2012 - 2013UNIVERSITE VIRTUELLE DE TUNIS MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du MASTERE PROFESSIONNEL « Nouvelles Technologies des Télécommunications et Réseaux » Présenté par : Ayari Amani Audit de Sécurité du Système Informatique de MTIC Soutenu le : 05/02/2014 Devant le jury : Mr : Khaled Ghorbel Mme : Emna Souissi Mme : Chiraz Houaidia 0 Lina et Fatouma pour la joie qu’ils me font vivre. mes cousins et mes cousines A tous mes amis Amani 1 .2012 . A mon père pour ses innombrables et précieux conseils.2013 UNIVERSITE VIRTUELLE DE TUNIS A ma mère pour toute l’affection qu’elle me procure. mes tantes. Aux petites. A mon fiancé Ahmed L’homme que j’aime tant et avec qui je construirai ma vie A ma tante Mtira Pour son soutien moral A toute ma famille. mes oncles. A mes frères et leurs conjointes pour leur soutien. 2012 . par lesquelles ils ont su guider mes travaux de recherches en sécurité des réseaux. Je remercie également Mr Khaled Sammoud mon encadreur pour ses conseils lucides et pertinents. dont je serai très reconnaissant. pour leur disponibilité et leur patience. Monsieur Marouan Ladjimi et Monsieur Radhi Mosly pour la confiance qu’ils ont su me témoigner au cours de toute la durée de l’étude de mon projet. Amani 2 . d’une manière ou d’une autre. Je remercie enfin tous ceux qui. Je rends ici hommage à leurs qualités d’expert auditeur.2013 UNIVERSITE VIRTUELLE DE TUNIS Le travail présenté dans ce rapport a été effectué dans le cadre de ce projet de fin d’études pour l’obtention du diplôme de mastère professionnel en Nouvelles Technologies de Télécommunications et Réseaux à l’Université Virtuelle de Tunis (UVT) Ce travail réalisé au sein des locaux du Ministère des Technologies de l’Information et de Communication(MTIC) a pu être mené à terme grâce à la collaboration de certaines personnes qu’il nous plaît de remercier. Mes remerciements vont aussi aux membres du jury. Je remercie particulièrement aux responsables et à l’équipement informatique au ministère pour leur aide. Je tiens à remercier vivement. qui donneront à mon travail une valeur ajoutée à travers leurs recommandations et leurs remarques si importantes. ont contribué à la réussite de ce travail. leur patience et leur disponibilité. .....................................................................................................................................4......................................... 10 Généralités et Etude de l’Art .............................................................................ISO/IEC 27001........................................................................Le bureau des systèmes d’information ....................................................................ISO/IEC 27005 .................................................... 20 1- Introduction .......................................... 19 Chapitre II : ........................................................................ 15 6.............. 11 2- Généralité sur la sécurité informatique........................................................................................................2012 ........................... 13 4- Rôle et objectifs d’audit ..........................................................................................Présentation générale .................................................... 11 3- Normes et standards relatives à la sécurité .............................3.......................... 21 2........ 16 6............... 13 5- Cycle de vie d’un audit de sécurité des systèmes d’information ..........Audit organisationnel et physique .. 15 6.....3...........................................................................ISO/IEC 27002 .......1.......................Audit technique ..........4............ 21 2...............................................Rapport d’audit .... 21 2....................................................... 10 1- Introduction ................................................. 19 8- Conclusion ...........................................................2....................... 12 3...................................................................... 25 3- Description du système informatique ................ 18 6........... 25 3 ... 21 2- Présentation de l’organisme d’accueil.............................................................................................................. 20 Présentation de l’organisme d’accueil et étude de l’existant ..............Rôles et attributions ....1..........................................................................................2.............................................................................................................................................................Préparation de l’audit ......................................................................................................................................................2.......................................2013 UNIVERSITE VIRTUELLE DE TUNIS Table des matières Introduction Générale ................... 16 6.......................................................7 Chapitre I : ........................................................ 14 6Démarche de réalisation d’une mission d’audit de sécurité des systèmes d’information...............................................Audit intrusif ...........................1............................................................3...................................................Organigramme : ..................................................................................................................................................................... 18 7- Lois relative à la sécurité informatique en Tunisie .. 12 3................................................. 11 3...............................................5............................................................................ 23 2.................................................... .... 28 5- Aspects de sécurité existante ...........................................1.......................................4................................................................. 31 5..........1................................................................................Description de l’architecture réseau .............................................................Serveur SyGec ....Sécurité des systèmes ................................. 42 2- Analyse de l’architecture réseau et système......................................................... 31 6- Conclusion ...............Reconnaissance du réseau et du plan d’adressage ...................................................................2013 UNIVERSITE VIRTUELLE DE TUNIS 3..........................................2012 .................................. 29 5.................Plan d’adressage .3.................................................2............................................................... 34 3........... 30 5...................................2..........................................................................Analyse du Firewall ....... 50 3...................... 25 3. 34 3- Déroulement de la taxonomie organisationnel et physique ................ 52 4- Analyse de l’architecture de sécurité existante ........................................1..........................Présentation des interviews ............................2........................................................................... 32 Chapitre III : ......................................... 29 5.................................................................................................... 28 4....................................Sécurité réseau........................... 34 3.............................................. 42 2............1...................................Inventaire des logiciels et système d’exploitation ............... 33 1- Introduction ...............................................................................Inventaire des équipements réseaux................................. 41 1- Introduction ................................................................. 27 4- Architecture et topologie du réseau .... 42 2............... 28 4.........................................................2........................................................................................... 41 Taxonomies des failles techniques ....................Serveur de messagerie Lotus Notes ................................... 50 3.............................................Serveur Backup Mail.................................Inventaire des micro-ordinateurs et serveurs....................................................1............................................... 54 4 .......................... 34 4- Conclusion ............. 44 3- Analyse des vulnérabilités .................................................................. 26 3...1.....................................Sécurité logique ........................................................................................................Sécurité physique ................................................................................ 33 Taxonomies des failles organisationnelles et physiques basées sur la Norme 27002 .......................3..1........3...................................Sondage système et des services réseaux ...............2.............................................................................................. 51 3..................2....... 53 4...................................................................................................................................................................................... 40 Chapitre IV: ......................Présentation et interprétation des résultats ................................................................................................ 34 2- Approche adopté .......... ................................................................ 62 7- Gestion des communications et de l’exploitation .......................................... 72 3................................................................................................ 66 13- Conclusion .......................................................................................... 65 11- Gestion de la continuité d’activité ........................................................................... 77 Annexes ..........................Analyse du Routeur Cisco....................... 60 5- Sécurité liée aux ressources humaines ...............................Deuxième Switch HP Procurve ...................................................................................................... 66 12- Conformité .......................... 56 5- Conclusion ................................................................................................................. 63 8- Contrôle d’accès....................................................................................... 79 5 ...................................................................................... 68 Recommandations techniques .....................................................................3....................................................................................................................................................................................................................................................................................................................................................................................... 57 Chapitre V : ............................... 59 2- Politique de sécurité ............................................. 74 Bibliographie ................................................................................. 72 3.............. 67 Chapitre VI : .............Analyse du Switch HP Procurve ................ 72 3................................................1.................. 61 6- Sécurité physique et environnementale ................................................................................................................................................Windows Server Update Services ......................................................... 58 Recommandations organisationnelles et physiques .......................................................................2012 .....................................................................2013 UNIVERSITE VIRTUELLE DE TUNIS 4....................................... 69 3- Solution proposée.....Nouvelle architecture ..............3.................................................4.................. 55 4..........................4................2.................Analyse de la politique d’usage de mots de passe ............................................................................................................................. 63 9- Développement et maintenance des systèmes....................................................... 58 1- Introduction .......2........................................................ 72 3.................................... 59 4- Gestion des biens ......................................................... 59 3- Organisation de la sécurité de l’information........................................................................... 69 2- Recommandations ........................................... 68 1- Introduction ........................................................................Déploiement complet d’Active directory (Annexe 4) ................................. 73 4- Conclusion .............................................. 64 10- Gestion des incidents ................................................................................................. 54 4......................................................... 73 Conclusion Générale................................................................................................................................................................................................................................. .................................................................................................................................................................................................................. 52 Figure 24:Serveur primaire messagerie .... 27 Tableau 4:liste des plans d'adressage ...................................................................................... 23 Figure 5:Stuctures de cabinet ................. 47 Figure 18:Capture des flux avec wireshark ................................................................................ 44 Figure 12:Sondage des systèmes d’exploitation avec GFI LANguard ................. 39 Figure 10:Réseau local .................................................................................................................................. 47 Figure 17:Ports ouverts du secondaire messagerie ......................... 49 Figure 20:Vulnérabilités (GFI LANguard) .................................................................................................. 32 Figure 9:Résultat de la taxonomie organisationnelle ......................... 55 Figure 27:Capture de la version du Switch ...................................................................................... 56 Figure 29:Nouvelle architecture sécurisée .................................................................................................... 45 Figure 14:Sondage des services en activité du serveur Backup Mail ................................................................... 27 Tableau 3:liste des équipements réseaux de MTIC .............................................................................. 51 Figure 22:Capture du serveur Backup Mail(2) ............................2013 UNIVERSITE VIRTUELLE DE TUNIS TABLE DES FIGURES Figure 1:Cycle de vie d'audit sécurité ........ 51 Figure 23:Serveur SyGec ........ 55 Figure 26:Capture PuTTy(2)......... 26 Tableau 2:liste des applications du MTIC ............................................................................................... 48 Figure 19:Partages réseau avec GFI LANguard ........................................................................................................... 15 Figure 3:Site du ministère(MTIC) ...................2012 ........................................................................ 22 Figure 4:Organigramme de MTIC ................................................................................................................................................................................................................. 50 Figure 21:Capture du serveur Backup Mail .................................................................................................................................................................................................... 46 Figure 16:Sondage des ports ouverts ............ 56 Figure 28:Capture des adresses IP autorisées .......... 29 Figure 7:Interface d'administration des onduleurs ........................................................................................................ 43 Figure 11:Configuration réseau au niveau du poste .................................................................................................................................................................... 73 TABLE DES TABLEAUX Tableau 1:liste des serveurs du MTIC .. 28 6 ......................................................................................................................................................................................... 14 Figure 2:Processus d'audit .................................................................................................................................................................................................................. 30 Figure 8:Interface client-Endpoint Security V8 .............. 24 Figure 6:Topologie du réseau du ministère(MTIC) ..... 52 Figure 25:Capture PuTTy ....................................... 46 Figure 15:Sondage des services avec Zenmap..................................................................................................................................................................... 2012 .2013 UNIVERSITE VIRTUELLE DE TUNIS Introduction Générale 7 . Il en découle que ces réseaux sont devenus ciblés par ce genre de menaces et leurs sécurisation recèle une préoccupation de plus en plus importante. Les opérations informatiques offrent de nouvelles perspectives de rentabilité pour les pirates et les malveillants. Par conséquent. la sécurité revêt une importance qui grandit avec le développement des réseaux IP. le secteur bancaire. et nécessaire. Les systèmes informatiques sont devenus des outils indispensables au fonctionnement des entreprises. les assurances. toute organisation qui a des ordinateurs relies à internet (ou à tout autre réseau externe) doit élaborer une politique pour assurer la sécurité de chaque système. La mise en place d’une politique de sécurité autour de ces systèmes est donc primordiale. à s’avoir. 8 . La complexité des technologies utilisée.2013 UNIVERSITE VIRTUELLE DE TUNIS Le présent rapport entre dans le cadre de réalisation d’une mémoire du mastère professionnel « Nouvelles Technologies des Télécommunications et Réseaux » à l’Université Virtuelle de Tunis pour l’obtention d’une mission d’audit de sécurité de système informatique de Ministère des Technologies de l’Information et de Communication. la médecine voire dans le domaine aéronautique. Ils peuvent exploiter les vulnérabilités des réseaux et des systèmes dans le but d’accéder à des informations confidentielles et de les utiliser dans leurs propre intérêt.2012 . les entreprises y voient aujourd’hui un avantage concurrentiel et un nouveau défi à battre. Cette évolution a assouvi par conséquent les besoins de nombreux utilisateurs qui ne sont pas forcément de bonne foi. Dès lors. Elles constituent un moyen d’attaque qui peut être mené à des milliers de kilomètres de la cible visée. Ces risques ont gagné du terrain depuis la naissance du réseau mondial Internet. Ils sont aujourd’hui déployés dans tous les secteurs professionnels. la croissance exponentielle des terminaux à protéger ainsi que la prolifération de nouvelles menaces démontrent que la sécurité est très importante. Enfin.2012 . Dans ce contexte il nous a été confié de réaliser une mission d’audit de sécurité du système d’information du ministère des technologies de l’information et de communication. La quatrième partie sera consacrée aux taxonomies des failles techniques qui permettent. les deux dernières parties de ce rapport comporteront des recommandations et des conseils suggérés pour remédier à ces problèmes de sécurité. à travers des outils de détection des vulnérabilités. d’évaluer la sécurité mise en place pour la protection du système d’information.2013 UNIVERSITE VIRTUELLE DE TUNIS Ici interviennent les méthodes d’audit de sécurité des systèmes d’information qui sont à la base même d’une politique permettant à l’entreprise de mettre en œuvre une démarche de gestion de ses risques. Le présent rapport sera structuré en six parties : La première partie présente des généralités sur la sécurité informatique et sur une mission d’audit ainsi qu’un aperçu sur les normes de sécurité de l’information. La troisième partie est consacrée aux taxonomies des failles organisationnelles et physiques basés sur la norme 27002 et ses résultats. 9 . La deuxième partie présente l’organisme d’accueil et l’étude de l’existant et l’identification de système cible. 2013 UNIVERSITE VIRTUELLE DE TUNIS Chapitre I : Généralités et Etude de l’Art 10 .2012 . Cependant. Cependant. des normes de sécurité ont été définies.Normes et standards relatives à la sécurité Les normes sont des accords documentés contenant des spécifications techniques ou autres critères précis destinés à être utilisés systématiquement en tant que règles.2013 UNIVERSITE VIRTUELLE DE TUNIS 1.2012 .Généralité sur la sécurité informatique Le système d’information. produits et matériaux sont aptes à leur emploi. de l’intégrité ou de la disponibilité. d'anticiper les problèmes et de diminuer les coûts de maintenance. (1) 2.(2) 11 . C'est pourquoi réaliser un audit permet. Ainsi. ne tenant compte que d’une partie des règles énoncées dans ces normes. services. plusieurs méthodes d’analyse des risques ont été mises au point afin de faciliter et d’encadrer leur utilisation.Introduction L'informatique est l'un des éléments clefs de la compétitivité d'une entreprise. humains et technologiques mis en œuvre pour la gestion de l’information. rare sont celles qui mettent en place une stratégie au fil des évolutions de leurs besoins. par une vision claire et globale. la plupart de ces méthodes en sont que partiellement compatibles. est l’ensemble des moyens organisationnels. donnant les règles à respecter afin de maintenir la sécurité du système d’information de l’entreprise. C'est pourquoi. Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l’information qui y circule. étant donné la complexité de la mise en œuvre de ces normes. du point de vue de la confidentialité. considéré comme le cœur de l’entreprise. 3. lignes directrices ou définitions de caractéristiques pour assurer que des processus. d'entreprendre la rationalisation du parc et par la même d'en augmenter la productivité. chaque entreprise doit avoir un parc rationnel et optimisé. Parallèlement. Enfin en 2007. intitulé « Code de bonnes pratiques pour la gestion de la sécurité de l'information ». Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre). elle est la norme centrale de la famille ISO 2700x.ISO/IEC 27002 Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO 17799:V2000. ISO 27002 couvre le sujet de la gestion des risques. puis en ISO 17799:V2005.1.2013 UNIVERSITE VIRTUELLE DE TUNIS 3. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations.ISO/IEC 27001 La norme ISO/IEC a été publiée en octobre 2005. intitulé « Exigences de SMSI ». 3.2012 . la norme ISO/IEC 17799:2005 a été rebaptisée en ISO 27002 pour s'intégrer dans la suite ISO 2700x. chapitres définissant le cadre de la norme: Chapitre n°1: Champ d'application Chapitre n°2: Termes et définitions Chapitre n°3: Structure de la présente norme Chapitre n°4: Évaluation des risques et de traitement Les chapitres définissant les objectifs de sécurité et les mesures à prendre Chapitre n°5: Politique de sécurité de l'information Chapitre n°6: Organisation de la sécurité de l'information Chapitre n°7: Gestion des actifs Chapitre n°8: Sécurité liée aux ressources humaines 12 . c'est la norme d'exigences qui définit les conditions pour mettre en œuvre et documenter un SMSI (Système de Management de la Sécurité de l'Information).2. 2013 UNIVERSITE VIRTUELLE DE TUNIS Chapitre n°9: Sécurités physiques et environnementales Chapitre n°10: Exploitation et gestion des communications Chapitre n°11: Contrôle d'accès Chapitre n°12: Acquisition. 3. Egalement. Proposant des actions d’améliorations de niveau de sécurité de l’infrastructure informatique. Cependant. définissant les techniques à mettre en œuvre dans le cadre d’une démarche de gestion des risques. en : Déterminant les déviations par rapport aux bonnes pratiques. notamment de ses besoins en sécurité.3. intitulé « Gestion du risque en sécurité de l'information ». Principe : auditer rationnellement et expliciter les finalités de l’audit. L’objectif principal d’une mission d’audit sécurité c’est de répondre aux préoccupations concrètes de l’entreprise. puis en déduire les moyens d’investigations jugés nécessaires et suffisants.Rôle et objectifs d’audit L’audit sécurité est une mission d’évaluation de conformité par rapport à une politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité. l’audit peut s’imposer suite à des incidents de sécurité. l’audit de sécurité peut présenter un aspect préventif. C'est-à-dire qu’il est effectué de façons périodiques afin que l’organisme puisse prévenir les failles de sécurité. 4. 13 . développement et maintenance des systèmes d'informations Chapitre n°13: Gestion des incidents Chapitre n°14: Gestion de la continuité d'activité Chapitre n°15: Conformité.ISO/IEC 27005 La norme ISO/IEC 27005. est une évolution de la norme ISO 13335.2012 . (3) 14 . Une troisième partie optionnelle peut être également considérée. Il présente également les recommandations à mettre en place pour corriger les défaillances organisationnelles et techniques constatées. Ce rapport présente une synthèse de l’audit. Il décrit un cycle de vie qui est schématisé à l’aide de la figure suivante (3) Figure 1:Cycle de vie d'audit sécurité L’audit de sécurité informatique se présente essentiellement suivant deux parties comme le présente le précédent schéma : L’audit organisationnel et physique. L’audit technique. Une présentation plus détaillée de ces étapes d’audit sera effectuée dans le paragraphe suivant qui présente le déroulement de l’audit. Il s’agit de l’audit intrusif.2012 .2013 5.Cycle de vie d’information UNIVERSITE VIRTUELLE DE TUNIS d’un audit de sécurité des systèmes Le processus d’audit de sécurité est un processus répétitif et perpétuel. Enfin un rapport d’audit est établi à l’issue de ces étapes.
Report "Pages de Audit Securite Systeme Informatique MTIC"