Audit Et Sécurité de Système D'information Sécurité de Système D'information - AB ERIC

Audit
sécurité
de
système
d’information
Sommaire
Introduction générale
I.1. Introduction
I.2. Les Systèmes d’information

I.2.1. Système
I.2.2. Système d’Information
I.3. La Sécurité de l’Information
I.3.1. La sécurité de l'information
I.3.2. Pourquoi se protéger ?
I.3.3. Qu’est-ce qu’une « politique de sécurité de l’information »
?
I.4. Audit sécurité des systèmes d’information
I.4.1. Audit
I.4.2. Objectifs de l’audit
I.4.3. Cycle de vie d’un audit sécurité des systèmes
d’information
I.5. Démarche de réalisation d'un audit Sécurité de Système
d’Information
I.5.1. Définition de la charte d'audit
I.5.2. Préparation de l’audit
I.5.3. Audit organisationnel et physique
a. Objectifs
b. Déroulement
Une fois cette phase terminée, il est question de passer à la
prochaine étape de l'audit; cela inclut l'audit technique.
I.5.4. Audit technique
a. Objectifs
b. Déroulement
I.5.5. Audit intrusif
a. Objectifs
b. Déroulement
I.5.6. Rapport d’audit
I.6. Conclusion
II.1. Introduction
II.2. ISO (Organisation Internationale de Normalisation)
II.3. Gouvernance de l’information
II.4. Système de Management de la Sécurité de l’Information (SMSI)
II.5. Les normes
II.6. Les méthodes
II.7. Le référentiel COBIT
II.7.1. Définition
II.7.2. Démarche
II.7.3. Avantages de la méthode
Une répartition claire de la propriété et des responsabilités,
grâce à l'approche processus.
II.7.4. Inconvénients de la méthode
II.8. Historique des normes en matière de sécurité de l’information
II.9. La suite des normes ISO 2700X:
II.9.1. ISO/CEI 27001 :
II.9.2. ISO/CEI 27002 :
II.9.3. ISO/CEI 27003 :
II.9.4. ISO/CEI 27004 :
II.9.5. ISO/CEI 27005 :
II.9.7. ISO/CEI 27007 :
II.10. La norme ISO/CEI 27002
II.11. Méthodes d’appréciation des risques
II.11.1. La Méthode EBIOS
II.11.2. La méthode MEHARI
II.11.2.1. Principe de fonctionnement
II.12. Tableau comparatif des méthodes et normes
II.13. Synthèse
II.14. Conclusion
III.1. Introduction
III.2. Enjeux de la sécurité des SI :
III.3. Déroulement
III.4. Questionnaire métier
III.5. Questionnaire d’audit organisationnel et environnemental
III.6. Automatisation du traitement du questionnaire
III.6.1. L’outil d’audit du SI
III.6.1.1. Objectif de l’outil
III.6.1.2 Mode d’opération
III.6.1.3. Procédures
III.6.1.3. Les rosaces
III.6.1.4. Scénario d’utilisation
III.7. Rapport
III.7.1. Politique de sécurité
III.7.2. Organisation de la sécurité
III.7.3. Contrôle et classification des actifs
III.7.4. Sécurité liée aux ressources humaines
III.7.5. Sécurité physique et environnementale
III.7.6. Gestion de l’exploitation et des communications
III.7.7. Contrôle d’accès
III.7.8. Acquisition, maintenance et développement des systèmes
III.7.9. Gestion des incidents de sécurité
III.7.10. Gestion de la continuité d’activité
III.7.11. Conformité
III.7.12. Résultat final de l’Analyse Organisationnel et
environnemental
III.8. La matrice d’analyse SWOT
III.9. Audit technique
III.9.1. Collecte des informations
III.9.1.1. Les humains sont bavards
III.9.1.2. Techniques et outils utilisés
III.9.1.3. La prise d'empreinte par pile TCP/IP
III.9.2. Repérage de failles
III.9.2.1. Consulter les failles recensées
III.10. Conclusion
IV.1. Introduction
IV.2. Recommandations au niveau organisationnel et physique
IV.2.1. Politique de sécurité
IV.2.2. Organisation de la sécurité
IV.2.3. Classification et contrôle des actifs
IV.2.5. Sécurité physique et environnementale
IV.2.6. Gestion des communications et de l’exploitation
IV.2.7. Contrôle d’accès
IV.2.8. Acquisition, maintenance et développement des systèmes
IV.2.9. Gestion des incidents de sécurité
IV.2.10. Gestion de la continuité d’activité
IV.2.11. Conformité
IV.3. Recommandations au niveau technique
IV.3.1. la solution Loglogic
IV.3.1.1. Caractéristiques de la gamme La gamme ST
IV.3.2. La solution Linagora LinShare
IV.3.3. La solution Wallix
IV.3.4. La solution Nagios
IV.3.5. Network Inventory Advisor
IV.3.6. Une clé USB sécurisée par empreinte digitale
IV.3.7. Fermeture des ports non utilisés
IV.3.8. Rendre les serveurs furtifs
IV.3.9. La mise à jour des applications
IV.3.10. Sécurité des mots de passe
IV.3.11. Attaques sur les protocoles
IV.3.12. Veille sécurité
IV.3.13. Audits internes de sécurité :
IV.4. Conclusion
Conclusion générale
Listes des
Figures
Chapitre I
1. Le cycle de vie d’audit de sécurité
2. Schéma du processus d’audit
3. Schéma des différents niveaux de maturité
Chapitre II
1. Démarche COBIT
2. Schéma des ISO 2700X
3. Les cinq modules de la méthode EBIOS
4. Enjeux critiques + Vulnérabilités fortes =
Risques inacceptables
Chapitre III
1. Les phases de l’audit
2. Le fichier Excel
3. Un modèle de référence de maturité
4. Définition des colonnes de l’Excel
5. Rosaces d’un portrait actuel et ciblées
6. Sécurité liée aux RH
7. Rosace d’un portrait ciblée
8. Résultat graphique de l’audit organisationnel
et environnemental
9. Les Démarches pour un audit
10. Emplacement de l’outil theHarvester
11. L’interface de l’outil theHarvester
12. Résultat de la recherche sur whois
13. Rapport de l’outil nmap
14. Occurrence des services
15. Description des services les plus
vulnérables
16. Résultat du scan
17. Scans interne détaillé
18. La criticité des vulnérabilités
19. SSL Labs
20. Le résultat du scan du service SSL labs
Chapitre IV
1. Fonctionnement du WAB
2. Fonctionnement du WLB (Wallix LogBox)
3. La solution Nagios
4. L’interface de la solution Network
Inventory Advisor
Listes des Tableaux

Chapitre
II
1. Historique des normes en matière de sécurité de
l’information
2. La suite des normes ISO
3. NA ISO/CEI 27002 les 11 chapitres
4. Les phases de MEHARI
5. Comparatif des méthodes et normes
Chapitre
III
1. La matrice d’analyse SWOT
2. Les options principales de l’outil theHarvester
Chapitre
IV
1. Les atouts de la solution Loglogic
Introduction générale
Toute entreprise, quelle que soit son secteur d’activité et sa taille, a
recours au service de l’informatique et des télécommunications pour
construire, développer et défendre sa compétitivité et sa position sur le
marché. Ainsi, grâce aux nouvelles technologies de l’informatique,
l’entreprise peut développer de nouveaux services permettant de la rendre
plus compétitive et plus efficace. Notons que même si les nouvelles
technologies apportent plus de flexibilité, de mobilité et d’évolutivité, elles
introduisent aussi une dimension de complexité et de gestion sans précédent.
Le passage à l’ère informationnelle de notre société révèle l’importance
des technologies de l’information et de leur maîtrise. En considérant les
dimensions nouvelles qu’elles introduisent sur les plans techniques, la
nécessité d’assurer la sécurité des systèmes d’information est devenue
fondamentale et soulignent le caractère stratégique de la gestion et de la mise
en œuvre de la sécurité informatique.
L’objectif de la sécurité de système d’information est de garantir
qu’aucun préjudice ne puisse mettre en péril la pérennité de l’entreprise.
Cela consiste à diminuer la probabilité de voir les menaces se concrétiser, à
en limiter les atteintes ou tout type de dysfonctionnement et surtout permettre
le retour à un fonctionnement normal à un coût et dans un délai acceptables
en cas d'incident.
Néanmoins, l’efficacité de la sécurité ne repose pas seulement sur les
outils de sécurité, une vision stratégique de la sécurité globale de
l’entreprise est nécessaire. Le choix des mesures à mettre en place résulte
généralement d’un compromis entre le coût du risque et celui de sa
réduction. En effet, avant tout, une analyse des différents risques est réalisée.
Celle-ci passe par l’identification des valeurs de l’entreprise, leurs niveaux
de vulnérabilité en fonction des menaces particulières. En fait, il s’agit de
répondre aux questions : protéger quoi? Contre qui ? Et enfin, pourquoi ?
La sécurité de l’information est obtenue en appliquant un ensemble de
mesures de contrôle, qui peuvent prendre la forme de politiques, de
pratiques, de procédures, de structures organisationnelles et de fonctions de
logiciels. Ces mesures de contrôle ont besoin d’être établies afin que les
objectifs de sécurité spécifiques de l’organisation soient atteints.
Pour contrôler la sécurité, les entreprises ont souvent recours à de
nombreux audits techniques. Cependant, ces derniers conduisent
généralement aux deux constatations suivantes : 1) Nécessité d'avoir une
vision de la sécurité sur le long terme : les audits techniques produisent une
photo instantanée de l'état de la sécurité des plates-formes et infrastructures.
Ils ont l'avantage de donner un point de vue factuel et indépendant de la
situation.
2) Fossé entre la direction et l’exploitation : il y a un écart chronique

entre ces deux entités. Il n'est pas rare que des directions disposentd des
documents répartissant de façon formelle des responsabilités les une et les
autres en matière sécurité ou définissant les politiques à respecter. Tout en
bas de la pyramide, il est clair que la sécurité repose essentiellement sur la
conscience professionnelle des opérateurs. Les procédures relatives à la
sécurité étant souvent transmises oralement plutôt que formalisées dans des
documents, avec tous les risques que cela comporte en cas de problème. Il y
a donc un lien rompu entre le haut et le bas de la pyramide.
Problématique
La sécurité des systèmes d’information constitue un domaine qui a
toujours été d’actualité, encore plus de nos jours, en raison du
développement technologique rapide et permanent qui survient dans le
monde de l’information.
Garantir la sécurité d’un système d’information n’est pas une tâche
facile, car elle constitue un processus continu et cyclique qui s’effectue
autour des points suivants :
La protection : Définir les ressources sensibles à protéger

ainsi que les mécanismes de protection.
La détection : Détecter les failles aux quelles sont exposées
nos ressources.
La réaction : Définir les solutions à apporter pour se protéger
contre les risques probables.
La révision : S’assurer que nos correctifs ne sont pas en
conflit avec les politiques de sécurité déjà en place et s’y intègrent
parfaitement.
L’un des moyens le plus efficace pour garantir la sécurité d’un système
d’information d’une entreprise de façon continue, est celui d’effectuer un
audit de manière périodique. C’est dans ce contexte que s’inscrit notre
travail qui vise l’audit du système d’information relevant de l’entreprise .
Objectifs du travail
Dans un premier temps, nous avons eu comme objectif l’établissement
d’un état de l’art du domaine de l’audit et du conseil de la sécurité des
systèmes d’information.
Dans un second temps et au sein de l’organisme d’accueil : IT PRO le
but était de réaliser un : « Audit de sécurité des systèmes d’informations»,
afin de détecter les risques, menaces, vulnérabilités, cette audit nous
permettra d’établir un rapport, de conseiller et de sensibiliser les
responsables de cet organisme sur la nécessité de mettre en place des
mesures adéquates de sécurité des SI.
Organisation du document
La structuré de ce livre est en quatrième principaux chapitres :
Dans le premier chapitre, nous allons présenter quelques concepts
autours desquels notre sujet s’articule, nous nous intéressons aux systèmes
d’information, aux concepts de base de la sécurité, à la définition de l’audit
et enfin, la démarche à suivre pour le réaliser.
Dans le second chapitre, nous décrivons les concepts de base des
méthodes, référentiels et des normes de sécurité. Ce chapitre sera clôturé par
une synthèse et sur le choix de référentiel en l’occurrence la norme ISO/CEI
27002.
Le troisième chapitre, a trait à l’audit, pour le compte de Entreprise,
qui comporte deux principales phases qui sont, l’audit organisationnel et
physique et l’audit technique.
Pour la première phase, nous avons utilisé deux questionnaires, le
premier se base sur la norme NA ISO/CEI 27002 et le second traite des
métiers spécifiques de l’entreprise. La deuxième phase consiste à utiliser des
outils standards afin de réaliser un audit technique dans le but de collecter
les informations nécessaires et éventuellement de détecter les failles du
réseau.
Nous terminons par le quatrième chapitre, dans lequel nous avons
proposé des recommandations et des suggestions, suite aux résultats de
l’audit constatés par rapport aux différentes clauses de la norme ISO/IEC
27002, et des solutions relatives au volet technique afin de préserver et
d’améliorer la sécurité des systèmes d’information de l'entreprise.
Chapitre I :
Concepts de base de la sécurité des SI
I.1. Introduction
La contrainte majeure de la sécurité des systèmes d’information est
qu'aucune garantie absolue ne peut être donnée. La seule manière la plus
efficace de protéger un système consiste à ne pas y concéder l'accès de
quelque manière que ce soit.
Tout accès au système peut potentiellement devenir une porte d'accès
non autorisée.
Il est clair qu'un système auquel nul n'a accès n'a que peu d'utilité. Toute la
difficulté de la notion de sécurité consiste donc à autoriser l'accès à un
système aux ayants droits de la manière la moins désagréable possible, tout
en empêchant l'accès aux personnes non autorisées de la manière la plus
efficace possible. Les deux objectifs sont souvent antinomiques.
Ce premier chapitre reprend les principaux concepts autours des
quels notre sujet s’articule, nous nous intéressons dans ce qui suit aux
systèmes d’information, aux concepts de base de la sécurité, à l’audit et à la
démarche à suivre pour le réaliser.
I.2. Les Systèmes d’information
Avant de définir un système d’information nous devons nous intéresser à
la notion de système.
I.2.1. Système
Un système est un ensemble des éléments en relation les uns avec les
autres et formant un tout. Il représente une unité parfaitement identifiable et
évoluant dans un Environnement donné. Il existe donc une limite qui
départage le système de son environnement. [1]
I.2.2. Système d’Information
Un système d'information est un ensemble organisé de ressources
(matériel, logiciel, personnel, données et procédures) qui représente tous les
éléments impliqués dans la gestion, le traitement, le transport et à la diffusion
de l’information au sein de l’entreprise. [2]
A l’origine les systèmes d’informations ont fait leur première apparition
dans les domaines de l’informatique et des télécommunications, cependant
nous voyons aujourd’hui apparaître le concept dans tous les secteurs, que ce
soit des entreprises privées ou publiques.
Un système d’information peut être apparenté au véhicule qui
permettra d’établir la communication dans toute l’entreprise. La Structure du
système est constituée de l’ensemble des ressources (hommes, matériels,
logiciels) qui s’organise pour : collecter, stocker, traiter et communiquer les
informations. Le système d’information est le grand coordinateur des
activités de l’entreprise et qui joue un rôle crucial dans l’atteinte des
objectifs fixés par cette dernière.
Le SI se construit tout autour des processus « métier » et ses interactions.
Pas seulement autour des bases de données ou des logiciels informatiques
qui le constitue. Le SI doit être en accord avec la stratégie de l’entreprise.
[3]
I.3. La Sécurité de l’Information
La sécurité de l’information renvoie à plusieurs concepts, la politique
de sécurité en représente une des notions les plus importantes, nous donnons
une brève introduction à la sécurité de l’information en renvoyant le lecteur
au chapitre 3 : « Audit de la sécurité des SI » pour les Enjeux de la sécurité
des SI.
I.3.1. La sécurité de l'information
Pour des soucis d'efficacité et de rentabilité, une entreprise
communique aujourd'hui avec ses filiales, ses partenaires et va jusqu'à offrir
des services aux particuliers, ce qui induit une ouverture massive à
l'information. [NA ISO/CEI 27002:2008]
Par l'ouverture des réseaux, la sécurité devient un facteur décisif du
bon fonctionnement de l’entité. Il reste que toute entité possède certaines
informations qui ne doivent être divulguées qu'à un certain nombre de
personnes ou qui ne doivent pas être modifiées ou encore qui doivent être
disponibles de manière transparente à l'utilisateur. Ces informations peuvent
faire l'objet d'une attaque par ce que les menaces existent et que le système
abritant ces informations est vulnérable. [4]
I.3.2. Pourquoi se protéger ?
Une action sur l’information, peut engendrer un certain nombre de
conséquences, nous pouvons en citer quelques-unes : On estime que la perte
des informations, provoque :
Une perte financière (exemple : destruction de fichiers client,

récupération de contrats par un concurrent,...) ;
Perte d'image de marque (exemple: piratage d'une banque,
divulgation d'un numéro de téléphone sur liste rouge,...) ;
Perte d'efficacité ou de production (exemple: rendre un serveur
de fichiers indisponible sur lequel travaillent les employés. [4]
I.3.3. Qu’est-ce qu’une « politique de sécurité de l’information » ?
Une politique de sécurité selon l’ISO/CEI 17799:2005 est définie comme
suit : « Intentions et dispositions générales formellement exprimées par la
direction ».
Une politique de sécurité de l'information est un ensemble de documents
indiquant les directives, procédures, lignes directrices, règles
organisationnelles et techniques à suivre en matière de sécurité de
l'informationet à sa gestion. C’est une prise de position et un engagement
clair et ferme de protéger l’ensemble des critères de sécurité précédemment
défini.
La politique de sécurité des informations vous permet de définir,
mettre en œuvre, maintenir et améliorer la sécurité des informations au sein
de votre entreprise. Elle vous permet aussi de protéger les infrastructures et
actifs critiques de votre entreprise. [5]
I.4. Audit sécurité des systèmes d’information
I.4.1. Audit
En informatique, le terme « Audit (une écoute) » est apparu dans les
années 70 et a été utilisé de manière relativement aléatoire. Nous
considérons alors un" audit de sécurité de l'information "comme une mission
d'évaluation de la conformité par rapport à une politique de sécurité ou, à
défaut, par rapport à une politique de sécurité ou à défaut par rapport à
plusieurs ensembles des règles de la sécurité.
Une mission d'audit ne peut donc être effectuée que si l'on a défini
auparavant un référentiel, c'est-à-dire en l'occurrence, un ensemble de règles
organisationnelles, procédurales ou/et techniques de référence. Ce référentiel
permet au cours de l'audit d'évaluer le niveau de sécurité réel du " terrain "
par rapport à une cible. [6]
Pour évaluer le niveau de conformité, ce référentiel doit être :
Complet : Mesurer l'ensemble des caractéristiques : il doit

couvrir de manière exhaustives tous les points techniques et
organisationnels ; niveau système, réseau, télécoms, applicatif,
procédural, politique, méthodes ;
Homogène: chaque caractéristique mesurée doit avoir un
poids cohérent avec l'ensemble;
Pragmatique: c'est-à-dire facile à quantifier (qualifier) et à
contrôler. Ce dernier point est souvent négligé.
I.4.2. Objectifs de l’audit
Une mission d’audit vise différents objectifs. En effet nous pouvons
énumérer à ce titre :
La détermination des déviations par rapport aux bonnes

pratiques de sécurité ;
La proposition d’actions visant l'amélioration du niveau de
sécurité du système d’information ;
L’évaluation de la conformité par rapport à une politique de
sécurité ou par rapport à un ensemble de règles de sécurité. [1]
I.4.3. Cycle de vie d’un audit sécurité des systèmes d’information

Le processus d'audit de sécurité est un processus répétitif et continu.
Il décrit un cycle de vie représenté schématiquement à l'aide de la figure
suivante:
Figure II.4. Le cycle de vie d’audit de sécurité
L'audit de sécurité informatique est essentiellement présenté en deux

parties comme le montre le schéma précédent:
L’audit organisationnel et physique.

L’audit technique.
Une troisième partie optionnelle peut être également considérée comme

faisant partie du schéma, Il s’agit de l’audit Intrusif (test d’intrusions). Enfin,
un rapport d'audit est établi au l'issue de ces étapes.
Ce rapport présente une synthèse de l’audit. Il présente également les
recommandations à mettre en place pour corriger les défaillances
organisationnelles ou techniques constatées. [1]
I.5. Démarche de réalisation d'un audit Sécurité de

Système d’Information
Dans la section précédente on a évoqué les principales étapes de
l’audit de sécurité des systèmes d’information. Cependant il existe une phase
tout aussi importante qui est une phase de préparation.
Nous pouvons schématiser l’ensemble du processus d’audit comme suite
:
Figure II.5. Schéma du processus d’audit

I.5.1. Définition de la charte d'audit
Avant de procéder à une mission audit, une charte d'audit doit être
réalisée, elle a pour objet de définir la fonction de l'audit, les limites et
modalités de son interventions, ses responsabilités et les principes régissant
les relations entre les auditeurs et les audités. Il détermine également les
qualités professionnelles et morales requises des auditeurs..
I.5.2. Préparation de l’audit
Cette phase est également appelée phase de pré-audit. Il constitue une
phase importante pour la réalisation de l'audit sur le terrain. En effet, c'est au
cours de cette phase que sont tracées les grandes lignes qui devront être
suivies lors de l'audit de terrain. Il se manifeste lors de réunions entre les
auditeurs et les responsables de l'organisation à auditer. Au cours de ces
entretiens, les responsables devront exprimer leurs espérances vis-à-vis de
l’audit.
L'étendue de l'audit et les sites à auditer doivent être fixes, ainsi qu'un
calendrier de réalisation de la mission d'audit.
Les personnes qui seront invitées à répondre au questionnaire
concernant l'audit organisationnel doivent également être identifiées.
L’auditeur (ou les auditeurs) pourrait (pourraient) également solliciter les
résultats de précédents audits.
Une fois que les deux parties (auditeur-audité) ont" harmonisé leurs
accordéons ", l'audit sur site peut être lancé. Il débute par l’audit
organisationnel et physique.
I.5.3. Audit organisationnel et physique
a. Objectifs
A ce stade, il s'agit de s'intéresser à l'aspect physique et
organisationnel de l'organisme cible, à auditer. L'objectif de cette étape est
donc d'avoir une vision globale de l'état de sécurité du système d'information
et d'identifier les risques organisationnels potentiels. [1]
b. Déroulement
Pour mener à bien cette étape de l'audit, cette section doit suivre une
approche méthodologique qui s'appuie sur" une batterie de questions "Voir le
questionnaire en annexe. Ce questionnaire préétabli doit prendre en compte
et s'adapter aux réalités de l'organisation à auditer. A la fin de ce
questionnaire, et selon une métrique, l'auditeur est en mesure de évaluer les
failles et d'évaluer le niveau de maturité en termes de sécurité de
l'organisation également que la conformité de cette organisation à la norme
d'audit.
Dans notre contexte, suivant les recommandations de l'IANOR
(Institut Français de Normalisation IANOR), cet audit prendra comme
référence une norme ISO. Il s’agit de toutes les clauses (ou chapitres ou
domaines) de la version 2008 de la norme NA ISO/IEC 27002.
Le questionnaire proposé se compose d’une centaine de questions.
Chaque question se voit attribuer un coefficient de pondération relatif à
l'efficacité de la règle de référence sur laquelle porte la question, en termes
de réduction des risques.
Après la validation du Questionnaire (QSSI), les réponses choisies
seront introduites dans l’outil Excel qu’on a développé au niveau de chapitre
IV.6.1.
Le traitement consiste au calcul d’une moyenne pondérée par les
notes obtenues en fonction des réponses choisies et du coefficient
d’efficacité, on obtient un résultat chiffré (de 0 à 5 ou exprimé en
pourcentage) représentant niveau de sécurité du système d’information
audité.
L'approche s’inspire de l'ISO 21827. Cette norme définit les niveaux
de maturité, dits" cumulatifs ", de la gestion des SSI. Tout le monde
représente la façon dont une organisation exécute, surveille, maintient et suit
un processus. L'atteinte d'un niveau suppose d'avoir déjà atteint le précédent.
Figure I.6. Schéma des différents niveaux de maturité
• Niveau 0 : '<< Pratique inexistante ou qui n'est pas complète :

pratiques des bases éventuellement mises en œuvre et le besoin n'est
pas reconnu.>>
• Niveau 1 : << Pratique informelle : pratique des bases mises en œuvre

de manière informelle et réactive de ceux qui estiment en avoir
besoin.>>
• Niveau 2; << Pratique répétable et suivie : pratiques de base mises en

œuvre de façon planifiée, avec un support relatif de l'organisme.>>
• Niveau 3: << Processus défini : mise en œuvre d'un processus décrit,

adapté à l'organisme,généralisé et bien compris par le management
et par les exécutants.>>
• Niveau 4: << Processus contrôlé : le processus est coordonné et

contrôlé à l'aide d'indicateurs permettant de corriger les défauts
constatés.>>
• Niveau 5: << Processus continuellement optimisé : l'amélioration des

processus est dynamique, institutionnalisée et tient compte de
l'évolution du contexte.>>
Une fois cette phase terminée, il est question de passer à la prochaine

étape de l'audit; cela inclut l'audit technique.
I.5.4. Audit technique
a. Objectifs
Cette étape de l'audit sur le terrain vient en deuxième position après
celle du l'audit organisationnel. L'audit technique est réalisé selon une
approche méthodique allant de la découverte et la reconnaissance du réseau
audité à l'enquête sur les services réseaux actifs et vulnérables.
Au cours de cette phase, l’auditeur pourra également apprécier
l’écart avec les réponses obtenues lors des entretiens. Il sera à même de
tester la robustesse de la sécurité du système d’information et sa capacité à
préserver les aspects de confidentialité, d’intégrité, de disponibilité et
d’autorisation.
Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent
pas en cause la continuité de service du système audité.
b. Déroulement
Les objectifs attendus à ce stade, leurs résultats ne sont possibles que
par l'utilisation de différents outils. Chaque outil commercial qui devra être
utilisé, doit bénéficier d’une licence d’utilisation en bonne et du forme.
Les outils disponibles dans le monde du logiciel libre sont également
acceptés.
L’ensemble des outils utilisés doit couvrir entièrement/partiellement la
liste non exhaustive des catégories ci-après :
Outils d'enquête et de reconnaissance du réseau;

Outils pour tester automatiquement les vulnérabilités du réseau;
Outils spécialisés pour l'audit des équipements réseaux
(routeurs, commutateurs);
Outils spécialisés pour l'audit des systèmes d'exploitation;
Outils d’analyse et d’interception de flux réseaux ;
Outils de test de la solidité des objets d’authentification
(fichiers de mots clés) ;
Outils de test de la solidité des outils de sécurité réseau
(firewalls, IDS, outils d’authentification).
Chacun des outils à utiliser devra faire l’objet d’une présentation de

leurs caractéristiques et fonctionnalités aux responsables de l’organisme
audité pour les assurer de l’utilisation de ces outils.
I.5.5. Audit intrusif
a. Objectifs
Cet audit permet d'évaluer le comportement du réseau face aux
attaques. Il sensibilise également les parties prenantes (direction, équipe
informatique sur site, utilisateurs) par des rapports illustrant les défauts
détectés, les tests effectués ainsi que les recommandations pour remédier aux
lacunes identifiées.Il reste facultatif, réalisé ou non suivant les résultats de la
première étape « Définition de la charte de l’audit ».
b. Déroulement
La phase de développement de cet audit doit être réalisée par une
équipe de personnes ignorantes du système audité avec une définition précise
des limites et des calendriers des tests. Compte tenu de l'aspect risqué (pour
la continuité des services du système d'information) de ce type d'audit
L’auditeur doit :
Bénéficier de grandes compétences ;

Adhérer á une charte déontologique ;
S’engager (par écrit) à un non débordement: implication à ne
pas provoquer de perturbation du fonctionnement du système, ni de
provocation de dommages.
I.5.6. Rapport d’audit

A la fin des précédentes phases d’audit, l’auditeur est invité à rédiger un
rapport de synthèse sur sa mission d’audit.
Cette synthèse doit être révélatrice des défaillances enregistrées.
Autant est-il important de déceler un mal, autant il est également important
d’y proposer des solutions (recommandations), détaillées, pour pallier aux
défauts qu’il aurait constatés.
Ces recommandations doivent tenir compte de l’audit organisationnel et
physique, ainsi que de celui technique et intrusif.
I.6. Conclusion
Les principaux concepts de la sécurité jumelés à la démarche d’audit
définis dans ce chapitre, nous permettent de dresser un état de l’art, aussi
comme précédemment explicité, un audit se fait sur la base d’un référentiel,
plus précisément dans notre étude à un référentiel sécurité.
Le chapitre suivant se propose d’introduire les différentes méthodes,
normes et principes que l’on retrouve dans la littérature d’une part et sur
lesquelles notre travail s’est appuyé d’autre part.
Chapitre II :
Méthodes et normes d’audit de sécurité
des SI
II.1. Introduction
Les concepts, les méthodes de sécurité ainsi que les normes de
sécurité sont autant de référentiels auxquels nous faisons appel lors des
différents audits. Nous allons tenter de les définir dans ce qui suit.
II.2. ISO (Organisation Internationale de Normalisation)
L'ISO est un réseau d'instituts nationaux de normalisation des 162
pays, selon le principe de membre par pays, dont le Secrétariat, situé à
Genève (Suisse), qui assure la coordination d'ensemble. L'ISO est une
organisation non gouvernementale qui fait du pont entre le secteur public et
privé. Beaucoup de ses instituts membres font en effet partie de la structure
gouvernementale de leur pays ou sont mandatés par leur gouvernement,
d'autres organisations membres viennent exclusivement du secteur privé et
ont été établis par des partenariats d'associations industrielles au niveau
national. L'ISO permet ainsi d'établir un consensus sur des solutions
répondant aux exigences du monde économique et aux besoins plus généraux
de la société. [7]
II.3. Gouvernance de l’information

Le terme" Gouvernance "fait référence à une capacité d'une
organisation à pouvoir contrôler et réguler ses propres opérations afin
d'éviter des conflits d'intérêts liés à la séparation entre les ayants-droits
(actionnaires, direction, conseil d’administration) et les acteurs (employés,
les fournisseurs, les clients, les banques, l’environnement…). Il s’agit de
privilégier le partenariat entre les différents acteurs. La gouvernance d'une
entreprise est l'ensemble des processus, réglementations, lois et institutions
influant la manière dont l'entreprise est dirigée, administrée et contrôlée. [8]
II.4. Système de Management de la Sécurité de
l’Information (SMSI)
Un SMSI ou système de gestion de sécurité de l'information est
l'ensemble des dispositions organisationnelles, physiques et techniques qui
permettent à une entreprise de s'assurer que les problèmes de Sécurité soient
gérées. C'est à dire que les risques sécuritaires sont identifiés, évalués,
réduits et que des contre-mesures sont mises en œuvre pour en limiter
l'impact sur les opérations, donc sur le business.
II.5. Les normes
Une Norme est selon les guides ISO/CEI," un document de référence
approuvé par un organisme reconnu, et qui fournit aux utilisateurs, règles,
lignes communes et directrices ou les caractéristiques, pour les activités, ou
leurs résultats, garantissant un niveau d'ordre optimal dans un contexte
donné".
Les entreprises sont certifiées pour prouver qu'elles suivent les
recommandations de la norme. Une entreprise peut se faire certifier pour trois
raisons :
Pour une raison commerciale. Pour certaines entreprises, être

certifiées ISO 9001 peut garantir une qualité de service pour ses
clients et est donc peut être atout commercial ;
Par obligation. En industrie aéronautique par exemple, le
constructeur exigent de leurs sous-traitants qu’ils soient certifiés
par certaine norme;
Par développement. Des entreprises se certifient pour
optimiser leur processus en interne.
II.6. Les méthodes

Ensemble de principes, de règles, d'étapes logiquement ordonnés, qui
est un moyen d'atteindre un résultat.
Exemple de la méthode MEHARI, que nous verrons plus loin. Cette base
de connaissances permet de mettre en évidence toutes les vulnérabilités du
système d'information et émet des recommandations pour y remédier. La
plupart des méthodes sont appliquées par des experts en gestion des risques
(EBIOS, MEHARI, OCTAVE…).
II.7. Le référentiel COBIT
II.7.1. Définition
COBIT (Common Objectives for Business Information Technology)
se positionne comme un référentiel à la fois d’audit et de gouvernance, aligné
sur les métiers et la stratégie de l’entreprise (la gouvernance regroupant quant
à elle l’ensemble des processus et des procédures organisationnelles de
pilotage des technologies d’information). [9]
COBIT participe à la gouvernance des SI en garantissant :
L’alignement du SI sur le métier de l’entreprise ;

La maximisation des avantages issus du recours aux
technologies d’information ;
L’optimisation des dépenses informatiques ;
La maîtrise et l’évaluation des risques et des bénéfices ;
La fourniture de métriques de référence.
II.7.2. Démarche
COBIT s'appuie sur un cadre de 34 processus organisés autour

de quatre axes principaux correspondant au cycle de vie
informatique, donnant ainsi une vision complète de l'activité
informatique:
Planifier et Organiser: Il recouvre la stratégie et vise à
identifier la meilleure manière pour les TI de contribuer à l’atteinte
des objectifs métiers de l’entreprise ;
Acquérir et Implémenter: Le succès de la stratégie
informatique nécessite d’identifier, de développer ou d’acquérir
des solutions informatiques, de les mettre en œuvre et de les
intégrer au processus métier ;
Délivrer et Supporter: Ce domaine s’intéresse à la livraison
effective des services demandés. ;
Surveiller et Évaluer: Tous les processus informatiques
doivent être régulièrement évalués pour vérifier leur qualité et leur
conformité par rapport aux spécifications de contrôle.
Figure II.1. Démarche COBIT
Les modèles de maturité de COBIT permettent à l’entreprise de :
Réaliser des benchmarks intra ou inter-entreprises ;

Définir et évaluer ses propres standards de gouvernance des SI
;
Mettre en évidence les défauts de capacité et en faire la
démonstration au management.
Le modèle COBIT est transposable quelque soient les secteurs d’activité,

les spécificités culturelles et l’état d’avancement au plan technologique de
l’environnement cible. [5]
II.7.3. Avantages de la méthode
Meilleur alignement de l'informatique sur l'activité commerciale

grâce à son orientation commerciale,
Une vision compréhensible par la gestion de ce que fait
l'informatique,
Une répartition claire de la propriété et des responsabilités, grâce à

l'approche processus.
II.7.4. Inconvénients de la méthode
CobiT ne offre pas de modèle de maturité à nombreux niveaux
pour l'approximation de la gestion des systèmes d'information;
Aucune structuration de la mise en œuvre du processus n'est
proposée.
II.8. Historique des normes en matière de sécurité de

l’information
Au cours des 20 dernières années, les normes de sécurité de
l'information ont évolué ou ont été remplacées. Ces transformations rendent
difficile une bonne compréhension du sujet. Un avertissement historique de le
bouleversement de ces normes permet de clarifier la situation normative en
matière de sécurité de l’information.
Au début des années 90, de grandes entreprises britanniques ont uni
leurs forces pour mettre en place des mesures pour sécuriser leur commerce
en ligne. Le résultat de cette collaboration servit de référence en la matière
pour d’autres entreprises qui souhaitaient mettre en œuvre ces mesures. Cette
initiative privée a été soutenue par le ministère britannique des transports et
de l'industrie qui a supervisé la rédaction au format BSI d'une première
version du projet de norme de gestion de la sécurité de l’information.
En 1991, un projet de code de bonnes pratiques" bonnes pratiques ",
prône la formalisation d'une politique de sécurité de l'information. Cette
politique de sécurité doit comprendre au moins huit points" stratégiques et
opérationnels "ainsi qu'une mise à jour régulière de la politique.
En 1995, le BSI a publié la norme BS7799 qui comprend dix
chapitres regroupant plus de 100 mesures détaillées de sécurité de
l'information, potentiellement applicables selon l'organisation concernée.
En 1998, la norme BS7799 a changé de numérotation et est devenue la
norme BS7799-1. Il est complété par la norme BS7799-2 ,qui précise des
exigences auxquelles une organisation doit répondre pour mise en place une
politique de la sécurité de l'information. Cette nouvelle norme est basée sur
une approche de la gestion des risques et sur le principe de la gestion de la
sécurité de l'information.
En 2000, BS7799-1 est devenu la norme internationale pour les
organisations souhaitant améliorer leur sécurité de l'information. Après avoir
suivi un processus consultatif international, l'ISO lui donne un nouveau nom,
ISO / IEC 17799: 2000.
En 2002, le BSI a développé la norme BS7799-2, en s'inspirant des
normes ISO 9001: 2000 et ISO 14001: 1996. La norme adopte définitivement
une approche de gestion de la sécurité de l'information.
En 2005, l'ISO / CEI a adopté la norme BS7799-2 sous la référence
ISO CEI 27001: 2005, apportant quelques modifications pour se
rapprocher le plus possible du principe du" système de gestion développé
par les normes ISO 9001 et ISO14001. ISO IEC 27001: 2005 spécifie les
exigences pour la mise en place d'un système de gestion de la sécurité de
l'information (SMSI).
En 2007, dans un souci de clarification, l’ISO renomme la norme
ISO/CEI 17799 :2005 en changeant sa numérotation pour ISO/IEC 27002. La
norme s'ajoute à la famille des normes ISO / IEC 2700x encore en
développement.
Aujourd’hui les organismes arrangent de deux normes qui se sont
exigées comme référence des SMSI, l’ISO/CEI 27001 :2005 qui décrit les
revendications pour la mise en place d'un Système de Management de la
Sécurité de l’Information et l’ISO/CEI 27002 qui rassemble un ensemble de
bonnes pratiques «best practices» pour la administration de la sécurité de
l'information.
Le tableau ci-après reprend cet historique. [1]
Traite des Remplace la

Année Norme
SMSI norme
****1995 **BS 7799:1995 ****Non
**BS 7799-
****1998 ****Oui
2:1998
**ISO
****2000 ****Non **BS 7799 :1995
17799:2000
**BS 7799- **BS 7799-2
****2002 ****Oui
2:2002 :1998
**ISO **ISO 17799
****2005 ****Non
17799:2005 :2000
**ISO **BS 7799-2
****2005 ****Oui
27001:2005 :2002
****2007 **ISO 27002 ****Non **ISO 17799
:2005
Tableau III.1. Historique des normes en matière de sécurité de
l’information
II.9. La suite des normes ISO 2700X:
ISO/IEC 27000 : Systèmes de management de la sécurité de
l'information – Vue d'ensemble et vocabulaire (SMSI ou ISO27k) comprend
les normes du sécurité de l'information publiées conjointement par une
Organisation internationale (ISO) et la Commission électrotechnique
internationale (CEI, ou IEC en anglais),Qui contient des recommandations sur
les meilleures pratiques en matière de gestion de la sécurité des informations
pour
Tableau III.2. La suite des normes ISO

II.9.1. ISO/CEI 27001 :
L'ISO/CEI 27001 est la norme centrale de la famille ISO 2700x, c'est
la norme d'exigences qui définit les conditions pour mettre en œuvre et
documenter un SMSI, publiée en octobre 2005 par l'ISO.
Objectifs
La norme ISO 27001 diffusée en octobre 2005 substitue à la BS 7799-
2 de la BSI [ British Standards Institution]. Il s'adresse à tous les types
d'organisations [sociétés commerciales, administrations, etc.]. La norme ISO /
IEC 27001 décrit les exigences pour la mise en place d'un système de gestion
de la sécurité de l'Information. Le SMSI est destiné à choisir les mesures de
sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un
périmètre défini. C'est le modèle de qualité PDCA [Plan-Do-Check-Act] qui
est recommandé pour établir un SMSI afin d'assurer une amélioration continue
de la sécurité du système d'information.
La norme dicte également les exigences en matières de mesures de
sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la
même d’un organisme à l’autre. Les mesures doivent être adéquates et
proportionnées à l'organisation afin de ne pas être trop laxistes ou trop
sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un
SMSI et d’outils de mesures de sécurité aient pour but de garantir la
protection des actifs informationnels. L’objectif est de protéger les
informations de toute perte ou intrusion. Cela apportera la confiance des
parties prenantes.
II.9.2. ISO/CEI 27002 :
ISO - IEC 27002 c'est une norme internationale pour sécurité de
l'information, publiée en 2005 par l'ISO, est Code de bonnes pratiques pour le
management de la sécurité de l’information.
L'ISO -CEI 27002 c'est un ensemble de 133 mesures dites" meilleures
pratiques ", destinées à être utilisées par tous les responsables de la mise en
œuvre en place ou maintenance d'un système de gestion de la sécurité de
l'Information.
La sécurité de l’information est déterminée [ conserve de la
confidentialité, de l'intégrité et de la disponibilité de l'information ].
Objectifs
ISO-IEC 27002 est plus un code de pratique qu'une véridique norme
ou détermination absolue telle que ISO / IEC 27001 Il présente une série de
examines (39 objectifs de contrôle) qui suggèrent de prendre en compte des
risques de sécurité d' informations relatives à la confidentialité, l'intégrité et
les aspects de disponibilité.
Les entreprises qui adoptent l'ISO-CEI 27002 doivent progressé leurs
propres risques de sécurité de l'information et appliquer les contrôles
appropriés, en utilisant la norme pour orienter l’entreprise.
NB : La norme ISO/CEI 27002 n'est pas une norme au sens habituel du
terme. En effet, il ne s'agit pas d'une norme technique, technologique ou
orientée produit, ni d'une méthodologie d'évaluation d'équipement telle que
les critères communs CC/ISO 15408.
II.9.3. ISO/CEI 27003 :
La norme ISO / IEC 27003 fournit une approche orientée processus pour
la mise en œuvre réussie d'un SMSI conformément à ISO 27001.
Objectifs
Le but de l'ISO / CEI 27003 est de fournir aide et les conseils à mettre
en œuvre un Système de Management de la Sécurité de l'Information.
II.9.4. ISO/CEI 27004 :
L'ISO / CEI 27004 couvre les mesures de gestion de la sécurité de
l'information, communément appelées mesures de sécurité. Préparée par
l’ISO et la Rémunération électrotechnique internationale (CEI). Son nom
complet est la technologie de l'information - Techniques de sécurité -
Management de la sécurité de l'information -- Mesurage.
Objectifs
Le but de la norme ISO / IEC 27004 est d'aider les organisations à
mesurer, rapporter et donc d'améliorer systématiquement l'efficacité de leurs
systèmes de gestion de sécurité de l'information (SGSI).
II.9.5. ISO/CEI 27005 :
Le premier standard de gestion des risques de sécurité des systèmes
d'information: l'ISO/CEI 27005. Cette norme est une norme internationale qui
décrit le système de Gestion des risques de sécurité de l'information. Certains
expliquent que cette norme est en fait une méthode quasi-applicable en
utilisant les annexes et en les adaptant à leur contexte. En à dans l'enquête
2010 du CLUSIF, 35% des entreprises qui font analyses de risques déclarent
le faire en utilisant la norme ISO 27005.
Objectifs
ISO 27005 explique en détail comment procéder à l'évaluation et au
traitement des risques dans le contexte de la sécurité de l'information. ISO
27005 fournit une méthodologie pour gérer le risque d'information dans le
l'entreprise conforme à la norme ISO/CEI 27001.
II.9.6. ISO/CEI 27006 :
ISO/CEI 27006 est un standard de sécurité de l'information publié
conjointement par l'ISO et la CEI, afin de fixer les exigences pour les
organismes réalisant l'audit et la certification de SMSI.
Objectifs
Son objectif est de fournir les conditions préalables aux organismes
d'audit et de certification ISO 27001 pour les systèmes de gestion de la
sécurité de l'Information. Cette norme a été mise à jour en 2011 et porte la
référence ISO / IEC 27006
II.9.7. ISO/CEI 27007 :
Cette norme cède des directives pour les audits des systèmes de
gestion de la sécurité de l'information, ainsi que des avis sur la compétence
des auditeurs du SMSI. Il comprend également les lignes directrices
contenues dans l'ISO 19011.
II.10. La norme ISO/CEI 27002
Cette norme reprend un guide de bonnes pratiques pour être certifier
ISO/CEI 27001, elle Présente 11 thèmes, avec 133 mesures nous nous
sommes basé sur ce référentiel pour la suite du travail :
Doter l’organisation d’une Politique de

Sécurité des Systèmes d’Information publiée,
livraison à jour habituellement et soutenue par
Politique de
la Direction Générale, afin de porter à la
sécurité :
sécurité de l'information une position
conforme aux revendications métier et
règlements en vigueur
Gérer, suivre et garantir la sécurité de

Organisation l'information au sein de l’organisation de
de la sécurité de manière transversale.
l’information : Définir les responsabilités et les rôles des
différents acteurs de la sécurité.
Gestion des
actifs : Identifier, inventorier et classifier tous les
biens nécessaires à la gestion des
informations. Pour chacune d’entre elles, un
responsable doit être identifié. Celui-ci est
chargé de faire appliquer la politique de
sécurité pour ses biens.
Garantir que les utilisateurs connaissent

les responsabilités en termes de sécurité.
Gestion des Réduire les risques d’accident, d’erreur
ressources et/ou de malveillance en intégrant les
humaines : principes de sécurité dans la gestion des
ressources humaines, du recrutement à la fin
de collaboration
Assurer la protection et la disponibilité

Sécurité des équipements sensibles.
physique ou Veiller que seules les personnes habilitées
environnementale aient accès aux bâtiments, aux locaux
: techniques et locaux d’archives de
l’organisation et que les accès soient tracés
Garantir l’exploitation bien et sécurisée

Gestion de la
des moyens de traitement de l’information
communication et
Assurer l’intégrité, la disponibilité et la
de l’exploitation : confidentialité de l’information
Contrôles
d’accès : Garantir un contrôle efficace d’accès aux
informations.
Suivre et maîtriser les accès aux SI.
Assurer la conformité entre les
habilitations et l’existant.
Acquisition, Garantir la gestion de la sécurité tout au
développement et long du cycle de vie des Systèmes
maintenance des d’Information.
systèmes Réduire les risques liés à l'exploitation
d’information : des vulnérabilités techniques et applicatives.
Garantir la mise en place d’une politique

Gestion des cohérente et efficace pour la gestion des
incidents liés à la sécurité de l’information.
incidents de
Garantir la remontée des évènements et
sécurité de
failles de sécurité.
l’information : Identifier des indicateurs et établir un
reporting sur les incidents de sécurité.
Suite à un incident mineur (panne d’un

équipement), assurer le secours informatique
en fonction des besoins des métiers.
Gestion de la
Suite à un incident majeur impactant
continuité
l’ensemble d’une salle machines, assurer une
d’affaires : continuité d’activité informatique des biens
sensibles dans les meilleurs délais et en
fonction des besoins des métiers
Eviter toute violation de la propriété

intellectuelle, des dispositions légales,
Conformité :
réglementaires et contractuelles et des
exigences de sécurité de l’organisation.
Tableau II.3. NA ISO/CEI 27002 les 11 chapitres

II.11. Méthodes d’appréciation des risques
En 2004, une étude du CLUSIF (Club français de la sécurité de
l'information) a identifié plus de deux cents méthodes d'évaluation des
risques. Nous allons parler des méthodes, EBIOS et MEHARI.
II.11.1. La Méthode EBIOS
Développée dans les années 90 sous l'autorité de l'agence française
ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), cette
méthode est" Expression des Besoins et Identification des Objectifs de
Sécurité ". Il vous permet d'évaluer, de gérer et de communiquer sur les
risques au sein d'un SMSI.
EBIOS se compose de cinq modules illustrés dans la figure ci-dessous
Figure II.3. Les cinq modules de la méthode EBIOS

Module 1 : il concerne l’étude du contexte. Il s'agit de détailler
l'organisation, les missions, les contraintes et les métiers pour rendre
applicable et cohérent le choix des objectifs de sécurité. Le point suivant
consiste à identifier les fonctions considérées comme sensibles, la perte, le
dysfonctionnement ou la divulgation d'informations susceptibles d'affecter le
bon fonctionnement de l'organisation.
Enfin, nous listons sous forme de matrice les entités techniques propres au
SMSI (matériel, logiciels, réseaux) ainsi que les entités organisationnelles
(groupes de collaborateurs) pour établir les liens entre les éléments essentiels
et les entités.
Module 2 : il dévisage l’étude des événements appréhendés. Cette étape
permet de déterminer les nécessités de sécurité des éléments nécessaires
précédemment identifiés. On chiffre les besoins sur une échelle de 0 à 4 à
l’aide d’un enquête que l’on adresse aux adjoints de l’organisme. Les
obligations sont triés sur des critères de sécurité tels que la disponibilité,
l’intégrité, la confidentialité et la non répudiation ainsi que sur des critères
d’impacts (interruption de services, Dommages matériels).
Module 3 : consiste à étudier les scénarios de menaces. Estimer, évaluer
les menaces (incendie, perte d’alimentation électrique, divulgation
d’information etc.) et identifier les objectifs de sécurité qu'il faut atteindre
pour les traiter. EBIOS fournit une liste des menaces associées aux éléments
essentiels définis dans le module 1. Ensuite, nous attribuons à chaque élément
un niveau de vulnérabilité sur une échelle de 0 à 4.
Module 4: il vise à étudier les risques. Cette étape permet de dresser une
cartographie des risques. Elle explique aussi comment traiter le risque.
Estimer, évaluer les risques puis identifier les objectifs de sécurité à atteindre
pour les traiter.
Module 5 : il concerne l’étude des mesures de sécurité. Cette finale étape
explique comment appliquer les comptes de sécurité à mettre en œuvre,
comment organiser la mise en œuvre de ces mesures et comment valider le
traitement des risques restants.
En conclusion, la méthode EBIOS par son caractère exhaustif, permet de
formaliser l'ensemble du SMSI et de son environnement. Cette façon participe
à énoncer une politique de sécurité du système d’information. C’est une des
façons pour mettre en œuvre le cadre déterminé par l'ISO/CEI 27005. Elle
concorde aux revendications de l’ISO/CEI 27001 et peut exploiter les
mesures de sécurité de l'ISO/CEI 27002. [1]
II.11.2. La méthode MEHARI

La méthode MEHARI (Méthode Harmonisée d'Analyse des Risques) a
été développée dans les années 1990 par le CLUSIF (Club Français de la
Sécurité de l'Information). A l'origine, cette méthode ne concernait que
l'analyse des risques. Il a évolué pour permettre la gestion de la sécurité de
l'organisation dans un environnement ouvert et géographiquement distribué.
MEHARI a été adoptée par des milliers d’organismes à travers le
monde et reste la méthode la plus utilisée en France, en particulier dans
l'industrie. L'utilisation et la distribution de ses logiciels sont gratuites. En
outre, certaines bases de connaissances sont disponibles et une étude illustre
la méthode pour faciliter son utilisation.
Contradictoirement à la méthode EBIOS, MEHARI sommeille sur des
schémas de risques qui admettent d’identifier les risques potentiels au sein de
l’organisme. Elle est déterminée comme une boîte à outils engendrée pour la
gestion de la sécurité. En activité des besoins, des choix d’orientation, de
politique de l'organisation ou simplement des circonstances, la méthode veille
à ce qu'une solution d’appréciation des risques appropriée puisse être
élaborée La méthode est présentée comme un ensemble que l'on appelle
modules, centrés sur l'évaluation des risques et leur gestion.
II.11.2.1. Principe de fonctionnement La méthode méhari prend avant
tout les informations de l'entreprise afin d'élaborer un plan afin de mieux
définir les points à protéger dans l'entreprise.
MEHARI permettra à l'entreprise de définir :
Un plan stratégique de sécurité

Un plan de sécurité opérationnel par site ou entité
Un plan opérationnel d'entreprise
Le traitement d'une famille de scénarios ou d'un scénario
particulier
Le traitement d'un risque spécifique (Accident, Erreur,
Malveillance)
Le traitement d'un critère de sécurité (Disponibilité, Intégrité,
Confidentialité)
MEHARI, conjugue la rigueur d'une analyse des risques liés formellement

au niveau de vulnérabilité du système d’information, à l'adaptabilité de la
gravité des risques étudiés. En conséquence, la existence ou le manque de
mesures de sécurité va réduire ou non, soit la possibilité de survenance d'un
alarmant, soit son impact. L'interaction de ces types de mesures contribue à
diminuer la Cette expression très simple signifie que le management
conviction du risque jusqu'au niveau choisi.
Figure II.4. Enjeux critiques + Vulnérabilités fortes = Risques
inacceptables
Cette formule très simple notifie que le management de la sécurité a pour

objectif fondamental d'éviter de se trouver dans une condition telle que des
vulnérabilités fortes sauraient être exploitées et conduire à des sinistres très
critiques pour l'entreprise ou l'organisation qui en est victime.
Les phases de MEHARI sont les suivantes :
**Etablissement d'un plan

Phase 1 : stratégique de sécurité (global) qui
fournit notamment :
*La définition des métriques
des risques et la fixation des
objectifs de sécurité.
*La
reconnaissance et la
détermination des
valeurs de
l'entreprise;
*L'établissement
d'une politique de
sécurité entreprise,
l'établissement d'une
charte de management.
**Etablissement de plans
Phase 2 : opérationnels de sécurité réalisés par
les différentes unités de l'entreprise
Phase 3 : **Consolidation des plans
opérationnels (Plan global).
*Nous allons détailler ces
différentes étapes dans la suite de notre
rapport, en étudier les modalités et
les moyens à mettre en œuvre.
Tableau II.4. Les phases de MEHARI
II.12. Démonstration comparatif des méthodes et normes

Comparatif des méthodes et normes
Objectifs
ISO/CEI 2700x : **L'ISO/CEI 2700X est une norme internationale de

système de gestion de la sécurité de l'information. Elle remplace et relègue
aux oubliettes l’ancienne norme ISO BS-17799.La norme couvre tous les
types d’organismes, soit les entreprises commerciales, les organismes publics
et les organismes à but non lucratif. Elle précise les revendications relatives à
l'établissement, à la mise en œuvre, au fonctionnement, à la surveillance et au
réexamen, à la mise à jour et à l'amélioration d'un Système de management de
la sécurité de l’information (SMSI).
EBIOS : **EBIOS (Expression des Nécessités et Identification des
Objectifs de Sécurité) est une procédé établie par la DCSSI (Direction
Centrale de la Sécurité des Systèmes d'Information) pour reconnaître les
besoins de sécurité d'un système d'information.
Elle s'organise en 4 étapes principales:
Etude du contexte ;
Expression des besoins ;
Etude des risques ;
Identification des objectifs de sécurité.

Cobit : **CobiT est le résultat des travaux collectifs réalisés par les
principaux
acteurs de la profession, auditeurs internes ou externes, fédérés au sein de
l’ISACA (Information System Audit and Control Association). le référentiel
de gouvernance des systèmes d'information COBIT couvre une bonne partie
des domaines de l'ISO 17799. COBIT étant à vocation plus large, il gère
l'information au travers un grand nombre de « critères » : Efficacité,
Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité.
Processus:
ISO/CEI 2700x
EBIOS
COBIT
Avantages:
ISO/CEI 2700x ;
Une description pratique et précisée de la mise en œuvre des

objectifs et comptes de sécurité.
Une apparition compensée entre les objets techniques,
managériaux, humains et procéduraux.
proposition un bon encadrement de gouvernance et de management
du système d’information.
La norme admet d'identifier plus rentablement les risques et les coûts

associés.
EBIOS :
Une méthode structurée identifiant les besoins réels de l’organisme

en matière de SSI,
Définit clairement (acteurs, rôles, interactions, vocabulaire)
Logiciel d’assistance à la mise en œuvre (Base de connaissance

intégrée).
COBIT:
un meilleur alignement de l’informatique sur l’activité de

l’entreprise du fait de son orientation métier,
une vision compréhensible par le management de ce que fait
l’informatique,
une attribution claire de la propriété et des responsabilités, du fait
de l’approche par processus,
un préconçu adéquat de la part des tiers et des organismes de

vérification.
Limites
ISO/CEI 2700x : Ne donne aucune méthodologie spécifique. Il dépend à

chaque organisation de préciser son approche, en activité du périmètre du
SMSI, du contexte de gestion du risque ou du secteur d’activité.
EBIOS :
Pas de recommandations sécuritaires

Pas de méthode d’audit/évaluation
Acceptation interne (oublis potentiels, risque d’estimation
incorrecte des risques)
Vocabulaire légèrement différent
COBIT
☐ CobiT ne offre pas de modèle de jugement étagé pour une estimation
de la direction des systèmes d’information.
☐ Aucun ordre de priorité de mise en oeuvre des processus n’est
proposé.
II.13. Synthèse
Pourquoi choisir cette norme ISO 2700x ?
Le déploiement d'ISO 27001 garantie une reconnaissance

internationale en termes d'utilisation de bonnes pratiques de
Sécurité ;
La norme a été adoptée par l’IANOR depuis 2008 ;
Destiné à tous les types d'organisations (sociétés
commerciales, ONG, administrations, etc.);
Les processus de gestion de la sécurité du SI sont formalisés et
optimisés ;
La norme fournit des indicateurs clairs et fiables ainsi que des
éléments de pilotage financier aux directions générales ;
La norme permet d'identifier plus efficacement les risques et
les coûts associés ;
ISO/IEC 27001 accepte aux entreprises et aux administrations
de soutirer une certification qui atteste de la mise en place
existante d’un système de management de la sécurité de
l’information (SMSI). Cette norme témoigne aux parties
attachantes (clients, actionnaires, associés, etc.) que la sécurité des
systèmes d’information a été sûrement prise en façon et que
l’entreprise s’est retenue dans une démarche de amélioration
constante.
II.14. Conclusion
Après avoir passé en revue les principales méthodes de management
de sécurité, et plus précisément la famille de norme ISO 2700x, nous
pouvons passer à la phase suivante de notre travail et aborder l’audit.
Chapitre III :
Audit de sécurité des SI
III.1. Introduction
Ce chapitre comprend l'audit que nous avons réalisé pour le compte de
l'entreprise IT-PRO, il comporte deux phases principales, l'audit organisationnel et
environnemental d'une part et l'audit technique d'autre part.
Pour la première phase, nous avons utilisé deux questionnaires, le premier
reprend l’aspect métier et le second se base sur la norme NA ISO/CEI 27002. La
deuxième phase consiste à utiliser des outils standards afin de réaliser un audit
technique dans le but, de collecter les informations nécessaires pour
éventuellement détecter les failles de sécurité.
III.2. Enjeux de la sécurité des SI :
L’objectif principal de cet audit est de connaitre les différentes anomalies,
failles et risques liés à la sécurité informatique au sein de l’organisme IT-PRO afin
de répondre aux enjeux suivants :
III.3. Déroulement
Après notre induction au sein de la IT-PRO en général,Notre premier
interlocuteur : Le responsable de l’exploitation ainsi que différents responsables
ont répondu à notre questionnaire, ils nous ont décrit les différents aspects métier
ainsi que les outils employés dans le traitement de l’information tels que, le
référentiel pétrole et référentiel gaz.
Nous avons développé un utilitaire (sous Excel) qui permet de récupérer
les résultats de l’audit et calcule la moyenne de chaque chapitre de la norme, pour
nous donner en résultat des notes d’évaluation.
Concernant l’audit technique, nous avons utilisé des outils de scan, dans le
but de détecter les failles et les vulnérabilités.
La dernière étape comporte à placer des rapports et des courbes, elle
reprend toutes étapes précédentes.
Figure III.1. Les phases de l’audit
III.4. Questionnaire métier
Après avoir terminé notre questionnaire, nous avons pu collecter les
renseignements ci-après indiqués.
• La connaissance des missions de IT-PRO ;
• Le niveau des systèmes de comptage par rapport aux normes et standards
internationaux ;
• L’enregistrement et la centralisation de tous les mouvements
d’hydrocarbures liquides et gazeux après élaboration des situations
périodiques ;
• La procédure de facturation des quantités des hydrocarbures transportées
(pétrole brut, condensat, GPL et gaz naturel) ;
• L’interface avec les activités Amont et Commercialisation et autres
partenaires concernés en matière de comptage, de comptabilité matière et
facturation.
III.5. Questionnaire d’audit organisationnel et

environnemental
Dans ce volet, nous avons pu recueillir les informations suivantes :
• La vérification au sein de IT-PRO, de l’existence, la documentation et
l’application des mesures et procédures par rapport à la norme ISO/CEI
27002 ;
• L’analyse du système d’information de l'organisation ;
• La connaissance des projets réalisés et ceux en cours de réalisation dans le
domaine de la Sécurité de l’information ;
• L’organisation de la DOSI et du Data Center.
A l’issu de ce questionnaire, et conformément à la norme, on a pu évaluer les
écarts et d’apprécier le niveau de maturité en termes de sécurité de l’information
au sein de IT-PRO.
III.6. Automatisation du traitement du questionnaire
Pour automatiser le traitement du questionnaire, nous avons développé un
outil sous Microsoft Excel, à chaque réponse d’une question liée à une mesure de
la norme NA ISO CEI 27002 on affecte une note selon un barème de 0 à 5.
Un ensemble de fonction permet le calcul d’une moyenne pour chaque
clause définie par la norme NA ISO/IEC 27002 :2008, cette dernière nous permet
de mesurer la conformité de l’organisme par rapport à chacune des clauses
définies.
Le schéma suivant représente l’interface d’utilisation ;
III.6.1. L’outil d’audit du SI

III.6.1.1. Objectif de l’outil
En utilisant l’outil Excel pour chacun des 11 domaines de sécurité d’ISO/CEI
27002, le management peut mettre en évidence :
L’état actuel de l'entreprise : où elle se situe aujourd’hui.

L’état actuel du marché: la comparaison.
l'ambition de l'entreprise : où elle veut se situer ;
La trajectoire de croissance requise entre les situations en cours et
les situations cibles.
L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités)
de tout ou partie du domaine visé.
Pour exploiter facilement ces résultats dans les réunions de direction où ils
seront présentés comme une aide à la décision pour des plans futurs, l’outil donne
des présentations graphiques, sous la forme d’une rosace, pour chacun des
domaines.
III.6.1.2 Mode d’opération
Le fichier Excel est sans aucune macro, et de simples calculs dans des
champs protégés. L'utilisateur entre uniquement des valeurs dans les champs
autorisés.
Le fichier Excel contient 12 onglets représentant les 11 domaines de
sécurité d’ISO/CEI 27002. Notez que les domaines portent les chiffres de 5 à 15 et
que les onglets suivent l’ordre des domaines. Le 1er onglet est une sorte de tableau
de bord regroupant les valeurs entrées dans chaque onglet.
III.6.1.3. Procédures
Étape 1 :
Une fois entré dans le fichier, vous êtes invité à entrer des valeurs dans « la
colonne C » en réponse au contrôle de chacun des domaines, en commençant à
l’onglet DOMAINE 5 (bas de page). Il fait de même pour chaque onglet suivant. Il
y a 11 onglets en tout, représentant chacun des domaines
L’utilisateur doit entrer une valeur de 0 à 5 en se basant sur un des éléments
de réponse ci-dessous. Il est à noter que ces valeurs proviennent du Capability
Maturity Model (CMM), en français un modèle de référence de maturité.
• Inexistant : Absence totale de processus identifiables. L’entreprise n’a

même pas pris conscience qu’il s’agissait d’un problème à étudier.
• Initial : On remarque que l’entreprise a pris conscience de l’occupation du

problème et de la exigence de l’étudier. Il ne subsiste toutefois aucun
processus standardisé, mais des étudies dans ce sens tendent à être
entreprises clairement ou cas par cas. L’approche global du management
n’est pas organisée.
• Reproductible :Des évolution se sont développés jusqu’au stade où des

personnes distinctes exécutant la même tâche utilisent des instructions
semblables. Il n’y a pas de formation arrangée ni de communication des
procédures standard et la responsabilité et laissée à l’individu. On se
repose beaucoup sur les connaissances distinctives, d’où un risque
d’erreurs.
• Défini : On a standardisé, documenté et communiqué des processus via des

séances de formation. Ces processus doivent nécessairement être suivis ;
toutefois, des écarts seront possiblement constatés. Relatif à les
procédures elles-mêmes, elles ne sont pas corrompues mais formalisent
des pratiques existantes.
• Géré : La direction contrôle et mesure la conformité aux procédures et agit

lorsque certains processus semblent ne pas fonctionner correctement. Les
processus sont en constante amélioration et correspondent à une bonne
pratique. L’automatisation et les outils sont utilisés d’une manière limitée
ou partielle.
• Optimal : Les processus ont achevé le niveau des bonnes pratiques, suite à
une amélioration constante et à la assemblage avec d’autres entreprises
(Modèles de Maturité). L’informatique est utilisée comme moyen adopté
de robotiser le flux des tâches, proposant des outils qui acceptent de
progresser la qualité et l’efficience et de rendre l’entreprise brusquement
adaptable.
Afin, d’aider l’utilisateur, il y a une définition détaillée pour chaque mesure

qui permettra d’avoir plus de détails afin de donner la meilleure réponse possible.
Les bonnes pratiques laissent croire qu’une valeur globale pour chacun des
11 domaines située entre 2 et 4 est acceptable Étape 2 :
Une fois tous les onglets complétés, sur l’onglet principal on trouve un Tableau
de bord « Domaine 1 Global » à jour.
Quelques définitions :
Figure III.4. Définition des colonnes de l’Excel
La colonne A : indique le nombre de contrôles applicables pour

chaque domaine visé en lien avec ISO/CEI 27002.
La colonne B : indique le nombre de contrôles qui ne s'appliquent
pas dans un domaine en particulier. (Représente la valeur vide Suppr ou
Del).
La colonne C : indique les titres pour les 11 domaines de sécurité
selon la norme ISO/CEI 27002.
La colonne D : donne la valeur globale pour chaque domaine. Ce
calcul se fait automatiquement selon les valeurs entrées de 0 à 5. Si
jamais le symbole suivant apparaît : #DIV/0, cela signifie que le calcul
ne peut se faire parce qu’il n’y a aucun contrôle sélectionné, donc aucune
valeur 0 à 5 dans le domaine applicable. En conséquence, ce code
d'erreur est tout à fait pertinent.
La colonne F : représente le pourcentage de conformité par rapport à
l’ISO/CEI 27002.
Dans la colonne G : l'utilisateur est invité à entrer quelle cote désire
comme objectif pour une certaine période. Cette note doit être un chiffre
entier entre 1 et 5.
Exemple : Si la colonne D possède une valeur de 2 alors à la colonne G la

valeur maximale suggérée serait de 3 et non supérieure à 3. IL faut en effet être
réaliste car plus la valeur dans la colonne G est élevée, plus les coûts
d’implantations des mesures de sécurité seront élevés par la même occasion.
La colonne H : convertit en pourcentage la valeur entrée dans la

colonne G et indique en % la valeur que désire obtenir l’organisation
pour une période.
La colonne I : donne le pourcentage de l’état actuel de la sécurité en
conformité avec ISO27002.
La colonne J : donne le pourcentage cible visé pour la période.
III.6.1.3. Les rosaces

Les rosaces permettront de données des courbes pour chaque domaine visé.
Portrait actuel : montre l’état de la sécurité au période de la assortiment des
données.
Portrait cible : montre en bleu l’état actuel de la sécurité plus, en vert la but
que désire arriver l’organisation.
Figure III.5. Rosaces d’un portrait actuel et ciblées

III.6.1.4. Scénario d’utilisation
On prend l’exemple du domaine 8 (Sécurité liée aux ressources humaines),
onglet no 8.
Pour le contrôle 8.1.1 - Rôles et responsabilités, la validation ou mesure est la
suivante :
Déterminer et de documenter les fonctions et imputations en sujet de sécurité
des salariés, contractants et usagers tiers, conformément à la politique de sécurité
de l’information de l’organisme. [ISO/CEI 27002]
Est-ce que la valeur pour la « colonne C » est 0, 1, 2, 3, 4 ou 5? Pour cet
exemple nous avons insérer la valeur « 2 » (Processus Reproductible).
Pour le contrôle 8.1.2- Sélection, la validation est la suivante: On a insérer la
valeur de « 2 » (Reproductible mais intuitif)
Pour le contrôle 8.1.3-Conditions d’embauche, la validation est la suivante :
On a insérer la valeur de 3 (Processus défini).
Nous avons procédé, ainsi de suite pour chaque contrôle subséquent. Voyez ci-
dessous le résultat.
Figure IV.6. Sécurité liée aux RH
III.7. Rapport
Définition de niveaux de criticité
Lors de l’analyse de chacune des clauses, nous leurs attribuerons une
classification en fonction du degré de gravité de non-conformité par rapport à la
norme NA ISO/IEC 27002 :2008. Cette classification comprend trois classes :
A travers les différents entretiens métier et les discussions auprès

d’experts, nous avons établi les objectifs entrepris suivants :
Figure IV.7. Rosace d’un portrait ciblée
III.7.1. Politique de sécurité

Le niveau de conformité de cette clause par rapport à la norme NA ISO/IEC
27002 :2008 est de 40%. Cela implique un niveau de criticité élevé qui s’explique
par l’absence d’une politique de sécurité formalisée.
Néanmoins, l’entreprise dispose d’une charte informatique, diffusée à tous les
collaborateurs concernés, des manquements restent à signaler :
Couverture insuffisante des exigences de la norme ;
Non-respect par les utilisateurs ;
Absence de sanctions ;
Inexistence du poste de responsable de sécurités des SI « RSSI » : ce
poste est indispensable dans toutes les entreprises et en particulier à IT-
PRO pour la mise en place d’une politique de sécurité performante.
III.7.2. Organisation de la sécurité

Le niveau de conformité de cette clause par rapport à la norme ISO/CEI
27002 est de 50,11%, ceci est dû essentiellement à l’engagement pris au niveau de
la Direction Générale pour se doter d’un document traitant la politique de sécurité
de l’information, elle sera diffusé dans les prochains mois sur toutes les activités
de IT-PRO.
Une restructuration de l’entreprise est prévue dans un avenir proche, le
poste de RSSI sera créé, une meilleure organisation et coordination avec les
différentes structures sera mise en place pour être conforme aux meilleurs
standards du management de la qualité.
III.7.3. Contrôle et classification des actifs
Cette clause enregistre une conformité de 76%, L’ensemble des principaux
actifs de l’entreprise sont identifiés puis répertoriés. Il s’agit entre autres des
équipements en dotation à IT-PRO, tels que : le parc informatique, les postes de
bureau, des équipements réseau et télécom, des véhicules, du matériel de lutte
contre les incendies, etc…
Toute personne utilisant temporairement ou définitivement, un équipement
durant son activité, en devient responsable jusqu’à la fin de sa mission ou sa mise
en retraite. Chaque actif est muni d’une référence telle que le numéro d’ordre dans
la série du matériel, un code d’identification et enfin un code barre.
Il est instauré au sein de l’entreprise, une procédure d’étiquetage de tous les
actifs, afin de les inventorier, les identifier et enfin de les protéger contre toute
action malveillante.
Pour le reste, certains dossiers et certaines procédures de travail, sont classés
confidentiels et leur utilisation se restreint aux personnel autorisé.
Cependant, aucune procédure de classification des actifs suivant le critère
d’importance, n’est utilisée par les responsables du Département des moyens
Généraux, le principal focus de la direction est d’évaluer les conséquences d’une
altération, d’un vol ou d’une disparition d’un quelconque actif de l’entreprise.
III.7.4. Sécurité liée aux ressources humaines
Concernant le volet sécurité des ressources humaines, la structure du
questionnement reprend les 3 aspects suivants :
1. Avant le recrutement :
L’authentification auprès des organismes concernés, des documents, diplômes,

ou certificats, fournis par les candidats à l’emploi, se fait automatiquement durant
la période d’essai du candidat qui est de trois (03) mois.
En effet, le recrutement du personnel est effectué par l’organisation de
concours sous la responsabilité d’un département de recrutement. Il revient donc à
la commission désignée par l’entreprise, d’examiner minutieusement les pièces
fournies par les participants retenus.
Les candidats retenus sont informés du règlement intérieur et de la convention
collective, sur leur future responsabilité vis-à-vis de l’entreprise.
Les nouveaux employés sont informés de leurs droits la sécurité et de la
divulgation du secret professionnel sous peine de sanctions pénales.
Une procédure est formalisée, et appliquée.
2. Pendant la durée du contrat :
Des séances de sensibilisation à la sécurité informatique sont Très rares dans

l’entreprise ni même une sanction à l’encontre les contrevenants, en raison du volet
social, protégé par le syndicat.
3. Fin ou modification du contrat :
En cas de mutation ou de départ en retraite, tout agent de l’entreprise doit

restituer tous les biens qui ont été mis à sa disposition lors de son séjour au sein de
l’entreprise.
Le niveau de sévérité appliqué à cette clause est moyen (57,78%) car elle reste
conforme à la norme ISO/CEI 27002.
III.7.5. Sécurité physique et environnementale
La moyenne de cette clause est de 70,77% par rapport à la norme NA
ISO/CEI 27002, concernant ce volet la structure du questionnement reprend les 2
aspects suivants :
1. Zone sécurisée
En ce qui concerne la sécurité périphérique de l’entreprise, elle est assurée

par une clôture en fer forgé, doté d’un système de télésurveillance et Anti-intrusion
relié à une poste de contrôle et de surveillance (PCS), ainsi qu’un nombre
important de guérites pour la surveillance physique du site et les accès principaux.
Un système d’enregistrement les visiteurs est instauré et permet d’enregistrer des
identités des visiteurs.
La zone sensible composée, de la salle informatique (Datacenter) et la salle
télécom, bénéficie d’une sécurité toute particulière, et ce à travers l’accès qui est
strictement réservé aux seules personnes habilitées à y pénétrer.
2. Sécurité du matériel
La protection des équipements, tels que, serveurs, routeurs et commutateurs…

etc., contre les aléas électriques est mise en place. Toutes les installations sont
alimentées à partir, d’onduleurs, en cas de coupure d’alimentation électrique.
Les câblages électriques et réseau sont encastrés.
Au niveau du Data Center, le câblage réseau est bien organisé, les câbles
sont étiquetés, ce qui rend la tâche d’authentification d’un câble très facile.
Les moyens réglementaires de lutte contre les incendies sont en place (système
DEI Détection Extension d’Incendie) tel que les bouches d’incendies ou les
détecteurs de fumées. Des séances de simulation sont organisées périodiquement,
pour tester ces moyens et équipements de protection.
Les bureaux employés sont dotés de serrures, offrant la possibilité de les
verrouiller en leur absence. Egalement l’accès physique aux postes de travail de
chaque agent, est assuré par un badge personnel. Pour éviter toute tentative de vol
d’équipements, tout agent devant quitter l’entreprise avec un matériel, doit se munir
d’un bon de sortie et d’une décharge au nom de l’intéressé. A travers ces bons, la
traçabilité des équipements est répertoriée.
Cependant, l’inconvénient majeur de l’entreprise se situe dans son
implantation à côté de la raffinerie de France et à l’intérieur dans une zone urbaine.
Les moyens de mise en rebut du matériel informatique et d’incinération des
déchets de bureau sont inexistants.
III.7.6. Gestion de l’exploitation et des communications

Le niveau de cette clause a atteint 57,14% par rapport à la norme NA
ISO/CEI 27002, c’est-à-dire au-dessus de la moyenne.
Les serveurs métiers sont constitués de serveurs Windows 2008. Les postes
des bureaux sont à 70% équipés de système COE (Common operating environment)
et sur lesquelles est installé le système d’exploitation Microsoft Windows 7, ainsi
ces derniers sont protégés par un système antiviral dont la base de données est
régulièrement mise à jour et 30% sont quant à eux, équipés de Windows XP et
gérés directement par les services de la DAS, d’où une grande vulnérabilité en
matière de sécurité informatique.
Les machines dotées de Windows 7, bénéficient de licences d’exploitation
et permettent d’assurer en partie une continuité de services tout en relevant un
manque en équipement : pas d’onduleurs.
Le réseau LAN de l’entreprise, est de type Ethernet, avec un adressage
privé. Bien qu’il existe une politique d’adressage par VLAN qui permet une
segmentation à un niveau plus élevé, le réseau LAN est aussi organisé en domaines
grâce à l’Active Directory, ce qui rend difficile de passer d’un groupe à un autre et
renforce d’avantage la sécurité.
La grande majorité des employés de l’entreprise, bénéficie d’un ordinateur
de bureau, dont ils assument l’entière responsabilité.
L’ensemble des serveurs est protégé des intrusions externes par un firewall
et un IPS. Il existe une zone DMZ qui contient tous les serveurs pouvant avoir un
accès aussi bien de l’intérieur que de l’extérieur, notamment le serveur de
messagerie et le serveur hébergeant le site web de L’entreprise.
IT-PRO a fait le bon choix d’adopter la politique de Dimensionnement en
raison d’une éventuelle croissance d’effectifs.
L’un des points noirs enregistré dans ce chapitre, est le fait d’autoriser le
personnel de l’entreprise d’utiliser à outrance et sans aucune limite, les disques
amovibles avec le signalement à plusieurs reprise de pertes de disques amovibles
contenant des informations parfois confidentielles.
III.7.7. Contrôle d’accès

La clause enregistre une moyenne de 58,40%, par rapport à la norme,
Un des points les plus positifs que nous avons remarqué au sein de l’entreprise
concerne le contrôle du routage des données, qui transitent par un réseau maitrisé
avec l’existence d’une politique de sécurité plus performante.
L’accès distant partir de l’Internet est limité aux seuls cadres dirigeants de
IT-PRO (V.P-Divisionnaires et certains directeurs), il est protégé par l’usage d’un
VPN d’accès. Etant donné qu’on ne peut pas garantir le risque d’un accès illicite à
100%, il est donc important de se munir de système de détection d’éventuelles
intrusions. De ce fait l’entreprise s’est dotée d’un système de prévention
d’intrusion (IPS) et un firewall Une politique de mot de passe individuel et
personnel, est instaurée au sein de l’organisme sur trois niveaux (le contrôle
d’accès NAC, la carte IDSM-2 intégrée au sein du commutateur fédérateur Catalyst
6500 et active directory) pour l’authentification et l’accès à la machine. Cependant
ces mots de passe ne sont pas changés suivant une fréquence bien définie.
La permanence de ces derniers ne permet pas de réduire les risques
d’usurpation ou de vol.
En cas d’arrêt d’utilisation des machines par leurs propriétaires, les sessions
sont automatiquement déconnectées.
Nous avons pu constater que toutes les machines ne sont pas initialement
dotées de mots de passe pour éviter qu’une tierce personne d’accéder au DOS afin
de réinstaller un autre système et par conséquent accéder aux informations.
Pour finir, l’accès aux locaux sensibles tel que le Data Center, le centre de
télécommunication sont strictement interdits à toute personne étrangère au service.
Les agents et cadres habilités sont nommément désignés par le Directeur de la
DOSI. Le local est donc protégé par le système de badge et une caméra de
surveillance reliée au Poste de Contrôle et de Surveillance PCS.
III.7.8. Acquisition, maintenance et développement des systèmes

Cette clause présente une des moyennes les plus faibles, atteignant le taux
de 44,29% par rapport à la norme ISO/CEI 27002. L’acquisition de nouveaux
systèmes occupe une attention particulière des responsables de la DOSI afin de
s’assurer que ces derniers correspondent aux besoins de l’entreprise et ne mettra
pas en danger la sécurité.
Des tests sont effectués par les informaticiens de la DOSI avant
l’acquisition des systèmes, afin de s’assurer que l’équipement acquis ne sera pas
source de régression de services. Cependant, Les fichiers systèmes ne suivent pas
de procédures particulières de vérification de code source, de même que pour les
procédures de chiffrement ou de signature électronique qui ne sont pas intégrées
dans les procédures de l’entreprise, ainsi que pour la sécurité de la documentation
des systèmes qui n’est même pas d’actualité.
IL est à noter qu’aucune mesure de cryptographie n’est mise en fait, de ce
fait aucune gestion des clés n’est faite non plus, cela donnés une vulnérabilité au
niveau confidentialité à tous des niveaux du pyramide.
III.7.9. Gestion des incidents de sécurité

Cette clause enregistre une moyenne de 55% par rapport à la norme NA
ISO/CEI 27002.
Deux points sont à audités :
Signalement des évènements et des failles sécurité liées à la sécurité de
l’information : Le personnel de la Direction informatique, n’est pas en mesure de
détecter les incidents ou les failles de sécurité, Cependant, le matériel nécessaire à
toute détection d’incidents ou de failles venant du trafic extérieur est déjà
implémenté et opérationnel Pour la partie « trafic du réseau local » (interne à
l’entreprise) n’est pas encore contrôlé, alors que les statistiques démontrent que
80% des attaques viennent de l’intérieur.
L’inexistence de RSSI fait qu’un nombre non négligeable de problèmes sécurité
persistent même après leur détection.
Il est à noter que l’absence d’un service continu et d’astreinte assuré par un
personnel qualifié au sein même du Data Center, augmente le risque d’incidents ou
d’éventuelles attaques.
III.7.10. Gestion de la continuité d’activité
Cette clause présente une sévérité moyenne liée à sa moyenne de 48% par
rapport à la norme NA ISO/CEI 27002.
Malgré l’implantation de l’entité à proximité de la raffinerie de France et
en plein centre d’une zone urbaine. L’entreprise ne dispose pas de plans clairs et
précis (Plan de continuité d’activité PCA) révélant dans les détails et dans l’ordre,
les actions à entreprendre en cas de reprise de fonctionnement du SI en général et
du Data Center en particulier, en cas d’une catastrophe naturelle (séisme-
inondation…).
Pour permettre une continuité d’activité en cas de coupure de courant
électrique, le Data Center est doté d’une solution de continuité électrique :
onduleurs. Notre audit nous a permis de constaté que ce dernier est doté d’un
système de climatisation de dernière génération (climatiseur + déshumidificateur)
afin d’assurer une température idéale au fonctionnement des équipements du Data
Center, il suit les différentes recommandations liés au bonnes pratiques (Livre
blanc).
Enfin il est protégé par un système de télésurveillance et de détecteurs
thermiques, signalant toute hausse de température.
L’absence d’un service continu et d’astreinte par un personnel qualifié, pour
parer à tout arrêt ou incident d' équipements du data center n’est pas prévu.
III.7.11. Conformité
Cette clause a une moyenne de 48.89%, d’où une sévérité en dessous de la
moyenne par rapport à la norme NA ISO/CEI 27002.
La grande majorité des machines dispose de licences d’exploitation, légalement
acquises. Cependant un ensemble d’outils installés sur certaines machines n’ont pas
de licences valides ce qui impliques des vulnérabilités sécurité.
IT-PRO manque de personnel habilité, de documentation relative aux
applications, Elle n’aspire pas encore au respect des normes et les méthodes
universelles en matière de sécurité de SI (telle que la norme ISO 27002, MEHARI,
Ebios,etc...) Toutefois, le personnel n’est pas sensibilisé sur une bonne utilisation
des technologies de l’information et la communication au sommet de l’entreprise, et
aucun audit relatif à la sécurité de l’information n’a été fait à ce jour.
III.7.12. Résultat final de l’Analyse Organisationnel et environnemental
A l’issu de ces résultats, l’entrepeise enregistre une conformité globale de
55,22%, par rapport à la norme ISO/IEC 27002 ; cette valeur est en dessous de la
moyenne requise, ce qui dénote une de maturité au sein de l’entreprise.
Figure III.8. Résultat graphique de l’audit organisationnel et
environnemental
III.8. La matrice d’analyse SWOT
Utiles Nuisibles
Forces
Faiblesses
Contrôle et
gestion des actifs de Absence de
l’organisme. documentation
la gestion et le relative à la
Origine contrôle d’accès au politique de
Interne DATACENTER ; sécurité du SI
(Attribuée au Présence d’une (PSSI) ;
système) politique de routage Absence de
des paquets et prise sensibilisation du
en considération du personnel sur la
surdimensionnement sécurité SI ;
du réseau de
l’organisme …
Origine Opportunités Menaces
Externe
(Attribuée à Le programme Vulnérabilités
l’environnement) SI comporte dans les systèmes
plusieurs projets Perte de
réalisés ou en cours données suite à
de réalisation, dans l’utilisation
le cadre de la incontrôlée des
sécurité du SI tel disques
que (département amovibles, et
sécurité l’absence d’un
d’information, une incinérateur du
PSSI...) papier
Tableau III.1. La matrice d’analyse SWOT

III.9. Audit technique
L’audit technique complète l’étape précédente. Il s’agit dans un premier
temps de procéder à la collecte d’information dans le but de déterminer les
serveurs locaux et publics et la topologie ou l’architecture du réseau. Dans un
second temps, nous établirons un diagnostic sur le réseau de IT-PRO, ainsi que son
degré de vulnérabilité. Enfin nous procéderons au test de vulnérabilité des
équipements, pour estimer leur capacité à résister aux attaques.
Pour ce faire nous nous sommes basés sur la distribution Kali Linux qui
englobe tous les outils de l’audit de sécurité réseau et de Pentest (Test d’intrusion).
Les Démarches pour un audit technique sont :
Figure IV.9. Les Démarches pour un audit
III.9.1. Collecte des informations

Dans ce qui suit, nous reprenons les différents concepts énoncés dans la
Figure IV.9. Les Démarches pour un audit : III.9.1.1. Les humains sont bavards
Il est recommandé d'interdire aux employés d'une société d'utiliser leur
adresse e-mail professionnelle en dehors des communications professionnelles, en
particulier sur les forums de discussion, afin d'éviter les risques d'ingénierie
sociale.
Tous le personnel de IT-PRO, doit absolument être sensibilisé sur la notion

d'espionnage économique et sur la criminalité informatique, de façon permanente
en organisant des formations et des séminaires. Il est également indispensable de
savoir repérer une tentative d'ingénierie sociale, et surtout, de savoir s'en prémunir.
En effet, la manipulation des êtres humains qui détiennent des informations

confidentielles, en profitant de leur naïveté, de leur gentillesse, ou de la confiance
qui nous accorde naturellement, est plus facile et permet facilement d'entrer en
contact avec un acteur du réseau, en usant d’une fausse identité.
Il est ainsi très facile à l'intrus d'insérer un cheval de Troie dans le réseau
via cette cible intermédiaire, ou d'obtenir des informations très importantes.
III.9.1.2. Techniques et outils utilisés

Sur le plan technique, de nombreux outils peuvent nous renseigner sur
l'architecture d'un réseau cible.
Pour le lancer à partir de l'interface graphique il suffit de suivre le chemin ci-

après: Le menu ʺKali linux → Informaion Gathering → OSINT Analysis
→theharvester ʺ
Les options principales sont les suivantes :
Option Utilité
-d Domaine de recherche
-l Limite le nombre de résultat
-b Moteur de recherche
-f Enregistre le résultat sous format HTML
Tableau III.2. Les options principales de l’outil theHarvester
Après utilisation des options et de la commande précédentes nous obtiendrons

à titre d’exemple, pour le site de IT-PRO :
➢ 97 adresses Emails
➢ 36 servers publics
Figure III.12. Résultat de la recherche sur theHarvester
Que nous laissons dans l’anonymat suite aux engagements que nous pris avec
IT-PRO.
Après avoir identifié les servers, nous avons fait un whois :
Utilisation :
Whois [OPTION]… OBJECT…
[OPTION]
-a search all databases
-s SOURCE[,SOURCE]... search the database from SOURCE
Nous avons lancé un Whois sur l’adresse IP d’un serveur web Outlook, obtenue
de l’outil theharvester, et nous avons reçu le résultat suivant :
Figure III.12. Résultat de la recherche sur whois
III.9.1.3. La prise d'empreinte par pile TCP/IP
Nmap souscrit quant à lui de réaliser le scan des composes d'un sous-
réseau, d'en apprendre les ports ouverts, et donc possiblement de éprouver les
services lancés sur chaque machine, de apprendre leurs versions et potentiellement
les vulnérabilités.
En consultant la pile TCP /IP d'un serveur, on peut en effet expliquer de
nombreuses informations nécessaires lors d'une attaque.
Tout d'abord, la perception du système d'exploitation d'un serveur est
certainement cruciale pour un attaquant. Suffisamment de failles sont
caractéristiques aux systèmes d'exploitation, et les façons d'y enfoncer sont
également différentes.
Le fait de balayer un réseau, de le scanner, permet de connaître sa topologie. Le
scanneur de ports va détecter les IP actives sur le réseau, détecter les ports ouverts
et les services potentiels qui tournent derrière chaque port ouvert.
Pour cela, Nmap est un outil pratique et indispensable pour tout
administrateur, dans le sens où il est capable de retirer beaucoup d'informations
par prise d'empreinte TCP/IP sur les réseaux complets avec une adresse de sous-
réseau et son masque. Il permet de trouver par exemple le système d'exploitation en
analysant la réponse donnée d'abord à la connexion TCP à un port ouvert, puis à un
port fermé. Cette technique n'est pas fiable à 100% mais reste très efficace.
Dans la pratique, nous avons fait un scan sur l’adresse réseau
10.130.0.0/16, et nous utiliserons la commande suivante : #
nmap - sS - su -0 -oN nmap.log 10.130.0.0/16
Résultat :
Le schéma ci-dessous, nous indique une partie du rapport du résultat du
scan. Il comporte, l’adresse IP et l’adresse MAC de la machine, les différents ports
ouverts et le type du Système d’exploitation.
[*] Nmap: Starting Nmap 6.25 ( http://nmap.org ) at 2013-04-08 15:25 CEST
[*] Nmap: Nmap scan report for 10.130.0.10
[*] Nmap: Host is up (0.00015s latency).
[*] Nmap: Not shown: 95 closed ports
[*] Nmap: PORT STATE SERVICE VERSION
[*] Nmap: 21/tcp open ftp?
[*] Nmap: 135/tcp open msrpc Microsoft Windows RPC
[*] Nmap: 139/tcp open netbios-ssn
[*] Nmap: 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
[*] Nmap: 3389/tcp open ms-wbt-server Microsoft Terminal Service
[*] Nmap: MAC Address: 00:19:99:39:0B:0E (Fujitsu Technology Solutions)
[*] Nmap: Device type: media device
[*] Nmap: Running: Microsoft Windows PocketPC/CE
[*] Nmap: OS CPE: cpe:/o:microsoft:windows_ce
[*] Nmap: OS details: AT&T U-Verse set-top box (Windows CE 5.0)
[*] Nmap: Network Distance: 1 hop
[*] Nmap: Service Info: Host: 220; OS: Windows; CPE: cpe:/o:microsoft:windows
...
Figure IV.13. Rapport de l’outil nmap
Figure III.14. Occurrence des services

Synthèse
Nous constatons que nombreuses sont les vulnérabilités jugées critiques. Il
est important donc de réagir au plus tôt. La figure suivante décrit ces services
vulnérables.
Figure III.15. Description des services les plus vulnérable

➢ Microsoft-DS (445/TCP et UDP) => utilisé par Windows pour le service
SMB (service de partage de fichier, également appelé CIFS par
Microsoft).
➢ EPMAP (135/TCP) =>Ce service admet la exécution des appels de

procédures distantes (RPC ou Remote Procedure Call). Il participe
pareillement dans le cas où une machine réclame un service sur une
machine distante, elle se connecte d'abord via le port 135 pour localiser
le port réel sur lequel tourne le service qui l'intéresse
➢ NTP (123/UDP) =>Protocole permettant de synchroniser, via un réseau
informatique, l’horloge locale d’ordinateurs sur une référence d’heure.
➢ Netbios-NS (137/UDP) =>Ce service sert à associer un nom d'ordinateur à
une adresse IP.
III.9.2. Repérage de failles

III.9.2.1. Consulter les failles recensées
Une fois que nous avons récupéré suffisamment d'informations intéressantes
sur le système d'information audité, nous avons essayé de repérer une faille par
laquelle s'insérer dans le système.
Une faille correspond à une vulnérabilité nuisible à la sécurité du système.
Elle peut se situer dans le système d'exploitation lui-même, dans une application,
un service, un protocole, ou tout simplement dans une erreur humaine. Il existe des
scanneurs de vulnérabilités, auxquels on peut soumettre un réseau pour un test
d'intrusion. Le logiciel en ressort alors les failles connues. Nous avons choisi le
logiciel Nessus et le service en ligne Qualys SSL labs comme des scanneurs de
vulnérabilité.
1. Nessus
Nessus est un outil de test de vulnérabilité. Il marche en mode client/serveur,
avec une interface graphique. Une fois établi, le serveur« Nessusd », probablement
sur une machine distante, réalise les tests et les envoie au client « Nessus » qui
fonctionne sur une interface graphique.
Nessus est un produit commercial propagé par la société TENABLE Network
Security. Il peut cependant être utilisé gratuitement avec une base des faiblesses
dont la mise à jour est déplacée d'une semaine.
L’objectif de cette partie est surtout de présenter les résultats des scans de
vulnérabilités effectués sur le réseau informatique de l’audité. Dans ce qui suit
l’interface d’initialisation de Nessus.
Figure III. 16. Résultat du scan
Une liste exhaustive des ports ouverts est dressée dans le rapport ce qui ne
fut pas le cas pour la plupart des scans. Chaque port est bien détaillé par la suite.
Les figures ci-après montrent un exemple des vulnérabilités générées par un

scan interne:
Il permet de donner aussi l’état de gravité (Critique, élevée, moyenne,
faible), ainsi que la proposition des solutions pour y remédier (Mise à jour, mise
en place d’un filtrage IP, etc).
Un rapport est fourni et peut être transformé en autres formats [HTML, CSV,
etc…], avec possibilité de choisir le type de rapport soit faiblesses par hôte ou par
plugin.
La figure ci-après présente un rapport HTML généré que nous avons fait sur un
hôte:
Deuxième outil utilisé comme un scan de vulnérabilité Qualys SSL Labs :
2. Qualys SSL Labs
Qualys SSL Labs offre des ressources pour mettre SSL à profit et sécuriser les
sites Web ainsi que les transactions en ligne. Gratuit, ce test SSL en ligne examine
la chaîne de certification SSL d’un site Web pour vérifier qu’elle est de confiance
et qu’elle participe activement à la sécurité des communications sur Internet.
Figure III.19. SSL Labs

SSL est un protocole de sécurité qui protège les sites Web en cryptant les
informations sensibles lors des transactions en ligne. Même s'il s'agit d'un
protocole fiable, certains déploiements peuvent poser des problèmes, notamment
en termes de configuration et de validation du certificat, ce qui rend alors SSL
inutile et compromet la sécurité sur Internet. Qualys SSL Labs et le nouveau test
SSL en ligne permettent à tout utilisateur, technicien ou non, d'évaluer leurs
déploiements SSL pour mieux utiliser ce protocole et protéger ses sites contre
d’éventuelles attaques.
Ce test en ligne gratuit, nous a permet de tester les chaînes de certification
SSL des sites Web de SONATRACH pour vérifier si celles-ci sont fiables et
qu’elles sont sécurise les communications via Internet. Nous avons fait des
analyses complètes des configurations des certificats SSL pour détecter les
faiblesses.
La figure ci-après présente un rapport généré que nous avons fait sur un site
HTTPS:
Figure III.20. Le résultat du scan du service SSL labs
III.10. Conclusion
Ce présent chapitre nous a permis d’avoir une bonne expérience
professionnelle grasse aux différents entretiens fait pour rependre aux
questionnaires (métiers, organisationnel et physique) et aussi de manipuler
différents outils, tout ça a été d’une importance capitale pour mettre à nu les failles
de sécurité.
Suite à ces constats, notre prochain chapitre se penchera sur les
recommandations de l’audit du SI.
Chapitre IV :
Recommandations organisationnelles
et techniques
IV.1. Introduction
Cette partie fait office de chapitre visant à proposer des
recommandations, des conseils et des solutions aux anomalies constatées au
cours de notre stage par rapport aux différentes clauses de la norme ISO/IEC
27002.
IV.2. Recommandations au niveau organisationnel et
physique
Les recommandations suivantes visent à apporter des suggestions pour
améliorer l’aspect organisationnel et physique de la sécurité du système
d’information de IT-PRO.
IV.2.1. Politique de sécurité
La société de IT-PRO doit mettre en place des directives précises et
claires pour l’élaboration d’un document qui renfermera une politique de
sécurité. Cette dernière doit sérieusement s’engager et appuyer cette
démarche afin que cette politique soit mise sur pied. Ce document, une fois
établi et approuvé par la direction, doit être communiqué à l'ensemble du
personnel IT-PRO pour être appliqué et scrupuleusement respecté Il est
indispensable de contrôler d’une manière régulière l’exécution de cette
politique de sécurité pour l’améliorer et corriger les insuffisances d’une part
et sanctionner les contrevenants d’autre part.
IV.2.2. Organisation de la sécurité
Organiser la sécurité informatique d’une entreprise nécessite la
nomination et la désignation d’un Responsable de Sécurité des Systèmes
d’Information (RSSI). Ce dernier devra veiller au respect et à l’exécution des
mesures et des règles de sécurité.
IT-PRO, doit créer un nouveau département relevant de la DOSI, qui
aura pour mission l’élaboration et l’amélioration des règles de sécurité
informatique, veiller à leur respect par tous le personnel de l’entreprise et
enfin actualiser les différentes procédures par la proposition de nouvelles
solutions.
Une définition claire et précise des rôles et responsabilités vis-à-vis
de la sécurité de l’information est nécessaire tout en faisant appel aux
compétences de spécialistes, quand le besoin se fait sentir.
IV.2.3. Classification et contrôle des actifs
La classification selon l’importance de l’actif et le contrôle nécessite
une organisation claire et précise des différents types d’actifs en leur
accordant le niveau de sécurité nécessaire. De ce fait, L'organisation doit
spécifier de manière complète et formelle les procédures liées à la
destruction d'informations.
IV.2.4. Sécurité des ressources humaines
Il est important de mettre en place une procédure de sensibilisation et
de formation continue du personnel sur les risques liés à la sécurité de
l’information, et l’inciter à contribuer à l’élaboration de cette dernière.
L’adoption de chartes précisant le comportement et l’attitude vis-à-vis des
technologies de l’information et de la communication est un moyen pour y
parvenir. Aussi, l’entreprise doit veiller au respect de ces procédures et ces
chartes par tout le personnel et infliger des sanctions sévères à l’encontre des
contrevenants.
IV.2.5. Sécurité physique et environnementale
Par instinct, parler de sécurité évoque automatiquement la sécurité
physique et environnementale, sur ce point, le site IT-PRO est loin de
répondre aux exigences de sécurité (établi à côté d’une raffinerie et dans une
zone urbaine).
Pour une sécurité maximale et s’agissant d’une entreprise à vocation
internationale, il est souhaitable que IT-PRO se dote d’un incinérateur pour
détruire toutes les ordures de bureaux.
IV.2.6. Gestion des communications et de l’exploitation
L’entreprise (DOSI) doit, dans les plus brefs délais possibles,
généraliser l’utilisation du système COE (Common Operating Environment)
pour une meilleure gestion et un bon contrôle par l’administrateur de la DOSI.
Dans ce contexte, nous avons remarqué que l’entreprise ne dispose
pas de moyen de contrôle d’une éventuelle intrusion interne, pour se faire il
est nécessaire de mettre en place un IDS (intrusion Détection System) ou un
IPS (Intrusion Protection System).
Aussi, il est utile de règlementer par note de service, l’utilisation des
périphériques amovibles.
IV.2.7. Contrôle d’accès
Gestion d'accès à des utilisateurs est nécessaire pour n'autoriser que
des personnes autorisées au système d'information et empêcher les autres.
Aussi, une politique efficace et rigoureuse de gestion de mots de passe
utilisateurs doit être définie et appliquée au sein de l’entreprise à condition
de les renouveler régulièrement et périodiquement.
Il est préférable d’introduire un nouveau mot de passe pour interdire
tout accès au DOS à toute personne non autorisée.
IV.2.8. Acquisition, maintenance et développement des systèmes
L’instauration de procédures pour assurer la confidentialité tel que le
chiffrement ou la signature électronique doit faire partie des procédures
développées de l’entreprise Il s'ensuit donc que la gestion des clés doit être
mise en œuvre pour la meilleure organisation de l'utilisation des techniques
cryptographiques. Il faut aussi procéder à la vérification de tout matériel
informatique acquis (circuit intégrés-et tous autres composants) avant son
utilisation par l’entreprise. De même que pour le volet SOFT, il faut prêter
une attention particulière au code source (vérification minutieuse).
IV.2.9. Gestion des incidents de sécurité
Il est important de s’assurer que les évènements de sécurité, ainsi que
les faiblesses relatives au système d’information de l’entreprise sont
communiqués à la DOSI qui se chargera d’apporter les mesures correctives
dans les délais les plus brefs. Cependant il est impératif de de renforcer la
DOSI par des cadres formés dans le domaine de la sécurité informatique qui
auront pour mission principale, la détection de toute attaque ou intrusion.
Ces mêmes cadres assureront la permanence et la continuité du
service au niveau du Data Center 24h/24h et d’établir des rapports pour tout
incident détecté pour permettre de le résoudre et de se prémunir de sa
répétition IV.2.10. Gestion de la continuité d’activité
IT-PRO, peut être mesurée à tout période, à des incidents ou
catastrophes naturelles, dont les dommages peuvent être élevées et de
plusieurs origines, ce qui force l’entreprise à devoir assurer un service
continu au sein [du Data Center ] pour faire face à toute possibilité afin de
récolter toutes les mesures nécessaires et de deviner la redondance dans un
autre lieu.
Les exigences en termes de secours informatique et de Reprise
d’Activité, à savoir le Délai Maximal d’Interruption Tolérable (DMIT) et les
Pertes de Données Maximales Acceptables (PDMA), sont intégrés dans les
nouveaux projets.
Un exercice annuel du PRA est planifié et réalisé sous couvert du
RSSI. Ce plan de reprise est régulièrement mis à jour et testé afin de garantir
sa pérennité IV.2.11. Conformité
Etant donné que l’entreprise de IT-PRO traite des données à caractère
confidentiel (renseignements sur les hydrocarbures dans ce payé et les projets
qui lui sont liés) ces dernières doivent rester secrètes ceci implique
l’implémentation d’une norme ou d’une méthode telle que (ISO 27001,
MEHARI, Ebios…) l’entreprise sera audité soit de l’intérieur, soit de
l’externe par des membres ayant participé à l’adoption de ces normes et sera
certifiée dans le cas positif.
Un personnel sensibilisé et une sécurité plus renforcée, tels sont les
conséquences directes de cette nouvelle situation (certification de
l’entreprise.) IV.3. Recommandations au niveau technique
Dans cette partie du chapitre, nous allons vous proposer quelques
solutions relatives à l'aspect technique afin de préserver et d'améliorer la
sécurité de l'information au niveau local [rafic interne]. Une bonne partie de
ces solutions, gèrent, auditent, et contrôlent toutes les opérations effectuées
par les machines, tels que, l’installation des logiciels et assurent pour
l’administrateur une traçabilité régulière et ordonnée.
IV.3.1. la solution Loglogic
La solution LogLogic assure la centralisation, l'archivage et

l'exploitation de tous les journaux de l'entreprise, que ce soit à des fin de
sécurité, de supervision, d'envoi d'alarmes, ou de conformité avec les
réglementations.
Les capacités de Reporting de LogLogic permettent rapidement aux
administrateurs de rechercher, d'analyser et de comprendre les logs de tous
les équipements de l'entreprise. Cela admet par exemple d'avancer les
process de réparation en admettant d'identifier en un temps diminués la cause
des problèmes réseaux. Il est également possible de créer et personnaliser
des rapports qui peuvent être produits à intervalles réguliers, puis être
envoyés par e-mails ou exportés en PDF ou CSV. La version 3.0 de LogLogic
admet d'utiliser plus de 13 000 rapports prédéfinis, acceptant de respecter les
normes, HIPAA, COSO ou IS0 17799. Grâce à un modèle d'architecture
distribué et paralèlle, les processus de génération de rapports de LogLogic
n'impacte par les autres composants du système, qu'il s'agisse de la collecte,
de l'analyse ou de la remontée d'alerte. [12]
Cette solution comporte plusieurs atouts :
Développez une stratégie de conformité

durable et efficace.
Appliquez les données de logs à votre
Conformité contrôle informatique et à votre matrice de
risques.
Évènements d'audit, de contrôle, de logs et de
rapports de sécurité
Contrôlez les données des logs en temps réel.

Sécurité Continuez à dynamiser votre activité réseau.
Isolez les menaces avant qu'elles ne
provoquent des dommages.
Améliorez les opérations de service

Gestion des d'assistance et l'isolation des problèmes.
performances Réduisez le délai moyen de réparation.
Améliorez la continuité de l'activité et
l'efficacité opérationnelle.
Contrôlez l'activité de l'administrateur

hyperviseur.
Contrôlez les activités des utilisateurs et des
Virtualisation systèmes pour les applications virtuelles.
Procédez à l'analyse des erreurs des
infrastructures virtuelles grâce aux alertes, aux
reportings et à la recherche de logs, et réduisez
ainsi le délai moyen de réparation.
Contrôle des
utilisateurs
Contrôlez les activités des utilisateurs avec
des privilèges et des administrateurs.
Recevez des alertes et bénéficiez du suivi
des accès indésirables aux enregistrements
financiers et confidentiels.
Stockez, recherchez et établissez des rapports
sur l'historique du comportement des
utilisateurs.
Tableau IV.1. Les atouts de la solution Loglogic
IV.3.1.1. Caractéristiques de la gamme La gamme ST

Les solutions ST proposent un stockage long duré et une recherche de
logs à la fois simple et sécurisée. Une capacité maximale de 34 téraoctets de
données compressées est disponible ou des archives illimitées grâce à une
connectivité de stockage NAS, SAN et WORM. [13]
La gamme ST propose :
La collecte des logs jusqu'à 75 000 messages par seconde par

appliance.
Une capacité de stockage maximale de 34 téraoctets pour les
données de logs compressées
La compression des données de logs et le cryptage facultatif des
archives de données
Le stockage d'une clé MD5 à un emplacement différent pour les
archives de logs inviolables
La connexion aux réseaux de stockage externes SAN et NAS
Une assistance certifiée pour les solutions leaders de stockage
WORM
Des paramètres de sauvegarde et de suppressions automatiques
des données.
IV.3.2. La solution Linagora LinShare

Linagora a développé une offre de services et produits applicatifs
proposés sous licence Open Source qui vous permet de sécuriser le système
d’informations en s’appuyant sur des certificats numériques.
Linagora propose l'outil LinShare Spécialement conçu pour sécuriser
les échanges dématérialisés des entreprises qui placent la confidentialité et la
traçabilité au cœur de leurs problèmes d'échange, LinShare apporte une
solution à mettre en œuvre et totalement intuitive. [14]
Les atouts de la solution :
Solution distribuée sous licence Open Source ;

Indépendant des systèmes d’exploitation ;
Conçu pour une adoption rapide et intuitive ;
Sélection des fonctions adaptées pour une conduite du
changement progressive au sein de l’entreprise ;
Permet l’échange de fichiers de très gros volumes ;
Possibilité d'intégration d'un module de signature des fichiers ;
Fonction de coffre-fort électronique ;
Partage de fichiers vers des collaborateurs internes ou externes ;
Sécurisation des transformes et des données par chiffrement
(symétrique AES) ;
Outils de reporting et d’audit ;
Notification automatique par courriel ;
Création de compte temporaire ;
Partage anonyme par adresse web ;
Authentification interne (LDAP, AD) ;
Historique des actions utilisateur ;
Exportation des traces en CSV ;
Interface graphique totalement personnalisable ;
Indépendance des bases de données ;
Gestion et utilisation par multi-domaines.
IV.3.3. La solution Wallix

WALLIX est un éditeur de solutions de sécurité informatique
spécialisé dans la traçabilité et la sécurisation de l'accès aux systèmes
d'information de l'entreprises.
WALLIX propose une gamme de logiciels et de matériels permettant
de maîtriser les risques liés aux accès internes et externes au réseau, aux
serveurs ainsi qu'aux applications métiers, à tracer les actions des utilisateurs
privilégiés avec le WAB, Wallix AdminBastion, ainsi qu'une collection et
d'analyse des logs de connexion: la Wallix LogBox.
WALLIX a développé Wallix AdminBastion (WAB), une solution qui
peut être installée dans le Système d'Information, et qui permet de savoir, en
temps réel ou hors ligne, qui fait quoi, quand, où et comment. Elle s'adresse
aux directeurs informatiques et aux responsables de la sécurité́ informatique
qui ont besoin d'améliorer la gouvernance de la sécurité́ informatique de
l’entreprise, en conformité́ avec les réglementations en matière de gestion des
risques informatiques dans les secteurs de la finance, l'industrie, la défense,
la santé ou le secteur public.
Fonctionnalités du WAB (Wallix AdminBastion) :
Traçabilité
Gestion des comptes à privilèges
WAB est commercialisé sous la forme de serveur dédié prêt à l'emploi ou

sous la forme d'une machine virtuelle pour environnement VMWare ESX 4.x.
Wallix AdminBastion offre les avantages suivants :
Un seul identifiant pour tous les accès aux équipements admis.

Toutes les connexions à l'équipement cible sont remorquables et
enregistrables
WAB fonctionne sans agent spécifique, ni sur les postes de
travail, ni sur les équipements cibles.
WAB est une plate-forme unique qui centralise et simplifie tous
les accès.
Traçabilité intégrale des sessions d’administration
(enregistrement de la session)
Alertes en cas d’accès à des serveurs critiques
Le WAB permet de garantir le contrôle des accès des prestataires

informatiques, qu’ils soient internes ou externes, les comptes à privilèges et
les utilisateurs à risque. La possibilité également d’enregistrer leurs sessions
de travail, et les visionner en cas de besoin (audit, incident, …).
Parce qu'elle permet la mise en place d'une véritable politique de
sécurité qui répond aux exigences technologiques et légales, la solution
Wallix AdminBastion offre aux entreprises la possibilité de conformer aux
normes tout en respectant les réglementations en vigueur.
WAB fonctionne sans agent spécifique ni sur les équipements cibles, ni
sur les postes de travail.
Figure IV.1. Fonctionnement du WAB
Parmi les grandes fonctionnalités du WAB, on retrouve :
Contrôle d'accès: grâce à des règles simples et puissantes,

vous contrôlez l'accès aux équipements, Ces règles sont basées sur
des critères tels que l'adresse IP, le nom d'utilisateur, les plages
horaires, les protocoles ou le type de session SSH.
Authentification unique et forte : Chaque utilisateur se
connecte au WAB avec son identifiant et son mot de passe ce qui lui
permet ensuite de pouvoir accéder directement aux appareils cibles
sur lesquels il est autorisé sans avoir à s'authentifier une deuxième
fois.
L'authentification des utilisateurs internes et des prestataires de
services externes peut être effectuée à l'aide d'un certificat
électronique X509 V3.
Sessions d'enregistrement: les actions effectuées sur les
appareils cibles peuvent être enregistrées au format Flash Video
pour les sessions graphiques Windows Terminal Server [RDP]&
[VNC}, et au format texte pour les sessions en lignes de commande
(SSH, Telnet).
Traçabilité – Audit : WAB permet la traçabilité des connexions
et des actions menées par les équipes IT et les prestataires sur les
équipements administrés. Grâce à la console d'administration WAB,
il est possible de surveiller les connexions en temps réel et de
consulter le journal.
Surveillance en temps réel: le WAB vous alerte lorsqu'il est
connecté à un équipement identifié comme critique, lorsque
l'authentification auprès du WAB échoue ou lorsque la connexion
automatique à un compte cible est impossible.
Reporting : grâce à la activité de reporting intégrée, les
administrateurs AdminBastion peuvent consulter des graphiques et
des statistiques sur l'activité WAB (nombre et classification des
connexions, classement des utilisateurs, etc.) et produire
automatiquement des rapports quotidiens au format CSV. WAB
fournit également des statistiques de sécurité qui suivent le nombre
d'échecs de connexion par compte d'utilisateur.
➢ Fonctionnalités du WLB (Wallix LogBox) collecte & traitement des

logs
Les logs sont bien souvent les premiers témoins d'un événement sur un
équipement de votre Système d’Information. Ils proviennent d'applications, de
systèmes d'exploitation, d'équipements réseau ou de sécurité et sont utilisés
pour détecter les failles de sécurité, les traces d'activité inhabituelle ainsi que
les défaillances matérielles ou logicielles. Toutefois, l'hétérogénéité des
formats de logs générés par le SI rend difficile la lecture et l'analyse des
messages reçus.
Figure IV.2. Fonctionnement du WLB (Wallix LogBox)

Apres le collecte d’informations, WLB permet de générer des
rapports automatiques retraçant les évènements de sécurité sur une multitude
d’équipements réseau (firewall, serveurs SSH, proxy web, serveurs web,
données syslog), sur plusieurs périodes données (quotidienne, hebdomadaire
ou sur une période définie au choix).
Enfin, En cas de problème, les actions correctives ne sont que plus
faciles à mener. L’administrateur sait d’où vient le problème et peut intervenir
précisément et efficacement. [15]
IV.3.4. La solution Nagios
Nagios est la plus célèbre application Open Source de protection des
systèmes et réseaux. Il contrôle les hôtes et services que vous définissez et
émet des alertes quand les dispositions vont mal ou qu'elles rentrent à la
normale. Nagios a été développé pour fonctionner sur Linux, mais devrait
fonctionner sur la plupart des systèmes Unix. Parmi ses fonctionnalités,
Nagios inclut : [16]
La veille des services réseaux (SMTP, POP3, HTTP, NTP,

PING, etc.)
La veille des ressources des hôtes (charge processeur,
utilisation des disques, etc.)
Un système simple de plugins permettant aux utilisateurs de
développer facilement leurs propres vésications de services
La possibilité de définir la hiérarchie du réseau à l'aide des
hôtes parents, permettant la détection et la distinction entre les hôtes
stationnaires et les hôtes inaccessibles
Notifications de contacts lorsqu'un hôte ou un service a un
problème et que celui-ci est résolu (par e-mail, pager, sms ou par
toute autre méthode définie par l'utilisateur)
La possibilité de définir des gestionnaires d'événements pour
une résolution proactive des problèmes.
La roulement automatique des fichiers journaux
Prise en charge de l'implémentation de serveurs de supervision
redondants
Une interface Web en option pour afficher l'état actuel du
réseau, l'historique des messages et problèmes, le fichier journal,
etc.
Figure IV.3. La solution Nagios
IV.3.5. Network Inventory Advisor

L'audit PC en profondeur devient plus simple avec notre solution sans
agent et son générateur de rapports flexible pour un inventaire matériel &
logiciel efficace des réseaux composés de Windows, Mac, Linux et autres
équipements. Notre logiciel d'audit informatique scanne parfaitement les
réseaux de toutes tailles et créé des rapports sur les paramètres logiciels et
matériels de tous vos équipements. [17]
Figure IV.4. L’interface de la solution Network Inventory Advisor
IV.3.6. Une clé USB sécurisée par empreinte digitale
Une clé USB sécurisé

par empreinte digitale, permettant que vos données soient au moins protégées
en cas de vol, à moins que l’on vous vole un doigt aussi.
Ce n’est pas uniquement l’accès à la clé USB qui est protégé, mais
vraiment les données qui sont cryptées à l’aide de votre empreinte digitale.
Revoici un bon moyen de défendre vos données confidentielles en toute
sécurité.
En plus de protéger vos données sur la clé USB, il admet également
de sécuriser l'accès à votre ordinateur avec un logiciel qui ne admettra cette
clé qu'avec bien sûr que votre empreinte digitale. [18]
IV.3.7. Fermeture des ports non utilisés
Des ports inutilisés peuvent être exploités à tout moment par des
attaquants comme passerelle vers le système. Ils doivent être fermés car ils
présentent un risque pour la sécurité.
IV.3.8. Rendre les serveurs furtifs
Des configurations par défaut doivent être prévenues au niveau du
serveur. Les informations comme le type et la version du système
d'exploitation utilisé, les versions des services qui entendent sur les autres
ports doivent être cachées et rendues inaccessibles lors des scans. Les
sections gardées à cet résultat se trouvent dans les fichiers de configuration
des différents services. Les fichiers de configuration des différents serveurs
doivent être édités et modifiés pour éviter d'avoir des serveurs dits « bavards
».
Pour le serveur Apache par exemple, il faut ajouter les lignes suivantes
dans le fichier http.conf :
ServerTokens Prod
ServerSignature Off
IV.3.9. La mise à jour des applications
L'évolution des applications ne concerne pas seulement les
commodités d'utilisation au niveau de l'interface et l'ajout des fonctions
supplémentaires mais aussi la sécurité de ces applications. Ce dernier aspect
n'est pas souvent perçu par l'utilisateur non averti qui est de ce fait insensible
à la mise à jour des applications. Ainsi plusieurs versions d'une même
application offrent souvent les mêmes fonctions ainsi que les mêmes
commodités d'utilisation mais les dernières versions corrigent souvent
certains détails de sécurité qui ne sont pas facilement perceptibles.
IV.3.10. Sécurité des mots de passe
Les mots de passe par défaut pour les serveurs, les routeurs et les
applications réseau nécessitent être supprimés et modifiés par des mots de
passe plus forts dès que la première utilisation de ces derniers. En outre, les
mots de passe nécessitent être choisis de manière à échapper aux attaques par
dictionnaire (noms, prénoms, date de naissance, mots dans la langue de tous
les jours) et attaques de force brute. Pour combattre ce type d'attaque, il est
recommandé de:
Ne pas utiliser des mots du langage courant,

Préférer des mots de passe longs (souvent au moins 8 caractères),
avec une suite de caractères entièrement aléatoires et avec des
caractères spéciaux,
Alterner les majuscules et les minuscules.
Fermeture du compte après 3 tentatives.
Exiger le conversion des mots de passe d’une manière
périodique (tous les trois mois).
IV.3.11. Attaques sur les protocoles

Nous allons proposer dans cette section les parades à prendre pour
éviter les attaques sur certains protocoles : ARP, DHCP.
ARP-POISONING :
La solution la plus immédiate consiste à saisir manuellement sur
chaque poste la table de toutes les adresses physiques présentes sur le réseau
local. Si elle est immédiate, cette solution est presque inapplicable étant
donné le nombre d'hôtes connectés au réseau local.
Une bonne solution consiste à configurer un serveur DHCP avec une
liste" fermée "de correspondance entre les adresses physiques (MAC) et IP.
Par rapport à la solution précédente, la liste exhaustive des adresses
physiques est centralisée sur le serveur DHCP. Nous pouvons ensuite
configurer la journalisation du service de sorte que toute demande DHCP
relative à une adresse MAC inconnue génère un courrier électronique à
l'administrateur système ou réseau. Pour cela, l'administrateur réseau peut
utiliser Windows l'outil DHCPCMD pour configurer le serveur dhcp en ligne
de commande.
Cette 2 eme solution convient également pour remédier les attaques sur le
serveur DHCP.
IV.3.12. Veille sécurité
Visage à le bouleversement rapide des dangers et des failles de
sécurité des systèmes d'information et des réseaux informatiques en
particulier, seule la veille stratégique permet de répondre aux objectifs de
continuation de service, elle admet ainsi d’être à l’écoute continue des
nouveautés aussi bien au terme des attaques et intrusions que des solutions.
Pour garder cette veille, les responsables de la sécurité et de la veille
doivent surveiller l'émergence de nouvelles vulnérabilités et les alerter des
menaces ciblant les systèmes et réseaux informatiques. Compte tenu du faut
que la cellule sécurité et veille (appelé dans d’autres organismes R&D pour
recherche et développement), l’audité est dans l’obligation de renforcer
l’équipe pour pouvoir avoir assez de ressources à affecter à cette cellule et
veiller à sa formation continue.
La veille sécurité permet aux RSSI et à leurs équipes d'anticiper les
incidents de sécurité : intrusion, attaque virale, Dos, Enfin, l'entreprise peut
acquérir la version commerciale du logiciel d'analyse des vulnérabilités
connues Nessus pour bénéficier des mises à jour à temps vu la criticité de ce
facteur.
IV.3.13. Audits internes de sécurité :
Des audits internes de sécurité doivent être réalisés de manière
permanente et les recommandations qui en découlent doivent intégrer la
politique de sécurité.
IV.4. Conclusion
Dans ce dernier chapitre, nous mettons en exergue les deux axes
d’amélioration sur lesquels la société peut performer, plusieurs solutions,
logiciels et applications sont proposés. Ces dernières ont été adoptées en
prenant comme objectif la confidentialité, la traçabilité des transactions
internes et externes, ainsi que la gestion des contrôles d’accès.
Les solutions proposées représentent un panel de solutions non
exhaustives, qui peuvent aider toute organisation souhaitant garantir la
conformité aux normes internationales de sécurité des SI.
Conclusion générale
Aujourd’hui, la mise en place d’une bonne gouvernance pour se
protéger contre les risques IT est devenue une activité primordiale pour
maintenir la capacité opérationnelle de toute institution de renommée
mondiale. Ceci est le cadre de notre travail d'audit entreprise IT-PRO SSI,
afin de mettre en évidence les lacunes et de proposer des solutions et des
recommandations pour cela éviter ce type de risque.
Après notre intégration au sein de l’équipe de travail à IT-PRO, nous
avons eu l’occasion de réaliser plusieurs tâches qui ont constitué notre
mission .
Notre mission a débuté par un questionnaire métier pour se
familiariser avec les différents systèmes d’informations et le flux circulant au
sein de l’activité IT-PRO, par la suite, on a initié un audit organisationnel et
environnemental pour nous permettre d'avoir une vision globale de la
sécurité du système d'information au sein de l'organisation sur la base d'une
pile de questions de la norme NA ISO/CEI 27002 constituée de 11 chapitres
de contrôle de sécurité. Une analyse des résultats obtenus après l’état des
lieux montre une conformité de 57,34% par rapport à la norme NA ISO/CEI
27002. Un taux qui reste faible et qui implique des démarches à suivre pour
améliorer la sécurité et par conséquence la conformité.
Pour renforcer l’audit organisationnel, un audit technique a été
élaboré. Cette phase était l’occasion pour manipuler certains outils dans le
but de scanner le réseau, détecter les vulnérabilités liées aux services. Les
scans du réseau ont été possibles par des outils tels que NMAP, Whois…
D’autres outils tels que Nessus ont été utilisés pour détecter les
vulnérabilités des services sur l’ensemble du réseau, ce qui nous a permis
par la suite de réaliser un sondage des services, qui a montré que plusieurs
d’entre eux, enregistrent des vulnérabilités critiques.
Suite à l’audit réalisé, nous avons proposé des recommandations, pour
traduire les attentes et les exigences de la Direction vis à vis du Système
d’Information.
La dernière phase comporte des propositions et des solutions
techniques capables d’améliorer la sécurité des SSI et permettre la
traçabilité des transactions et le contrôle des accès.
Ce rapport interpelle les responsables de l’activité IT-PRO sur la
nécessité de prêter d’avantage une attention particulière à la sécurité de leur
système d’information.
Les entreprises publiques ou privées sont invitées aujourd’hui et plus
que jamais, à prendre en considération dans leurs processus de production la
gouvernance IT, et la sécurité du SI comme facteurs clés de réussite.
La réalisation de ce projet nous a permis d’une manière générale,

d'approfondir nos connaissances en informatique, plus précisément, dans le
domaine de la sécurité des SSI.
Glossaire
A:
AO : Appel d’offre
ANSI : Agence Nationale de Système d’Information
ACL: Access Control List
AD: Active Directory
ARP: Address resolution protocol
AD: Active Directory
C:
COBIT: Control Objectives for Information and related Technology
COSO: Committee Of Sponsoring Organizations of the Treadway

Commission
D:
DHCP : Dynamic Host Configuration Protocol
DMZ : Demilitarized Zone
DNS: Domain Name Server
DOS: Disk Operating System
DOSI: Direction Organisation et Système d’information
DRH : Direction Ressource Humaine
DSI : Direction du Système d’Information
E:
EBIOS: Expression des Besoins et Identification des Objectifs de
Sécurité
H
HTML: Hypertext Markup Language
I:
IDS: Intrusion Detection System
IPS: Intrusion Prevention System
IP: Internet Protocol
ISO/IEC: International Organization for Standardization /

International Electrotechnical Commission
IT: Information Technology
L:
LAN: Local Area Network
LDAP: Lightweight Directory Access Protocol
M:
MAC : Media Access Control
N:
NMAP: Network Mapper
NTP: Network Time Protocol
NAS: Network Attached Storage
P:
PSSI : Politique de sécurité des Systèmes d’Information
POP3: Post Office Protocol Version 3
Q:
QSSI: Questionnaire de Sécurité des Systèmes d’Information
R:
RSSI : Responsable de Sécurité des Systèmes d’Information
S:
SAN: Storage Area Network
SI : Système d’Information
SIE : sûreté interne d'établissement
SMSI : Système de management de Système d’information
SMTP: Simple Mail Transfer Protocol
SSI : Sécurité du Système d’Information
SSH: Secure Shell

SSL: Secure Socket Layer
U:
USB: Universal Serial Bus
V:
VPN: Virtual Private Network
VLAN: Virtual Local Area Network
W:
WAB: Wallix Admin Bastion
WLB: Wallix LogBox
WORM: Write Once Read Man

Audit Et Sécurité de Système D'information Sécurité de Système D'information - AB ERIC

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Audit Et Sécurité de Système D'information Sécurité de Système D'information - AB ERIC

Uploaded by

Copyright:

Available Formats

Audit

I.2. Les Systèmes d’information

Listes des Tableaux

2) Fossé entre la direction et l’exploitation : il y a un écart chronique

La protection : Définir les ressources sensibles à protéger

Une perte financière (exemple : destruction de fichiers client,

Complet : Mesurer l'ensemble des caractéristiques : il doit

La détermination des déviations par rapport aux bonnes

I.4.3. Cycle de vie d’un audit sécurité des systèmes d’information

L'audit de sécurité informatique est essentiellement présenté en deux

L’audit organisationnel et physique.

Une troisième partie optionnelle peut être également considérée comme

I.5. Démarche de réalisation d'un audit Sécurité de

Figure II.5. Schéma du processus d’audit

Figure I.6. Schéma des différents niveaux de maturité

• Niveau 0 : '<< Pratique inexistante ou qui n'est pas complète :

• Niveau 1 : << Pratique informelle : pratique des bases mises en œuvre

• Niveau 2; << Pratique répétable et suivie : pratiques de base mises en

• Niveau 3: << Processus défini : mise en œuvre d'un processus décrit,

• Niveau 4: << Processus contrôlé : le processus est coordonné et

• Niveau 5: << Processus continuellement optimisé : l'amélioration des

Une fois cette phase terminée, il est question de passer à la prochaine

Outils d'enquête et de reconnaissance du réseau;

Chacun des outils à utiliser devra faire l’objet d’une présentation de

Bénéficier de grandes compétences ;

I.5.6. Rapport d’audit

II.3. Gouvernance de l’information

Pour une raison commerciale. Pour certaines entreprises, être

II.6. Les méthodes

L’alignement du SI sur le métier de l’entreprise ;

COBIT s'appuie sur un cadre de 34 processus organisés autour

Réaliser des benchmarks intra ou inter-entreprises ;

Le modèle COBIT est transposable quelque soient les secteurs d’activité,

Meilleur alignement de l'informatique sur l'activité commerciale

Une répartition claire de la propriété et des responsabilités, grâce à

II.8. Historique des normes en matière de sécurité de

Traite des Remplace la

Tableau III.2. La suite des normes ISO

Doter l’organisation d’une Politique de

Gérer, suivre et garantir la sécurité de

Garantir que les utilisateurs connaissent

Assurer la protection et la disponibilité

Garantir l’exploitation bien et sécurisée

Garantir la mise en place d’une politique

Suite à un incident mineur (panne d’un

Eviter toute violation de la propriété

Tableau II.3. NA ISO/CEI 27002 les 11 chapitres

Figure II.3. Les cinq modules de la méthode EBIOS

II.11.2. La méthode MEHARI

Un plan stratégique de sécurité

MEHARI, conjugue la rigueur d'une analyse des risques liés formellement

Cette formule très simple notifie que le management de la sécurité a pour

**Etablissement d'un plan

Tableau II.4. Les phases de MEHARI

II.12. Démonstration comparatif des méthodes et normes

ISO/CEI 2700x : **L'ISO/CEI 2700X est une norme internationale de

Identification des objectifs de sécurité.

Une description pratique et précisée de la mise en œuvre des

La norme admet d'identifier plus rentablement les risques et les coûts

Une méthode structurée identifiant les besoins réels de l’organisme

Logiciel d’assistance à la mise en œuvre (Base de connaissance

un meilleur alignement de l’informatique sur l’activité de

un préconçu adéquat de la part des tiers et des organismes de