Professional Documents
Culture Documents
A mes chers parents, Que jaime le plus et qui mont donn tous, que dieu les protgent Ma chre sur et mon cher frre, Je vous remercie pour votre aide et votre patience A mon cher fianc, Dont je ne trouve pas les mots pour lui exprimer ma gratitude, pour sa patience et ses encouragements A mes amis, A tous ceux qui mont aid raliser ce projet
Remerciements
Je tiens remercier particulirement Monsieur Yassine KHLIFI qui ma encadr tout au long de ce mastre pour sa grande disponibilit, pour lintrt quil a port pour ce travail et pour son aide permanente et aussi pour ses comptences scientifiques et ses qualits humaines tout au long de ce travail. Mes plus vifs remerciements sadressent aussi mon encadreur au sein du centre informatique du ministre de la sant publique, Monsieur Faouzi LAROUCHI pour son bienveillance, son soutien et ses conseils qui mont t dun grand secours durant ce stage. Quil soit aussi remerci pour sa gentillesse, pour les nombreux encouragements quil ma prodigue. Je souhaite aussi exprimer toute ma reconnaissance Monsieur Faouzi DAHMEN dont ses conseils et ses encouragements mont t dune grande motivation. Je suis trs reconnaissante Monsieur Makrem BOUABDALLAH et Monsieur Brahim HAMDI pour leurs supports et leur aide. Je tiens galement exprimer mes vifs respects tous les personnels de l'institut suprieur de Gestion de Tunis (ISG), et aux enseignants pour leurs efforts fournis durant mes tudes. Enfin, tous les membres du CIMSP sont associs mes remerciements. Quils ne me tiennent pas rigueur de ne pas pouvoir tous les citer. Jespre que toutes les personnes avec lesquelles jai eu le plaisir de travailler savent quel point je leur suis reconnaissante.
1.2 La scurit informatique............................................................................................. 11 1.2.1 Scurit de linformation........................................................................................... 11 1.2.2 Scurit des systmes dinformation ......................................................................... 12 1.2.3 Etude des risques ....................................................................................................... 13 1.2.4 Objectif de la scurit................................................................................................ 16 1.2.5 Politique de scurit (PSSI)....................................................................................... 16 1.3 Audit informatique ...................................................................................................... 19 1.3.1 Notion daudit ........................................................................................................... 19 1.3.2 Types daudit ............................................................................................................. 20 1.3.3 Lobjectif de laudit................................................................................................... 20 1.3.4 Les normes et les mthodes daudit .......................................................................... 21 1.4 1.5 1.6 Analyse et discussion ................................................................................................... 25 Choix de la mthode MEHARI .................................................................................. 26 Conclusion .................................................................................................................... 27
2.2 Prsentation du CIMSP .............................................................................................. 28 2.2.1 Prsentation gnrale du CIMSP............................................................................... 28 2.2.2 Missions du CIMSP .................................................................................................. 28 2.2.3 Organisation du CIMSP ............................................................................................ 29 2.3 Prsentation de larchitecture rseau du CIMSP ..................................................... 33 2.3.1 Architecture du rseau nationale de sant ................................................................. 33 2.3.2 Architecture locale des tablissements de sant ........................................................ 35
2.5 Conclusion .................................................................................................................... 38 CHAPITRE 3 ......................................................................................................................... 39 AUDIT ORGANISATIONNEL ET PHYSIQUE ............................................................... 39 3.1 3.2 3.3 3.4 3.5 Introduction ................................................................................................................. 39 Objectifs ....................................................................................................................... 39 Approche adopte ........................................................................................................ 39 Dtermination des personnes interroger ................................................................ 40 Analyse de questionnaire daudit ............................................................................... 40
3.5.1 Elaboration du schma daudit .................................................................................. 40 3.5.2 Evaluation de la qualit des services bases sur les questionnaires MEHARI ...... 41 3.5.3 La synthse par domaines de scurit ....................................................................... 44 3.6 La convergence vers la norme ISO 17799 ................................................................. 46
3.6.1 Le niveau de maturit par principe ........................................................................... 46 3.6.2 Niveau de maturit par chapitre ................................................................................ 48 3.6.3 Reprsentation graphique .......................................................................................... 49 3.7 3.8 Synthse des vulnrabilits ......................................................................................... 49 Conclusion .................................................................................................................... 56
CHAPITRE 4 ......................................................................................................................... 57 ANALYSE DES RISQUES................................................................................................... 57 4.1 4.2 Introduction ................................................................................................................. 57 Prsentation de la mthode danalyse de risques ..................................................... 57
4.3 Analyse des risques suite une analyse des enjeux .................................................. 57 4.3.1 Utilit dune analyse des enjeux................................................................................ 58 4.3.2 Objectifs de lanalyse des enjeux .............................................................................. 58 4.3.3 Expression des enjeux : Echelle de valeur des dysfonctionnements et classification 58 4.3.4 Gravit des dysfonctionnements majeurs .................................................................. 81 4.4 Analyse des risques partir des bases de connaissance de MEHARI .................... 82
4.4.1 Le scnario de risque ................................................................................................. 82 4.4.2 Analyse dun scnario de risque................................................................................ 82 4.5 Conclusion .................................................................................................................... 92
CHAPITRE 5 ......................................................................................................................... 93 AUDIT TECHNIQUE ........................................................................................................... 93 5.1 5.2 5.3 Introduction ................................................................................................................. 93 Outils daudit utiliss .................................................................................................. 93 Description de la salle machine .................................................................................. 94
5.4 Audit de larchitecture rseau .................................................................................... 94 5.4.1 Reconnaissance du rseau et du plan dadressage..................................................... 97 5.4.2 Sondage des systmes ............................................................................................... 99 5.4.3 Sondage des services rseau .................................................................................... 103 5.4.4 Sondage des flux rseau .......................................................................................... 104 5.5 Audit des vulnrabilits ............................................................................................ 105 5.5.1 Audit des vulnrabilits intrusif interne .................................................................. 106 5.5.2 Audit de vulnrabilits intrusif externe ................................................................... 110 5.6 Audit de larchitecture de la scurit existante ...................................................... 110 5.6.1 Audit du pare-feu et des rgles de filtrages ............................................................. 110 5.6.2 Audit des routeurs ................................................................................................... 112 5.7 Audit des systmes et des applications .................................................................... 114 5.7.1 Audit LOTUS NOTES ............................................................................................ 114 5.7.2 Audit systme dexploitation UNIX ....................................................................... 115 5.8 Conclusion .................................................................................................................. 119
CHAPITRE 6 ....................................................................................................................... 120 RECOMMANDATIONS ET PLAN DACTION............................................................. 120 6.1 Introduction ............................................................................................................... 120
6.2 Les recommandations ............................................................................................... 120 6.2.1 Recommandations organisationnelles et physiques ................................................ 120 6.2.2 Recommandations techniques ................................................................................. 127 6.3 Plan daction .............................................................................................................. 129
6.4
CONCLUSION GENERALE............................................................................................. 134 LISTE DES ACRONYMES ............................................................................................... 136 REFERENCES BIBLIOGRAPHIQUES .......................................................................... 138
Figure 1.1.Place de la PSSI dans le rfrentiel documentaire. ................................................................. 18 Figure 2.1.Organigramme CIMSP. ....................................................................................................... 32 Figure 2.2.Rseau national du CIMSP. ................................................................................................. 33 Figure 2.3.Architecture globale du rseau national de la sant. ............................................................ 34 Figure 2.4.Architecture du rseau local dun tablissement de la sant. ............................................... 35 Figure 3.1.Reprsentation graphique des domaines MEHARI et leurs moyennes. .............................. 44 Figure 3.2.Reprsentation graphique du niveau de maturit. ................................................................ 49 Figure 4.1.Processus d'analyse des enjeux. ........................................................................................... 59 Figure 4.2.Processus d'analyse des risques. .......................................................................................... 82 Figure 4.3.Les mesures de la potentialit. ............................................................................................. 85 Figure 4.4.Les mesures de l'impact. ...................................................................................................... 88 Figure 4.5.Grille d'valuation de la gravit. .......................................................................................... 89 Figure 4.6.Reprsentation graphique des besoins des services. ............................................................ 91 Figure 5.1.Architecture globale du CIMSP. .......................................................................................... 95 Figure 5.2.Cartographie du rseau interne du CIMSP. ......................................................................... 97 Figure 5.3.Image cran de configuration rseau au niveau du poste. .................................................... 99 Figure 5.4.Rpartitions systmes d'exploitation. ................................................................................... 99 Figure 5.5.Sondage GFI LanGuard. .................................................................................................... 101 Figure 5.6.Rpartition du service NETBIOS sur les postes du CIMSP. ............................................. 102 Figure 5.7.Capture cran des partages rseau. .................................................................................... 102 Figure 5.8.Capture cran des fichiers partags non protgs. ............................................................. 103 Figure 5.9.Scan Nmap. ........................................................................................................................ 104 Figure 5.10.Capture cran du trafic rseau. ......................................................................................... 105 Figure 5.11.Les pourcentages des vulnrabilits. ................................................................................ 106 Figure 5.12.Synthse des vulnrabilits. ............................................................................................. 106 Figure 5. 13.Pourcentage des vulnrabilits. ....................................................................................... 107 Figure 5.14.Synthse des vulnrabilits. ............................................................................................. 108 Figure 5.15.Pourcentage des vulnrabilits. ........................................................................................ 109 Figure 5.16.Synthse des vulnrabilits. ............................................................................................. 109
Introduction gnrale
Introduction gnrale
Toute entreprise, dpartement dentreprise, organisation, association, doit son existence son systme dinformation (SI) qui font dsormais partie intgrante du leurs fonctionnement. Un constat aujourdhui, est que les SI sont de plus en plus ouverts au monde extrieur, les quipements informatiques et de communication possdent des capacits de communication normes. En parallle, il y a eu un dveloppement immense des nouvelles menaces, telles que les virus et outils dattaques, qui exploitant les failles de lintroduction rapides des nouvelles technologies. Ces failles rendent vulnrables les diffrents composants du SI et peuvent avoir des effets ngatifs sur le bon fonctionnement et la rentabilit de lorganisme. Mais les organismes qui russissent sont celles qui comprennent et grent les risques associs la mise en uvre de ces nouvelles technologies. Alors, la scurit du SI devient le principe sur lequel doit se baser toute organisation informatique. Do le besoin de faire appel laudit informatique pour maintenir la scurit des SI. Laudit de scurit du SI vise donner une cartographie complte des vulnrabilits et valider les moyens de protection mis en uvre sur les plans organisationnels, procduraux et techniques, au regard de la politique de scurit. Autrement dit, laudit permet dexaminer une situation et raliser un bilan prcis de lexistant sans prendre en considrations les mesures de protection existantes. Actuellement en Tunisie, toute organisme est tenue par une obligation lgale mener des missions daudit conformment larticle 5 de la loi tunisienne n2004-5 du 3 fvrier 2004, relative la scurit informatique qui stipule que les systmes informatiques et les rseaux des diverses entreprises publiques doivent tre soumis un rgime daudit obligatoire et priodique de la scurit informatique. Conscient de limportance de laudit de scurit du SI, le centre informatique du ministre de la sant publique (CIMSP) soriente auditer son systme en vue de dceler les vulnrabilits et les limites sur les plans organisationnels, physique et technique, et didentifier les solutions et les mesures correctives ncessaires. Ce travail daudit est organis en 6 chapitres : Dans le premier chapitre, on va prsenter les concepts de base des SI ainsi que les risques qui menacent ces systmes. Ce chapitre contiendra aussi une introduction du concept daudit informatique avec les mthodes et les normes daudit les plus connues et exploites. Une tude comparative des mthodes prsentes sera labore afin de choisir la mthode la plus adquate la mission daudit de CIMSP. Dans le deuxime chapitre, on va focaliser la prsentation de lorganisme daccueil 9
Introduction gnrale en mettant laccent sur les missions exerces par son organisation gnrale, son architecture du rseau nationale et larchitecture locale des tablissements de sant sous tutelle. Enfin, ce chapitre sera cltur par une prsentation des mesures de scurit appliques au sein du centre dont leur existence ne sera pas prise en considration puisquils vont tre audits durant la phase daudit organisationnel et physique. Le troisime chapitre reprsente le point de dpart de cette mission daudit tant donn quil met laccent sur la premire phase daudit de scurit savoir laudit organisationnel et physique. Suite lorientation issue de ltude comparative, la mthode MEHARI sera applique dans ce travail daudit. En effet, des entretiens et des runions avec les responsables et le personnel du CIMSP seront tablies autour des domaines de scurit afin dceler les vulnrabilits au sein du SI du centre. Vue que la mthode MEHARI donne la main de converger vers la norme ISO 17799/27002, on va dterminer le niveau de maturit de notre systme audit selon lchelle internationales partir du Scoring ISO que cette mthode accorde. Le quatrime chapitre sintresse lanalyse de risques qui peut tre mene avec deux approches complmentaires selon la mthode MEHARI. Une analyse des risques directe partir dune analyse des enjeux du centre et une analyse des risques selon les bases de connaissance de MEHARI. Dabord, on va analyser le travail selon ces deux approches pour arriver la fin une analyse rigoureuse et dtailler des risques encouru par le centre. Dans le cinquime chapitre, on va essayer de recenser les vulnrabilits et les failles dordre technique en auditant larchitecture du systme savoir reconnaissance du rseau et du plan dadressage, sondage des systmes, contrle daccs, sondage des services rseaux, et sondage des flux rseau. Ensuite, on va identifier les vulnrabilits au niveau des composants du rseau audit tels que les serveurs et les postes de travail. Sachant que dans ltape daudit de larchitecture de scurit existante, on va auditer plusieurs quipements tels que les pare-feux et les routeurs ainsi que plusieurs systmes savoir le systme de messagerie interne, Lotus notes, et du systme dexploitation Unix. Aprs ces deux phases daudits primordiaux, on va clturer ce travail par la phase des recommandations et du plan daction. Les recommandations intressent lordre
organisationnel, physique et technique afin de pallier aux dfaillances identifies au sein de lentreprise daccueil. Alors que le plan daction va prsenter les oprations indispensables pour le centre dont elles seront classes selon les priorits, et les moyens financiers et humaines disponibles.
10
Chapitre 1
Chapitre 1
Chapitre 1
linformation nest gnralement garantie que de manire partielle et peu coordonne dans les entreprises et les organismes. La scurit de linformation est dfinie comme tant un dispositif global dont la mise en uvre assure que linformation sera partage dune faon qui garantit un niveau appropri de protection.
Chapitre 1
constituent une cible dattaques informatiques privilgie (par virus, intrusions, usurpation didentit,etc.) dont limpact peut tre extrmement prjudiciable lorganisation. En plus, la divulgation des secrets industriels, dun savoir-faire ou dinformations commerciales menace la vie mme dune entreprise et affecte ses rsultats financiers. Do le besoin vital de mettre en uvre un ensemble de moyens pour minimiser la vulnrabilit dun systme contre ces menaces accidentelles ou intentionnelles, autrement dit contre les risques informatiques.
Chapitre 1
Les menaces intentionnelles : lensemble daction malveillante qui constitue la plus grosse partie du risque qui devrait tre lobjet principal des mesures de protection. Les menaces passives : dtournement des donnes, savoir lcoute et les indiscrtions, par exemple lespionnage industriel, lespionnage commercial, violations dontologiques et dtournement des logiciels. Les menaces actives : cest toute forme de modification des informations. Autre menaces : tout ce qui peut entrainer des pertes financires dans une socit telle que pertes associes lorganisation et la gestion des personnels ainsi dpart de personnels stratgiques et grves.
Le risque : il est reprsent par la probabilit quune menace particulire puisse exploiter une vulnrabilit donne du systme. Traiter le risque, cest prendre en compte les menaces et les vulnrabilits.
Une information prsente une certaine vulnrabilit, on lui assure un niveau de protection, qui a un certain cot. Lcart entre la menace virtuelle et son niveau de protection correspond au risque qui peut tre accept ou rsiduel.
Chapitre 1
dmarre. Son but est gnralement de dtruire ou de falsifier des fichiers de donnes ou des fichiers de systme dexploitation. Destruction par ver : cest un programme malicieux qui a la facult de se dplacer travers un rseau quil cherche perturber en le rendant indisponible. Destruction par bombe logicielles : il sagit dun programme indpendant dont le rle est de relcher dans un systme, une date donne ou loccurrence dun vnement particulier, le programme de type ver (Worm) ou autre quil contient. Intrusion par cheval de Troie : il sagit de placer un programme dans un systme de faon fournir un accs ultrieur privilgi et incontrlable. Intrusion par portes drobes : le concepteur dun programme peut laisser un accs lui permettant de sintroduire dans le systme linsu de tout contrle. Intrusion par Spoofing de paquets : usurpation dadresses IP autorises en prenant la place dune machine de confiance. Espionnage des liaisons ou analyse de trafic : la capture des donnes circulant sur le rseau permet dintercepter les mots de passe. Intrusion par bogues logiciels : les vulnrabilits des produits sont trs vite connues. Exploitation daccs non scuriss : on ne compte plus les utilisateurs sans mot de passe ou trs simple deviner. Refus daccs, saturation de services (dni de service) : le Distributed Denial of Service (DDoS) consiste rendre une ressource inaccessible par saturation ou par destruction. Cette attaque est souvent ralise par un envoi massif de requtes. Deux techniques dattaques communment appeles Smurf et Syn Flood sont possibles. Lune comme lautre consistent inonder de demandes de connections lordinateur, appel serveur, permettant daccder un site internet. Dans la technique du Syn Flood, ces demandes sont assorties dune adresse dorigine qui est fausse, ce que les experts appellent le Spoofing, augmentant la confusion du serveur, suivi de son engorgement voire de son arrt. Surveillance des messageries dentreprises : le systme dinformation de lentreprise set de plus en plus li la messagerie dentreprise. Exploitation des fichiers de logs : lanalyse des fichiers de donnes rvle souvent de prcieux renseignements. Certains de ces fichiers gardent des traces de lactivit rseau.
15
Chapitre 1
Man in the middle : technique qui consiste se placer entre deux clients pour intercepter, lire, modifier et effacer les donnes changes.
16
Chapitre 1
assurer. Elle dfinit un certain nombre de rgles, de procdures et de bonnes pratiques permettant d'assurer un niveau de scurit conforme aux besoins de l'organisation. Un tel document doit ncessairement tre conduit comme un vritable projet associant des reprsentants des utilisateurs et conduit au plus haut niveau de la hirarchie, afin qu'il soit accept par tous. Lorsque la rdaction de la politique de scurit est termine, les clauses concernant le personnel doivent leur tre communiques, afin de donner la politique de scurit le maximum d'impact. Il est important de dfinir correctement les rgles du modle: ce qui est autoris et ce qui ne lest pas (il est interdit de lire le courrier de son voisin sans y tre invit, mme si celui-ci na pas su le protger correctement,etc.). Il est absurde mais on le voit souvent de vouloir verrouiller les entres, dfinir des interdictions alors quon na pas su dfinir les rgles auxquelles devraient se rfrer ces actions. La politique de scurit est labore comme suit : une analyse des menaces potentielles ou relles, ensuite lidentification et lanalyse des vulnrabilits (audit, contrle qualit,etc.). Elle se ralise par : lintgration doutils et de services de scurit systme ou rseau (audit, contrle daccs identification, logiciel antivirus, systmes experts et noyau de scurit,etc.). la validation logiciel/systme (techniques formelles, analyse qualimtrie, tests statiques et dynamiques,etc.). lvaluation et la certification des systmes et des produits. La scurit ne doit pas rester statique car toute dfense peut tre contourne; cest pourquoi une bonne politique de scurit comprend toujours deux volets: La scurit priori ou plus prcisment politique dite passive : cest le blindage du systme. Elle se caractrise par llaboration dune politique de scurit explicite, une organisation adapte cette politique, des procdures des mthodes de travail, des techniques et des outils,etc. La scurit posteriori ou plus clairement politique dite active : cest la dfense en profondeur dont elle consiste mettre en place plusieurs processus telles que: Surveiller les moyens de protection pour contrler leur efficacit (mais aussi lefficacit de la politique de scurit) Dtecter les attaques et les mauvaises configurations en enregistrant les accs aux services sensibles, en mettant en place des automatismes de dtection dintrusion,etc.
17
Chapitre 1
Concepts gnraux de la scurit Rpondre par des actions correctives: arrt de session, reconfiguration dynamique des systmes de contrle daccs et enregistrement des sessions Mettre en place des leurres.
Bien quelle puisse concerner lensemble des systmes dinformation de lorganisme, elle peut galement tre restreinte un systme dinformation particulier, par exemple li un mtier de lorganisme ou un systme transversal tel que messagerie et intranetetc. Dans ce cas, il peut exister plusieurs PSSI dans un organisme ou une entreprise et elles devront tre cohrentes entre elles. Cette cohrence est assure grce la formalisation dune PSSI globale ou plus prcisment objet du prsent guide. Les autres politiques sont alors des dclinaisons de la PSSI dans un environnement mtier ou technique particulire, pour des instances spcialises ou des cas particuliers. Pour laborer une PSSI adapte lorganisme, il est recommand de raliser une analyse des risques spcifiques au contexte afin den ajuster les rgles de scurit.
18
Chapitre 1
Chapitre 1
questions sont classes par thmes ou par domaine de scurit savoir scurit physique, contrle daccs, pannes et erreurs humaines,...etc. On nest pas appel crer ses propres questions mais plutt dutiliser celles qui proviennent des normes et des mthodes reconnues lchelle internationale afin de suivre une mthodologie formelle. Laudit technique : il correspond une suite logique de laudit organisationnel qui sert dcouvrir les failles grce un ensemble de tests. En pratique, un audit technique concerne les composants du systme dinformation. Il sagit dune validation dune architecture de scurit, tests de vulnrabilits internes et/ou externe, validation du code, tels que faille dans une application web, contrle daccs trivialetc., et validation de la scurit dun nouveau primtre, savoir un firewall, un site business, dun extranet et dun accs Internet dun systme VPN. Dans une approche idale, laudit technique suit une tude organisationnelle et physique permettant davoir une vue globale de ltat de scurit du systme dinformation et didentifier les risques potentiels. Ce nest quaprs que lon peut passer la recherche de vulnrabilits ou les tests intrusifs, internes et externes, qui peuvent analyser le niveau de protection de linfrastructure face aux attaques notamment celles qui exploitent des failles logicielles connues.
Chapitre 1
objectifs. Des audits sont ncessaires suite la mise en place initiale d'une politique de scurit, puis rgulirement pour s'assurer que les mesures de scurit sont mises niveau et que les usages restent conformes aux procdures. Il consiste encore rpondre aux proccupations concrtes de lentreprise, notamment de ses besoins en scurit, en dterminant les dviations par rapport aux bonnes pratiques et en proposant des actions d'amlioration du niveau de scurit de son infrastructure informatique.
21
Chapitre 1
a) Mthode EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) est une mthode tablie par la DCSSI (Direction Centrale de la Scurit des Systmes d'Information) pour identifier les besoins de scurit d'un SI. La DCSSI la prsente comme un outil d'arbitrage au sein des directions gnrales. Elle s'organise en 4 tapes principales sont les suivantes : tude du contexte, Expression des besoins, tude des risques, Identification des objectifs de scurit. Elle se prsente sous la forme d'une brochure tlchargeable et d'un logiciel dont l'obtention est gratuite [7].
b) Rfrentiel COBIT
Bien connu des membres de l'ISACA, le rfrentiel de gouvernance des systmes d'information COBIT couvre une bonne partie des domaines de l'ISO 17799. COBIT tant vocation plus large, il gre l'information au travers un grand nombre de critres savoir lefficacit, efficience, confidentialit, intgrit, disponibilit, conformit et fiabilit. En regard, l'ISO 17999 se limite la confidentialit, l'intgrit la disponibilit et la conformit [8].
c) MARION
La mthode MARION est une Mthodologie dAnalyse de Risques Informatiques Oriente par Niveaux. Il sagit dune mthodologie daudit, qui, comme son nom lindique, permet dvaluer le niveau de scurit dune entreprise (les risques) au travers de questionnaires pondrs donnant des indicateurs sous la forme de notes dans diffrents thmes concourant la scurit. Lobjectif est dobtenir une vision de lentreprise audite la fois par rapport un niveau jug correct , et dautre part par rapport aux entreprises ayant dj 22
Chapitre 1
rpondu au mme questionnaire. Le niveau de scurit est valu suivant 27 indicateurs rpartis en 6 grands thmes, chacun deux se voyant attribuer une note de 0 4, le niveau 3 tant le niveau atteindre pour assurer une scurit juge correcte. A lissue de cette analyse, une analyse de risque plus dtaille est ralise afin didentifier les risques (menaces et vulnrabilits) qui psent sur lentreprise. La mthode se droule en 4 phases distinctes sont les suivantes: Prparation : Durant cette phase, les objectifs de scurit sont dfinis ainsi que le champ daction et le dcoupage fonctionnel permettant de mieux drouler la mthode par la suite. Audit des vulnrabilits : cette phase voit le droulement des questionnaires ainsi que le recensement des contraintes propres lorganisme. Analyse des risques : cette phase voit lexploitation des rsultats prcdente et permet deffectuer une sgrgation des risques en Risques Majeurs (RM) et Risques Simples (RS). Plan daction : Durant cette ultime phase, une analyse des moyens mettre en uvre est ralise afin datteindre la note 3, objectif de scurit de la mthode, suite aux questionnaires, les tches sont ordonnances, on indique le degr damlioration apporter et lon effectue un chiffrage du cot de la mise en conformit [9].
d) CRAMM
Cest une mthode de gestion du risque impos par le gouvernement britannique. Elle est exhaustif contenant plus de 3000 points de contrle et donc adapte de grosses entreprises [10].
e) MEHARI
La mthode MEHARI (MEthode Harmonise d'Analyse de RIsques) est propose par le CLUSIF (Club de la Scurit des Systmes d'Information Franais). Elle est destine permettre l'valuation des risques mais galement le contrle et la gestion de la scurit de l'Entreprise sur court, moyen et long terme, quelle que soit la rpartition gographique du systme d'information. La mthode MEHARI s'articule sur 3 types de plans : Le PSS (Plan Stratgique de Scurit) qui fixe les objectifs de scurit et les mtriques et qualifie le niveau de gravit des risques encourus,
23
Chapitre 1
Les POS (Plans Oprationnels de Scurit) qui dterminent, par site ou entit gographique et les mesures de scurit mettre en place tout en assurant la cohrence des actions choisies. Le POE (Plan Oprationnel d'Entreprise) qui permet le pilotage de la scurit au niveau stratgique par la mise en place d'indicateurs et la remonte d'informations sur les scnarios les plus critiques. MEHARI remplace MARION qui n'est plus dveloppe [11].
a) ISO 17799
Le standard ISO 17799 est un ensemble de recommandations pour la gestion de la scurit de l'information issu de la norme britannique BS7799 (British Standard). Il couvre autant les aspects techniques, administratifs que juridiques et peut tre utilis par n'importe quel organisme quelque soit son activit et sa dimension. Ces aspects sont regroups en dix grandes thmatiques [12].
b) ISO 13335
Cest un guide pour la gestion de la scurit du rseau. Il est centr sur les principes de la gestion de scurit du rseau et sur la minire dont les organisations peuvent tablir un cadre pour protger et grer la scurit des systmes de technologies de linformation (TI) [13].
c) ISO 27001
Specification for information Security management Systems, labore par le British Standard Institute (cest la partie 2 du BS 7799). Elle explique comment appliquer ISO 17799 et impose une dmarche pour ltablissement des phases dimplmentation, dvaluation, de maintenance et damlioration dun systme de management de la scurit de linformation. [14].
24
Chapitre 1
d) ISO 27002
La norme ISO/CEI 27002 est une norme internationale concernant la scurit de l'information, publie en 2005 par l'ISO, intitul Code de bonnes pratiques pour la gestion de la scurit de l'information. La norme ISO/CEI 27002 est compos de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composs de 39 rubriques et 133 mesures dites best practices qui couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans ses aspects oprationnels en runissant les objectifs de scurit et les mesures prendre [15].
25
Chapitre 1
qualification. Quant lestimation quantitative, elle utilise une chelle de valeurs numriques pour valuer les consquences ainsi que la probabilit de leur survenance laide de diverses sources de donnes. Mais chaque mthode a ses propres caractristiques qui nous mne choisir une mthode A et non pas la mthode B. La mthode EBIOS, par exemple, malgr quelle est une mthode danalyse des risques, elle ne fournit pas de recommandations ni de solutions immdiates aux problmes de scurit. Elle ne possde pas une dmarche quantitative qui nous permet de valoriser et mesurer le degr de risque pour arriver le minimiser. EBIOS ne possde pas un outil de contrle et dvaluation de la mthode, cest une dmarche lourde et difficile utiliser car elle distingue peu loprationnel ou les actifs de lorganisation du reste de lorganisation. COBIT est un rfrentiel de bonnes pratiques pour cela elle nest classifie pas comme une mthode. Il est plus orient la gouvernance des SI quau processus danalyse des risques. En plus, il ne possde pas de support logiciel ni une base de connaissance qui comporte les questionnaires. La mthode MARION est trs ancienne, elle a t abandonne en 1980 au profit de la mthode MEHARI. La mthode CRAMM est connue par son exhaustivit et sa lourdeur, et elle est rserve aux grandes entreprises puisquelle recourt prs de 3000 points de contrle. Chacune des mthodes daudit possde ses points forts et ses points faibles mais dans ce qui suit on va choisir la mthode la plus rpondue et la plus adapt pour notre mission daudit.
Chapitre 1
dmarche permet dtudier le contexte de lentreprise savoir ses enjeux, sa taille, son organisation centralise ou dcentralise, son caractre national ou international. MEHARI comporte une riche palette de situations de risques et les moyens convenables pour rduire leur gravit. Ceci nous mne dire que la documentation MEHARI est complte et modulaire vue la disponibilit de ses guides ou de ses manuels. Sa boite outils et sa riche base de connaissance sont btis pour permettre une analyse prcise des risques dans des diffrents contextes dentreprises. Cest une mthode adaptable, souple de plus elle donne la possibilit de dcomposer le primtre tudier en fonction de plusieurs paramtres tel que la criticit des donnes et des types de systmes afin de se focaliser sur les environnements les plus sensibles. Elle est structure, compatible avec les modles de gouvernance des risques et respecte les aspects rglementaires et les contrles ISO.
1.6 Conclusion
Dans ce chapitre, on a prsent les principaux concepts de base dans le domaine de la scurit informatique. Dabord, on a dfinie la scurit de linformation et la scurit des systmes dinformations. Ensuite, on a dtaill les principaux menaces et risques de la scurit, les objectifs de la scurit et le but de mettre en place une politique de scurit. En plus, on a identifi la notion daudit, ses objectifs et ses mthodes les plus connus. De mme, on a labor une tude comparative o on a analys et discut les normes, les mthodes, les rfrentiels, ses avantages et ses inconvnients. Cette comparaison nous a permis de choisir la mthode MEHARI selon les critres de base et selon les orientations de lentreprise daccueil.
27
Chapitre2
Etude de lExistant
Chapitre 2
Etude de lexistant
2.1 Introduction
Dans ce chapitre, on va tout dabord prsenter lorganisme daccueil, ses missions et son organisation gnrale ainsi que larchitecture globale de son rseau national. Ensuite, on va mettre laccent sur son architecture locale des tablissements de sant publique rattachs, dont ils intgrent le Backbone national. Enfin, on va essayer didentifier les mesures de scurit mise en place au sein de ce centre.
Chapitre 2
Etude de lExistant
et de communication. Le CIMSP a jou le rle du matre duvre dans ce projet. Ainsi, le centre est charg de mettre en place le systme dinformation hospitalier en assurant toutes les tapes depuis ltude jusqu la maintenance.
Etude, dveloppement, installation et maintenance des applications du systme dinformation hospitalier. En effet, depuis 1994 le Ministre de la Sant Publique a entam le projet de la rforme hospitalire qui consiste essentiellement moderniser les mthodes de gestion des hpitaux universitaires et ceci par leur conversion en EPS ayant leur autonomie financire et par lutilisation des nouvelles technologies de linformation et de communication. Le CIMSP a jou le rle du matre duvre dans ce projet et il est charg de mettre en place le systme dinformation hospitalier en assurant toutes les tapes depuis ltude jusqu la maintenance.
Exploitation et maintenance des rseaux et du matriel informatique du rseau national de la sant (RNS). Le CIMSP est charg dadministrer le rseau national de la sant en veillant sa bonne exploitation et en le protgeant contre les dangers internes et externes. A ltat actuel, environ 60 tablissements sont connects au CIMSP via des lignes spcialises dont le dbit allait de 64 Kbits/s 4 Mo/s. Formation dans les domaines de lInternet et de la bureautique du personnel uvrant dans le secteur de la sant publique. Fournisseur des services Internet du secteur de la sant publique. En plus des services Internet (navigation, email), le CIMSP offre aux institutions de recherche relevant du Ministre de la Sant Publique des accs haut dbit (45 Mbits/s) aux rseaux de recherche (GEANT, EUMEDCONNECT), aux revues de recherche lectroniques et aux bases de donnes spcialises. Dautre part, le CIMSP a pu mettre en uvre un certain nombre de projets de tlmdecine dont notamment la tl-radiologie, la tlpathologie, la visioconfrence, etc.
Chapitre 2
Etude de lExistant
Lunit de formation : Elle a pour mission dlaborer et mettre en excution un plan de formation spcifique, dans le domaine de l'informatique sanitaire, l'intention des personnels administratifs et mdicaux concernes. Lunit de contrle de gestion : cette unit est charge de la gestion budgtaire du centre. La Direction des Etudes et de Dveloppements Informatiques (DEDI) : Elle est charge dassurer les tches suivantes : Mettre en uvre et actualiser les dispositions prvues dans le plan informatique et veiller en particulier son harmonisation avec les besoins d'autres dpartements ou organismes concerns. Elaborer des standards pour la conception, la ralisation et l'actualisation des procdures et des logiciels de gestion informatiss dans les diffrentes structures publiques de la sant. Concevoir, mettre en place et grer les banques de donnes et les statistiques sanitaires nationales et particulirement les donnes concernant la carte sanitaire. Direction de lexploitation, des rseaux, de la scurit et de soutien (DERSS). Elle a pour mission deffectuer les tches suivantes : Veiller l'optimisation des investissements et de l'exploitation des quipements et des logiciels informatiques acquis par le MSP et des tablissements sous tutelle. La DERSS doit particulirement veiller l'homognit et l'efficience de ces quipements et logiciels et en assurer l'exploitation et la maintenance. Identifier et couvrir les besoins du MSP et des tablissements sous tutelle en matire de traitement automatique des informations. Assurer l'homognit, la fiabilit, la scurit et la confidentialit du systme d'information des structures publiques de sant. Donner des conseils et fournir des services en matire d'informatique hospitalire tout autre organisme sanitaire, public ou priv, national ou tranger, moyennant rmunration. La Direction des Affaires Administratives et Financires (DAAF) est charge de la gestion des ressources humaines, matrielles et financires du centre.
30
Chapitre 2
Etude de lExistant
La figure 2.1 illustre lorganigramme du CIMSP sur lequel sarticule son systme organisationnel. Cette structure reprsente la nouvelle version qui est en cours de mise en place dans la CIMSP depuis quelques mois.
31
32
Chapitre 2
Etude de lExistant
Le service Rseaux du CIMSP gre linfrastructure en matire des rseaux dont dispose les tablissements relevant du MSP. Cette infrastructure est compose essentiellement des rseaux tendus (WAN) en toile constitue denviron 160 sites. Le CIMSP gre tout le trafic chang entre les diffrentes structures publiques de la sant puisque toutes les connexions sont supervises par le centre qui assure la gestion des connexions haut dbit. En effet, le RNS est administr par le CIMSP, essentiellement par le service rseaux.
33
Chapitre 2
Etude de lExistant
Ce rseau national connecte plusieurs tablissements incluant le MSP, en plus le CIMSP est le Fournisseur de Services Internet (FSI) ses clients, qui sont les institutions relevant du Ministre de la sant public, via lAgence Tunisienne de lInternet (ATI) par six lignes spcialises de 1 Mbps chacune. Le CIMSP propose diffrents types de connexions aux tablissements sanitaires. Le choix se fait selon la localisation gographique de ltablissement ainsi que ltendu de son rseau en terme de machines connectes. La liaison spcialise (LS) : Les diffrentes institutions sont relies au CIMSP via des LS. Ce type de liaison permet de disposer d'un rseau de communication permanent. De mme, il permet d'changer tous type de donnes par un canal unique exclusivement rserv la sant public. Ce trafic peut tre des donnes informatiques, photo, vido (visioconfrence), et faxetc.
Tout le trafic du RNS passe par le CIMSP, on distingue trois types de trafic : Le trafic destin Internet : Navigation, Mail, visioconfrence,...etc. Le trafic destin aux partenaires : Applications CNI (Centre National d'Informatique), Applications TTN (Tunisie Trade Net), ...etc. Le trafic interne : Applications CIMSP, Administration distance des quipements rseaux (Serveurs, routeurs, switchs, ...), diffusion de donnes, Workflow, ...etc.
Dans la figure 2.3, on prsente une vue globale de larchitecture du RNS et des liaisons avec les partenaires qui sont lATI et le CNI.
CNI
Vers partenaire
ATI
CIMSP
Internet
Etablissement de sant
34
Chapitre 2
Etude de lExistant
Modem
Htes
35
Chapitre 2
Etude de lExistant
2.3.3.1 Prsentation
Le CIMSP est le fournisseur accs Internet (FAI) des tablissements de la sant. Il offre en particulier les services mail et navigation. Et comme tous les FAI de la Tunisie, le CIMSP est li lATI par des LS de capacit 64 Kb/s pour le service mail et 2 autres de 1Mb/s chacune pour la navigation et les autres services. Dautre part des LS dont le dbit varie selon le type de connexion assurant le lien entre les tablissements de sant au Backbone du CIMSP.
36
Chapitre 2
Etude de lExistant
Une intgration en entre et en sortie danti-virus et danti-spam au niveau de la messagerie. Des pare-feu centraux redondants sont mis en place. Existence des zones dmilitarise (DMZ) hbergeant les serveurs proxy, web,etc. Des rgles de filtrages ont t spcifies au niveau du pare-feu et des listes de contrle daccs ont t arrtes au niveau des routeurs. Certains types danomalies et dincidents dexploitation sont consigns dans une base de donnes. Existence dun comit restreint de scurit qui soccupe essentiellement de linstallation de lantivirus, des clients VPN et de loutil ssh au niveau des hpitaux. Existence dun inventaire partiel des ressources (quipement seulement). Le personnel du site est inform partiellement de ses droits et devoirs en matire de scurit du SI. Existence des "Access Control List" (ACL) au niveau des proxy. Existence dun groupe lectrogne pour alimenter la salle technique en cas de coupure de llectricit. Existence des extincteurs dincendies au niveau de la salle machine. Existence des dtecteurs dhumidit au niveau de la salle machine Utilisation exclusive des commutateurs au lieu des concentrateurs. Existence d'un inventaire partiel des ressources (quipement seulement). Actuellement les administrateurs du CIMSP utilisent des outils divers et htrognes pour la supervision et ladministration des quipements du Rseau National de la Sant. Ils utilisent aussi frquemment la ligne de commande (Ping, Telnet, SSH,etc.) sous Windows, linux et dautres systmes dexploitation. Parmi les outils utiliss actuellement : OSSIM : cest une solution open source offrant une infrastructure pour le monitoring temps rel de la scurit rseau (dtection dintrusion et analyses statistiques). Ses objectifs sont ; de fournir une plateforme centralise, fournir une console dorganisation et damliorer la dtection et laffichage des alarmes de scurit. OSSEC : cest un dtecteur dintrusion de type HIDS (Host-Based Intrusion Detection System), il est lun des HIDS les plus utiliss, trs facile daccs tant pour linstallation que pour lutilisation. NINO : cest une solution de gestion de rseau pour contrler des routeurs, des commutateurs, des serveurs et des applications de RNS. En utilisant la surveillance en 37
Chapitre 2
Etude de lExistant
temps rel, l'Evnement surveillant et rapportant la sant et le statut du rseau peut tre surveill. NINO est une solution base par le Web. Il emploie le protocole SNMP. Il tourne sur un serveur Web et peut tre accd par n'importe quel ordinateur avec un web browser. NINO provient du monde dUnix, cest un paquetage contenant des modules en Perl sur le serveur et les applets Java pour linterfaage. Il emploie un serveur Web pour prendre soin de l'interface utilisateur. Les services de NINO sont des processus de fond pour prendre soin de la surveillance et de la manipulation d'vnement. Les services de NINO sont employs pour recevoir des captures de SNMP et pour collecter et surveiller les donnes. Toutes les captures sont stockes comme vnements dans la base de donnes. Tous les vnements peuvent galement tre traits en utilisant event action . Toutes les donnes de surveillance sont stockes et peuvent tre employes pour crer des rapports, des graphiques ou des vues de statut. MRTG : Multi Router Trafic Grapher (MRTG) est un logiciel dvelopp sous licence GNU/GPL. Ce logiciel permet de crer des graphiques sur le trafic rseau. Il utilise le protocole SNMP pour interroger des quipements rseaux tels que des routeurs, commutateurs, ou bien encore des serveurs. Syslog-ng : Syslog-ng (syslog next generation) est un logiciel gratuit de collecte de journaux systmes fonctionnant sur des systmes tels que Linux, IBM-AIX, Sun SOLARIS, HP-UX, FreeBSD, PuTTY : Cest un client SSH, Telnet, rlogin, et TCP. Il offre la possibilit de se connecter de manire scurise un serveur depuis un PC. Tout le trafic est encrypt et les informations de login (username/password) ne peuvent pas tre interceptes par un tiers. Il tait l'origine disponible uniquement pour Windows, mais il est prsent port sur diverses plateformes Unix (et non-officiellement sur d'autres plateformes). Cest un logiciel open source, sous une licence de type MIT.
2.5 Conclusion
Dans ce chapitre, on a tout dabord dcrit lenvironnement de droulement de notre mission daudit. On a commenc par une prsentation du CIMSP en focalisant ses missions, son organisation. Ensuite, on a prsent larchitecture de son rseau national ainsi que son architecture locale de ses tablissements de sant dont on a parl du BackBone national de sant. Enfin, nous avons dcrit les diffrentes mesures de scurit existante dans le centre. 38
Chapitre 3
Chapitre 3
3.2 Objectifs
L'objectif d'un audit organisationnel de scurit est d'tablir un tat des lieux complet et objectif du niveau de scurit du SI du DERSS sur les plans organisationnels, procduraux et technologiques et de dterminer les dviations par rapport aux bonnes pratiques des normes ISO. Cette phase daudit est base sur un questionnaire normalis de la mthode choisie en se rfrant la base de connaissance MEHARI. Ce questionnaire est complt par les personnes concernes du domaine audit, lies au primtre de scurit.
39
Chapitre 3
Larchitecture systme et la scurit logique Lenvironnement de travail Les aspects juridiques et rglementaires.
Aprs, on va dterminer le niveau de maturit selon la norme ISO 17799 renomm 27002. Cette dernire comporte 11 chapitres o chaque chapitre prsente un thme de scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur les mesures de scurit mettre en uvre, et les contrles implmenter.
40
Chapitre 3
3.5.2 Evaluation de la qualit des services bases sur les questionnaires MEHARI
Les questionnaires comprennent un lot de questions auxquelles il est demand de rpondre par oui (1) ou par non (0) en se basant sur des conventions de cotation et de pondration quon va les tudier ultrieurement. Lexemple ci-dessous est un extrait du questionnaire relatif au domaine la scurit des systmes et de leur architecture. Chaque domaine comporte plusieurs services et chaque service comporte plusieurs sous domaines. Les questions de chaque sous service sont axes sur 3 mesures savoir des questions axes sur lefficacit des mesures de scurit, des questions bases sur la robustesse des mesures de scurit et des questions axes sur le contrle ou laudit des fonctionnalits attendues du service.
41
Chapitre 3
42
Chapitre 3
Si on applique cette expression sur lexemple ci-dessus, on aura gale : La = 4*(1*2+1*4+1*4+1*4) / 26 Do, la qualit de service est exprime par Q = = 2.15 43
Chapitre 3
01 Organisation de la scurit 4 12 Juridique et Rglementaire 3 2 1 11 Protection de l'environnement de travail 0 Domaine Moyenne pondr 03 Scurit des locaux 02 Scurit des sites et des btiments
On remarque que la moyenne pondre na pas dpasse le 1.67 dans le domaine scurit des systmes et de leur architecture. En effet, 5 domaines de scurit nont pas atteints une moyenne de 1. Ces domaines sont lorganisation de la scurit, la scurit des locaux , le rseau tendu, lexploitation des rseaux et la protection de lenvironnement de travail.
44
Chapitre 3
45
Chapitre 3
Les rsultats sont constitus des questionnaires remplis, avec les commentaires et les moyennes calcules des diffrents domaines et services.
Le niveau de maturit par principe selon la mthode exploite est exprim par lexpression suivante : = 4 /
46
Chapitre 3
Chapitre
5
5.1
Niveau (de 0 4)
Politique de scurit 0
Organisation interne Tiers 7 Gestion des biens Responsabilits relatives aux biens Classification des informations 8 Scurit lie aux ressources humaines
0 0.445 0 .45 0.44 0 0 0 1,55 3.33 0 1.65 1.62 1.68 0.767 2 0.4 1 1.33 0 0.8 1.14 1.32 1.14 1.51 0.88 2.01 2.37 1.33 0
8.1 8.3 9.1 9.2 10.3 10.4 10.5 10.6 10.7 10.8 10.10 11.1 11.2 11.3 11.4 11.5 11.6 11.7
Avant le recrutement Fin ou modification de contrat 9 Scurit physique et environnementale Zones scurises Scurit du matriel 10 Gestion de l'exploitation et des tlcommunications Planification et acceptation du systme Protection contre les codes malveillant et mobile Sauvegarde Gestion de la scurit des rseaux Manipulation des supports change des informations Surveillance 11 Contrle d'accs Exigences mtier relatives au contrle d'accs Gestion de l'accs utilisateur Responsabilits utilisateurs Contrle d'accs au rseau Contrle d'accs au systme d'exploitation Contrle d'accs aux applications et l'information Informatique mobile et tltravail
47
Chapitre 3
12 Acquisition, dveloppement et maintenance des systmes Mesures cryptographiques Scurit des fichiers systme 13 Gestion des incidents lis la scurit de l'information Signalement des vnements et des failles lis la scurit de l'information
1.165 1 1.33 0 0
Gestion des amliorations et incidents lis la scurit de l'information 0 14 Gestion du plan de continuit de l'activit Aspects de la scurit de l'information en matire de gestion de la continuit de l'activit 15 Conformit Conformit avec les exigences lgales Conformit avec les politiques et normes de scurit et conformit technique Prises en compte de l'audit du systme d'information
Tableau 3.4.Niveau de maturit par principe.
14.1
0 0 0.24 0.73 0 0
De la mme faon, on peut effectuer un calcul du niveau de maturit globale en se basant sur lexpression suivante :
48
Chapitre 3
Politique de scurit
4
Conformit
3 2 1 0
Le seuil de maturit dfinit par la norme nest pas atteint dans tous les chapitres. En effet, 4 chapitres ont un niveau de maturit qui est gal 0. Ces chapitres sont la politique de scurit, la gestion des biens, la gestion des incidents lis la scurit de linformation et la gestion du plan de continuit de lactivit. Ce qui nous mne conclure que la scurit au sein du CIMSP est sous valu et ne possde pas limportance quelle doit avoir au sein de toute organisation.
49
Chapitre 3
Politique de scurit
On remarque labsence dune politique de scurit formelle et disponible pour tout le personnel du centre.
50
Chapitre 3
Inexistence dune classification des ressources bases sur les 3 axes : Disponibilit, Intgrit et Confidentialit. Existence des quipements qui ne sont pas couverts par un contrat de maintenance.
51
Chapitre 3
Absence dune analyse systmatique et approfondie de tous les risques d'incendie ou dinondation ou de tous les risques environnementaux envisageables pour le site considr.
Linexistence dun systme de dtection automatique dincendie pour lensemble du btiment. Linexistence de moyens de contrle contre la pntration dans les locaux sensibles avec des moyens d'enregistrement photo, vido ou audio. Pour les locaux sensibles, le centre nutilise pas un systme complmentaire de vidosurveillance cohrent et complet contrlant tous les mouvements de personnes l'intrieur des locaux sensibles et permettant de dtecter des anomalies dans les comportements.
Il nexiste pas une procdure dcrivant en dtail les oprations mener, avant appel la maintenance, pour empcher que celle-ci ait accs aux donnes critiques (cls de chiffrement ou de protection de rseau, configurations des quipements de scurit,etc.).
Il nexiste pas une procdure et une clause contractuelle vis--vis du personnel de maintenance (interne et externe), spcifiant que tout support ayant contenu des informations sensibles doit tre dtruit en cas de mise au rebut.
Les personnes susceptibles de travailler en dehors des locaux de l'entreprise ne reoivent pas une sensibilisation et une formation sur les mesures appliquer pour protger les documents utiliss, leurs systmes et les donnes qu'ils contiennent.
52
Chapitre 3
Les actions mener par le management en cas d'attaque par des codes malveillants tel que les alerte, le dclenchement de processus de gestion de crise,etc. ne sont pas dfinis.
Il nexiste pas un plan de sauvegarde, couvrant l'ensemble des configurations du rseau tendu, dfinissant les objets sauvegarder et la frquence des sauvegardes. Il nexiste pas un document dfinissant les rgles gnrales appliquer en ce qui concerne la protection des moyens et supports de stockage, de traitement et de transport de l'information tel que les quipements de rseau et de travail, les systmes, les applications, les donnes,etc. et les conditions requises pour l'attribution, la gestion et le contrle des droits d'accs.
Il nexiste pas un document dfinissant les rgles appliquer en ce qui concerne l'exploitation des ressources informatiques tel que les rseaux, les serveurs,etc., des services de communication lectronique.
Il nexiste pas un document dfinissant les procdures de scurit additionnelles appliquer en ce qui concerne le tltravail. Pas de mis en place un service de signature lectronique. Absence dune analyse approfondie des vnements ou succession d'vnements pouvant avoir un impact sur la scurit tel que les connexions refuses, les routages, les reconfigurations, les volutions de performances, les accs des informations ou des outils sensibles,etc.
Absence dune surveillance en temps rel ou dclanchement dalerte, contre tout accs illicite sur le rseau tendu, par le personnel. Il nexiste pas un archivage de tous les lments ayant permis de dtecter une anomalie ou un incident. Pas de Traitement des incidents du rseau tendu et rseau local. Il nexiste pas une quipe accessible en permanence, charge de recueillir les appels lis au rseau tendu et de signaler et d'enregistrer tous les incidents. Les procdures dexploitation, sauvegarde ne sont pas documentes, tenues jour et disponibles pour tous les utilisateurs concerns. Absence de processus de sparation des tches pour rduire les occasions de modification ou de mauvais usage non autoris ou involontaire des biens du centre. Absence des procdures pour la gestion des supports amovibles. La scurit des informations et des logiciels changs au sein du centre nest pas maintient.
53
Chapitre 3
Contrle daccs
Inexistence dune procdure formelle et crite denregistrement et de dsinscription des utilisateurs destine accorder et supprimer laccs tous les systmes et services dinformation. Absence dune politique, de gestion des droits daccs au rseau local, de gestion des droits privilgis sur les quipements du rseau et de gestion des droits daccs aux zones de bureaux, sappuyant sur une analyse pralable des exigences de scurit. Lattribution de mots de passe nest pas ralise dans le cadre dun processus formel. Absence des bonnes pratiques de scurit lors de la slection et de lutilisation de mots de passe par les utilisateurs. Manque dune politique formelle du bureau propre pour les documents papier et les supports de stockage amovibles, et une politique de lcran vide par le verrouillage de lcran par un mot de passe pour les moyens de traitement de linformation. Absence dune procdure de gestion des profils. Absence dune note ou document mis la disposition du management prcisant les devoirs et responsabilits du personnel quant l'utilisation, la conservation et l'archivage des informations et la protection du secret. Absence dun document dfinissant les rgles appliquer en ce qui concerne l'exploitation des lectronique. Le processus de prsentation par l'utilisateur de son authentifiant ne garantit pas son inviolabilit. Absence d'une liste prcise, tenue jour, et dun contrle des paramtrages de scurit et rgles de configuration avant toute mise en exploitation d'une nouvelle version dun logiciel. ressources informatiques des services de communication
54
Chapitre 3
Conformit
Absence des procdures appropries visant exigences garantir la conformit avec les lutilisation des
logiciels propritaires Manque des procdures pour protger les enregistrements importants de la perte, destruction et falsification conformment aux exigences lgales, rglementaires et aux exigences mtier. Absence dun document prcisant les exigences, les responsabilits et les procdures appliquer afin de protger les archives importantes du centre. Absence dun document dfinissant les rgles gnrales appliquer en ce qui concerne la protection des sites vis--vis de lextrieur, les conditions requises pour accder chaque site depuis lextrieur et la protection des locaux sensibles. Absence dun document dfinissant les rgles appliquer en ce qui concerne la protection des moyens et supports de stockage.
55
Chapitre 3
Absence dun document dfinissant les rgles appliquer en ce qui concerne lexploitation des ressources informatiques. Absence dune vrification de la conformit technique (des tests priodiques de pntration du rseau et des audits techniques spcialiss approfondis).
3.8 Conclusion
Dans ce chapitre, on a essay de prsenter les diffrentes tapes de laudit
organisationnel et physique. Dabord, on a commenc par la ralisation du questionnaire appropri qui est constitu de 9 domaines de scurit. Ensuite, on a pass vers la norme ISO 17799 : 2005 pour dterminer le niveau de maturit du systme audit. Enfin, en se basant sur une analyse des questionnaires et des rsultats fournis, on a pu dgager les vulnrabilits identifies au niveau du systme audit. Dans le chapitre suivant, on va focaliser ltape danalyse des risques.
56
Chapitre 4
Chapitre 4
4.3
choix entre plusieurs actions possibles. En matire de la scurit informatique, au lieu quon cherche optimiser les gains, lobjectif est de chercher minimiser les risques de pertes. Les enjeux de la scurit ne sont pas daccroitre les opportunits de gains mains de limiter les
57
Chapitre 4
possibilits de pertes. Cest dire que les enjeux de la scurit sont vus comme des consquences dvnements venant perturber le fonctionnement voulu de lentreprise ou de lorganisme. Alors, le souci majeur des managers de scurit est de raliser la juste proportion entre les moyens investis dans la scurit et la hauteur des enjeux de cette mme scurit. Cest dire, quil est fondamental davoir une connaissance des enjeux de la scurit et quune analyse des enjeux mrite un trs haut niveau de priorit et une mthode dvaluation rigoureuse comme la mthode MEHARI.
58
Chapitre 4
reprsente les processus majeurs de chaque direction et une description de chaque processus comme ils sont dfinis dans les documents du centre.
59
Chapitre 4
Description
-prsider le conseil de ltablissement et assurer lhomognit entre les diffrentes directions.
DEDI (direction dtude et de dveloppement informatique) DERSS (direction de lexploitation, des rseaux, de la scurit et de soutien)
-Ce processus a pour objectif de matriser et suivre les activits de conception et de dveloppement des applications
applications informatiques informatiques. PRR/01 -installation et assistance des utilisateurs PRR/02 -Ce processus a pour objectif de fournir et mettre en place les Applications dveloppes et testes par le CIMSP au profit des utilisateurs des tablissements de la sant et d'assurer le suivi d'exploitation. -assistance sur site PRR/10 -Ce processus fait du correspondant le point de contact unique entre les utilisateurs du systme informatique du site hospitalier et la direction dexploitation du CIMSP de faon garantir un support de premier niveau pour lexploitation de linfrastructure informatique et un relais pour les supports de niveaux suprieurs. -tude technique concernant les rseaux et les quipements informatiques PRS/04 -Ce processus concerne lassistance, le conseil, les tudes techniques relatives aux rseaux et aux acquisitions des quipements informatiques, ainsi que leurs mise en place et leurs exploitation sur le compte du centre informatique et des tablissements relevant du ministre de la sant publique. -maintenance technique des quipements informatiques PRS/03 -Ce processus concerne la maintenance technique des quipements du centre informatique et des tablissements relevant du ministre de la sant publique et ceci latelier du CIMSP, par tlmaintenance ou bien sur site. -gestion des accs internet -ce processus a pour objet de rpondre aux demandes des PRR/03 clients portant sur laccs linternet.
-approvisionnement PRS/02
60
Chapitre 4
Suite une demande du responsable, mon systme cible o on va raliser notre audit, va tre la direction de lexploitation, des rseaux, de la scurit et de soutien (DERSS) alors, les processus majeurs et les activits ainsi que leurs description, sont illustrs dans le tableau ci dessous :
61
Code
Activits
-affectation du correspondant au site
Description de lactivit
-assurer une proximit de services au site hte de faon veiller de plus prs lexcution du contrat de niveaux de service et fournir une assistance (intervention physique ou tlphoniquement) aux abonns via un point de contact unique et ce, pour toute question ou problme concernant lutilisation et le fonctionnement des produits du CIMSP. - Identification des clients effectifs, et de leurs droits daccs aux fonctionnalits du systme informatis en vue doptimiser la rpartition des ressources entre diffrents utilisateurs et en vue de leur inculquer la politique de scurit qui gouvernera lutilisation des quipements informatiques et qui limitera les accs ceux qui en ont un rel besoin, de faon bien dfinir les responsabilits de chacun des acteurs du systme et de mettre jour, si ncessaire, le niveau et les rgles de scurit de ltablissement.
PRC/102
PRC/103
PRC/104
PRC/105 PRC/106
PRC/107
62
Division
Processus DERSS
Code
PRC/108
Activits
-identification des besoins utilisateurs
Description de lactivit
- Dmarche exploratoire centre sur les clients avec une attitude dcoute afin de bien les comprendre et didentifier leurs besoins implicites ou non dclars pour prparer les futures offre du CIMSP et pour faire voluer celles existantes dans une dmarche damlioration continue.
PRC/109
PRC/110
PRC/111
PRC/112
PRC/113
PRC/114
- Restauration, aussi rapide que possible, du service normal sur site tout en minimisant les effets ngatifs sur la bonne marche des processus mtier impacts et en identifiant les nonconformits dans la fourniture des services rendus aux utilisateurs. -gestion des escalades - Etablissement des rgles de diffusion et de routage de linformation relative une demande utilisateur pour permettre aux personnes dsignes, en fonction du niveau durgence de la demande, de suivre lvolution de la situation et de prendre les dcision ncessaires et adquates pour lamlioration de la ractivit et pour une complmentarit lassistance de premier niveau. -gestion des changements - Grer efficacement et rapidement tous les changements affectant les lments de la configuration informatique, afin den minimiser les impacts ngatifs et consquences sur les processus mtier et dabsorber les changements de ces derniers en favorisant lalignement avec les besoins utilisateurs et en rduisant la probabilit dapparition des incidents. -laboration dune enqute de satisfaction - Recueil des commentaires, jugement et perceptions des clients utilisateurs dans un site quant aux services informatiques fournies par le CIMSP. -revue mensuelle des niveaux de service - Suivi priodique des indicateurs de performances du service desk et du degr de conformit au contrat des niveaux de service. -analyse des demandes -la demande du client doit tre analyse avant lautorisation de lintervention, afin de filtrer et de rduire les activits inutiles ou interdites et pour appliquer la politique du CIMSP en matire de service surtout concernant les conventions avec les tablissements sous-tutelles.
PRC/16
63
Division
Processus DERSS
Code
PRC/17
Activits
-intervention curative
Description de lactivit
-description des dmarches appliques par la CIMSP en matire dexcution des interventions curatives internes par lquipe du CIMSP ou externes par des sous-traitants, et ceci, sur les quipements du parc informatique du CIMSP ou bien des parcs informatiques des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien latelier du CIMSP -description des dmarchs appliques par le CIMSP en matire dexcution des interventions prventives internes par lquipe du CIMSP ou externe par des sous-traitants, sur les quipements du parc informatique du CIMSP ou bien des parcs des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien au sige du CIMSP. - elle permet de prciser les diffrents types de relations entre les tablissements de sant et le CIMSP. Le CIMSP assure l'assistance auprs des utilisateurs par le biais des correspondants informatique, ces derniers disposent des outils de communication informatique ou classique. Cette procdure a pour objectif la gnralisation des usages des services informatiques et plus gnralement daccompagner le changement. - Lobjectif de la procdure Evaluation des services CIMSP est dvaluer la qualit des services informatiques au niveau des Etablissements sanitaires. - Le test a pour objectifs de dtecter d'ventuels carts entre le comportement attendu et le comportement observ au cours des tests, ce qui limine un grand nombre des anomalies prsentes dans le logiciel et d'obtenir la confiance ncessaire avant l'utilisation oprationnelle. - elle a pour objectif daccompagner le changement et notamment les modifications apportes aux applications pour une meilleure exploitation du systme dinformation. Elle dfinie la relation entre les diffrents services de la direction dexploitation et de la maintenance, le service de formation et la direction dtude et de dveloppement Informatique.
PRC/18
-intervention prventive
PRC/11
PRC/12
PRC/32
PRC/10
64
Processus DERSS
-tude technique concernant les rseaux et les quipements informatiques.
Code
Activits
Description de lactivit
-maintenance
technique
des PRC/16
quipements informatiques
PRC/17
-intervention curative
PRC/18
-intervention prventive
-la demande du client doit tre analyse avant lautorisation de lintervention, afin de filtrer et de rduire les activits inutiles ou interdites et pour appliquer la politique du CIMSP en matire de service surtout concernant les conventions avec les tablissements sous-tutelles. -description des dmarches appliques par la CIMSP en matire dexcution des interventions curatives internes par lquipe du CIMSP ou externes par des sous-traitants, et ceci, sur les quipements du parc informatique du CIMSP ou bien des parcs informatiques des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien latelier du CIMSP -description des dmarchs appliques par le CIMSP en matire dexcution des interventions prventives internes par lquipe du CIMSP ou externe par des sous-traitants, sur les quipements du parc informatique du CIMSP ou bien des parcs des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien au sige du CIMSP.
-tude technique concernant les rseaux et les quipements informatiques. -maintenance technique des PRC/16 -analyse des demandes -la demande du client doit tre analyse avant lautorisation de lintervention, afin de filtrer et de rduire les activits inutiles ou interdites et pour appliquer la politique du CIMSP en matire de service surtout concernant les conventions avec les tablissements sous-tutelles. -description des dmarches appliques par la CIMSP en matire dexcution des interventions curatives internes par lquipe du CIMSP ou externes par des sous-traitants, et ceci, sur les quipements du parc informatique du CIMSP ou bien des parcs informatiques des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien latelier du CIMSP
quipements informatiques.
PRC/17
-intervention curative
65
Division
Processus DERSS
Code
PRC/18
Activits
-intervention prventive
Description de lactivit
-description des dmarchs appliques par le CIMSP en matire dexcution des interventions prventives internes par lquipe du CIMSP ou externe par des sous-traitants, sur les quipements du parc informatique du CIMSP ou bien des parcs des tablissements sous-tutelles, lintervention peut tre sur site du client, par tlmaintenance ou bien au sige du CIMSP. -assurer la gestion internet pour rpondre aux exigences des clients dans les brefs dlais. -tablir un contrat avec ltablissement pour lui fournir des services internet et email. -cration, modification et remplacement des comptes internet et email. -configuration des nouveaux comptes internet et email sur les quipements. -Ltude consiste dterminer larchitecture rseau mettre en place et les diffrents quipements associs. cette tape peut se faire pour la configuration dune nouvelle connexion ou la correction des failles de scurit ou lajout dun composant rseau. -Il sagit de sassurer du bon fonctionnement des quipements et service rseaux. Cette activit se fait quotidiennement, en cas de dtection danomalie lquipe intervient pour la maintenance. -La scurit concerne deux aspects : Mise en place de la politique de la scurit Supervision de la scurit Assurer la scurit des services et des donnes changes entre les utilisateurs (lintgrit, la confidentialit et la disponibilit).
PRC/31
-Gestion des pannes rseaux -tablissement des conventions pour laccs internet et email -gestion des comptes internet et email
PRC/13
PRC/14
-Supervision rseau
-Rsolution des problmes daccs aux services fournis -Suivi des projets tlmdecine -La maintenance regroupe les actions de dpannage et de rparation, de rglage, de rvision, de contrle et de vrification des quipements matriels et immatriels.
66
Division
Processus DERSS
Code
Activits
Description de lactivit
-Configuration (conception) et mise en place de -Il sagit de la mise en place effective de larchitecture dj larchitecture rseau tudie au niveau de lactivit Etude de larchitecture rseau . cest la mise en place des solutions de communication. Cette tape peut se faire soit distance (chez lutilisateur) soit au centre. elle comporte ltude, le suivi et validation de cblage.
67
Chapitre 4
RQ : le tableau 4.3 comporte les activits formelles du centre, ces activits sont rdiges dans des procdures crites mais ca nempche quil existe des activits qui sont pratiques rellement dans la division de rseau et de la scurit qui sont pas couvertes par les procdures officielles du CIMSP, ils appartiennent aucun processus des processus de la DERSS (Non Dfinis), et des activits qui sont documents mais qui sont pas respectes.
-Indisponibilit de laccs internet -Mcontentement des clients -Inaccessibilit la salle machine et aux serveurs -Indisponibilit du correspondant -Perte de savoir faire sur site -Glissement de lactivit et mcontentement des clients. -Retarde de prise en charge et de rponse et mcontentement des clients
-Gestion des incidents -Application non disponible -Documentation inexacte -Perte de la fiche dincident -Gestion des escalades -Application non disponible -Indisponibilit ou manque de connaissance ou dexprience du niveau en cours. -Revue mensuelle des -Absence dun planning niveaux de service
-Parc non maitris, intervention sur des postes non dclars et non respect des procdures formelles
68
Chapitre 4
-Installation des applications informatiques -Tests et validation des applications -Assistance des utilisateurs -Supervision rseau
-Manque de ressource humaine pour effectuer les installations -Absence dun planning
-Absence dun planning -Mcontentement des clients -Inaccessibilit du produit tester -Absence dune fiche de livraison pour test -Indisponibilit du rseau -Mcontentement des clients et tlphonique -Indisponibilit des outils de supervision -Absence du personnel correspondant ou surcharge par une autre activit -problme de connectivit (LS CIMSP/BBN en panne) -Problme dlectricit -Manque des personnels qualifis pour faire ltude -Absence des moyens de transport vers le site -Manque des donnes (exemple absence du plan du site) abandonnement de lapplication -Interruption de lactivit de supervisionQQQA
-Interruption de lactivit de ltude -Deux consquences : Faire un travail supplmentaire (tablir un nouveau plan) et par consquent perte du temps et perte dargent (faire recours un cabinet externe) -Architecture tablie mais manquante -Architecture non mise en place
-Manque de matriels ou logiciels -Problme avec le facteur externe mise en place de (problme LS Tlcom) larchitecture rseau -Non-conformit du cahier de charge -Indisponibilit doutil -Absence des moyens de transport vers le site -Absence de coordination entre CIMSP et le client -Supervision scurit -Manque de conscience ct utilisateurs rseau -Indisponibilit des moyens de scurit -Manque de procdure de scurit -Arrt des quipements et des logiciels de scurit -Assistance technique -Pas de disponibilit des outils de communication fiables -Manque de comptences -Configuration et
-Arrt des services non protger (Internet, email) -Continuit des services sans protection
-Insatisfaction du client
69
Chapitre 4
-Manque de personnel -Suivi des projets tlmdecine -Panne connexion externe -Panne unit centrale -Panne logiciel -Problme dinterconnexion entre la station et les quipements mdicaux -Manque des quipements mdicaux -Manque des quipements informatiques (camra, IP,etc.) -Indisponibilit de lapplication gestion des pannes -Indisponibilit du personnel -Lactivit tlmdecine est interrompue qui engendre un arrt de transfert de fichier -Pas de nouveaux examens enregistrer -Pas de visioconfrence
-Maintenance matriel -Problme de comprhension des -Problme non rsolu rclamations rseau -Dpendance de partenaire (problme de localisation des pannes
Tableau 4.3.Dysfonctionnements et consquences des activits de la DERSS.
70
Chapitre 4
amputer significativement le rsultat de lexercice, sans que les actionnaires se dgagent massivement. En termes dimage, on considrera souvent ce niveau une perte dimage dommageable quil faudra plusieurs mois remont ; mme si limpact financier ne peut tre volu avec prcision. Niveau 2 important : Il sagit l de dysfonctionnements ayant un impact notable au niveau des oprations de lentit, de ses rsultats ou de son image, amis restant globalement supportables. Seule une partie limite du personnel serait trs implique dans le traitement des consquences du dysfonctionnement avec un impact significatif sur les conditions de travail. Niveau 1 non significatif : A ce niveau, les dommages encourus nont pratiquement pas dimpact sur les rsultats de lentit ni sur son image, mme si certains personnes sont fortement impliques dans le rtablissement de la situation dorigine.
71
Sous processus
Dysfonctionnements Non significatif -destruction des donnes -Effacement des donnes rcentes (moins dun mois) Important
-Effacement des donnes dun -Effacement des donnes mois dune anne
-Indisponibilit du logiciel de -Indisponibilit du logiciel sauvegarde<1semaine de sauvegarde durant 1 mois -pendant plus quune semaine
-Indisponibilit temporaire de laccs -Indisponibilit du rseau internet WAN pour plus de 1 jour -indisponibilit des serveurs pour un jour -indisponibilit des serveurs pour plus quun jour
-inaccessibilit la salle machine -indisponibilit des serveurs pour et aux serveurs quelques heures
-indisponibilit du correspondant -Indisponibilit durant moins de 1 -Indisponibilit>1jour sur site jour -application indisponible -Indisponibilit <1jour -Indisponibilit de lapplication des incidents pour 1 semaine -Indisponibilit de lapplication des incidents pour 1 mois
-documentation inexacte
-indisponibilit du service pendant une priode de temps -indisponibilit du service pendant une priode de temps -Indisponibilit <1jour -Indisponibilit de lapplication des incidents pour 1 semaine -Indisponibilit de lapplication des incidents pour 1 mois
- application indisponible
72
Sous processus
Dysfonctionnements -indisponibilit ou manque de -retard dintervention ne dpasse pas connaissance ou dexprience du une heure niveau en cours.
-indisponibilit dune base de donnes de gestion des configurations -manque de ressource humaine pour effectuer les installations -absence dun planning
-retard pour 1 ou 2 jours -manque dvaluation des niveaux de service pour un mois -manque dvaluation pour une anne
-absence dune fiche de livraison -retarder lactivit de test pour une autre fois pour test -assistance des utilisateurs -indisponibilit du rseau tlphonique -Dpassement du dlai -Problme daccs aux BD -indisponibilit du rseau tlphonique -dlai< 3jours -Inaccessible pendant <1 jour -dlai> 3jours -Entre 1 jour et 3 jours -dlai> 3 jours -dlai>1mois -dlai> 3jours -dlai> 1 mois
-Pas denvoi des login et PW aux -dlai< 3 jours clients -gestion des pannes rseau -Pas denregistrement des nouvelles pannes
-supervision rseau
-priode<30 jours et il y a pas des -priode>30 jours, La liste pannes critiques des pannes pendant ce mois nest pas identifier par consquent, les pannes critiques ne seront plus traiter temps -Indisponibilit des fichiers log>1 -Un outil est hors service -Toutes les applications mois pendant 1 jour sont est hors service >1 j
73
Sous processus
Dysfonctionnements
Gravit
-Absence de personnel ou surcharge -Pb de connectivit -Pb matriel -suivi des projets tlmdecine -Interruption de lactivit -Pas de nouveaux examens enregistrs -Configuration (conception) et mise en place de -Retard de ltablissement de larchitecture rseau larchitecture -La non-conformit avec larchitecture tudie -priode<1 semaine
-dlai>1semaine
-dlai= > 1jour -dlai= > 1jour -En cas de non urgence -En cas de non urgence
-dlai= >2 jours -dlai= >2 jours -En cas durgence -En cas de non urgence
-priode>10 jours
-priode>30 jours
-priode<1 jour
-Retard dans la maintenance qui -priode> 1 jour + il ny a pas darrt -priode> 5 jours + arrt des -priode>30 jours quelque au niveau des services entraine un retard dans les services importants soit le service services correspondants
-Indisponibilit des moyens de scurit -Arrt des services non protgs -Arrt des services de scurit au -Arrt des services de scurit (Internet, email) niveau dun poste de travail (antivirus pour un tablissement c..d. dsinstall, firewall dsactiv ) manque dACL au niveau du routeur -Continuit des services sans protection -Arrt de la scurit globale (au niveau du centre) <1min -Continuit pour les postes de travail >1jour -Nbre de clients>50% -Nbre de clients=100%
-assistance technique
74
Chapitre 4
75
Disponibilit
Intgrit
Exploitation
Oui
Romdhane Khoueja
OSSEC OSSIM
Rseau Rseau
Non Non
PhpMyadmin
Exploitation
Non
Romdhane Khoueja
Centreon
Scurit
Oui
Faouzi Laarouchi
GLPI(Gestionnaire libre de parc informatique) est un logiciel de gestion de parc informatique et de gestion des services d'assistance. Cest une application qui gre les congs du personnel du CIMSP. Cest un systme de dtection dintrusions. Cest un systme de management de scurit de linformation, il permet ladministration du rseau. Grer les bases de donnes de toutes les applications du CIMSP. Un logiciel de surveillance et de supervision rseau, fond sur le moteur de rcupration d'information libre Nagios.
4 4 4
4 4 4
Confidentialit 3 3 3 2 2 4 4 2 2 4 3 4 3
Type
Service
Officialis
Responsable
description
4 4
76
Nagios
Scurit
Oui
Faouzi Laarouchi
Back UP pc
Exploitation
Non
Romdhane Khoueja
Syslog NG
Rseau
Non
Wajih Zouaoui
Nino Gestion des pannes Gestion des comptes Gestion des stratgies GMAO
Wajih Zouaoui Makram Bouabdallah Makram Bouabdallah Makram Bouabdallah Adel Tmar
Une application permettant la surveillance systme et rseau. Elle surveille les htes et services spcifis, alertant lorsque les systmes vont mal et quand ils vont mieux Un logiciel libre de sauvegardes informatiques. Il est utilis pour sauvegarder sur disque un ensemble de postes clients et de serveurs. Syslog-ng est une implmentation du protocole syslog pour les architectures de type UNIX. Supervision rseau Grer les pannes rseaux Grer les comptes emails et internet Grer les stratgies de sauvegarde Gestion de la Maintenance Assiste par Ordinateur
Confidentialit 2 4 2 4 3 4 2 4 4 3 3 3 4 3 2
Type
Service
Officialis
Responsable
77
CAPEX
Tlmdecine
Non
Wajih Zouaoui
MRTG
Rseau
Non
Assurer les fonctionnalits de tlmdecine. Multi Router Trafic Grapher : crer des graphiques sur le trafic rseau en utilisant le protocole SNMP pour interroger des quipements rseaux.
Confidentialit 2 4 4 2 2 3 3 2 1
Type
Service
Officialis
Responsable
Rseau
Oui
Makram Bouabdallah
Rseau
Oui
Makram Bouabdallah
Rseau
Oui
Serveur de messagerie principal, contenant les botes e-mail et la base de donnes des utilisateurs. Serveur de messagerie secondaire, contenant les botes e-mail et la base de donnes des utilisateurs. Rception et filtrage des emails. Serveur antivirus local.
DERSS
Oui
78
Serveur WSUS
DERSS
Oui
Neji Chihaoui
Serveur de mise jour Microsoft (contient les correctifs et les services pack pour les produits Microsoft). Serveur antivirus pour les sites distants. Serveur de versions. Serveur de supervision de scurit du rseau de la sant.
Confidentialit 2 2 4 3 1 4 2 2 3 3 2 3 2 3 3
Type
Service
Officialis
Responsable
Rseau
Non
Wajih Zouaoui
Rseau
Oui
Brahim Hamdi
Rseau
Oui
Brahim Hamdi
Rseau
Oui
Brahim Hamdi
Serveur de supervision du rseau RNS + serveur Syslog NG. Proxy pour les tablissements de la sant + Authentification Mysql + journal des accs Proxy pour les tablissements de la sant + Authentification Mysql + journal des accs Proxy pour les tablissements de la sant + Authentification Mysql + journal des accs
79
Type
Service
Officialis
Responsable
DERSS
Oui
Romdhan Khouaja
DERSS
Oui
Houssem Hajri
DERSS
Oui
Houssem Hajri
DERSS
Oui
Zied Dhouib
Applications dexploitation et contrle des tats des serveurs clients et les tests applicatives + la sauvegarde Sites web + bases des donnes + GLPI et ses bases de donnes. Les applications du bureau dordre et DAAF Permet linterconnexion entre le CIMSP et les clients distants (LS). Garantit linterconnexion entre le CIMSP et lATI. Garantit linterconnexion entre le CIMSP et le CNI. Garantit le bon fonctionnement du LAN de la CIMSP.
Rseau
Rseau Rseau
4 4
Rseau
80
Intgrit
Chapitre 4
2 3 3 1 1 2 2 1
3 3 3 3 4 3 3 3
3 3 3 2 2 3 3 2
2 3 2 2
3 3 4 4
3 3 3 3
81
Chapitre 4
4.4
peut rsumer cette dmarche par les lignes suivantes : Chaque situation de risque peut tre value par une potentialit intrinsque et un impact intrinsque, en absence de toute mesure de scurit. Ces deux derniers sont valuables. Des mesures de scurit peuvent venir rduire ce risque par des mesures significatives de rduction de risque. Ces mesures dattnuation de risque sont valuables. A partir de ces lments, on va dterminer la potentialit et limpact rsiduel et den dduire une gravit de risque. La figure 4.2 prsente ces diffrentes tapes [18].
82
Chapitre 4
La potentialit du risque qui reprsente, en quelque sorte, sa probabilit d'occurrence, bien que cette occurrence ne soit pas modlisable en termes de probabilit. Cette potentialit est fonction du contexte et des mesures de scurit en place. L'impact du risque sur l'entreprise reprsente la gravit des consquences directes et indirectes qui dcouleraient de l'occurrence du risque.
a) Lexposition naturelle
Ce facteur diffre dune entreprise une autre pour plusieurs raisons : Lactivit de lentreprise, son contexte conomique, social, gographique, ce qui fait que chacune est plus ou moins expose chaque type de risque. On value lexposition naturelle en absence de toute mesure de scurit. Le tableau 4.7 de lexposition naturelle reprsente lvaluation des certains vnements qui sont : les accidents, les actes volontaires malveillants, les actes volontaires non malveillants et les erreurs. Chaque type dvnement comporte plusieurs vnements quon a valu la potentialit de leur survenance dune chelle de 1 4.
83
Chapitre 4
valuation de l'exposition naturelle
valuation de la potentialit des vnements suivants
P=1 Trs P=2 Plutt
im probable im probable
Accidents
AC01 AC02 AC03 AC04 AC05 AC06 AC07 AC08 AC09 AC10 AC11 AC12 AC13 AC14 AC15 AC16 AC17 AC18 AC19 AC20 Court-circuit au niveau du cblage ou d'un quipement. Chute de la foudre Incendie naissant dans les locaux : corbeille papier, cendrier, etc. Accidents dus l'eau ou des liquides (fuite d'une canalisation, liquides renverss accidentellement, etc.). Inondation cause par une canalisation perce ou creve Inondation cause par la crue d'une rivire ou une remonte de la nappe phratique Inondation cause par l'extinction d'un incendie voisin, Coupure d'nergie de longue dure pour une cause extrieure Indisponibilit totale des locaux : Interdiction d'accs dcide par la prfecture (risque de pollution, d'meute, etc.) Disparition de personnel stratgique Panne d'un quipement de servitude (alimentation lectrique, climatisation, etc.) Panne matrielle d'un quipement informatique ou tlcom Dfaillance matrielle d'un quipement informatique ou tlcom impossible rsoudre par la maintenance, ou indisponibilit du prestataire Blocage applicatif ou systme impossible rsoudre par la maintenance, pour cause de disparition de la SSII ou du fournisseur. Saturation accidentelle de ressources Accident d'exploitation conduisant une altration de donnes Effacement de donnes ou de configurations, par un virus Perte accidentelle de fichiers de donnes par un automate Perte accidentelle de fichiers de donnes par vieillissement, pollution, Perte accidentelle de fichiers de donnes due une panne d'quipement (crash de disque dur) Vandalisme depuis l'extrieur : tir d'armes lgres ou lancement de projectiles depuis la rue, Vandalisme intrieur : petit vandalisme par des personnes autorises pntrer dans l'tablissement (personnel, sous-traitants, etc.). Terrorisme sabotage par des agents extrieurs : explosifs dposs proximit des locaux sensibles, Saturation rptitive malveillante de moyens informatiques par un groupe d'utilisateurs Saturation du rseau par un ver Effacement volontaire (direct ou indirect) de support de logiciel Altration malveillante (directe ou indirecte) des fonctionnalits d'un logiciel ou d'une fonction d'un programme bureautique (Excel ou Access) Entre de donnes fausse ou manipulation de donnes Accs volontaire des donnes ou informations partielles et divulgation Dtournement de fichiers ou vol de support de donnes Effacement volontaire (direct ou indirect), vol ou destruction de support de programmes ou de donnes Vol de micro-ordinateur portable en dehors des locaux de l'entreprise. Effacement malveillant de configurations rseau Effacement malveillant de configurations applicatives ou systmes Dtournement de code source de programmes Espionnage tatique ou de maffias (demandant de trs gros moyens) Vol d'quipement informatique ou tlcom, l'intrieur des locaux X X X X x X X X X x x x x X X x x 3 3 2 2 2 1 2 3 1 3 3 4 1 3 3 3 3 3 2 4
Erreurs
ER01 ER02 ER03 ER04 ER05 ER06 ER07 Dgradation involontaire de performances, l'occasion d'une opration de maintenance Effacement accidentel de logiciel par erreur humaine Altration accidentelle des donnes pendant la maintenance Erreur pendant le processus de saisie, Bug dans un logiciel systme, un middlew are ou un progiciel Bug dans un logiciel applicatif Erreur lors de la modification de fonctions de feuilles de calcul ou de macro-instructions, 3 3 3 4 4 4 3
84
Status-Expo
Chapitre 4
La Potentialit est ainsi une valuation globale dun niveau de probabilit, qui tient compte dune potentialit intrinsque, mesure par lexposition naturelle, et de deux facteurs de rduction du risque, la dissuasion et la prvention. On utilise pour cette valuation les grilles de la base des connaissances MEHARI.
85
Chapitre 4
a) Limpact intrinsque
Lors d'une analyse de risque MEHARI, il est fait appel la notion d'impact intrinsque d'un scnario qui est l'valuation des consquences de l'occurrence du risque, indpendamment de toute mesure de scurit. On a valu limpact intrinsque directement suite un entretien avec les responsables, cette valuation est une valuation maximaliste des consquences du risque, en dehors de toute mesure de scurit. Le tableau 4.8 prsente limpact intrinsque.
86
Chapitre 4
D
4 3 3 3 4 3 2 3
I
4 3 3
C
4 3 3 3 3 4 4 4
4 4 4
3 3 3 2 3 3 3 3 3 3 2 3 3 3 3
3 3 4 3 4 4
3 3
4 4 3 3
3 4 3 2
87
Chapitre 4
Limpact est ainsi une valuation globale dun niveau de consquences qui tient compte de limpact intrinsque et de trois facteurs dattnuation du risque, la protection, la palliation et la rcupration. On utilise pour cette valuation les grilles de la base de connaissance MEHARI. La figure 4.4 reprsente les facteurs de limpact.
88
Chapitre 4
= . . (4 )
Dans laquelle : = Besoin de service pour le service i face au scnario k = Coefficient dinfluence du service i pour le scnario k b = Base gnrale paramtrable = Gravit du scnario k 89
Chapitre 4
1687459,84 1329489,92 930611,2 785607,68 661504 603914,24 524288 442368 430858,24 425328,64 334936,96 312616,96 237332,48 234946,56 223833,6 209715,2 135987,2 130905,6 119664,64 85483,52 76195,84 53248 52362,24 47810,56 31006,72 16384 967,68 512 0
Contrle d'accs aux locaux sensibles Contrle des droits d'administration Protection de l'information crite ou change (tlphone, messagerie) Scurit des donnes lors des changes et des communications sur le rseau local Assurances Paramtrage et contrle des configurations matrielles et logicielles Scurit des donnes lors des changes et des communications Contrle des accs aux zones de bureaux Contrle d'accs aux systmes et applications Continuit de service de l'environnement de travail Contrle, dtection et traitement des incidents du rseau local Scurit des procdures d'exploitation Scurit de l'architecture rseau et continuit du service Contrle, dtection et traitement des incidents sur le rseau tendu Contrles d'accs sur le rseau local de "donnes" Confinement des environnements Contrle des connexions sur le rseau tendu Scurit de l'architecture du rseau local Protection des postes de travail Contrle d'accs physique au site et aux btiments Gestion et enregistrement des traces Scurit de l'architecture Scurit incendie Scurit contre les dgts des eaux Services gnraux Continuit de l'activit Protection de la proprit intellectuelle Respect de la lgislation concernant les rapports avec le personnel et avec des tiers Gestion des ressources humaines
90
1800000
1600000
1400000 Besoin
1200000
1000000
800000
600000
400000
200000
91
Chapitre 4
Analyse des risques Cette reprsentation graphique reprsente les besoins des 29 services de
scurit daprs la mthode MEHARI, les services les plus prioritaires ont un score plus grand, alors le R.S.S.I doit regarder en premier lieu ceux qui ont des grands valeurs. Ceux-ci mritent plus dentretien. Daprs nos rsultats daudit, les services contrle daccs aux locaux sensibles a un score de 1687459.84 cest le service le plus vulnrable pour le CIMSP dans la phase daudit organisationnel et physique.
4.5 Conclusion
Dans ce chapitre, on a conclu la phase de lanalyse des risques. Pendant cette phase, on a adopt deux approches complmentaires : une se base sur une analyse des risques suite une analyse des enjeux du CIMSP et lautre se base sur la base de connaissances de MEHARI. Dans la premire, on a analys les risques partir dune analyse des enjeux. Cette analyse a t ralise suivant une chelle de valeur des dysfonctionnements partir de laquelle on a slectionn les dysfonctionnements les plus importants pour valuer leurs gravits suite une valuation de la potentialit et de limpact. Dans la deuxime approche, on a analys les risques en se basant sur la base de connaissance de MEHARI. On a aussi valu la potentialit et limpact ensuite la gravit des risques dj slectionns partir de la base. Aprs cette tape, on a exprim les besoins de scurit des services pour exposer les services ayant plus de besoins en matire de scurit et qui mritent une mise en uvre des mesures correctives pour neutraliser ce besoin.
92
Chapitre 5
Audit Technique
Chapitre 5
Audit Technique
5.1 Introduction
Aprs la phase de laudit organisationnel et physique, on va entamer la phase de laudit technique qui permet davoir une vue globale de ltat de scurit du SI afin didentifier les vulnrabilits et les failles quil contient. Dabord, on va essayer dauditer larchitecture du systme en focalisant la reconnaissance du rseau et du plan dadressage, le sondage des systmes, le sondage des services et des flux rseau et le sondage des flux rseau, de tester. Ensuite, on va passer laudit des vulnrabilits internes et/ou externe, et larchitecture de scurit existante. Enfin, on va auditer la messagerie interne Lotus notes et le systme dexploitation Unix.
automatiquement et identifier les serveurs et les priphriques utilisant le SNMP et les ajouter aux cartes logiques et physiques. Il permet galement de signaler ltat dun nud spcifique du rseau. Cet outil se distingue par des fonctionnalits supplmentaires comme par exemple la supervision directe de ltat du nud (sil est connect ou pas) et selon son emplacement locale. Pour le sondage systme, on a choisi GFI Languard, cet outil est le plus connu et le plus utilis pour ce type de sondage. On a utilis GFI Languard pour effectuer un audit rapide de scurit sur le rseau en utilisant la rsolution Netbios et DNS des adresses IP car il regroupe des informations enregistres sur les postes de travail telles que les noms dutilisateurs, le systme dexploitation, les sessions en cours, les services installs, les vulnrabilits,etc. Pour le sondage des services rseau, on a choisi Nmap qui est un scanner de ports conu pour dtecter les ports ouverts, les services hbergs et les informations sur le systme d'exploitation d'un ordinateur distant. On a choisi ce logiciel parce quil est devenu une rfrence pour les administrateurs rseaux, car l'audit des rsultats de Nmap fournit des indications sur la scurit d'un rseau en plus, il est libre et gratuit et c'est le meilleur outil pour accomplir cette phase daudit. 93
Chapitre 5
Audit technique
Pour le sondage des flux rseau, on a choisi Wireshark qui est outil permettant deffectuer des captures sur les flux rseau ainsi quune analyse du trafic. Pour laudit des vulnrabilits, on a choisi loutil Retina qui est reconnu comme le scanner de vulnrabilit le plus rapide. Il est capable d'analyser toutes les machines du rseau, tous les types de systmes d'exploitation, les priphriques en rseau. Il identifie les points faibles et les corrige par des recommandations. Retina est capable de reprer non seulement les dficiences rpertories mais galement certaines qui ne le sont pas encore. Cet outil se distingue par une interface simple manipuler, des rapports des vulnrabilits et des recommandations complets ainsi que des statistiques et des reprsentations graphiques significatives.
94
95
Chapitre 5
Audit Technique
Description de larchitecture : la figure 5.1 dcrit larchitecture globale du rseau CIMSP. Le centre utilise le rseau Ethernet dont la topologie est en toile. Le firewall est redondant, ils sont les deux des produits Cisco PIX 525. Le CIMSP utilise les six pattes du firewall reliant les diffrents sous rseaux. On va dcrire les diffrentes pattes une par une. Le premier lien est la patte de outside, elle relie lATI et les clients ADSL au centre. Ces clients sont relis au firewall travers un commutateur HP 2524, ce dernier est reli un autre commutateur Cisco ME 3400 niveau 3, qui connecte lATI travers une connexion fibre optique de 34Mb/s et la sonde IDS du centre. La deuxime patte est la patte partenaires, elle relie la CNI par un routeur Cisco 2600 et une connexion LS de 2 Mb/s, travers un commutateur CATALYST 3060 G de niveau 3. La troisime patte est la patte messagerie, elle relie la premire zone dmilitarise (DMZ), qui contient tous les serveurs messagerie, au firewall travers un commutateur HUAWEI S3525 de niveau 2. Ces serveurs sont les serveurs POP, le serveur POPs, le serveur SMTP et le serveur SMTPin.ils sont tous des produits DELL Power Edge 2600. La quatrime patte est la patte publique, elle relie la deuxime DMZ au firewall travers le commutateur CATALYST. Cette zone contient les 2 serveurs web sur les quels ils sont hbergs les 2 portails du centre, lun est un DELL Power Edge 2850 et lautre est un HP Protant DL 300 GS, elle contient aussi les 2 proxy qui sont ddis aux clients CIMSP et qui sont les 2 des produits de Siemens RX 200, de plus elle comprend 2 serveurs DNS qui sont des produits DELL Precision, 2 serveurs RASIDON, un serveur dapplication GLPI et un serveur Antivirus qui est un Siemens RX 200.La cinquime patte est la patte dadministration, elle relie le poste dadministrateur au firewall travers un commutateur HUAIWEI S3525 de niveau 2. La sixime et la dernire patte est la patte clients, elle relie le LAN du CIMSP et les tablissements sanitaires. Le LAN est reli par le routeur NAT, qui est un Cisco 2800, au firewall travers le commutateur CATALYST. Il existe des tablissements sanitaires qui sont connects au centre par le BackBone travers un routeur HUAIWEI 3600 Series et travers aussi une connexion fibre optique par le commutateur Cisco ME 3400 qui est lui-mme reli au commutateur CATALYST et dautre qui sont relis par des LS de 2Mb/s au routeur Cisco AS 5400. Le BackBone est compos de 7 nuds couvrants tout le territoire national. Enfin, il existe 2 VLANs niveau 1 grs par le commutateur HUAIWEI S3525et 7 VLANs niveau 3 grs par le commutateur CATALYST 3060G.
96
Chapitre 5
Audit Technique
97
Chapitre 5
Audit Technique
Analyse : Suite au rsultat du scan avec loutil Netcrunch, on constate que le CIMSP utilise ladresse 193.95.84.XXX de la classe C pour la connexion publique et utilise ladressage rseau priv 10.94.0.XXX de la classe A et ladresse 172.20.0.XXX de la classe B qui sont les adresses du rseau interne du CIMSP. On remarque que les noms des machines (PC) sont significatifs c.--d. chaque machine prend le nom du personne quil utilise (Nom machine=Nom personne). De plus, on a remarqu linexistence dun un serveur de domaine pour permettant la gestion des comptes utilisateurs. Afin dIdentifier des limites de dcoupage, le tableau 5.1 prsente les six pattes du firewall, les masques rseaux et les adresses dbuts et les adresses fin.
Les pattes firewall Les masques rseaux Patte1 : Outside ATI Patte2 : Partenaires CNI Patte3 : Messagerie Patte4 : Publique Patte5 : Admin Patte6 : Clients LAN CIMSP 10.94.0.3/22 193.95.84.16/29 193.95.84.0/28 172.16.1.100/24 193.95.84.205/28 172.20.0.0/23 10.94.0.XXX 193.95.84.XXX 193.95.84.XXX 172.16.1.XXX 193.95.84.XXX 172.20.0.XXX 10.94.0.1 193.95.84.17 193.95.84.1 172.16.1.0 193.95.84.217 172.20.0.1 10.94.3.0 193.95.84.22 193.95.84.14 172.16.1.254 193.95.84.205 172.20.0.254 193.95.84.224/29 193.95.84.XXX 193.95.84.225 193.95.84.230 @ broadcast @1er hte @ dernier hte
On signale cet gard, que la configuration rseau au niveau des postes nest pas protge contre les modifications. En effet, chaque utilisateur peut changer son adresse ce qui peut gnrer des conflits dadresses. Des attaques de type IP Spoofing peuvent tre facilement menes et gnrer un dni du service; il suffit de remplacer ladresse IP du poste par celle dun quipement critique comme les routeurs, les serveurs,etc. Cette attaque permet la dgradation des performances de lquipement concern voir mme son arrt complet.
98
Chapitre 5
Audit Technique
On a ralis le sondage systme pour toutes les stations connectes au rseau du CIMSP. Pour ce scan on a utilis loutil GFI Languard.
99
Chapitre 5
Audit Technique
100
Chapitre 5
Audit Technique
On a constat que la majorit des machines du rseau CIMSP sont vulnrable et surtout au niveau protection et correctives systme. Puisque aprs ce scan, on a pu dterminer les noms des machines qui sont dans la plupart du temps les noms des utilisateurs, leurs adresses IP ainsi que le systme dexploitation install. Cest grce au service NetBIOS qui activ sur 80% des machines, que on a pu avoir toutes ces informations. Ce service est rserv la rsolution des noms et les ouvertures de sessions. Le NetBIOS permet de faire la correspondance entre ladresse IP et le nom de la machine qui est parfois le nom de lutilisateur lui mme.
101
Chapitre 5
Audit Technique
Il nexiste pas une politique daccs aux partages, laccs ces fichiers nest pas protg par mot de passe dans la plupart des postes de travail. La figure 5.7 reprsente des documents
102
Chapitre 5
Audit Technique
critiques et confidentielles qui sont partags et non protgs ; un accs complets en lecture, criture et suppression sur chaque lment partags.
103
Chapitre 5
Audit Technique
Loutil de scan utilis est Nmap quon a dj prsent. La figure 5.9 est un exemple dun rapport Nmap.
Daprs le rsultat des balayages des ports, on a constat au niveau serveur antivirus CIMSP que le port 445, qui reprsente une porte d'accs potentielle aux systmes qui sont mal protgs, est ouvert et non utilis et le port 12345 qui est utilis pour la configuration de la communication du serveur antivirus trend et les postes clients est ouvert. Ce port doit tre bloqu car il est aussi utilis par le cheval de Troie Netbus. Au niveau proxy CIMSP, le port XHX (10000) est ouvert en principe ce port est utilis par un cheval de Troie (backdoor). De plus, le port TELNET ouvert sur le serveur ministre et le port 25 : SMTP est ouvert dans la plupart des serveurs. Ce port doit tre dsactiv sil nest pas utilis. Le port 119 pour NEWS est ouvert dans la plupart des serveurs donc il faut le dsactiver sil nest pas utilis aussi. Le port 5802 pour Y3KRAT et 6006 pour BadBlood sont des Trojans, ils sont ouverts au niveau serveur sauvegarde et le port 513 pour rlogin est ouvert au niveau serveur sauvegarde et au niveau du serveur ministre car ce protocole est cible des attaques de type IP Spoofing. Dautres ports il faudra dcider de leur utilit: 135 (tcp and udp), 137 (udp), 138 (udp) et 139 (tcp).
104
Chapitre 5
Audit Technique
informations gratuites et qui pourraient tre exploites par des personnes malintentionnes pour mener des attaques. Les protocoles identifis sont les suivants: Cisco Discovery Protocol (CDP) : Il est utilis pour obtenir des adresses des priphriques voisins et dcouvrir leur plate-forme. CDP peut aussi tre utilis pour voir des informations sur les interfaces quun routeur utilise. Internetwork Packet Exchange (IPX) : il est employ pour transfrer l'information sur des rseaux qui fonctionnent avec le systme d'exploitation NetWare. Spanning Tree Protocol (STP) : il permet dapporter une solution la suppression des boucles dans les rseaux ponts et par extension dans les VLANs. Le protocole SNMP le nom de la communaut Public est activ. Il est utilis pour la surveillance du rseau, Un attaquant peut utiliser ce service rseau pour obtenir des informations prcieuses au sujet dues systmes internes, tel que les informations sur les quipements rseaux et les connections en cours.
Chapitre 5
Audit Technique
37.50% , quivalent 12, est le pourcentage des informations daudit et le pourcentage des vulnrabilits avec un niveau de risque moyen, 18.75%, quivalent 6, reprsente le
pourcentage des vulnrabilits avec un niveau de risque bas et 6.25%, quivalent 2, reprsente les vulnrabilits avec un haut niveau de risque.
Cet extrait reprsente les 18 vulnrabilits retrouves sur le serveur dexploitation, on va dcrire 4 vulnrabilits selon leurs degrs de gravit.
106
Chapitre 5
Audit Technique
La vulnrabilit numro 2 : Il s'agit d'une vrification d'information. Retina a dtect la version 1.1 du protocole HTTP sur le systme cible. La vulnrabilit numro 17 : Le compte administrateur sur le systme cible n'est pas renomm. Renommer le compte, permet de le rendre un peu plus difficile pour les personnes non autorises de deviner la combinaison de nom d'utilisateur et le mot de passe privilgis. Cette vulnrabilit est de faible gravit. La vulnrabilit numro 3 : La version 2 du Secure Sockets Layer (SSL) a t dtecte. Ce protocole est connu par des faiblesses cryptographiques ainsi que d'autres vulnrabilits exploitables. Cette vulnrabilit est de moyenne gravit. La vulnrabilit numro 16 : De Multiples vulnrabilits non spcifies ont t identifies dans Samba qui pourrait tre exploits pour excuter des codes arbitraires ou pour provoquer le dmon en panne. Cette vulnrabilit est dun haut niveau de gravit. Nous allons prsenter les vulnrabilits au niveau du serveur CVS :
49.37% , quivalent 39, est le pourcentage des informations daudit, 22.78% ,quivalent 18, reprsente le pourcentage des vulnrabilits avec un niveau de risque moyen, 17.72%, quivalent 14, reprsente le pourcentage des vulnrabilits avec un niveau de risque bas et 10.13%, quivalent 8, reprsente les vulnrabilits avec un haut niveau de risque. Voici les 20 premiers vulnrabilits.
107
Chapitre 5
Audit Technique
Cet extrait reprsente les 20 vulnrabilits retrouves sur le serveur CVS, on va dcrire 4 vulnrabilits selon leurs degrs de gravit. La vulnrabilit numro 2 : Il s'agit d'une vrification d'information. Retina a dtect la version 1.0 du protocole HTTP sur le systme cible. La vulnrabilit numro 3 : Retina a trouv sur cette hte, une partition anonyme et accessible. Note: Linux / Unix qui excute Samba sont galement touchs par cette notification. Cette vulnrabilit est de faible niveau de gravit. La vulnrabilit numro 14 : L'ge maximal de mot de passe est le nombre maximum de jours avant que le mot de passe de lutilisateur expire. Il est recommand aux utilisateurs de changer leur mot de passe au moins une fois tous les 60 jours. Cette vulnrabilit est dun niveau de gravit moyen. La vulnrabilit numro 10 : Un dbordement de tampon existe dans le module mod_rewrite d'Apache qui est utilis pour les demandes fondes sur des expressions rgulires. Un dbordement de tampon existe dans le traitement des requtes LDAP qui peut permettre un attaquant anonyme dexploiter un systme distance et excuter du code arbitraire. Cette vulnrabilit est dun haut niveau de gravit.
108
Chapitre 5
Audit Technique
7.69%, quivalent une seule information daudit, 30.77% ,quivalent 4, reprsente le pourcentage des vulnrabilits avec un niveau de risque bas, 23.08%, quivalent 3,
reprsente le pourcentage des vulnrabilits avec un niveau de risque moyen et 38.46%, quivalent 5, reprsente les vulnrabilits avec un haut niveau de risque. Voici les 13 vulnrabilits analyss par Retina.
Cet extrait reprsente les 13 vulnrabilits retrouves sur un poste de travail, on va dcrire 4 vulnrabilits selon leurs degrs de gravit. La vulnrabilit numro 1 : Il s'agit d'une vrification d'information. Le service (FTP) a t dtect en cours d'excution sur le poste scann. FTP envoie les noms dutilisateur, les mots de passe et les donnes non cryptes. Ce service nest pas utilis par le centre mais il est ouvert sur quelques postes, il fallait sassurer de son utilit. La vulnrabilit numro 5 : la commande VRFY peut conduire un attaquant distant rcuprer le premier et le dernier nom enregistr nimporte quel compte e-mail donn. Cela peut aider un attaquant faire des attaques de type social engineering. 109
Chapitre 5
Audit Technique
La vulnrabilit numro 6 : Le service Telnet est activ sur ce poste de travail. Ce service permet un utilisateur distant de se connecter une machine. Il envoie tous les noms d'utilisateur, mots de passe et les donnes non cryptes. Cependant, il peut tre exploit pour raliser des attaques complexes de type DoS. Le centre utilise le protocole ssh pour les connexions distance pour plus de scurit mais cette politique nest pas applique sur les postes de travail des simples utilisateurs, elle nest appliqu que pour les serveurs et les postes des administrateurs. Cette vulnrabilit est de moyenne gravit.
La vulnrabilit numro 10 : Il existe plusieurs versions dOpenSSH sur ce poste qui peuvent entraner un dpassement d'entier et d'lvation de privilges. Un attaquant peut utiliser cette vulnrabilit pour obtenir un accs administrateur distance n'importe quel serveur utilisant OpenSSH. Cette vulnrabilit est dun haut niveau de gravit.
mesurer la conformit des configurations quipements rseaux, pare-feu, routeurs,etc. avec la politique de scurit dfinie et les rgles de lart en la matire. On va commencer tout dabord par laudit du pare-feu et des rgles de filtrages ensuite on va auditer les routeurs.
110
Chapitre 5
Audit Technique
de filtrages qui permettent de grer laccs ; accepter ceux qui sont autoriss et rejeter ceux qui ne sont pas.
111
Chapitre 5
Audit Technique
112
Chapitre 5
Audit Technique
Chapitre 5
Audit Technique
responsable nous a fournies. Les routeurs et tous les quipements rseau se situent dans la salle machine. Cette salle est protg physiquement et logiquement avec limitation daccs, toute personne responsable dun quipement dans la salle machine a le droit dy accd suite un analyse de lempreinte digitale. La salle machine est protg des interfrences
magntiques et lectrostatiques. La gestion des routeurs se fait travers les lignes de commandes. En ce qui concerne la documentation, le centre ne possde pas les procdures de gestion et les changements de configuration des routeurs. Les logs des routeurs ne sont ni rviss ni contrls priodiquement, ils ne sont contrles que lorsque si cest ncessaire et ils ne sont pas archivs. La cartographie du rseau nest pas jour, il y a une carte des sites distants mais en interne non mais les emplacements des routeurs et des quipements rseau sont indiqus dans larchitecture rseau du CIMSP. Pour ladministration des routeurs, il existe deux administrateurs qui ont le droit de faire des modifications. Les changements faits partir du rseau ne sont faits que par un contrle de mot de passe mais ces mots de passe ne sont pas changs rgulirement. Ladministration se fait via le protocole scuris SSH avec authentification des utilisateurs distance. La version logicielle du routeur nest pas suivie, et les mises jour ne sont pas faites rgulirement, la dernire version stable t tlcharg il y a 3 mois. Tous les comptes et mots de passe par dfaut sont supprims, et on a cre 15 autres comptes par niveau. Les routeurs sont vulnrables aux attaques de type SYN Flood et de type smurf malgr que les ports auxiliaires, toute interface inutilise, les protocoles Finger et ARP sont tous dsactiv sur le routeur.
Chapitre 5
Audit Technique
suivante vrifie quelques contrles dans la version mise en place qui est la version 7 en sassurant de la conformit de celles-ci par rapport aux rgles standards de configuration et dutilisation.
N 1 Critre Scurit du ID File Contrle Est-ce que le contrle du ID File et des mots de passe est maintenu correctement? Conformit Oui Remarque nombre de caractres et complexit de mot de passe Sauf en cas de modification et dexception
Expiration des ID File Restriction de lutilisation des iNOTES Logiciels de backup Disponibilit des UPS ( Unterruptable Power Supplier) Suppression de tous les services et tches inutiles SMTP relaying est scuris
Tous les ID des fichiers doivent expirer dans deux ans. Utilisation des iNOTES seulemen t quand les ordinateurs distance sont scuriss Vrifier si lopration de backup inclut les fichiers ouverts Vrifier si le serveur est conne ct un UPS
Oui
4 5
Non Non
Arrt de tous les services inutiles et suppression de tous les logiciels non relis Lotus Notes Notes.ini vrifier SMTPMTA_REJECT_RELAYS=1 SMTP_OCH_REJECT_SMTP_ORIGINATED_ MESSAGES=1 SMTPMTA_RELAY_FORWARDS=1 Utilisation de S/MIME Activation du port de cryptage pour tous les ports La messagerie doit tre protge par un anti virus Vrifier les dernires mises jour du Lotus et du systme dexploitation Vrifier les bonnes pratiques au niveau de lOS
Oui
Oui
8 9 10 11 12
Cryptage Port de cryptage Anti -Virus Mise jour Robustesse du systme dexploitation Eviter les conflits de rplication Duplication de bases de donnes Maintenance des utilisateurs Robustesse des mots de passe Listes daccs Accs au niveau OS Utilisation des noms complets Restriction pour la cration des bases de donnes Revue du contrle daccs aux fichiers importants
13 14
15
16 17 18 19 20
Vrifier la revue de s rplications de logs des conflits par ladministrateur Les rplications multiples de bases de donnes ne doivent pas tre stockes dans un seul serveur Domino. Suppression des utilisateurs qui nont plus le droit daccs. La liste des utilisateurs doit tre maintenue jour. Vrifier que les mots de passe doivent avoir au moins 8 caractres Toutes les bases de donnes doivent avoir leurs propres listes daccs Vrifier si l e contrle daccs est implment au niveau du systme dexploitation Vrifier que d es noms complets sont toujours utiliss La cration des bases de donnes doit tre restreinte pour des utilisateurs spcifiques. Le co ntrle daccs aux fichiers suivants doit tre revu : LOG.NSF, STATREP.NSF, ADMIN4.NSF, EVENTS4.NSF, CERTLOG.NSF, NAMES.NSF ?
Oui
4 caractres
21
115
Chapitre 5
Audit Technique
Cette liste comprend des commandes excuter afin de vrifier leurs conformits par rapport aux mesures de scurit.
116
Chapitre 5
Audit Technique
117
Chapitre 5
Audit technique
118
Chapitre 5
Audit Technique
5.8 Conclusion
Ce chapitre sest tal sur la phase de laudit technique en se basant sur des outils de scan pour valuer le niveau de scurit des composants du rseau du CIMSP. On a tout dabord audit larchitecture du systme qui englobe le plan dadressage, larchitecture rseau, le sondage des systmes et le sondage des services et des flux rseau. Ensuite, on a essay de dtecter les vulnrabilits des serveurs et des postes de travail appartenant au rseau du centre afin didentifier les failles qui peuvent affaiblir le rseau. Aprs, nous nous sommes concentrs sur le pare-feu et les routeurs pour auditer larchitecture de scurit. Finalement, laudit applicatif a t consacr pour laudit du systme de messagerie interne LOTUS NOTES et pour le systme dexploitation UNIX.
119
Chapitre6
Chapitre 6
6.2
Les recommandations
Les recommandations sont dordre organisationnel, physique et technique. Mais il
existe dautres qui sont dordre stratgique ; on a constat durant notre mission daudit que les processus mtiers et les procdures du centre ne sont pas tous formaliser car les processus et les procdures crites existantes dans le CIMSP ne couvrent pas la totalit des activits rellement exercs surtout celle du service rseau. Il est recommand aussi dutiliser des indicateurs de scurit qui visent vrifier que les objectifs de scurit sont atteints et que la direction gnrale doit les fixer auparavant, ces indicateurs doivent tre adapts au contexte de centre. Un exemple dindicateurs de scurit fourni par lISO 27001 est en propos en annexe5.
Chapitre 6
sanitaires et elle est inexistante pour le personnel du CIMSP. Le message qui doit tre dlivr travers la politique de scurit et la charte informatique est que toute violation de la confidentialit est un dlit punissable selon le degr de sa gravit.
121
Chapitre 6
122
Chapitre 6
Une sparation des tches est ncessaire dans le service rseau, chaque individu doit avoir ses propres tches excuter. Le service rseau a besoin des nouvelles comptences ; une quipe pour la surveillance rseau doit tre envisage, Une quipe pour la scurit rseau doit tre envisage.
Il est recommand de prserver une salle quip pour les stagiaires du centre pour ne pas dranger les employs pendant leur priode de stage. La salle de formation ncessite des actions de maintenance urgente car elle prsente un danger pour les personnes qui y accde et pour les quipements informatique quelle contient.
123
Chapitre 6
Des mesures de matrise, de dtection et de prvention doivent tre mises en uvre afin de
fournir une protection contre les logiciels malveillants. La gestion des supports informatiques amovibles, tels que les bandes, les disques les cassettes et les rapports imprims doivent tre matrise. Une politique doit tre labore pour lutilisation du courrier lectronique et des mesures de matrise doivent tre mises en place afin de rduire les risques de scurit crs par le courrier lectronique. Des procdures et des mesures de matrise doivent tre en place pour protger lchange dinformations par des moyens de communication vocale, par tlcopie et vido.
Chapitre 6
Les systmes de gestion des mots de passe doivent fournir une fonction interactive efficace qui assure la qualit des mots de passe ; pas de mots de passe trop courts ou trop simples, pas de rutilisation de mots de passe prcdents,...etc. La politique de mot de passe doit imposer un changement priodique. Informer les employs des pratiques de scurit des quipements qui sont les serveurs et les postes de travail laisss sans surveillance ; titre dexemple : Fermer la salle machine si elle nest pas occupe par personne. Instaurer un dlai de dconnexion automatique aprs une priode dinactivit Instaurer une limite de temps pour la connexion Dsactiver les priphriques de dmarrage autres que ceux autoriss La politique daccs au rseau doit tre dfinie et documente comme des procdures pour protger laccs aux quipements actifs du rseau, les protocoles, les applications, les systmes, les services rseaux,etc. Mettre en place un systme bas sur le protocole KERBEROS qui permet lauthentification scurise des utilisateurs et le single sign on (SSO) qui consiste utiliser un seul mot de passe pour accder tous les services rseaux. Une politique sur l'utilisation des commandes cryptographiques pour la protection des informations doit tre labore et suivie. Des signatures numriques doivent tre utilises pour protger l'authenticit et l'intgrit de l'information lectronique.
125
Chapitre 6
Lachat, lutilisation et la modification des logiciels doivent tre matriss et contrls afin de les protger contre la possibilit dintroduction de voies secrtes.
Il faut mettre en place des mcanismes permettant de quantifier et surveiller les diffrents
types dincidents lis la scurit de linformation ainsi que leurs cots associs. Constituer un archive sur disque ou sur cassette par exemple de tous les lments ayant permis de dtecter une anomalie ou un incident.
126
Chapitre 6
6.2.1.11 Conformit
Afin dviter des infractions dordre lgal, rglementaire ou contractuel, le centre doit se plier aux lois et aux rglements internes. A cet effet, il doit sassurer de la conformit de lutilisation des systmes et des applications la politique de scurit qui va tre tabli. Pour cela il faut mettre en place des procdures de droulement des audits et de contrle pour surveiller les ventuelles violations de la. En ce qui concerne les logiciels, le centre doit aussi acqurir des logiciels uniquement partir de sources connues et rputes afin de sassurer du respect du droit de reproduction.
Chapitre 6
priodiquement de labsence de failles des versions des outils les exploitant, tel que tit re dexemple : http, https, SNMP, 135 (tcp and udp), 137 (udp), 138 (udp), 139 (tcp) et 445 (tcp & udp). Il est recommand dviter les partages inutiles et dappliquer les rgles de contrle daccs et de mettre en place une politique dauthentification afin de garantir la confidentialit, lintgrit et la disponibilit de donnes. Mise en place dune stratgie de scurit sur les postes de travail minimisant les risques de vandalisme et les erreurs de manipulation. Un inventaire jour des systmes et de leur configuration doit tre labor, mis jour chaque modification des systmes ou des configurations et diffus aux acteurs ayant besoin d'en connatre. Des journaux d'audit o sont enregistrs les exceptions et les autres vnements relatifs la scurit doivent tre produits et tenus pendant une priode convenue de faon faciliter les enqutes futures et le contrle des mesures de matrise des accs. Toute modification des configurations matrielles ou logicielles doit prendre en compte la compatibilit avec le reste du systme d'information et les anciennes sauvegardes ou archives et prvoir une procdure de retour arrire en cas d'anomalie. Les supports darchivage doivent tre conservs dans des coffres forts afin de les protgs. Les accs aux systmes doivent tre journalises avec si possible et au minimum l'identit de l'utilisateur, le systme concern et la date et l'heure de l'accs. De mettre en place une stratgie de sauvegarde et de restitution des donnes formellement dcrite et de vrifier le bon fonctionnement des supports de sauvegarde aprs chaque cycle de ce dernier. Mise en place dune sonde IPS : Un outil de dtection dattaques doit tre install pour dtecter les attaques et les intrusions sur les diffrents points dentre du rseau.
Chapitre 6
Les mises jour doivent se faire rgulirement et automatiquement partir du site du constructeur. Toutes les modifications de configuration du pare-feu doivent tre documents et conservs dans un endroit scuris afin dassurer la continuit de travail. Les rgles de filtrage doivent tre jour et tests contre les attaques. Un audit de pare-feu doit tre effectu rgulirement.
6.3
Plan daction
La mise en place dun plan daction permet lentreprise datteindre ses objectifs en
matire de scurit. Le plan daction est un regroupement des diffrentes oprations quil faut 129
Chapitre 6
raliser. Gnralement un plan daction stale sur 3 ans puisquon on ne peut pas tout mettre en place simultanment. Pour cela on doit dfinir des priorits et pour pouvoir dfinir des priorits on doit avoir un critre de choix. Les critres de choix qui seront utiliss sont les suivants : Cot, limportance et le degr de gravit des vulnrabilits dcouverte lors de laudit. Alors que, les priorits exploites sont ventiles comme suit : court terme (C), moyen terme (M), et long terme (L). Domaine Stratgique Code 1.1 Recommandations -Formaliser tous les processus mtiers du CIMSP dans des procdures surtout ceux du service rseau. 1.2 -Fixer les objectifs de scurit et le paramtrage des risques dans des grilles et des tables standards. 1.3 -Planifier des audites scurit du systme C C Priorit L
dinformation au moins une fois par an. Organisationnel 2.1 -Rdiger un document de politique de scurit qui doit contenir les directives, les procdures, les rgles organisationnelles et techniques, ayant pour objectif la protection du systme dinformation du centre. 2.2 -Diffuser le document pour tout le personnel du centre. 2.3 -Nomination dun responsable de scurit du systme dinformation. 2.4 -Diffuser la charte de scurit informatique pour tout le personnel du centre. C C C C
130
Chapitre 6 2.5
Recommandations et Plan daction -Raliser un inventaire complet de toutes les ressources et procder une classification de ces ressources sur les 3 critres suivants : disponibilit, confidentialit et intgrit. 2.6 -Designer, dans un document formalis, un responsable pour chaque ressource. M M
Physique
3.1
3.2
-Mettre en place un processus didentification pour les visiteurs ainsi que les employs bas sur les badges.
3.3
-Automatiser larchivage des visites dans une base de donnes pour avoir une trace de tous les accs au centre
3.4
-Prparer une salle quipe pour les stagiaires. -Rparer la salle de formation. -Rdiger un plan de secours informatique. -Crer un registre et une base de donnes pour consigner les anomalies et les incidents de scurit.
M C L C
Logique
5.1 5.2
-Crer des profils utilisateurs. -Elaboration des procdures pour le contrle daccs.
C C
5.3
131
sensibilisation en matire de scurit pour tout le personnel du centre. 6.2 -Informer le personnel, par un document sign de leur part, des diffrents textes de lois qui dfinissent leurs droits et devoirs envers le centre en matire de scurit. 6.3 6.4 -Planifier les formations ncessaires pour le RSSI. -Recruter les comptences ncessaires pour M C M
maintenir le systme dinformation. Applicative 7.1 -Dfinir une procdure pour lanalyse, C
lexploitation et larchivage des logs. 7.2 Exploitation 8.1 -Acqurir une application danalyse des logs. -Mise en place des mcanismes de cryptographie pour la protection des donnes sensibles transmises sur le rseau. 8.2 -Elaboration des procdures dchange M C C
dinformation et de logiciel entre les employs. 8.3 -Mettre en place une politique de sauvegarde des donnes sensibles sur les postes de travail 8.4 -Mettre en place une politique de restauration des donnes. 8.5 -Protger les bandes de sauvegarde dans un endroit adquat.
Tableau 6.1.Plan d'action.
132
Chapitre 6
6.4 Conclusion
Ce chapitre est la clture de cette mission daudit. On a prsent les recommandations organisationnelles et physiques selon les chapitres de la norme ISO 17799 ou 27002. Ensuite les recommandations techniques. Aprs on a propos un plan daction qui regroupe les recommandations quon trouve prioritaire, selon des critres de choix, pour les mettre en uvre.
133
Conclusion gnrale
Conclusion gnrale
Dans ce travail, on sest intress de la scurit du systme dinformation du centre informatique de ministre de la sant publique travers laudit de scurit quon a men. Laudit cest tal sur deux principales phases ; laudit organisationnel physique et laudit technique et sur 6 chapitres. Avant dentamer la premire phase, on a prsent tout dabord les concepts de base de la scurit qui sont le S ainsi les risques qui menacent ces systmes, laudit informatique ; les mthodes et les normes les plus connus aprs on a ralis une tude comparative pour arriver au choix de notre mthode daudit selon des critres bien dfinis. En ce qui suit, on a tudi le contexte de notre mission daudit, on a focalis lorganisme daccueil et on a analys lexistant en matire darchitecture rseau et les mesures de scurit mis en uvre. La premire phase daudit a consist analyser en premier lieu les enjeux du centre pour arriver identifi les risques en ce qui suit, ensuite on a montr les vulnrabilits du systme partir des questionnaires et des entretiens effectus avec les personnes concerns. Ces deux premires tapes nous ont men lanalyse des risques quon la ralis partir des enjeux du centre et partir de la base de connaissance de MEHARI pour arriver au rsultat que le centre a un norme besoin dans la majorit des services de scurit. La deuxime phase daudit a consist tudier les dfaillances dordre technique. Durant cette phase, on a utilis plusieurs outils de sondage et de scan pour identifier les vulnrabilits techniques qui touchent larchitecture du systme savoir les vulnrabilits au niveau du plan dadressage, au niveau du systme, au niveau des partages de donnes et au niveau de la politique de sauvegarde et de restauration. Aprs on a analys les vulnrabilits qui touchent aux services et aux flux rseaux et enfin les vulnrabilits au sein des quipements sensibles comme les serveurs, le pare-feu, les routeurs et mme les systmes. Les rsultats finales de ces deux phases, nous ont guid formuler des recommandations organisationnelles, physiques et techniques et proposer un plan daction dans le but dattnuer les vulnrabilits et les risques encourus. En consquence, ce travail prsente de trs nombreuses perspectives. En se limitant aux perspectives immdiates, on propose que la direction gnrale planifie un audit de scurit en interne effectuer par un responsable de scurit de systme dinformation. Comme la scurit au niveau du centre est fortement lie celle de ces clients qui sont les tablissements hospitaliers, il est ncessaire de planifier des missions daudit au sein de ces 134
Conclusion gnrale tablissements afin dvaluer le niveau de scurit du systme dinformation de tout le systme. Pour les perspectives long terme, on propose la mise en place dun systme de management de scurit de linformation (SMSI) qui est un ensemble dlments interactifs permettant un organisme dtablir ses objectifs de scurit, sa politique de scurit, datteindre ses objectifs et dappliquer sa politique dans le but dobtenir la certification ISO/IEC 27001 qui atteste que la scurit des systmes dinformation a t srieusement prise en compte et que l'entreprise s'est engage dans une dmarche d'amlioration constante. LISO 27001 permet de fournir un modle pour mettre en place et grer un SMSI vu que lexistence dun SMSI dans lorganisme permet de renforcer la confiance dans le m ode de gestion de la scurit de linformation. De plus il est cohrent avec des autres systmes comme le systme de management de qualit, de la scurit des conditions de travail,etc. La mise en place dun SMSI est un processus qui peut tre parcouru tout au long dune thse professionnelle.
135
Systme dInformation Destributed Denial of Service Responsable Scurit des Systme dInformation Politique de Scurit du Systme dInformation Expression des Besoins et Identification des Objectifs de Scurit Direction Centrale de la Scurit des Systmes dInformation Control Objectives for Information and Related Technology Information Systems Audit and Control Association International Organization for Standardization Mthodologie danalyse de Risques Informatiques Orient par Niveaux Risques Majeurs Risques Simples CCTA Risk Analysis and Management Method MEthode Harmonise dAnalyse de Risques Club de la Scurit des Systmes dInformation Franais Plan Stratgique de Scurit Plans Oprationnels de Scurit Plan Oprationnel dEntreprise Technologies de lInformation British Standard Ministre de la Sant Publique Etablissement Public de Sant Rseau National de la Sant Zone Dmilitarise Access Control List Direction des Etudes et de Dveloppement Informatiques Direction de lExploitation, des Rseaux, de la Scurit et de Soutien Direction des Affaires Administratives et Financires Fournisseurs de Services Internet Agence Tunisienne de lInternet Lignes Spcialises Centre National dInformatique Tunisie Trade Net
BBN OSSIM HIDS OSSEC MRTG Syslog-ng I P G SMTP TELNET TCP UDP CDP IPX STP SNMP SSL HTTP LDAP FTP DoS SSH ICMP ARP SSO HTTPs
BackBone National Open Source Security Information Management. Host Based Intrusion Detection System Office of State Security and Emergency Coordination Multi Router Trafic Graphe Syslog next generation Impact Potentialit Gravit Simple Mail Transfer Protocol TErminaL NETwork Transmission Control Protocol User Datagram Protocol Cisco Discovery Protocol Internetwork Packet Exchange Spanning Tree Protocol Simple Network Management Protocol Secure Sockets Layer Hypertext Transfer Protocol Lightweight Directory Access Protocol File Transfer Protocol Denial-of-Service Secure Shell Internet Control Message Protocol Address Resolution Protocol Single Sign On Hypertext Transfer Protocol Secure Systme de management de la scurit de l'information
SMSI
137
Rfrences bibliographiques
[1]. Manager la scurit de linformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/335.pdf] Nov. 2009. [2]. Guide de la scurit des systmes dinformation [http://www.sg.cnrs.fr/FSD/securitesystemes/documentations_pdf/securite_systemes/guide.pdf] [3]. Scurit des systmes dinformation [http://www.universalis.fr/encyclopedie/SC02007/SYSTEMES_D_INFO.pdf] Nov. 2009. [4]. Scurit des systmes dinformation [http://www.universalis.fr/encyclopedie/SC02007/SYSTEMES_D_INFO.pdf] Nov. 2009. [5]. Pourquoi des normes ISO de scurit de linformation ? [http://www.ysosecure.com/normesecurite/pourquoi-norme-securite.asp] Nov. 2009. [6]. Pourquoi des normes ISO de scurit de linformation ? [http://www.ysosecure.com/norme-securite/pourquoi-norme-securite.asp] Nov. 2009. [7]. Scurit des informations, normes BS 7799, ISO 17799, ISO 27001, EBIOS, MEHARI [http://www.guideinformatique.com/fichesecurite_des_informations_normes_bs_7799_iso_17 799_iso_27001-441.htm] Nov. 2009. [8]. Scurit des informations, normes BS 7799, ISO 17799, ISO 27001, EBIOS, MEHARI [http://www.guideinformatique.com/fichesecurite_des_informations_normes_bs_7799_iso_17 799_iso_27001-441.htm] Nov. 2009. [9]. Normes de scurit : les mthodes d'analyse des risques [http://cyberzoide.developpez.com/securite/methodes-analyse-risques/] Nov. 2009. [10]. Normes de scurit : les mthodes d'analyse des risques [http://cyberzoide.developpez.com/securite/methodes-analyse-risques/] Nov. 2009. [11]. Scurit des informations, normes BS 7799, ISO 17799, ISO 27001, EBIOS, MEHARI [http://www.guideinformatique.com/fichesecurite_des_informations_normes_bs_7799_iso_17 799_iso_27001-441.htm] Nov. 2009. [12]. Rappel sur les normes et mthodes en matire de Scurit des Systmes dInformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/337.pdf] Nov. 2009. [13]. Rappel sur les normes et mthodes en matire de Scurit des Systmes dInformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/337.pdf] Nov. 2009. [14]. Rappel sur les normes et mthodes en matire de Scurit des Systmes dInformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/337.pdf] Nov. 2009.
138
[15]. Rappel sur les normes et mthodes en matire de Scurit des Systmes dInformation, La revue n 85 - Fvrier 2007 [http://www.afai.asso.fr/public/doc/337.pdf] Nov. 2009. [16]. Guide du diagnostic de ltat des services de scurit [http://www.clusif.fr/fr/production/ouvrages/pdf/MEHARI-2007-Vulnerabilites.pdf] Jan. 2010. [17]. Guide de lanalyse des enjeux et de la classification [http://www.clusif.fr/fr/production/ouvrages/pdf/MEHARI-2007-V2-Enjeux.pdf] Jan. 2010. [18]. Guide de lanalyse des risques [http://www.clusif.fr/fr/production/ouvrages/pdf/MEHARI2007-Anarisk.pdf] Fv. 2010.
139
Les Annexes