5/27/2018 Audit Securite Systeme Informatique MTIC
1/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
MEMOIREDE STAGE DE FIN DETUDE
Pour lobtention du
MASTERE PROFESSIONNEL
Nouvelles Technologies des Tlcommunications et Rseaux
Prsent par :
Ayari Amani
Audit de Scurit du SystmeInformatique de MTIC
Soutenu le : 05/02/2014
Devant le jury : Mr : Khaled Ghorbel
Mme : Emna Souissi
Mme : Chiraz Houaidia
http://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2trhttp://www.uvt.rnu.tn/uvt/index.php/fr/masteres/439-masteres-professionnel-en-nouvelles-technologies-des-telecommunications-et-reseaux--n2tr5/27/2018 Audit Securite Systeme Informatique MTIC
2/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Ama mre
pour toute laffection quelle me procure.
Amon pre
pour ses innombrables et prcieux conseils.
Ames frres et leurs conjointes
pour leur soutien.
Aux petites, Lina etFatouma
pour la joie quils me font vivre.
A mon fiancAhmed
Lhommeque jaime tantet avec qui je
construirai ma vie
Ama tanteMtira
Pour son soutien moral
Atoute ma famille, mes oncles, mes tantes,
mes cousins et mes cousines
A tous mes amis
Amani
5/27/2018 Audit Securite Systeme Informatique MTIC
3/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Le travail prsent dans ce rapport a t effectu dans le cadre de ce projet de fin
dtudes pour lobtention du diplme de mastre professionnel en Nouvelles Technologies de
Tlcommunications et Rseaux lUniversit Virtuelle de Tunis (UVT)
Ce travail ralis au sein des locaux du Ministre des Technologies de lInformation et de
Communication(MTIC) a pu tre men terme grce la collaboration de certaines personnes
quil nous plat de remercier.
Je remercie galement Mr Khaled Sammoud mon encadreur pour ses conseils lucides et
pertinents.
Je tiens remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi
Moslypour la confiance quils ont su me tmoigner au cours de toute la dure d e ltude de mon
projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert
auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux.
Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une
valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai
trs reconnaissant.
Je remercie particulirement aux responsables et lquipement informatiqueau ministre pour
leur aide, leur patience et leur disponibilit.
Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce
travail.
Amani
5/27/2018 Audit Securite Systeme Informatique MTIC
4/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Table des matires
Introduction Gnrale ..........................................................................................................................7
Chapitre I : ......................................................................................................................................... 10
Gnralits et Etude de lArt............................................................................................................ 10
1- Introduction.................................................................................................................... 11
2- Gnralit sur la scurit informatique....................................................................... 11
3- Normes et standards relatives la scurit................................................................ 11
3.1- ISO/IEC 27001............................................................................................................. 12
3.2- ISO/IEC 27002............................................................................................................ 12
3.3- ISO/IEC 27005............................................................................................................ 13
4- Rle et objectifs daudit................................................................................................. 13
5- Cycle de vie dun audit de scurit des systmes dinformation............................ 14
6- Dmarche de ralisation dune mission daudit de scurit des systmesdinformation............................................................................................................................ 15
6.1- Prparation de laudit............................................................................................ 15
6.2- Audit organisationnel et physique........................................................................ 16
6.3- Audit technique...................................................................................................... 16
6.4- Audit intrusif........................................................................................................... 18
6.5- Rapport daudit....................................................................................................... 18
7- Lois relative la scurit informatique en Tunisie................................................... 19
8- Conclusion....................................................................................................................... 19
Chapitre II :........................................................................................................................................ 20
Prsentation de lorganisme daccueil et tude de lexistant.......................................................... 20
1- Introduction.................................................................................................................... 21
2-
Prsentation de lorganisme daccueil......................................................................... 21
2.1- Prsentation gnrale............................................................................................. 21
2.2- Rles et attributions............................................................................................... 21
2.3- Organigramme :...................................................................................................... 23
2.4- Le bureau des systmes dinformation............................................................... 25
3- Description du systme informatique......................................................................... 25
5/27/2018 Audit Securite Systeme Informatique MTIC
5/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
3.1- Inventaire des micro-ordinateurs et serveurs.................................................... 25
3.2- Inventaire des logiciels et systme dexploitation........................................... 26
3.3- Inventaire des quipements rseaux................................................................... 27
4- Architecture et topologie du rseau............................................................................ 28
4.1- Plan dadressage...................................................................................................... 28
4.2- Description de larchitecture rseau................................................................... 28
5- Aspects de scurit existante........................................................................................ 29
5.1- Scurit physique................................................................................................... 29
5.2- Scurit logique...................................................................................................... 30
5.3- Scurit rseau......................................................................................................... 31
5.4- Scurit des systmes............................................................................................. 31
6- Conclusion....................................................................................................................... 32
Chapitre III :....................................................................................................................................... 33
Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002.................... 33
1- Introduction.................................................................................................................... 34
2- Approche adopt............................................................................................................ 34
3- Droulement de la taxonomie organisationnel et physique.................................... 34
3.1- Prsentation des interviews.................................................................................. 34
3.2- Prsentation et interprtation des rsultats....................................................... 34
4- Conclusion....................................................................................................................... 40Chapitre IV: ....................................................................................................................................... 41
Taxonomies des failles techniques.................................................................................................... 41
1- Introduction.................................................................................................................... 42
2- Analyse de larchitecture rseau et systme............................................................... 42
2.1- Reconnaissance du rseau et du plan dadressage........................................... 42
2.2- Sondage systme et des services rseaux........................................................... 44
3- Analyse des vulnrabilits............................................................................................ 50
3.1- Serveur Backup Mail.............................................................................................. 50
3.2- Serveur SyGec......................................................................................................... 51
3.3- Serveur de messagerie Lotus Notes.................................................................... 52
4- Analyse de larchitecture de scurit existante.......................................................... 53
4.1- Analyse du Firewall............................................................................................... 54
5/27/2018 Audit Securite Systeme Informatique MTIC
6/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
4.2- Analyse du Routeur Cisco..................................................................................... 54
4.3- Analyse du Switch HP Procurve.......................................................................... 55
4.4- Analyse de la politique dusage de mots de passe ........................................... 56
5- Conclusion....................................................................................................................... 57
Chapitre V :........................................................................................................................................ 58
Recommandations organisationnelles et physiques........................................................................ 58
1- Introduction.................................................................................................................... 59
2- Politique de scurit....................................................................................................... 59
3- Organisation de la scurit de linformation.............................................................. 59
4- Gestion des biens............................................................................................................ 60
5- Scurit lie aux ressources humaines........................................................................ 61
6-
Scurit physique et environnementale...................................................................... 62
7- Gestion des communications et de lexploitation...................................................... 63
8- Contrle daccs.............................................................................................................. 63
9- Dveloppement et maintenance des systmes........................................................... 64
10- Gestion des incidents..................................................................................................... 65
11- Gestion de la continuit dactivit............................................................................... 66
12- Conformit...................................................................................................................... 66
13- Conclusion....................................................................................................................... 67
Chapitre VI : ...................................................................................................................................... 68
Recommandations techniques........................................................................................................... 68
1- Introduction.................................................................................................................... 69
2- Recommandations.......................................................................................................... 69
3- Solution propose........................................................................................................... 72
3.1- Dploiement complet dActive directory (Annexe 4)...................................... 72
3.2- Windows Server Update Services...................................................................... 72
3.3- Deuxime Switch HP Procurve............................................................................ 72
3.4- Nouvelle architecture............................................................................................. 73
4- Conclusion....................................................................................................................... 73
Conclusion Gnrale.......................................................................................................................... 74
Bibliographie...................................................................................................................................... 77
Annexes.............................................................................................................................................. 79
5/27/2018 Audit Securite Systeme Informatique MTIC
7/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
TABLE DES FIGURES
Figure 1:Cycle de vie d'audit scurit ........................................................................................... 14
Figure 2:Processus d'audit ............................................................................................................ 15
Figure 3:Site du ministre(MTIC) ................................................................................................ 22
Figure 4:Organigramme de MTIC ................................................................................................ 23
Figure 5:Stuctures de cabinet ........................................................................................................ 24
Figure 6:Topologie du rseau du ministre(MTIC) ...................................................................... 29
Figure 7:Interface d'administration des onduleurs ........................................................................ 30
Figure 8:Interface client-Endpoint Security V8 ............................................................................ 32
Figure 9:Rsultat de la taxonomie organisationnelle .................................................................... 39
Figure 10:Rseau local .................................................................................................................. 43
Figure 11:Configuration rseau au niveau du poste ..................................................................... 44Figure 12:Sondage des systmes dexploitation avec GFI LANguard......................................... 45
Figure 14:Sondage des services en activit du serveur Backup Mail ........................................... 46
Figure 15:Sondage des services avec Zenmap.............................................................................. 46
Figure 16:Sondage des ports ouverts ............................................................................................ 47
Figure 17:Ports ouverts du secondaire messagerie ....................................................................... 47
Figure 18:Capture des flux avec wireshark .................................................................................. 48
Figure 19:Partages rseau avec GFI LANguard ........................................................................... 49
Figure 20:Vulnrabilits (GFI LANguard) ................................................................................... 50
Figure 21:Capture du serveur Backup Mail .................................................................................. 51
Figure 22:Capture du serveur Backup Mail(2) ............................................................................. 51
Figure 23:Serveur SyGec .............................................................................................................. 52Figure 24:Serveur primaire messagerie ........................................................................................ 52
Figure 25:Capture PuTTy ............................................................................................................. 55
Figure 26:Capture PuTTy(2)......................................................................................................... 55
Figure 27:Capture de la version du Switch ................................................................................... 56
Figure 28:Capture des adresses IP autorises ............................................................................... 56
Figure 29:Nouvelle architecture scurise .................................................................................... 73
TABLE DESTABLEAUXTableau 1:liste des serveurs du MTIC .......................................................................................... 26
Tableau 2:liste des applications du MTIC .................................................................................... 27
Tableau 3:liste des quipements rseaux de MTIC ...................................................................... 27
Tableau 4:liste des plans d'adressage ............................................................................................ 28
5/27/2018 Audit Securite Systeme Informatique MTIC
8/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Introduction Gnrale
5/27/2018 Audit Securite Systeme Informatique MTIC
9/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Le prsent rapport entre dans le cadre de ralisation dune mmoire du mastre
professionnel Nouvelles Technologies des Tlcommunications et Rseaux
lUniversit Virtuelle de Tunis pour lobtention dune mission daudit de scurit de
systme informatique de Ministre des Technologies de lInformation et deCommunication.
Les systmes informatiques sont devenus des outils indispensables au
fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs
professionnels, savoir, le secteur bancaire, les assurances, la mdecine voire dans le
domaine aronautique.
Cette volution a assouvi par consquent les besoins de nombreux utilisateurs
qui ne sont pas forcment de bonne foi. Ils peuvent exploiter les vulnrabilits des
rseaux et des systmes dans le but daccder des informations confidentielles et de
les utiliser dans leurs propre intrt. Il en dcoule que ces rseaux sont devenus cibls
par ce genre de menaces et leurs scurisation recle une proccupation de plus en plus
importante. La mise en place dune politique de scurit autour de ces systmes est
donc primordiale.
Ds lors, la scurit revt une importance qui grandit avec le dveloppement desrseaux IP, les entreprises y voient aujourdhui un avantage concurrentiel et un
nouveau dfi battre. La complexit des technologies utilise, la croissance
exponentielle des terminaux protger ainsi que la prolifration de nouvelles menaces
dmontrent que la scurit est trs importante, et ncessaire.
Les oprations informatiques offrent de nouvelles perspectives de rentabilit
pour les pirates et les malveillants. Elles constituent un moyen dattaque qui peut tre
men des milliers de kilomtres de la cible vise. Ces risques ont gagn du terrain
depuis la naissance du rseau mondial Internet. Par consquent, toute organisation qui
a des ordinateurs relies internet (ou tout autre rseau externe) doit laborer une
politique pour assurer la scurit de chaque systme.
5/27/2018 Audit Securite Systeme Informatique MTIC
10/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Ici interviennent les mthodes daudit de scurit des systmes dinformation
qui sont la base mme dune politique permettant lentreprise de mettre en uvre
une dmarche de gestion de ses risques.
Dans ce contexte il nous a t confi de raliser une mission daudit de scurit
du systme dinformation du ministre des technologies de linformation et de
communication.
Le prsent rapport sera structur en six parties :
La premire partie prsente des gnralits sur la scurit informatique et surune mission daudit ainsi quun aperu sur les normes de scurit de
linformation. La deuxime partie prsente lorganisme daccueil et ltude de lexistant et
lidentification de systme cible.
La troisime partie est consacre aux taxonomies des failles organisationnelles etphysiques bass sur la norme 27002 et ses rsultats.
La quatrime partie sera consacre aux taxonomies des failles techniques quipermettent, travers des outils de dtection des vulnrabilits, dvaluer la
scurit mise en place pour la protection du systme dinformation. Enfin, les deux dernires parties de ce rapport comporteront des
recommandations et des conseils suggrs pour remdier ces problmes de
scurit.
5/27/2018 Audit Securite Systeme Informatique MTIC
11/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Chapitre I :
Gnralits et Etude de
lArt
5/27/2018 Audit Securite Systeme Informatique MTIC
12/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
1-IntroductionL'informatique est l'un des lments clefs de la comptitivit d'une entreprise.
C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant,
rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins.
C'est pourquoi raliser un audit permet, par une vision claire et globale,
d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit,
d'anticiper les problmes et de diminuer les cots de maintenance.(1)
2- Gnralit sur la scurit informatiqueLe systme dinformation, considr comme le cur de lentreprise, est
lensemble des moyens organisationnels, humains et technologiques mis en uvre pour
la gestion de linformation. Il doit tre exempt de toute faille de scurit qui risquerait
de compromettre linformation qui y circule, du point de vue de la conf identialit, de
lintgrit ou de la disponibilit. Ainsi, des normes de scurit ont t dfinies, donnant
les rgles respecter afin de maintenir la scurit du systme dinformation de
lentreprise. Paralllement, tant donn la complexit de la mise en uvre de ces
normes, plusieurs mthodes danalyse des risques ont t mises au point afin de faciliter
et dencadrer leur utilisation. Cependant, la plupart de ces mthodes en sont que
partiellement compatibles, ne tenant compte que dune partie des rgles nonces dans
ces normes.
3- Normes et standards relatives la scuritLes normes sont des accords documents contenant des spcifications techniques
ou autres critres prcis destins tre utiliss systmatiquement en tant que rgles,
lignes directrices ou dfinitions de caractristiques pour assurer que des processus,
services, produits et matriaux sont aptes leur emploi.(2)
5/27/2018 Audit Securite Systeme Informatique MTIC
13/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
3.1- ISO/IEC 27001
La norme ISO/IEC a t publie en octobre 2005, intitul ExigencesdeSMSI ,
elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui dfinit
les conditions pour mettre en uvre et documenter un SMSI(Systme de Management de laScurit de l'Information).
3.2- ISO/IEC 27002
Cette norme est issue de la BS 7799-1 (datant de 1995) qui a volu en ISO
17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a
t rebaptise en ISO 27002 pour s'intgrer dans la suite ISO 2700x, intitul Code de
bonnes pratiques pour la gestion de la scurit de l'information.ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives
gnrales sur la slection et l'utilisation de mthodes appropries pour analyser les
risques pour la scurit des informations.
Elle est compose de 15 chapitres dont 4 premiers introduisent la norme et les 11
chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui
couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans
ses aspects oprationnels (les objectifs de scurit et les mesures prendre).
chapitres dfinissant le cadre de la norme: Chapitre n1: Champ d'application Chapitre n2: Termes et dfinitions Chapitre n3: Structure de la prsente norme Chapitre n4: valuation des risques et de traitement
Les chapitres dfinissant les objectifs de scurit et les mesures prendre Chapitre n5: Politique de scurit de l'information Chapitre n6: Organisation de lascurit de l'information Chapitre n7: Gestion des actifs Chapitre n8: Scurit lie auxressources humaines
http://wapedia.mobi/fr/S%C3%A9curit%C3%A9_de_l%27informationhttp://wapedia.mobi/fr/Gestion_des_ressources_humaineshttp://wapedia.mobi/fr/Gestion_des_ressources_humaineshttp://wapedia.mobi/fr/S%C3%A9curit%C3%A9_de_l%27information5/27/2018 Audit Securite Systeme Informatique MTIC
14/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Chapitre n9: Scurits physiques et environnementales Chapitre n10: Exploitation et gestion des communications Chapitre n11: Contrle d'accs
Chapitre n12: Acquisition, dveloppement et maintenance des systmesd'informations
Chapitre n13: Gestion des incidents Chapitre n14: Gestion de lacontinuit d'activit Chapitre n15: Conformit.
3.3- ISO/IEC 27005
La norme ISO/IEC 27005, intitul Gestion du risque en scurit del'information, est une volution de la norme ISO 13335, dfinissant les techniques
mettre en uvre dans le cadre dune dmarche de gestion des risques.
4- Rle et objectifs dauditLaudit scurit est une mission dvaluation de conformit par rapport une
politique de scurit ou dfaut par rapport un ensemble de rgles de scurit.
Principe :auditer rationnellement et expliciter les finalits de laudit, puis en dduire
les moyens dinvestigations jugs ncessaires et suffisants.
Lobjectif principal dune mission daudit scurit cest de rpondre aux proccupations
concrtes de lentreprise, notamment de ses besoins en scurit, en:
Dterminant les dviations par rapport aux bonnes pratiques. Proposant des actions damliorations de niveau de scurit de linfrastructure
informatique.
Cependant, laudit de scurit peut prsenter un aspect prventif. C'est --dire
quil est effectu de faons priodiques afin que lorganisme puisse prvenir les failles
de scurit. Egalement, laudit peut simposer suite des incidents de scurit.
http://wapedia.mobi/fr/Plan_de_continuit%C3%A9_d%27activit%C3%A9_(informatique)http://wapedia.mobi/fr/Plan_de_continuit%C3%A9_d%27activit%C3%A9_(informatique)5/27/2018 Audit Securite Systeme Informatique MTIC
15/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
5- Cycle de vie dun audit de scurit des systmesdinformation
Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit
un cycle de vie qui est schmatis laide de la figure suivante (3)
Figure 1:Cycle de vie d'audit scurit
Laudit de scurit informatique se prsente essentiellement suivant deux parties
comme le prsente le prcdent schma :
Laudit organisationnel et physique. Laudit technique.
Une troisime partie optionnelle peut tre galement considre. Il sagit de
laudit intrusif. Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport
prsente une synthse de laudit. Il prsente galement les recommandations mettre
en place pour corriger les dfaillances organisationnelles et techniques constates. Une
prsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe
suivant qui prsente le droulement de laudit.(3)
5/27/2018 Audit Securite Systeme Informatique MTIC
16/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
6- Dmarche de ralisation dune mission daudit de scuritdes systmes dinformation
Tel que prcdemment voqu, laudit de scurit des systmes dinformation se
droule gnralement suivant deux principales tapes. Cependant il existe une phase
tout aussi importante qui est une phase de prparation. Nous schmatisons lensemble
du processus daudit travers la figure suivante :
Figure 2:Processus d'audit
6.1- Prparation de lauditCette phase est aussi appele phase de pr audit. Elle constitue une phase
importante pour la ralisation de laudit sur terrain.
En synthse on peut dire que cette tape permet de :
Dfinir un rfrentiel de scurit (dpend des exigence et attentes desresponsables du site audit, type daudit).
5/27/2018 Audit Securite Systeme Informatique MTIC
17/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Elaboration dun questionnaire daudit scurit partir du rfrentiel et desobjectifs de la mission.
Planification des entretiens et informations de personnes impliques.6.2- Audit organisationnel et physique
a-ObjectifDans cette tape, il sagit de sintresser laspect physique et organisationnel de
lorganisme cible, auditer.
Nous nous intressons donc aux aspects de gestion et dorganisation de la
scurit, sur les plans organisationnels, humains et physiques.
Les objectifs viss par cette tape sont donc : Davoir une vue globale de ltat de scurit du systme dinformation, Didentifier les risques potentiels sur le plan organisationnel.
b-DroulementAfin de raliser cette tape de laudit, ce volet doit suivre une approche
mthodologique qui sappuie sur un ensemble de questions. Ce questionnaire prtabli
devra tenir compte et sadapter aux ralits de lorganisme auditer. A lissu de ce
questionnaire, et suivant une mtrique, lauditeur est en mesure dvaluer les failles et
dapprcier le niveau de maturit en termes de scurit de lorganisme, ainsi que la
conformit de cet organisme par rapport la norme rfrentielle de laudit.
Dans notre contexte, cet audit prendra comme rfrentiel la norme ISO/27002 :2005.
6.3- Audit techniquea-Objectif
Cette tape de laudit sur terrain vient en seconde position aprs celle de laudit
organisationnel. Laudit technique est ralis suivant une approche mthodique allant
de la dcouverte et la reconnaissance du rseau audit jusquau sondage des services
rseaux actifs et vulnrables. Cette analyse devra faire apparatre les failles et les
risques, les consquences dintrusions ou de manipulations illicites de donnes.
5/27/2018 Audit Securite Systeme Informatique MTIC
18/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Au cours de cette phase, lauditeur pourra galement apprcier lcart avec les
rponses obtenues lors des entretiens. Il sera mme de tester la robustesse de la
scurit du systme dinformation et sa capacit prserver les aspects de
confidentialit, dintgrit, de disponibilit et dautorisation.b-Droulement
Laudit technique sera ralis selon une succession de phases respectant une
approche mthodique. Laudit technique permet la dtection des types de
vulnrabilits suivante, savoir :
Les erreurs de programmation et erreurs darchitecture. Les erreurs de configurations des composants logiques installs tels que les
services (ports) ouverts sur les machines, la prsence de fichiers de configuration
installs par dfaut, lutilisation des comptes utilisateurs par dfaut.
Les problmes au niveau de trafic rseau (flux ou trafic non rpertori, couterseau,...).
Les problmes de configuration des quipements dinterconnexion et de contrledaccs rseau.
Les principales phases :
Phase 1 :Audit de larchitecture du systme
Reconnaissance du rseau et de plan dadressage, Sondage des systmes, Sondage rseau, Audit des applications.
Phase 2 :Analyse des vulnrabilits
Analyse des vulnrabilits des serveurs en exploitation, Analyse des vulnrabilits des postes de travail.
Phase 3 :Audit de larchitecture de scurit existante
Cette phase couvre entirement/partiellement la liste ci aprs :
5/27/2018 Audit Securite Systeme Informatique MTIC
19/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Audit des firewalls et des rgles de filtrage, Audit des routeurs et des ACLs (Liste de contrle daccs), Audit des sondes et des passerelles antivirales, Audit des stations proxy, Audit des serveurs DNS, dauthentification, Audit des commutateurs, Audit de la politique dusage de mots de passe.
6.4- Audit intrusifCet audit permet dapprcier le comportementdes installations techniques face
des attaques. Egalement, il permet de sensibiliser les acteurs (management, quipes sur
site, les utilisateurs) par des rapports illustrant les failles dceles, les tests qui ont t
effectus (scnarios et outils) ainsi que les recommandations pour pallier aux
insuffisances identifies.
6.5- Rapport dauditA la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger
un rapport de synthse sur sa mission daudit. Cette synthse doit tre rvlatrice des
dfaillances enregistres. Autant est-il important de dceler un mal, autant il est
galement important dy proposer des solutions. Ainsi, lauditeur est galement invit
proposer des solutions (recommandations), dtailles, pour pallier aux dfauts quil
aura constats.
Les recommandations devront inclure au minimum :
Une tude de la situation existante en termes de scurit au niveau du siteaudit, qui tiendra compte de laudit organisationnel et physique, ainsi que les
ventuelles vulnrabilits de gestion des composantes du systme (rseau,
systmes, applications, outils de scurit) et les recommandations
correspondantes.
5/27/2018 Audit Securite Systeme Informatique MTIC
20/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Les actions dtailles (organisationnelles et techniques) urgentes mettre enuvre dans limmdiat, pour parer aux dfaillances les plus graves, ainsi que la
proposition de la mise jour ou de llaboration de la politique de scurit
instaurer.
7-Lois relative la scurit informatique en TunisieLoi n 5 - 2004 du 3 fvrier 2004, relative a la scurit informatique et portant sur
l'organisation du domaine de la scurit informatique et fixant les rgles gnrales de
protection des systmes informatiques et des rseaux.(6)
Dcret n 1250 - 2004 du 25 mai 2004, fixant les systmes informatiques et les
rseaux des organismes soumis a l'audit obligatoire priodique de la scurit
informatique et les critres relatifs a la nature de l'audit et a sa priodicit et aux
procdures de suivi de l'application des recommandations contenues dans le rapport
d'audit.(6)
8- ConclusionLaudit est une dmarche collaborative visant lexhaustivit. Elle est moins
raliste quun test mais permet en contrepartie de passer mthodiquement en revue tout
le rseau et chacun de ses composants en dtail.
Dans le chapitre suivant nous mettons laccent sur ltude de lexistant et
lidentification de systme cible.
http://www.ansi.tn/fr/audit/docs/loi_francais/decret_fr_1250.pdfhttp://www.ansi.tn/fr/audit/docs/loi_francais/decret_fr_1250.pdf5/27/2018 Audit Securite Systeme Informatique MTIC
21/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Chapitre II :
Prsentation delorganisme daccueil et
tude de lexistant
5/27/2018 Audit Securite Systeme Informatique MTIC
22/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
1-IntroductionNotre mmoire de mastre sest droul au sein du Ministre des Technologies
de linformation et de la Communication (MTIC) qui est charg principalement du
pilotage, de la planification, de la rglementation et lorganisation du secteur des
technologies de la communication en Tunisie.
Ce chapitre prsente une tude exhaustive sur le systme informatique et les
composants qui le constituent. Toutes les informations ont t rassembles suite des
visites sur place et des entretiens avec les membres de lquipe informatique.
2-Prsentation de lorganisme daccueil2.1- Prsentation gnraleDnomination Ministre des Technologies de l'information
et de la communication
Ministre Mr Mongi Marzouk
Secteur dactivits Informatique et tlcommunication
Moyens humains (fin 2012) 230 employs
Adresse 3, bis rue dAngleterre, 1000 Tunis
e-mail [email protected]
Site web http://www.infocom.tn
Tlphone : (+216) 71 359 000
2.2- Rles et attributionsLe ministre a pour mission la mise en place d'un cadre rglementaire qui
organise le secteur, la planification, le contrle et la tutelle en vue de permettre au pays
d'acqurir les nouvelles technologies. Il assure de mme le soutien du dveloppement,
mailto:[email protected]://www.infocom.tn/http://www.infocom.tn/mailto:[email protected]5/27/2018 Audit Securite Systeme Informatique MTIC
23/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
attire l'investissement et encourage les efforts d'exportation et la comptitivit des
entreprises tunisiennes.
Ladresse officielle du site du ministre est:www.mincom.tn[N1]
Figure 3:Site du ministre(MTIC)
A cet effet, le ministre est charg notamment de :
Coordonner entre les structures charges des tudes stratgiques dans ledomaine de la Poste, des Tlcommunications et de la technologie del'Information ; laborer des normes techniques ; et encadrer les programmes de la
recherche et les activits industrielles en vue de leur adaptation aux besoins du
secteur,
Elaborer des plans et des tudes stratgiques dans les domaines destlcommunications et Postal,
Elaborer les tudes de rentabilit tarifaires et les modalits de fixation des tarifsdes Tlcommunications et des tarifs postaux,
Fixer les conditions et les modalits relatives la mise en place et l'exploitationdes services valeur ajoute des tlcommunications,
Suivre l'activit des Entreprises sous tutelle du ministre du point de vuetechnique et financier.
http://www.mincom.tn/http://www.mincom.tn/5/27/2018 Audit Securite Systeme Informatique MTIC
24/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Collecter et analyser des statistiques relatives au secteur et proposer desprogrammes insrer dans les plans de dveloppement et en valuer les
rsultats :
Collecter et analyser et diffuser des statistiques relatives aux activits duministre,
Participer l'laboration des tudes stratgiques et des plans de dveloppementdans le domaine des communications,
Evaluer les rsultats des plans de dveloppement relatifs aux domaines affrentsaux attributions du ministre,
2.3- Organigramme :
Figure 4:Organigramme de MTIC
Lorganigramme du ministre comprend principalement:
L'inspection gnrale des communications Les directions gnrales tel que :
5/27/2018 Audit Securite Systeme Informatique MTIC
25/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
-Direction gnrale des technologies de linformation
-Direction gnrale des technologies de la communication
-Direction gnrale de lconomie Numrique, de linvestissement et des
statistiques-Direction gnrale des entreprises et tablissements publics
-Direction gnrale des services communs
Le cabinet comprend les structures suivantes :
Figure 5:Stuctures de cabinet
-Le bureau d'ordre central
-Le bureau de linformation et de la communication
-Le bureau des systmes dinformation
-Le bureau des relations avec les associations et les organisations
-Le bureau de suivi des dcisions du conseil des ministres, des conseils
ministriels restreints et des conseils interministriels
-Le bureau des affaires gnrales, de la scurit et de la permanence
-Le bureau des relations avec le citoyen
5/27/2018 Audit Securite Systeme Informatique MTIC
26/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
-Le bureau de supervision des projets statistiques
-Le bureau de la rforme administrative et de la bonne gouvernance
-Le bureau de la coopration internationale, des relations extrieures
2.4-
Le bureau des systmes dinformation
Le bureau des systmes dinformation est charg de:
Lexcution du chemin directeur de linformation et sa mise jour, de mme ledveloppement de lutilisation de linformatique au niveau de diffrents services
du ministre.
Lexploitation et la maintenance des quipements et des programmesinformatiques.
La fixation de besoins en matire informatique et participation llaboration descahiers des charges des appels doffres pour lacquisition dquipements
informatiques.
La participation llaboration des programmes de formation et de recyclage. Le dveloppement des programmes informatiques concernant les produits
financiers.
Le suivi et lapplication des programmes de maintenance des quipementsinformatiques au niveau rgional travers les ples rgionaux.
3-Description du systme informatiqueDans cette partie nous allons identifier tous les lments et les entits qui
participent au fonctionnement du Systme informatique.
Daprs les visites effectues et les documents qui nous ont t fournis, nous
rpartissons linventaire des quipements informatiques comme suit :
3.1- Inventaire des micro-ordinateurs et serveurs Nombre des postes de travail : 220 Tous les ordinateurs sont de type PC
5/27/2018 Audit Securite Systeme Informatique MTIC
27/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Nombre des serveurs en exploitation est 07 Serveurs :
Serveur enExploitation
Type dApplicationHberge
Plates formesOS/ SGBD
Adresserseau
Serveur SyGec Gestion et suivi descourriers
Windows 2008Server/
SQL serveur 2005
10.0.3.128/24
Serveur primairemessagerie LotusDomino/Notes
Messagerie Intranet Windows 2003SP3
10.0.3.51/24
Serveur Secondairemessagerie LotusDomino/Notes
Messagerie Intranet Windows 2003SP3
10.0.3.52/24
Serveur Backup Mail Sauvegarde des mails Windows XPSP2
10.0.3.127/24
Serveur Antivirusrseau Koss 9.0
Systme Antiviral Windows 2008 Server 10.0.3.131/24
Serveur MangementFW
Consoledadministration du
FireWall/IDS
Windows 2008 ServerR2
10.0.3.131/24
Serveur Fax Gestion lectroniquedes Fax
Windows 2008 Server 10.0.3.101/24
Tableau 1:liste des serveurs du MTIC
3.2- Inventaire des logiciels et systme dexploitation Les postes de travail sont quips du systme Windows XP (SP2/SP3) et Windows7
(SP1).
Les Serveurs sont quips du systme Windows 2003 Server et Windows 2008 Server Une suite de bureautique (office 2003 et 2007) est installe sur tous les postes.
Il y a des applications qui sont exploites sur un rseau physiquement spar du
rseau Intranet du ministre et dont les serveurs sont hbergs au Centre National delinformatique, ils sont comme suit :
Les applications Description DveloppementExterne/Interne
INSAF Application permet la gestionintgre des ressources humaines
et de la paie du personnel de
Externe
5/27/2018 Audit Securite Systeme Informatique MTIC
28/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
lEtatRACHED Application pour
lautomatisation des procduresrelatives aux missions effectues
a ltranger par les agents de
ladministration
Externe
ADAB Application daide a la dcisionBudgtaire
Externe
Gestion des biensmobiliers de lEtat MANKOULET
Application permettant le suivides diffrentes tapes de gestiondes biens mobiliers du ministre,depuis leur acquisition jusqu' la
fin de leur utilisation
Externe
Gestion des stocks delAdministration
MAKHZOUN
Application de gestion des stocksdes produits tenus en stock dans
les magasins du ministre
Externe
Tableau 2:liste des applications du MTIC
3.3- Inventaire des quipements rseauxLe site compte les quipements rseaux et scurit suivantes:
Marque et Modle Nombre dinterfaces
Plusieurs Switch demarque Dlink et demodle DGS 3100
24 ports Rj45, 4 ports FO
Plusieurs Switch demarque Dlink et demodle DGS 1216T
16 ports Rj45, 2 ports FO
Un Routeur CISCO2850
2 interfaces fastEthernet et 8 interfaces
sries
Un double de FWde marque
StoneGate et demodle FW1050e
possdent 8 interfacesfast Ethernet.
Un commutateurNiv3 de marque HPProcurve de modle
5406zl
Possde 08 interfacesFO et 24 Interfaces RJ45
Tableau 3:liste des quipements rseaux de MTIC
5/27/2018 Audit Securite Systeme Informatique MTIC
29/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
4-Architecture et topologie du rseau4.1- Plan dadressage
Tous les htes du rseau utilisent des adresses IP prive de classe A (10.0.x.0/24)avec un masque rseau de classe C. Le rseau Interne est segment en 8 sous rseaux :
Adresse Sous rseau Description
10.0.1.1/24 Zone dadministration
10.1.0.0/24 Postes utilisateurs zone DGTC
10.0.2.0/24 Postes utilisateurs zone inspection
10.0.3.0/24 Zone des serveurs en exploitation
10.0.4.0/24 Postes utilisateurs zone DAAF
10.0.5.0/24 Postes utilisateurs zone juridique
10.0.7.0/24 Postes utilisateurs zone Btiment
10.0.8.0/24 Postes utilisateurs zone Informatique
10.0.13.0/24 Postes utilisateurs zone cabinet
Tableau 4:liste des plans d'adressage
4.2- Description de larchitecture rseauToute linformatique est relie un rseau de type Ethernet, Cest un rseau local
moderne, 100% commut, avec des dbits levs (100/1000 Mb/s).
La topologie du site est en toile tendue, le rseau interne est segment
physiquement en 8 sous rseaux, et chaque segment sous rseau est reli a un nud
central (Switch N3 de marque HP et de modle 5406zl) via des liaisons fibre optique.
Le rseau interne est reli au rseau Internet travers une liaison de type FibreOptique avec un dbit de 10 Mb/s.
Le rseau est reli avec des sites distants (des sites des organismes sous tutelle tel queSEILL, ONT, OPT, CNI) via des liaisons permanentes hauts dbits (lignes
spcialises avec un dbit qui varie entre 128 ko/s et 512 ko/s).
5/27/2018 Audit Securite Systeme Informatique MTIC
30/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Toute larchitecture du rseau Interne est autour dun doublet de firewall (quifonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps.
Les firewalls internes sont relis un doublet de firewall Frontal.
Figure 6:Topologie du rseau du ministre(MTIC)
5-Aspects de scurit existanteDes mesures de scurit ont t prises pour assurer au mieux la scurit des
infrastructures et des utilisateurs du rseau.
5.1- Scurit physiqueDaprs les visites et les entretiens, nous avons constats les faits suivants :
Le service de nettoyage intervient de 8h 9h et de 13h 14h30 Existence des agents daccueil qui contrlent laccs au primtre du site,
lenregistrement des informations relatives chaque visiteur et fournir un badge
pour accder lintrieur du local.
5/27/2018 Audit Securite Systeme Informatique MTIC
31/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Salle serveur ferme clef, seuls les personnes autorises et qui possdent la clpeuvent y accder,
La climatisation est assure par (deux) climatiseurs domestiques install dans la salledes serveurs.
Les prises de courant lectriques ne sont pas ondules. Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de
marque APC 1kva) pour assurer la continuit de service des ressources critique en
cas de problmes lectrique.
Figure 7:Interface d'administration des onduleurs
Seuls les machines et les composants rseaux importance leve sont protgs pardes onduleurs pour liminer les problmes dalimentation lectrique de courte dure.
Les extincteurs dincendies sont disponibles dans chaque couloir Absence des camras de surveillance pour les zones sensibles.5.2- Scurit logique
Pour la scurit logique, les moyens mis en place au sein du S.I sont : Acquisition dune solution matriel de sauvegarde de donnes wooxo security box:
qui comprend 2 disques (chacun est de capacit 512Mb), il est administrable via le
web, il est scuris contre les risques majeurs tel que : le feu, linondation, et le vol
5/27/2018 Audit Securite Systeme Informatique MTIC
32/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Des procdures de sauvegarde pour les donnes sensibles sont appliques selon lesfrquences suivantes :
- Pour la base de donnes de lapplication SyGec : une image sur disque chaquejour.
- Pour les Emails au niveau du serveur de messagerie : une sauvegarde estplanifie tous les jours (fin de la journe) sur un poste de travail ddi pour
backup Mail.
- Pour la configuration du firewall : une sauvegarde de la configuration chaquemois ou lors dune modification importante, et une sauvegarde des logs est
assure chaque semaine.
Afin dassurer la continuit des services et viter larrt des services mmepartiellement en cas des problmes (panne matriel, crash disque...), une certaine
redondance matrielle a t constat notamment au niveau des firewalls ainsi quau
niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.
5.3- Scurit rseau Le rseau est segment physiquement en des sous rseaux autour dun commutateur
niveau 3 qui assure le routage.
Les filtrages des accs depuis et vers les rseaux externes sont assurs par le Firewallinterne de marque StoneGate et de modle 1050.
Pour laccs au rseau Internet, le mcanisme du NAT est assur par le doublet deFirewall frontal de marque StoneGate et de modle 1030.
Dans la zone des serveurs en exploitation, un systme de dtection des intrusions(IDS/IPS) de marque StoneGate et de modle 1030 est install afin de la protger
contre les attaques.
5.4- Scurit des systmesLe systme Antiviral :
Quelque soit les mesures mises en place, on ne peut pas viter 100% que les
machines ne seront pas infectes par des virus.
5/27/2018 Audit Securite Systeme Informatique MTIC
33/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en
place avec une architecture client/serveur, et une version client (agent) est installe sur
toutes les machines du rseau (une version pour les postes de travail et une version
pour les serveurs), le serveur de lantivirus tlcharge les mises jour rgulirement etles installe sur tous les Ordinateurs.
Figure 8:Interface client-Endpoint Security V8
6-ConclusionSuite la description de lenvironnement de droulement de notre mission
daudit et lidentification de larchitecture rseau et principaux serveurs et quipements,
nous allons procder, dans le chapitre suivant, aux taxonomies des failles
organisationnelles et physiques bass sur la norme 27002.
5/27/2018 Audit Securite Systeme Informatique MTIC
34/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Chapitre III :Taxonomies des failles
organisationnelles et physiques
bases sur la Norme 27002
5/27/2018 Audit Securite Systeme Informatique MTIC
35/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
1-IntroductionCe chapitre vise avoir une vision qualitative et quantitative des diffrents
facteurs de la scurit informatique du site audit et identifier les points critiques du
systme dinformations.
Laudit fonctionnel sera ralis en se basant sur des entretiens avec le
responsable, et des observations constats sur le site.
2-Approche adoptNotre approche consiste mesurer le niveau de maturit en se basant sur un
questionnaire inspir de la Norme ISO 27002 (voir annexe 1).
Ce questionnaire comporte 11 chapitres, chaque chapitre prsente un thme de
scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur
les mesures de scurit mettre en uvre et les contrles implmenter.
3-Droulement de la taxonomie organisationnel et physiqueLors de cette phase, je me suis ainsi entretenu avec le chef service informatique :
Mr Marouane LADJIMI. Des visites ont t ralises au site afin de vrifier la scurit
physique.
3.1- Prsentation des interviewsVoir annexe 1
3.2- Prsentation et interprtation des rsultatsLors de cette intervention et suivant les rponses aux questionnaires, jai pu
dceler les constations suivantes :
a- Politique de scurit de linformation
5/27/2018 Audit Securite Systeme Informatique MTIC
36/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
On remarque linexistence dune politique de scurit formelle et disponible pourtous les personnels et par consquent, labsence dun document de politique de
Scurit crit, valid et diffus par la direction gnrale et de norme applique.
La politique de scurit nest pas affecte un responsable, charg de la rvisionrgulire de ce document et ladapte priodiquement en cas de changement au
niveau de lorganisation ou au niveau de larchitecture, suite un incident de
scurit, ou bien cause des changements technologiques.
b- Organisation de la scurit de linformation Linexistence des fonctions suivantesdans la politique de scurit : responsable
spcialiste de la scurit physique ; responsable spcialiste de la scurit
fonctionnelle et informatique ; directeur responsable de la scurit gnrale. Absence des objectifs de scurit dans la politique globale de lorganisme. Absence de lidentification des informations confidentielles. Linexistence dune politique de rvision et de documentation de la politique
dorganisation de la scurit.
Absence du mcanisme didentification et de classification des accs. Absence dun contrat qui stipule les clauses relatives la scurit des valeurs de
lorganisation, la scurit physique et lexistence dun plan de secours dans le cas
dexternalisation du ministre.
Absence de comit de pilotage du SI. Absence de lidentification des risques dus aux effets externes.c- Gestion des biens Il ny a pas une classification des ressources bases sur les 3 axes : Disponibilit,
Intgrit et Confidentialit.
Manque des Lignes directrices pour la classification des informations en termesde valeur, dexigences lgales, de sensibilit et de criticit,
Linexistence dun stock inventori dquipements et de pices dtaches desecours.
Absence dune licence dacquisition pour tous les logiciels installs.
5/27/2018 Audit Securite Systeme Informatique MTIC
37/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Il ny a pas de contrle des logiciels installs. Linexistence des rgles dutilisation des biens et des services dinformation.d- Scurit lie aux ressources humaines
Linexistence dun contrat sign par tous les personnels pour prendre desdcisions en cas de non respect des rgles de scurit, ou bien quils soient
sources des failles.
Absence dune note prcisant les devoirs et responsabilits du personnel. Absence dun programme de sensibilisation du personnel aux risques d'accident,
d'erreur et de malveillance relatifs au traitement de l'information.
Les employs doivent noter, signaler toutes les failles et les menaces de scuritsobserves dans les systmes ou services ou applications, et savoir quisadressent en cas pareils.
Absence dun document de confidentialit des informations sign par lesemploys lors de lembauche.
e- Scurit physique et environnementale Absence dune rglementation spciale contre le fait de fumer, boire, et manger
dans les locaux informatiques.
Absence dune politique de maintenance pour les quipements sensibles. Absence des procdures de gestion de crise en cas de long arrt du systme et de
permettre la reprise du fonctionnement au moins partiellement (favoriser
quelques machines sur dautres).
Linexistence dun systme de dtection ou dvacuation deau. Absence dun document li la scurit physique et environnementale.f- Gestion des communications et de lexploitation Absence des procdures formelles pour les oprations dexploitation : backup,
maintenance et utilisation des quipements et des logiciels.
Linexistence dune distinction entre les phases de dveloppement, de test etdintgration dapplications.
Absence dune procdure pour la gestion des incidents.
5/27/2018 Audit Securite Systeme Informatique MTIC
38/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Absence des procdures formelles pour la prvention contre la dtection et laprvention des logiciels malicieux.
Absence dune politique pour se dbarrasser des documents importants. Linexistence des consignes interdisant lutilisation des logiciels sans licence qui
doivent tre respects et contrls.
Absence dune politique de scurit pour les emails.g- Contrle daccs Absence dune procdure dattribution ou de retrait des privilges qui ncessite
laccord formel de la hirarchie.
Les utilisateurs non conscients quils doivent verrouiller leurs sessions enquittant leur bureau mme pour quelques instants.
Absence du contrle par un dispositif didentification et dauthentification laccs au systme.
Linexistence dun dispositif de revue des droits daccs des intervallesrguliers.
Absence des conditions respecter lors du choix des mots de passe. Il faut sensibiliser les utilisateurs pour prendre prcautions lutilisation des
disquettes, CD, flash
h- Dveloppement et maintenance des systmes Absence des procdures de validation en cas dun ou des changements raliss
sur les programmes ou bien sur les applications.
Absence de lassurance de la scurit de la documentation du systmedinformation.
Linexistence des procdures de contrle pour les logiciels dvelopps en sous-traitance.
Linexistence dune politique de maintenance priodique et assidue desquipements.
i- Gestion des incidents Linexistencedune politique de gestion des incidents.
5/27/2018 Audit Securite Systeme Informatique MTIC
39/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Absence dune politique pour rpartition des responsabilits en cas dincident. Absence dun systme de reporting des incidents lis la scurit de
linformation.
Les employs ne sont pas informs du comportement avoir si un incident estsurvenu.
j- Gestion de la continuit dactivit Absence dune politique de sauvegarde pour dautres actifs de lorganisme. Une analyse de risque partir des divers scnarios nest jamais dvelopp, qui
permet didentifier les objets et les vnements qui pourraient causer des
interruptions (partielle ou totale).
Linexistence des alarmes pour lavertissement lors daccs aux actifs sensibles endehors des heures de travail ou en cas daccs non autoriss.
Absence dun plan de secours, ce qui vient de dire que lorganisme est incapablede rpondre rapidement et efficacement aux interruptions des activits critiques
rsultant de pannes, incident, sinistre.
Absence des plans crits et implments pour restaurer les activits et les servicesen cas de problmes.
k- Conformit On remarque labsence dune dfinition, dune documentation et dune mise
jour explicite de toutes les exigences lgales, rglementaires et contractuelles en
vigueur, ainsi que la procdure utilise par lorganisme pour satisfaire ces
exigences.
Linexistence dun contrle de la conformit technique. La non-conformit des rgles de scurit appliques. Linexistence dune procdure dfinissant une bonne utilisation des technologies
de linformation par le personnel.
Il faut que le responsable de la scurit de linformation value priodiquementdes procdures pour le respect de la proprit intellectuelle.
l- Rsultat
5/27/2018 Audit Securite Systeme Informatique MTIC
40/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Le graphe suivant illustre les rsultats :
Figure 9:Rsultat de la taxonomie organisationnelle
Lgende :
PS : Politique de scurit de linformation (0%)
OS: Organisation de la scurit de linformation (30%)
GB : Gestion des biens (50%)
SRH : Scurit lie aux ressources humaines (23%)
SPE : Scurit physique et environnementale (61%)
GCE : Gestion des communications et de lexploitation (50%)
CA : Contrle daccs (57%)
DMS : Dveloppement et maintenance des systmes (38%)
GI : Gestion des incidents (0%)
GCA : Gestion de la continuit dactivit (45%)
C : Conformit (50%)Par consquent, la moyenne est de : 37%
Niveau trs bas en terme de scurit physique et organisationnelle
0
10
20
30
40
50
60
70PS
OS
GB
SRH
SPE
GCE
CA
DMS
GI
GCA
C
5/27/2018 Audit Securite Systeme Informatique MTIC
41/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
4-ConclusionLa taxonomie organisationnel et physique a permis davoir une vue globale sur
le niveau de scurit du systme dinformation grce un ensemble dentretiens et auquestionnaire qui se base sur la norme ISO 27002.
Nous entamons dans le chapitre suivant la partie technique.
5/27/2018 Audit Securite Systeme Informatique MTIC
42/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Chapitre IV:
Taxonomies des failles
techniques
5/27/2018 Audit Securite Systeme Informatique MTIC
43/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
1-IntroductionLa taxonomie des failles techniques suit une tude organisationnelle et physique
permettant davoir une vue globale de ltat de scurit du systme dinformation etdidentifier les risques potentiels. A cette tape nous passons la recherche des
vulnrabilits fin danalyser le niveau de protection de linfrastructure face aux
attaques notamment celles qui exploitent ces vulnrabilits.
Nous utilisons tout au long de cette partie un ensemble des outils permettant
dobtenir les informations ncessaireset de dceler les diffrentes vulnrabilits.
2-Analyse de larchitecture rseau et systme2.1- Reconnaissance du rseau et du plan dadressage
Durant cette tape, nous allons procder une inspection du rseau afin de
dterminer sa topologie, didentifier les htes connects et les quipements rseau. Pour
raliser cette tche, nous commenons par un recueil des donnes concernant les
quipements inventoris.
Loutil utilis pour l'identification de la topologie rseau estNetworkView sa
version 3.6 qui permet de fournir une reprsentation graphique des composantes
actives sur le rseau et leurs attributs.
Utilisation de loutil NetworkView(9) lintrieur du rseau audit:Concernant le plan dadressage, tous les htes du rseau utilisent des adresses IP
prive de classe A (10.0.x.0/24) avec un masque rseau de classe C.
5/27/2018 Audit Securite Systeme Informatique MTIC
44/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Figure 10:Rseau local
Cette figure montre les postes utilisateurs de la zone inspection, la zone des
serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le rseau interne.
Le rseau interne est segment en 8 sous rseaux.
Tous les htes du rseau utilisent des adresses IP prive de classe A (10.*.*.*/24)
avec un masque rseau de classe C ce qui nest pas conforme aux normes en vigueur. La
configuration TCP/IP des htes est manuelle, ce quindique quelle est protge contre
les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24.
Pour laccs au rseau public Internet, une translation dadresse (NAT) est
assure par le Firewall frontal.
Nous signalons cet gard, que la configuration rseau au niveau des postes
nest pas protge contre les modifications. En effet, chaque utilisateur peut changer sonadresse ce qui peut gnrer des conflits dadresses. Des attaques de type IP Spoofing
(usurpation d'identit) peuvent tre facilement menes et gnrer un dni du service; il
suffit de remplacer ladresse IP du poste par celle dun quipement critique (routeur,
5/27/2018 Audit Securite Systeme Informatique MTIC
45/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
serveur, etc.). Cette attaque permet la dgradation des performances de lquipement
concern voir mme son arrt complet.
Figure 11:Configuration rseau au niveau du poste
2.2- Sondage systme et des services rseauxLobjectif de cette tape est lidentification des systmes dexploitation et des
services rseau ce qui permet de savoir les ports ouverts des quipements audits. Il est
galement possible danalyser le trafic, de reconnatre les protocoles et les services
prdominant au niveau du rseau.
Pour raliser cette tape, nous avons utilis autres outils qui permettent
didentifier les OS, les services ouverts, les patches manquants et dautres informations
utiles:
Nmap(7) est un scanner de ports. Il est conu pour dtecter les ports ouverts,identifier les services hbergs et obtenir des informations sur le systme
d'exploitation d'un ordinateur distant.
GFI LANguard Network Security : cest un outil qui permet deffectuer un auditrapide de scurit sur le rseau, il regroupe des informations enregistres sur les
postes de travail telles que les noms dutilisateurs, les partages, etc.
5/27/2018 Audit Securite Systeme Informatique MTIC
46/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
a- Identification des systmes dexploitationDes essais de balayage systmatique des ports avec des options de dtection des
systmes d exploitation ont permis davoir la liste des O.S au niveau des stations de
lensemble du rseau audit de la MTIC.Les rsultats de test ont confirm que le rseau local du site est exclusivement
Windows pour les postes utilisateurs (des stations tournant sous le systme Win XP),
Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de donnes et
dapplication en exploitation.
Jai constat que les versions des O.S dtectes sur un chantillon important des
serveurs au niveau du rseau local ne sont pas mise jour vu labsence dune solution
de gestion centralise des mises jour.
Figure 12:Sondage des systmes dexploitationavec GFI LANguard
b- Identification des services rseauxIl sagit de dterminer les services offerts par les serveurs et les postes de travail
qui peuvent tre une source de vulnrabilit.
J'ai effectu un balayage des machines (serveurs et postes de travail) du rseau
interne, jai pu cerner la liste des ports ouverts sur les stations en activit.
Jai retenu utile de prsenter deux petits chantillons de ces prlevs effectu sur
le serveur backup mail en utilisant loutil Zenmap et le console sur Back-Track 5(8):
5/27/2018 Audit Securite Systeme Informatique MTIC
47/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Figure 13:Sondage des services en activit du serveur Backup Mail
Figure 14:Sondage des services avec Zenmap
Il est ais didentifier les services rseau en activit sur les serveurs dapplications
et de donnes en exploitation au niveau du site MTIC et de connatre le type des OS,
ainsi que les failles relatives aux versions associes.
Certains services en activit sur les stations, dont il faudra dcider de leur utilit
et de sassurer priodiquement de labsencedes failles, par exemple : HTTP 80 (TCP),
TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139
(TCP) et 445 (TCP & UDP).
5/27/2018 Audit Securite Systeme Informatique MTIC
48/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
c- Identification des ports ouvertsJai appliqu loutil GFI LANguard sur les serveurs et les quipements critiques
et jai constat quil existe des ports qui sont ouverts et non utiliss.
Figure 15:Sondage des ports ouverts
Plus de dtails concernant le serveur secondaire messagerie Lotus
Domino/Notes qui possde ladresse 10.0.3.52.
Figure 16:Ports ouverts du secondaire messagerie
5/27/2018 Audit Securite Systeme Informatique MTIC
49/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Les ports ouverts sont :
Le port 445 est ouvert pour la plupart des serveurs et peut tre utilis par le verNIMDA.
Le port 139 est ouvert pour la plupart des serveurs, ce port peut tre utilis par leschevaux des Troie(11)suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz.
Le port 25 (service SMTP) tant actif sur les serveurs messageries, il prsente unrisque de SPAM et par suite un risque de saturation de disque. Ce service doit tre
dsactiv sil nest pas utilis.
Le port 443 est ouvert au niveau de plusieurs serveurs dapplications, qui peut treexploit par le trojan Slapper.
d- Identification des flux rseauxCette tape concerne lanalyse du trafic, lidentification des principaux flux,
protocoles et applications, le taux d'utilisation ainsi que les flux inter-stations et les
protocoles superflu.
J'ai utilis pour cela Wireshark qui est un logiciel libre d'analyse de protocole, ou
packet sniffer , permet deffectuer de capture sur le rseau ainsi quune analyse du
trafic. La capture dcran suivante reprsente linterface dinterception des paquets de
Wireshark :
Figure 17:Capture des flux avec wireshark
5/27/2018 Audit Securite Systeme Informatique MTIC
50/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Une premire analyse du trafic permet didentifier lexistence de plusieurs
protocoles actifs superflus qui gnrent des informations gratuites et qui pourraient tre
exploites par des personnes malintentionnes pour mener des attaques. Les protocoles
identifis sont les suivants : Cisco Discovery Protocol (CDP) : Il est utilis pour obtenir des adresses des
priphriques voisins et de dcouvrir leur plate-forme, il utilise le protocole SNMP.
CDP peut aussi tre utilis pour voir des informations sur les interfaces quun
routeur utilise. ces donnes peuvent tre exploites dans la recherche des
vulnrabilits du routeur et mener des attaques. (4)
Spanning Tree Protocol (STP) : il permet dapporter une solution la suppressiondes boucles dans les rseaux ponts et par extension dans les VLANs
e- Identification des partages rseauxJai utilis loutil GFI LANguard sur les serveurs et les quipements critiques pour
dterminer les partages rseaux utiliss :
Figure 18:Partages rseau avec GFI LANguard
La plupart des partages existants contiennent les partages administratifs etpartages cachs par dfaut ADMIN$, C$, D$, IPC$, K$ ,
En effet, les partages administratifs par dfaut peuvent tre exploits par un
intrus pour avoir le contrle total de la machine.
5/27/2018 Audit Securite Systeme Informatique MTIC
51/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
3-Analyse des vulnrabilitsLa recherche de vulnrabilits pendant cette phase se base sur le scanner de
vulnrabilit (GFI LANguard) qui teste la rsistance du systme face aux failles connues
stockes dans leurs bases de connaissance.
Voici une capture gnrale qui indique ltat de vulnrabilits sur les serveurs etles quipements critiques :
Figure 19:Vulnrabilits (GFI LANguard)
Par la suite, je vais mesurer les vulnrabilits des parties les plus sensibles du
rseau local pour dgager rapidement les failles rellement dangereuses et dgager
partir des outils, des rapports efficaces et exploitables pour une scurisation rapide etefficaces du systme.
3.1- Serveur Backup MailIdentification du compte administrateur (cr par dfaut lors de linstallation)
sans aucune protection de mot de passe. Ceci est un exemple sur le serveur backup mail
qui a l'adresse 10.0.3.127 :
5/27/2018 Audit Securite Systeme Informatique MTIC
52/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Figure 20:Capture du serveur Backup Mail
Identification du port critique ouvert tel que par exemple : port 23 pour le serviceTelnet.
Cela peut mettre en danger le serveur vu la criticit du Telnet (accs distance et flux
circulant en clair).
Figure 21:Capture du serveur Backup Mail(2)
3.2- Serveur SyGecLe schma suivant prsente le rsultat dun test par un scanner de vulnrabilits,
ciblant le serveur de gestion et suivi des courriers serveur SyGec qui a l'adresse
10.*.*.* :
5/27/2018 Audit Securite Systeme Informatique MTIC
53/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Figure 22:Serveur SyGec
Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services
rseaux en activit (ports critiques ouverts, comme le port 23), vulnrabilits relatives
au systme dexploitation et au systme SGBD (le port 1433 (Microsoft SQL Server) est
un port utilis par le cheval de Troie Voyager Alpha Force ).
3.3- Serveur de messagerie Lotus NotesLe schma suivant prsente le rsultat dun test par un scanner de vulnrabilits,
ciblant le serveur primaire messagerie Lotus Domino/Notes qui a l'adresse 10.0.3.51 :
Figure 23:Serveur primaire messagerie
5/27/2018 Audit Securite Systeme Informatique MTIC
54/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services
rseaux en activit et vulnrabilits systmes.
Le sondage des ports avec les vulnrabilits associes est prsent comme suit :
Sasser (5554|TCP) (Vulnrabilit dordre grave)Utilis en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a t
un ver qui a exploit un dbordement de tampon dans Windows LSA service. Le ver
a attaqu le port TCP 445 avec l'exploit, puis en cas de succs il a ouvert une
commande Shell distance sur le port TCP 9996 et un service ftp sur le port 5554. Le
service ftp est pourtant mme exploitable et la tentative de ver Dabber tente
d'exploiter cette vulnrabilit.
POP3 (110|TCP) (Vulnrabilit dordre grave)Le port 110 est ouvert, dsactiv le service sil nest pas utilis car il est possible de
dtecter quels chiffrements SSL qui sont pris en charge par le service pour le
cryptage des communications.
SMTP (25|TCP) (Vulnrabilit dordre moyenne)Port SMTP ouvert (cible des spammeurs), il est recommand de le dsactiver sil nest
pas utilis, ou filtrer le trafic entrant ce port.
HTTP (80|TCP) (Vulnrabilit dordre moyenne)Il est recommand de le dsactiver sil nest pas utilis car il est possible dextraire
des informations de configuration et de dterminer le type et la version du serveur
web.
4-Analyse de larchitecture de scurit existanteLobjectif de cette tape est dexpertiser larchitecture technique dploye et de
vrifier les configurations des quipements rseaux avec la politique de scurit dfinie
et les rgles de lart en la matire.
5/27/2018 Audit Securite Systeme Informatique MTIC
55/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
4.1- Analyse du FirewallCette tape consiste dterminer si le firewall fonctionne correctement. Le rle
du firewall consiste contrler laccs selon une politique spcifique adapt pour ces
huit interfaces.
La dmarche adopte consiste auditer le firewall, les rgles de filtrage et des
mcanismes de log. Le firewall utilis est un Stonegate FW-1050.
Lors dune runion avec le chef service informatique, j'ai pu laide du Checklist
prsent en annexe 2 dterminer les vulnrabilits suivantes du firewall :
Absence dune procdure de test priodique des vulnrabilits du Firewall ainsi quedes essais de test de pntration pour vrifier la rsistance du systme contre les
attaques.
Absence dun rapport d'audit long terme prsentant l'historique des incidentssurvenus au niveau du firewall (violation des ACLS, crash par dbordement du
tampon).
Ladministration n'est pas informe en temps rel par les vnements les pluscritiques.
4.2- Analyse du Routeur CiscoLors dune runion avec le chef service informatique, j'ai pu laide du Checklist
prsent en annexe 3 dterminer les vulnrabilits suivantes (c'est un routeur Cisco
2850) :
Absence de contrle et de suivi de la version IOS du routeur. Absence dune procdure documente pour le backup des configurations du
routeur.
Les logs du routeur ne sont pas rviss. Identification du port Telnet ouvert.
5/27/2018 Audit Securite Systeme Informatique MTIC
56/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Figure 24:Capture PuTTy
Figure 25:Capture PuTTy(2)
4.3- Analyse du Switch HP ProcurveVoici les remarques que jai pu dgager lors dune runion avec le chef service
informatique concernant le Switch HP Procurve 5406zl :
Firmware pas mis jour Software revision : K.15.02.0005 , la dernire tant laK.15.06.0017
5/27/2018 Audit Securite Systeme Informatique MTIC
57/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Figure 26:Capture de la version du Switch
Il y a seulement trois adresses IP qui sont autorises joindre et manager le Switch,y compris ladresse IP du chef service informatique.
Figure 27:Capture des adresses IP autorises
4.4- Analyse de la politique dusage de mots de passeLes mthodes d'authentification utilises sont les mots de passe au niveau postes
de travail et serveurs.
Nous remarquons concernant la politique dusage de mot de passe les points
suivants :
Pour les serveurs, routeurs et tous les autres quipements rseau les mots de passesont robustes de point de vue nombre de caractre et la combinaison de minuscules
et majuscules, de chiffres, de lettres et de caractres spciaux.
5/27/2018 Audit Securite Systeme Informatique MTIC
58/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Au niveau poste de travail, chaque utilisateur est responsable de la dfinition de sonmot de passe.
Certains mots de passe (aux niveaux des postes) ressemblent aux noms desutilisateurs ou sont trop courts (infrieur 10 caractres), ce ne sont pas de bonnespratiques de scurit.
Labsence dune sensibilisation des utilisateurs et de la mise en place duneprocdure de contrle a priori.
Absence dune charte d'utilisation qui spcifie aux utilisateurs leurs obligations deprotection de leurs postes.
Absence dune politique qui dfinit notamment quelle est la typologie de mots depasse autoriss, la longueur des mots de passe, les dlais d'expiration, la techniquede gnration, l'occurrence d'utilisation des mots de passe,
5-ConclusionAu cours de cette tape, jaiessay de dceler certaines vulnrabilits au niveau
rseau et applications en analysant les diffrents flux et les politiques de scurit
adopts par les quipements tel que firewall, routeur...Il sagit maintenant de proposer des recommandations et des actions suivre
pour remdier ces faiblesses.
5/27/2018 Audit Securite Systeme Informatique MTIC
59/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Chapitre V :Recommandations
organisationnelles et
physiques
5/27/2018 Audit Securite Systeme Informatique MTIC
60/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
1-IntroductionAprs avoir termin lvaluation de la scurit du systme dinformation suivant
la norme 27002, je vais proposer dans ce chapitre des recommandations rparties par
thme mettre en uvre pour pallier aux insuffisances.
La mise en place de ces recommandations pour remdier aux risques encourus
peut tre faite progressivement selon le degr durgence et la disponibilit des
ressources humaines et budgtaires.
2-Politique de scuritLe MTIC est tenu laborer sa politique de scurit qui doit tre valide par les
responsables, distribue et publie tout le personnel. Chaque employ doit donner son
consentement et signer son adhsion la charte du respect de la confidentialit de
linformation. Le message qui doit tre dlivr travers la politique de scurit et la
charte informatique est que toute violation de la confidentialit est un dlit punissable
selon le degr de sa gravit.
Aussi une revue rgulire de cette politique de scurit doit tre planifie pour
tenir compte des possibles changements qui surviendront (nouveaux incidents,
nouvelles vulnrabilits, changements linfrastructure...)
3-Organisation de la scurit de linformationLorganisation de la scurit consiste assurer le dveloppement,
limplmentation et la mise jour des politiques et des procdures de scurit. Pour
grer la scurit, il est conseill de prendre en compte les recommandations suivantes : Le management de lorganisation doit tre impliqu dans la scurit de
linformation, en particulier dans la dfinition de la politique de scurit, la
dfinition des responsabilits, lallocation des ressources, ...
5/27/2018 Audit Securite Systeme Informatique MTIC
61/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Dfinir la structure et l'organisation du management de la scurit compos dunRSSI et des responsables de toutes les directions du MTIC et prciser leurs rles et
responsabilits respectifs et vis--vis des managers oprationnels.
Cette structure doit avoir la capacit alerter sans dlai la Direction Gnrale encas de problme grave.
Dfinir les rles des responsables en matire de scurit de linformation. La mise en place dun systme dautorisation concernant les moyens de traitement
de linformation (contrle de lusage dquipements ou logiciels personnels).
Engagement de personnels vis--vis le respect de la scurit informatique(dfinition des devoirs et responsabilits, des notes prcisant les obligations
lgales,...). Assurer une veille technologique en matire de scurit (participation des
cercles, associations, congrs,...).
Etablir une revue de la scurit de linformation en fonction des volutions destructures.
Analyser les risques lis aux accs de personnel tiers au systme dinformation ouaux locaux et tablir les mesures de scurit ncessaire.
4-Gestion des biens Les ressources sont rpertoris, mais ils doivent tre classifies selon leur
importance base sur les 3 axes : besoin en terme de disponibilit, confidentialit et
intgrit.
Dfinir les types d'actifs qui doivent tre identifis et inventoris. Les actifspeuvent tre des informations, des logiciels, des quipements matriels, desservices et servitudes, des personnes ou du savoir-faire, des actifs intangibles tels
que la rputation ou l'image.
Tenir jour linventaire des types d'actifs identifis.
5/27/2018 Audit Securite Systeme Informatique MTIC
62/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Dsigner pour chaque actif identifi et inventori un "propritaire" qui assume laresponsabilit du dveloppement, de la maintenance, de l'exploitation, de
l'utilisation et de la scurit de cet actif.
Dfinir et documenter, pour chaque actif, les rgles d'utilisation acceptables.
Dfinir et contrler une procdure de revue priodique des classifications.5-Scurit lie aux ressources humaines Etablir une procdure d'information prliminaire auprs du personnel (interne ou
contract), en ce qui concerne ses devoirs et responsabilits et les exigences de
scurit de la fonction, avant tout changement d'affectation ou embauche.
Une note prcisant les devoirs et responsabilits du personnel doit tre diffuse l'ensemble des collaborateurs de telle sorte qu'ils ne puissent nier en avoir eu
connaissance.
Etablir une clause dans les contrats d'embauche ou dans le rglement intrieur,prcisant l'obligation de respecter l'ensemble des rgles de scurit en vigueur.
Le personnel est tenu respecter la politique de scurit que le MTIC va la mettreen uvre. A cet effet, une mise niveau des employs dans le domaine de la
scurit de linformation doit tre mene en planifiant des cycles de formation
priodiques et en organisant des programmes de sensibilisation qui devront
expliquer les mthodes de protection de linformation surtout celle qui sont
critiques. Ceprogramme doit expliquer :
Les concepts de base de la scurit.La sensibilit de linformation et le type de protection ncessaire.
La responsabilit personnelle de chacun dans la gestion de la scurit etlapplication des protocoles scuritaires.
Les types de menaces (erreurs humaines, naturelles, techniques..).
5/27/2018 Audit Securite Systeme Informatique MTIC
63/115
2012 - 2013 UNIVERSITE VIRTUELLE DE TUN
Les rgles et mesures gnrales de protection de l'information qui couvrentl'ensemble des domaines concerns (documents, micro-informatique, accs aux
locaux, systmes et applications)
Les sanctions prendre contre le manque de responsabilit.
Ce programme de sensibilisation doit tre ractiv rgulirement.
La violation de la politique scurit et des procdures de scurit de l'organismepar des employs devra tre traite au moyen dun processus disciplinaire et les
mesures correspondantes doivent tre communiques tous les employs.
6-Scurit physique et environnementale Il faut mettre des consignes claires propos du fait manger, boire ou fumer dans
les locaux informatiques.
Contrler de manire globale le mouvement des visiteurs et des prestatairesoccasionnels (signature de la p
Recommended