Download Audit Securite Systeme Informatique MTIC...
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
MEMOIRE DE STAGE DE FIN D’ETUDE Pour l’obtention du
MASTERE PROFESSIONNEL « Nouvelles Technologies des Télécommunications et Réseaux » Présenté par :
Ayari Amani
Audit de Sécurité du Système Informatique de MTIC
Soutenu le : 05/02/2014 Devant le jury :
Mr
: Khaled Ghorbel
Mme : Emna Souissi Mme : Chiraz Houaidia
0
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
A ma mère pour toute l’affection qu’elle me procure. A mon père pour ses innombrables et précieux conseils. A mes frères et leurs conjointes pour leur soutien. Aux petites, Lina et Fatouma pour la joie qu’ils me font vivre. A mon fiancé Ahmed L’homme que j’aime tant et avec qui je construirai ma vie A ma tante Mtira Pour son soutien moral A toute ma famille, mes oncles, mes tantes, mes cousins et mes cousines A tous mes amis
Amani 1
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Le travail présenté dans ce rapport a été effectué dans le cadre de ce projet de fin d’études pour l’obtention du diplôme de mastère professionnel en Nouvelles Technologies de Télécommunications et Réseaux à l’Université Virtuelle de Tunis (UVT) Ce travail réalisé au sein des locaux du Ministère des Technologies de l’Information et de Communication(MTIC) a pu être mené à terme grâce à la collaboration de certaines personnes qu’il nous plaît de remercier. Je remercie également Mr Khaled Sammoud mon encadreur pour ses conseils lucides et pertinents. Je tiens à remercier vivement, Monsieur
Marouan Ladjimi et Monsieur Radhi
Mosly pour la confiance qu’ils ont su me témoigner au cours de toute la durée de l’étude de mon projet, pour leur disponibilité et leur patience. Je rends ici hommage à leurs qualités d’expert auditeur, par lesquelles ils ont su guider mes travaux de recherches en sécurité des réseaux. Mes remerciements vont aussi aux membres du jury, qui donneront à mon travail une valeur ajoutée à travers leurs recommandations et leurs remarques si importantes, dont je serai très reconnaissant. Je remercie particulièrement aux responsables et à l’équipement informatique au ministère pour leur aide, leur patience et leur disponibilité. Je remercie enfin tous ceux qui, d’une manière ou d’une autre, ont contribué à la réussite de ce travail.
Amani 2
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Table des matières Introduction Générale ..........................................................................................................................7 Chapitre I : ......................................................................................................................................... 10 Généralités et Etude de l’Art ............................................................................................................ 10 1-
Introduction .................................................................................................................... 11
2-
Généralité sur la sécurité informatique....................................................................... 11
3-
Normes et standards relatives à la sécurité ................................................................ 11 3.1- ISO/IEC 27001............................................................................................................. 12 3.2- ISO/IEC 27002 ............................................................................................................ 12 3.3- ISO/IEC 27005 ............................................................................................................ 13
4-
Rôle et objectifs d’audit ................................................................................................. 13
5-
Cycle de vie d’un audit de sécurité des systèmes d’information ............................ 14
6Démarche de réalisation d’une mission d’audit de sécurité des systèmes d’information............................................................................................................................ 15 6.1- Préparation de l’audit ............................................................................................ 15 6.2- Audit organisationnel et physique ........................................................................ 16 6.3- Audit technique ...................................................................................................... 16 6.4- Audit intrusif ........................................................................................................... 18 6.5- Rapport d’audit ....................................................................................................... 18 7-
Lois relative à la sécurité informatique en Tunisie ................................................... 19
8-
Conclusion ....................................................................................................................... 19
Chapitre II : ........................................................................................................................................ 20 Présentation de l’organisme d’accueil et étude de l’existant .......................................................... 20 1-
Introduction .................................................................................................................... 21
2-
Présentation de l’organisme d’accueil......................................................................... 21 2.1- Présentation générale ............................................................................................. 21 2.2- Rôles et attributions ............................................................................................... 21 2.3- Organigramme : ...................................................................................................... 23 2.4- Le bureau des systèmes d’information ............................................................... 25
3-
Description du système informatique ......................................................................... 25 3
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
3.1- Inventaire des micro-ordinateurs et serveurs.................................................... 25 3.2- Inventaire des logiciels et système d’exploitation ........................................... 26 3.3- Inventaire des équipements réseaux................................................................... 27 4-
Architecture et topologie du réseau ............................................................................ 28 4.1- Plan d’adressage ...................................................................................................... 28 4.2- Description de l’architecture réseau ................................................................... 28
5-
Aspects de sécurité existante ........................................................................................ 29 5.1- Sécurité physique ................................................................................................... 29 5.2- Sécurité logique ...................................................................................................... 30 5.3- Sécurité réseau......................................................................................................... 31 5.4- Sécurité des systèmes ............................................................................................. 31
6-
Conclusion ....................................................................................................................... 32
Chapitre III : ....................................................................................................................................... 33 Taxonomies des failles organisationnelles et physiques basées sur la Norme 27002 .................... 33 1-
Introduction .................................................................................................................... 34
2-
Approche adopté ............................................................................................................ 34
3-
Déroulement de la taxonomie organisationnel et physique .................................... 34 3.1- Présentation des interviews .................................................................................. 34 3.2- Présentation et interprétation des résultats ....................................................... 34
4-
Conclusion ....................................................................................................................... 40
Chapitre IV: ....................................................................................................................................... 41 Taxonomies des failles techniques .................................................................................................... 41 1-
Introduction .................................................................................................................... 42
2-
Analyse de l’architecture réseau et système............................................................... 42 2.1- Reconnaissance du réseau et du plan d’adressage ........................................... 42 2.2- Sondage système et des services réseaux ........................................................... 44
3-
Analyse des vulnérabilités ............................................................................................ 50 3.1- Serveur Backup Mail.............................................................................................. 50 3.2- Serveur SyGec ......................................................................................................... 51 3.3- Serveur de messagerie Lotus Notes .................................................................... 52
4-
Analyse de l’architecture de sécurité existante .......................................................... 53 4.1- Analyse du Firewall ............................................................................................... 54 4
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
4.2- Analyse du Routeur Cisco..................................................................................... 54 4.3- Analyse du Switch HP Procurve .......................................................................... 55 4.4- Analyse de la politique d’usage de mots de passe ........................................... 56 5-
Conclusion ....................................................................................................................... 57
Chapitre V : ........................................................................................................................................ 58 Recommandations organisationnelles et physiques ........................................................................ 58 1-
Introduction .................................................................................................................... 59
2-
Politique de sécurité ....................................................................................................... 59
3-
Organisation de la sécurité de l’information.............................................................. 59
4-
Gestion des biens ............................................................................................................ 60
5-
Sécurité liée aux ressources humaines ........................................................................ 61
6-
Sécurité physique et environnementale ...................................................................... 62
7-
Gestion des communications et de l’exploitation ...................................................... 63
8-
Contrôle d’accès.............................................................................................................. 63
9-
Développement et maintenance des systèmes........................................................... 64
10-
Gestion des incidents ..................................................................................................... 65
11-
Gestion de la continuité d’activité ............................................................................... 66
12-
Conformité ...................................................................................................................... 66
13-
Conclusion ....................................................................................................................... 67
Chapitre VI : ...................................................................................................................................... 68 Recommandations techniques ........................................................................................................... 68 1-
Introduction .................................................................................................................... 69
2-
Recommandations .......................................................................................................... 69
3-
Solution proposée........................................................................................................... 72 3.1- Déploiement complet d’Active directory (Annexe 4) ...................................... 72 3.2- Windows Server Update Services ...................................................................... 72 3.3- Deuxième Switch HP Procurve ............................................................................ 72 3.4- Nouvelle architecture ............................................................................................. 73
4-
Conclusion ....................................................................................................................... 73
Conclusion Générale.......................................................................................................................... 74 Bibliographie ...................................................................................................................................... 77 Annexes .............................................................................................................................................. 79 5
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
TABLE DES FIGURES Figure 1:Cycle de vie d'audit sécurité ........................................................................................... 14 Figure 2:Processus d'audit ............................................................................................................ 15 Figure 3:Site du ministère(MTIC) ................................................................................................ 22 Figure 4:Organigramme de MTIC ................................................................................................ 23 Figure 5:Stuctures de cabinet ........................................................................................................ 24 Figure 6:Topologie du réseau du ministère(MTIC) ...................................................................... 29 Figure 7:Interface d'administration des onduleurs ........................................................................ 30 Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32 Figure 9:Résultat de la taxonomie organisationnelle .................................................................... 39 Figure 10:Réseau local .................................................................................................................. 43 Figure 11:Configuration réseau au niveau du poste ..................................................................... 44 Figure 12:Sondage des systèmes d’exploitation avec GFI LANguard ......................................... 45 Figure 14:Sondage des services en activité du serveur Backup Mail ........................................... 46 Figure 15:Sondage des services avec Zenmap.............................................................................. 46 Figure 16:Sondage des ports ouverts ............................................................................................ 47 Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47 Figure 18:Capture des flux avec wireshark .................................................................................. 48 Figure 19:Partages réseau avec GFI LANguard ........................................................................... 49 Figure 20:Vulnérabilités (GFI LANguard) ................................................................................... 50 Figure 21:Capture du serveur Backup Mail .................................................................................. 51 Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51 Figure 23:Serveur SyGec .............................................................................................................. 52 Figure 24:Serveur primaire messagerie ........................................................................................ 52 Figure 25:Capture PuTTy ............................................................................................................. 55 Figure 26:Capture PuTTy(2)......................................................................................................... 55 Figure 27:Capture de la version du Switch ................................................................................... 56 Figure 28:Capture des adresses IP autorisées ............................................................................... 56 Figure 29:Nouvelle architecture sécurisée .................................................................................... 73
TABLE DES TABLEAUX Tableau 1:liste des serveurs du MTIC .......................................................................................... 26 Tableau 2:liste des applications du MTIC .................................................................................... 27 Tableau 3:liste des équipements réseaux de MTIC ...................................................................... 27 Tableau 4:liste des plans d'adressage ............................................................................................ 28
6
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Introduction Générale
7
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Le présent rapport entre dans le cadre de réalisation d’une mémoire du mastère professionnel « Nouvelles Technologies des Télécommunications et Réseaux » à l’Université Virtuelle de Tunis pour l’obtention d’une mission d’audit de sécurité de système informatique de Ministère des Technologies de l’Information et de Communication. Les systèmes informatiques sont devenus des outils indispensables au fonctionnement des entreprises. Ils sont aujourd’hui déployés dans tous les secteurs professionnels, à s’avoir, le secteur bancaire, les assurances, la médecine voire dans le domaine aéronautique. Cette évolution a assouvi par conséquent les besoins de nombreux utilisateurs qui ne sont pas forcément de bonne foi. Ils peuvent exploiter les vulnérabilités des réseaux et des systèmes dans le but d’accéder à des informations confidentielles et de les utiliser dans leurs propre intérêt. Il en découle que ces réseaux sont devenus ciblés par ce genre de menaces et leurs sécurisation recèle une préoccupation de plus en plus importante. La mise en place d’une politique de sécurité autour de ces systèmes est donc primordiale. Dès lors, la sécurité revêt une importance qui grandit avec le développement des réseaux IP, les entreprises y voient aujourd’hui un avantage concurrentiel et un nouveau défi à battre. La complexité des technologies utilisée, la croissance exponentielle des terminaux à protéger ainsi que la prolifération de nouvelles menaces démontrent que la sécurité est très importante, et nécessaire. Les opérations informatiques offrent de nouvelles perspectives de rentabilité pour les pirates et les malveillants. Elles constituent un moyen d’attaque qui peut être mené à des milliers de kilomètres de la cible visée. Ces risques ont gagné du terrain depuis la naissance du réseau mondial Internet. Par conséquent, toute organisation qui a des ordinateurs relies à internet (ou à tout autre réseau externe) doit élaborer une politique pour assurer la sécurité de chaque système.
8
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Ici interviennent les méthodes d’audit de sécurité des systèmes d’information qui sont à la base même d’une politique permettant à l’entreprise de mettre en œuvre une démarche de gestion de ses risques. Dans ce contexte il nous a été confié de réaliser une mission d’audit de sécurité du système d’information du ministère des technologies de l’information et de communication. Le présent rapport sera structuré en six parties : La première partie présente des généralités sur la sécurité informatique et sur une mission d’audit ainsi qu’un aperçu sur les normes de sécurité de l’information. La deuxième partie présente l’organisme d’accueil et l’étude de l’existant et l’identification de système cible. La troisième partie est consacrée aux taxonomies des failles organisationnelles et physiques basés sur la norme 27002 et ses résultats. La quatrième partie sera consacrée aux taxonomies des failles techniques qui permettent, à travers des outils de détection des vulnérabilités, d’évaluer la sécurité mise en place pour la protection du système d’information. Enfin,
les
deux
dernières
parties
de
ce
rapport
comporteront
des
recommandations et des conseils suggérés pour remédier à ces problèmes de sécurité.
9
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Chapitre I :
Généralités et Etude de l’Art
10
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction L'informatique est l'un des éléments clefs de la compétitivité d'une entreprise. C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimisé. Cependant, rare sont celles qui mettent en place une stratégie au fil des évolutions de leurs besoins. C'est pourquoi réaliser un audit permet, par une vision claire et globale, d'entreprendre la rationalisation du parc et par la même d'en augmenter la productivité, d'anticiper les problèmes et de diminuer les coûts de maintenance. (1)
2- Généralité sur la sécurité informatique Le système d’information, considéré comme le cœur de l’entreprise, est l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour la gestion de l’information. Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l’information qui y circule, du point de vue de la confidentialité, de l’intégrité ou de la disponibilité. Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système d’information de l’entreprise. Parallèlement, étant donné la complexité de la mise en œuvre de ces normes, plusieurs méthodes d’analyse des risques ont été mises au point afin de faciliter et d’encadrer leur utilisation. Cependant, la plupart de ces méthodes en sont que partiellement compatibles, ne tenant compte que d’une partie des règles énoncées dans ces normes.
3- Normes et standards relatives à la sécurité Les normes sont des accords documentés contenant des spécifications techniques ou autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes directrices ou définitions de caractéristiques pour assurer que des processus, services, produits et matériaux sont aptes à leur emploi.(2)
11
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
3.1- ISO/IEC 27001 La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences de SMSI », elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit les conditions pour mettre en œuvre et documenter un SMSI (Système de Management de la Sécurité de l'Information).
3.2- ISO/IEC 27002 Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO 17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a été rebaptisée en ISO 27002 pour s'intégrer dans la suite ISO 2700x, intitulé « Code de bonnes pratiques pour la gestion de la sécurité de l'information ». ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations. Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre). chapitres définissant le cadre de la norme: Chapitre n°1: Champ d'application Chapitre n°2: Termes et définitions Chapitre n°3: Structure de la présente norme Chapitre n°4: Évaluation des risques et de traitement Les chapitres définissant les objectifs de sécurité et les mesures à prendre Chapitre n°5: Politique de sécurité de l'information Chapitre n°6: Organisation de la sécurité de l'information Chapitre n°7: Gestion des actifs Chapitre n°8: Sécurité liée aux ressources humaines 12
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Chapitre n°9: Sécurités physiques et environnementales Chapitre n°10: Exploitation et gestion des communications Chapitre n°11: Contrôle d'accès Chapitre n°12: Acquisition, développement et maintenance des systèmes d'informations Chapitre n°13: Gestion des incidents Chapitre n°14: Gestion de la continuité d'activité Chapitre n°15: Conformité.
3.3- ISO/IEC 27005 La norme ISO/IEC 27005, intitulé « Gestion du risque en sécurité de l'information », est une évolution de la norme ISO 13335, définissant les techniques à mettre en œuvre dans le cadre d’une démarche de gestion des risques.
4- Rôle et objectifs d’audit L’audit sécurité est une mission d’évaluation de conformité par rapport à une politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité. Principe : auditer rationnellement et expliciter les finalités de l’audit, puis en déduire les moyens d’investigations jugés nécessaires et suffisants. L’objectif principal d’une mission d’audit sécurité c’est de répondre aux préoccupations concrètes de l’entreprise, notamment de ses besoins en sécurité, en : Déterminant les déviations par rapport aux bonnes pratiques. Proposant des actions d’améliorations de niveau de sécurité de l’infrastructure informatique. Cependant, l’audit de sécurité peut présenter un aspect préventif. C'est-à-dire qu’il est effectué de façons périodiques afin que l’organisme puisse prévenir les failles de sécurité. Egalement, l’audit peut s’imposer suite à des incidents de sécurité.
13
2012 - 2013
5- Cycle de vie d’information
UNIVERSITE VIRTUELLE DE TUNIS
d’un audit
de
sécurité
des systèmes
Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit un cycle de vie qui est schématisé à l’aide de la figure suivante (3)
Figure 1:Cycle de vie d'audit sécurité
L’audit de sécurité informatique se présente essentiellement suivant deux parties comme le présente le précédent schéma : L’audit organisationnel et physique. L’audit technique. Une troisième partie optionnelle peut être également considérée. Il s’agit de l’audit intrusif. Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce rapport présente une synthèse de l’audit. Il présente également les recommandations à mettre en place pour corriger les défaillances organisationnelles et techniques constatées. Une présentation plus détaillée de ces étapes d’audit sera effectuée dans le paragraphe suivant qui présente le déroulement de l’audit.(3)
14
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
6- Démarche de réalisation d’une mission d’audit de sécurité des systèmes d’information Tel que précédemment évoqué, l’audit de sécurité des systèmes d’information se déroule généralement suivant deux principales étapes. Cependant il existe une phase tout aussi importante qui est une phase de préparation. Nous schématisons l’ensemble du processus d’audit à travers la figure suivante :
Figure 2:Processus d'audit
6.1- Préparation de l’audit Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante pour la réalisation de l’audit sur terrain. En synthèse on peut dire que cette étape permet de : Définir un référentiel de sécurité (dépend des exigence et attentes des responsables du site audité, type d’audit).
15
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Elaboration d’un questionnaire d’audit sécurité à partir du référentiel et des objectifs de la mission.
Planification des entretiens et informations de personnes impliquées. 6.2- Audit organisationnel et physique a- Objectif Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de l’organisme cible, à auditer. Nous nous intéressons donc
aux aspects de gestion et d’organisation de la
sécurité, sur les plans organisationnels, humains et physiques. Les objectifs visés par cette étape sont donc : D’avoir une vue globale de l´état de sécurité du système d´information, D´identifier les risques potentiels sur le plan organisationnel. b- Déroulement Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche méthodologique qui s’appuie sur un ensemble de questions. Ce questionnaire préétabli devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la conformité de cet organisme par rapport à la norme référentielle de l’audit. Dans notre contexte, cet audit prendra comme référentiel la norme ISO/27002 :2005.
6.3- Audit technique a- Objectif Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit organisationnel. L’audit technique est réalisé suivant une approche méthodique allant de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs et vulnérables. Cette analyse devra faire apparaître les failles et les risques, les conséquences d’intrusions ou de manipulations illicites de données. 16
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Au cours de cette phase, l’auditeur pourra également apprécier l’écart avec les réponses obtenues lors des entretiens. Il sera à même de tester la robustesse de la sécurité du système d’information et sa capacité à
préserver les aspects de
confidentialité, d’intégrité, de disponibilité et d’autorisation. b- Déroulement L’audit technique sera réalisé selon une succession de phases respectant une approche méthodique.
L’audit technique permet la détection des types de
vulnérabilités suivante, à savoir : Les erreurs de programmation et erreurs d’architecture. Les erreurs de configurations des composants logiques installés tels que les services (ports) ouverts sur les machines, la présence de fichiers de configuration installés par défaut, l’utilisation des comptes utilisateurs par défaut. Les problèmes au niveau de trafic réseau (flux ou trafic non répertorié, écoute réseau,...). Les problèmes de configuration des équipements d’interconnexion et de contrôle d’accès réseau. Les principales phases : Phase 1 : Audit de l’architecture du système
Reconnaissance du réseau et de plan d’adressage,
Sondage des systèmes,
Sondage réseau,
Audit des applications.
Phase 2 : Analyse des vulnérabilités
Analyse des vulnérabilités des serveurs en exploitation,
Analyse des vulnérabilités des postes de travail. Phase 3 : Audit de l’architecture de sécurité existante Cette phase couvre entièrement/partiellement la liste ci après : 17
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Audit des firewalls et des règles de filtrage,
Audit des routeurs et des ACLs (Liste de contrôle d’accès),
Audit des sondes et des passerelles antivirales,
Audit des stations proxy,
Audit des serveurs DNS, d’authentification,
Audit des commutateurs,
Audit de la politique d’usage de mots de passe.
6.4-
Audit intrusif
Cet audit permet d’apprécier le comportement des installations techniques face à des attaques. Egalement, il permet de sensibiliser les acteurs (management, équipes sur site, les utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été effectués (scénarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifiées.
6.5-
Rapport d’audit
A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger un rapport de synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des défaillances enregistrées. Autant est-il important de déceler un mal, autant il est également important d’y proposer des solutions. Ainsi, l’auditeur est également invité à proposer des solutions (recommandations), détaillées, pour pallier aux défauts qu’il aura constatés. Les recommandations devront inclure au minimum : Une étude de la situation existante en termes de sécurité au niveau du site audité, qui tiendra compte de l’audit organisationnel et physique, ainsi que les éventuelles vulnérabilités de gestion des composantes du système (réseau, systèmes,
applications,
outils
de
sécurité)
et
les
recommandations
correspondantes.
18
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Les actions détaillées (organisationnelles et techniques) urgentes à mettre en œuvre dans l’immédiat, pour parer aux défaillances les plus graves, ainsi que la proposition de la mise à jour ou de l’élaboration de la politique de sécurité à instaurer.
7- Lois relative à la sécurité informatique en Tunisie Loi n° 5 - 2004 du 3 février 2004, relative a la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux.(6) Décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des organismes soumis a l'audit obligatoire périodique de la sécurité informatique et les critères relatifs a la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.(6)
8- Conclusion L’audit est une démarche collaborative visant l’exhaustivité. Elle est moins réaliste qu’un test mais permet en contrepartie de passer méthodiquement en revue tout le réseau et chacun de ses composants en détail. Dans le chapitre suivant nous mettons l’accent sur l’étude de l’existant et l’identification de système cible.
19
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Chapitre II :
Présentation de l’organisme d’accueil et étude de l’existant
20
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction Notre mémoire de mastère s’est déroulé au sein du Ministère des Technologies de l’information et de la Communication (MTIC) qui est chargé principalement du pilotage, de la planification, de la réglementation et l’organisation du secteur des technologies de la communication en Tunisie. Ce chapitre présente une étude exhaustive sur le système informatique et les composants qui le constituent. Toutes les informations ont été rassemblées suite à des visites sur place et des entretiens avec les membres de l’équipe informatique.
2- Présentation de l’organisme d’accueil 2.1-
Présentation générale
Dénomination
Ministère des Technologies de l'information et de la communication
Ministre
Mr Mongi Marzouk
Secteur d’activités
Informatique et télécommunication
Moyens humains (fin 2012)
230 employés
Adresse
3, bis rue d’Angleterre, 1000 Tunis
e-mail
[email protected]
Site web
http://www.infocom.tn
Téléphone :
(+216) 71 359 000
2.2- Rôles et attributions Le ministère a pour mission la mise en place d'un cadre réglementaire qui organise le secteur, la planification, le contrôle et la tutelle en vue de permettre au pays d'acquérir les nouvelles technologies. Il assure de même le soutien du développement, 21
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
attire l'investissement et encourage les efforts d'exportation et la compétitivité des entreprises tunisiennes. L’adresse officielle du site du ministère est : www.mincom.tn[N1]
Figure 3:Site du ministère(MTIC)
A cet effet, le ministère est chargé notamment de :
Coordonner entre les structures chargées des études stratégiques dans le domaine de la Poste, des Télécommunications et de la technologie de l'Information ; élaborer des normes techniques ; et encadrer les programmes de la recherche et les activités industrielles en vue de leur adaptation aux besoins du secteur,
Elaborer des plans et des études stratégiques dans les domaines des télécommunications et Postal,
Elaborer les études de rentabilité tarifaires et les modalités de fixation des tarifs des Télécommunications et des tarifs postaux,
Fixer les conditions et les modalités relatives à la mise en place et à l'exploitation des services à valeur ajoutée des télécommunications,
Suivre l'activité des Entreprises sous tutelle du ministère du point de vue technique et financier. 22
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Collecter et analyser des statistiques relatives au secteur et proposer des programmes à insérer dans les plans de développement et en évaluer les résultats :
Collecter et analyser et diffuser des statistiques relatives aux activités du ministère,
Participer à l'élaboration des études stratégiques et des plans de développement dans le domaine des communications,
Evaluer les résultats des plans de développement relatifs aux domaines afférents aux attributions du ministère,
2.3- Organigramme :
Figure 4:Organigramme de MTIC
L’organigramme du ministère comprend principalement :
L'inspection générale des communications
Les directions générales tel que : 23
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
-Direction générale des technologies de l’information -Direction générale des technologies de la communication -Direction générale de l’économie Numérique, de l’investissement et des statistiques -Direction générale des entreprises et établissements publics -Direction générale des services communs
Le cabinet comprend les structures suivantes :
Figure 5:Stuctures de cabinet
-Le bureau d'ordre central -Le bureau de l’information et de la communication -Le bureau des systèmes d’information -Le bureau des relations avec les associations et les organisations -Le bureau de suivi des décisions du conseil des ministres, des conseils ministériels restreints et des conseils interministériels -Le bureau des affaires générales, de la sécurité et de la permanence -Le bureau des relations avec le citoyen 24
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
-Le bureau de supervision des projets statistiques -Le bureau de la réforme administrative et de la bonne gouvernance -Le bureau de la coopération internationale, des relations extérieures
2.4-
Le bureau des systèmes d’information
Le bureau des systèmes d’information est chargé de :
L’exécution du chemin directeur de l’information et sa mise à jour, de même le développement de l’utilisation de l’informatique au niveau de différents services du ministère.
L’exploitation et la maintenance des équipements et des programmes informatiques.
La fixation de besoins en matière informatique et participation à l’élaboration des cahiers des charges des appels d’offres pour l’acquisition d’équipements informatiques.
La participation à l’élaboration des programmes de formation et de recyclage.
Le développement des programmes informatiques concernant les produits financiers.
Le suivi et l’application des programmes de maintenance des équipements informatiques au niveau régional à travers les pôles régionaux.
3- Description du système informatique Dans cette partie nous allons identifier tous les éléments et les entités qui participent au fonctionnement du Système informatique. D’après les visites effectuées et les documents qui nous ont été fournis, nous répartissons l’inventaire des équipements informatiques comme suit :
3.1- Inventaire des micro-ordinateurs et serveurs Nombre des postes de travail : 220 Tous les ordinateurs sont de type PC 25
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Nombre des serveurs en exploitation est 07 Serveurs :
Serveur en Exploitation Serveur SyGec
Type d’Application Hébergée Gestion et suivi des courriers
Plates formes OS/ SGBD Windows 2008 Server/ SQL serveur 2005 Windows 2003 SP3
Adresse réseau 10.0.3.128/24
Serveur primaire messagerie Lotus Domino/Notes Serveur Secondaire messagerie Lotus Domino/Notes
Messagerie Intranet
Messagerie Intranet
Windows 2003 SP3
10.0.3.52/24
Serveur Backup Mail
Sauvegarde des mails
10.0.3.127/24
Serveur Antivirus réseau Koss 9.0 Serveur Mangement FW
Système Antiviral
Windows XP SP2 Windows 2008 Server Windows 2008 Server R2
10.0.3.131/24
Windows 2008 Server
10.0.3.101/24
Serveur Fax
Console d’administration du FireWall/IDS Gestion électronique des Fax
10.0.3.51/24
10.0.3.131/24
Tableau 1:liste des serveurs du MTIC
3.2- Inventaire des logiciels et système d’exploitation Les postes de travail sont équipés du système Windows XP (SP2/SP3) et Windows7 (SP1). Les Serveurs sont équipés du système Windows 2003 Server et Windows 2008 Server Une suite de bureautique (office 2003 et 2007) est installée sur tous les postes. Il y a des applications qui sont exploitées sur un réseau physiquement séparé du réseau Intranet du ministère et dont les serveurs sont hébergés au Centre National de l’informatique, ils sont comme suit : Les applications
Description
INSAF
Application permet la gestion intégrée des ressources humaines et de la paie du personnel de
Développement Externe/Interne Externe
26
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
RACHED
ADAB Gestion des biens mobiliers de l’Etat « MANKOULET »
Gestion des stocks de l’Administration « MAKHZOUN »
l’Etat Application pour l’automatisation des procédures relatives aux missions effectuées a l’étranger par les agents de l’administration Application d’aide a la décision Budgétaire Application permettant le suivi des différentes étapes de gestion des biens mobiliers du ministère, depuis leur acquisition jusqu'à la fin de leur utilisation Application de gestion des stocks des produits tenus en stock dans les magasins du ministère
Externe
Externe Externe
Externe
Tableau 2:liste des applications du MTIC
3.3- Inventaire des équipements réseaux Le site compte les équipements réseaux et sécurité suivantes: Marque et Modèle Nombre d’interfaces Plusieurs Switch de 24 ports Rj45, 4 ports FO marque Dlink et de modèle DGS 3100 Plusieurs Switch de marque Dlink et de modèle DGS 1216T Un Routeur CISCO 2850
16 ports Rj45, 2 ports FO
Un double de FW de marque StoneGate et de modèle FW1050e Un commutateur Niv3 de marque HP Procurve de modèle 5406zl
possèdent 8 interfaces fast Ethernet.
2 interfaces fast Ethernet et 8 interfaces séries
Possède 08 interfaces FO et 24 Interfaces RJ45
Tableau 3:liste des équipements réseaux de MTIC
27
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
4- Architecture et topologie du réseau 4.1- Plan d’adressage Tous les hôtes du réseau utilisent des adresses IP privée de classe A (10.0.x.0/24) avec un masque réseau de classe C. Le réseau Interne est segmenté en 8 sous réseaux : Adresse Sous réseau
Description
10.0.1.1/24
Zone d’administration
10.1.0.0/24
Postes utilisateurs zone DGTC
10.0.2.0/24
Postes utilisateurs zone inspection
10.0.3.0/24
Zone des serveurs en exploitation
10.0.4.0/24
Postes utilisateurs zone DAAF
10.0.5.0/24
Postes utilisateurs zone juridique
10.0.7.0/24
Postes utilisateurs zone Bâtiment
10.0.8.0/24
Postes utilisateurs zone Informatique
10.0.13.0/24
Postes utilisateurs zone cabinet Tableau 4:liste des plans d'adressage
4.2- Description de l’architecture réseau Toute l’informatique est reliée à un réseau de type Ethernet, C’est un réseau local moderne, 100% commuté, avec des débits élevés (100/1000 Mb/s). La topologie du site est en étoile étendue, le réseau interne est segmenté physiquement en 8 sous réseaux, et chaque segment sous réseau est relié a un nœud central (Switch N3 de marque HP et de modèle 5406zl) via des liaisons fibre optique. Le réseau interne est relié au réseau Internet à travers une liaison de type Fibre Optique avec un débit de 10 Mb/s. Le réseau est relié avec des sites distants (des sites des organismes sous tutelle tel que SEILL, ONT, OPT, CNI)
via des liaisons permanentes à hauts débits (lignes
spécialisées avec un débit qui varie entre 128 ko/s et 512 ko/s).
28
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Toute l’architecture du réseau Interne est autour d’un doublet de firewall (qui fonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps. Les firewalls internes sont reliés à un doublet de firewall Frontal.
Figure 6:Topologie du réseau du ministère(MTIC)
5- Aspects de sécurité existante Des mesures de sécurité ont été prises pour assurer au mieux la sécurité des infrastructures et des utilisateurs du réseau.
5.1- Sécurité physique D’après les visites et les entretiens, nous avons constatés les faits suivants : Le service de nettoyage intervient de 8h à 9h et de 13h à 14h30 Existence des agents d’accueil qui contrôlent l’accès au périmètre du site, l’enregistrement des informations relatives à chaque visiteur et fournir un badge pour accéder à l’intérieur du local. 29
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Salle serveur fermée à clef, seuls les personnes autorisées et qui possèdent la clé peuvent y accéder, La climatisation est assurée par (deux) climatiseurs domestiques installé dans la salle des serveurs. Les prises de courant électriques ne sont pas ondulées. Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de marque APC 1kva) pour assurer la continuité de service des ressources critique en cas de problèmes électrique.
Figure 7:Interface d'administration des onduleurs
Seuls les machines et les composants réseaux à importance élevée sont protégés par des onduleurs pour éliminer les problèmes d’alimentation électrique de courte durée. Les extincteurs d’incendies sont disponibles dans chaque couloir Absence des caméras de surveillance pour les zones sensibles.
5.2- Sécurité logique Pour la sécurité logique, les moyens mis en place au sein du S.I sont : Acquisition d’une solution matériel de sauvegarde de données wooxo security box : qui comprend 2 disques (chacun est de capacité 512Mb), il est administrable via le web, il est sécurisé contre les risques majeurs tel que : le feu, l’inondation, et le vol
30
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Des procédures de sauvegarde pour les données sensibles sont appliquées selon les fréquences suivantes : -
Pour la base de données de l’application SyGec : une image sur disque chaque jour.
-
Pour les Emails au niveau du serveur de messagerie : une sauvegarde est planifiée tous les jours (fin de la journée) sur un poste de travail dédié pour backup Mail.
-
Pour la configuration du firewall : une sauvegarde de la configuration chaque mois ou lors d’une modification importante, et une sauvegarde des logs est assurée chaque semaine.
Afin d’assurer la continuité des services et éviter l’arrêt des services même partiellement en cas des problèmes (panne matériel, crash disque...), une certaine redondance matérielle a été constaté notamment au niveau des firewalls ainsi qu’au niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.
5.3- Sécurité réseau Le réseau est segmenté physiquement en des sous réseaux autour d’un commutateur niveau 3 qui assure le routage. Les filtrages des accès depuis et vers les réseaux externes sont assurés par le Firewall interne de marque StoneGate et de modèle 1050. Pour l’accès au réseau Internet, le mécanisme du NAT est assuré par le doublet de Firewall frontal de marque StoneGate et de modèle 1030. Dans la zone des serveurs en exploitation, un système de détection des intrusions (IDS/IPS) de marque StoneGate et de modèle 1030 est installé afin de la protéger contre les attaques.
5.4- Sécurité des systèmes Le système Antiviral : Quelque soit les mesures mises en place, on ne peut pas éviter à 100% que les machines ne seront pas infectées par des virus. 31
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en place avec une architecture client/serveur, et une version client (agent) est installée sur toutes les machines du réseau (une version pour les postes de travail et une version pour les serveurs), le serveur de l’antivirus télécharge les mises à jour régulièrement et les installe sur tous les Ordinateurs.
Figure 8:Interface client-Endpoint Security V8
6- Conclusion Suite à la description de l’environnement de déroulement de notre mission d’audit et l’identification de l’architecture réseau et principaux serveurs et équipements, nous allons procéder, dans le chapitre suivant, aux taxonomies des failles organisationnelles et physiques basés sur la norme 27002.
32
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Chapitre III : Taxonomies des failles organisationnelles et physiques basées sur la Norme 27002
33
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction Ce chapitre vise à avoir une vision qualitative et quantitative des différents facteurs de la sécurité informatique du site audité et à identifier les points critiques du système d´informations. L’audit fonctionnel sera réalisé en se basant sur des entretiens avec le responsable, et des observations constatés sur le site.
2- Approche adopté Notre approche consiste à mesurer le niveau de maturité en se basant sur un questionnaire inspiré de la Norme ISO 27002 (voir annexe 1). Ce questionnaire comporte 11 chapitres, chaque chapitre présente un thème de sécurité dans lequel sont exposés des objectifs de contrôles et des recommandations sur les mesures de sécurité à mettre en œuvre et les contrôles à implémenter.
3- Déroulement de la taxonomie organisationnel et physique Lors de cette phase, je me suis ainsi entretenu avec le chef service informatique : Mr Marouane LADJIMI. Des visites ont été réalisées au site afin de vérifier la sécurité physique.
3.1- Présentation des interviews Voir annexe 1
3.2- Présentation et interprétation des résultats Lors de cette intervention et suivant les réponses aux questionnaires, j’ai pu déceler les constations suivantes : a- Politique de sécurité de l’information
34
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
On remarque l’inexistence d’une politique de sécurité formelle et disponible pour tous les personnels et par conséquent, l’absence d’un document de politique de Sécurité écrit, validé et diffusé par la direction générale et de norme appliquée.
La politique de sécurité n’est pas affectée à un responsable, chargé de la révision régulière de ce document et l’adaptée périodiquement en cas de changement au niveau de l’organisation ou au niveau de l’architecture, suite à un incident de sécurité, ou bien à cause des changements technologiques.
b- Organisation de la sécurité de l’information
L’inexistence des fonctions suivantes dans la politique de sécurité : responsable spécialiste de la sécurité physique ; responsable spécialiste de la sécurité fonctionnelle et informatique ; directeur responsable de la sécurité générale.
Absence des objectifs de sécurité dans la politique globale de l’organisme.
Absence de l’identification des informations confidentielles.
L’inexistence d’une politique de révision et de documentation de la politique d’organisation de la sécurité.
Absence du mécanisme d’identification et de classification des accès.
Absence d’un contrat qui stipule les clauses relatives à la sécurité des valeurs de l’organisation, la sécurité physique et l’existence d’un plan de secours dans le cas d’externalisation du ministère.
Absence de comité de pilotage du SI.
Absence de l’identification des risques dus aux effets externes.
c- Gestion des biens
Il n’y a pas une classification des ressources basées sur les 3 axes : Disponibilité, Intégrité et Confidentialité.
Manque des Lignes directrices pour la classification des informations en termes de valeur, d’exigences légales, de sensibilité et de criticité,
L’inexistence d’un stock inventorié d’équipements et de pièces détachées de secours.
Absence d’une licence d’acquisition pour tous les logiciels installés. 35
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Il n’y a pas de contrôle des logiciels installés.
L’inexistence des règles d’utilisation des biens et des services d’information.
d- Sécurité liée aux ressources humaines
L’inexistence d’un contrat signé par tous les personnels pour prendre des décisions en cas de non respect des règles de sécurité, ou bien qu’ils soient sources des failles.
Absence d’une note précisant les devoirs et responsabilités du personnel.
Absence d’un programme de sensibilisation du personnel aux risques d'accident, d'erreur et de malveillance relatifs au traitement de l'information.
Les employés doivent noter, signaler toutes les failles et les menaces de sécurités observées dans les systèmes ou services ou applications, et savoir à qui s’adressent en cas pareils.
Absence d’un document de confidentialité des informations signé par les employés lors de l’embauche.
e- Sécurité physique et environnementale
Absence d’une réglementation spéciale contre le fait de fumer, boire, et manger dans les locaux informatiques.
Absence d’une politique de maintenance pour les équipements sensibles.
Absence des procédures de gestion de crise en cas de long arrêt du système et de permettre la reprise du fonctionnement au moins partiellement (favoriser quelques machines sur d’autres).
L’inexistence d’un système de détection ou d’évacuation d’eau.
Absence d’un document lié à la sécurité physique et environnementale.
f- Gestion des communications et de l’exploitation
Absence des procédures formelles pour les opérations d’exploitation : backup, maintenance et utilisation des équipements et des logiciels.
L’inexistence d’une distinction entre les phases de développement, de test et d’intégration d’applications.
Absence d’une procédure pour la gestion des incidents. 36
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Absence des procédures formelles pour la prévention contre la détection et la prévention des logiciels malicieux.
Absence d’une politique pour se débarrasser des documents importants.
L’inexistence des consignes interdisant l’utilisation des logiciels sans licence qui doivent être respectés et contrôlés.
Absence d’une politique de sécurité pour les emails.
g- Contrôle d’accès
Absence d’une procédure d’attribution ou de retrait des privilèges qui nécessite l’accord formel de la hiérarchie.
Les utilisateurs non conscients qu’ils doivent verrouiller leurs sessions en quittant leur bureau même pour quelques instants.
Absence du contrôle par un dispositif d’identification et d’authentification à l’accès au système.
L’inexistence d’un dispositif de revue des droits d’accès à des intervalles réguliers.
Absence des conditions à respecter lors du choix des mots de passe.
Il faut sensibiliser les utilisateurs pour prendre précautions à l’utilisation des disquettes, CD, flash…
h- Développement et maintenance des systèmes
Absence des procédures de validation en cas d’un ou des changements réalisés sur les programmes ou bien sur les applications.
Absence de l’assurance de la sécurité de la documentation du système d’information.
L’inexistence des procédures de contrôle pour les logiciels développés en soustraitance.
L’inexistence d’une politique de maintenance périodique et assidue des équipements.
i- Gestion des incidents
L’inexistence d’une politique de gestion des incidents. 37
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Absence d’une politique pour répartition des responsabilités en cas d’incident.
Absence d’un système de reporting des incidents liés à la sécurité de l’information.
Les employés ne sont pas informés du comportement à avoir si un incident est survenu.
j- Gestion de la continuité d’activité
Absence d’une politique de sauvegarde pour d’autres actifs de l’organisme.
Une analyse de risque à partir des divers scénarios n’est jamais développé, qui permet d’identifier les objets et les événements qui pourraient causer des interruptions (partielle ou totale).
L’inexistence des alarmes pour l’avertissement lors d’accès aux actifs sensibles en dehors des heures de travail ou en cas d’accès non autorisés.
Absence d’un plan de secours, ce qui vient de dire que l’organisme est incapable de répondre rapidement et efficacement aux interruptions des activités critiques résultant de pannes, incident, sinistre.
Absence des plans écrits et implémentés pour restaurer les activités et les services en cas de problèmes.
k- Conformité
On remarque l’absence d’une définition, d’une documentation et d’une mise à jour explicite de toutes les exigences légales, réglementaires et contractuelles en vigueur, ainsi que la procédure utilisée par l’organisme pour satisfaire à ces exigences.
L’inexistence d’un contrôle de la conformité technique.
La non-conformité des règles de sécurité appliquées.
L’inexistence d’une procédure définissant une bonne utilisation des technologies de l’information par le personnel.
Il faut que le responsable de la sécurité de l’information évalue périodiquement des procédures pour le respect de la propriété intellectuelle.
l- Résultat 38
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Le graphe suivant illustre les résultats : PS
70
OS 60
GB
50
SRH SPE
40
GCE CA
30
DMS 20
GI GCA
10
C
0 Figure 9:Résultat de la taxonomie organisationnelle
Légende : PS : Politique de sécurité de l’information (0%) OS: Organisation de la sécurité de l’information (30%) GB : Gestion des biens (50%) SRH : Sécurité liée aux ressources humaines (23%) SPE : Sécurité physique et environnementale (61%) GCE : Gestion des communications et de l’exploitation (50%) CA : Contrôle d’accès (57%) DMS : Développement et maintenance des systèmes (38%) GI : Gestion des incidents (0%) GCA : Gestion de la continuité d’activité (45%) C : Conformité (50%) Par conséquent, la moyenne est de : 37% → Niveau très bas en terme de sécurité physique et organisationnelle
39
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
4- Conclusion La taxonomie organisationnel et physique a permis d’avoir une vue globale sur le niveau de sécurité du système d’information grâce à un ensemble d’entretiens et au questionnaire qui se base sur la norme ISO 27002. Nous entamons dans le chapitre suivant la partie technique.
40
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Chapitre IV:
Taxonomies des failles techniques
41
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction La taxonomie des failles techniques suit une étude organisationnelle et physique permettant d’avoir une vue globale de l’état de sécurité du système d’information et d’identifier les risques potentiels. A cette étape nous passons à la recherche des vulnérabilités à fin d’analyser le niveau de protection de l’infrastructure face aux attaques notamment celles qui exploitent ces vulnérabilités. Nous utilisons tout au long de cette partie un ensemble des outils permettant d’obtenir les informations nécessaires et de déceler les différentes vulnérabilités.
2- Analyse de l’architecture réseau et système 2.1- Reconnaissance du réseau et du plan d’adressage Durant cette étape, nous allons procéder à une inspection du réseau afin de déterminer sa topologie, d’identifier les hôtes connectés et les équipements réseau. Pour réaliser cette tâche, nous commençons par un recueil des données concernant les équipements inventoriés. L’outil utilisé pour l'identification de la topologie réseau est NetworkView à sa version 3.6 qui permet de fournir une représentation graphique des composantes actives sur le réseau et leurs attributs.
Utilisation de l’outil NetworkView(9) à l’intérieur du réseau audité : Concernant le plan d’adressage, tous les hôtes du réseau utilisent des adresses IP
privée de classe A (10.0.x.0/24) avec un masque réseau de classe C.
42
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Figure 10:Réseau local
Cette figure montre les postes utilisateurs de la zone inspection, la zone des serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le réseau interne. Le réseau interne est segmenté en 8 sous réseaux. Tous les hôtes du réseau utilisent des adresses IP privée de classe A (10.*.*.*/24) avec un masque réseau de classe C ce qui n’est pas conforme aux normes en vigueur. La configuration TCP/IP des hôtes est manuelle, ce qu’indique qu’elle est protégée contre les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24. Pour l’accès au réseau public Internet, une translation d’adresse (NAT) est assurée par le Firewall frontal. Nous signalons à cet égard, que la configuration réseau au niveau des postes n’est pas protégée contre les modifications. En effet, chaque utilisateur peut changer son adresse ce qui peut générer des conflits d’adresses. Des attaques de type IP Spoofing (usurpation d'identité) peuvent être facilement menées et générer un déni du service; il suffit de remplacer l’adresse IP du poste par celle d’un équipement critique (routeur,
43
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
serveur, etc.). Cette attaque permet la dégradation des performances de l’équipement concerné voir même son arrêt complet.
Figure 11:Configuration réseau au niveau du poste
2.2- Sondage système et des services réseaux L’objectif de cette étape est l’identification des systèmes d’exploitation et des services réseau ce qui permet de savoir les ports ouverts des équipements audités. Il est également possible d’analyser le trafic, de reconnaître les protocoles et les services prédominant au niveau du réseau. Pour réaliser cette étape, nous avons utilisé autres outils qui permettent d’identifier les OS, les services ouverts, les patches manquants et d’autres informations utiles: Nmap(7) est un scanner de ports. Il est conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le système d'exploitation d'un ordinateur distant. GFI LANguard Network Security : c’est un outil qui permet d’effectuer un audit rapide de sécurité sur le réseau, il regroupe des informations enregistrées sur les postes de travail telles que les noms d’utilisateurs, les partages, etc.
44
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
a- Identification des systèmes d’exploitation Des essais de balayage systématique des ports avec des options de détection des systèmes d ‘exploitation ont permis d’avoir la liste des O.S au niveau des stations de l’ensemble du réseau audité de la MTIC. Les résultats de test ont confirmé que le réseau local du site est exclusivement Windows pour les postes utilisateurs (des stations tournant sous le système Win XP), Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de données et d’application en exploitation. J’ai constaté que les versions des O.S détectées sur un échantillon important des serveurs au niveau du réseau local ne sont pas mise à jour vu l’absence d’une solution de gestion centralisée des mises à jour.
Figure 12:Sondage des systèmes d’exploitation avec GFI LANguard
b- Identification des services réseaux Il s’agit de déterminer les services offerts par les serveurs et les postes de travail qui peuvent être une source de vulnérabilité. J'ai effectué un balayage des machines (serveurs et postes de travail) du réseau interne, j’ai pu cerner la liste des ports ouverts sur les stations en activité. J’ai retenu utile de présenter deux petits échantillons de ces prélevés effectué sur le serveur backup mail en utilisant l’outil Zenmap et le console sur Back-Track 5(8) :
45
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Figure 13:Sondage des services en activité du serveur Backup Mail
Figure 14:Sondage des services avec Zenmap
Il est aisé d’identifier les services réseau en activité sur les serveurs d’applications et de données en exploitation au niveau du site MTIC et de connaître le type des OS, ainsi que les failles relatives aux versions associées. Certains services en activité sur les stations, dont il faudra décider de leur utilité et de s’assurer périodiquement de l’absence des failles, par exemple : HTTP 80 (TCP), TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139 (TCP) et 445 (TCP & UDP). 46
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
c- Identification des ports ouverts J’ai appliqué l’outil GFI LANguard sur les serveurs et les équipements critiques et j’ai constaté qu’il existe des ports qui sont ouverts et non utilisés.
Figure 15:Sondage des ports ouverts
Plus
de
détails
concernant
le
serveur
secondaire
messagerie
Lotus
Domino/Notes qui possède l’adresse 10.0.3.52.
Figure 16:Ports ouverts du secondaire messagerie
47
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Les ports ouverts sont : Le port 445 est ouvert pour la plupart des serveurs et peut être utilisé par le ver NIMDA. Le port 139 est ouvert pour la plupart des serveurs, ce port peut être utilisé par les chevaux des Troie(11) suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz. Le port 25 (service SMTP) étant actif sur les serveurs messageries, il présente un risque de SPAM et par suite un risque de saturation de disque. Ce service doit être désactivé s’il n’est pas utilisé. Le port 443 est ouvert au niveau de plusieurs serveurs d’applications, qui peut être exploité par le trojan Slapper. d- Identification des flux réseaux Cette étape concerne l’analyse du trafic, l’identification des principaux flux, protocoles et applications, le taux d'utilisation ainsi que les flux inter-stations et les protocoles superflu. J'ai utilisé pour cela Wireshark qui est un logiciel libre d'analyse de protocole, ou « packet sniffer », permet d’effectuer de capture sur le réseau ainsi qu’une analyse du trafic. La capture d’écran suivante représente l’interface d’interception des paquets de Wireshark :
Figure 17:Capture des flux avec wireshark
48
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Une première analyse du trafic permet d’identifier l’existence de plusieurs protocoles actifs superflus qui génèrent des informations gratuites et qui pourraient être exploitées par des personnes malintentionnées pour mener des attaques. Les protocoles identifiés sont les suivants : Cisco Discovery Protocol (CDP) : Il est utilisé pour obtenir des adresses des périphériques voisins et de découvrir leur plate-forme, il utilise le protocole SNMP. CDP peut aussi être utilisé pour voir des informations sur les interfaces qu’un routeur utilise. ces données peuvent être exploitées dans la recherche des vulnérabilités du routeur et mener des attaques. (4) Spanning Tree Protocol (STP) : il permet d’apporter une solution à la suppression des boucles dans les réseaux pontés et par extension dans les VLANs e- Identification des partages réseaux J’ai utilisé l’outil GFI LANguard sur les serveurs et les équipements critiques pour déterminer les partages réseaux utilisés :
Figure 18:Partages réseau avec GFI LANguard La plupart des partages existants contiennent les partages administratifs et partages cachés par défaut ADMIN$, C$, D$, IPC$, K$ …, En effet, les partages administratifs par défaut peuvent être exploités par un intrus pour avoir le contrôle total de la machine.
49
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
3- Analyse des vulnérabilités La recherche de vulnérabilités pendant cette phase se base sur le scanner de vulnérabilité (GFI LANguard) qui teste la résistance du système face aux failles connues stockées dans leurs bases de connaissance. Voici une capture générale qui indique l’état de vulnérabilités sur les serveurs et les équipements critiques :
Figure 19:Vulnérabilités (GFI LANguard)
Par la suite, je vais mesurer les vulnérabilités des parties les plus sensibles du réseau local pour dégager rapidement les failles réellement dangereuses et dégager à partir des outils, des rapports efficaces et exploitables pour une sécurisation rapide et efficaces du système.
3.1- Serveur Backup Mail Identification du compte administrateur (créé par défaut lors de l’installation) sans aucune protection de mot de passe. Ceci est un exemple sur le serveur backup mail qui a l'adresse 10.0.3.127 :
50
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Figure 20:Capture du serveur Backup Mail
Identification du port critique ouvert tel que par exemple : port 23 pour le service Telnet. Cela peut mettre en danger le serveur vu la criticité du Telnet (accès à distance et flux circulant en clair).
Figure 21:Capture du serveur Backup Mail(2)
3.2- Serveur SyGec Le schéma suivant présente le résultat d’un test par un scanner de vulnérabilités, ciblant le serveur de gestion et suivi des courriers « serveur SyGec » qui a l'adresse 10.*.*.* :
51
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Figure 22:Serveur SyGec
Les vulnérabilités sont réparties sur des vulnérabilités relatives aux services réseaux en activité (ports critiques ouverts, comme le port 23), vulnérabilités relatives au système d’exploitation et au système SGBD (le port 1433 (Microsoft SQL Server) est un port utilisé par le cheval de Troie « Voyager Alpha Force »).
3.3- Serveur de messagerie Lotus Notes Le schéma suivant présente le résultat d’un test par un scanner de vulnérabilités, ciblant le serveur primaire messagerie Lotus Domino/Notes qui a l'adresse 10.0.3.51 :
Figure 23:Serveur primaire messagerie
52
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Les vulnérabilités sont réparties sur des vulnérabilités relatives aux services réseaux en activité et vulnérabilités systèmes. Le sondage des ports avec les vulnérabilités associées est présenté comme suit : Sasser (5554|TCP) (Vulnérabilité d’ordre grave) Utilisé en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a été un ver qui a exploité un débordement de tampon dans Windows LSA service. Le ver a attaqué le port TCP 445 avec l'exploit, puis en cas de succès il a ouvert une commande Shell à distance sur le port TCP 9996 et un service ftp sur le port 5554. Le service ftp est pourtant même exploitable et la tentative de ver Dabber tente d'exploiter cette vulnérabilité. POP3 (110|TCP) (Vulnérabilité d’ordre grave) Le port 110 est ouvert, désactivé le service s’il n’est pas utilisé car il est possible de détecter quels
chiffrements SSL qui sont pris en charge par le service pour le
cryptage des communications. SMTP (25|TCP) (Vulnérabilité d’ordre moyenne) Port SMTP ouvert (cible des spammeurs), il est recommandé de le désactiver s’il n’est pas utilisé, ou filtrer le trafic entrant à ce port. HTTP (80|TCP) (Vulnérabilité d’ordre moyenne) Il est recommandé de le désactiver s’il n’est pas utilisé car il est possible d’extraire des informations de configuration et de déterminer le type et la version du serveur web.
4- Analyse de l’architecture de sécurité existante L’objectif de cette étape est d’expertiser l’architecture technique déployée et de vérifier les configurations des équipements réseaux avec la politique de sécurité définie et les règles de l’art en la matière.
53
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
4.1- Analyse du Firewall Cette étape consiste à déterminer si le firewall fonctionne correctement. Le rôle du firewall consiste à contrôler l’accès selon une politique spécifique adapté pour ces huit interfaces. La démarche adoptée consiste à auditer le firewall, les règles de filtrage et des mécanismes de log. Le firewall utilisé est un Stonegate FW-1050. Lors d’une réunion avec le chef service informatique, j'ai pu à l’aide du Checklist présenté en annexe 2 déterminer les vulnérabilités suivantes du firewall : Absence d’une procédure de test périodique des vulnérabilités du Firewall ainsi que des essais de test de pénétration pour vérifier la résistance du système contre les attaques. Absence d’un rapport d'audit à long terme présentant l'historique des incidents survenus au niveau du firewall (violation des ACLS, crash par débordement du tampon). L’administration n'est pas informée en temps réel par les événements les plus critiques.
4.2- Analyse du Routeur Cisco Lors d’une réunion avec le chef service informatique, j'ai pu à l’aide du Checklist présenté en annexe 3 déterminer les vulnérabilités suivantes (c'est un routeur Cisco 2850) : Absence de contrôle et de suivi de la version IOS du routeur. Absence d’une
procédure documentée pour le backup des configurations du
routeur. Les logs du routeur ne sont pas révisés. Identification du port Telnet ouvert.
54
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Figure 24:Capture PuTTy
Figure 25:Capture PuTTy(2)
4.3- Analyse du Switch HP Procurve Voici les remarques que j’ai pu dégager lors d’une réunion avec le chef service informatique concernant le Switch HP Procurve 5406zl : Firmware pas mis à jour « Software revision : K.15.02.0005 », la dernière étant la K.15.06.0017 55
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Figure 26:Capture de la version du Switch
Il y a seulement trois adresses IP qui sont autorisées à joindre et à manager le Switch, y compris l’adresse IP du chef service informatique.
Figure 27:Capture des adresses IP autorisées
4.4- Analyse de la politique d’usage de mots de passe Les méthodes d'authentification utilisées sont les mots de passe au niveau postes de travail et serveurs. Nous remarquons concernant la politique d’usage de mot de passe les points suivants : Pour les serveurs, routeurs et tous les autres équipements réseau les mots de passe sont robustes de point de vue nombre de caractère et la combinaison de minuscules et majuscules, de chiffres, de lettres et de caractères spéciaux. 56
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Au niveau poste de travail, chaque utilisateur est responsable de la définition de son mot de passe. Certains mots de passe (aux niveaux des postes) ressemblent aux noms des utilisateurs ou sont trop courts (inférieur à 10 caractères), ce ne sont pas de bonnes pratiques de sécurité. L’absence d’une sensibilisation des utilisateurs et de la mise en place d’une procédure de contrôle a priori. Absence d’une charte d'utilisation qui spécifie aux utilisateurs leurs obligations de protection de leurs postes. Absence d’une politique qui définit notamment quelle est la typologie de mots de passe autorisés, la longueur des mots de passe, les délais d'expiration, la technique de génération, l'occurrence d'utilisation des mots de passe,…
5- Conclusion Au cours de cette étape, j’ai essayé de déceler certaines vulnérabilités au niveau réseau et applications en analysant les différents flux et les politiques de sécurité adoptés par les équipements tel que firewall, routeur... Il s’agit maintenant de proposer des recommandations et des actions à suivre pour remédier à ces faiblesses.
57
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Chapitre V :
Recommandations organisationnelles et physiques
58
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction Après avoir terminé l’évaluation de la sécurité du système d’information suivant la norme 27002, je vais proposer dans ce chapitre des recommandations réparties par thème à mettre en œuvre pour pallier aux insuffisances. La mise en place de ces recommandations pour remédier aux risques encourus peut être faite progressivement
selon le degré d’urgence et la disponibilité des
ressources humaines et budgétaires.
2- Politique de sécurité Le MTIC est tenu à élaborer sa politique de sécurité qui doit être validée par les responsables, distribuée et publiée à tout le personnel. Chaque employé doit donner son consentement et signer son adhésion à la charte du respect de la confidentialité de l’information. Le message qui doit être délivré à travers la politique de sécurité et la charte informatique est que toute violation de la confidentialité est un délit punissable selon le degré de sa gravité. Aussi une revue régulière de cette politique de sécurité doit être planifiée pour tenir compte des possibles changements qui surviendront (nouveaux incidents, nouvelles vulnérabilités, changements à l’infrastructure...)
3- Organisation de la sécurité de l’information L’organisation
de
la
sécurité
consiste
à
assurer
le
développement,
l’implémentation et la mise à jour des politiques et des procédures de sécurité. Pour gérer la sécurité, il est conseillé de prendre en compte les recommandations suivantes : Le management de l’organisation doit être impliqué dans la sécurité de l’information, en particulier dans la définition de la politique de sécurité, la définition des responsabilités, l’allocation des ressources, ...
59
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Définir la structure et l'organisation du management de la sécurité composé d’un RSSI et des responsables de toutes les directions du MTIC et préciser leurs rôles et responsabilités respectifs et vis-à-vis des managers opérationnels. Cette structure doit avoir la capacité à alerter sans délai la Direction Générale en cas de problème grave. Définir les rôles des responsables en matière de sécurité de l’information. La mise en place d’un système d’autorisation concernant les moyens de traitement de l’information (contrôle de l’usage d’équipements ou logiciels personnels). Engagement de personnels vis-à-vis le respect de la sécurité informatique (définition des devoirs et responsabilités, des notes précisant les obligations légales,...). Assurer
une veille technologique en matière de sécurité (participation à des
cercles, associations, congrès,...). Etablir une revue de la sécurité de l’information en fonction des évolutions de structures. Analyser les risques liés aux accès de personnel tiers au système d’information ou aux locaux et établir les mesures de sécurité nécessaire.
4- Gestion des biens Les ressources sont répertoriés, mais ils doivent être classifiées selon leur importance basée sur les 3 axes : besoin en terme de disponibilité, confidentialité et intégrité. Définir les types d'actifs qui doivent être identifiés et inventoriés. Les actifs peuvent être des informations, des logiciels, des équipements matériels, des services et servitudes, des personnes ou du savoir-faire, des actifs intangibles tels que la réputation ou l'image. Tenir à jour l’inventaire des types d'actifs identifiés.
60
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Désigner pour chaque actif identifié et inventorié un "propriétaire" qui assume la responsabilité du développement, de la maintenance, de l'exploitation, de l'utilisation et de la sécurité de cet actif. Définir et documenter, pour chaque actif, les règles d'utilisation acceptables. Définir et contrôler une procédure de revue périodique des classifications.
5- Sécurité liée aux ressources humaines Etablir une procédure d'information préliminaire auprès du personnel (interne ou contracté), en ce qui concerne ses devoirs et responsabilités et les exigences de sécurité de la fonction, avant tout changement d'affectation ou embauche. Une note précisant les devoirs et responsabilités du personnel doit être diffusée à l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu connaissance. Etablir une clause dans les contrats d'embauche ou dans le règlement intérieur, précisant l'obligation de respecter l'ensemble des règles de sécurité en vigueur. Le personnel est tenu à respecter la politique de sécurité que le MTIC va la mettre en œuvre. A cet effet, une mise à niveau des employés dans le domaine de la sécurité de l’information doit être menée en planifiant des cycles de formation périodiques et en organisant des programmes de sensibilisation qui devront expliquer les méthodes de protection de l’information surtout celle qui sont critiques. Ce programme doit expliquer : Les concepts de base de la sécurité. La sensibilité de l’information et le type de protection nécessaire. La responsabilité personnelle de chacun dans la gestion de la sécurité et l’application des protocoles sécuritaires. Les types de menaces (erreurs humaines, naturelles, techniques..).
61
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Les règles et mesures générales de protection de l'information qui couvrent l'ensemble des domaines concernés (documents, micro-informatique, accès aux locaux, systèmes et applications) Les sanctions à prendre contre le manque de responsabilité. Ce programme de sensibilisation doit être réactivé régulièrement. La violation de la politique sécurité et des procédures de sécurité de l'organisme par des employés devra être traitée au moyen d’un processus disciplinaire et les mesures correspondantes doivent être communiquées à tous les employés.
6- Sécurité physique et environnementale Il faut mettre des consignes claires à propos du fait manger, boire ou fumer dans les locaux informatiques. Contrôler de manière globale le mouvement des visiteurs et des prestataires occasionnels (signature de la personne visitée, etc.). Définir des procédures spécifiques de contrôle pour chaque type de prestataire extérieur au service amené à
intervenir dans les bureaux (sociétés de
maintenance, personnel de nettoyage, etc.) : port d'un badge spécifique, présence d'un accompagnateur, autorisation préalable indiquant le nom de l'intervenant,… Faire une analyse systématique et exhaustive de toutes les voies possibles d'arrivée d'eau et de tous les risques d'incendie et les risques environnementaux envisageables et prendre des mesures en conséquence. Mettre en place des détecteurs d'humidité et des détecteurs d'eau à proximité de salle machine qui doivent être reliés à un poste permanent de surveillance. Définir des procédures de gestion de crise en cas de long arrêt du système et de permettre la reprise du fonctionnement au moins partiellement (favoriser quelques machines sur d’autres).
62
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
7- Gestion des communications et de l’exploitation Etablir
des
procédures
opérationnelles
d'exploitation
qui
doivent
être
documentées, maintenues à jour, rendues disponibles à toute personne en ayant besoin et approuvées par les responsables concernés. Définir, au sein de l'exploitation des réseaux, des profils correspondant à chaque type d'activité et attribuer les droits privilégiés nécessaires pour chaque profil. Etablir, contrôler et tester formellement des mesures de sécurité pour remédier aux nouveaux risques avant mise en exploitation. Définir une politique afin de lutter contre les risques d’attaque par des codes malveillants (virus, chevaux de Troie, vers,…). Définir une politique et des mesures de protection pour lutter contre des codes exécutables (applets, contrôle ActiveX, etc.) non autorisés (blocage ou contrôle de l’environnement dans lequel ces codes s’exécute, authentification de l’émetteur,...). Etablir une procédure garantissant, en cas de mise en rebut, la non divulgation des informations sensibles jusqu’à la destruction de leur support. Etablir des documents définissant : Les règles générales à appliquer en ce qui concerne la protection des moyens et supports de stockage, de traitement et de transport de l'information, Les règles à appliquer en ce qui concerne l’exploitation des ressources informatiques (réseau, serveurs,..), des services de communication électronique et des réseaux sans fil. Mettre en place un service de messagerie électronique chiffrée. Archiver tous les éléments ayant permis de détecter une anomalie ou un incident.
8- Contrôle d’accès Etablir une politique de gestion des droits d'accès aux zones de bureaux s'appuyant sur une analyse préalable des exigences de sécurité, basées sur les enjeux de l’activité. 63
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Les droits accordés aux utilisateurs dès leur enregistrement doivent être approuvés par les propriétaires des ressources concernées. Contrôler strictement le processus d'attribution (ou modification ou retrait) de droits privilégiés et d'autorisations d'accès à un individu. Le processus de création ou de modification d’un authentifiant pour les accès internes doit respecter un ensemble de règles permettant d'avoir confiance dans sa solidité intrinsèque. Effectuer un partitionnement du réseau local en domaines de sécurité correspondant à des exigences de sécurité homogènes et à des espaces de confiances à l’intérieur desquels les contrôles peuvent être adaptés. Les règles établissant les critères de connexion au réseau étendu doivent définir les mesures de sécurité logique devant protéger les équipements de réseau et les équipements de sécurité, et doivent préciser les filtrages à mettre en place pour contrôler les accès entrant aussi bien que pour les accès sortant. Procéder régulièrement à une revue des connexions autorisées (standards et non standards) et de leur pertinence pour le réseau local et étendu. Analyser la sensibilité des systèmes généraux pour mettre en évidence leurs exigences de sécurité et en déduit des mesures d’isolement (physique et logique) appropriées pour les serveurs ou équipements concernés. Dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence d'échange après un délai défini, nécessitant une nouvelle identification – authentification.
9- Développement et maintenance des systèmes Définir les liens permanents et les échanges de données devant être protégés par des solutions de chiffrement et mis en place de telles solutions au niveau de réseau étendu et local.
64
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Chiffrer les données sensibles contenues éventuellement sur le poste de travail ou sur un disque logique de données partagées hébergé sur un serveur de données. La procédure et les mécanismes de conservation, de distribution et d’échange de clés, et plus généralement la gestion des clés, doivent offrir des garanties de solidité dignes de confiance, lors des échanges et d’accès distant sur le réseau local et étendu. Mettre en place des procédures pour contrôler l’installation du logiciel sur les systèmes en exploitation. Les installations, les matériels et les logiciels du système d'information ainsi que ceux qui assurent la protection du système d'information et la fourniture des services essentiels doivent être maintenus et testés régulièrement.
10-
Gestion des incidents
Les responsabilités et les procédures doivent être établies afin de fournir rapidement des solutions effectives aux incidents de sécurité. Mettre en place un système de déclaration des incidents auprès des correspondants du RSSI avec une synthèse de ces incidents transmise au RSSI. Le système de déclaration et de gestion des incidents doit inclure tous les incidents (exploitation, développement, maintenance, utilisation de SI) physiques, logiques ou organisationnels et les tentatives d’actions malveillantes ou non autorisées n’ayant pas abouti. Définir des règles précisant les processus de reporting des incidents et des anomalies constatées et les comportements adaptés. Chaque incident réseau (local et étendu)
majeur doit faire l’objet d’un suivi
spécifique (nature de description, priorité, solutions techniques, études en cours,...).
65
2012 - 2013
11-
UNIVERSITE VIRTUELLE DE TUNIS
Gestion de la continuité d’activité
Définir des processus, régulièrement mis en œuvre, d’analyse des risques, liés à l’information, pouvant conduire à une interruption des activités de l’entreprise, débouchant sur une définition des exigences de sécurité, des responsabilités, des procédures à appliquer et moyens à mettre en œuvre afin de permettre l’élaboration des plans de continuité. Analyser la criticité des différentes activités pour mettre en évidence les besoins de continuité de service et déduire des plans de continuité d’activité pour chaque activité critique. Ces plans doivent prévoir bien toutes les actions à entreprendre pour assurer la continuité de l'activité entre l'alerte et la mise en œuvre éventuelle des solutions de remplacement prévues par les plans de secours techniques. Ces plans doivent traiter tous les aspects organisationnels liés à la solution de secours "manuel" (personnel, logistique, encadrement,...). Mettre en place une solution de secours pour pallier l’indisponibilité de tout équipement ou de toute liaison critique du réseau étendu et local. Identifier précisément les scénarios de sinistre pouvant affecter l’ensemble du parc des postes utilisateurs et analyser pour chaque scénario, ses conséquences en termes de service rendus impossibles aux utilisateurs.
12-
Conformité
Toutes les exigences légales, réglementaires et contractuelles doivent être définies explicitement et documentées pour le système informatique et son application par l'organisation doit figurer dans un document tenu à jour. Procéder à des contrôles fréquents visant à vérifier que les logiciels installés sont conformes aux logiciels déclarés ou qu’ils possèdent une licence en règle. Les opérations d'audit réalisées pour les données critiques doivent être enregistrées. 66
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Définir et documenter les règles concernant les audits menés sur le réseau, les procédures et les responsabilités associées. Les outils d'audit doivent être protégés afin d'éviter toute utilisation indue ou malveillante. Ceci s'applique, en particulier, aux tests de pénétration et aux évaluations de vulnérabilités. Les résultats d'audit doivent être protégés contre toute modification ou divulgation.
13-
Conclusion
Dans cette partie, j’ai proposé des recommandations que je juge nécessaires à mettre en œuvre pour améliorer la sécurité du système d’information du MTIC en se basant sur la norme 27002. Dans la partie suivante, je vais aborder l’aspect technique.
67
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Chapitre VI :
Recommandations techniques
68
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
1- Introduction Après avoir terminé l’évaluation technique, Les outils de scan et les tests techniques effectués ont permis de déceler des failles de sécurité et des vulnérabilités des différents composant du système d’information. Par la suite, je vais proposer des recommandations techniques à mettre en œuvre pour pallier les insuffisances et les défaillances détectées.
2- Recommandations Les recommandations sont les suivantes : Utiliser SSH au lieu de Telnet pour l’administration à distance des équipements réseaux et sécurité et pour empêcher l’interception des données. Désactiver ou fermer les services réseaux inutiles et surtout SNMP sur les équipements critiques (FW, Routeurs, Serveurs,…). Mettre en place une solution de gestion centralisée des mises à jour (WSUS) afin de minimiser les bugs et les failles de sécurité et de vérifier que les mises à jour sont bien installées. Attribution des mots de passe au niveau de bios sur les machines sensibles afin de protéger contre les accès physiques. Utiliser des certificats numériques pour crypter et signer les messages. Prévoir des matériels redondants pour les équipements critiques (les serveurs en exploitation, Routeurs,...). Prévoir des matériels de remplacement en cas de panne d’un composant essentiels. Prévoir des cycles de formation pour l’équipe informatique sur les aspects : Sécurité des systèmes d’exploitation. Sécurité réseaux et système de gestion de BD. Prévoir des cycles de sensibilisation pour les utilisateurs pour qu’ils tiennent compte de l’importance de la sécurité et l’impact de l’insécurité. 69
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Effectuer des tests de récupération et de restauration des systèmes et des données comme s’il y a eu d’incident.
Au niveau Firewall Effectuer un enregistrement détaillé de toutes les traces de connexions qui sont bloquées ou passées par le firewall. Etablir des statistiques sur l’usage du Firewall. Vérification des derniers patchs et mises à jour de manière régulière et automatiquement à partir du site du constructeur. Etablir un rapport d'audit à long terme présentant l'historique des incidents survenus au niveau du firewall. Définir un document ou une spécification des règles de filtrage contenant une description de l’utilité de chaque filtre/règle. Définir un document précisant la configuration du Firewall et le suivi des modifications de cette configuration.
Au niveau Routeur Etablir une procédure documentée pour le backup des configurations du routeur. Toutes les modifications de configuration des routeurs doivent être documentés et conservés dans un endroit sécurisé afin d’assurer la continuité de travail. Enregistrement de toute tentative refusée à n’importe quel port, protocole ou service. Assurer le contrôle, la vérification et l’archivage des logs en concordance avec la politique locale. Mettre à jour l’IOS à chaque publication d’une nouvelle version.
Politique d’usage de mots de passe Veillez à ce que tous les mots de passe surtout des serveurs et des équipements réseaux et sécurité soient des mots de passe robustes et les changer régulièrement.
70
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Une bonne politique de sécurisation des accès par mot de passe consiste également en la définition d'un délai d'expiration du mot de passe. Il est par exemple possible de définir le renouvellement des mots de passe par période de 15, 30 ou 45 jours. Ne divulguez jamais un mot de passe et surtout pas en l'envoyant par courrier électronique. Évitez de noter le mot de passe quelque part ou de le laisser exposé (sur écran, sous le clavier, dans un fichier non protégé, ...). Proposer des changements réguliers tout en bloquant la possibilité d'utiliser des mots de passe déjà employés. Définir la fréquence des audits afin de s'assurer que la politique est bien respectée. Des outils tels que LophtCrack, John the Ripper ou Crack permettent de contrôler régulièrement la robustesse des mots de passe.
Politique de sauvegarde Mettre en place une stratégie de sauvegarde et de restitution des données formellement décrite et
de vérifier le bon fonctionnement des supports de
sauvegarde après chaque cycle de ce dernier. Procéder régulièrement à la vérification des sauvegardes en procédant à des essais de restauration des données sauvegardées. Sensibiliser régulièrement le personnel de l’importance de sauvegarde. Procéder à une sauvegarde système, des journaux et sauvegarde des configurations des équipements réseaux. Mettre en place un plan de sauvegarde couvrant l’ensemble des configurations des réseaux définissant les objets à sauvegarder et la fréquence des sauvegardes. Les accès aux systèmes doivent être journalisées avec si possible et au minimum l'identité de l'utilisateur, le système concerné, la date et l'heure de l'accès.
71
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
3- Solution proposée 3.1- Déploiement complet d’Active directory (Annexe 4) L’objectif principal d’Active Directory est de fournir des services centralisés d’identification et d’authentification à un réseau d’ordinateurs utilisant le système Windows. Il permet également l’attribution et l’application de stratégies, la distribution des logiciels, et l’installation de mise à jour critique par les administrateurs.(5) Active Directory répertorie les éléments d’un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées.
3.2- Windows Server Update Services Windows Server Update Services (WSUS) est un service permettant de distribuer les mises à jour de Windows et d'autres applications Microsoft sur les différentes machines Windows d'un parc informatique. WSUS est un serveur de mises à jour local (ou proxy de mises à jour) qui se synchronise avec le site public Microsoft Update et permet de contrôler la diffusion des mises à jour dans le parc. Par défaut chaque machine Windows faisant ses mises à jour, va les chercher sur le site officiel, ce qui demande beaucoup de bande passante sur un parc avec de nombreuses machines.
3.3- Deuxième Switch HP Procurve Actuellement on se retrouve avec un seul Switch L3, au cas où ce dernier tombe en panne, on peut dire qu’il n’y aura pas de production. De ce fait, je propose de mettre un deuxième Switch HP Procurve 5406zl pour faire de la redondance. Concernant la configuration, je propose d’implémenter une agrégation de liens (Port Trunking), c’est une notion de réseau informatique décrivant l'utilisation de plusieurs câbles ou ports réseau afin d'accroître le débit d'un lien au-delà des limites d'un seul lien, ainsi que d'accroître la redondance pour une meilleure disponibilité. 72
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Evidement, avant d’implémenter cette méthode, il faut activer le Spanning Tree (STP) pour éviter d’avoir une boucle.
3.4- Nouvelle architecture Enfin,
suite aux recommandations précédentes et solutions proposées, je
propose une nouvelle architecture du réseau plus sécurisé et plus fiable :
Figure 28:Nouvelle architecture sécurisée
4- Conclusion J’ai proposé dans ce chapitre des recommandations sur le plan technique à fin de minimiser le risque d’exploitation des vulnérabilités du réseau et de protéger les différents équipements pour assurer une continuité et une disponibilité complète.
73
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Conclusion Générale
74
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
L’objectif de lancement de notre mission d’audit était d’évaluer le niveau de maturité du SI du MTIC et de dégager les déviations par rapport aux normes de sécurité surtout la norme ISO 27002. A travers cet audit, nous étions en contact direct avec les responsables du MTIC et nous avons essayé de communiquer avec eux et d’échanger les connaissances pour réussir l'étape de l'audit organisationnel et physique et nous avons pu travailler avec différents outils destinés au recensement des failles et des vulnérabilités du système audité afin d'expertiser l'étape de l'audit technique. Nous avons essayé de couvrir le maximum d’aspects pendant la période de cette mission, nous avons évalué le niveau de maturité des différentes clauses qui définissent la sécurité organisationnelle et physique, puis l’audit s’est concentré sur les aspects techniques. Pour l’audit technique nous avons étudié l’architecture du réseau informatique ainsi que les différents équipements critiques. Nous avons aussi consacré une bonne partie de cet audit pour étudier les différents systèmes applicatifs tel que le service messagerie ou le SGBD vu leur importance dans le SI du MTIC. Nous avons détaillé, examiné et classifié les failles trouvées, pour enfin proposer différentes recommandations couvrant les domaines étudiés, et nous avons élaboré un plan d’action permettant à l’organisme d’atteindre ses objectifs et améliorer la façon de gérer son SI. Le plan d’action proposé détaille les mesures nécessaires pour améliorer la qualité de la sécurité du SI, en précisant les objectifs à atteindre et les indicateurs de suivi qui permettent d’évaluer la réussite des mesures prises. Nous avons aussi proposé quelques solutions commerciales et gratuites permettant d’aider les responsables à améliorer la façon de gérer le SI surtout la partie concernant le réseau informatique. Nous devons signaler que les responsables du MTIC seront les principaux joueurs et décideurs en ce qui concerne les estimations financières et l’organisation des ressources humaines impliquées dans l’exécution de ce plan d’action vu leur méthodologie de 75
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
travail et les procédures administratives à respecter. Notre rôle est principalement de les aider à évaluer leur SI et de proposer les mesures nécessaires. Il est à noter qu’un effort considérable a été déjà fait au sein du MTIC pour améliorer la qualité du SI dans un monde technologique évoluant à la vitesse de la lumière, mais d’autres mesures peuvent être prises ou planifiées pour atteindre un seuil de robustesse honorable. La valeur que présente le MTIC dans le domaine des télécommunications et les nouvelles technologies en Tunisie l’invite à continuer les efforts pour donner l’exemple aux autres organismes à l’échelle nationale et internationale et rester toujours un modèle et une référence pour les autres. Aujourd’hui, l’effet de la réflexion humaine est de plus en plus important dans le domaine de la sécurité, ce qui laisse les spécialistes en sécurité affirmer que "La sécurité c’est 75% de savoir être et de savoir-faire et 25% de matériel ", atteindre ses objectifs en matière de sécurité dépend essentiellement du facteur humain et de la culture de l’organisme. L’effort qu’exige le sujet de la sécurité n’a jamais été périodique ou temporaire, mais c’est un effort continu qui doit dépasser le fait de prendre des mesures pendant une période limitée pour devenir une approche à long terme et une vraie culture inculquée dans les bonnes habitudes des individus et des organismes concernés.
76
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Bibliographie
77
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
1 :http://www.pommef.com/audit-informatique-Macintosh-paris.html 2 :http://users.polytech.unice.fr/~hugues/GL/Norme/norme.html 3 :http://www.blog.saeeed.com/2012/11/implementation-et-mise-en-oeuvre-de-lanorme-iso-cei-27001/ 4 :http://cisco.goffinet.org/s2/methode_diagnostic#.UpXKE9JHR-s 5 :http://www.arkeia.com/fr/products/arkeia-network-backup/backupagent/directory-server-agents/active-directory-agent 6 : http://www.ansi.tn/fr/presentation_agence/cadre_juridique.html 7 : http://nmap.org/ 8 :http://www.ehacking.net/p/backtrack-5-tutorial.html 9 : http://www.networkview.com 10 :http://www.cyberinfos.net/modules.php?name=Forums&file=viewtopic&t=59&view=previous 11 :http://www.securiteinfo.com/conseils/portstroyens.shtml 12 :http://forum.cigiema.fr/t235-Les-Ports-Reseaux.html http://www.nessus.org/products/nessus
78
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Annexes
79
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Annexe 1 : Questionnaire conforme aux exigences de la Norme 27002 1. Politique de sécurité de l’information Y a-t-il une politique de sécurité écrite et disponible pour tout le personnel ? La politique de sécurité spécifie t elle clairement les objectifs de sécurité de l’organisme, ainsi que des mesures de révision ? Cette politique de sécurité est-elle revue à intervalles réguliers ou lors du changement significatifs, afin d’assurer le maintien de sa pertinence et de son efficacité ? Quelles sont les règles et principes de sécurité qui figurent dans la politique de sécurité : Charte de sécurité, procédures………. est-ce que la politique de sécurité a été élaborée en tenant compte du principe avantages/coûts ? Est-ce que cette politique fait référence à des documents qui aident dans la compréhension et le respect de cette dernière ? La politique de sécurité de l’organisme définie t-elle : une structure en charge de la définition de la politique de sécurité des systèmes d’information ainsi que de sa mise en place ? un plan de continuité d’exercice, une éducation aux exigences de sécurité et aux risques de sécurité, les conséquences d’une violation des règles de sécurité ainsi que les responsabilités des incidents de sécurité ? une structure chargée de l’évaluation des risques et de leurs gestions ? des principes de sécurité de l'information tel qu’ils soient conforment à la stratégie d'affaires et aux objectifs de l’organisme ? Etablit-on annuellement un plan de sécurité des systèmes d’information regroupant l’ensemble des plans d’action, moyens à mettre en œuvre, planning, budget ? La politique de sécurité bénéficie t elle de l’appuie de la direction générale ? Est-ce que cette politique est publiée et communiquée : Aux employés Aux tiers Est-ce que cette politique a un propriétaire qui est responsable de sa revue et maintenance selon un processus prédéfini ?
N (en cours) N N
N N N N
N
N N
N
80
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Est-ce que le processus de revue est déclenché suite à des changements affectent le recensement du risque tel que : Des incidents de sécurité grave Nouvelle vulnérabilités Changement dans l’organigramme Inefficacité des mesures mises en place Evolutions technologiques L’organisation et la gestion de la sécurité sont-elles formalisées dans un document chapeau couvrant l’ensemble du domaine pour le projet ? Une démarche de certification iso 27002 a-t-elle été prévue pour le projet ? 2. Organisation de la sécurité de l’information Quelles sont les fonctions définies dans la politique de sécurité ? Directeur responsable de la sécurité générale Responsable spécialiste de la sécurité physique Responsable spécialiste de la sécurité fonctionnelle et informatique Les objectifs de sécurité sont ils identifiés, intégrés à la politique globale de l’organisme, et sont ils en concordance avec les objectifs de l’organisme ? Les règles de sécurité précisent t-elles une définition claire des tâches, rôles spécifiques affectation des responsables de sécurité de l’information ? Existe t-il une coordination de l’exécution des tâches de sécurité des différentes entités en charge de la sécurité de l’information au sein l’organisme ? Les informations confidentielles à protéger sont elles identifiées ? Existe t-il une politique de révision et de documentation de la politique d’organisation de la sécurité en vue de la mettre à jour ou à niveau ? Existe-il un comité de sécurité du SI ? Existe-il un RSSI dans le site, avec une fiche de poste, ainsi qu’une délégation formelle mentionnant ses attributions et ses moyens d’actions ? L’entreprise entretien t elle des relations en cas de besoin avec : Des spécialistes indépendants Des partenaires Des autorités publiques Aucune relation L’entreprise entretien t elle des relations en cas de besoin avec : Audit externe Audit interne Aucun L’entreprise dispose t elle d’un mécanisme qui permet : D’identifier les accès De classer les accès De savoir les raisons d’accès
N
N N N
N N O
N N N (en cours) O O
O
N
81
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Aucun Y a-t-il un contrat qui stipule les conditions d’accès et les recours en cas de panne lors des accès par des tiers ou des sous traitants ? Les risques dus aux effets externes sont ils identifiés ? En cas d’externalisation l’entreprise précise t elle dans un contrat les clauses relatives à : La sécurité des valeurs de l’organisation La sécurité physique L’existence d’un plan de secours Aucun Avez-vous appliqué une démarche méthodologique d’analyse et de gestion des risques SSI ? L’organisation de la sécurité est-elle formalisée dans un document ? Une politique de confidentialité a-t-elle été élaborée dans le cadre de ce projet ? Des révisions périodiques de la mise en œuvre de la gestion de la sécurité sont-elles prévues ? 3. Gestion des biens Existe-t-il un inventaire des biens du projet ? Existe-t-il une classification des biens par rapport à leurs critères de sensibilité (en termes de disponibilité, d’intégrité et de confidentialité) ? Les actifs de l’organisme sont ils identifiés répertoriés ? Est-ce qu’on a prévu une classification des informations selon leur importance ? A chaque actif est-il associé un propriétaire qui doit en assurer également la responsabilité ? Quelles sont les valeurs critiques de l’entreprise ? Les personnes Le matériel Les logiciels Les données Les services Les sous réseaux L’image de marque et réputation L’entreprise procède t elle régulièrement à un inventaire de ces avoirs ? Existe-il des fiches concernant les mouvements ? (date d’entrée, date de sortie, date de mouvement, destination, provenance) Les informations sensibles bénéficient elles des procédures définissant leurs conservations ou destruction ? Le matériel informatique est-il inventorié par un élément identifiable et unique ? (ex : n° de série ? Le matériel en prêt est-il clairement identifié sur l’inventaire ? (nom de la
O N N
N N N N
O N O N O - Donnée s - Service s - Matérie ls
O O N O O 82
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
personne ayant fait l’emprunt) Existe-t-il un stock inventorié d’équipements et de pièces détachées de secours ? Les logiciels installés ont-ils tous une licence d’acquisition ? Contrôlez-vous si des logiciels autres que ceux de votre inventaire sont installés ? (logiciels pirates) Est-ce qu’il y a un responsable de la bonne tenue des inventaires ? Existe-il des règles d’utilisation des biens et des services d’information ? Existe-il une procédure pour la dé-classification des biens d’information ? Existe-il des procédures de manipulation des biens d’infirmation par des personnes externes à l’organisation ? 4. Sécurité liée aux ressources humaines Le contrat employeur employé tient il compte des responsabilités de l’employé vis-à-vis de la sécurité de l’organisme ? L’organisme s’accorde t-il les moyens de vérifier l’authenticité et la véracité des diplômes et documents fournis par les potentiels futurs employés ? Le personnel est il informé de ces responsabilités vis-à-vis de la sécurité des actifs : Avant l’embauche, Pendant la période de son exercice, Après remerciement ? Y a t il une politique de rotation du personnel occupant des taches clefs ? Existe-t-il des sessions d’information du personnel sur la sécurité des systèmes d’information de l’organisme ? Le responsable de sécurité est il formé aux nouvelles technologies ? Est-ce que le personnel a signé un document de confidentialité des informations lors de l’embauche ? Existe-t-il des procédures disciplinaires pour les employés sources de failles de sécurité ? Y a-t-il une procédure de revue de ce document, surtout en cas de départ ou une fin de contrat ? Est-ce que les sous traitants ou le personnel contractuel a signé un document pareil ? Est-ce que tout le personnel est informé vers qui et comment rendre compte des incidents de sécurité ? Y a-t-il une procédure d’apprentissage des accidents et des failles de sécurité ? A-t-on organisé régulièrement des tests pour vérifier le degré d’assimilation du personnel de la politique de sécurité ainsi que sa culture en informatique. 5. Sécurité physique et environnementale La situation géographique de l’organisme tient elle compte des risques
N N N O N N N
N O N
N O O N N N N N N N
O 83
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
naturels ou industriels ? Le câblage électrique est il conforme aux règles de sécurité ? Est-ce qu’une analyse de risque a été effectuée pour évaluer la sécurité physique de la société ? Parmi ces procédures quels sont ceux qui figurent dans la protection physique des locaux : Contrôles des portes d’entrée Clôtures hautes Attribution des badges Contrôle à la sortie Caméra de surveillance Limitation d’accès Est-ce que des mesures de sécurité particulière ont été instaurées pour le centre informatique ? (si oui commenter...) Par badge……………………………………………………………………………… …………………………………. Y a-t-il une réglementation spéciale contre le fait de fumer, boire, et manger dans les locaux informatiques ? Existe-il une protection de câblage informatique et de télécommunication à l’égard des risques électrique ? (variation de tension…) Les équipements acquis suivent ils une politique de maintenance ? Existe-t-il un système de protection contre les coupures et les micros coupures ? Si oui lesquels ?.............................................Onduleurs………………………………… … Existe-t-il un système de climatisation conforme aux recommandations du constructeur ? Existe-t-il un groupe électrogène pour les coupures de longue durée ? Y a-t-il une procédure de crise en cas de long arrêt ? (favoriser quelques machines sur d’autres…) Quelles mesures de sécurité contre l’incendie figurent parmi ces mesures : Existence d’un système de détection automatique d’incendie pour l’ensemble de bâtiment Existence d’un système d’extinction automatique pour les salles d’ordinateur Existence d’extincteurs mobiles Existence des meubles réfractaires pour le stockage des documents et des supports informatique vitaux
O O - Limitat ion d’accès
N
N O N O Onduleu rs - Groupe électrogè ne O O N
84
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Formation et information du personnel Visite des pompiers pour prendre connaissance de la configuration des locaux A-t-on prévu des systèmes d’évacuation en cas d’incendie ? Est-ce que vous êtes assuré que l’eau ne peut envahir les locaux ? Est-ce qu’un système de détection d’eau est instauré ? Est-ce qu’un système d’évacuation d’eau est instauré ? Existe-t-il une documentation liée à la sécurité physique et environnementale ? 6. Gestion des communications et de l’exploitation Est-ce qu’il y a des procédures formelles pour les opérations d’exploitation : backup, maintenance et utilisation des équipements et des logiciels ? Existe-t-il une distinction entre les phases de développement, de test et d’intégration d‘applications ? Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers, cheval de Troie,….) ainsi qu’une mise à jour périodique et constante de ces derniers ? Est-ce qu’il y a des procédures formelles pour la prévention contre la détection et la prévention contre les logiciels malicieux ? Y a-t-il une procédure définie pour la gestion des incidents ? Est-ce que le backup est périodiquement effectué ? Est-ce qu’il y a des recommandations écrites interdisant : l’utilisation des logiciels sans licence et le non respect des droits d’auteur ? Y a-t-il des procédures écrites pour la gestion des supports détachables ? Y a-t-il une politique précise pour se débarrasser des documents ? Y a-t-il une politique de sécurité pour email ? Existe-t-il un système antiviral contre les virus et les vers ? Est-ce que l’antivirus est régulièrement mis à jour ? Existe-t-il une mise à jour contre les programmes malveillants ? L’échange d’infirmations sur le réseau ainsi que les transactions en ligne sont elles sécurisée ? Avec quel mécanisme de sécurité ? Droit d’accès
Existe-t-il une DMZ qui se distingue parfaitement du réseau interne de l’organisme ? 7. Contrôle d’accès A-t-on prévu de protection logique pour les ressources informationnelles
O O N N N
N N O
N N O N N N N O O O O - Certifi cat Numér ique - Protoc ole SSL O
O 85
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
vitales ? Les accès aux locaux (sensibles ou pas) sont ils contrôlés, enregistrés et analysés à travers des logs ? Existe-t-il une politique qui hiérarchise les autorisations d’accès ? Un ancien employé perd t-il ces droits d’accès aux locaux et aux informations sensibles de l’organisme ? L’accès distant (logique) au réseau informatique est-il protégé ? Par quel équipement ou outil ou mécanisme ? L’accès au système est il contrôlé par un dispositif d’identification et d’authentification ? Existe-t-il un dispositif de revue des droits d’accès à des intervalles réguliers ? Est-ce que les terminaux sensibles sont équipés d’un économiseur d’écran avec mot de passe ? Est-ce que les utilisateurs verrouillent leur session de travail avant de quitter leur poste de travail même pour quelques instants ? Les mots de passe sont-ils affectés individuellement ? Y a-t-il des conditions à respecter lors du choix des mots de passe (ex : min 6 caractères…) ? Un ancien employé perd t-il ces droits d’accès aux informations et locaux ? Y a-t-il une suite aux tentatives d’accès infructueuses ? A- t-on prévu des limitations contre : L’utilisation des applications Le téléchargement d’application L’utilisation des disquettes, CD… 8. Développement et maintenance des systèmes Existe-t-il des procédures de validation des changements réalisés sur les programmes ? La garantie de la confidentialité, l’authenticité et l’intégrité de l’information s’effectue-t-elle au moyen de signature électronique ou de cryptographie ? La sécurité de la documentation du système d’information est elle assurée ? Est-ce que les programmes sont contrôles contre les portes dérobés et chevaux de trois ? Existe-t-il des procédures de contrôle pour les logiciels développés en soustraitance ? S’assure-t-on que l’équipement à acquérir répondra aux besoins exprimé ? S’assure-t-on de la non régression de service lors du développement ou de l’intégration des nouveaux services ? Existe-t-il une politique de maintenance périodique et assidue des équipements ? 9. Gestion des incidents
O N O
O N N O ? O N O O N
N O N O N O N N
86
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Existe-t-il une politique de gestion des incidents ? Les potentielles faiblesses descellées font elles objet de rapport complet et détaillé ? La résolution des incidents se fait elle de façon cohérente ? Existe-t-il un rapport détaillé des incidents qui surviennent ? Existe-t-il une politique de réparation des responsabilités en cas d’incident ? Les actions à entreprendre pour la résolution des incidents sont elles définies ? Les employés sont ils informés du comportement à avoir en cas d’incident ? 10. Gestion de la continuité d’activité Est-ce que l’organisme a développé un plan de secours ? Existe-t-il un plan stratégique basé sur une analyse du risque détaillant le plan d’urgence ? Les données sauvegardées sont-elles mise à jour périodiquement ? Est il défini des critères spécifiant les ayant accès à ces données ? Existe-t-il une politique de sauvegarde d’autres actifs de l’organisme ? Existe t-il une (des) alarme(s) pour l’avertissement lors d’accès aux actifs sensibles en dehors des heures de travail ou en cas d’accès non autorisés? Y a-t-il des plans écrits et implémentés pour restaurer les activités et services en cas de problèmes ? Existe-t-il des mesures de sauvegarde des actifs (données sensibles), ainsi que de leur protection ? Si oui sur quel support ? Disque, CD En cas de changement d’équipe de travail, la continuité de service est elle assurée ? Est-ce que les plans sont testés et maintenus par des revues régulières ? 11. Conformité Est-ce que chaque système d’information les exigences légales, réglementaires et contractuelles sont explicitement définies et documentés ? Existe-t-il un contrôle de la conformité technique ? Les règles de sécurité appliquées restent elles conforment à une norme particulière ? Existe-t-il une procédure définissant une bonne utilisation des technologies de l’information par le personnel ? Est-ce que des procédures sont mises en place pour s’assurer du respect de la propriété intellectuelle ? Est-ce que les enregistrements importants de l’organisme sont protégés de la perte, la destruction et falsification ? Est-ce que l’entreprise est conforme aux lois en vigueur concernant le chiffrement ?
N N N N N N N N N O O N N N O O O N N N N N
N O O
87
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Les logicielles utilisées bénéficient ils de licence d’exploitation ? Les règles de sécurité appliquées restent elles conforment à la législation en vigueur ? Existe-il une procédure d’audit interne et régulier de l’organisme ? Les règles de sécurité appliquées restent elles conforment à une norme particulière ? Le droit à la propriété intellectuelle et la protection des données personnelles sont-ils préservés ? Les audits externes sont-ils effectués et planifiés périodiquement ?
O O O N N O
88
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Annexe 2 : check List Firewall Marque et Modèle: StoneGate FW-1030/StoneGateFW-1050 Sécurité physique des équipements Existe-t-il une politique de contrôle d’accès physique pour le firewall ? Administration Existe-t-il une politique d’authentification forte au niveau d’ouverture de session sur le firewall ? Quelle type de configuration utilisée pour le firewall (port console, telnet, ssh, http, https..) ? L’interface d’administration est-t-il facile à utiliser ? L’interface d’administration est-t-il sécurisé par mot de passe ? La configuration est elle sauvegardée à chaque modification ? Patchs et Mise à jour Qu’elle est la version du firewall ? Qu’elle est la date de la dernière mise à jour ? Existe-t-il un suivi des mises à jour ? Les règles de filtrage Existe-t-il un document ou une spécification des règles de filtrage précisant la politique de sécurité implanté (description de chaque filtre/règle) ? Existe-t-il une vérification et validation des règles de filtrage périodiquement ? Les rapports de suivi et des tests de filtrage sont-ils archivés ? Spécifier les critères que peut le firewall filtrer : adresse IP source, adresse IP destination, protocole, service, port, adresse Mac source, adresse Mac destination Y a-t-il une règle bloquante des requêtes ICMP echo ? La gestion des logs Est-ce que les logs sont activés au niveau firewall ? Les logs sont ils révisées et analysés ? L’administration est elle informée en temps réel par les événements les plus critiques ? Existe-t-il un serveur dédié au traitement et à l’archivage des logs du firewall ? Est-ce que toutes les traces de connexions qui sont bloquées ou passé par le firewall sont enregistrées en détail ? Le firewall a-t-il la capacité de générer des rapports ?
O O Logiciel client+ SSH O O O 5.1.4/5.2.7 26/04/2013 O O
O O TOUS
O O O N O O O 89
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Existe-t-il des statistiques sur l’usage du firewall ? Evaluation/ test de vulnérabilité Existe-t-il une procédure de test des vulnérabilités du firewall (périodique) ainsi que des essais de test de pénétration (résistance du système face aux attaques) ? Existe-t-il un rapport qui présente l’historique des incidents survenus au niveau du firewall (crash, violation des ACLs…) Disponibilité Y a-t-il un secours automatique pour le FW primaire ? Le groupement de firewall assure t-il la haute disponibilité et répartition de charge ? Le firewall est-il ondulé ?
O N
N
O O O
Annexe 3 : check List Routeur Marque et modèle: Cisco 2850 Existe-il une politique de sécurité d’un routeur ? Les mesures de sécurité de bases forte au niveau d’ouverture de session sur le routeur ? Existe-il une sécurisation des accès administratifs à distances des routeurs ? Qu’elle est la version du routeur ? Qu’elle est la date de la dernière mise à jour ? Existe-il un suivi des mises à jour ?
O O O 12.4 (12a) Il y a une année N
90
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Annexe 4 : Installation et déploiement complet d’Active Directory Je partirai du principe que le Windows server 2008 a été bien installé et allons donc poursuivre dans ce sens. Commencez
par
démarrer
votre
serveur
et
connectez-vous-y
en
tant
qu’Administrateur Démarrer le gestionnaire de serveur
Cliquez sur le nœud Rôles (1) puis sur Ajouter des rôles (2)
91
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
L’assistant d’ajout de rôles apparait…. cliquez sur Suivant Sélectionnez Services de domaine Active Directory
L’assistant vous propose d’ajouter les fonctionnalités du .NET Framework 3.5.1… acceptez l’ajout en cliquant sur Ajouter les fonctionnalités requises
92
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
La case Services de domaine Active Directory est bien cochée… cliquez sur Suivant Cliquez sur Suivant Une fenêtre de récapitulatif apparait, vérifiez vos paramètres et cliquez sur Installer
L’assistant d’ajout de rôle a bien installé les services de rôle mais le serveur n’est pas pour autant passer en contrôleur de domaine. Pour cela, nous devons cliquez sur: lancez l’assistant Installation des services de domaine Active Directory (dcpromo.exe)
93
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Cliquer sur services de domaine Active directory
Cliquer sur Exécuter l’assistant Installation des services de domaine Active Directory (dcpromo.exe).
Cochez la case Utiliser l’installation en mode avancé et cliquez sur Suivant
94
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
N’ayant actuellement aucun domaine, cochez la case Créer un domaine dans une nouvelle forêt (1) afin de créer ce dernier, ensuite cliquez sur Suivant (2). Attention toutefois à ne pas créer un nouveau domaine dans une nouvelle forêt si vous êtes déjà dans un domaine. Le risque étant de tout lessiver sur votre domaine existant
On insert un nom et le système vérifie si il existe ou non
Définissez votre nom de domaine (1) puis cliquez sur Suivant (2) Dans le cadre de ce tutoriel, j’utiliserai MTIC.tn
95
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Nous allons en profiter pour ajouter le rôle de serveur DNS à notre serveur Si elle ne l’est pas, cochez la case Serveur DNS puis cliquez sur Suivant
96
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Paramétrage d’adresse IP
Cliquez sur OUI
97
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Nous conserverons les options par défaut, cliquez sur Suivant
Entrez votre mot de passe de restauration puis Suivant
98
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Voici le récapitulatif de vos paramètres, cliquez sur Suivant L’installation est en cours….. Patientez un moment L’installation est maintenant achevée, cliquez sur Terminer
Redémarrez le serveur pour prendre en compte les modifications
Installation de serveur supplémentaire active directory
On va ajouter un contrôleur de domaine à un domaine existant
99
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
On va indiquer le nom de serveur primaire Active Directory
On va sélectionner le domaine pour ce contrôleur de domaine supplémentaire « MTIC.TN »
100
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
On va sélectionner le site pour le nouveau contrôleur de domaine qui est « Default-First-Site-Name »
Coucher les 2 premières lignes
101
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
On va coucher « utiliser ce contrôleur de domaine spécifique »
Cliquez suivant
Tapez le mot de passe de restauration 102
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Cliquez sur suivant En attente de fin de l’installation du service
Vérification pour déterminer si la console de gestion des stratégies de groupe doit être installée
103
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Modification pour cet ordinateur de l’appartenance au domaine
Recherche d’un contrôleur de domaine pour le domaine MTIC.TN qui contient le compte SRVAD1
Un contrôleur de domaine SRVAD2.MTIC.TN a été trouvé pour le domaine MTIC.TN
Analyse d’une forêt existante 104
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Réplication en cours de la partition d’annuaire de schéma
Réplication des informations critiques de domaine
La racine de nom d’ordinateur DNS de l’ordinateur est fixée à MTIC.TN
Définition de la sécurité sur le contrôleur de domaine.des fichiers Active Directory et des clés du Registre. 105
2012 - 2013
Protection de c:\windows\systeme32\spool
Protection de SamSs
Protection de kerberos
UNIVERSITE VIRTUELLE DE TUNIS
106
2012 - 2013
Installation terminé
Redémarrage de l’ordinateur
UNIVERSITE VIRTUELLE DE TUNIS
107
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Les tests
On va créer un nouveau utilisateur, cliqué sur BSI-nouveau-utilisateur
On va remplir le formulaire
On va créer un mot de passe pour le compte de nouveau utilisateur
Le mot de passe doit etre de haute compléxité 108
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
On créer deux comptes des nouveaux utilisateurs
Le serveur DNS fonction convenablement .il peut résoudre dans les deux sens du nom BIOS à l’@ IP et de l’@ IP au nom BIOS
*Création de stratégie de groupe Cliquer sur BSI
109
2012 - 2013
Cliquer sur créer un objet GPO dans ce domaine…
Nommer la nouvelle stratégie ‘régle-pc’
UNIVERSITE VIRTUELLE DE TUNIS
*Configuration de stratégie de groupe :
Clique droite sur « Régle-pc » puis « Modifier »
110
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
*Empêcher l’accès au panneau de configuration :
Cliquer sur « Configuration utilisateur-stratégies-modèles administrationpanneau de configuration »
On va coucher « activé » pour activer l’empechement de l’accés au pannau de configuration
111
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Résultat : imprime écran de l’ordinateur de l’utilisateur « ayari amani » -avant l’application de la stratégie
-après que la stratégie est appliquée
**Empêcher l’accès au Gestionnaire des tâches Cliquer sur « configuration utilisateur-stratégies-système-option Ctrl-Alt-Suppr – Supprimer le Gestionnaire des tâches.
112
2012 - 2013
Résultat : -avant
UNIVERSITE VIRTUELLE DE TUNIS
-après : icône désactivé
***interdiction de l’utilisation du support amovible :
113
2012 - 2013
UNIVERSITE VIRTUELLE DE TUNIS
Résultat : -avant
-après Message d’erreur « F:\ n’est pas accessible »
et
« Accès refusé »
114