Sondage des systmes dexploitation avec GFI LANguard ......................................... 45
Figure 14:Sondage des services en activit du serveur Backup Mail ........................................... 46
Figure 15:Sondage des services avec Zenmap.............................................................................. 46
Figure 16:Sondage des ports ouverts ............................................................................................ 47
Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47
Figure 18:Capture des flux avec wireshark .................................................................................. 48
Figure 19:Partages rseau avec GFI LANguard ........................................................................... 49
Figure 20:Vulnrabilits (GFI LANguard) ................................................................................... 50
Figure 21:Capture du serveur Backup Mail .................................................................................. 51
Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51
Figure 23:Serveur SyGec .............................................................................................................. 52
Figure 24:Serveur primaire messagerie ........................................................................................ 52
Figure 25:Capture PuTTy ............................................................................................................. 55
Figure 26:Capture PuTTy(2)......................................................................................................... 55
Figure 27:Capture de la version du Switch ................................................................................... 56
Figure 28:Capture des adresses IP autorises ............................................................................... 56
Figure 29:Nouvelle architecture scurise .................................................................................... 73

TABLE DES TABLEAUX
Tableau 1:liste des serveurs du MTIC .......................................................................................... 26
Tableau 2:liste des applications du MTIC .................................................................................... 27
Tableau 3:liste des quipements rseaux de MTIC ...................................................................... 27
Tableau 4:liste des plans d'adressage ............................................................................................ 28


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

7











Introduction Gnrale




















2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

8

Le prsent rapport entre dans le cadre de ralisation dune mmoire du mastre
professionnel Nouvelles Technologies des Tlcommunications et Rseaux
lUniversit Virtuelle de Tunis pour lobtention dune mission daudit de scurit de
systme informatique de Ministre des Technologies de lInformation et de
Communication.
Les systmes informatiques sont devenus des outils indispensables au
fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs
professionnels, savoir, le secteur bancaire, les assurances, la mdecine voire dans le
domaine aronautique.
Cette volution a assouvi par consquent les besoins de nombreux utilisateurs
qui ne sont pas forcment de bonne foi. Ils peuvent exploiter les vulnrabilits des
rseaux et des systmes dans le but daccder des informations confidentielles et de
les utiliser dans leurs propre intrt. Il en dcoule que ces rseaux sont devenus cibls
par ce genre de menaces et leurs scurisation recle une proccupation de plus en plus
importante. La mise en place dune politique de scurit autour de ces systmes est
donc primordiale.
Ds lors, la scurit revt une importance qui grandit avec le dveloppement des
rseaux IP, les entreprises y voient aujourdhui un avantage concurrentiel et un
nouveau dfi battre. La complexit des technologies utilise, la croissance
exponentielle des terminaux protger ainsi que la prolifration de nouvelles menaces
dmontrent que la scurit est trs importante, et ncessaire.
Les oprations informatiques offrent de nouvelles perspectives de rentabilit
pour les pirates et les malveillants. Elles constituent un moyen dattaque qui peut tre
men des milliers de kilomtres de la cible vise. Ces risques ont gagn du terrain
depuis la naissance du rseau mondial Internet. Par consquent, toute organisation qui
a des ordinateurs relies internet (ou tout autre rseau externe) doit laborer une
politique pour assurer la scurit de chaque systme.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

9

Ici interviennent les mthodes daudit de scurit des systmes dinformation
qui sont la base mme dune politique permettant lentreprise de mettre en uvre
une dmarche de gestion de ses risques.
Dans ce contexte il nous a t confi de raliser une mission daudit de scurit
du systme dinformation du ministre des technologies de linformation et de
communication.
Le prsent rapport sera structur en six parties :
La premire partie prsente des gnralits sur la scurit informatique et sur
une mission daudit ainsi quun aperu sur les normes de scurit de
linformation.
La deuxime partie prsente lorganisme daccueil et ltude de lexistant et
lidentification de systme cible.
La troisime partie est consacre aux taxonomies des failles organisationnelles et
physiques bass sur la norme 27002 et ses rsultats.
La quatrime partie sera consacre aux taxonomies des failles techniques qui
permettent, travers des outils de dtection des vulnrabilits, dvaluer la
scurit mise en place pour la protection du systme dinformation.
Enfin, les deux dernires parties de ce rapport comporteront des
recommandations et des conseils suggrs pour remdier ces problmes de
scurit.

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

10






Chapitre I :
Gnralits et Etude de
lArt

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

11

1- Introduction
L'informatique est l'un des lments clefs de la comptitivit d'une entreprise.
C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant,
rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins.
C'est pourquoi raliser un audit permet, par une vision claire et globale,
d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit,
d'anticiper les problmes et de diminuer les cots de maintenance. (1)
2- Gnralit sur la scurit informatique
Le systme dinformation, considr comme le cur de lentreprise, est
lensemble des moyens organisationnels, humains et technologiques mis en uvre pour
la gestion de linformation. Il doit tre exempt de toute faille de scurit qui risquerait
de compromettre linformation qui y circule, du point de vue de la confidentialit, de
lintgrit ou de la disponibilit. Ainsi, des normes de scurit ont t dfinies, donnant
les rgles respecter afin de maintenir la scurit du systme dinformation de
lentreprise. Paralllement, tant donn la complexit de la mise en uvre de ces
normes, plusieurs mthodes danalyse des risques ont t mises au point afin de faciliter
et dencadrer leur utilisation. Cependant, la plupart de ces mthodes en sont que
partiellement compatibles, ne tenant compte que dune partie des rgles nonces dans
ces normes.
3- Normes et standards relatives la scurit
Les normes sont des accords documents contenant des spcifications techniques
ou autres critres prcis destins tre utiliss systmatiquement en tant que rgles,
lignes directrices ou dfinitions de caractristiques pour assurer que des processus,
services, produits et matriaux sont aptes leur emploi.(2)
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

12

3.1- ISO/IEC 27001
La norme ISO/IEC a t publie en octobre 2005, intitul Exigences de SMSI ,
elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui dfinit
les conditions pour mettre en uvre et documenter un SMSI (Systme de Management de la
Scurit de l'Information).
3.2- ISO/IEC 27002
Cette norme est issue de la BS 7799-1 (datant de 1995) qui a volu en ISO
17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a
t rebaptise en ISO 27002 pour s'intgrer dans la suite ISO 2700x, intitul Code de
bonnes pratiques pour la gestion de la scurit de l'information .
ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives
gnrales sur la slection et l'utilisation de mthodes appropries pour analyser les
risques pour la scurit des informations.
Elle est compose de 15 chapitres dont 4 premiers introduisent la norme et les 11
chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui
couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans
ses aspects oprationnels (les objectifs de scurit et les mesures prendre).
chapitres dfinissant le cadre de la norme:
Chapitre n1: Champ d'application
Chapitre n2: Termes et dfinitions
Chapitre n3: Structure de la prsente norme
Chapitre n4: valuation des risques et de traitement
Les chapitres dfinissant les objectifs de scurit et les mesures prendre
Chapitre n5: Politique de scurit de l'information
Chapitre n6: Organisation de la scurit de l'information
Chapitre n7: Gestion des actifs
Chapitre n8: Scurit lie aux ressources humaines
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

13

Chapitre n9: Scurits physiques et environnementales
Chapitre n10: Exploitation et gestion des communications
Chapitre n11: Contrle d'accs
Chapitre n12: Acquisition, dveloppement et maintenance des systmes
d'informations
Chapitre n13: Gestion des incidents
Chapitre n14: Gestion de la continuit d'activit
Chapitre n15: Conformit.
3.3- ISO/IEC 27005
La norme ISO/IEC 27005, intitul Gestion du risque en scurit de
l'information , est une volution de la norme ISO 13335, dfinissant les techniques
mettre en uvre dans le cadre dune dmarche de gestion des risques.
4- Rle et objectifs daudit
Laudit scurit est une mission dvaluation de conformit par rapport une
politique de scurit ou dfaut par rapport un ensemble de rgles de scurit.
Principe : auditer rationnellement et expliciter les finalits de laudit, puis en dduire
les moyens dinvestigations jugs ncessaires et suffisants.
Lobjectif principal dune mission daudit scurit cest de rpondre aux proccupations
concrtes de lentreprise, notamment de ses besoins en scurit, en :
Dterminant les dviations par rapport aux bonnes pratiques.
Proposant des actions damliorations de niveau de scurit de linfrastructure
informatique.
Cependant, laudit de scurit peut prsenter un aspect prventif. C'est--dire
quil est effectu de faons priodiques afin que lorganisme puisse prvenir les failles
de scurit. Egalement, laudit peut simposer suite des incidents de scurit.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

14

5- Cycle de vie dun audit de scurit des systmes
dinformation
Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit
un cycle de vie qui est schmatis laide de la figure suivante (3)

Figure 1:Cycle de vie d'audit scurit
Laudit de scurit informatique se prsente essentiellement suivant deux parties
comme le prsente le prcdent schma :
Laudit organisationnel et physique.
Laudit technique.
Une troisime partie optionnelle peut tre galement considre. Il sagit de
laudit intrusif. Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport
prsente une synthse de laudit. Il prsente galement les recommandations mettre
en place pour corriger les dfaillances organisationnelles et techniques constates. Une
prsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe
suivant qui prsente le droulement de laudit.(3)
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

15

6- Dmarche de ralisation dune mission daudit de scurit
des systmes dinformation
Tel que prcdemment voqu, laudit de scurit des systmes dinformation se
droule gnralement suivant deux principales tapes. Cependant il existe une phase
tout aussi importante qui est une phase de prparation. Nous schmatisons lensemble
du processus daudit travers la figure suivante :

Figure 2:Processus d'audit

6.1- Prparation de laudit
Cette phase est aussi appele phase de pr audit. Elle constitue une phase
importante pour la ralisation de laudit sur terrain.
En synthse on peut dire que cette tape permet de :
Dfinir un rfrentiel de scurit (dpend des exigence et attentes des
responsables du site audit, type daudit).
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

16

Elaboration dun questionnaire daudit scurit partir du rfrentiel et des
objectifs de la mission.
Planification des entretiens et informations de personnes impliques.
6.2- Audit organisationnel et physique
a- Objectif
Dans cette tape, il sagit de sintresser laspect physique et organisationnel de
lorganisme cible, auditer.
Nous nous intressons donc aux aspects de gestion et dorganisation de la
scurit, sur les plans organisationnels, humains et physiques.
Les objectifs viss par cette tape sont donc :
Davoir une vue globale de ltat de scurit du systme dinformation,
Didentifier les risques potentiels sur le plan organisationnel.
b- Droulement
Afin de raliser cette tape de laudit, ce volet doit suivre une approche
mthodologique qui sappuie sur un ensemble de questions. Ce questionnaire prtabli
devra tenir compte et sadapter aux ralits de lorganisme auditer. A lissu de ce
questionnaire, et suivant une mtrique, lauditeur est en mesure dvaluer les failles et
dapprcier le niveau de maturit en termes de scurit de lorganisme, ainsi que la
conformit de cet organisme par rapport la norme rfrentielle de laudit.
Dans notre contexte, cet audit prendra comme rfrentiel la norme ISO/27002 :2005.
6.3- Audit technique
a- Objectif
Cette tape de laudit sur terrain vient en seconde position aprs celle de laudit
organisationnel. Laudit technique est ralis suivant une approche mthodique allant
de la dcouverte et la reconnaissance du rseau audit jusquau sondage des services
rseaux actifs et vulnrables. Cette analyse devra faire apparatre les failles et les
risques, les consquences dintrusions ou de manipulations illicites de donnes.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

17

Au cours de cette phase, lauditeur pourra galement apprcier lcart avec les
rponses obtenues lors des entretiens. Il sera mme de tester la robustesse de la
scurit du systme dinformation et sa capacit prserver les aspects de
confidentialit, dintgrit, de disponibilit et dautorisation.
b- Droulement
Laudit technique sera ralis selon une succession de phases respectant une
approche mthodique. Laudit technique permet la dtection des types de
vulnrabilits suivante, savoir :
Les erreurs de programmation et erreurs darchitecture.
Les erreurs de configurations des composants logiques installs tels que les
services (ports) ouverts sur les machines, la prsence de fichiers de configuration
installs par dfaut, lutilisation des comptes utilisateurs par dfaut.
Les problmes au niveau de trafic rseau (flux ou trafic non rpertori, coute
rseau,...).
Les problmes de configuration des quipements dinterconnexion et de contrle
daccs rseau.
Les principales phases :
Phase 1 : Audit de larchitecture du systme
Reconnaissance du rseau et de plan dadressage,
Sondage des systmes,
Sondage rseau,
Audit des applications.
Phase 2 : Analyse des vulnrabilits
Analyse des vulnrabilits des serveurs en exploitation,
Analyse des vulnrabilits des postes de travail.
Phase 3 : Audit de larchitecture de scurit existante
Cette phase couvre entirement/partiellement la liste ci aprs :
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

18

Audit des firewalls et des rgles de filtrage,
Audit des routeurs et des ACLs (Liste de contrle daccs),
Audit des sondes et des passerelles antivirales,
Audit des stations proxy,
Audit des serveurs DNS, dauthentification,
Audit des commutateurs,
Audit de la politique dusage de mots de passe.
6.4- Audit intrusif
Cet audit permet dapprcier le comportement des installations techniques face
des attaques. Egalement, il permet de sensibiliser les acteurs (management, quipes sur
site, les utilisateurs) par des rapports illustrant les failles dceles, les tests qui ont t
effectus (scnarios et outils) ainsi que les recommandations pour pallier aux
insuffisances identifies.
6.5- Rapport daudit
A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger
un rapport de synthse sur sa mission daudit. Cette synthse doit tre rvlatrice des
dfaillances enregistres. Autant est-il important de dceler un mal, autant il est
galement important dy proposer des solutions. Ainsi, lauditeur est galement invit
proposer des solutions (recommandations), dtailles, pour pallier aux dfauts quil
aura constats.
Les recommandations devront inclure au minimum :
Une tude de la situation existante en termes de scurit au niveau du site
audit, qui tiendra compte de laudit organisationnel et physique, ainsi que les
ventuelles vulnrabilits de gestion des composantes du systme (rseau,
systmes, applications, outils de scurit) et les recommandations
correspondantes.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

19

Les actions dtailles (organisationnelles et techniques) urgentes mettre en
uvre dans limmdiat, pour parer aux dfaillances les plus graves, ainsi que la
proposition de la mise jour ou de llaboration de la politique de scurit
instaurer.
7- Lois relative la scurit informatique en Tunisie
Loi n 5 - 2004 du 3 fvrier 2004, relative a la scurit informatique et portant sur
l'organisation du domaine de la scurit informatique et fixant les rgles gnrales de
protection des systmes informatiques et des rseaux.(6)
Dcret n 1250 - 2004 du 25 mai 2004, fixant les systmes informatiques et les
rseaux des organismes soumis a l'audit obligatoire priodique de la scurit
informatique et les critres relatifs a la nature de l'audit et a sa priodicit et aux
procdures de suivi de l'application des recommandations contenues dans le rapport
d'audit.(6)
8- Conclusion
Laudit est une dmarche collaborative visant lexhaustivit. Elle est moins
raliste quun test mais permet en contrepartie de passer mthodiquement en revue tout
le rseau et chacun de ses composants en dtail.
Dans le chapitre suivant nous mettons laccent sur ltude de lexistant et
lidentification de systme cible.


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

20





Chapitre II :
Prsentation de
lorganisme daccueil et
tude de lexistant

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

21

1- Introduction
Notre mmoire de mastre sest droul au sein du Ministre des Technologies
de linformation et de la Communication (MTIC) qui est charg principalement du
pilotage, de la planification, de la rglementation et lorganisation du secteur des
technologies de la communication en Tunisie.
Ce chapitre prsente une tude exhaustive sur le systme informatique et les
composants qui le constituent. Toutes les informations ont t rassembles suite des
visites sur place et des entretiens avec les membres de lquipe informatique.
2- Prsentation de lorganisme daccueil
2.1- Prsentation gnrale
Dnomination Ministre des Technologies de l'information
et de la communication
Ministre Mr Mongi Marzouk
Secteur dactivits Informatique et tlcommunication
Moyens humains (fin 2012) 230 employs
Adresse 3, bis rue dAngleterre, 1000 Tunis
e-mail info@infocom.tn

Site web

http://www.infocom.tn

Tlphone : (+216) 71 359 000


2.2- Rles et attributions
Le ministre a pour mission la mise en place d'un cadre rglementaire qui
organise le secteur, la planification, le contrle et la tutelle en vue de permettre au pays
d'acqurir les nouvelles technologies. Il assure de mme le soutien du dveloppement,
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

22

attire l'investissement et encourage les efforts d'exportation et la comptitivit des
entreprises tunisiennes.
Ladresse officielle du site du ministre est : www.mincom.tn[N1]

Figure 3:Site du ministre(MTIC)
A cet effet, le ministre est charg notamment de :
Coordonner entre les structures charges des tudes stratgiques dans le
domaine de la Poste, des Tlcommunications et de la technologie de
l'Information ; laborer des normes techniques ; et encadrer les programmes de la
recherche et les activits industrielles en vue de leur adaptation aux besoins du
secteur,
Elaborer des plans et des tudes stratgiques dans les domaines des
tlcommunications et Postal,
Elaborer les tudes de rentabilit tarifaires et les modalits de fixation des tarifs
des Tlcommunications et des tarifs postaux,
Fixer les conditions et les modalits relatives la mise en place et l'exploitation
des services valeur ajoute des tlcommunications,
Suivre l'activit des Entreprises sous tutelle du ministre du point de vue
technique et financier.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

23

Collecter et analyser des statistiques relatives au secteur et proposer des
programmes insrer dans les plans de dveloppement et en valuer les
rsultats :
Collecter et analyser et diffuser des statistiques relatives aux activits du
ministre,
Participer l'laboration des tudes stratgiques et des plans de dveloppement
dans le domaine des communications,
Evaluer les rsultats des plans de dveloppement relatifs aux domaines affrents
aux attributions du ministre,
2.3- Organigramme :

Figure 4:Organigramme de MTIC
Lorganigramme du ministre comprend principalement :
L'inspection gnrale des communications
Les directions gnrales tel que :
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

24

-Direction gnrale des technologies de linformation
-Direction gnrale des technologies de la communication
-Direction gnrale de lconomie Numrique, de linvestissement et des
statistiques
-Direction gnrale des entreprises et tablissements publics
-Direction gnrale des services communs
Le cabinet comprend les structures suivantes :

Figure 5:Stuctures de cabinet
-Le bureau d'ordre central
-Le bureau de linformation et de la communication
-Le bureau des systmes dinformation
-Le bureau des relations avec les associations et les organisations
-Le bureau de suivi des dcisions du conseil des ministres, des conseils
ministriels restreints et des conseils interministriels
-Le bureau des affaires gnrales, de la scurit et de la permanence
-Le bureau des relations avec le citoyen
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

25

-Le bureau de supervision des projets statistiques
-Le bureau de la rforme administrative et de la bonne gouvernance
-Le bureau de la coopration internationale, des relations extrieures
2.4- Le bureau des systmes dinformation
Le bureau des systmes dinformation est charg de :
Lexcution du chemin directeur de linformation et sa mise jour, de mme le
dveloppement de lutilisation de linformatique au niveau de diffrents services
du ministre.
Lexploitation et la maintenance des quipements et des programmes
informatiques.
La fixation de besoins en matire informatique et participation llaboration des
cahiers des charges des appels doffres pour lacquisition dquipements
informatiques.
La participation llaboration des programmes de formation et de recyclage.
Le dveloppement des programmes informatiques concernant les produits
financiers.
Le suivi et lapplication des programmes de maintenance des quipements
informatiques au niveau rgional travers les ples rgionaux.
3- Description du systme informatique
Dans cette partie nous allons identifier tous les lments et les entits qui
participent au fonctionnement du Systme informatique.
Daprs les visites effectues et les documents qui nous ont t fournis, nous
rpartissons linventaire des quipements informatiques comme suit :
3.1- Inventaire des micro-ordinateurs et serveurs
Nombre des postes de travail : 220
Tous les ordinateurs sont de type PC
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

26

Nombre des serveurs en exploitation est 07 Serveurs :

Serveur en
Exploitation
Type dApplication
Hberge
Plates formes
OS/ SGBD
Adresse
rseau
Serveur SyGec Gestion et suivi des
courriers
Windows 2008
Server/
SQL serveur 2005
10.0.3.128/24
Serveur primaire
messagerie Lotus
Domino/Notes
Messagerie Intranet Windows 2003
SP3
10.0.3.51/24
Serveur Secondaire
messagerie Lotus
Domino/Notes

Messagerie Intranet Windows 2003
SP3
10.0.3.52/24
Serveur Backup Mail Sauvegarde des mails Windows XP
SP2
10.0.3.127/24
Serveur Antivirus
rseau Koss 9.0
Systme Antiviral Windows 2008 Server 10.0.3.131/24
Serveur Mangement
FW
Console
dadministration du
FireWall/IDS
Windows 2008 Server
R2
10.0.3.131/24
Serveur Fax Gestion lectronique
des Fax
Windows 2008 Server 10.0.3.101/24
Tableau 1:liste des serveurs du MTIC
3.2- Inventaire des logiciels et systme dexploitation
Les postes de travail sont quips du systme Windows XP (SP2/SP3) et Windows7
(SP1).
Les Serveurs sont quips du systme Windows 2003 Server et Windows 2008 Server
Une suite de bureautique (office 2003 et 2007) est installe sur tous les postes.
Il y a des applications qui sont exploites sur un rseau physiquement spar du
rseau Intranet du ministre et dont les serveurs sont hbergs au Centre National de
linformatique, ils sont comme suit :
Les applications Description Dveloppement
Externe/Interne
INSAF Application permet la gestion
intgre des ressources humaines
et de la paie du personnel de
Externe
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

27

lEtat
RACHED Application pour
lautomatisation des procdures
relatives aux missions effectues
a ltranger par les agents de
ladministration
Externe
ADAB Application daide a la dcision
Budgtaire
Externe
Gestion des biens
mobiliers de lEtat
MANKOULET
Application permettant le suivi
des diffrentes tapes de gestion
des biens mobiliers du ministre,
depuis leur acquisition jusqu' la
fin de leur utilisation
Externe
Gestion des stocks de
lAdministration
MAKHZOUN
Application de gestion des stocks
des produits tenus en stock dans
les magasins du ministre
Externe
Tableau 2:liste des applications du MTIC
3.3- Inventaire des quipements rseaux
Le site compte les quipements rseaux et scurit suivantes:
Marque et Modle Nombre dinterfaces

Plusieurs Switch de
marque Dlink et de
modle DGS 3100
24 ports Rj45, 4 ports FO

Plusieurs Switch de
marque Dlink et de
modle DGS 1216T
16 ports Rj45, 2 ports FO


Un Routeur CISCO
2850
2 interfaces fast
Ethernet et 8 interfaces
sries

Un double de FW
de marque
StoneGate et de
modle FW1050e
possdent 8 interfaces
fast Ethernet.

Un commutateur
Niv3 de marque HP
Procurve de modle
5406zl
Possde 08 interfaces
FO et 24 Interfaces RJ45

Tableau 3:liste des quipements rseaux de MTIC
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

28

4- Architecture et topologie du rseau
4.1- Plan dadressage
Tous les htes du rseau utilisent des adresses IP prive de classe A (10.0.x.0/24)
avec un masque rseau de classe C. Le rseau Interne est segment en 8 sous rseaux :
Adresse Sous rseau Description
10.0.1.1/24 Zone dadministration
10.1.0.0/24 Postes utilisateurs zone DGTC
10.0.2.0/24 Postes utilisateurs zone inspection
10.0.3.0/24 Zone des serveurs en exploitation
10.0.4.0/24 Postes utilisateurs zone DAAF
10.0.5.0/24 Postes utilisateurs zone juridique
10.0.7.0/24 Postes utilisateurs zone Btiment
10.0.8.0/24 Postes utilisateurs zone Informatique
10.0.13.0/24 Postes utilisateurs zone cabinet
Tableau 4:liste des plans d'adressage
4.2- Description de larchitecture rseau
Toute linformatique est relie un rseau de type Ethernet, Cest un rseau local
moderne, 100% commut, avec des dbits levs (100/1000 Mb/s).
La topologie du site est en toile tendue, le rseau interne est segment
physiquement en 8 sous rseaux, et chaque segment sous rseau est reli a un nud
central (Switch N3 de marque HP et de modle 5406zl) via des liaisons fibre optique.
Le rseau interne est reli au rseau Internet travers une liaison de type Fibre
Optique avec un dbit de 10 Mb/s.
Le rseau est reli avec des sites distants (des sites des organismes sous tutelle tel que
SEILL, ONT, OPT, CNI) via des liaisons permanentes hauts dbits (lignes
spcialises avec un dbit qui varie entre 128 ko/s et 512 ko/s).
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

29

Toute larchitecture du rseau Interne est autour dun doublet de firewall (qui
fonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps.
Les firewalls internes sont relis un doublet de firewall Frontal.

Figure 6:Topologie du rseau du ministre(MTIC)
5- Aspects de scurit existante
Des mesures de scurit ont t prises pour assurer au mieux la scurit des
infrastructures et des utilisateurs du rseau.
5.1- Scurit physique
Daprs les visites et les entretiens, nous avons constats les faits suivants :
Le service de nettoyage intervient de 8h 9h et de 13h 14h30
Existence des agents daccueil qui contrlent laccs au primtre du site,
lenregistrement des informations relatives chaque visiteur et fournir un badge
pour accder lintrieur du local.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

30

Salle serveur ferme clef, seuls les personnes autorises et qui possdent la cl
peuvent y accder,
La climatisation est assure par (deux) climatiseurs domestiques install dans la salle
des serveurs.
Les prises de courant lectriques ne sont pas ondules.
Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de
marque APC 1kva) pour assurer la continuit de service des ressources critique en
cas de problmes lectrique.

Figure 7:Interface d'administration des onduleurs
Seuls les machines et les composants rseaux importance leve sont protgs par
des onduleurs pour liminer les problmes dalimentation lectrique de courte dure.
Les extincteurs dincendies sont disponibles dans chaque couloir
Absence des camras de surveillance pour les zones sensibles.
5.2- Scurit logique
Pour la scurit logique, les moyens mis en place au sein du S.I sont :
Acquisition dune solution matriel de sauvegarde de donnes wooxo security box :
qui comprend 2 disques (chacun est de capacit 512Mb), il est administrable via le
web, il est scuris contre les risques majeurs tel que : le feu, linondation, et le vol
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

31

Des procdures de sauvegarde pour les donnes sensibles sont appliques selon les
frquences suivantes :
- Pour la base de donnes de lapplication SyGec : une image sur disque chaque
jour.
- Pour les Emails au niveau du serveur de messagerie : une sauvegarde est
planifie tous les jours (fin de la journe) sur un poste de travail ddi pour
backup Mail.
- Pour la configuration du firewall : une sauvegarde de la configuration chaque
mois ou lors dune modification importante, et une sauvegarde des logs est
assure chaque semaine.
Afin dassurer la continuit des services et viter larrt des services mme
partiellement en cas des problmes (panne matriel, crash disque...), une certaine
redondance matrielle a t constat notamment au niveau des firewalls ainsi quau
niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.
5.3- Scurit rseau
Le rseau est segment physiquement en des sous rseaux autour dun commutateur
niveau 3 qui assure le routage.
Les filtrages des accs depuis et vers les rseaux externes sont assurs par le Firewall
interne de marque StoneGate et de modle 1050.
Pour laccs au rseau Internet, le mcanisme du NAT est assur par le doublet de
Firewall frontal de marque StoneGate et de modle 1030.
Dans la zone des serveurs en exploitation, un systme de dtection des intrusions
(IDS/IPS) de marque StoneGate et de modle 1030 est install afin de la protger
contre les attaques.
5.4- Scurit des systmes
Le systme Antiviral :
Quelque soit les mesures mises en place, on ne peut pas viter 100% que les
machines ne seront pas infectes par des virus.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

32

Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en
place avec une architecture client/serveur, et une version client (agent) est installe sur
toutes les machines du rseau (une version pour les postes de travail et une version
pour les serveurs), le serveur de lantivirus tlcharge les mises jour rgulirement et
les installe sur tous les Ordinateurs.

Figure 8:Interface client-Endpoint Security V8
6- Conclusion
Suite la description de lenvironnement de droulement de notre mission
daudit et lidentification de larchitecture rseau et principaux serveurs et quipements,
nous allons procder, dans le chapitre suivant, aux taxonomies des failles
organisationnelles et physiques bass sur la norme 27002.


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

33




Chapitre III :
Taxonomies des failles
organisationnelles et physiques
bases sur la Norme 27002







2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

34

1- Introduction
Ce chapitre vise avoir une vision qualitative et quantitative des diffrents
facteurs de la scurit informatique du site audit et identifier les points critiques du
systme dinformations.
Laudit fonctionnel sera ralis en se basant sur des entretiens avec le
responsable, et des observations constats sur le site.
2- Approche adopt
Notre approche consiste mesurer le niveau de maturit en se basant sur un
questionnaire inspir de la Norme ISO 27002 (voir annexe 1).
Ce questionnaire comporte 11 chapitres, chaque chapitre prsente un thme de
scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur
les mesures de scurit mettre en uvre et les contrles implmenter.
3- Droulement de la taxonomie organisationnel et physique
Lors de cette phase, je me suis ainsi entretenu avec le chef service informatique :
Mr Marouane LADJIMI. Des visites ont t ralises au site afin de vrifier la scurit
physique.
3.1- Prsentation des interviews
Voir annexe 1
3.2- Prsentation et interprtation des rsultats
Lors de cette intervention et suivant les rponses aux questionnaires, jai pu
dceler les constations suivantes :
a- Politique de scurit de linformation
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

35

On remarque linexistence dune politique de scurit formelle et disponible pour
tous les personnels et par consquent, labsence dun document de politique de
Scurit crit, valid et diffus par la direction gnrale et de norme applique.
La politique de scurit nest pas affecte un responsable, charg de la rvision
rgulire de ce document et ladapte priodiquement en cas de changement au
niveau de lorganisation ou au niveau de larchitecture, suite un incident de
scurit, ou bien cause des changements technologiques.
b- Organisation de la scurit de linformation
Linexistence des fonctions suivantes dans la politique de scurit : responsable
spcialiste de la scurit physique ; responsable spcialiste de la scurit
fonctionnelle et informatique ; directeur responsable de la scurit gnrale.
Absence des objectifs de scurit dans la politique globale de lorganisme.
Absence de lidentification des informations confidentielles.
Linexistence dune politique de rvision et de documentation de la politique
dorganisation de la scurit.
Absence du mcanisme didentification et de classification des accs.
Absence dun contrat qui stipule les clauses relatives la scurit des valeurs de
lorganisation, la scurit physique et lexistence dun plan de secours dans le cas
dexternalisation du ministre.
Absence de comit de pilotage du SI.
Absence de lidentification des risques dus aux effets externes.
c- Gestion des biens
Il ny a pas une classification des ressources bases sur les 3 axes : Disponibilit,
Intgrit et Confidentialit.
Manque des Lignes directrices pour la classification des informations en termes
de valeur, dexigences lgales, de sensibilit et de criticit,
Linexistence dun stock inventori dquipements et de pices dtaches de
secours.
Absence dune licence dacquisition pour tous les logiciels installs.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

36

Il ny a pas de contrle des logiciels installs.
Linexistence des rgles dutilisation des biens et des services dinformation.
d- Scurit lie aux ressources humaines
Linexistence dun contrat sign par tous les personnels pour prendre des
dcisions en cas de non respect des rgles de scurit, ou bien quils soient
sources des failles.
Absence dune note prcisant les devoirs et responsabilits du personnel.
Absence dun programme de sensibilisation du personnel aux risques d'accident,
d'erreur et de malveillance relatifs au traitement de l'information.
Les employs doivent noter, signaler toutes les failles et les menaces de scurits
observes dans les systmes ou services ou applications, et savoir qui
sadressent en cas pareils.
Absence dun document de confidentialit des informations sign par les
employs lors de lembauche.
e- Scurit physique et environnementale
Absence dune rglementation spciale contre le fait de fumer, boire, et manger
dans les locaux informatiques.
Absence dune politique de maintenance pour les quipements sensibles.
Absence des procdures de gestion de crise en cas de long arrt du systme et de
permettre la reprise du fonctionnement au moins partiellement (favoriser
quelques machines sur dautres).
Linexistence dun systme de dtection ou dvacuation deau.
Absence dun document li la scurit physique et environnementale.
f- Gestion des communications et de lexploitation
Absence des procdures formelles pour les oprations dexploitation : backup,
maintenance et utilisation des quipements et des logiciels.
Linexistence dune distinction entre les phases de dveloppement, de test et
dintgration dapplications.
Absence dune procdure pour la gestion des incidents.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

37

Absence des procdures formelles pour la prvention contre la dtection et la
prvention des logiciels malicieux.
Absence dune politique pour se dbarrasser des documents importants.
Linexistence des consignes interdisant lutilisation des logiciels sans licence qui
doivent tre respects et contrls.
Absence dune politique de scurit pour les emails.
g- Contrle daccs
Absence dune procdure dattribution ou de retrait des privilges qui ncessite
laccord formel de la hirarchie.
Les utilisateurs non conscients quils doivent verrouiller leurs sessions en
quittant leur bureau mme pour quelques instants.
Absence du contrle par un dispositif didentification et dauthentification
laccs au systme.
Linexistence dun dispositif de revue des droits daccs des intervalles
rguliers.
Absence des conditions respecter lors du choix des mots de passe.
Il faut sensibiliser les utilisateurs pour prendre prcautions lutilisation des
disquettes, CD, flash
h- Dveloppement et maintenance des systmes
Absence des procdures de validation en cas dun ou des changements raliss
sur les programmes ou bien sur les applications.
Absence de lassurance de la scurit de la documentation du systme
dinformation.
Linexistence des procdures de contrle pour les logiciels dvelopps en sous-
traitance.
Linexistence dune politique de maintenance priodique et assidue des
quipements.
i- Gestion des incidents
Linexistence dune politique de gestion des incidents.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

38

Absence dune politique pour rpartition des responsabilits en cas dincident.
Absence dun systme de reporting des incidents lis la scurit de
linformation.
Les employs ne sont pas informs du comportement avoir si un incident est
survenu.
j- Gestion de la continuit dactivit
Absence dune politique de sauvegarde pour dautres actifs de lorganisme.
Une analyse de risque partir des divers scnarios nest jamais dvelopp, qui
permet didentifier les objets et les vnements qui pourraient causer des
interruptions (partielle ou totale).
Linexistence des alarmes pour lavertissement lors daccs aux actifs sensibles en
dehors des heures de travail ou en cas daccs non autoriss.
Absence dun plan de secours, ce qui vient de dire que lorganisme est incapable
de rpondre rapidement et efficacement aux interruptions des activits critiques
rsultant de pannes, incident, sinistre.
Absence des plans crits et implments pour restaurer les activits et les services
en cas de problmes.
k- Conformit
On remarque labsence dune dfinition, dune documentation et dune mise
jour explicite de toutes les exigences lgales, rglementaires et contractuelles en
vigueur, ainsi que la procdure utilise par lorganisme pour satisfaire ces
exigences.
Linexistence dun contrle de la conformit technique.
La non-conformit des rgles de scurit appliques.
Linexistence dune procdure dfinissant une bonne utilisation des technologies
de linformation par le personnel.
Il faut que le responsable de la scurit de linformation value priodiquement
des procdures pour le respect de la proprit intellectuelle.
l- Rsultat
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

39

Le graphe suivant illustre les rsultats :

Figure 9:Rsultat de la taxonomie organisationnelle
Lgende :
PS : Politique de scurit de linformation (0%)
OS: Organisation de la scurit de linformation (30%)
GB : Gestion des biens (50%)
SRH : Scurit lie aux ressources humaines (23%)
SPE : Scurit physique et environnementale (61%)
GCE : Gestion des communications et de lexploitation (50%)
CA : Contrle daccs (57%)
DMS : Dveloppement et maintenance des systmes (38%)
GI : Gestion des incidents (0%)
GCA : Gestion de la continuit dactivit (45%)
C : Conformit (50%)
Par consquent, la moyenne est de : 37%
Niveau trs bas en terme de scurit physique et organisationnelle
0
10
20
30
40
50
60
70
PS
OS
GB
SRH
SPE
GCE
CA
DMS
GI
GCA
C
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

40

4- Conclusion
La taxonomie organisationnel et physique a permis davoir une vue globale sur
le niveau de scurit du systme dinformation grce un ensemble dentretiens et au
questionnaire qui se base sur la norme ISO 27002.
Nous entamons dans le chapitre suivant la partie technique.


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

41




Chapitre IV:
Taxonomies des failles
techniques

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

42

1- Introduction
La taxonomie des failles techniques suit une tude organisationnelle et physique
permettant davoir une vue globale de ltat de scurit du systme dinformation et
didentifier les risques potentiels. A cette tape nous passons la recherche des
vulnrabilits fin danalyser le niveau de protection de linfrastructure face aux
attaques notamment celles qui exploitent ces vulnrabilits.
Nous utilisons tout au long de cette partie un ensemble des outils permettant
dobtenir les informations ncessaires et de dceler les diffrentes vulnrabilits.
2- Analyse de larchitecture rseau et systme
2.1- Reconnaissance du rseau et du plan dadressage
Durant cette tape, nous allons procder une inspection du rseau afin de
dterminer sa topologie, didentifier les htes connects et les quipements rseau. Pour
raliser cette tche, nous commenons par un recueil des donnes concernant les
quipements inventoris.
Loutil utilis pour l'identification de la topologie rseau est NetworkView sa
version 3.6 qui permet de fournir une reprsentation graphique des composantes
actives sur le rseau et leurs attributs.
Utilisation de loutil NetworkView(9) lintrieur du rseau audit :
Concernant le plan dadressage, tous les htes du rseau utilisent des adresses IP
prive de classe A (10.0.x.0/24) avec un masque rseau de classe C.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

43


Figure 10:Rseau local
Cette figure montre les postes utilisateurs de la zone inspection, la zone des
serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le rseau interne.
Le rseau interne est segment en 8 sous rseaux.
Tous les htes du rseau utilisent des adresses IP prive de classe A (10.*.*.*/24)
avec un masque rseau de classe C ce qui nest pas conforme aux normes en vigueur. La
configuration TCP/IP des htes est manuelle, ce quindique quelle est protge contre
les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24.
Pour laccs au rseau public Internet, une translation dadresse (NAT) est
assure par le Firewall frontal.
Nous signalons cet gard, que la configuration rseau au niveau des postes
nest pas protge contre les modifications. En effet, chaque utilisateur peut changer son
adresse ce qui peut gnrer des conflits dadresses. Des attaques de type IP Spoofing
(usurpation d'identit) peuvent tre facilement menes et gnrer un dni du service; il
suffit de remplacer ladresse IP du poste par celle dun quipement critique (routeur,
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

44

serveur, etc.). Cette attaque permet la dgradation des performances de lquipement
concern voir mme son arrt complet.

Figure 11:Configuration rseau au niveau du poste

2.2- Sondage systme et des services rseaux
Lobjectif de cette tape est lidentification des systmes dexploitation et des
services rseau ce qui permet de savoir les ports ouverts des quipements audits. Il est
galement possible danalyser le trafic, de reconnatre les protocoles et les services
prdominant au niveau du rseau.
Pour raliser cette tape, nous avons utilis autres outils qui permettent
didentifier les OS, les services ouverts, les patches manquants et dautres informations
utiles:
Nmap(7) est un scanner de ports. Il est conu pour dtecter les ports ouverts,
identifier les services hbergs et obtenir des informations sur le systme
d'exploitation d'un ordinateur distant.
GFI LANguard Network Security : cest un outil qui permet deffectuer un audit
rapide de scurit sur le rseau, il regroupe des informations enregistres sur les
postes de travail telles que les noms dutilisateurs, les partages, etc.

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

45

a- Identification des systmes dexploitation
Des essais de balayage systmatique des ports avec des options de dtection des
systmes d exploitation ont permis davoir la liste des O.S au niveau des stations de
lensemble du rseau audit de la MTIC.
Les rsultats de test ont confirm que le rseau local du site est exclusivement
Windows pour les postes utilisateurs (des stations tournant sous le systme Win XP),
Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de donnes et
dapplication en exploitation.
Jai constat que les versions des O.S dtectes sur un chantillon important des
serveurs au niveau du rseau local ne sont pas mise jour vu labsence dune solution
de gestion centralise des mises jour.

Figure 12:Sondage des systmes dexploitation avec GFI LANguard

b- Identification des services rseaux
Il sagit de dterminer les services offerts par les serveurs et les postes de travail
qui peuvent tre une source de vulnrabilit.
J'ai effectu un balayage des machines (serveurs et postes de travail) du rseau
interne, jai pu cerner la liste des ports ouverts sur les stations en activit.
Jai retenu utile de prsenter deux petits chantillons de ces prlevs effectu sur
le serveur backup mail en utilisant loutil Zenmap et le console sur Back-Track 5(8) :
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

46


Figure 13:Sondage des services en activit du serveur Backup Mail

Figure 14:Sondage des services avec Zenmap
Il est ais didentifier les services rseau en activit sur les serveurs dapplications
et de donnes en exploitation au niveau du site MTIC et de connatre le type des OS,
ainsi que les failles relatives aux versions associes.
Certains services en activit sur les stations, dont il faudra dcider de leur utilit
et de sassurer priodiquement de labsence des failles, par exemple : HTTP 80 (TCP),
TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139
(TCP) et 445 (TCP & UDP).
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

47

c- Identification des ports ouverts
Jai appliqu loutil GFI LANguard sur les serveurs et les quipements critiques
et jai constat quil existe des ports qui sont ouverts et non utiliss.

Figure 15:Sondage des ports ouverts
Plus de dtails concernant le serveur secondaire messagerie Lotus
Domino/Notes qui possde ladresse 10.0.3.52.

Figure 16:Ports ouverts du secondaire messagerie
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

48

Les ports ouverts sont :
Le port 445 est ouvert pour la plupart des serveurs et peut tre utilis par le ver
NIMDA.
Le port 139 est ouvert pour la plupart des serveurs, ce port peut tre utilis par les
chevaux des Troie(11) suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz.
Le port 25 (service SMTP) tant actif sur les serveurs messageries, il prsente un
risque de SPAM et par suite un risque de saturation de disque. Ce service doit tre
dsactiv sil nest pas utilis.
Le port 443 est ouvert au niveau de plusieurs serveurs dapplications, qui peut tre
exploit par le trojan Slapper.
d- Identification des flux rseaux
Cette tape concerne lanalyse du trafic, lidentification des principaux flux,
protocoles et applications, le taux d'utilisation ainsi que les flux inter-stations et les
protocoles superflu.
J'ai utilis pour cela Wireshark qui est un logiciel libre d'analyse de protocole, ou
packet sniffer , permet deffectuer de capture sur le rseau ainsi quune analyse du
trafic. La capture dcran suivante reprsente linterface dinterception des paquets de
Wireshark :

Figure 17:Capture des flux avec wireshark
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

49

Une premire analyse du trafic permet didentifier lexistence de plusieurs
protocoles actifs superflus qui gnrent des informations gratuites et qui pourraient tre
exploites par des personnes malintentionnes pour mener des attaques. Les protocoles
identifis sont les suivants :
Cisco Discovery Protocol (CDP) : Il est utilis pour obtenir des adresses des
priphriques voisins et de dcouvrir leur plate-forme, il utilise le protocole SNMP.
CDP peut aussi tre utilis pour voir des informations sur les interfaces quun
routeur utilise. ces donnes peuvent tre exploites dans la recherche des
vulnrabilits du routeur et mener des attaques. (4)
Spanning Tree Protocol (STP) : il permet dapporter une solution la suppression
des boucles dans les rseaux ponts et par extension dans les VLANs
e- Identification des partages rseaux
Jai utilis loutil GFI LANguard sur les serveurs et les quipements critiques pour
dterminer les partages rseaux utiliss :
Figure 18:Partages rseau avec GFI LANguard
La plupart des partages existants contiennent les partages administratifs et
partages cachs par dfaut ADMIN$, C$, D$, IPC$, K$ ,
En effet, les partages administratifs par dfaut peuvent tre exploits par un
intrus pour avoir le contrle total de la machine.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

50

3- Analyse des vulnrabilits
La recherche de vulnrabilits pendant cette phase se base sur le scanner de
vulnrabilit (GFI LANguard) qui teste la rsistance du systme face aux failles connues
stockes dans leurs bases de connaissance.
Voici une capture gnrale qui indique ltat de vulnrabilits sur les serveurs et
les quipements critiques :

Figure 19:Vulnrabilits (GFI LANguard)
Par la suite, je vais mesurer les vulnrabilits des parties les plus sensibles du
rseau local pour dgager rapidement les failles rellement dangereuses et dgager
partir des outils, des rapports efficaces et exploitables pour une scurisation rapide et
efficaces du systme.
3.1- Serveur Backup Mail
Identification du compte administrateur (cr par dfaut lors de linstallation)
sans aucune protection de mot de passe. Ceci est un exemple sur le serveur backup mail
qui a l'adresse 10.0.3.127 :
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

51


Figure 20:Capture du serveur Backup Mail
Identification du port critique ouvert tel que par exemple : port 23 pour le service
Telnet.
Cela peut mettre en danger le serveur vu la criticit du Telnet (accs distance et flux
circulant en clair).

Figure 21:Capture du serveur Backup Mail(2)
3.2- Serveur SyGec
Le schma suivant prsente le rsultat dun test par un scanner de vulnrabilits,
ciblant le serveur de gestion et suivi des courriers serveur SyGec qui a l'adresse
10.*.*.* :
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

52


Figure 22:Serveur SyGec
Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services
rseaux en activit (ports critiques ouverts, comme le port 23), vulnrabilits relatives
au systme dexploitation et au systme SGBD (le port 1433 (Microsoft SQL Server) est
un port utilis par le cheval de Troie Voyager Alpha Force ).
3.3- Serveur de messagerie Lotus Notes
Le schma suivant prsente le rsultat dun test par un scanner de vulnrabilits,
ciblant le serveur primaire messagerie Lotus Domino/Notes qui a l'adresse 10.0.3.51 :

Figure 23:Serveur primaire messagerie
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

53

Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services
rseaux en activit et vulnrabilits systmes.
Le sondage des ports avec les vulnrabilits associes est prsent comme suit :
Sasser (5554|TCP) (Vulnrabilit dordre grave)
Utilis en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a t
un ver qui a exploit un dbordement de tampon dans Windows LSA service. Le ver
a attaqu le port TCP 445 avec l'exploit, puis en cas de succs il a ouvert une
commande Shell distance sur le port TCP 9996 et un service ftp sur le port 5554. Le
service ftp est pourtant mme exploitable et la tentative de ver Dabber tente
d'exploiter cette vulnrabilit.
POP3 (110|TCP) (Vulnrabilit dordre grave)
Le port 110 est ouvert, dsactiv le service sil nest pas utilis car il est possible de
dtecter quels chiffrements SSL qui sont pris en charge par le service pour le
cryptage des communications.
SMTP (25|TCP) (Vulnrabilit dordre moyenne)
Port SMTP ouvert (cible des spammeurs), il est recommand de le dsactiver sil nest
pas utilis, ou filtrer le trafic entrant ce port.
HTTP (80|TCP) (Vulnrabilit dordre moyenne)
Il est recommand de le dsactiver sil nest pas utilis car il est possible dextraire
des informations de configuration et de dterminer le type et la version du serveur
web.
4- Analyse de larchitecture de scurit existante
Lobjectif de cette tape est dexpertiser larchitecture technique dploye et de
vrifier les configurations des quipements rseaux avec la politique de scurit dfinie
et les rgles de lart en la matire.


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

54

4.1- Analyse du Firewall
Cette tape consiste dterminer si le firewall fonctionne correctement. Le rle
du firewall consiste contrler laccs selon une politique spcifique adapt pour ces
huit interfaces.
La dmarche adopte consiste auditer le firewall, les rgles de filtrage et des
mcanismes de log. Le firewall utilis est un Stonegate FW-1050.
Lors dune runion avec le chef service informatique, j'ai pu laide du Checklist
prsent en annexe 2 dterminer les vulnrabilits suivantes du firewall :
Absence dune procdure de test priodique des vulnrabilits du Firewall ainsi que
des essais de test de pntration pour vrifier la rsistance du systme contre les
attaques.
Absence dun rapport d'audit long terme prsentant l'historique des incidents
survenus au niveau du firewall (violation des ACLS, crash par dbordement du
tampon).
Ladministration n'est pas informe en temps rel par les vnements les plus
critiques.
4.2- Analyse du Routeur Cisco
Lors dune runion avec le chef service informatique, j'ai pu laide du Checklist
prsent en annexe 3 dterminer les vulnrabilits suivantes (c'est un routeur Cisco
2850) :
Absence de contrle et de suivi de la version IOS du routeur.
Absence dune procdure documente pour le backup des configurations du
routeur.
Les logs du routeur ne sont pas rviss.
Identification du port Telnet ouvert.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

55


Figure 24:Capture PuTTy

Figure 25:Capture PuTTy(2)
4.3- Analyse du Switch HP Procurve
Voici les remarques que jai pu dgager lors dune runion avec le chef service
informatique concernant le Switch HP Procurve 5406zl :
Firmware pas mis jour Software revision : K.15.02.0005 , la dernire tant la
K.15.06.0017
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

56


Figure 26:Capture de la version du Switch
Il y a seulement trois adresses IP qui sont autorises joindre et manager le Switch,
y compris ladresse IP du chef service informatique.

Figure 27:Capture des adresses IP autorises
4.4- Analyse de la politique dusage de mots de passe
Les mthodes d'authentification utilises sont les mots de passe au niveau postes
de travail et serveurs.
Nous remarquons concernant la politique dusage de mot de passe les points
suivants :
Pour les serveurs, routeurs et tous les autres quipements rseau les mots de passe
sont robustes de point de vue nombre de caractre et la combinaison de minuscules
et majuscules, de chiffres, de lettres et de caractres spciaux.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

57

Au niveau poste de travail, chaque utilisateur est responsable de la dfinition de son
mot de passe.
Certains mots de passe (aux niveaux des postes) ressemblent aux noms des
utilisateurs ou sont trop courts (infrieur 10 caractres), ce ne sont pas de bonnes
pratiques de scurit.
Labsence dune sensibilisation des utilisateurs et de la mise en place dune
procdure de contrle a priori.
Absence dune charte d'utilisation qui spcifie aux utilisateurs leurs obligations de
protection de leurs postes.
Absence dune politique qui dfinit notamment quelle est la typologie de mots de
passe autoriss, la longueur des mots de passe, les dlais d'expiration, la technique
de gnration, l'occurrence d'utilisation des mots de passe,
5- Conclusion
Au cours de cette tape, jai essay de dceler certaines vulnrabilits au niveau
rseau et applications en analysant les diffrents flux et les politiques de scurit
adopts par les quipements tel que firewall, routeur...
Il sagit maintenant de proposer des recommandations et des actions suivre
pour remdier ces faiblesses.





2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

58













Chapitre V :
Recommandations
organisationnelles et
physiques









2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

59

1- Introduction
Aprs avoir termin lvaluation de la scurit du systme dinformation suivant
la norme 27002, je vais proposer dans ce chapitre des recommandations rparties par
thme mettre en uvre pour pallier aux insuffisances.
La mise en place de ces recommandations pour remdier aux risques encourus
peut tre faite progressivement selon le degr durgence et la disponibilit des
ressources humaines et budgtaires.
2- Politique de scurit
Le MTIC est tenu laborer sa politique de scurit qui doit tre valide par les
responsables, distribue et publie tout le personnel. Chaque employ doit donner son
consentement et signer son adhsion la charte du respect de la confidentialit de
linformation. Le message qui doit tre dlivr travers la politique de scurit et la
charte informatique est que toute violation de la confidentialit est un dlit punissable
selon le degr de sa gravit.
Aussi une revue rgulire de cette politique de scurit doit tre planifie pour
tenir compte des possibles changements qui surviendront (nouveaux incidents,
nouvelles vulnrabilits, changements linfrastructure...)
3- Organisation de la scurit de linformation
Lorganisation de la scurit consiste assurer le dveloppement,
limplmentation et la mise jour des politiques et des procdures de scurit. Pour
grer la scurit, il est conseill de prendre en compte les recommandations suivantes :
Le management de lorganisation doit tre impliqu dans la scurit de
linformation, en particulier dans la dfinition de la politique de scurit, la
dfinition des responsabilits, lallocation des ressources, ...
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

60

Dfinir la structure et l'organisation du management de la scurit compos dun
RSSI et des responsables de toutes les directions du MTIC et prciser leurs rles et
responsabilits respectifs et vis--vis des managers oprationnels.
Cette structure doit avoir la capacit alerter sans dlai la Direction Gnrale en
cas de problme grave.
Dfinir les rles des responsables en matire de scurit de linformation.
La mise en place dun systme dautorisation concernant les moyens de traitement
de linformation (contrle de lusage dquipements ou logiciels personnels).
Engagement de personnels vis--vis le respect de la scurit informatique
(dfinition des devoirs et responsabilits, des notes prcisant les obligations
lgales,...).
Assurer une veille technologique en matire de scurit (participation des
cercles, associations, congrs,...).
Etablir une revue de la scurit de linformation en fonction des volutions de
structures.
Analyser les risques lis aux accs de personnel tiers au systme dinformation ou
aux locaux et tablir les mesures de scurit ncessaire.
4- Gestion des biens
Les ressources sont rpertoris, mais ils doivent tre classifies selon leur
importance base sur les 3 axes : besoin en terme de disponibilit, confidentialit et
intgrit.
Dfinir les types d'actifs qui doivent tre identifis et inventoris. Les actifs
peuvent tre des informations, des logiciels, des quipements matriels, des
services et servitudes, des personnes ou du savoir-faire, des actifs intangibles tels
que la rputation ou l'image.
Tenir jour linventaire des types d'actifs identifis.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

61

Dsigner pour chaque actif identifi et inventori un "propritaire" qui assume la
responsabilit du dveloppement, de la maintenance, de l'exploitation, de
l'utilisation et de la scurit de cet actif.
Dfinir et documenter, pour chaque actif, les rgles d'utilisation acceptables.
Dfinir et contrler une procdure de revue priodique des classifications.
5- Scurit lie aux ressources humaines
Etablir une procdure d'information prliminaire auprs du personnel (interne ou
contract), en ce qui concerne ses devoirs et responsabilits et les exigences de
scurit de la fonction, avant tout changement d'affectation ou embauche.
Une note prcisant les devoirs et responsabilits du personnel doit tre diffuse
l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu
connaissance.
Etablir une clause dans les contrats d'embauche ou dans le rglement intrieur,
prcisant l'obligation de respecter l'ensemble des rgles de scurit en vigueur.
Le personnel est tenu respecter la politique de scurit que le MTIC va la mettre
en uvre. A cet effet, une mise niveau des employs dans le domaine de la
scurit de linformation doit tre mene en planifiant des cycles de formation
priodiques et en organisant des programmes de sensibilisation qui devront
expliquer les mthodes de protection de linformation surtout celle qui sont
critiques. Ce programme doit expliquer :
Les concepts de base de la scurit.
La sensibilit de linformation et le type de protection ncessaire.
La responsabilit personnelle de chacun dans la gestion de la scurit et
lapplication des protocoles scuritaires.
Les types de menaces (erreurs humaines, naturelles, techniques..).
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

62

Les rgles et mesures gnrales de protection de l'information qui couvrent
l'ensemble des domaines concerns (documents, micro-informatique, accs aux
locaux, systmes et applications)
Les sanctions prendre contre le manque de responsabilit.
Ce programme de sensibilisation doit tre ractiv rgulirement.
La violation de la politique scurit et des procdures de scurit de l'organisme
par des employs devra tre traite au moyen dun processus disciplinaire et les
mesures correspondantes doivent tre communiques tous les employs.
6- Scurit physique et environnementale
Il faut mettre des consignes claires propos du fait manger, boire ou fumer dans
les locaux informatiques.
Contrler de manire globale le mouvement des visiteurs et des prestataires
occasionnels (signature de la personne visite, etc.).
Dfinir des procdures spcifiques de contrle pour chaque type de prestataire
extrieur au service amen intervenir dans les bureaux (socits de
maintenance, personnel de nettoyage, etc.) : port d'un badge spcifique, prsence
d'un accompagnateur, autorisation pralable indiquant le nom de l'intervenant,
Faire une analyse systmatique et exhaustive de toutes les voies possibles d'arrive
d'eau et de tous les risques d'incendie et les risques environnementaux
envisageables et prendre des mesures en consquence.
Mettre en place des dtecteurs d'humidit et des dtecteurs d'eau proximit de
salle machine qui doivent tre relis un poste permanent de surveillance.
Dfinir des procdures de gestion de crise en cas de long arrt du systme et de
permettre la reprise du fonctionnement au moins partiellement (favoriser
quelques machines sur dautres).
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

63

7- Gestion des communications et de lexploitation
Etablir des procdures oprationnelles d'exploitation qui doivent tre
documentes, maintenues jour, rendues disponibles toute personne en ayant
besoin et approuves par les responsables concerns.
Dfinir, au sein de l'exploitation des rseaux, des profils correspondant chaque
type d'activit et attribuer les droits privilgis ncessaires pour chaque profil.
Etablir, contrler et tester formellement des mesures de scurit pour remdier
aux nouveaux risques avant mise en exploitation.
Dfinir une politique afin de lutter contre les risques dattaque par des codes
malveillants (virus, chevaux de Troie, vers,).
Dfinir une politique et des mesures de protection pour lutter contre des codes
excutables (applets, contrle ActiveX, etc.) non autoriss (blocage ou contrle de
lenvironnement dans lequel ces codes sexcute, authentification de lmetteur,...).
Etablir une procdure garantissant, en cas de mise en rebut, la non divulgation des
informations sensibles jusqu la destruction de leur support.
Etablir des documents dfinissant :
Les rgles gnrales appliquer en ce qui concerne la protection des moyens et
supports de stockage, de traitement et de transport de l'information,
Les rgles appliquer en ce qui concerne lexploitation des ressources
informatiques (rseau, serveurs,..), des services de communication lectronique
et des rseaux sans fil.
Mettre en place un service de messagerie lectronique chiffre.
Archiver tous les lments ayant permis de dtecter une anomalie ou un incident.
8- Contrle daccs
Etablir une politique de gestion des droits d'accs aux zones de bureaux
s'appuyant sur une analyse pralable des exigences de scurit, bases sur les
enjeux de lactivit.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

64

Les droits accords aux utilisateurs ds leur enregistrement doivent tre
approuvs par les propritaires des ressources concernes.
Contrler strictement le processus d'attribution (ou modification ou retrait) de
droits privilgis et d'autorisations d'accs un individu.
Le processus de cration ou de modification dun authentifiant pour les accs
internes doit respecter un ensemble de rgles permettant d'avoir confiance dans sa
solidit intrinsque.
Effectuer un partitionnement du rseau local en domaines de scurit
correspondant des exigences de scurit homognes et des espaces de
confiances lintrieur desquels les contrles peuvent tre adapts.
Les rgles tablissant les critres de connexion au rseau tendu doivent dfinir les
mesures de scurit logique devant protger les quipements de rseau et les
quipements de scurit, et doivent prciser les filtrages mettre en place pour
contrler les accs entrant aussi bien que pour les accs sortant.
Procder rgulirement une revue des connexions autorises (standards et non
standards) et de leur pertinence pour le rseau local et tendu.
Analyser la sensibilit des systmes gnraux pour mettre en vidence leurs
exigences de scurit et en dduit des mesures disolement (physique et logique)
appropries pour les serveurs ou quipements concerns.
Dvalidation automatique de l'identifiant de l'utilisateur, en cas d'absence
d'change aprs un dlai dfini, ncessitant une nouvelle identification
authentification.
9- Dveloppement et maintenance des systmes
Dfinir les liens permanents et les changes de donnes devant tre protgs par
des solutions de chiffrement et mis en place de telles solutions au niveau de rseau
tendu et local.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

65

Chiffrer les donnes sensibles contenues ventuellement sur le poste de travail ou
sur un disque logique de donnes partages hberg sur un serveur de donnes.
La procdure et les mcanismes de conservation, de distribution et dchange de
cls, et plus gnralement la gestion des cls, doivent offrir des garanties de
solidit dignes de confiance, lors des changes et daccs distant sur le rseau local
et tendu.
Mettre en place des procdures pour contrler linstallation du logiciel sur les
systmes en exploitation.
Les installations, les matriels et les logiciels du systme d'information ainsi que
ceux qui assurent la protection du systme d'information et la fourniture des
services essentiels doivent tre maintenus et tests rgulirement.
10- Gestion des incidents
Les responsabilits et les procdures doivent tre tablies afin de fournir
rapidement des solutions effectives aux incidents de scurit.
Mettre en place un systme de dclaration des incidents auprs des
correspondants du RSSI avec une synthse de ces incidents transmise au RSSI.
Le systme de dclaration et de gestion des incidents doit inclure tous les incidents
(exploitation, dveloppement, maintenance, utilisation de SI) physiques, logiques
ou organisationnels et les tentatives dactions malveillantes ou non autorises
nayant pas abouti.
Dfinir des rgles prcisant les processus de reporting des incidents et des
anomalies constates et les comportements adapts.
Chaque incident rseau (local et tendu) majeur doit faire lobjet dun suivi
spcifique (nature de description, priorit, solutions techniques, tudes en
cours,...).
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

66

11- Gestion de la continuit dactivit
Dfinir des processus, rgulirement mis en uvre, danalyse des risques, lis
linformation, pouvant conduire une interruption des activits de lentreprise,
dbouchant sur une dfinition des exigences de scurit, des responsabilits, des
procdures appliquer et moyens mettre en uvre afin de permettre
llaboration des plans de continuit.
Analyser la criticit des diffrentes activits pour mettre en vidence les besoins de
continuit de service et dduire des plans de continuit dactivit pour chaque
activit critique.
Ces plans doivent prvoir bien toutes les actions entreprendre pour assurer la
continuit de l'activit entre l'alerte et la mise en uvre ventuelle des solutions de
remplacement prvues par les plans de secours techniques.
Ces plans doivent traiter tous les aspects organisationnels lis la solution de
secours "manuel" (personnel, logistique, encadrement,...).
Mettre en place une solution de secours pour pallier lindisponibilit de tout
quipement ou de toute liaison critique du rseau tendu et local.
Identifier prcisment les scnarios de sinistre pouvant affecter lensemble du parc
des postes utilisateurs et analyser pour chaque scnario, ses consquences en
termes de service rendus impossibles aux utilisateurs.
12- Conformit
Toutes les exigences lgales, rglementaires et contractuelles doivent tre dfinies
explicitement et documentes pour le systme informatique et son application par
l'organisation doit figurer dans un document tenu jour.
Procder des contrles frquents visant vrifier que les logiciels installs sont
conformes aux logiciels dclars ou quils possdent une licence en rgle.
Les oprations d'audit ralises pour les donnes critiques doivent tre
enregistres.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

67

Dfinir et documenter les rgles concernant les audits mens sur le rseau, les
procdures et les responsabilits associes.
Les outils d'audit doivent tre protgs afin d'viter toute utilisation indue ou
malveillante. Ceci s'applique, en particulier, aux tests de pntration et aux
valuations de vulnrabilits.
Les rsultats d'audit doivent tre protgs contre toute modification ou
divulgation.
13- Conclusion
Dans cette partie, jai propos des recommandations que je juge ncessaires
mettre en uvre pour amliorer la scurit du systme dinformation du MTIC en se
basant sur la norme 27002. Dans la partie suivante, je vais aborder laspect
technique.

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

68




Chapitre VI :
Recommandations
techniques







2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

69

1- Introduction
Aprs avoir termin lvaluation technique, Les outils de scan et les tests
techniques effectus ont permis de dceler des failles de scurit et des vulnrabilits
des diffrents composant du systme dinformation.
Par la suite, je vais proposer des recommandations techniques mettre en uvre
pour pallier les insuffisances et les dfaillances dtectes.
2- Recommandations
Les recommandations sont les suivantes :
Utiliser SSH au lieu de Telnet pour ladministration distance des quipements
rseaux et scurit et pour empcher linterception des donnes.
Dsactiver ou fermer les services rseaux inutiles et surtout SNMP sur les
quipements critiques (FW, Routeurs, Serveurs,).
Mettre en place une solution de gestion centralise des mises jour (WSUS) afin
de minimiser les bugs et les failles de scurit et de vrifier que les mises jour
sont bien installes.
Attribution des mots de passe au niveau de bios sur les machines sensibles afin de
protger contre les accs physiques.
Utiliser des certificats numriques pour crypter et signer les messages.
Prvoir des matriels redondants pour les quipements critiques (les serveurs en
exploitation, Routeurs,...).
Prvoir des matriels de remplacement en cas de panne dun composant
essentiels.
Prvoir des cycles de formation pour lquipe informatique sur les aspects :
Scurit des systmes dexploitation.
Scurit rseaux et systme de gestion de BD.
Prvoir des cycles de sensibilisation pour les utilisateurs pour quils tiennent
compte de limportance de la scurit et limpact de linscurit.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

70

Effectuer des tests de rcupration et de restauration des systmes et des donnes
comme sil y a eu dincident.
Au niveau Firewall
Effectuer un enregistrement dtaill de toutes les traces de connexions qui sont
bloques ou passes par le firewall.
Etablir des statistiques sur lusage du Firewall.
Vrification des derniers patchs et mises jour de manire rgulire et
automatiquement partir du site du constructeur.
Etablir un rapport d'audit long terme prsentant l'historique des incidents
survenus au niveau du firewall.
Dfinir un document ou une spcification des rgles de filtrage contenant une
description de lutilit de chaque filtre/rgle.
Dfinir un document prcisant la configuration du Firewall et le suivi des
modifications de cette configuration.
Au niveau Routeur
Etablir une procdure documente pour le backup des configurations du routeur.
Toutes les modifications de configuration des routeurs doivent tre documents et
conservs dans un endroit scuris afin dassurer la continuit de travail.
Enregistrement de toute tentative refuse nimporte quel port, protocole ou
service.
Assurer le contrle, la vrification et larchivage des logs en concordance avec la
politique locale.
Mettre jour lIOS chaque publication dune nouvelle version.
Politique dusage de mots de passe
Veillez ce que tous les mots de passe surtout des serveurs et des quipements
rseaux et scurit soient des mots de passe robustes et les changer rgulirement.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

71

Une bonne politique de scurisation des accs par mot de passe consiste galement
en la dfinition d'un dlai d'expiration du mot de passe. Il est par exemple possible
de dfinir le renouvellement des mots de passe par priode de 15, 30 ou 45 jours.
Ne divulguez jamais un mot de passe et surtout pas en l'envoyant par courrier
lectronique.
vitez de noter le mot de passe quelque part ou de le laisser expos (sur cran,
sous le clavier, dans un fichier non protg, ...).
Proposer des changements rguliers tout en bloquant la possibilit d'utiliser des
mots de passe dj employs.
Dfinir la frquence des audits afin de s'assurer que la politique est bien respecte.
Des outils tels que LophtCrack, John the Ripper ou Crack permettent de contrler
rgulirement la robustesse des mots de passe.
Politique de sauvegarde
Mettre en place une stratgie de sauvegarde et de restitution des donnes
formellement dcrite et de vrifier le bon fonctionnement des supports de
sauvegarde aprs chaque cycle de ce dernier.
Procder rgulirement la vrification des sauvegardes en procdant des essais
de restauration des donnes sauvegardes.
Sensibiliser rgulirement le personnel de limportance de sauvegarde.
Procder une sauvegarde systme, des journaux et sauvegarde des
configurations des quipements rseaux.
Mettre en place un plan de sauvegarde couvrant lensemble des configurations des
rseaux dfinissant les objets sauvegarder et la frquence des sauvegardes.
Les accs aux systmes doivent tre journalises avec si possible et au minimum
l'identit de l'utilisateur, le systme concern, la date et l'heure de l'accs.


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

72

3- Solution propose
3.1- Dploiement complet dActive directory (Annexe 4)
Lobjectif principal dActive Directory est de fournir des services centraliss
didentification et dauthentification un rseau dordinateurs utilisant le systme
Windows. Il permet galement lattribution et lapplication de stratgies, la distribution
des logiciels, et linstallation de mise jour critique par les administrateurs.(5)
Active Directory rpertorie les lments dun rseau administr tels que les
comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les
imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partages,
et les administrateurs peuvent contrler leurs utilisations grce des fonctionnalits de
distribution, de duplication, de partitionnement et de scurisation des accs aux
ressources rpertories.
3.2- Windows Server Update Services
Windows Server Update Services (WSUS) est un service permettant de distribuer
les mises jour de Windows et d'autres applications Microsoft sur les diffrentes
machines Windows d'un parc informatique. WSUS est un serveur de mises jour local
(ou proxy de mises jour) qui se synchronise avec le site public Microsoft Update et
permet de contrler la diffusion des mises jour dans le parc. Par dfaut chaque
machine Windows faisant ses mises jour, va les chercher sur le site officiel, ce qui
demande beaucoup de bande passante sur un parc avec de nombreuses machines.
3.3- Deuxime Switch HP Procurve
Actuellement on se retrouve avec un seul Switch L3, au cas o ce dernier tombe
en panne, on peut dire quil ny aura pas de production. De ce fait, je propose de mettre
un deuxime Switch HP Procurve 5406zl pour faire de la redondance.
Concernant la configuration, je propose dimplmenter une agrgation de liens
(Port Trunking), cest une notion de rseau informatique dcrivant l'utilisation de
plusieurs cbles ou ports rseau afin d'accrotre le dbit d'un lien au-del des limites
d'un seul lien, ainsi que d'accrotre la redondance pour une meilleure disponibilit.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

73

Evidement, avant dimplmenter cette mthode, il faut activer le Spanning Tree
(STP) pour viter davoir une boucle.
3.4- Nouvelle architecture
Enfin, suite aux recommandations prcdentes et solutions proposes, je
propose une nouvelle architecture du rseau plus scuris et plus fiable :

Figure 28:Nouvelle architecture scurise
4- Conclusion
Jai propos dans ce chapitre des recommandations sur le plan technique fin de
minimiser le risque dexploitation des vulnrabilits du rseau et de protger les
diffrents quipements pour assurer une continuit et une disponibilit complte.


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

74







Conclusion Gnrale













2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

75


Lobjectif de lancement de notre mission daudit tait dvaluer le niveau de
maturit du SI du MTIC et de dgager les dviations par rapport aux normes de
scurit surtout la norme ISO 27002.
A travers cet audit, nous tions en contact direct avec les responsables du MTIC
et nous avons essay de communiquer avec eux et dchanger les connaissances pour
russir l'tape de l'audit organisationnel et physique et nous avons pu travailler avec
diffrents outils destins au recensement des failles et des vulnrabilits du systme
audit afin d'expertiser l'tape de l'audit technique.
Nous avons essay de couvrir le maximum daspects pendant la priode de cette
mission, nous avons valu le niveau de maturit des diffrentes clauses qui dfinissent
la scurit organisationnelle et physique, puis laudit sest concentr sur les aspects
techniques.
Pour laudit technique nous avons tudi larchitecture du rseau informatique
ainsi que les diffrents quipements critiques. Nous avons aussi consacr une bonne
partie de cet audit pour tudier les diffrents systmes applicatifs tel que le service
messagerie ou le SGBD vu leur importance dans le SI du MTIC.
Nous avons dtaill, examin et classifi les failles trouves, pour enfin proposer
diffrentes recommandations couvrant les domaines tudis, et nous avons labor un
plan daction permettant lorganisme datteindre ses objectifs et amliorer la faon de
grer son SI.
Le plan daction propos dtaille les mesures ncessaires pour amliorer la qualit
de la scurit du SI, en prcisant les objectifs atteindre et les indicateurs de suivi qui
permettent dvaluer la russite des mesures prises. Nous avons aussi propos quelques
solutions commerciales et gratuites permettant daider les responsables amliorer la
faon de grer le SI surtout la partie concernant le rseau informatique.
Nous devons signaler que les responsables du MTIC seront les principaux joueurs et
dcideurs en ce qui concerne les estimations financires et lorganisation des ressources
humaines impliques dans lexcution de ce plan daction vu leur mthodologie de
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

76

travail et les procdures administratives respecter. Notre rle est principalement de
les aider valuer leur SI et de proposer les mesures ncessaires.
Il est noter quun effort considrable a t dj fait au sein du MTIC pour
amliorer la qualit du SI dans un monde technologique voluant la vitesse de la
lumire, mais dautres mesures peuvent tre prises ou planifies pour atteindre un seuil
de robustesse honorable.
La valeur que prsente le MTIC dans le domaine des tlcommunications et les
nouvelles technologies en Tunisie linvite continuer les efforts pour donner lexemple
aux autres organismes lchelle nationale et internationale et rester toujours un
modle et une rfrence pour les autres.
Aujourdhui, leffet de la rflexion humaine est de plus en plus important dans le
domaine de la scurit, ce qui laisse les spcialistes en scurit affirmer que "La scurit
cest 75% de savoir tre et de savoir-faire et 25% de matriel ", atteindre ses objectifs en
matire de scurit dpend essentiellement du facteur humain et de la culture de
lorganisme.
Leffort quexige le sujet de la scurit na jamais t priodique ou temporaire,
mais cest un effort continu qui doit dpasser le fait de prendre des mesures pendant
une priode limite pour devenir une approche long terme et une vraie culture
inculque dans les bonnes habitudes des individus et des organismes concerns.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

77





Bibliographie













2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

78



1 :http://www.pommef.com/audit-informatique-Macintosh-paris.html
2 :http://users.polytech.unice.fr/~hugues/GL/Norme/norme.html
3 :http://www.blog.saeeed.com/2012/11/implementation-et-mise-en-oeuvre-de-la-
norme-iso-cei-27001/
4 :http://cisco.goffinet.org/s2/methode_diagnostic#.UpXKE9JHR-s
5 :http://www.arkeia.com/fr/products/arkeia-network-backup/backup-
agent/directory-server-agents/active-directory-agent
6 : http://www.ansi.tn/fr/presentation_agence/cadre_juridique.html
7 : http://nmap.org/
8 :http://www.ehacking.net/p/backtrack-5-tutorial.html
9 : http://www.networkview.com
10 :http://www.cyber-
infos.net/modules.php?name=Forums&file=viewtopic&t=59&view=previous
11 :http://www.securiteinfo.com/conseils/portstroyens.shtml
12 :http://forum.cigiema.fr/t235-Les-Ports-Reseaux.html
http://www.nessus.org/products/nessus

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

79




Annexes









2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

80

Annexe 1 : Questionnaire conforme aux exigences de la
Norme 27002

1. Politique de scurit de linformation
Y a-t-il une politique de scurit crite et disponible pour tout le personnel ? N (en
cours)
La politique de scurit spcifie t elle clairement les objectifs de scurit de
lorganisme, ainsi que des mesures de rvision ?
N
Cette politique de scurit est-elle revue intervalles rguliers ou lors du
changement significatifs, afin dassurer le maintien de sa pertinence et de
son efficacit ?
N
Quelles sont les rgles et principes de scurit qui figurent dans la politique
de scurit : Charte de scurit, procdures.
N
est-ce que la politique de scurit a t labore en tenant compte du
principe avantages/cots ?
N
Est-ce que cette politique fait rfrence des documents qui aident dans la
comprhension et le respect de cette dernire ?
N
La politique de scurit de lorganisme dfinie t-elle :
une structure en charge de la dfinition de la politique de scurit
des
systmes dinformation ainsi que de sa mise en place ?
un plan de continuit dexercice, une ducation aux exigences de
scurit et
aux risques de scurit, les consquences dune violation des rgles
de scurit ainsi que les responsabilits des incidents de scurit ?
une structure charge de lvaluation des risques et de leurs gestions
?
des principes de scurit de l'information tel quils soient conforment
la
stratgie d'affaires et aux objectifs de lorganisme ?

N
Etablit-on annuellement un plan de scurit des systmes dinformation
regroupant lensemble des plans daction, moyens mettre en uvre,
planning, budget ?
N
La politique de scurit bnficie t elle de lappuie de la direction gnrale ? N
Est-ce que cette politique est publie et communique :
Aux employs
Aux tiers
N
Est-ce que cette politique a un propritaire qui est responsable de sa revue
et maintenance selon un processus prdfini ?
N
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

81

Est-ce que le processus de revue est dclench suite des changements
affectent le recensement du risque tel que :
Des incidents de scurit grave
Nouvelle vulnrabilits
Changement dans lorganigramme
Inefficacit des mesures mises en place
Evolutions technologiques
N
Lorganisation et la gestion de la scurit sont-elles formalises dans un
document chapeau couvrant lensemble du domaine pour le projet ?
N
Une dmarche de certification iso 27002 a-t-elle t prvue pour le projet ? N
2. Organisation de la scurit de linformation
Quelles sont les fonctions dfinies dans la politique de scurit ?
Directeur responsable de la scurit gnrale
Responsable spcialiste de la scurit physique
Responsable spcialiste de la scurit fonctionnelle et informatique
N
Les objectifs de scurit sont ils identifis, intgrs la politique globale de
lorganisme, et sont ils en concordance avec les objectifs de lorganisme ?
N
Les rgles de scurit prcisent t-elles une dfinition claire des tches, rles
spcifiques affectation des responsables de scurit de linformation ?
N
Existe t-il une coordination de lexcution des tches de scurit des
diffrentes entits en charge de la scurit de linformation au sein
lorganisme ?
O
Les informations confidentielles protger sont elles identifies ? N
Existe t-il une politique de rvision et de documentation de la politique
dorganisation de la scurit en vue de la mettre jour ou niveau ?
N
Existe-il un comit de scurit du SI ? N (en
cours)
Existe-il un RSSI dans le site, avec une fiche de poste, ainsi quune
dlgation formelle mentionnant ses attributions et ses moyens dactions ?
O
Lentreprise entretien t elle des relations en cas de besoin avec :
Des spcialistes indpendants
Des partenaires
Des autorits publiques
Aucune relation
O
Lentreprise entretien t elle des relations en cas de besoin avec :
Audit externe
Audit interne
Aucun
O
Lentreprise dispose t elle dun mcanisme qui permet :
Didentifier les accs
De classer les accs
De savoir les raisons daccs
N
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

82

Aucun
Y a-t-il un contrat qui stipule les conditions daccs et les recours en cas de
panne lors des accs par des tiers ou des sous traitants ?
O
Les risques dus aux effets externes sont ils identifis ? N
En cas dexternalisation lentreprise prcise t elle dans un contrat les clauses
relatives :
La scurit des valeurs de lorganisation
La scurit physique
Lexistence dun plan de secours
Aucun
N
Avez-vous appliqu une dmarche mthodologique danalyse et de gestion
des risques SSI ?
N
Lorganisation de la scurit est-elle formalise dans un document ? N
Une politique de confidentialit a-t-elle t labore dans le cadre de ce
projet ?
N
Des rvisions priodiques de la mise en uvre de la gestion de la scurit
sont-elles prvues ?
N
3. Gestion des biens
Existe-t-il un inventaire des biens du projet ? O
Existe-t-il une classification des biens par rapport leurs critres de
sensibilit (en termes de disponibilit, dintgrit et de confidentialit) ?
N
Les actifs de lorganisme sont ils identifis rpertoris ? O
Est-ce quon a prvu une classification des informations selon leur
importance ?
N
A chaque actif est-il associ un propritaire qui doit en assurer galement la
responsabilit ?
O
Quelles sont les valeurs critiques de lentreprise ?
Les personnes
Le matriel
Les logiciels
Les donnes
Les services
Les sous rseaux
Limage de marque et rputation
- Donne
s
- Service
s
- Matrie
ls
Lentreprise procde t elle rgulirement un inventaire de ces avoirs ? O
Existe-il des fiches concernant les mouvements ?
(date dentre, date de sortie, date de mouvement, destination, provenance)
O
Les informations sensibles bnficient elles des procdures dfinissant leurs
conservations ou destruction ?
N
Le matriel informatique est-il inventori par un lment identifiable et
unique ? (ex : n de srie ?
O
Le matriel en prt est-il clairement identifi sur linventaire ? (nom de la O
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

83

personne ayant fait lemprunt)
Existe-t-il un stock inventori dquipements et de pices dtaches de
secours ?
N
Les logiciels installs ont-ils tous une licence dacquisition ? N
Contrlez-vous si des logiciels autres que ceux de votre inventaire sont
installs ? (logiciels pirates)
N
Est-ce quil y a un responsable de la bonne tenue des inventaires ? O
Existe-il des rgles dutilisation des biens et des services dinformation ? N
Existe-il une procdure pour la d-classification des biens dinformation ? N
Existe-il des procdures de manipulation des biens dinfirmation par des
personnes externes lorganisation ?
N
4. Scurit lie aux ressources humaines
Le contrat employeur employ tient il compte des responsabilits de
lemploy vis--vis de la scurit de lorganisme ?
N
Lorganisme saccorde t-il les moyens de vrifier lauthenticit et la vracit
des diplmes et documents fournis par les potentiels futurs employs ?
O
Le personnel est il inform de ces responsabilits vis--vis de la scurit des
actifs :
Avant lembauche,
Pendant la priode de son exercice,
Aprs remerciement ?
N
Y a t il une politique de rotation du personnel occupant des taches clefs ? N
Existe-t-il des sessions dinformation du personnel sur la scurit des
systmes dinformation de lorganisme ?
O
Le responsable de scurit est il form aux nouvelles technologies ? O
Est-ce que le personnel a sign un document de confidentialit des
informations lors de lembauche ?
N
Existe-t-il des procdures disciplinaires pour les employs sources de failles
de scurit ?
N
Y a-t-il une procdure de revue de ce document, surtout en cas de dpart ou
une fin de contrat ?
N
Est-ce que les sous traitants ou le personnel contractuel a sign un
document pareil ?
N
Est-ce que tout le personnel est inform vers qui et comment rendre compte
des incidents de scurit ?
N
Y a-t-il une procdure dapprentissage des accidents et des failles de
scurit ?
N
A-t-on organis rgulirement des tests pour vrifier le degr dassimilation
du personnel de la politique de scurit ainsi que sa culture en
informatique.
N
5. Scurit physique et environnementale
La situation gographique de lorganisme tient elle compte des risques O
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

84

naturels ou industriels ?
Le cblage lectrique est il conforme aux rgles de scurit ? O
Est-ce quune analyse de risque a t effectue pour valuer la scurit
physique de la socit ?
O
Parmi ces procdures quels sont ceux qui figurent dans la protection
physique des locaux :
Contrles des portes dentre
Cltures hautes
Attribution des badges
Contrle la sortie
Camra de surveillance
Limitation daccs
- Limitat
ion
daccs
Est-ce que des mesures de scurit particulire ont t instaures pour le
centre informatique ? (si oui commenter...)
Par
badge
.
N
Y a-t-il une rglementation spciale contre le fait de fumer, boire, et manger
dans les locaux informatiques ?
N
Existe-il une protection de cblage informatique et de tlcommunication
lgard des risques lectrique ? (variation de tension)
O
Les quipements acquis suivent ils une politique de maintenance ? N
Existe-t-il un systme de protection contre les coupures et les micros
coupures ?
Si oui
lesquels ?.............................................Onduleurs

O
-
Onduleu
rs
- Groupe
lectrog
ne
Existe-t-il un systme de climatisation conforme aux recommandations du
constructeur ?
O
Existe-t-il un groupe lectrogne pour les coupures de longue dure ? O
Y a-t-il une procdure de crise en cas de long arrt ? (favoriser quelques
machines sur dautres)
N
Quelles mesures de scurit contre lincendie figurent parmi ces mesures :
Existence dun systme de dtection automatique dincendie pour
lensemble de btiment
Existence dun systme dextinction automatique pour les salles
dordinateur
Existence dextincteurs mobiles
Existence des meubles rfractaires pour le stockage des documents et
des supports informatique vitaux

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

85

Formation et information du personnel
Visite des pompiers pour prendre connaissance de la configuration
des locaux
A-t-on prvu des systmes dvacuation en cas dincendie ? O
Est-ce que vous tes assur que leau ne peut envahir les locaux ? O
Est-ce quun systme de dtection deau est instaur ? N
Est-ce quun systme dvacuation deau est instaur ? N
Existe-t-il une documentation lie la scurit physique et
environnementale ?
N
6. Gestion des communications et de lexploitation
Est-ce quil y a des procdures formelles pour les oprations dexploitation :
backup, maintenance et utilisation des quipements et des logiciels ?
N
Existe-t-il une distinction entre les phases de dveloppement, de test et
dintgration dapplications ?
N
Existe-t-il une protection contre les codes malicieux (malveillants) (virus,
vers, cheval de Troie,.) ainsi quune mise jour priodique et constante
de ces derniers ?
O
Est-ce quil y a des procdures formelles pour la prvention contre la
dtection et la prvention contre les logiciels malicieux ?
N
Y a-t-il une procdure dfinie pour la gestion des incidents ? N
Est-ce que le backup est priodiquement effectu ? O
Est-ce quil y a des recommandations crites interdisant : lutilisation des
logiciels sans licence et le non respect des droits dauteur ?
N
Y a-t-il des procdures crites pour la gestion des supports dtachables ? N
Y a-t-il une politique prcise pour se dbarrasser des documents ? N
Y a-t-il une politique de scurit pour email ? N
Existe-t-il un systme antiviral contre les virus et les vers ? O
Est-ce que lantivirus est rgulirement mis jour ? O
Existe-t-il une mise jour contre les programmes malveillants ? O
Lchange dinfirmations sur le rseau ainsi que les transactions en ligne
sont elles scurise ?
O
Avec quel mcanisme de scurit ?
Droit daccs
- Certifi
cat
Numr
ique
- Protoc
ole
SSL
Existe-t-il une DMZ qui se distingue parfaitement du rseau interne de
lorganisme ?
O
7. Contrle daccs
A-t-on prvu de protection logique pour les ressources informationnelles O
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

86

vitales ?
Les accs aux locaux (sensibles ou pas) sont ils contrls, enregistrs et
analyss travers des logs ?
O
Existe-t-il une politique qui hirarchise les autorisations daccs ? N
Un ancien employ perd t-il ces droits daccs aux locaux et aux
informations
sensibles de lorganisme ?
O
Laccs distant (logique) au rseau informatique est-il protg ? Par quel
quipement ou outil ou mcanisme ?
O
Laccs au systme est il contrl par un dispositif didentification et
dauthentification ?
N
Existe-t-il un dispositif de revue des droits daccs des intervalles
rguliers ?
N
Est-ce que les terminaux sensibles sont quips dun conomiseur dcran
avec mot de passe ?
O
Est-ce que les utilisateurs verrouillent leur session de travail avant de
quitter leur poste de travail mme pour quelques instants ?
?
Les mots de passe sont-ils affects individuellement ? O
Y a-t-il des conditions respecter lors du choix des mots de passe (ex : min
6 caractres) ?
N
Un ancien employ perd t-il ces droits daccs aux informations et locaux ? O
Y a-t-il une suite aux tentatives daccs infructueuses ? O
A- t-on prvu des limitations contre :
Lutilisation des applications
Le tlchargement dapplication
Lutilisation des disquettes, CD
N
8. Dveloppement et maintenance des systmes
Existe-t-il des procdures de validation des changements raliss sur les
programmes ?
N
La garantie de la confidentialit, lauthenticit et lintgrit de linformation
seffectue-t-elle au moyen de signature lectronique ou de cryptographie ?
O
La scurit de la documentation du systme dinformation est elle assure ? N
Est-ce que les programmes sont contrles contre les portes drobs et
chevaux de trois ?
O
Existe-t-il des procdures de contrle pour les logiciels dvelopps en sous-
traitance ?
N
Sassure-t-on que lquipement acqurir rpondra aux besoins exprim ? O
Sassure-t-on de la non rgression de service lors du dveloppement ou de
lintgration des nouveaux services ?
N
Existe-t-il une politique de maintenance priodique et assidue des
quipements ?
N
9. Gestion des incidents
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

87

Existe-t-il une politique de gestion des incidents ? N
Les potentielles faiblesses descelles font elles objet de rapport complet et
dtaill ?
N
La rsolution des incidents se fait elle de faon cohrente ? N
Existe-t-il un rapport dtaill des incidents qui surviennent ? N
Existe-t-il une politique de rparation des responsabilits en cas dincident ? N
Les actions entreprendre pour la rsolution des incidents sont elles
dfinies ?
N
Les employs sont ils informs du comportement avoir en cas dincident ? N
10. Gestion de la continuit dactivit
Est-ce que lorganisme a dvelopp un plan de secours ? N
Existe-t-il un plan stratgique bas sur une analyse du risque dtaillant le
plan durgence ?
N
Les donnes sauvegardes sont-elles mise jour priodiquement ? O
Est il dfini des critres spcifiant les ayant accs ces donnes ? O
Existe-t-il une politique de sauvegarde dautres actifs de lorganisme ? N
Existe t-il une (des) alarme(s) pour lavertissement lors daccs aux actifs
sensibles en dehors des heures de travail ou en cas daccs non autoriss?
N
Y a-t-il des plans crits et implments pour restaurer les activits et
services en cas de problmes ?
N
Existe-t-il des mesures de sauvegarde des actifs (donnes sensibles), ainsi
que de leur protection ?
O
Si oui sur quel support ?
Disque, CD
O
En cas de changement dquipe de travail, la continuit de service est elle
assure ?
O
Est-ce que les plans sont tests et maintenus par des revues rgulires ? N
11. Conformit
Est-ce que chaque systme dinformation les exigences lgales,
rglementaires et contractuelles sont explicitement dfinies et documents ?
N
Existe-t-il un contrle de la conformit technique ? N
Les rgles de scurit appliques restent elles conforment une norme
particulire ?
N
Existe-t-il une procdure dfinissant une bonne utilisation des technologies
de
linformation par le personnel ?
N
Est-ce que des procdures sont mises en place pour sassurer du respect de
la proprit intellectuelle ?
N
Est-ce que les enregistrements importants de lorganisme sont protgs de
la perte, la destruction et falsification ?
O
Est-ce que lentreprise est conforme aux lois en vigueur concernant le
chiffrement ?
O
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

88

Les logicielles utilises bnficient ils de licence dexploitation ? O
Les rgles de scurit appliques restent elles conforment la lgislation en
vigueur ?
O
Existe-il une procdure daudit interne et rgulier de lorganisme ? O
Les rgles de scurit appliques restent elles conforment une norme
particulire ?
N
Le droit la proprit intellectuelle et la protection des donnes
personnelles sont-ils prservs ?
N
Les audits externes sont-ils effectus et planifis priodiquement ? O


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

89

Annexe 2 : check List Firewall

Marque et Modle: StoneGate FW-1030/StoneGateFW-1050

Scurit physique des quipements
Existe-t-il une politique de contrle daccs physique pour le firewall ? O
Administration
Existe-t-il une politique dauthentification forte au niveau douverture
de session sur le firewall ?
O
Quelle type de configuration utilise pour le firewall (port console,
telnet, ssh, http, https..) ?
Logiciel
client+
SSH
Linterface dadministration est-t-il facile utiliser ? O
Linterface dadministration est-t-il scuris par mot de passe ? O
La configuration est elle sauvegarde chaque modification ? O
Patchs et Mise jour
Quelle est la version du firewall ? 5.1.4/5.2.7
Quelle est la date de la dernire mise jour ? 26/04/2013
Existe-t-il un suivi des mises jour ? O
Les rgles de filtrage
Existe-t-il un document ou une spcification des rgles de filtrage
prcisant la politique de scurit implant (description de chaque
filtre/rgle) ?
O
Existe-t-il une vrification et validation des rgles de filtrage
priodiquement ?
O
Les rapports de suivi et des tests de filtrage sont-ils archivs ? O
Spcifier les critres que peut le firewall filtrer : adresse IP source,
adresse IP destination, protocole, service, port, adresse Mac source,
adresse Mac destination
TOUS
Y a-t-il une rgle bloquante des requtes ICMP echo ? O
La gestion des logs
Est-ce que les logs sont activs au niveau firewall ? O
Les logs sont ils rvises et analyss ? O
Ladministration est elle informe en temps rel par les vnements les
plus critiques ?
N
Existe-t-il un serveur ddi au traitement et larchivage des logs du
firewall ?
O
Est-ce que toutes les traces de connexions qui sont bloques ou pass
par le firewall sont enregistres en dtail ?
O
Le firewall a-t-il la capacit de gnrer des rapports ? O
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

90

Existe-t-il des statistiques sur lusage du firewall ? O
Evaluation/ test de vulnrabilit
Existe-t-il une procdure de test des vulnrabilits du firewall
(priodique) ainsi que des essais de test de pntration (rsistance du
systme face aux attaques) ?
N
Existe-t-il un rapport qui prsente lhistorique des incidents survenus
au niveau du firewall (crash, violation des ACLs)
N
Disponibilit
Y a-t-il un secours automatique pour le FW primaire ? O
Le groupement de firewall assure t-il la haute disponibilit et
rpartition de charge ?
O
Le firewall est-il ondul ? O

Annexe 3 : check List Routeur

Marque et modle: Cisco 2850








Existe-il une politique de scurit dun routeur ? O
Les mesures de scurit de bases forte au niveau douverture de session sur
le routeur ?
O
Existe-il une scurisation des accs administratifs distances des routeurs ? O
Quelle est la version du routeur ? 12.4
(12a)
Quelle est la date de la dernire mise jour ? Il y a
une
anne
Existe-il un suivi des mises jour ? N
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

91

Annexe 4 : Installation et dploiement complet dActive
Directory

Je partirai du principe que le Windows server 2008 a t bien install et allons
donc poursuivre dans ce sens.
Commencez par dmarrer votre serveur et connectez-vous-y en tant
quAdministrateur
Dmarrer le gestionnaire de serveur

Cliquez sur le nud Rles (1) puis sur Ajouter des rles (2)

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

92

Lassistant dajout de rles apparait. cliquez sur Suivant
Slectionnez Services de domaine Active Directory

Lassistant vous propose dajouter les fonctionnalits du .NET Framework
3.5.1 acceptez lajout en cliquant sur Ajouter les fonctionnalits requises

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

93

La case Services de domaine Active Directory est bien coche cliquez sur Suivant
Cliquez sur Suivant
Une fentre de rcapitulatif apparait, vrifiez vos paramtres et cliquez sur Installer

Lassistant dajout de rle a bien install les services de rle mais le serveur nest pas
pour autant passer en contrleur de domaine.
Pour cela, nous devons cliquez sur: lancez lassistant Installation des services de
domaine Active Directory (dcpromo.exe)

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

94

Cliquer sur services de domaine Active directory

Cliquer sur Excuter lassistant Installation des services de domaine Active
Directory (dcpromo.exe).

Cochez la case Utiliser linstallation en mode avanc et cliquez sur Suivant

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

95

Nayant actuellement aucun domaine, cochez la case Crer un domaine dans une
nouvelle fort (1) afin de crer ce dernier, ensuite cliquez sur Suivant (2).
Attention toutefois ne pas crer un nouveau domaine dans une nouvelle fort si
vous tes dj dans un domaine.
Le risque tant de tout lessiver sur votre domaine existant







On insert un nom et le systme vrifie si il existe ou non
Dfinissez votre nom de domaine (1) puis cliquez sur Suivant (2)
Dans le cadre de ce tutoriel, jutiliserai MTIC.tn
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

96


Nous allons en profiter pour ajouter le rle de serveur DNS notre serveur
Si elle ne lest pas, cochez la case Serveur DNS puis cliquez sur Suivant


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

97

Paramtrage dadresse IP

Cliquez sur OUI

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

98

Nous conserverons les options par dfaut, cliquez sur Suivant

Entrez votre mot de passe de restauration puis Suivant

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

99

Voici le rcapitulatif de vos paramtres, cliquez sur Suivant
Linstallation est en cours.. Patientez un moment
Linstallation est maintenant acheve, cliquez sur Terminer

Redmarrez le serveur pour prendre en compte les modifications

Installation de serveur supplmentaire active directory

On va ajouter un contrleur de domaine un domaine existant



2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

100

On va indiquer le nom de serveur primaire Active Directory



On va slectionner le domaine pour ce contrleur de domaine
supplmentaire MTIC.TN


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

101


On va slectionner le site pour le nouveau contrleur de domaine qui est
Default-First-Site-Name

Coucher les 2 premires lignes

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

102


On va coucher utiliser ce contrleur de domaine spcifique

Cliquez suivant

Tapez le mot de passe de restauration
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

103


Cliquez sur suivant
En attente de fin de linstallation du service

Vrification pour dterminer si la console de gestion des stratgies de groupe
doit tre installe
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

104


Modification pour cet ordinateur de lappartenance au domaine

Recherche dun contrleur de domaine pour le domaine MTIC.TN qui contient le
compte SRVAD1

Un contrleur de domaine SRVAD2.MTIC.TN a t trouv pour le domaine
MTIC.TN

Analyse dune fort existante
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

105


Rplication en cours de la partition dannuaire de schma


Rplication des informations critiques de domaine

La racine de nom dordinateur DNS de lordinateur est fixe MTIC.TN

Dfinition de la scurit sur le contrleur de domaine.des fichiers Active
Directory et des cls du Registre.
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

106


Protection de c:\windows\systeme32\spool

Protection de SamSs

Protection de kerberos

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

107

Installation termin

Redmarrage de lordinateur












2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

108

Les tests

On va crer un nouveau utilisateur, cliqu sur BSI-nouveau-utilisateur


On va remplir le formulaire

On va crer un mot de passe pour le compte de nouveau utilisateur

Le mot de passe doit etre de haute complxit
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

109


On crer deux comptes des nouveaux utilisateurs

Le serveur DNS fonction convenablement .il peut rsoudre dans les deux sens
du nom BIOS l@ IP et de l@ IP au nom BIOS

*Cration de stratgie de groupe
Cliquer sur BSI
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

110


Cliquer sur crer un objet GPO dans ce domaine

Nommer la nouvelle stratgie rgle-pc

*Configuration de stratgie de groupe :

Clique droite sur Rgle-pc puis Modifier
2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

111


*Empcher laccs au panneau de configuration :

Cliquer sur Configuration utilisateur-stratgies-modles administration-
panneau de configuration

On va coucher activ pour activer lempechement de laccs au pannau de
configuration

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

112

Rsultat : imprime cran de lordinateur de lutilisateur ayari amani
-avant lapplication de la stratgie

-aprs que la stratgie est applique

**Empcher laccs au Gestionnaire des tches
Cliquer sur configuration utilisateur-stratgies-systme-option Ctrl-Alt-Suppr
Supprimer le Gestionnaire des tches.

2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

113



Rsultat :
-avant -aprs : icne dsactiv

***interdiction de lutilisation du support amovible :


2012 - 2013 UNIVERSITE VIRTUELLE DE TUNIS

114




Rsultat :
-avant

-aprs
Message derreur F:\ nest pas accessible et Accs refus