Audit Securite Systeme Informatique MTIC

5/27/2018 Audit Securite Systeme Informatique MTIC

1/115

2012 - 2013 UNIVERSITE VIRTUELLE DE TUN

MEMOIREDE STAGE DE FIN DETUDE

Pour lobtention du

MASTERE PROFESSIONNEL

Nouvelles Technologies des Tlcommunications et Rseaux

Prsent par :

Ayari Amani

Audit de Scurit du SystmeInformatique de MTIC

Soutenu le : 05/02/2014

Devant le jury : Mr : Khaled Ghorbel

Mme : Emna Souissi

Mme : Chiraz Houaidia
http://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2tr


2/115


Ama mre

pour toute laffection quelle me procure.

Amon pre

pour ses innombrables et prcieux conseils.

Ames frres et leurs conjointes

pour leur soutien.

Aux petites, Lina etFatouma

pour la joie quils me font vivre.

A mon fiancAhmed

Lhommeque jaime tantet avec qui je

construirai ma vie

Ama tanteMtira

Pour son soutien moral

Atoute ma famille, mes oncles, mes tantes,

mes cousins et mes cousines

A tous mes amis

Amani


3/115


Le travail prsent dans ce rapport a t effectu dans le cadre de ce projet de fin

dtudes pour lobtention du diplme de mastre professionnel en Nouvelles Technologies de

Tlcommunications et Rseaux lUniversit Virtuelle de Tunis (UVT)

Ce travail ralis au sein des locaux du Ministre des Technologies de lInformation et de

Communication(MTIC) a pu tre men terme grce la collaboration de certaines personnes

quil nous plat de remercier.

Je remercie galement Mr Khaled Sammoud mon encadreur pour ses conseils lucides et

pertinents.

Je tiens remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi

Moslypour la confiance quils ont su me tmoigner au cours de toute la dure d e ltude de mon

projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert

auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux.

Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une

valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai

trs reconnaissant.

Je remercie particulirement aux responsables et lquipement informatiqueau ministre pour

leur aide, leur patience et leur disponibilit.

Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce

travail.

Amani


4/115


Table des matires

Introduction Gnrale ..........................................................................................................................7

Chapitre I : ......................................................................................................................................... 10

Gnralits et Etude de lArt............................................................................................................ 10

1- Introduction.................................................................................................................... 11

2- Gnralit sur la scurit informatique....................................................................... 11

3- Normes et standards relatives la scurit................................................................ 11

3.1- ISO/IEC 27001............................................................................................................. 12

3.2- ISO/IEC 27002............................................................................................................ 12

3.3- ISO/IEC 27005............................................................................................................ 13

4- Rle et objectifs daudit................................................................................................. 13

5- Cycle de vie dun audit de scurit des systmes dinformation............................ 14

6- Dmarche de ralisation dune mission daudit de scurit des systmesdinformation............................................................................................................................ 15

6.1- Prparation de laudit............................................................................................ 15

6.2- Audit organisationnel et physique........................................................................ 16

6.3- Audit technique...................................................................................................... 16

6.4- Audit intrusif........................................................................................................... 18

6.5- Rapport daudit....................................................................................................... 18

7- Lois relative la scurit informatique en Tunisie................................................... 19

8- Conclusion....................................................................................................................... 19

Chapitre II :........................................................................................................................................ 20

Prsentation de lorganisme daccueil et tude de lexistant.......................................................... 20

1- Introduction.................................................................................................................... 21

2-

Prsentation de lorganisme daccueil......................................................................... 21

2.1- Prsentation gnrale............................................................................................. 21

2.2- Rles et attributions............................................................................................... 21

2.3- Organigramme :...................................................................................................... 23

2.4- Le bureau des systmes dinformation............................................................... 25

3- Description du systme informatique......................................................................... 25


5/115


3.1- Inventaire des micro-ordinateurs et serveurs.................................................... 25

3.2- Inventaire des logiciels et systme dexploitation........................................... 26

3.3- Inventaire des quipements rseaux................................................................... 27

4- Architecture et topologie du rseau............................................................................ 28

4.1- Plan dadressage...................................................................................................... 28

4.2- Description de larchitecture rseau................................................................... 28

5- Aspects de scurit existante........................................................................................ 29

5.1- Scurit physique................................................................................................... 29

5.2- Scurit logique...................................................................................................... 30

5.3- Scurit rseau......................................................................................................... 31

5.4- Scurit des systmes............................................................................................. 31

6- Conclusion....................................................................................................................... 32

Chapitre III :....................................................................................................................................... 33

Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002.................... 33

1- Introduction.................................................................................................................... 34

2- Approche adopt............................................................................................................ 34

3- Droulement de la taxonomie organisationnel et physique.................................... 34

3.1- Prsentation des interviews.................................................................................. 34

3.2- Prsentation et interprtation des rsultats....................................................... 34

4- Conclusion....................................................................................................................... 40Chapitre IV: ....................................................................................................................................... 41

Taxonomies des failles techniques.................................................................................................... 41

1- Introduction.................................................................................................................... 42

2- Analyse de larchitecture rseau et systme............................................................... 42

2.1- Reconnaissance du rseau et du plan dadressage........................................... 42

2.2- Sondage systme et des services rseaux........................................................... 44

3- Analyse des vulnrabilits............................................................................................ 50

3.1- Serveur Backup Mail.............................................................................................. 50

3.2- Serveur SyGec......................................................................................................... 51

3.3- Serveur de messagerie Lotus Notes.................................................................... 52

4- Analyse de larchitecture de scurit existante.......................................................... 53

4.1- Analyse du Firewall............................................................................................... 54


6/115


4.2- Analyse du Routeur Cisco..................................................................................... 54

4.3- Analyse du Switch HP Procurve.......................................................................... 55

4.4- Analyse de la politique dusage de mots de passe ........................................... 56

5- Conclusion....................................................................................................................... 57

Chapitre V :........................................................................................................................................ 58

Recommandations organisationnelles et physiques........................................................................ 58

1- Introduction.................................................................................................................... 59

2- Politique de scurit....................................................................................................... 59

3- Organisation de la scurit de linformation.............................................................. 59

4- Gestion des biens............................................................................................................ 60

5- Scurit lie aux ressources humaines........................................................................ 61

6-

Scurit physique et environnementale...................................................................... 62

7- Gestion des communications et de lexploitation...................................................... 63

8- Contrle daccs.............................................................................................................. 63

9- Dveloppement et maintenance des systmes........................................................... 64

10- Gestion des incidents..................................................................................................... 65

11- Gestion de la continuit dactivit............................................................................... 66

12- Conformit...................................................................................................................... 66

13- Conclusion....................................................................................................................... 67

Chapitre VI : ...................................................................................................................................... 68

Recommandations techniques........................................................................................................... 68

1- Introduction.................................................................................................................... 69

2- Recommandations.......................................................................................................... 69

3- Solution propose........................................................................................................... 72

3.1- Dploiement complet dActive directory (Annexe 4)...................................... 72

3.2- Windows Server Update Services...................................................................... 72

3.3- Deuxime Switch HP Procurve............................................................................ 72

3.4- Nouvelle architecture............................................................................................. 73

4- Conclusion....................................................................................................................... 73

Conclusion Gnrale.......................................................................................................................... 74

Bibliographie...................................................................................................................................... 77

Annexes.............................................................................................................................................. 79


7/115


TABLE DES FIGURES

Figure 1:Cycle de vie d'audit scurit ........................................................................................... 14

Figure 2:Processus d'audit ............................................................................................................ 15

Figure 3:Site du ministre(MTIC) ................................................................................................ 22

Figure 4:Organigramme de MTIC ................................................................................................ 23

Figure 5:Stuctures de cabinet ........................................................................................................ 24

Figure 6:Topologie du rseau du ministre(MTIC) ...................................................................... 29

Figure 7:Interface d'administration des onduleurs ........................................................................ 30

Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32

Figure 9:Rsultat de la taxonomie organisationnelle .................................................................... 39

Figure 10:Rseau local .................................................................................................................. 43

Figure 11:Configuration rseau au niveau du poste ..................................................................... 44Figure 12:Sondage des systmes dexploitation avec GFI LANguard......................................... 45

Figure 14:Sondage des services en activit du serveur Backup Mail ........................................... 46

Figure 15:Sondage des services avec Zenmap.............................................................................. 46

Figure 16:Sondage des ports ouverts ............................................................................................ 47

Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47

Figure 18:Capture des flux avec wireshark .................................................................................. 48

Figure 19:Partages rseau avec GFI LANguard ........................................................................... 49

Figure 20:Vulnrabilits (GFI LANguard) ................................................................................... 50

Figure 21:Capture du serveur Backup Mail .................................................................................. 51

Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51

Figure 23:Serveur SyGec .............................................................................................................. 52Figure 24:Serveur primaire messagerie ........................................................................................ 52

Figure 25:Capture PuTTy ............................................................................................................. 55

Figure 26:Capture PuTTy(2)......................................................................................................... 55

Figure 27:Capture de la version du Switch ................................................................................... 56

Figure 28:Capture des adresses IP autorises ............................................................................... 56

Figure 29:Nouvelle architecture scurise .................................................................................... 73

TABLE DESTABLEAUXTableau 1:liste des serveurs du MTIC .......................................................................................... 26

Tableau 2:liste des applications du MTIC .................................................................................... 27

Tableau 3:liste des quipements rseaux de MTIC ...................................................................... 27

Tableau 4:liste des plans d'adressage ............................................................................................ 28


8/115


Introduction Gnrale


9/115


Le prsent rapport entre dans le cadre de ralisation dune mmoire du mastre

professionnel Nouvelles Technologies des Tlcommunications et Rseaux

lUniversit Virtuelle de Tunis pour lobtention dune mission daudit de scurit de

systme informatique de Ministre des Technologies de lInformation et deCommunication.

Les systmes informatiques sont devenus des outils indispensables au

fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs

professionnels, savoir, le secteur bancaire, les assurances, la mdecine voire dans le

domaine aronautique.

Cette volution a assouvi par consquent les besoins de nombreux utilisateurs

qui ne sont pas forcment de bonne foi. Ils peuvent exploiter les vulnrabilits des

rseaux et des systmes dans le but daccder des informations confidentielles et de

les utiliser dans leurs propre intrt. Il en dcoule que ces rseaux sont devenus cibls

par ce genre de menaces et leurs scurisation recle une proccupation de plus en plus

importante. La mise en place dune politique de scurit autour de ces systmes est

donc primordiale.

Ds lors, la scurit revt une importance qui grandit avec le dveloppement desrseaux IP, les entreprises y voient aujourdhui un avantage concurrentiel et un

nouveau dfi battre. La complexit des technologies utilise, la croissance

exponentielle des terminaux protger ainsi que la prolifration de nouvelles menaces

dmontrent que la scurit est trs importante, et ncessaire.

Les oprations informatiques offrent de nouvelles perspectives de rentabilit

pour les pirates et les malveillants. Elles constituent un moyen dattaque qui peut tre

men des milliers de kilomtres de la cible vise. Ces risques ont gagn du terrain

depuis la naissance du rseau mondial Internet. Par consquent, toute organisation qui

a des ordinateurs relies internet (ou tout autre rseau externe) doit laborer une

politique pour assurer la scurit de chaque systme.


10/115


Ici interviennent les mthodes daudit de scurit des systmes dinformation

qui sont la base mme dune politique permettant lentreprise de mettre en uvre

une dmarche de gestion de ses risques.

Dans ce contexte il nous a t confi de raliser une mission daudit de scurit

du systme dinformation du ministre des technologies de linformation et de

communication.

Le prsent rapport sera structur en six parties :

La premire partie prsente des gnralits sur la scurit informatique et surune mission daudit ainsi quun aperu sur les normes de scurit de

linformation. La deuxime partie prsente lorganisme daccueil et ltude de lexistant et

lidentification de systme cible.

La troisime partie est consacre aux taxonomies des failles organisationnelles etphysiques bass sur la norme 27002 et ses rsultats.

La quatrime partie sera consacre aux taxonomies des failles techniques quipermettent, travers des outils de dtection des vulnrabilits, dvaluer la

scurit mise en place pour la protection du systme dinformation. Enfin, les deux dernires parties de ce rapport comporteront des

recommandations et des conseils suggrs pour remdier ces problmes de

scurit.


11/115


Chapitre I :

Gnralits et Etude de

lArt


12/115


1-IntroductionL'informatique est l'un des lments clefs de la comptitivit d'une entreprise.

C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant,

rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins.

C'est pourquoi raliser un audit permet, par une vision claire et globale,

d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit,

d'anticiper les problmes et de diminuer les cots de maintenance.(1)

2- Gnralit sur la scurit informatiqueLe systme dinformation, considr comme le cur de lentreprise, est

lensemble des moyens organisationnels, humains et technologiques mis en uvre pour

la gestion de linformation. Il doit tre exempt de toute faille de scurit qui risquerait

de compromettre linformation qui y circule, du point de vue de la conf identialit, de

lintgrit ou de la disponibilit. Ainsi, des normes de scurit ont t dfinies, donnant

les rgles respecter afin de maintenir la scurit du systme dinformation de

lentreprise. Paralllement, tant donn la complexit de la mise en uvre de ces

normes, plusieurs mthodes danalyse des risques ont t mises au point afin de faciliter

et dencadrer leur utilisation. Cependant, la plupart de ces mthodes en sont que

partiellement compatibles, ne tenant compte que dune partie des rgles nonces dans

ces normes.

3- Normes et standards relatives la scuritLes normes sont des accords documents contenant des spcifications techniques

ou autres critres prcis destins tre utiliss systmatiquement en tant que rgles,

lignes directrices ou dfinitions de caractristiques pour assurer que des processus,

services, produits et matriaux sont aptes leur emploi.(2)


13/115


3.1- ISO/IEC 27001

La norme ISO/IEC a t publie en octobre 2005, intitul ExigencesdeSMSI ,

elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui dfinit

les conditions pour mettre en uvre et documenter un SMSI(Systme de Management de laScurit de l'Information).

3.2- ISO/IEC 27002

Cette norme est issue de la BS 7799-1 (datant de 1995) qui a volu en ISO

17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a

t rebaptise en ISO 27002 pour s'intgrer dans la suite ISO 2700x, intitul Code de

bonnes pratiques pour la gestion de la scurit de l'information.ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives

gnrales sur la slection et l'utilisation de mthodes appropries pour analyser les

risques pour la scurit des informations.

Elle est compose de 15 chapitres dont 4 premiers introduisent la norme et les 11

chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui

couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans

ses aspects oprationnels (les objectifs de scurit et les mesures prendre).

chapitres dfinissant le cadre de la norme: Chapitre n1: Champ d'application Chapitre n2: Termes et dfinitions Chapitre n3: Structure de la prsente norme Chapitre n4: valuation des risques et de traitement

Les chapitres dfinissant les objectifs de scurit et les mesures prendre Chapitre n5: Politique de scurit de l'information Chapitre n6: Organisation de lascurit de l'information Chapitre n7: Gestion des actifs Chapitre n8: Scurit lie auxressources humaines
http://wapedia.mobi/fr/S%C3%A9curit%C3%A9_de_l%27informationhttp://wapedia.mobi/fr/Gestion_des_ressources_humaineshttp://wapedia.mobi/fr/Gestion_des_ressources_humaineshttp://wapedia.mobi/fr/S%C3%A9curit%C3%A9_de_l%27information


14/115


Chapitre n9: Scurits physiques et environnementales Chapitre n10: Exploitation et gestion des communications Chapitre n11: Contrle d'accs

Chapitre n12: Acquisition, dveloppement et maintenance des systmesd'informations

Chapitre n13: Gestion des incidents Chapitre n14: Gestion de lacontinuit d'activit Chapitre n15: Conformit.

3.3- ISO/IEC 27005

La norme ISO/IEC 27005, intitul Gestion du risque en scurit del'information, est une volution de la norme ISO 13335, dfinissant les techniques

mettre en uvre dans le cadre dune dmarche de gestion des risques.

4- Rle et objectifs dauditLaudit scurit est une mission dvaluation de conformit par rapport une

politique de scurit ou dfaut par rapport un ensemble de rgles de scurit.

Principe :auditer rationnellement et expliciter les finalits de laudit, puis en dduire

les moyens dinvestigations jugs ncessaires et suffisants.

Lobjectif principal dune mission daudit scurit cest de rpondre aux proccupations

concrtes de lentreprise, notamment de ses besoins en scurit, en:

Dterminant les dviations par rapport aux bonnes pratiques. Proposant des actions damliorations de niveau de scurit de linfrastructure

informatique.

Cependant, laudit de scurit peut prsenter un aspect prventif. C'est --dire

quil est effectu de faons priodiques afin que lorganisme puisse prvenir les failles

de scurit. Egalement, laudit peut simposer suite des incidents de scurit.
http://wapedia.mobi/fr/Plan_de_continuit%C3%A9_d%27activit%C3%A9_(informatique)http://wapedia.mobi/fr/Plan_de_continuit%C3%A9_d%27activit%C3%A9_(informatique)


15/115


5- Cycle de vie dun audit de scurit des systmesdinformation

Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit

un cycle de vie qui est schmatis laide de la figure suivante (3)

Figure 1:Cycle de vie d'audit scurit

Laudit de scurit informatique se prsente essentiellement suivant deux parties

comme le prsente le prcdent schma :

Laudit organisationnel et physique. Laudit technique.

Une troisime partie optionnelle peut tre galement considre. Il sagit de

laudit intrusif. Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport

prsente une synthse de laudit. Il prsente galement les recommandations mettre

en place pour corriger les dfaillances organisationnelles et techniques constates. Une

prsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe

suivant qui prsente le droulement de laudit.(3)


16/115


6- Dmarche de ralisation dune mission daudit de scuritdes systmes dinformation

Tel que prcdemment voqu, laudit de scurit des systmes dinformation se

droule gnralement suivant deux principales tapes. Cependant il existe une phase

tout aussi importante qui est une phase de prparation. Nous schmatisons lensemble

du processus daudit travers la figure suivante :

Figure 2:Processus d'audit

6.1- Prparation de lauditCette phase est aussi appele phase de pr audit. Elle constitue une phase

importante pour la ralisation de laudit sur terrain.

En synthse on peut dire que cette tape permet de :

Dfinir un rfrentiel de scurit (dpend des exigence et attentes desresponsables du site audit, type daudit).


17/115


Elaboration dun questionnaire daudit scurit partir du rfrentiel et desobjectifs de la mission.

Planification des entretiens et informations de personnes impliques.6.2- Audit organisationnel et physique

a-ObjectifDans cette tape, il sagit de sintresser laspect physique et organisationnel de

lorganisme cible, auditer.

Nous nous intressons donc aux aspects de gestion et dorganisation de la

scurit, sur les plans organisationnels, humains et physiques.

Les objectifs viss par cette tape sont donc : Davoir une vue globale de ltat de scurit du systme dinformation, Didentifier les risques potentiels sur le plan organisationnel.

b-DroulementAfin de raliser cette tape de laudit, ce volet doit suivre une approche

mthodologique qui sappuie sur un ensemble de questions. Ce questionnaire prtabli

devra tenir compte et sadapter aux ralits de lorganisme auditer. A lissu de ce

questionnaire, et suivant une mtrique, lauditeur est en mesure dvaluer les failles et

dapprcier le niveau de maturit en termes de scurit de lorganisme, ainsi que la

conformit de cet organisme par rapport la norme rfrentielle de laudit.

Dans notre contexte, cet audit prendra comme rfrentiel la norme ISO/27002 :2005.

6.3- Audit techniquea-Objectif

Cette tape de laudit sur terrain vient en seconde position aprs celle de laudit

organisationnel. Laudit technique est ralis suivant une approche mthodique allant

de la dcouverte et la reconnaissance du rseau audit jusquau sondage des services

rseaux actifs et vulnrables. Cette analyse devra faire apparatre les failles et les

risques, les consquences dintrusions ou de manipulations illicites de donnes.


18/115


Au cours de cette phase, lauditeur pourra galement apprcier lcart avec les

rponses obtenues lors des entretiens. Il sera mme de tester la robustesse de la

scurit du systme dinformation et sa capacit prserver les aspects de

confidentialit, dintgrit, de disponibilit et dautorisation.b-Droulement

Laudit technique sera ralis selon une succession de phases respectant une

approche mthodique. Laudit technique permet la dtection des types de

vulnrabilits suivante, savoir :

Les erreurs de programmation et erreurs darchitecture. Les erreurs de configurations des composants logiques installs tels que les

services (ports) ouverts sur les machines, la prsence de fichiers de configuration

installs par dfaut, lutilisation des comptes utilisateurs par dfaut.

Les problmes au niveau de trafic rseau (flux ou trafic non rpertori, couterseau,...).

Les problmes de configuration des quipements dinterconnexion et de contrledaccs rseau.

Les principales phases :

Phase 1 :Audit de larchitecture du systme

Reconnaissance du rseau et de plan dadressage, Sondage des systmes, Sondage rseau, Audit des applications.

Phase 2 :Analyse des vulnrabilits

Analyse des vulnrabilits des serveurs en exploitation, Analyse des vulnrabilits des postes de travail.

Phase 3 :Audit de larchitecture de scurit existante

Cette phase couvre entirement/partiellement la liste ci aprs :


19/115


Audit des firewalls et des rgles de filtrage, Audit des routeurs et des ACLs (Liste de contrle daccs), Audit des sondes et des passerelles antivirales, Audit des stations proxy, Audit des serveurs DNS, dauthentification, Audit des commutateurs, Audit de la politique dusage de mots de passe.

6.4- Audit intrusifCet audit permet dapprcier le comportementdes installations techniques face

des attaques. Egalement, il permet de sensibiliser les acteurs (management, quipes sur

site, les utilisateurs) par des rapports illustrant les failles dceles, les tests qui ont t

effectus (scnarios et outils) ainsi que les recommandations pour pallier aux

insuffisances identifies.

6.5- Rapport dauditA la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger

un rapport de synthse sur sa mission daudit. Cette synthse doit tre rvlatrice des

dfaillances enregistres. Autant est-il important de dceler un mal, autant il est

galement important dy proposer des solutions. Ainsi, lauditeur est galement invit

proposer des solutions (recommandations), dtailles, pour pallier aux dfauts quil

aura constats.

Les recommandations devront inclure au minimum :

Une tude de la situation existante en termes de scurit au niveau du siteaudit, qui tiendra compte de laudit organisationnel et physique, ainsi que les

ventuelles vulnrabilits de gestion des composantes du systme (rseau,

systmes, applications, outils de scurit) et les recommandations

correspondantes.


20/115


Les actions dtailles (organisationnelles et techniques) urgentes mettre enuvre dans limmdiat, pour parer aux dfaillances les plus graves, ainsi que la

proposition de la mise jour ou de llaboration de la politique de scurit

instaurer.

7-Lois relative la scurit informatique en TunisieLoi n 5 - 2004 du 3 fvrier 2004, relative a la scurit informatique et portant sur

l'organisation du domaine de la scurit informatique et fixant les rgles gnrales de

protection des systmes informatiques et des rseaux.(6)

Dcret n 1250 - 2004 du 25 mai 2004, fixant les systmes informatiques et les

rseaux des organismes soumis a l'audit obligatoire priodique de la scurit

informatique et les critres relatifs a la nature de l'audit et a sa priodicit et aux

procdures de suivi de l'application des recommandations contenues dans le rapport

d'audit.(6)

8- ConclusionLaudit est une dmarche collaborative visant lexhaustivit. Elle est moins

raliste quun test mais permet en contrepartie de passer mthodiquement en revue tout

le rseau et chacun de ses composants en dtail.

Dans le chapitre suivant nous mettons laccent sur ltude de lexistant et

lidentification de systme cible.
http://www.ansi.tn/fr/audit/docs/loi_francais/decret_fr_1250.pdfhttp://www.ansi.tn/fr/audit/docs/loi_francais/decret_fr_1250.pdf


21/115


Chapitre II :

Prsentation delorganisme daccueil et

tude de lexistant


22/115


1-IntroductionNotre mmoire de mastre sest droul au sein du Ministre des Technologies

de linformation et de la Communication (MTIC) qui est charg principalement du

pilotage, de la planification, de la rglementation et lorganisation du secteur des

technologies de la communication en Tunisie.

Ce chapitre prsente une tude exhaustive sur le systme informatique et les

composants qui le constituent. Toutes les informations ont t rassembles suite des

visites sur place et des entretiens avec les membres de lquipe informatique.

2-Prsentation de lorganisme daccueil2.1- Prsentation gnraleDnomination Ministre des Technologies de l'information

et de la communication

Ministre Mr Mongi Marzouk

Secteur dactivits Informatique et tlcommunication

Moyens humains (fin 2012) 230 employs

Adresse 3, bis rue dAngleterre, 1000 Tunis

e-mail [email protected]

Site web http://www.infocom.tn

Tlphone : (+216) 71 359 000

2.2- Rles et attributionsLe ministre a pour mission la mise en place d'un cadre rglementaire qui

organise le secteur, la planification, le contrle et la tutelle en vue de permettre au pays

d'acqurir les nouvelles technologies. Il assure de mme le soutien du dveloppement,
mailto:[email protected]://www.infocom.tn/http://www.infocom.tn/mailto:[email protected]


23/115


attire l'investissement et encourage les efforts d'exportation et la comptitivit des

entreprises tunisiennes.

Ladresse officielle du site du ministre est:www.mincom.tn[N1]

Figure 3:Site du ministre(MTIC)

A cet effet, le ministre est charg notamment de :

Coordonner entre les structures charges des tudes stratgiques dans ledomaine de la Poste, des Tlcommunications et de la technologie del'Information ; laborer des normes techniques ; et encadrer les programmes de la

recherche et les activits industrielles en vue de leur adaptation aux besoins du

secteur,

Elaborer des plans et des tudes stratgiques dans les domaines destlcommunications et Postal,

Elaborer les tudes de rentabilit tarifaires et les modalits de fixation des tarifsdes Tlcommunications et des tarifs postaux,

Fixer les conditions et les modalits relatives la mise en place et l'exploitationdes services valeur ajoute des tlcommunications,

Suivre l'activit des Entreprises sous tutelle du ministre du point de vuetechnique et financier.
http://www.mincom.tn/http://www.mincom.tn/


24/115


Collecter et analyser des statistiques relatives au secteur et proposer desprogrammes insrer dans les plans de dveloppement et en valuer les

rsultats :

Collecter et analyser et diffuser des statistiques relatives aux activits duministre,

Participer l'laboration des tudes stratgiques et des plans de dveloppementdans le domaine des communications,

Evaluer les rsultats des plans de dveloppement relatifs aux domaines affrentsaux attributions du ministre,

2.3- Organigramme :

Figure 4:Organigramme de MTIC

Lorganigramme du ministre comprend principalement:

L'inspection gnrale des communications Les directions gnrales tel que :


25/115


-Direction gnrale des technologies de linformation

-Direction gnrale des technologies de la communication

-Direction gnrale de lconomie Numrique, de linvestissement et des

statistiques-Direction gnrale des entreprises et tablissements publics

-Direction gnrale des services communs

Le cabinet comprend les structures suivantes :

Figure 5:Stuctures de cabinet

-Le bureau d'ordre central

-Le bureau de linformation et de la communication

-Le bureau des systmes dinformation

-Le bureau des relations avec les associations et les organisations

-Le bureau de suivi des dcisions du conseil des ministres, des conseils

ministriels restreints et des conseils interministriels

-Le bureau des affaires gnrales, de la scurit et de la permanence

-Le bureau des relations avec le citoyen


26/115


-Le bureau de supervision des projets statistiques

-Le bureau de la rforme administrative et de la bonne gouvernance

-Le bureau de la coopration internationale, des relations extrieures

2.4-

Le bureau des systmes dinformation

Le bureau des systmes dinformation est charg de:

Lexcution du chemin directeur de linformation et sa mise jour, de mme ledveloppement de lutilisation de linformatique au niveau de diffrents services

du ministre.

Lexploitation et la maintenance des quipements et des programmesinformatiques.

La fixation de besoins en matire informatique et participation llaboration descahiers des charges des appels doffres pour lacquisition dquipements

informatiques.

La participation llaboration des programmes de formation et de recyclage. Le dveloppement des programmes informatiques concernant les produits

financiers.

Le suivi et lapplication des programmes de maintenance des quipementsinformatiques au niveau rgional travers les ples rgionaux.

3-Description du systme informatiqueDans cette partie nous allons identifier tous les lments et les entits qui

participent au fonctionnement du Systme informatique.

Daprs les visites effectues et les documents qui nous ont t fournis, nous

rpartissons linventaire des quipements informatiques comme suit :

3.1- Inventaire des micro-ordinateurs et serveurs Nombre des postes de travail : 220 Tous les ordinateurs sont de type PC


27/115


Nombre des serveurs en exploitation est 07 Serveurs :

Serveur enExploitation

Type dApplicationHberge

Plates formesOS/ SGBD

Adresserseau

Serveur SyGec Gestion et suivi descourriers

Windows 2008Server/

SQL serveur 2005

10.0.3.128/24

Serveur primairemessagerie LotusDomino/Notes

Messagerie Intranet Windows 2003SP3

10.0.3.51/24

Serveur Secondairemessagerie LotusDomino/Notes

Messagerie Intranet Windows 2003SP3

10.0.3.52/24

Serveur Backup Mail Sauvegarde des mails Windows XPSP2

10.0.3.127/24

Serveur Antivirusrseau Koss 9.0

Systme Antiviral Windows 2008 Server 10.0.3.131/24

Serveur MangementFW

Consoledadministration du

FireWall/IDS

Windows 2008 ServerR2

10.0.3.131/24

Serveur Fax Gestion lectroniquedes Fax

Windows 2008 Server 10.0.3.101/24

Tableau 1:liste des serveurs du MTIC

3.2- Inventaire des logiciels et systme dexploitation Les postes de travail sont quips du systme Windows XP (SP2/SP3) et Windows7

(SP1).

Les Serveurs sont quips du systme Windows 2003 Server et Windows 2008 Server Une suite de bureautique (office 2003 et 2007) est installe sur tous les postes.

Il y a des applications qui sont exploites sur un rseau physiquement spar du

rseau Intranet du ministre et dont les serveurs sont hbergs au Centre National delinformatique, ils sont comme suit :

Les applications Description DveloppementExterne/Interne

INSAF Application permet la gestionintgre des ressources humaines

et de la paie du personnel de

Externe


28/115


lEtatRACHED Application pour

lautomatisation des procduresrelatives aux missions effectues

a ltranger par les agents de

ladministration

Externe

ADAB Application daide a la dcisionBudgtaire

Externe

Gestion des biensmobiliers de lEtat MANKOULET

Application permettant le suivides diffrentes tapes de gestiondes biens mobiliers du ministre,depuis leur acquisition jusqu' la

fin de leur utilisation

Externe

Gestion des stocks delAdministration

MAKHZOUN

Application de gestion des stocksdes produits tenus en stock dans

les magasins du ministre

Externe

Tableau 2:liste des applications du MTIC

3.3- Inventaire des quipements rseauxLe site compte les quipements rseaux et scurit suivantes:

Marque et Modle Nombre dinterfaces

Plusieurs Switch demarque Dlink et demodle DGS 3100

24 ports Rj45, 4 ports FO

Plusieurs Switch demarque Dlink et demodle DGS 1216T

16 ports Rj45, 2 ports FO

Un Routeur CISCO2850

2 interfaces fastEthernet et 8 interfaces

sries

Un double de FWde marque

StoneGate et demodle FW1050e

possdent 8 interfacesfast Ethernet.

Un commutateurNiv3 de marque HPProcurve de modle

5406zl

Possde 08 interfacesFO et 24 Interfaces RJ45

Tableau 3:liste des quipements rseaux de MTIC


29/115


4-Architecture et topologie du rseau4.1- Plan dadressage

Tous les htes du rseau utilisent des adresses IP prive de classe A (10.0.x.0/24)avec un masque rseau de classe C. Le rseau Interne est segment en 8 sous rseaux :

Adresse Sous rseau Description

10.0.1.1/24 Zone dadministration

10.1.0.0/24 Postes utilisateurs zone DGTC

10.0.2.0/24 Postes utilisateurs zone inspection

10.0.3.0/24 Zone des serveurs en exploitation

10.0.4.0/24 Postes utilisateurs zone DAAF

10.0.5.0/24 Postes utilisateurs zone juridique

10.0.7.0/24 Postes utilisateurs zone Btiment

10.0.8.0/24 Postes utilisateurs zone Informatique

10.0.13.0/24 Postes utilisateurs zone cabinet

Tableau 4:liste des plans d'adressage

4.2- Description de larchitecture rseauToute linformatique est relie un rseau de type Ethernet, Cest un rseau local

moderne, 100% commut, avec des dbits levs (100/1000 Mb/s).

La topologie du site est en toile tendue, le rseau interne est segment

physiquement en 8 sous rseaux, et chaque segment sous rseau est reli a un nud

central (Switch N3 de marque HP et de modle 5406zl) via des liaisons fibre optique.

Le rseau interne est reli au rseau Internet travers une liaison de type FibreOptique avec un dbit de 10 Mb/s.

Le rseau est reli avec des sites distants (des sites des organismes sous tutelle tel queSEILL, ONT, OPT, CNI) via des liaisons permanentes hauts dbits (lignes

spcialises avec un dbit qui varie entre 128 ko/s et 512 ko/s).


30/115


Toute larchitecture du rseau Interne est autour dun doublet de firewall (quifonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps.

Les firewalls internes sont relis un doublet de firewall Frontal.

Figure 6:Topologie du rseau du ministre(MTIC)

5-Aspects de scurit existanteDes mesures de scurit ont t prises pour assurer au mieux la scurit des

infrastructures et des utilisateurs du rseau.

5.1- Scurit physiqueDaprs les visites et les entretiens, nous avons constats les faits suivants :

Le service de nettoyage intervient de 8h 9h et de 13h 14h30 Existence des agents daccueil qui contrlent laccs au primtre du site,

lenregistrement des informations relatives chaque visiteur et fournir un badge

pour accder lintrieur du local.


31/115


Salle serveur ferme clef, seuls les personnes autorises et qui possdent la clpeuvent y accder,

La climatisation est assure par (deux) climatiseurs domestiques install dans la salledes serveurs.

Les prises de courant lectriques ne sont pas ondules. Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de

marque APC 1kva) pour assurer la continuit de service des ressources critique en

cas de problmes lectrique.

Figure 7:Interface d'administration des onduleurs

Seuls les machines et les composants rseaux importance leve sont protgs pardes onduleurs pour liminer les problmes dalimentation lectrique de courte dure.

Les extincteurs dincendies sont disponibles dans chaque couloir Absence des camras de surveillance pour les zones sensibles.5.2- Scurit logique

Pour la scurit logique, les moyens mis en place au sein du S.I sont : Acquisition dune solution matriel de sauvegarde de donnes wooxo security box:

qui comprend 2 disques (chacun est de capacit 512Mb), il est administrable via le

web, il est scuris contre les risques majeurs tel que : le feu, linondation, et le vol


32/115


Des procdures de sauvegarde pour les donnes sensibles sont appliques selon lesfrquences suivantes :

- Pour la base de donnes de lapplication SyGec : une image sur disque chaquejour.

- Pour les Emails au niveau du serveur de messagerie : une sauvegarde estplanifie tous les jours (fin de la journe) sur un poste de travail ddi pour

backup Mail.

- Pour la configuration du firewall : une sauvegarde de la configuration chaquemois ou lors dune modification importante, et une sauvegarde des logs est

assure chaque semaine.

Afin dassurer la continuit des services et viter larrt des services mmepartiellement en cas des problmes (panne matriel, crash disque...), une certaine

redondance matrielle a t constat notamment au niveau des firewalls ainsi quau

niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.

5.3- Scurit rseau Le rseau est segment physiquement en des sous rseaux autour dun commutateur

niveau 3 qui assure le routage.

Les filtrages des accs depuis et vers les rseaux externes sont assurs par le Firewallinterne de marque StoneGate et de modle 1050.

Pour laccs au rseau Internet, le mcanisme du NAT est assur par le doublet deFirewall frontal de marque StoneGate et de modle 1030.

Dans la zone des serveurs en exploitation, un systme de dtection des intrusions(IDS/IPS) de marque StoneGate et de modle 1030 est install afin de la protger

contre les attaques.

5.4- Scurit des systmesLe systme Antiviral :

Quelque soit les mesures mises en place, on ne peut pas viter 100% que les

machines ne seront pas infectes par des virus.


33/115


Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en

place avec une architecture client/serveur, et une version client (agent) est installe sur

toutes les machines du rseau (une version pour les postes de travail et une version

pour les serveurs), le serveur de lantivirus tlcharge les mises jour rgulirement etles installe sur tous les Ordinateurs.

Figure 8:Interface client-Endpoint Security V8

6-ConclusionSuite la description de lenvironnement de droulement de notre mission

daudit et lidentification de larchitecture rseau et principaux serveurs et quipements,

nous allons procder, dans le chapitre suivant, aux taxonomies des failles

organisationnelles et physiques bass sur la norme 27002.


34/115


Chapitre III :Taxonomies des failles

organisationnelles et physiques

bases sur la Norme 27002


35/115


1-IntroductionCe chapitre vise avoir une vision qualitative et quantitative des diffrents

facteurs de la scurit informatique du site audit et identifier les points critiques du

systme dinformations.

Laudit fonctionnel sera ralis en se basant sur des entretiens avec le

responsable, et des observations constats sur le site.

2-Approche adoptNotre approche consiste mesurer le niveau de maturit en se basant sur un

questionnaire inspir de la Norme ISO 27002 (voir annexe 1).

Ce questionnaire comporte 11 chapitres, chaque chapitre prsente un thme de

scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur

les mesures de scurit mettre en uvre et les contrles implmenter.

3-Droulement de la taxonomie organisationnel et physiqueLors de cette phase, je me suis ainsi entretenu avec le chef service informatique :

Mr Marouane LADJIMI. Des visites ont t ralises au site afin de vrifier la scurit

physique.

3.1- Prsentation des interviewsVoir annexe 1

3.2- Prsentation et interprtation des rsultatsLors de cette intervention et suivant les rponses aux questionnaires, jai pu

dceler les constations suivantes :

a- Politique de scurit de linformation


36/115


On remarque linexistence dune politique de scurit formelle et disponible pourtous les personnels et par consquent, labsence dun document de politique de

Scurit crit, valid et diffus par la direction gnrale et de norme applique.

La politique de scurit nest pas affecte un responsable, charg de la rvisionrgulire de ce document et ladapte priodiquement en cas de changement au

niveau de lorganisation ou au niveau de larchitecture, suite un incident de

scurit, ou bien cause des changements technologiques.

b- Organisation de la scurit de linformation Linexistence des fonctions suivantesdans la politique de scurit : responsable

spcialiste de la scurit physique ; responsable spcialiste de la scurit

fonctionnelle et informatique ; directeur responsable de la scurit gnrale. Absence des objectifs de scurit dans la politique globale de lorganisme. Absence de lidentification des informations confidentielles. Linexistence dune politique de rvision et de documentation de la politique

dorganisation de la scurit.

Absence du mcanisme didentification et de classification des accs. Absence dun contrat qui stipule les clauses relatives la scurit des valeurs de

lorganisation, la scurit physique et lexistence dun plan de secours dans le cas

dexternalisation du ministre.

Absence de comit de pilotage du SI. Absence de lidentification des risques dus aux effets externes.c- Gestion des biens Il ny a pas une classification des ressources bases sur les 3 axes : Disponibilit,

Intgrit et Confidentialit.

Manque des Lignes directrices pour la classification des informations en termesde valeur, dexigences lgales, de sensibilit et de criticit,

Linexistence dun stock inventori dquipements et de pices dtaches desecours.

Absence dune licence dacquisition pour tous les logiciels installs.


37/115


Il ny a pas de contrle des logiciels installs. Linexistence des rgles dutilisation des biens et des services dinformation.d- Scurit lie aux ressources humaines

Linexistence dun contrat sign par tous les personnels pour prendre desdcisions en cas de non respect des rgles de scurit, ou bien quils soient

sources des failles.

Absence dune note prcisant les devoirs et responsabilits du personnel. Absence dun programme de sensibilisation du personnel aux risques d'accident,

d'erreur et de malveillance relatifs au traitement de l'information.

Les employs doivent noter, signaler toutes les failles et les menaces de scuritsobserves dans les systmes ou services ou applications, et savoir quisadressent en cas pareils.

Absence dun document de confidentialit des informations sign par lesemploys lors de lembauche.

e- Scurit physique et environnementale Absence dune rglementation spciale contre le fait de fumer, boire, et manger

dans les locaux informatiques.

Absence dune politique de maintenance pour les quipements sensibles. Absence des procdures de gestion de crise en cas de long arrt du systme et de

permettre la reprise du fonctionnement au moins partiellement (favoriser

quelques machines sur dautres).

Linexistence dun systme de dtection ou dvacuation deau. Absence dun document li la scurit physique et environnementale.f- Gestion des communications et de lexploitation Absence des procdures formelles pour les oprations dexploitation : backup,

maintenance et utilisation des quipements et des logiciels.

Linexistence dune distinction entre les phases de dveloppement, de test etdintgration dapplications.

Absence dune procdure pour la gestion des incidents.


38/115


Absence des procdures formelles pour la prvention contre la dtection et laprvention des logiciels malicieux.

Absence dune politique pour se dbarrasser des documents importants. Linexistence des consignes interdisant lutilisation des logiciels sans licence qui

doivent tre respects et contrls.

Absence dune politique de scurit pour les emails.g- Contrle daccs Absence dune procdure dattribution ou de retrait des privilges qui ncessite

laccord formel de la hirarchie.

Les utilisateurs non conscients quils doivent verrouiller leurs sessions enquittant leur bureau mme pour quelques instants.

Absence du contrle par un dispositif didentification et dauthentification laccs au systme.

Linexistence dun dispositif de revue des droits daccs des intervallesrguliers.

Absence des conditions respecter lors du choix des mots de passe. Il faut sensibiliser les utilisateurs pour prendre prcautions lutilisation des

disquettes, CD, flash

h- Dveloppement et maintenance des systmes Absence des procdures de validation en cas dun ou des changements raliss

sur les programmes ou bien sur les applications.

Absence de lassurance de la scurit de la documentation du systmedinformation.

Linexistence des procdures de contrle pour les logiciels dvelopps en sous-traitance.

Linexistence dune politique de maintenance priodique et assidue desquipements.

i- Gestion des incidents Linexistencedune politique de gestion des incidents.


39/115


Absence dune politique pour rpartition des responsabilits en cas dincident. Absence dun systme de reporting des incidents lis la scurit de

linformation.

Les employs ne sont pas informs du comportement avoir si un incident estsurvenu.

j- Gestion de la continuit dactivit Absence dune politique de sauvegarde pour dautres actifs de lorganisme. Une analyse de risque partir des divers scnarios nest jamais dvelopp, qui

permet didentifier les objets et les vnements qui pourraient causer des

interruptions (partielle ou totale).

Linexistence des alarmes pour lavertissement lors daccs aux actifs sensibles endehors des heures de travail ou en cas daccs non autoriss.

Absence dun plan de secours, ce qui vient de dire que lorganisme est incapablede rpondre rapidement et efficacement aux interruptions des activits critiques

rsultant de pannes, incident, sinistre.

Absence des plans crits et implments pour restaurer les activits et les servicesen cas de problmes.

k- Conformit On remarque labsence dune dfinition, dune documentation et dune mise

jour explicite de toutes les exigences lgales, rglementaires et contractuelles en

vigueur, ainsi que la procdure utilise par lorganisme pour satisfaire ces

exigences.

Linexistence dun contrle de la conformit technique. La non-conformit des rgles de scurit appliques. Linexistence dune procdure dfinissant une bonne utilisation des technologies

de linformation par le personnel.

Il faut que le responsable de la scurit de linformation value priodiquementdes procdures pour le respect de la proprit intellectuelle.

l- Rsultat


40/115


Le graphe suivant illustre les rsultats :

Figure 9:Rsultat de la taxonomie organisationnelle

Lgende :

PS : Politique de scurit de linformation (0%)

OS: Organisation de la scurit de linformation (30%)

GB : Gestion des biens (50%)

SRH : Scurit lie aux ressources humaines (23%)

SPE : Scurit physique et environnementale (61%)

GCE : Gestion des communications et de lexploitation (50%)

CA : Contrle daccs (57%)

DMS : Dveloppement et maintenance des systmes (38%)

GI : Gestion des incidents (0%)

GCA : Gestion de la continuit dactivit (45%)

C : Conformit (50%)Par consquent, la moyenne est de : 37%

Niveau trs bas en terme de scurit physique et organisationnelle

0

10

20

30

40

50

60

70PS

OS

GB

SRH

SPE

GCE

CA

DMS

GI

GCA

C


41/115


4-ConclusionLa taxonomie organisationnel et physique a permis davoir une vue globale sur

le niveau de scurit du systme dinformation grce un ensemble dentretiens et auquestionnaire qui se base sur la norme ISO 27002.

Nous entamons dans le chapitre suivant la partie technique.


42/115


Chapitre IV:

Taxonomies des failles

techniques


43/115


1-IntroductionLa taxonomie des failles techniques suit une tude organisationnelle et physique

permettant davoir une vue globale de ltat de scurit du systme dinformation etdidentifier les risques potentiels. A cette tape nous passons la recherche des

vulnrabilits fin danalyser le niveau de protection de linfrastructure face aux

attaques notamment celles qui exploitent ces vulnrabilits.

Nous utilisons tout au long de cette partie un ensemble des outils permettant

dobtenir les informations ncessaireset de dceler les diffrentes vulnrabilits.

2-Analyse de larchitecture rseau et systme2.1- Reconnaissance du rseau et du plan dadressage

Durant cette tape, nous allons procder une inspection du rseau afin de

dterminer sa topologie, didentifier les htes connects et les quipements rseau. Pour

raliser cette tche, nous commenons par un recueil des donnes concernant les

quipements inventoris.

Loutil utilis pour l'identification de la topologie rseau estNetworkView sa

version 3.6 qui permet de fournir une reprsentation graphique des composantes

actives sur le rseau et leurs attributs.

Utilisation de loutil NetworkView(9) lintrieur du rseau audit:Concernant le plan dadressage, tous les htes du rseau utilisent des adresses IP

prive de classe A (10.0.x.0/24) avec un masque rseau de classe C.


44/115


Figure 10:Rseau local

Cette figure montre les postes utilisateurs de la zone inspection, la zone des

serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le rseau interne.

Le rseau interne est segment en 8 sous rseaux.

Tous les htes du rseau utilisent des adresses IP prive de classe A (10.*.*.*/24)

avec un masque rseau de classe C ce qui nest pas conforme aux normes en vigueur. La

configuration TCP/IP des htes est manuelle, ce quindique quelle est protge contre

les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24.

Pour laccs au rseau public Internet, une translation dadresse (NAT) est

assure par le Firewall frontal.

Nous signalons cet gard, que la configuration rseau au niveau des postes

nest pas protge contre les modifications. En effet, chaque utilisateur peut changer sonadresse ce qui peut gnrer des conflits dadresses. Des attaques de type IP Spoofing

(usurpation d'identit) peuvent tre facilement menes et gnrer un dni du service; il

suffit de remplacer ladresse IP du poste par celle dun quipement critique (routeur,


45/115


serveur, etc.). Cette attaque permet la dgradation des performances de lquipement

concern voir mme son arrt complet.

Figure 11:Configuration rseau au niveau du poste

2.2- Sondage systme et des services rseauxLobjectif de cette tape est lidentification des systmes dexploitation et des

services rseau ce qui permet de savoir les ports ouverts des quipements audits. Il est

galement possible danalyser le trafic, de reconnatre les protocoles et les services

prdominant au niveau du rseau.

Pour raliser cette tape, nous avons utilis autres outils qui permettent

didentifier les OS, les services ouverts, les patches manquants et dautres informations

utiles:

Nmap(7) est un scanner de ports. Il est conu pour dtecter les ports ouverts,identifier les services hbergs et obtenir des informations sur le systme

d'exploitation d'un ordinateur distant.

GFI LANguard Network Security : cest un outil qui permet deffectuer un auditrapide de scurit sur le rseau, il regroupe des informations enregistres sur les

postes de travail telles que les noms dutilisateurs, les partages, etc.


46/115


a- Identification des systmes dexploitationDes essais de balayage systmatique des ports avec des options de dtection des

systmes d exploitation ont permis davoir la liste des O.S au niveau des stations de

lensemble du rseau audit de la MTIC.Les rsultats de test ont confirm que le rseau local du site est exclusivement

Windows pour les postes utilisateurs (des stations tournant sous le systme Win XP),

Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de donnes et

dapplication en exploitation.

Jai constat que les versions des O.S dtectes sur un chantillon important des

serveurs au niveau du rseau local ne sont pas mise jour vu labsence dune solution

de gestion centralise des mises jour.

Figure 12:Sondage des systmes dexploitationavec GFI LANguard

b- Identification des services rseauxIl sagit de dterminer les services offerts par les serveurs et les postes de travail

qui peuvent tre une source de vulnrabilit.

J'ai effectu un balayage des machines (serveurs et postes de travail) du rseau

interne, jai pu cerner la liste des ports ouverts sur les stations en activit.

Jai retenu utile de prsenter deux petits chantillons de ces prlevs effectu sur

le serveur backup mail en utilisant loutil Zenmap et le console sur Back-Track 5(8):


47/115


Figure 13:Sondage des services en activit du serveur Backup Mail

Figure 14:Sondage des services avec Zenmap

Il est ais didentifier les services rseau en activit sur les serveurs dapplications

et de donnes en exploitation au niveau du site MTIC et de connatre le type des OS,

ainsi que les failles relatives aux versions associes.

Certains services en activit sur les stations, dont il faudra dcider de leur utilit

et de sassurer priodiquement de labsencedes failles, par exemple : HTTP 80 (TCP),

TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139

(TCP) et 445 (TCP & UDP).


48/115


c- Identification des ports ouvertsJai appliqu loutil GFI LANguard sur les serveurs et les quipements critiques

et jai constat quil existe des ports qui sont ouverts et non utiliss.

Figure 15:Sondage des ports ouverts

Plus de dtails concernant le serveur secondaire messagerie Lotus

Domino/Notes qui possde ladresse 10.0.3.52.

Figure 16:Ports ouverts du secondaire messagerie


49/115


Les ports ouverts sont :

Le port 445 est ouvert pour la plupart des serveurs et peut tre utilis par le verNIMDA.

Le port 139 est ouvert pour la plupart des serveurs, ce port peut tre utilis par leschevaux des Troie(11)suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz.

Le port 25 (service SMTP) tant actif sur les serveurs messageries, il prsente unrisque de SPAM et par suite un risque de saturation de disque. Ce service doit tre

dsactiv sil nest pas utilis.

Le port 443 est ouvert au niveau de plusieurs serveurs dapplications, qui peut treexploit par le trojan Slapper.

d- Identification des flux rseauxCette tape concerne lanalyse du trafic, lidentification des principaux flux,

protocoles et applications, le taux d'utilisation ainsi que les flux inter-stations et les

protocoles superflu.

J'ai utilis pour cela Wireshark qui est un logiciel libre d'analyse de protocole, ou

packet sniffer , permet deffectuer de capture sur le rseau ainsi quune analyse du

trafic. La capture dcran suivante reprsente linterface dinterception des paquets de

Wireshark :

Figure 17:Capture des flux avec wireshark


50/115


Une premire analyse du trafic permet didentifier lexistence de plusieurs

protocoles actifs superflus qui gnrent des informations gratuites et qui pourraient tre

exploites par des personnes malintentionnes pour mener des attaques. Les protocoles

identifis sont les suivants : Cisco Discovery Protocol (CDP) : Il est utilis pour obtenir des adresses des

priphriques voisins et de dcouvrir leur plate-forme, il utilise le protocole SNMP.

CDP peut aussi tre utilis pour voir des informations sur les interfaces quun

routeur utilise. ces donnes peuvent tre exploites dans la recherche des

vulnrabilits du routeur et mener des attaques. (4)

Spanning Tree Protocol (STP) : il permet dapporter une solution la suppressiondes boucles dans les rseaux ponts et par extension dans les VLANs

e- Identification des partages rseauxJai utilis loutil GFI LANguard sur les serveurs et les quipements critiques pour

dterminer les partages rseaux utiliss :

Figure 18:Partages rseau avec GFI LANguard

La plupart des partages existants contiennent les partages administratifs etpartages cachs par dfaut ADMIN$, C$, D$, IPC$, K$ ,

En effet, les partages administratifs par dfaut peuvent tre exploits par un

intrus pour avoir le contrle total de la machine.


51/115


3-Analyse des vulnrabilitsLa recherche de vulnrabilits pendant cette phase se base sur le scanner de

vulnrabilit (GFI LANguard) qui teste la rsistance du systme face aux failles connues

stockes dans leurs bases de connaissance.

Voici une capture gnrale qui indique ltat de vulnrabilits sur les serveurs etles quipements critiques :

Figure 19:Vulnrabilits (GFI LANguard)

Par la suite, je vais mesurer les vulnrabilits des parties les plus sensibles du

rseau local pour dgager rapidement les failles rellement dangereuses et dgager

partir des outils, des rapports efficaces et exploitables pour une scurisation rapide etefficaces du systme.

3.1- Serveur Backup MailIdentification du compte administrateur (cr par dfaut lors de linstallation)

sans aucune protection de mot de passe. Ceci est un exemple sur le serveur backup mail

qui a l'adresse 10.0.3.127 :


52/115


Figure 20:Capture du serveur Backup Mail

Identification du port critique ouvert tel que par exemple : port 23 pour le serviceTelnet.

Cela peut mettre en danger le serveur vu la criticit du Telnet (accs distance et flux

circulant en clair).

Figure 21:Capture du serveur Backup Mail(2)

3.2- Serveur SyGecLe schma suivant prsente le rsultat dun test par un scanner de vulnrabilits,

ciblant le serveur de gestion et suivi des courriers serveur SyGec qui a l'adresse

10.*.*.* :


53/115


Figure 22:Serveur SyGec

Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services

rseaux en activit (ports critiques ouverts, comme le port 23), vulnrabilits relatives

au systme dexploitation et au systme SGBD (le port 1433 (Microsoft SQL Server) est

un port utilis par le cheval de Troie Voyager Alpha Force ).

3.3- Serveur de messagerie Lotus NotesLe schma suivant prsente le rsultat dun test par un scanner de vulnrabilits,

ciblant le serveur primaire messagerie Lotus Domino/Notes qui a l'adresse 10.0.3.51 :

Figure 23:Serveur primaire messagerie


54/115


Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services

rseaux en activit et vulnrabilits systmes.

Le sondage des ports avec les vulnrabilits associes est prsent comme suit :

Sasser (5554|TCP) (Vulnrabilit dordre grave)Utilis en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a t

un ver qui a exploit un dbordement de tampon dans Windows LSA service. Le ver

a attaqu le port TCP 445 avec l'exploit, puis en cas de succs il a ouvert une

commande Shell distance sur le port TCP 9996 et un service ftp sur le port 5554. Le

service ftp est pourtant mme exploitable et la tentative de ver Dabber tente

d'exploiter cette vulnrabilit.

POP3 (110|TCP) (Vulnrabilit dordre grave)Le port 110 est ouvert, dsactiv le service sil nest pas utilis car il est possible de

dtecter quels chiffrements SSL qui sont pris en charge par le service pour le

cryptage des communications.

SMTP (25|TCP) (Vulnrabilit dordre moyenne)Port SMTP ouvert (cible des spammeurs), il est recommand de le dsactiver sil nest

pas utilis, ou filtrer le trafic entrant ce port.

HTTP (80|TCP) (Vulnrabilit dordre moyenne)Il est recommand de le dsactiver sil nest pas utilis car il est possible dextraire

des informations de configuration et de dterminer le type et la version du serveur

web.

4-Analyse de larchitecture de scurit existanteLobjectif de cette tape est dexpertiser larchitecture technique dploye et de

vrifier les configurations des quipements rseaux avec la politique de scurit dfinie

et les rgles de lart en la matire.


55/115


4.1- Analyse du FirewallCette tape consiste dterminer si le firewall fonctionne correctement. Le rle

du firewall consiste contrler laccs selon une politique spcifique adapt pour ces

huit interfaces.

La dmarche adopte consiste auditer le firewall, les rgles de filtrage et des

mcanismes de log. Le firewall utilis est un Stonegate FW-1050.

Lors dune runion avec le chef service informatique, j'ai pu laide du Checklist

prsent en annexe 2 dterminer les vulnrabilits suivantes du firewall :

Absence dune procdure de test priodique des vulnrabilits du Firewall ainsi quedes essais de test de pntration pour vrifier la rsistance du systme contre les

attaques.

Absence dun rapport d'audit long terme prsentant l'historique des incidentssurvenus au niveau du firewall (violation des ACLS, crash par dbordement du

tampon).

Ladministration n'est pas informe en temps rel par les vnements les pluscritiques.

4.2- Analyse du Routeur CiscoLors dune runion avec le chef service informatique, j'ai pu laide du Checklist

prsent en annexe 3 dterminer les vulnrabilits suivantes (c'est un routeur Cisco

2850) :

Absence de contrle et de suivi de la version IOS du routeur. Absence dune procdure documente pour le backup des configurations du

routeur.

Les logs du routeur ne sont pas rviss. Identification du port Telnet ouvert.


56/115


Figure 24:Capture PuTTy

Figure 25:Capture PuTTy(2)

4.3- Analyse du Switch HP ProcurveVoici les remarques que jai pu dgager lors dune runion avec le chef service

informatique concernant le Switch HP Procurve 5406zl :

Firmware pas mis jour Software revision : K.15.02.0005 , la dernire tant laK.15.06.0017


57/115


Figure 26:Capture de la version du Switch

Il y a seulement trois adresses IP qui sont autorises joindre et manager le Switch,y compris ladresse IP du chef service informatique.

Figure 27:Capture des adresses IP autorises

4.4- Analyse de la politique dusage de mots de passeLes mthodes d'authentification utilises sont les mots de passe au niveau postes

de travail et serveurs.

Nous remarquons concernant la politique dusage de mot de passe les points

suivants :

Pour les serveurs, routeurs et tous les autres quipements rseau les mots de passesont robustes de point de vue nombre de caractre et la combinaison de minuscules

et majuscules, de chiffres, de lettres et de caractres spciaux.


58/115


Au niveau poste de travail, chaque utilisateur est responsable de la dfinition de sonmot de passe.

Certains mots de passe (aux niveaux des postes) ressemblent aux noms desutilisateurs ou sont trop courts (infrieur 10 caractres), ce ne sont pas de bonnespratiques de scurit.

Labsence dune sensibilisation des utilisateurs et de la mise en place duneprocdure de contrle a priori.

Absence dune charte d'utilisation qui spcifie aux utilisateurs leurs obligations deprotection de leurs postes.

Absence dune politique qui dfinit notamment quelle est la typologie de mots depasse autoriss, la longueur des mots de passe, les dlais d'expiration, la techniquede gnration, l'occurrence d'utilisation des mots de passe,

5-ConclusionAu cours de cette tape, jaiessay de dceler certaines vulnrabilits au niveau

rseau et applications en analysant les diffrents flux et les politiques de scurit

adopts par les quipements tel que firewall, routeur...Il sagit maintenant de proposer des recommandations et des actions suivre

pour remdier ces faiblesses.


59/115


Chapitre V :Recommandations

organisationnelles et

physiques


60/115


1-IntroductionAprs avoir termin lvaluation de la scurit du systme dinformation suivant

la norme 27002, je vais proposer dans ce chapitre des recommandations rparties par

thme mettre en uvre pour pallier aux insuffisances.

La mise en place de ces recommandations pour remdier aux risques encourus

peut tre faite progressivement selon le degr durgence et la disponibilit des

ressources humaines et budgtaires.

2-Politique de scuritLe MTIC est tenu laborer sa politique de scurit qui doit tre valide par les

responsables, distribue et publie tout le personnel. Chaque employ doit donner son

consentement et signer son adhsion la charte du respect de la confidentialit de

linformation. Le message qui doit tre dlivr travers la politique de scurit et la

charte informatique est que toute violation de la confidentialit est un dlit punissable

selon le degr de sa gravit.

Aussi une revue rgulire de cette politique de scurit doit tre planifie pour

tenir compte des possibles changements qui surviendront (nouveaux incidents,

nouvelles vulnrabilits, changements linfrastructure...)

3-Organisation de la scurit de linformationLorganisation de la scurit consiste assurer le dveloppement,

limplmentation et la mise jour des politiques et des procdures de scurit. Pour

grer la scurit, il est conseill de prendre en compte les recommandations suivantes : Le management de lorganisation doit tre impliqu dans la scurit de

linformation, en particulier dans la dfinition de la politique de scurit, la

dfinition des responsabilits, lallocation des ressources, ...


61/115


Dfinir la structure et l'organisation du management de la scurit compos dunRSSI et des responsables de toutes les directions du MTIC et prciser leurs rles et

responsabilits respectifs et vis--vis des managers oprationnels.

Cette structure doit avoir la capacit alerter sans dlai la Direction Gnrale encas de problme grave.

Dfinir les rles des responsables en matire de scurit de linformation. La mise en place dun systme dautorisation concernant les moyens de traitement

de linformation (contrle de lusage dquipements ou logiciels personnels).

Engagement de personnels vis--vis le respect de la scurit informatique(dfinition des devoirs et responsabilits, des notes prcisant les obligations

lgales,...). Assurer une veille technologique en matire de scurit (participation des

cercles, associations, congrs,...).

Etablir une revue de la scurit de linformation en fonction des volutions destructures.

Analyser les risques lis aux accs de personnel tiers au systme dinformation ouaux locaux et tablir les mesures de scurit ncessaire.

4-Gestion des biens Les ressources sont rpertoris, mais ils doivent tre classifies selon leur

importance base sur les 3 axes : besoin en terme de disponibilit, confidentialit et

intgrit.

Dfinir les types d'actifs qui doivent tre identifis et inventoris. Les actifspeuvent tre des informations, des logiciels, des quipements matriels, desservices et servitudes, des personnes ou du savoir-faire, des actifs intangibles tels

que la rputation ou l'image.

Tenir jour linventaire des types d'actifs identifis.


62/115


Dsigner pour chaque actif identifi et inventori un "propritaire" qui assume laresponsabilit du dveloppement, de la maintenance, de l'exploitation, de

l'utilisation et de la scurit de cet actif.

Dfinir et documenter, pour chaque actif, les rgles d'utilisation acceptables.

Dfinir et contrler une procdure de revue priodique des classifications.5-Scurit lie aux ressources humaines Etablir une procdure d'information prliminaire auprs du personnel (interne ou

contract), en ce qui concerne ses devoirs et responsabilits et les exigences de

scurit de la fonction, avant tout changement d'affectation ou embauche.

Une note prcisant les devoirs et responsabilits du personnel doit tre diffuse l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu

connaissance.

Etablir une clause dans les contrats d'embauche ou dans le rglement intrieur,prcisant l'obligation de respecter l'ensemble des rgles de scurit en vigueur.

Le personnel est tenu respecter la politique de scurit que le MTIC va la mettreen uvre. A cet effet, une mise niveau des employs dans le domaine de la

scurit de linformation doit tre mene en planifiant des cycles de formation

priodiques et en organisant des programmes de sensibilisation qui devront

expliquer les mthodes de protection de linformation surtout celle qui sont

critiques. Ceprogramme doit expliquer :

Les concepts de base de la scurit.La sensibilit de linformation et le type de protection ncessaire.

La responsabilit personnelle de chacun dans la gestion de la scurit etlapplication des protocoles scuritaires.

Les types de menaces (erreurs humaines, naturelles, techniques..).


63/115


Les rgles et mesures gnrales de protection de l'information qui couvrentl'ensemble des domaines concerns (documents, micro-informatique, accs aux

locaux, systmes et applications)

Les sanctions prendre contre le manque de responsabilit.

Ce programme de sensibilisation doit tre ractiv rgulirement.

La violation de la politique scurit et des procdures de scurit de l'organismepar des employs devra tre traite au moyen dun processus disciplinaire et les

mesures correspondantes doivent tre communiques tous les employs.

6-Scurit physique et environnementale Il faut mettre des consignes claires propos du fait manger, boire ou fumer dans

les locaux informatiques.

Contrler de manire globale le mouvement des visiteurs et des prestatairesoccasionnels (signature de la p

Audit Securite Systeme Informatique MTIC

Documents

Transcript of Audit Securite Systeme Informatique MTIC