Iso27000 These
Iso27000 These
Iso27000 These
Remerciement
Ma reconnaissance va tout d'abord M. Youssef BAGUI qui a bien voulu mencadrer. Grce
sa disponibilit et sa volont, jai pu surmonter certains obstacles.
Mes remerciements vont galement aux enseignants du dpartement informatique de la
facult des sciences et techniques de SETTAT pour leurs prcieux enseignements. Je tiens
remercier particulirement le Coordonnateur du MASTER RESEAUX ET SYSTEMES M.
NASSERDDINE pour leurs prcieux conseils et leur dvouement pour le bon droulement de
notre formation.
Ce travail tant le fruit d'un stage de six mois au sein de l'entreprise SIGMATEL je tiens
exprimer ma profonde gratitude MR Oualid TAHAOUI directeur de la BU rseaux et
systmes pour sa disponibilit et ses conseils permanents.
Je remercie galement Mme ZAYDI Hayat chef service du parc informatique de lENIM, pour
son soutien financier et moral tout au long de mes tudes.et pour lopportunit qui ma
offerte pour raliser une mission daudit au sein des locaux de lcole.
Je remercie tous les tudiants de MASTER RESEAUX ET SYSTEMES pour leur esprit de
fraternit et de partage tout au long de cette formation.
1
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Rsum
Ce projet porte sur laudit de scurit des systmes dinformation, ce prsent rapport est la
synthse dune mission daudit que jai men avec lquipe SIGMATEL pour le compte de
lEcole Nationale de lIndustrie Minrale(ENIM).
2
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Abstract
This project focuses on security auditing information systems, this report is a synthesis of an
audit I conducted with the team SIGMATEL on behalf of the National School of Industry
mineral (ENIM).
This mission is divided into several phases, each of which includes several activities. The first
step is the organizational and physical audit, I was interested here in the aspects of
management and organizational security, both organizational, human and physical, to get an
overview of security level the body according to ISO 27002.
The second step in the security audit system technical school computer to complete it I started
collecting information on the network of the audited to do this I made an audit architecture to
draw the network topology, then I did a port scan to find open ports, also I did a scan of
vulnerabilities to expose the flaws and loopholes in the system, and to know the robustness of
the system and its degree of resistance to any possible attack, I did a penetration test which I
used all the vulnerabilities discovered during previous phases.
The last step consists in the proposal of various organizational and technical
recommendations to protect the information system of the school.
Liste de figures :
Introduction gnrale :
La protection : Dfinir nos ressources sensibles protger ainsi que les mcanismes de
protection.
La dtection : Dtecter les failles aux quelles sont exposes nos ressources.
La raction : Dfinir les solutions mettre en place pour la correction.
La rvision : Sassurer que nos correctifs ne sont pas en conflit avec les politiques de
scurit dj en place et sy intgrent parfaitement.
Un moyen pour suivre la scurit dun systme dinformation de faon continue est
deffectuer un audit de scurit des systmes dinformation de faon priodique. Cest dans ce
contexte que sinscrit ce projet qui vise laudit du systme dinformation de lcole nationale
dindustrie minrale (ENIM).
5
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
6
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Alors que la tendance dominante cette poque chez les socits tlcoms tait de se
spcialiser exclusivement dans un des mtiers, savoir la voix ou les donnes, SIGMATEL a
choisi de miser sur les deux technologies en mme temps, anticipant lavenir de la
convergence Voix et Donnes. Le rsultat de ce choix se justifie par une longue et solide
expertise en convergence qui ft couronne par un partenariat avec AVAYA, lun des leaders
mondiaux de la Tlphonie et des Centres dAppels.
7
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
8
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
9
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Le projet daudit de scurit du systme dinformation de laudit que doit mener SIGMATEL
sinscrit dans une vision global de complmentarit par rapport un projet prcdent : un
appel doffre pour la mise niveau et la refonte du rseau local de lENIM.
10
Audit de scurit des systmes
dinformation
4. Primtre de laudit :
Laudit que je vais effectuer tiendra pour cible le rseau de management de lcole Il sera
question dauditer larchitecture rseau, des postes de travail et serveurs et deffectuer des
tests intrusifs sur base dventuelles vulnrabilits qui seront dtectes lors de laudit en la
matire.
11
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Introduction :
Les entreprises ou organismes ne sont plus constitus de nos jours dune entit, mais
reparties en plusieurs entits distantes qui changent entre elles des informations. La scurit
de leurs systmes dinformation en gnral et de leurs rseaux informatiques en particulier est
dune importance capitale pour assurer le bon fonctionnement de leurs activits. Cest dans ce
contexte quest introduit laudit de scurit des systmes dinformations. Il est un moyen de
garantir la scurit des systmes dinformation.
12
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Statuer sur les projets de lois et des normes relatifs la scurit des systmes
dinformation.
Son prsident :
Une mission daudit vise diffrents objectifs. En effet je peux numrer ce titre :
La dtermination des dviations par rapport aux bonnes pratiques de scurit.
13
Audit de scurit des systmes
dinformation
dinformation.
Egalement, une mission daudit de scurit dun systme dinformation se prsente comme un
moyen d'valuation de la conformit par rapport une politique de scurit ou dfaut par
rapport un ensemble de rgles de scurit.
Par l mme, un organisme audit pourra corriger les failles de scurit.
Dfinition: Essentiellement laudit de scurit est souvent dsigne comme tant loutil de
contrle pour vrifier que les moyens et les procdures mis en uvre pour la protection de
nos systmes dinformation, SI, sont efficaces ou le cas chant, en relever leurs faiblesses.
Les moyens et les procdures de protection du SI tant dfinis dans la politique de scurit,
laudit de scurit est aussi appel audit de la politique de scurit. Il est utile de relever que le
procd daudit de scurit travers les mthodes danalyse et de gestion des risques peut
galement tre utilis pour aboutir la politique de scurit.
Description: Il est trs important de rappeler quen aucun cas laudit de scurit ne doit se
rsumer lune de ses actions la plus simple, la recherche active des failles, laide de
scanners de vulnrabilits, qui effectuent les recherches sur la base dattaques connues et qui
ne dtectent donc que les failles connues. Cette fonction de laudit effectue les tests de
vulnrabilits dun point donn du rseau contrl tandis quune autre fonction de laudit, les
tests dintrusion, sont pratiqus depuis lextrieur. Ces derniers ne peuvent mettre en vidence
que des intrusions possibles travers des vulnrabilits identifies et il est trs frquent, l
aussi, que des failles potentielles ne soient pas dceles.
Seul laudit purement technique, qui, lissue dune vritable tude inspectera
larchitecture du rseau tlcommunication et informatique ainsi que le systme
dinformation, pourra assurer que le systme ne prsente pas de failles pouvant tre exploites
ou au contraire, le SI est sujet des failles quil faut combler.
Cet audit est gnralement pratiqu aprs de laudit organisationnel qui identifie les risques et
mesure tout lment critique, mtier et informatique, et confronte les pratiques de scurit
existantes la ralit du terrain. Dailleurs l'audit de scurit se doit d'tre organisationnel,
puis technique. Cest cette approche que les puristes de la profession qualifient daudit de
14
Audit de scurit des systmes
dinformation
scurit. Elle permet dapprcier la scurit dune manire gnrale en tenant compte de la
Mission daudit de scurit de systme dinformation de lENIM
Droulement: Bien que souvent sa ncessit soit mconnue, l'audit est indispensable pour
toute entreprise, quel que soit sa taille, ds lors que celle-ci utilise des SI. Sa premire mise en
pratique doit normalement seffectuer lors de la conception du SI afin daboutir au Choix des
solutions techniques y compris les solutions de scurit et dboucher dans le mme temps sur
une politique de scurit.
Laudit de scurit doit ensuite tre effectu assez rgulirement pour sassurer que les usages
restent conformes la rglementation dicte par la PSSI, mais surtout pour sassurer que les
mesures de scurit sont mises niveau chaque dtection dune nouvelle vulnrabilit et que
les mises jour des failles et des logiciels sont continuellement ralises.
15
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Tel que prcdemment voqu, laudit de scurit des systmes dinformation se droule
suivant deux principales tapes. Cependant il existe une phase tout aussi importante qui est
une phase de prparation. Je schmatise lensemble du processus daudit travers la figure
suivante :
16
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
17
Audit de scurit des systmes
dinformation
Il doit tre fix ltendu de laudit ainsi que les sites auditer, de mme quun planning de
Mission daudit de scurit de systme dinformation de lENIM
Dans mon contexte, suivant les recommandations de lANSI et du fait de sa notorit, cet
audit prendra comme rfrentiel une norme de lISO. Il sagit de toutes les clauses (ou
chapitres ou domaines) de la version 2007 de la norme ISO/IEC 27002.
Le questionnaire que je propose se compose dun peu moins dune centaine de questions.
Chaque question est affecte dun coefficient de pondration portant sur lefficacit de la rgle
du rfrentiel sur laquelle porte la question, en matire de rduction de risque.
18
Audit de scurit des systmes
dinformation
Aprs la validation du Questionnaire (QSSI), les rponses choisies seront introduites dans
Mission daudit de scurit de systme dinformation de lENIM
Cependant, lauditeur doit veiller ce que les tests raliss ne mettent pas en cause la
continuit de service du systme audit.
b. droulement :
Vu les objectifs escompts lors de cette tape, leurs aboutissements ne sont possibles que par
lutilisation de diffrents outils. Chaque outil commercial qui devra tre utilis, doit bnficier
dune licence dutilisation en bonne et du forme.
Egalement les outils disponibles dans le monde du logiciel libre sont admis.
19
Audit de scurit des systmes
dinformation
Lensemble des outils utiliss doit couvrir entirement/partiellement la liste non exhaustive
Mission daudit de scurit de systme dinformation de lENIM
A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger un rapport de
Mission daudit de scurit de systme dinformation de lENIM
22
Audit de scurit des systmes
dinformation
Ces tapes concernent linitialisation du projet, sa politique et son primtre, lanalyse des
Mission daudit de scurit de systme dinformation de lENIM
LEcole Nationale de lIndustrie Minrale (ENIM), base Rabat, est l'une des plus anciennes
coles marocaines d'ingnieurs d'tats.
Fonde en 1972, l'ENIM avait, au dbut, pour mission principale de former des ingnieurs
pour le secteur minier et lindustrie minrale. Ainsi entre 1975 et 1983, plus de 400 ingnieurs
ont t forms dans les domaines des Mines, traitement des Minerais, et plus de 60 ingnieurs
dans le domaine de la mtallurgie. En 1983, lENIM a vu la cration de deux nouveaux
dpartements, savoir llectromcanique et le Gnie Chimique nergtique. En 1990, le
dpartement informatique a vu le jour.
En 1990 aussi, une rforme des tudes a eu lieu pour sadapter la suppression des cycles des
annes prparatoires dans les coles dingnieurs et la cration des centres de classes
24
Audit de scurit des systmes
dinformation
prparatoires aux grandes coles (CPGE) lchelle nationale. Ainsi la formation lcole est
Mission daudit de scurit de systme dinformation de lENIM
passe de six trois ans, et les programmes de certaines spcialits ont t revus et adapts
ce nouveau systme et aux nouveaux besoins : Le dpartement Gnie Chimique Energtique a
t transform en Gnie des Procds Industriels.
Les comptences dveloppes par lcole sont donc ds lorigine trs diverses, et lcole a su
voluer au cours du temps pour devenir aujourdhui une cole dite gnraliste .
Conclusion
25
Audit de scurit des systmes
dinformation
Je viens dexposer, une liste non exhaustive dun ensemble de normes qui constituent des
Mission daudit de scurit de systme dinformation de lENIM
rfrences dans le cadre dun audit de systmes dinformation ainsi que les procdures de
ralisation de celui-ci, et lenjeu que prsente ce dernier au Maroc.
Le rseau de lorganisme prsent constitue mon cadre de travail. La suite de ce document
consistera mettre en pratique les prcdents aspects de ralisation dun audit, a sera dbut
par un audit organisationnel.
26
Audit de scurit des systmes
dinformation
lENIM
Introduction :
Dans ce qui suit, je vais prsenter les diffrentes fonctionnalits de la dite application, ainsi
Mission daudit de scurit de systme dinformation de lENIM
28
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Le rseau local de laudit est prsent par deux topologies : physique et logique.
Pour la topologie physique, il sagit de deux Etoiles optiques relies par deux FO (une fibre
pour le trafic chang, et le deuxime lien sert de backup).
Chacune de ces deux toiles dessert un ensemble de btiments (dpartements, services et cits
des tudiants) par ligne fibre optique.
29
Audit de scurit des systmes
dinformation
Pour la topologie logique, le LAN de laudit est constitu en ralit de plusieurs vlan
dynamique qui sont attribus lutilisateur lors de sa connexion au domaine grce un
serveur radius en utilisant lauthentification 802.1x, le nombre de vlan dynamique est de 15.
Le rseau est constitu aussi dun segment DMZ et dun VLAN ddi au WIFI, et dun autre
VLAN ddi au BTS (quipements ALTAI). Le tout se trouve derrire un firewall
STANGATE comme montre le schma suivant :
30
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Pour automatiser le traitement du questionnaire, jai ralis une application qui consiste en
lutilisation de pages Html, java, JSF et dun serveur web local. En effet, le questionnaire se
prsente sous forme de page Html. Par la suite le traitement sous-jacent, du questionnaire, a
t possible grce un traitement Java. Chacune des rponses est pondre dun coefficient
31
Audit de scurit des systmes
dinformation
(0-6). Lexcution de lensemble sest ralise par lutilisation dun serveur web local Apache.
Mission daudit de scurit de systme dinformation de lENIM
Par la suite jobtiens une moyenne pour chaque clause dfini par la norme ISO/IEC
27002 :2007.
Jarrive ainsi mesurer la conformit de lorganisme par rapport chacune des clauses
dfinies par la norme ISO/IEC 27002 :2007.
Le schma suivant indique les tapes de ralisation de cette application.
32
Audit de scurit des systmes
dinformation
g gnralement et approximativement cest les mmes coefficients utiliss dans les autres
audits.
A lissu de ces rsultats, lcole enregistre une conformit globale de 65%, par rapport la
norme ISO/IEC 27002 ; cette valeur situe ltat de sant de la scurit de laudit dans la zone
de la maturit. Jaborde prsent lanalyse des rsultats obtenus. Les points seront abords
suivant les clauses (ou chapitres) dfinis dans la norme ISO/IEC 27002 :2007 selon lordre
dans lequel elles ont t voques.
33
Audit de scurit des systmes
dinformation
Lors de lanalyse de chacune des clauses, nous leurs attribuerons une classification en
fonction du degr de gravit de non-conformit par rapport la norme ISO/IEC 27002 :2007.
Cette classification comprendra trois classes :
34
Audit de scurit des systmes
dinformation
concours sous la responsabilit de service recrutement. Il revient donc au jury tabli par
lcole dexaminer minutieusement les pices fournies par les participants retenues.
Ainsi avant de prendre effectivement la fonction, les candidats retenus sont informs de leur
future responsabilit vis--vis de lorganisme. Ces nouveaux employs sont informs (et
ratifient) de leurs droits et devoirs vis--vis de la scurit de lcole galement. Le personnel
de lcole est ainsi inform de son rle dans la gestion de cette scurit. En dehors de ces
informations lembauche, il nest pas dfini de procdures visant rappeler lensemble du
personnel son rle dans la scurit de lcole. Le personnel du service informatique est soumis
des sances de formations pour les sensibiliser sur limportance de la scurit de
linformation et leur inculquer les notions de bonnes exploitations des technologies de
linformation.
Le niveau de svrit appliqu cette clause est moyen car elle reste conforme la norme
ISO 17799 62,96%.
II.4.5 Scurit physique et environnementale
La moyenne de cette clause est de 69,72% par rapport la norme iso 27002, soit une svrit
moyenne. Lenvironnement de localisation ne prsente pas dexposition des dangers naturels
apparents. En ce qui concerne la scurit physique des locaux elle est assure par une clture
qui les entoure, ainsi que des postes de gardiennage qui surveillent les principales entres. Un
mcanisme denregistrement des visiteurs a t instaur. Il permet de relever les identits des
visiteurs ainsi que les dates et heures dentre et sortie.
La zone sensible quest la salle serveur bnficie dune scurit toute particulire, et ce
travers laccs qui y est trs rserv. En effet pour protger cette salle de toutes malveillances
physiques, laccs est protg par une cl que seulement trois personnes possdent. Elles sont
les seules habilites y pntrer.
La protection des serveurs, routeurs et commutateurs contre les alas lectriques est mise en
place. Chaque serveur est muni dun onduleur, et dautres onduleurs veillent lalimentation
des routeurs et commutateurs en cas de coupure dalimentation lectrique. Les cblages
lectriques et rseau sont encastrs.
Au niveau de la salle serveur le cblage rseau est bien organis. Egalement ces cbles sont
tiquets, ce qui rend la tche dauthentification dun cble trs facile.
36
Audit de scurit des systmes
dinformation
Les moyens rglementaires de lutte contre les incendies sont en place tel que des bouches
Mission daudit de scurit de systme dinformation de lENIM
incendies ou des dtecteurs de fumes. Cependant aucune procdure de test de ces moyens et
quipements de protection nest ralise.
Les bureaux des employs sont dots de serrures, offrant la possibilit de les verrouiller en
leur absence. Egalement laccs physique aux postes de travail de chacun des utilisateurs,
pour certain, est protg par un mot de passe. Pour viter toutes tentatives de vol des
quipements, ceux devant quitter ou entrer dans les locaux doivent bnficier de bons de
sortie et de dcharges en non des bnficiaires. A travers ces bons les quipements sont
rpertoris, en entre comme en sortie.
II.4.6 Gestion de lexploitation et des communications :
Les serveurs mtiers sont constitus 70 % de serveurs LINUX et 30 % de serveurs
Windows 2008 et 2003. Les postes de bureau sont 100% quip de systme dexploitation
Microsoft Windows XP et windows7. Les systmes dexploitation utiliss bnficient de
licences dexploitation. Les mesures de continuit de services sont en parties assures. Le
rseau LAN de lcole est de type Ethernet, et un adressage priv a t mis en place. Bien
quil existe une politique dadressage par VLAN qui permet une segmentation un niveau
plus lev. Egalement le rseau LAN est organis en domaine ce qui rend difficile de passer
dun groupe un autre et qui rend la scurit robuste.
Chaque employ (corps administratif ou enseignant) bnficie dun ordinateur de bureau, dont
il assume lentire responsabilit.
Lensemble des serveurs est protg des intrusions externes par un firewall StoneGate de la
firme Stonesoft. Il existe une zone DMZ contient tous les serveurs qui doivent avoir un accs
aussi bien de lintrieur que lextrieur notamment le serveur de messagerie et le serveur
hbergeant le site web de lcole.
reste protg par une simple clef. Seul le chef de service est habilit accder ce local .
Mission daudit de scurit de systme dinformation de lENIM
Cependant, la salle ne dispose pas dune alarme (sonore) indique louverture de la porte de
cette salle, et ce, pendant et en dehors des heures de travail.
Laccs distant, partir de lInternet est protg on utilisant un VPN daccs. Etant donn
quon ne peut garantir quun accs illicite ne peut se raliser 100%, il est donc important de
se munir de systme de dtection dventuelles intrusions. De ce fait lcole se dote dun
systme de dtection dintrusion (IDS), et une option de prvention dintrusion (IPS) intgr
dans le firewall.
Cette clause prsente une svrit moyenne lie sa moyenne de 60% par rapport la norme
ISO 27002.
Lcole ne dispose pas de plan clair et prcis rvlant dans les dtails et dans lordre les
actions entreprendre en cas de reprise suite une catastrophe.
Pour permettre une continuit dactivit en cas de coupure de la fourniture lectrique, chaque
serveur est dot dun onduleur. Lors de mon enqute, jai constat que la salle serveur se dote
des quipements de la haute gamme pour la climatisation.
Laction de veiller une temprature idale au fonctionnement des serveurs mtiers nest pas
mis en place, de mme pour une alarme en cas daugmentation de la temprature.
Cette situation est dautant plus critique si cela arrivait en pleine nuit. Aussi il nest pas prvu
de vido surveillance de la salle serveur.
II.4.11 Conformit :
Cette clause a une moyenne de 76%, do une svrit moyenne par rapport la norme ISO
27002. Les applications commerciales utilises au sein de lcole sont dotes de licences
dexploitation.
Cependant, le personnel nest pas averti sur les bonnes utilisations des technologies de
linformation au sein de lcole laide dune charte. Egalement, laudit priodique nest pas
encore encr dans les habitudes de lcole. Il en est de mme pour le suivi des rgles dictes
par lcole elle-mme.
39
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Conclusion
A lissu de cette tape de laudit, je constate au vu des rponses obtenues, que la maturit en
terme de scurit de lcole admet un niveau en gnral en dessous de 60%. Je vrifie ce
niveau grce laudit technique qui constitue la prochaine tape de ma mission daudit.
40
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Introduction :
Jentame prsent la deuxime tape importante de mon audit de lENIM. Cette tape
portera sur laudit technique. Il sagit dans un premier temps de dterminer la topologie ou
larchitecture du rseau de laudit. Dans un second temps, jtablirai un diagnostic des
services actifs sur le rseau de laudit, ainsi que de leurs ventuelles vulnrabilits. Enfin je
procderai au test de vulnrabilit des quipements, pour estimer leur capacit rsister aux
attaques.
41
Audit de scurit des systmes
dinformation
Pour ce faire je me suis base sur la distribution Unix Backtrack5 qui englobe tous les outils
Mission daudit de scurit de systme dinformation de lENIM
III-2 Backtrack 5 R1 :
BackTrack est une distribution GNU/Linux dont lobjectif est de regrouper un ensemble
doutils ncessaires des tests de scurit sur un rseau. Cest un outil complet qui vise
aborder tous les problmes de scurit moderne.
La figure suivante montre linterface daccueil de backtrack 5 :
42
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
La premire version de BackTrack est sortie au dbut 2006, aujourdhui la version 5 Pre-
Release 2 est disponible.
Cette distribution comprend environ 300 outils daudit de scurit, permettant par exemple de
dcouvrir le rseau (Genlist), de sniffer ce rseau (Wireshark), de craquer une connexion Wifi
(air-crack), dcouter les ports (Nmap) ou de pntrer une machine distante (Metasploit).
A noter que Tenable, qui est le dveloppeur de lexcellent outil daudit rseau Nessus, na pas
autoris son intgration dans BackTrack, donc je vais linstaller et lutiliser.
BackTrack est lheure actuelle la distribution la plus aboutie en matire de scurit
informatique. BackTrack se qualifie tant par le nombre impressionnant doutils que leur par
qualit reconnu par les professionnels. Cest pourquoi, BackTrack a t lu comme tant la
premire distribution de scurit.
III-3 Sondage des services rseau :
43
Audit de scurit des systmes
dinformation
Identifier lensemble des services actifs par poste de travail au niveau de laudit a t chose
Mission daudit de scurit de systme dinformation de lENIM
Nessus est un outil de test de vulnrabilit. Il fonctionne en mode client/serveur, avec une
interface graphique. Une fois install, le serveur Nessusd , ventuellement sur une machine
distante, effectue les tests et les envoie au client Nessus qui fonctionne sur une interface
graphique.
Nessus est un produit commercial diffus par la socit TENABLE Network Security. Il peut
toutefois tre utilis gratuitement avec une base des vulnrabilits dont la mise jour est
dcale d'une semaine.
Lobjectif de cette partie est surtout de prsenter les rsultats des scans de vulnrabilits
effectus sur le rseau informatique de laudit. Dans ce qui suit linterface dinitialisation de
Nessus.
44
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Une fois Nessus est dmarr, il affiche une interface de connexion comme la figure suivante
montre, puis on lance le scan selon les paramtres dsirs et qui rpondent notre besoin.
Dans mon cas le scan lanc concerne le rseau de management de laudit et qui contient 29
quipement actifs comme montre la capture suivante.
45
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Une fois le scan termin, Nessus gnre un rapport de vulnrabilits trouves, en les classant
selon leurs tats de criticits, ainsi des solutions possibles pour corriger ces failles.
Un exemple de rapport Nessus est captur ci-contre :
46
Audit de scurit des systmes
dinformation
Nmap est un outil d'exploration rseau et scanneur de ports/scurit dont la syntaxe est la
Mission daudit de scurit de systme dinformation de lENIM
suivante : nmap [types de scans ...] [options] {spcifications des cibles}. Nmap existe aussi en
mode graphique sous le nom Zenmap GUI .
Nmap permet d'viter certaines attaques et aussi de connatre quels services tournent sur une
machine. Une installation faite un peu trop vite peut laisser des services en coute (donc des
ports ouverts sans que cela ne soit ncessaire) et donc vulnrables une attaque. Nmap est un
logiciel trs complet et trs volutif, et il est une rfrence dans le domaine du scanning.
Description de Nmap :
Nmap a t conu pour rapidement scanner de grands rseaux, mais il fonctionne aussi trs
bien sur une cible unique. Nmap innove en utilisant des paquets IP bruts (raw packets) pour
dterminer quels sont les htes actifs sur le rseau, quels services (y compris le nom de
l'application et la version) ces htes offrent, quels systmes d'exploitation (et leurs versions)
ils utilisent, quels types de dispositifs de filtrage/pare-feux sont utiliss, ainsi que des
douzaines d'autres caractristiques. Nmap est gnralement utilis pour les audits de scurit
mais de nombreux gestionnaires des systmes et de rseau l'apprcient pour des tches de
routine comme les inventaires de rseau, la gestion des mises jour planifies ou la
surveillance des htes et des services actifs.
Le rapport de sortie de Nmap est une liste des cibles scannes ainsi que des informations
complmentaires en fonction des options utilises.
La figure suivante prsente une interface dexcution de Nmap. Les trois fonctionnalits
suivantes peuvent tre simultanment excutes.
dcouverte du rseau,
dtermination des ports ouverts,
dtermination du systme dexploitation des machines cibles.
Tel a t mon approche travers lexcution de la commande : Nmap v O 192.168.1.0/24
Soit le rsultat suivant :
47
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Grace loutil Nessus, jai pu dgager un ensemble de protocoles et ports ouverts qui ne
doivent pas ltre, certains dentre eux prsentent un risque majeur de fait que les
vulnrabilits qui leurs sont associes sont susceptibles dtre exploites.
Ces analyses ont t effectues en boite blanche, pour des raisons de confidentialit, il ne
mest pas autoris de les faire figurer dans mon rapport, qui est un rapport public.
48
Audit de scurit des systmes
dinformation
Toutefois, pour mettre en vidence cet outil en pratique, jai attaqu une machine dont
Mission daudit de scurit de systme dinformation de lENIM
Les hackers ayant l'intention de s'introduire dans les systmes informatiques recherchent dans
un premier temps des failles, c'est--dire des vulnrabilits nuisibles la scurit du systme,
dans les protocoles, les systmes dexploitation, les applications ou mme le personnel d'une
organisation ! Les termes de vulnrabilit, de brche ou en langage plus familier de trou de
scurit (en anglais security hole) sont galement utiliss pour dsigner les failles de scurit.
Pour pouvoir mettre en uvre un exploit (il s'agit du terme technique signifiant exploiter une
vulnrabilit), la premire tape du hacker consiste rcuprer le maximum d'informations
sur l'architecture du rseau et sur les systmes d'exploitations et applications fonctionnant sur
celui-ci. La plupart des attaques sont l'uvre de script kiddies essayant btement des exploits
trouvs sur internet, sans aucune connaissance du systme, ni des risques lis leur acte.
Une fois que le hacker a tabli une cartographie du systme, il est en mesure de mettre en
application des exploits relatifs aux versions des applications qu'il a recenses. Un premier
accs une machine lui permettra d'tendre son action afin de rcuprer d'autres informations,
et ventuellement d'tendre ses privilges sur la machine.
Lorsqu'un accs administrateur (le terme anglais root est gnralement utilis) est obtenu, on
parle alors de compromission de la machine (ou plus exactement en anglais root compromise),
car les fichiers systmes sont susceptibles d'avoir t modifis. Le hacker possde alors le
plus haut niveau de droit sur la machine.
S'il s'agit d'un pirate, la dernire tape consiste effacer ses traces, afin d'viter tout soupon
de la part de l'administrateur du rseau compromis et de telle manire pouvoir garder le plus
longtemps possible le contrle des machines compromises.
49
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Les tests d'intrusion (en anglais penetration tests, abrgs en pen tests) consistent prouver
les moyens de protection d'un systme d'information en essayant de s'introduire dans le
systme en situation relle.
50
Audit de scurit des systmes
dinformation
La mthode dite bote noire (en anglais black box ) consistant essayer
d'infiltrer le rseau sans aucune connaissance du systme, afin de raliser un test en
situation relle ;
La mthode dite bote blanche (en anglais white box ) consistant tenter de
s'introduire dans le systme en ayant connaissance de l'ensemble du systme, afin
d'prouver au maximum la scurit du rseau.
Une telle dmarche doit ncessairement tre ralise avec l'accord (par crit de prfrence) du
plus haut niveau de la hirarchie de l'entreprise, dans la mesure o elle peut aboutir des
dgts ventuels et tant donn que les mthodes mises en uvre sont interdites par la loi en
l'absence de l'autorisation du propritaire du systme. Un test d'intrusion, lorsqu'il met en
vidence une faille, est un bon moyen de sensibiliser les acteurs d'un projet. Cette phase de
laudit reste trs importante. En effet, elle permet de faire prendre conscience aux
responsables de la gravit de leurs vulnrabilits, face aux attaques dun esprit malveillant
interne lorganisme. Elle permet galement de donner un aperu de lampleur des
consquences nfastes qui pourraient advenir dans le cas o un esprit malveillant venait
exploiter leurs vulnrabilits.
Pour laccomplissement de cette tape, jai jou le rle de lattaquant tant lintrieur de
lorganisme. Puis jai install la version backtrack 5 R1 disponible sous format ISO sous une
plateforme virtuelle VMware Workstation 7.
Cette distribution se compose de diffrentes applications et jen ai utilis quelques-unes.
En se basant sur le Framework Metasploit la plateforme dattaque, les rsultats de Nessus et
nmap, dexploits et des payload afin de mener bien une attaque.
III-6-1 Utilisation de Mtasploit :
Mtasploit est une plateforme d'attaque, open source, base sur l'utilisation d'exploits afin
dexcuter un code arbitraire sur un hte distant. Chaque exploit est compos de payload. Ces
51
Audit de scurit des systmes
dinformation
derniers sont les codes qui sont excuts pour permettre le succs de lexploit. Le lancement
Mission daudit de scurit de systme dinformation de lENIM
cet exploit rsulte sur une connexion entre la machine dauditeur et la machine cible (La
Mission daudit de scurit de systme dinformation de lENIM
Cet exemple illustre lexposition dont fait montre les serveurs de lorganisme. Une personne
malveillante peu dessein mettre mal le bon fonctionnement des serveurs mtiers.
III-7 Audit des commutateurs :
Les commutateurs au sein de laudit proviennent de la firme HP_Procurve aussi bien pour
les commutateurs dtage que les commutateurs fdrateurs, Linterconnexion des
commutateurs est effectue en pile (stack), chaque pile est constitue dun bloc de
53
Audit de scurit des systmes
dinformation
commutateurs, dont un joue le rle du commander et les autres des salves ; laccs chaque
Mission daudit de scurit de systme dinformation de lENIM
pile seffectue via une seule adresse IP et les autres composants de la pile comme des
modules, ce qui facilite le management de lactif.
Lpine dorsale de larchitecture est compose de deux Switch fdrateurs de la mme firme
HP_procurve.
Le tout est connect par fibre optique sous forme de deux principales Etoiles, chacune autour
dun fdrateur comme montre le schma 9 (La MAP du rseau LAN).
III-8 Audit des routeurs :
A ce niveau daudit, on na pas pu aller plus loin, du fait que le routeur de lENIM est sous la
gestion total de Meditel dans le cadre du rseau MARWAN.
Ce qui est important signaler, cest que le contrat en question charge loperateur de veiller
ce que ltat de sant du routeur en termes de scurit respecte les exigences en vigueur.
Deep inspection.
54
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Conclusion
Ce prsent chapitre ma permis certes de manipuler diffrents outils, mais il a t surtout
dune importance capitale pour mettre nu les failles de scurit de systme dinformation de
laudit. Suite aux rsultats des tests de vulnrabilits et dintrusion effectus, plusieurs
recommandations fournir sur le niveau organisationnel et technique. Le chapitre suivant mit
laccent sur ces prconisations.
55
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
56
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Introduction :
Ce chapitre fait office de chapitre visant proposer des recommandations par rapport aux
diffrentes clauses de la norme ISO/IEC 27002. Egalement, au vu des vulnrabilits
constates lors du chapitre prcdent, je vais proposer une architecture rseau scuris.
Les recommandations suivantes visent apporter des suggestions pour amliorer laspect
organisationnel et physique de la scurit du systme dinformation de lENIM.
La direction de lcole doit fournir les directives prcises et claires pour ldition dun
document de scurit qui renfermera la politique de scurit. Egalement, cette dernire doit
montrer son engagement et son appui pour ltablissement de cette politique. Ce document
une fois labor et approuv par la direction, pourra tre publi au personnel, tout en veillant
ne pas communiquer des informations sensibles. Aussi une revue rgulire de cette politique
de scurit doit tre planifie pour tenir compte des possibles changements qui surviendront.
57
Audit de scurit des systmes
dinformation
Egalement, lcole doit se faire aider de spcialistes en scurit quand le besoin se fait sentir.
Linventaire des actifs ne doit pas seulement tenir compte des quipements, mais galement
des documents. La classification et le contrle des actifs ncessitent une dfinition claire et
prcise des diffrentes classes dactifs possibles. Partant de ce fait, il serait aise de classer les
actifs et de les marquer de cette classe (exemple : politique dtiquetage), puis de les
accorder le niveau de scurit ncessaire. Aussi lorganisme doit prciser pleinement et
clairement les procdures lies la destruction des informations.
58
Audit de scurit des systmes
dinformation
des tests. Aussi lcole doit sassurer de la mise en uvre dune zone scurise des
Mission daudit de scurit de systme dinformation de lENIM
quipements rutiliser.
Lcole doit dfinir des procdures dexploitation du rseau qui spcifie lexcution du
traitement informatique, les sauvegardes ainsi que la gestion des anomalies. Egalement, pour
veiller au bon fonctionnement des quipements qui concourent la protection de lintgrit
physique aussi bien du local que de ces quipements. Il sagit entre autre de veiller au
fonctionnement des moyens rglementaires de lutte contre les incendies. Toujours pour veiller
lintgrit physique de son matriel informatique (serveurs), il est opportun de se doter
dune alarme qui serait active au cas o la temprature de la salle serveur serait au-dessus
dun seuil fix. Bien videmment il faudra dfinir des rondes par les gardiens autour de ces
locaux. Aussi, elle doit dfinir des critres rigoureux dacceptation dquipements. Afin de
dtecter les traitements dinformation non autoriss, il faut mettre en place une surveillance et
un log afin denregistrer les activits sur un systme donn. Pour une structure dune telle
envergure il serait ncessaire de se doter de serveur de Back Up afin dviter une interruption
de service en cas de dfaillance de lun des serveurs.
Une gestion des accs utilisateurs est ncessaire pour permettre laccs aux personnes
autorises et empcher ceux ntant pas autoris daccder au systme dinformation. Aussi,
une politique efficace et rigoureuse de gestion de mots de passe utilisateurs doit tre dfinie et
applique au sein de lcole. Egalement, les droits daccs attribus aux utilisateurs doivent
tre revus de faon priodique par la direction concerne.
59
Audit de scurit des systmes
dinformation
Il est important de sassurer que les vnements de scurit, ainsi que les faiblesses relatives
au systme dinformation de lcole sont communiqus aux entits concernes qui se
chargeront dappliquer les mesures correctives dans les dlais les plus brefs.
Lcole peut tre confronte un dsastre de quelques origines et nimporte quel moment ;
celui-ci pouvant altrer le systme dinformation. Cest pourquoi il est important de mettre en
place des processus de recouvrement pour assurer la continuit dactivit de lcole. Cela
passe par llaboration dun plan de continuit dactivit qui rpond aux exigences de
scurit. Ce plan doit connatre une valuation de faon rgulire. Aussi, assurer la continuit
dactivit passe par le contrle continu et permanent des moyens de protection mis en uvre
ainsi que les sauvegardes qui sont effectues. Dailleurs ces dernires peuvent tre chiffres
pour plus de scurit.
4.1.11 Conformit :
60
Audit de scurit des systmes
dinformation
Etant donn que lcole traite des donnes caractre confidentiel(les salaires des employs,
Mission daudit de scurit de systme dinformation de lENIM
les notes des tudiants), ces dernires doivent rester secrtes. Dfinir des procdures daudit
internes doit tre intgr aux procdures de lcole.
Les recommandations de cette partie ne sont qu'une consquence des scans, des tests
d'intrusions effectus dans les prcdentes sections ainsi que de notre exprience en audit de
scurit.
Les ports non utiliss peuvent tre exploits tout moment par les attaquants comme porte
d'entre dans le systme.
Ils doivent tre ferms parce qu'ils prsentent un risque pour la scurit.
Les configurations par dfaut doivent tre vites au niveau des serveurs. Les informations
comme le type et la version du systme d'exploitation utilis, les versions des services qui
coutent sur les diffrents ports doivent tre caches et rendues inaccessibles lors des scans.
Les sections rserves cet effet se trouvent dans les fichiers de configuration des diffrents
61
Audit de scurit des systmes
dinformation
services. Les fichiers de configuration des diffrents serveurs doivent tre dits et modifis
Mission daudit de scurit de systme dinformation de lENIM
Pour le serveur Apache par exemple, il faut ajouter les lignes suivantes dans le fichier
http.conf :
ServerTokens Prod
ServerSignature Off
L'volution des applications ne concerne pas seulement les commodits d'utilisation au niveau
de l'interface et l'ajout des fonctions supplmentaires mais aussi la scurit de ces
applications. Ce dernier aspect n'est pas souvent peru par l'utilisateur non averti qui est de ce
fait insensible la mise jour des applications. Ainsi plusieurs versions d'une mme
application offrent souvent les mmes fonctions ainsi que les mmes commodits d'utilisation
mais les dernires versions corrigent souvent certains dtails de scurit qui ne sont pas
facilement perceptibles.
Les mots de passe par dfaut au niveau des serveurs, des routeurs ainsi que des applications
rseaux doivent tre supprims et remplacs par des mots de passe plus srs ds la premire
utilisation de ces derniers. Bien plus, les mots de passe doivent tre choisis de manire
chapper aux attaques de type dictionnaire (noms, prnoms, date de naissance, mots du
langage courant) et aux attaques de force brute.
choisir des mots de passe longs (souvent au moins 8 caractres), avec une suite de
caractres totalement alatoires et avec des caractres spciaux,
62
Audit de scurit des systmes
dinformation
Je vais proposer dans cette section les parades prendre pour viter les attaques sur certains
protocoles : ARP, DHCP.
ARP-POISONING :
La solution la plus immdiate consiste saisir manuellement sur chaque poste la table de
toutes les adresses physiques prsentes sur le rseau local. Si elle est immdiate, cette solution
est quasiment inapplicable compte tenu du nombre d'htes connects au rseau local.
Une solution correcte consiste mettre en place un serveur DHCP avec une liste ferme de
correspondance entre adresses physiques (MAC) et IP. Relativement la solution prcdente,
la liste exhaustive des adresses physiques est centralise sur le serveur DHCP. On peut ensuite
configurer la journalisation du service pour que toute requte DHCP relative une adresse
MAC inconnue gnre un courrier vers l'administrateur systme ou rseau. Pour cela,
l'administrateur rseau peut utiliser sous Windows l'outil DHCPCMD pour configurer le
serveur dhcp en ligne de commande.
Cette deuxime solution convient galement pour pallier les attaques sur le serveur DHCP.
Face lvolution rapide des dangers et des failles de scurit des systmes d'information et
des rseaux informatiques en particulier, seule la veille stratgique permet de rpondre aux
objectifs de continuit de service, elle permet ainsi dtre lcoute permanente des
nouveauts aussi bien au terme des attaques et intrusions que des solutions.
Pour assurer cette veille, les responsables scurit et veille doivent surveiller l'apparition de
nouvelles vulnrabilits et alerter sur les menaces ciblant les systmes et rseaux
informatiques. Compte tenu du faut que la cellule scurit et veille (appel dans dautres
63
Audit de scurit des systmes
dinformation
renforcer lquipe pour pouvoir avoir assez de ressources affecter cette cellule et veiller
sa formation continue.
La veille scurit permet aux RSSI et leurs quipes d'anticiper les incidents de scurit :
intrusion, attaque virale, Dos,
Des audits internes de scurit doivent tre raliss de manire permanente et les
recommandations qui en dcoulent doivent intgrer la politique de scurit.
Conclusion
64
Audit de scurit des systmes
dinformation
A lissue de ce chapitre, on a trac les grandes lignes des recommandations adopter pour
Mission daudit de scurit de systme dinformation de lENIM
pallier aux failles dtectes, mais aussi des recommandations qui permettront de prvenir les
failles.
Perspectives :
Conventionnellement, mais pas dans tous les cas, les audits de scurits donnent suite
llaboration dune PSSI adapt lorganisme audit et selon les rsultats de laudit.
Comme dans ce cas de figure, la finalit tait autre que laboutissement dune PSSI, il ne
mest pas possible, toutefois de passer ct de limportance de la PSSI.
Pour cette raison, on en parle en guise de perspectives futures ; il sagit de pouvoir tirer parti
des rsultats de laudit ralis pour pouvoir modliser et rdiger une PSSI convenable .
65
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Conclusion gnrale
Laudit de scurit des systmes dinformation occupe une place de plus en plus importante
depuis ces dernires annes.
Ce projet consiste en laudit de scurit du systme dinformation de lcole nationale
dindustrie minrale. Pour se faire, jaborde ma mission daudit travers laudit
organisationnel et physique. Ce dernier se base sur une srie de questions en rfrence une
norme. Dans mon cas, il sagit de la norme ISO/IEC 27002 :2007, constitue donze
principaux contrles de scurit. Cette norme est une rfrence en matire de bonnes
pratiques de scurit. Grce au questionnaire ralis et layant soumis pour rponse
lorganisme audit, ce dernier prsente une conformit de 65% par rapport la norme ISO. Ce
66
Audit de scurit des systmes
dinformation
taux de conformit implique une forte maturit en termes de scurit. Suite laudit
Mission daudit de scurit de systme dinformation de lENIM
organisationnel, fait place laudit technique. Cette phase est loccasion de manipuler certains
outils dans le but de dcouvrir larchitecture rseau, de dtecter les vulnrabilits lies aux
services et de raliser des attaques en se basant sur ces vulnrabilits. La dcouverte du rseau
est possible en utilisant des outils comme Nmap et Networkview. Certains outils (Nessus)
maident scanner les vulnrabilits des services sur lensemble du rseau. Je constate que de
nombreux services enregistrent des vulnrabilits critiques. Par la suite jai exploit ces
vulnrabilits en utilisant par exemple Mtasploit pour la ralisation dattaques. Une fois ces
insuffisances de scurit constates je propose des recommandations sur les aspects
organisationnels physique et technique.
Bibliographies :
Livre Tableau de bord de la scurit rseau de Cdric Llorens , Laurent Levier, Denis
Valois.
67
Audit de scurit des systmes
dinformation
Webographies :
Mission daudit de scurit de systme dinformation de lENIM
http://orbac.org/index.php?page=orbac&lang=fr
http://www.ansi.tn/fr/audit/modele_cc_audit.htm
http://www.commune-tunis.gov.tn/fr/mairie_administration.asp#2
http://www.commune-tunis.gov.tn/fr/prestation_service0.htm
www.ysosecure.com
http://www.ssi.gouv.fr/
http://www.clusif.asso.fr/fr/production/mehari/
http://www.ansi.tn/fr/audit/norme_iso15408.htm
Outils utiliss :
Backtrack http://www.remote-xploit.org/backtrack.html
Mtasploit http://www.metasploit.com/
Nessus http://www.nessus.org
Nmap http://insecure.org/nmap/
68
Audit de scurit des systmes
dinformation
Mission daudit de scurit de systme dinformation de lENIM
Acronymes :
A:
AO : Appel doffre
B:
C:
Mission daudit de scurit de systme dinformation de lENIM
D:
E:
I:
L:
M:
MARWAN:
P:
Q:
70
Audit de scurit des systmes
dinformation
R:
Mission daudit de scurit de systme dinformation de lENIM
S:
SI : Systme dInformation
SMB :
U:
V:
W:
Annexes:
Oui
71
Audit de scurit des systmes
dinformation
Partiellement oui
Mission daudit de scurit de systme dinformation de lENIM
Planifi
Non
Non applicable
1- Politique de scurit :
1-3- un plan de continuit dexercice, une ducation aux exigences de scurit et aux risques
de scurit, les consquences dune violation des rgles de scurit ainsi que les
responsabilits des incidents de scurit ?
1-5- des principes de scurit de l'information tel quils soient conforment la stratgie
d'affaires et aux objectifs de lorganisme ?
1-6 une prsentation de la stratgie de scurit de linformation aux employs ainsi quaux
partenaires de lorganisme?
2- Organisation de la scurit :
72
Audit de scurit des systmes
dinformation
2-2- Les activits relatives la scurit de linformation sont coordonnes par des
intervenants ayant des fonctions et des rles appropris reprsentatifs des diffrentes parties
de lorganisme ?
2-3- Les rgles de scurit prcisent t-elles une dfinition claire des tches, rles spcifiques
affectation des responsables de scurit de linformation ?
2-4 Existe-t-il une dfinition des possibles utilisations des informations confidentielles ?
2-5 Existe-t-il une dfinition des possibles utilisations des informations confidentielles ?
2-6 Les risques d'accs des tiers sont ils identifis et contrls?
2-7 Existe-il un contrat formel contenant, ou se rfrant toutes les exigences de scurit pour
assurer la conformit avec les politiques de scurit de l'organisation et les normes
2-8 Les exigences de scurit sont abordes dans le contrat avec le tiers, lorsque l'organisation
a confi la gestion et le contrle de tout ou partie de ses systmes d'information, rseaux et /
ou environnements de bureau?
2-9- Les informations sensibles sont-elles protges de l'accs des partenaires de l'organisme ?
3-2 A chaque actif est-il associ un propritaire qui doit en assurer galement la responsabilit
?
4-1 Les rles et responsabilits en matire de scurit des salaris, contractants et utilisateurs
tiers sont-ils dfinis et documents conformment la politique de scurit de linformation
de lorganisme?
73
Audit de scurit des systmes
dinformation
4-2 Lorganisme saccorde t-il les moyens de vrifier lauthenticit et la vracit des diplmes
Mission daudit de scurit de systme dinformation de lENIM
4-3 Le personnel est il inform de ces responsabilits vis--vis de la scurit des actifs :
- Avant lembauche,
- Aprs remerciement ?
4-4 Les termes et conditions de l'emploi couvre la responsabilit de l'employ pour la scurit
des informations. Le cas chant, ces responsabilits pourraient continuer pendant une priode
dfinie aprs la fin de l'emploi?
4-5 Existe-t-il des sessions (de sensibilisation et dducation) dinformation du personnel sur
la scurit des systmes dinformation de lorganisme?
4-6 Existe- il un processus disciplinaire formel labor pour les salaris ayant enfreint les
rgles de scurit ?
5-1 Les zones contenant des informations et des moyens de traitement de linformation sont-
elles protges par des primtres de scurit (obstacles tels que des murs, des portes avec un
contrle daccs par cartes, ou des bureaux de rception avec personnel daccueil)?
5-2 Existe-t-il une politique de contrle des entres et sorties des locaux de lorganisme
(humains, actifs) ?
5-3 Le service de traitement d'information est protg contre les catastrophes naturelles et
celles causes par l'homme ?
5-5 Les points daccs tels que les zones de livraison/chargement et les autres points par
lesquels des personnes non habilites peuvent pntrer dans les locaux sont-ils contrls?
5-6 Les quipements ont t situs dans un endroit appropri afin de minimiser l'accs inutile
dans les zones de travail ?
5-7 Existe-t-il une protection contre les risques de menaces potentielles (le vol, le feu, les
explosifs, surtension, variation de tension) ?
74
Audit de scurit des systmes
dinformation
5-13 Des vrifications ponctuelles ou des audits rguliers ont t effectus pour dtecter le
retrait non autoris de la proprit?
6-1 La politique de scurit identifie toutes les procdures dexploitations telles que Back-up,
maintenance des quipements, etc ?
6-2 Les changements apports aux systmes et moyens de traitement de linformation sont-ils
contrls ?
6-3 Les journaux d'audit sont maintenus pour toute modification apporte aux programmes de
production?
6-5 Existe-t-il une distinction entre les phases de dveloppement, de test et dintgration
dapplications ?
6-6 Lutilisation des ressources est surveille et ajuste au plus prs, et des projections sont-
elles faites sur les dimensionnements futurs pour assurer les performances requises par le
systme ?
6-7 Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers, cheval de
Troie,.) ainsi quune mise jour priodique et constante de ces derniers ?
6-8 Des copies de sauvegarde des informations et logiciels sont-elles ralises et soumises
rgulirement essai conformment la politique de sauvegarde convenue ? Exemple: Mon-
Thu: Incremental Backup and Fri: Full Backup.
6-9 Les rseaux sont-ils grs et contrls de manire adquate pour quils soient protgs des
menaces et pour maintenir la scurit des systmes et des applications utilisant le rseau,
notamment les informations en transit ?
6-10 Existe-t-il des procdures mises en place pour la gestion des supports amovibles ( disks,
cassettes, carte mmoire et reports) ?
75
Audit de scurit des systmes
dinformation
6-11 Des procdures de manipulation et de stockage des informations sont tablies pour
Mission daudit de scurit de systme dinformation de lENIM
protger ces informations dune divulgation non autorise ou dun mauvais usage ?
6-12 Existe-il des politiques, procdures et mesures dchange formelles mises en place pour
protger les changes dinformations lies tous types dquipements de tlcommunication ?
6-13 Les informations lies aux transactions en ligne sont protges pour empcher la
transmission incomplte, les erreurs dacheminement, la modification non autorise, la
divulgation non autorise, la duplication non autorise du message ou la rmission ?
6-14 Les informations lies la messagerie lectronique sont protges de manire adquate ?
7- Contrle daccs
7-1 Les besoins de l'entreprise pour le contrle d'accs ont t dfinis et documents ?
7-2 Existe-t-il une politique de contrle d'accs qui traite les rgles et les droits pour chaque
utilisateur ou un groupe d'utilisateurs ?
7-3 Une procdure formelle dinscription et dsinscription des utilisateurs destine accorder
et supprimer laccs tous les systmes et services dinformation est-elle dfinie ?
7-5 Existe-t-il une procdure mise en place pour guider les utilisateurs dans le choix et le
maintien de mots de passe scuriss?
7-6 les utilisateurs et les entrepreneurs soient mis au courant des exigences et procdures de
scurit pour la protection de l'quipement sans surveillance, ainsi que leur responsabilit de
mettre en uvre une telle protection?
7-7 Existe-t-il une politique dauthentification forte pour laccs aux services rseaux?
7-9 Existe-t-il un contrle de connexion rseau pour les rseaux partags qui s'tendent au-
Mission daudit de scurit de systme dinformation de lENIM
7-10 Un identifiant unique est fourni chaque utilisateur tels que les oprateurs, les
administrateurs systme et tous les autres membres du personnel, y compris technique ?
7-11 Existe il un systme de gestion des mots de passe qui applique des contrles de mot de
passe diffrents tels que: mot de passe individuel, de faire appliquer les modifications de mot
de passe, mots de passe sous forme crypte, pas afficher les mots de passe sur l'cran, etc ?
7-13 La protection de linformatique nomade est elle assure ainsi que les sances de tl
travail ?
8-5 Une politique dutilisation des mesures cryptographiques en vue de protger linformation
est labore et mise en uvre ?
8-7 Existe-il une procdure de gestion des cls mise en place pour favoriser lutilisation par
lorganisme de techniques cryptographiques. ?
8-8 Des procdures sont mises en place pour contrler linstallation du logiciel sur les
systmes en exploitation ?
8-10 La mise en uvre des modifications est-elle contrle par le biais de procdures
formelles ?
77
Audit de scurit des systmes
dinformation
8-11 Lorsque des modifications sont apportes aux systmes dexploitation, les applications
Mission daudit de scurit de systme dinformation de lENIM
critiques mtier sont-ils rexamines et testes afin de vrifier labsence de tout effet
indsirable sur lactivit ou sur la scurit ?
9-1 Les vnements lis la scurit de linformation sont-ils signals, dans les meilleurs
dlais, par les voies hirarchiques appropries ?
9-3 Est-il dfini une politique de rpartition des responsabilits en cas dincident ?
9-4 Les potentielles faiblesses descelles font elles objet de rapport complet et dtaill ?
9-5 Des responsabilits et des procdures sont-elles tablies, permettant de garantir une
rponse rapide, efficace et pertinente en cas dincident li la scurit de linformation
9-6 Des mcanismes sont-ils mis en place, permettant de quantifier et surveiller les diffrents
types dincidents lis la scurit de information ainsi que leur volume et les cots associs ?
9-7 Lorsquune action en justice civile ou pnale est engage contre une personne physique
ou un organisme, la suite dun incident li la scurit de linformation, les lments de
preuve sont-ils recueillis, conservs et prsents conformment aux dispositions lgales
relatives la prsentation de preuves rgissant la ou les juridiction(s) comptente(s) ?
Les vnements pouvant tre lorigine dinterruptions des processus mtier sont-ils
identifis, tout comme la probabilit et limpact de telles interruptions et leurs consquences
pour la scurit de linformation ?
10-4 En cas de changement dquipe de travail, la continuit de service est elle assure ?
10-5 Existe-t-il une politique de sauvegarde dautres actifs de lorganisme ?
78
Audit de scurit des systmes
dinformation
10-6 Existe t-il une (des) alarme(s) pour lavertissement lors daccs aux actifs sensibles en
Mission daudit de scurit de systme dinformation de lENIM
11-Conformit
11-1 Tous les lgislatives pertinentes, les exigences rglementaires et contractuelles ont t
explicitement dfinis et documents pour chaque systme d'information.
11-6 Des mesures cryptographiques sont-elles prises conformment aux accords, lois et
rglementations applicables ?
11-7 Existe-t-il une procdure dfinissant une bonne utilisation des technologies de
linformation par le personnel ?
11-9 Laccs aux outils daudit du systme dinformation est-il protg afin dempcher tous
mauvais usage ou compromission ventuels ?
79