Professional Documents
Culture Documents
Audit Et Sécurité de Système D'information Sécurité de Système D'information - AB ERIC
Audit Et Sécurité de Système D'information Sécurité de Système D'information - AB ERIC
sécurité
de
système
d’information
Sommaire
Introduction générale
I.1. Introduction
Problématique
La sécurité des systèmes d’information constitue un domaine qui a
toujours été d’actualité, encore plus de nos jours, en raison du
développement technologique rapide et permanent qui survient dans le
monde de l’information.
Garantir la sécurité d’un système d’information n’est pas une tâche
facile, car elle constitue un processus continu et cyclique qui s’effectue
autour des points suivants :
Objectifs du travail
Dans un premier temps, nous avons eu comme objectif l’établissement
d’un état de l’art du domaine de l’audit et du conseil de la sécurité des
systèmes d’information.
Dans un second temps et au sein de l’organisme d’accueil : IT PRO le
but était de réaliser un : « Audit de sécurité des systèmes d’informations»,
afin de détecter les risques, menaces, vulnérabilités, cette audit nous
permettra d’établir un rapport, de conseiller et de sensibiliser les
responsables de cet organisme sur la nécessité de mettre en place des
mesures adéquates de sécurité des SI.
Organisation du document
La structuré de ce livre est en quatrième principaux chapitres :
Dans le premier chapitre, nous allons présenter quelques concepts
autours desquels notre sujet s’articule, nous nous intéressons aux systèmes
d’information, aux concepts de base de la sécurité, à la définition de l’audit
et enfin, la démarche à suivre pour le réaliser.
Dans le second chapitre, nous décrivons les concepts de base des
méthodes, référentiels et des normes de sécurité. Ce chapitre sera clôturé par
une synthèse et sur le choix de référentiel en l’occurrence la norme ISO/CEI
27002.
Le troisième chapitre, a trait à l’audit, pour le compte de Entreprise,
qui comporte deux principales phases qui sont, l’audit organisationnel et
physique et l’audit technique.
Pour la première phase, nous avons utilisé deux questionnaires, le
premier se base sur la norme NA ISO/CEI 27002 et le second traite des
métiers spécifiques de l’entreprise. La deuxième phase consiste à utiliser des
outils standards afin de réaliser un audit technique dans le but de collecter
les informations nécessaires et éventuellement de détecter les failles du
réseau.
Nous terminons par le quatrième chapitre, dans lequel nous avons
proposé des recommandations et des suggestions, suite aux résultats de
l’audit constatés par rapport aux différentes clauses de la norme ISO/IEC
27002, et des solutions relatives au volet technique afin de préserver et
d’améliorer la sécurité des systèmes d’information de l'entreprise.
Chapitre I :
Concepts de base de la sécurité des SI
I.1. Introduction
La contrainte majeure de la sécurité des systèmes d’information est
qu'aucune garantie absolue ne peut être donnée. La seule manière la plus
efficace de protéger un système consiste à ne pas y concéder l'accès de
quelque manière que ce soit.
Tout accès au système peut potentiellement devenir une porte d'accès
non autorisée.
Il est clair qu'un système auquel nul n'a accès n'a que peu d'utilité. Toute la
difficulté de la notion de sécurité consiste donc à autoriser l'accès à un
système aux ayants droits de la manière la moins désagréable possible, tout
en empêchant l'accès aux personnes non autorisées de la manière la plus
efficace possible. Les deux objectifs sont souvent antinomiques.
Ce premier chapitre reprend les principaux concepts autours des
quels notre sujet s’articule, nous nous intéressons dans ce qui suit aux
systèmes d’information, aux concepts de base de la sécurité, à l’audit et à la
démarche à suivre pour le réaliser.
I.2. Les Systèmes d’information
Avant de définir un système d’information nous devons nous intéresser à
la notion de système.
I.2.1. Système
Un système est un ensemble des éléments en relation les uns avec les
autres et formant un tout. Il représente une unité parfaitement identifiable et
évoluant dans un Environnement donné. Il existe donc une limite qui
départage le système de son environnement. [1]
I.2.2. Système d’Information
Un système d'information est un ensemble organisé de ressources
(matériel, logiciel, personnel, données et procédures) qui représente tous les
éléments impliqués dans la gestion, le traitement, le transport et à la diffusion
de l’information au sein de l’entreprise. [2]
A l’origine les systèmes d’informations ont fait leur première apparition
dans les domaines de l’informatique et des télécommunications, cependant
nous voyons aujourd’hui apparaître le concept dans tous les secteurs, que ce
soit des entreprises privées ou publiques.
Un système d’information peut être apparenté au véhicule qui
permettra d’établir la communication dans toute l’entreprise. La Structure du
système est constituée de l’ensemble des ressources (hommes, matériels,
logiciels) qui s’organise pour : collecter, stocker, traiter et communiquer les
informations. Le système d’information est le grand coordinateur des
activités de l’entreprise et qui joue un rôle crucial dans l’atteinte des
objectifs fixés par cette dernière.
Le SI se construit tout autour des processus « métier » et ses interactions.
Pas seulement autour des bases de données ou des logiciels informatiques
qui le constitue. Le SI doit être en accord avec la stratégie de l’entreprise.
[3]
I.3. La Sécurité de l’Information
La sécurité de l’information renvoie à plusieurs concepts, la politique
de sécurité en représente une des notions les plus importantes, nous donnons
une brève introduction à la sécurité de l’information en renvoyant le lecteur
au chapitre 3 : « Audit de la sécurité des SI » pour les Enjeux de la sécurité
des SI.
I.3.1. La sécurité de l'information
Pour des soucis d'efficacité et de rentabilité, une entreprise
communique aujourd'hui avec ses filiales, ses partenaires et va jusqu'à offrir
des services aux particuliers, ce qui induit une ouverture massive à
l'information. [NA ISO/CEI 27002:2008]
Par l'ouverture des réseaux, la sécurité devient un facteur décisif du
bon fonctionnement de l’entité. Il reste que toute entité possède certaines
informations qui ne doivent être divulguées qu'à un certain nombre de
personnes ou qui ne doivent pas être modifiées ou encore qui doivent être
disponibles de manière transparente à l'utilisateur. Ces informations peuvent
faire l'objet d'une attaque par ce que les menaces existent et que le système
abritant ces informations est vulnérable. [4]
I.3.2. Pourquoi se protéger ?
Une action sur l’information, peut engendrer un certain nombre de
conséquences, nous pouvons en citer quelques-unes : On estime que la perte
des informations, provoque :
b. Déroulement
Les objectifs attendus à ce stade, leurs résultats ne sont possibles que
par l'utilisation de différents outils. Chaque outil commercial qui devra être
utilisé, doit bénéficier d’une licence d’utilisation en bonne et du forme.
Les outils disponibles dans le monde du logiciel libre sont également
acceptés.
L’ensemble des outils utilisés doit couvrir entièrement/partiellement la
liste non exhaustive des catégories ci-après :
I.6. Conclusion
Les principaux concepts de la sécurité jumelés à la démarche d’audit
définis dans ce chapitre, nous permettent de dresser un état de l’art, aussi
comme précédemment explicité, un audit se fait sur la base d’un référentiel,
plus précisément dans notre étude à un référentiel sécurité.
Le chapitre suivant se propose d’introduire les différentes méthodes,
normes et principes que l’on retrouve dans la littérature d’une part et sur
lesquelles notre travail s’est appuyé d’autre part.
Chapitre II :
Méthodes et normes d’audit de sécurité
des SI
II.1. Introduction
Les concepts, les méthodes de sécurité ainsi que les normes de
sécurité sont autant de référentiels auxquels nous faisons appel lors des
différents audits. Nous allons tenter de les définir dans ce qui suit.
II.2. ISO (Organisation Internationale de Normalisation)
L'ISO est un réseau d'instituts nationaux de normalisation des 162
pays, selon le principe de membre par pays, dont le Secrétariat, situé à
Genève (Suisse), qui assure la coordination d'ensemble. L'ISO est une
organisation non gouvernementale qui fait du pont entre le secteur public et
privé. Beaucoup de ses instituts membres font en effet partie de la structure
gouvernementale de leur pays ou sont mandatés par leur gouvernement,
d'autres organisations membres viennent exclusivement du secteur privé et
ont été établis par des partenariats d'associations industrielles au niveau
national. L'ISO permet ainsi d'établir un consensus sur des solutions
répondant aux exigences du monde économique et aux besoins plus généraux
de la société. [7]
II.7.2. Démarche
Objectifs
La norme ISO 27001 diffusée en octobre 2005 substitue à la BS 7799-
2 de la BSI [ British Standards Institution]. Il s'adresse à tous les types
d'organisations [sociétés commerciales, administrations, etc.]. La norme ISO /
IEC 27001 décrit les exigences pour la mise en place d'un système de gestion
de la sécurité de l'Information. Le SMSI est destiné à choisir les mesures de
sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un
périmètre défini. C'est le modèle de qualité PDCA [Plan-Do-Check-Act] qui
est recommandé pour établir un SMSI afin d'assurer une amélioration continue
de la sécurité du système d'information.
La norme dicte également les exigences en matières de mesures de
sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la
même d’un organisme à l’autre. Les mesures doivent être adéquates et
proportionnées à l'organisation afin de ne pas être trop laxistes ou trop
sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un
SMSI et d’outils de mesures de sécurité aient pour but de garantir la
protection des actifs informationnels. L’objectif est de protéger les
informations de toute perte ou intrusion. Cela apportera la confiance des
parties prenantes.
II.9.2. ISO/CEI 27002 :
ISO - IEC 27002 c'est une norme internationale pour sécurité de
l'information, publiée en 2005 par l'ISO, est Code de bonnes pratiques pour le
management de la sécurité de l’information.
L'ISO -CEI 27002 c'est un ensemble de 133 mesures dites" meilleures
pratiques ", destinées à être utilisées par tous les responsables de la mise en
œuvre en place ou maintenance d'un système de gestion de la sécurité de
l'Information.
La sécurité de l’information est déterminée [ conserve de la
confidentialité, de l'intégrité et de la disponibilité de l'information ].
Objectifs
ISO-IEC 27002 est plus un code de pratique qu'une véridique norme
ou détermination absolue telle que ISO / IEC 27001 Il présente une série de
examines (39 objectifs de contrôle) qui suggèrent de prendre en compte des
risques de sécurité d' informations relatives à la confidentialité, l'intégrité et
les aspects de disponibilité.
Les entreprises qui adoptent l'ISO-CEI 27002 doivent progressé leurs
propres risques de sécurité de l'information et appliquer les contrôles
appropriés, en utilisant la norme pour orienter l’entreprise.
NB : La norme ISO/CEI 27002 n'est pas une norme au sens habituel du
terme. En effet, il ne s'agit pas d'une norme technique, technologique ou
orientée produit, ni d'une méthodologie d'évaluation d'équipement telle que
les critères communs CC/ISO 15408.
II.9.3. ISO/CEI 27003 :
La norme ISO / IEC 27003 fournit une approche orientée processus pour
la mise en œuvre réussie d'un SMSI conformément à ISO 27001.
Objectifs
Le but de l'ISO / CEI 27003 est de fournir aide et les conseils à mettre
en œuvre un Système de Management de la Sécurité de l'Information.
II.9.4. ISO/CEI 27004 :
L'ISO / CEI 27004 couvre les mesures de gestion de la sécurité de
l'information, communément appelées mesures de sécurité. Préparée par
l’ISO et la Rémunération électrotechnique internationale (CEI). Son nom
complet est la technologie de l'information - Techniques de sécurité -
Management de la sécurité de l'information -- Mesurage.
Objectifs
Le but de la norme ISO / IEC 27004 est d'aider les organisations à
mesurer, rapporter et donc d'améliorer systématiquement l'efficacité de leurs
systèmes de gestion de sécurité de l'information (SGSI).
II.9.5. ISO/CEI 27005 :
Le premier standard de gestion des risques de sécurité des systèmes
d'information: l'ISO/CEI 27005. Cette norme est une norme internationale qui
décrit le système de Gestion des risques de sécurité de l'information. Certains
expliquent que cette norme est en fait une méthode quasi-applicable en
utilisant les annexes et en les adaptant à leur contexte. En à dans l'enquête
2010 du CLUSIF, 35% des entreprises qui font analyses de risques déclarent
le faire en utilisant la norme ISO 27005.
Objectifs
ISO 27005 explique en détail comment procéder à l'évaluation et au
traitement des risques dans le contexte de la sécurité de l'information. ISO
27005 fournit une méthodologie pour gérer le risque d'information dans le
l'entreprise conforme à la norme ISO/CEI 27001.
II.9.6. ISO/CEI 27006 :
ISO/CEI 27006 est un standard de sécurité de l'information publié
conjointement par l'ISO et la CEI, afin de fixer les exigences pour les
organismes réalisant l'audit et la certification de SMSI.
Objectifs
Son objectif est de fournir les conditions préalables aux organismes
d'audit et de certification ISO 27001 pour les systèmes de gestion de la
sécurité de l'Information. Cette norme a été mise à jour en 2011 et porte la
référence ISO / IEC 27006
II.9.7. ISO/CEI 27007 :
Cette norme cède des directives pour les audits des systèmes de
gestion de la sécurité de l'information, ainsi que des avis sur la compétence
des auditeurs du SMSI. Il comprend également les lignes directrices
contenues dans l'ISO 19011.
II.10. La norme ISO/CEI 27002
Cette norme reprend un guide de bonnes pratiques pour être certifier
ISO/CEI 27001, elle Présente 11 thèmes, avec 133 mesures nous nous
sommes basé sur ce référentiel pour la suite du travail :
Gestion des
actifs : Identifier, inventorier et classifier tous les
biens nécessaires à la gestion des
informations. Pour chacune d’entre elles, un
responsable doit être identifié. Celui-ci est
chargé de faire appliquer la politique de
sécurité pour ses biens.
Contrôles
d’accès : Garantir un contrôle efficace d’accès aux
informations.
Suivre et maîtriser les accès aux SI.
Assurer la conformité entre les
habilitations et l’existant.
Acquisition, Garantir la gestion de la sécurité tout au
développement et long du cycle de vie des Systèmes
maintenance des d’Information.
systèmes Réduire les risques liés à l'exploitation
d’information : des vulnérabilités techniques et applicatives.
Objectifs
Etude du contexte ;
Expression des besoins ;
Etude des risques ;
Processus:
ISO/CEI 2700x
EBIOS
COBIT
Avantages:
ISO/CEI 2700x ;
EBIOS :
COBIT:
EBIOS :
II.13. Synthèse
Pourquoi choisir cette norme ISO 2700x ?
II.14. Conclusion
Après avoir passé en revue les principales méthodes de management
de sécurité, et plus précisément la famille de norme ISO 2700x, nous
pouvons passer à la phase suivante de notre travail et aborder l’audit.
Chapitre III :
Audit de sécurité des SI
III.1. Introduction
Ce chapitre comprend l'audit que nous avons réalisé pour le compte de
l'entreprise IT-PRO, il comporte deux phases principales, l'audit organisationnel et
environnemental d'une part et l'audit technique d'autre part.
Pour la première phase, nous avons utilisé deux questionnaires, le premier
reprend l’aspect métier et le second se base sur la norme NA ISO/CEI 27002. La
deuxième phase consiste à utiliser des outils standards afin de réaliser un audit
technique dans le but, de collecter les informations nécessaires pour
éventuellement détecter les failles de sécurité.
III.2. Enjeux de la sécurité des SI :
L’objectif principal de cet audit est de connaitre les différentes anomalies,
failles et risques liés à la sécurité informatique au sein de l’organisme IT-PRO afin
de répondre aux enjeux suivants :
III.3. Déroulement
Après notre induction au sein de la IT-PRO en général,Notre premier
interlocuteur : Le responsable de l’exploitation ainsi que différents responsables
ont répondu à notre questionnaire, ils nous ont décrit les différents aspects métier
ainsi que les outils employés dans le traitement de l’information tels que, le
référentiel pétrole et référentiel gaz.
Nous avons développé un utilitaire (sous Excel) qui permet de récupérer
les résultats de l’audit et calcule la moyenne de chaque chapitre de la norme, pour
nous donner en résultat des notes d’évaluation.
Concernant l’audit technique, nous avons utilisé des outils de scan, dans le
but de détecter les failles et les vulnérabilités.
La dernière étape comporte à placer des rapports et des courbes, elle
reprend toutes étapes précédentes.
Figure III.1. Les phases de l’audit
III.4. Questionnaire métier
Après avoir terminé notre questionnaire, nous avons pu collecter les
renseignements ci-après indiqués.
• La connaissance des missions de IT-PRO ;
• Le niveau des systèmes de comptage par rapport aux normes et standards
internationaux ;
• L’enregistrement et la centralisation de tous les mouvements
d’hydrocarbures liquides et gazeux après élaboration des situations
périodiques ;
• La procédure de facturation des quantités des hydrocarbures transportées
(pétrole brut, condensat, GPL et gaz naturel) ;
• L’interface avec les activités Amont et Commercialisation et autres
partenaires concernés en matière de comptage, de comptabilité matière et
facturation.
L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités)
de tout ou partie du domaine visé.
Pour exploiter facilement ces résultats dans les réunions de direction où ils
seront présentés comme une aide à la décision pour des plans futurs, l’outil donne
des présentations graphiques, sous la forme d’une rosace, pour chacun des
domaines.
III.6.1.2 Mode d’opération
Le fichier Excel est sans aucune macro, et de simples calculs dans des
champs protégés. L'utilisateur entre uniquement des valeurs dans les champs
autorisés.
Le fichier Excel contient 12 onglets représentant les 11 domaines de
sécurité d’ISO/CEI 27002. Notez que les domaines portent les chiffres de 5 à 15 et
que les onglets suivent l’ordre des domaines. Le 1er onglet est une sorte de tableau
de bord regroupant les valeurs entrées dans chaque onglet.
III.6.1.3. Procédures
Étape 1 :
Une fois entré dans le fichier, vous êtes invité à entrer des valeurs dans « la
colonne C » en réponse au contrôle de chacun des domaines, en commençant à
l’onglet DOMAINE 5 (bas de page). Il fait de même pour chaque onglet suivant. Il
y a 11 onglets en tout, représentant chacun des domaines
L’utilisateur doit entrer une valeur de 0 à 5 en se basant sur un des éléments
de réponse ci-dessous. Il est à noter que ces valeurs proviennent du Capability
Maturity Model (CMM), en français un modèle de référence de maturité.
III.7. Rapport
Définition de niveaux de criticité
Lors de l’analyse de chacune des clauses, nous leurs attribuerons une
classification en fonction du degré de gravité de non-conformité par rapport à la
norme NA ISO/IEC 27002 :2008. Cette classification comprend trois classes :
1. Zone sécurisée
2. Sécurité du matériel
III.7.11. Conformité
Cette clause a une moyenne de 48.89%, d’où une sévérité en dessous de la
moyenne par rapport à la norme NA ISO/CEI 27002.
La grande majorité des machines dispose de licences d’exploitation, légalement
acquises. Cependant un ensemble d’outils installés sur certaines machines n’ont pas
de licences valides ce qui impliques des vulnérabilités sécurité.
IT-PRO manque de personnel habilité, de documentation relative aux
applications, Elle n’aspire pas encore au respect des normes et les méthodes
universelles en matière de sécurité de SI (telle que la norme ISO 27002, MEHARI,
Ebios,etc...) Toutefois, le personnel n’est pas sensibilisé sur une bonne utilisation
des technologies de l’information et la communication au sommet de l’entreprise, et
aucun audit relatif à la sécurité de l’information n’a été fait à ce jour.
III.7.12. Résultat final de l’Analyse Organisationnel et environnemental
A l’issu de ces résultats, l’entrepeise enregistre une conformité globale de
55,22%, par rapport à la norme ISO/IEC 27002 ; cette valeur est en dessous de la
moyenne requise, ce qui dénote une de maturité au sein de l’entreprise.
Figure III.8. Résultat graphique de l’audit organisationnel et
environnemental
III.8. La matrice d’analyse SWOT
Utiles Nuisibles
Forces
Faiblesses
Contrôle et
gestion des actifs de Absence de
l’organisme. documentation
la gestion et le relative à la
Origine contrôle d’accès au politique de
Interne DATACENTER ; sécurité du SI
(Attribuée au Présence d’une (PSSI) ;
système) politique de routage Absence de
des paquets et prise sensibilisation du
en considération du personnel sur la
surdimensionnement sécurité SI ;
du réseau de
l’organisme …
Origine Opportunités Menaces
Externe
(Attribuée à Le programme Vulnérabilités
l’environnement) SI comporte dans les systèmes
plusieurs projets Perte de
réalisés ou en cours données suite à
de réalisation, dans l’utilisation
le cadre de la incontrôlée des
sécurité du SI tel disques
que (département amovibles, et
sécurité l’absence d’un
d’information, une incinérateur du
PSSI...) papier
Il est ainsi très facile à l'intrus d'insérer un cheval de Troie dans le réseau
via cette cible intermédiaire, ou d'obtenir des informations très importantes.
➢ 97 adresses Emails
➢ 36 servers publics
Figure III.12. Résultat de la recherche sur theHarvester
Que nous laissons dans l’anonymat suite aux engagements que nous pris avec
IT-PRO.
Après avoir identifié les servers, nous avons fait un whois :
Utilisation :
Whois [OPTION]… OBJECT…
[OPTION]
-a search all databases
-s SOURCE[,SOURCE]... search the database from SOURCE
Nous avons lancé un Whois sur l’adresse IP d’un serveur web Outlook, obtenue
de l’outil theharvester, et nous avons reçu le résultat suivant :
Figure III.12. Résultat de la recherche sur whois
III.9.1.3. La prise d'empreinte par pile TCP/IP
Nmap souscrit quant à lui de réaliser le scan des composes d'un sous-
réseau, d'en apprendre les ports ouverts, et donc possiblement de éprouver les
services lancés sur chaque machine, de apprendre leurs versions et potentiellement
les vulnérabilités.
En consultant la pile TCP /IP d'un serveur, on peut en effet expliquer de
nombreuses informations nécessaires lors d'une attaque.
Tout d'abord, la perception du système d'exploitation d'un serveur est
certainement cruciale pour un attaquant. Suffisamment de failles sont
caractéristiques aux systèmes d'exploitation, et les façons d'y enfoncer sont
également différentes.
Le fait de balayer un réseau, de le scanner, permet de connaître sa topologie. Le
scanneur de ports va détecter les IP actives sur le réseau, détecter les ports ouverts
et les services potentiels qui tournent derrière chaque port ouvert.
Pour cela, Nmap est un outil pratique et indispensable pour tout
administrateur, dans le sens où il est capable de retirer beaucoup d'informations
par prise d'empreinte TCP/IP sur les réseaux complets avec une adresse de sous-
réseau et son masque. Il permet de trouver par exemple le système d'exploitation en
analysant la réponse donnée d'abord à la connexion TCP à un port ouvert, puis à un
port fermé. Cette technique n'est pas fiable à 100% mais reste très efficace.
Dans la pratique, nous avons fait un scan sur l’adresse réseau
10.130.0.0/16, et nous utiliserons la commande suivante : #
nmap - sS - su -0 -oN nmap.log 10.130.0.0/16
Résultat :
Le schéma ci-dessous, nous indique une partie du rapport du résultat du
scan. Il comporte, l’adresse IP et l’adresse MAC de la machine, les différents ports
ouverts et le type du Système d’exploitation.
[*] Nmap: Starting Nmap 6.25 ( http://nmap.org ) at 2013-04-08 15:25 CEST
[*] Nmap: Nmap scan report for 10.130.0.10
[*] Nmap: Host is up (0.00015s latency).
[*] Nmap: Not shown: 95 closed ports
[*] Nmap: PORT STATE SERVICE VERSION
[*] Nmap: 21/tcp open ftp?
[*] Nmap: 135/tcp open msrpc Microsoft Windows RPC
[*] Nmap: 139/tcp open netbios-ssn
[*] Nmap: 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
[*] Nmap: 3389/tcp open ms-wbt-server Microsoft Terminal Service
[*] Nmap: MAC Address: 00:19:99:39:0B:0E (Fujitsu Technology Solutions)
[*] Nmap: Device type: media device
[*] Nmap: Running: Microsoft Windows PocketPC/CE
[*] Nmap: OS CPE: cpe:/o:microsoft:windows_ce
[*] Nmap: OS details: AT&T U-Verse set-top box (Windows CE 5.0)
[*] Nmap: Network Distance: 1 hop
[*] Nmap: Service Info: Host: 220; OS: Windows; CPE: cpe:/o:microsoft:windows
...
Figure IV.13. Rapport de l’outil nmap
1. Nessus
Nessus est un outil de test de vulnérabilité. Il marche en mode client/serveur,
avec une interface graphique. Une fois établi, le serveur« Nessusd », probablement
sur une machine distante, réalise les tests et les envoie au client « Nessus » qui
fonctionne sur une interface graphique.
Nessus est un produit commercial propagé par la société TENABLE Network
Security. Il peut cependant être utilisé gratuitement avec une base des faiblesses
dont la mise à jour est déplacée d'une semaine.
L’objectif de cette partie est surtout de présenter les résultats des scans de
vulnérabilités effectués sur le réseau informatique de l’audité. Dans ce qui suit
l’interface d’initialisation de Nessus.
Une liste exhaustive des ports ouverts est dressée dans le rapport ce qui ne
fut pas le cas pour la plupart des scans. Chaque port est bien détaillé par la suite.
Qualys SSL Labs offre des ressources pour mettre SSL à profit et sécuriser les
sites Web ainsi que les transactions en ligne. Gratuit, ce test SSL en ligne examine
la chaîne de certification SSL d’un site Web pour vérifier qu’elle est de confiance
et qu’elle participe activement à la sécurité des communications sur Internet.
La figure ci-après présente un rapport généré que nous avons fait sur un site
HTTPS:
III.10. Conclusion
Ce présent chapitre nous a permis d’avoir une bonne expérience
professionnelle grasse aux différents entretiens fait pour rependre aux
questionnaires (métiers, organisationnel et physique) et aussi de manipuler
différents outils, tout ça a été d’une importance capitale pour mettre à nu les failles
de sécurité.
Suite à ces constats, notre prochain chapitre se penchera sur les
recommandations de l’audit du SI.
Chapitre IV :
Recommandations organisationnelles
et techniques
IV.1. Introduction
Cette partie fait office de chapitre visant à proposer des
recommandations, des conseils et des solutions aux anomalies constatées au
cours de notre stage par rapport aux différentes clauses de la norme ISO/IEC
27002.
IV.2. Recommandations au niveau organisationnel et
physique
Les recommandations suivantes visent à apporter des suggestions pour
améliorer l’aspect organisationnel et physique de la sécurité du système
d’information de IT-PRO.
IV.2.1. Politique de sécurité
La société de IT-PRO doit mettre en place des directives précises et
claires pour l’élaboration d’un document qui renfermera une politique de
sécurité. Cette dernière doit sérieusement s’engager et appuyer cette
démarche afin que cette politique soit mise sur pied. Ce document, une fois
établi et approuvé par la direction, doit être communiqué à l'ensemble du
personnel IT-PRO pour être appliqué et scrupuleusement respecté Il est
indispensable de contrôler d’une manière régulière l’exécution de cette
politique de sécurité pour l’améliorer et corriger les insuffisances d’une part
et sanctionner les contrevenants d’autre part.
IV.2.2. Organisation de la sécurité
Organiser la sécurité informatique d’une entreprise nécessite la
nomination et la désignation d’un Responsable de Sécurité des Systèmes
d’Information (RSSI). Ce dernier devra veiller au respect et à l’exécution des
mesures et des règles de sécurité.
IT-PRO, doit créer un nouveau département relevant de la DOSI, qui
aura pour mission l’élaboration et l’amélioration des règles de sécurité
informatique, veiller à leur respect par tous le personnel de l’entreprise et
enfin actualiser les différentes procédures par la proposition de nouvelles
solutions.
Une définition claire et précise des rôles et responsabilités vis-à-vis
de la sécurité de l’information est nécessaire tout en faisant appel aux
compétences de spécialistes, quand le besoin se fait sentir.
IV.2.3. Classification et contrôle des actifs
La classification selon l’importance de l’actif et le contrôle nécessite
une organisation claire et précise des différents types d’actifs en leur
accordant le niveau de sécurité nécessaire. De ce fait, L'organisation doit
spécifier de manière complète et formelle les procédures liées à la
destruction d'informations.
IV.2.4. Sécurité des ressources humaines
Il est important de mettre en place une procédure de sensibilisation et
de formation continue du personnel sur les risques liés à la sécurité de
l’information, et l’inciter à contribuer à l’élaboration de cette dernière.
L’adoption de chartes précisant le comportement et l’attitude vis-à-vis des
technologies de l’information et de la communication est un moyen pour y
parvenir. Aussi, l’entreprise doit veiller au respect de ces procédures et ces
chartes par tout le personnel et infliger des sanctions sévères à l’encontre des
contrevenants.
IV.2.5. Sécurité physique et environnementale
Par instinct, parler de sécurité évoque automatiquement la sécurité
physique et environnementale, sur ce point, le site IT-PRO est loin de
répondre aux exigences de sécurité (établi à côté d’une raffinerie et dans une
zone urbaine).
Pour une sécurité maximale et s’agissant d’une entreprise à vocation
internationale, il est souhaitable que IT-PRO se dote d’un incinérateur pour
détruire toutes les ordures de bureaux.
IV.2.6. Gestion des communications et de l’exploitation
L’entreprise (DOSI) doit, dans les plus brefs délais possibles,
généraliser l’utilisation du système COE (Common Operating Environment)
pour une meilleure gestion et un bon contrôle par l’administrateur de la DOSI.
Dans ce contexte, nous avons remarqué que l’entreprise ne dispose
pas de moyen de contrôle d’une éventuelle intrusion interne, pour se faire il
est nécessaire de mettre en place un IDS (intrusion Détection System) ou un
IPS (Intrusion Protection System).
Aussi, il est utile de règlementer par note de service, l’utilisation des
périphériques amovibles.
IV.2.7. Contrôle d’accès
Gestion d'accès à des utilisateurs est nécessaire pour n'autoriser que
des personnes autorisées au système d'information et empêcher les autres.
Aussi, une politique efficace et rigoureuse de gestion de mots de passe
utilisateurs doit être définie et appliquée au sein de l’entreprise à condition
de les renouveler régulièrement et périodiquement.
Il est préférable d’introduire un nouveau mot de passe pour interdire
tout accès au DOS à toute personne non autorisée.
IV.2.8. Acquisition, maintenance et développement des systèmes
L’instauration de procédures pour assurer la confidentialité tel que le
chiffrement ou la signature électronique doit faire partie des procédures
développées de l’entreprise Il s'ensuit donc que la gestion des clés doit être
mise en œuvre pour la meilleure organisation de l'utilisation des techniques
cryptographiques. Il faut aussi procéder à la vérification de tout matériel
informatique acquis (circuit intégrés-et tous autres composants) avant son
utilisation par l’entreprise. De même que pour le volet SOFT, il faut prêter
une attention particulière au code source (vérification minutieuse).
IV.2.9. Gestion des incidents de sécurité
Il est important de s’assurer que les évènements de sécurité, ainsi que
les faiblesses relatives au système d’information de l’entreprise sont
communiqués à la DOSI qui se chargera d’apporter les mesures correctives
dans les délais les plus brefs. Cependant il est impératif de de renforcer la
DOSI par des cadres formés dans le domaine de la sécurité informatique qui
auront pour mission principale, la détection de toute attaque ou intrusion.
Ces mêmes cadres assureront la permanence et la continuité du
service au niveau du Data Center 24h/24h et d’établir des rapports pour tout
incident détecté pour permettre de le résoudre et de se prémunir de sa
répétition IV.2.10. Gestion de la continuité d’activité
IT-PRO, peut être mesurée à tout période, à des incidents ou
catastrophes naturelles, dont les dommages peuvent être élevées et de
plusieurs origines, ce qui force l’entreprise à devoir assurer un service
continu au sein [du Data Center ] pour faire face à toute possibilité afin de
récolter toutes les mesures nécessaires et de deviner la redondance dans un
autre lieu.
Les exigences en termes de secours informatique et de Reprise
d’Activité, à savoir le Délai Maximal d’Interruption Tolérable (DMIT) et les
Pertes de Données Maximales Acceptables (PDMA), sont intégrés dans les
nouveaux projets.
Un exercice annuel du PRA est planifié et réalisé sous couvert du
RSSI. Ce plan de reprise est régulièrement mis à jour et testé afin de garantir
sa pérennité IV.2.11. Conformité
Etant donné que l’entreprise de IT-PRO traite des données à caractère
confidentiel (renseignements sur les hydrocarbures dans ce payé et les projets
qui lui sont liés) ces dernières doivent rester secrètes ceci implique
l’implémentation d’une norme ou d’une méthode telle que (ISO 27001,
MEHARI, Ebios…) l’entreprise sera audité soit de l’intérieur, soit de
l’externe par des membres ayant participé à l’adoption de ces normes et sera
certifiée dans le cas positif.
Un personnel sensibilisé et une sécurité plus renforcée, tels sont les
conséquences directes de cette nouvelle situation (certification de
l’entreprise.) IV.3. Recommandations au niveau technique
Dans cette partie du chapitre, nous allons vous proposer quelques
solutions relatives à l'aspect technique afin de préserver et d'améliorer la
sécurité de l'information au niveau local [rafic interne]. Une bonne partie de
ces solutions, gèrent, auditent, et contrôlent toutes les opérations effectuées
par les machines, tels que, l’installation des logiciels et assurent pour
l’administrateur une traçabilité régulière et ordonnée.
IV.3.1. la solution Loglogic
Contrôle des
utilisateurs
Contrôlez les activités des utilisateurs avec
des privilèges et des administrateurs.
Recevez des alertes et bénéficiez du suivi
des accès indésirables aux enregistrements
financiers et confidentiels.
Stockez, recherchez et établissez des rapports
sur l'historique du comportement des
utilisateurs.
Traçabilité
Gestion des comptes à privilèges
D:
DHCP : Dynamic Host Configuration Protocol
DMZ : Demilitarized Zone
DNS: Domain Name Server
DOS: Disk Operating System
DOSI: Direction Organisation et Système d’information
DRH : Direction Ressource Humaine
DSI : Direction du Système d’Information
E:
EBIOS: Expression des Besoins et Identification des Objectifs de
Sécurité
H
HTML: Hypertext Markup Language
I:
IDS: Intrusion Detection System
IPS: Intrusion Prevention System
IP: Internet Protocol
L:
LAN: Local Area Network
LDAP: Lightweight Directory Access Protocol
M:
MAC : Media Access Control
N:
NMAP: Network Mapper
P:
PSSI : Politique de sécurité des Systèmes d’Information
POP3: Post Office Protocol Version 3
Q:
QSSI: Questionnaire de Sécurité des Systèmes d’Information
R:
RSSI : Responsable de Sécurité des Systèmes d’Information
S:
SAN: Storage Area Network
SI : Système d’Information
SIE : sûreté interne d'établissement
SMSI : Système de management de Système d’information
SMTP: Simple Mail Transfer Protocol
U:
USB: Universal Serial Bus
V:
VPN: Virtual Private Network
VLAN: Virtual Local Area Network
W:
WAB: Wallix Admin Bastion