Professional Documents
Culture Documents
Elabor par
Riadh Abdelli
MEMOIRE
Prsent pour lobtention du Diplme de License appliqu en Technologie de linformation et communication
Encadr par :
Mr. Kamel Khdiri (UVT Tunis) Mr. Nizar Hakim (Ste Palma/Aremgroup)
Ddicace
Jai le grand plaisir de ddier ce travail en tmoignage daffectation et de reconnaissance tous ceux qui mont aid le raliser. A tous les membres de la famille, pour leurs encouragements, soutiens, affectation et confiance. A tous mes collgues de travail qui mont donn du courage pour continuer les tudes et pour prparer ce diplme. Aux Enseignant et Encadreurs de LUVT qui nous ont donn confiance et espoir et qui nous ont soutenus durant tout le cursus universitaire de cette anne.
Toutes ces valeurs mont donn confiance et espoir pour continuer les tudes et pour prparer ce travail.
Remerciement
Mes sincres remerciements sadresse tous le personnel de lUVT, Administration et Enseignant qui nous donn un soutien prcieux.
Mes Encadreur Mr Kamel Khdhiri mon encadreur lUVT pour son effort quil a dploy dans ce projet, ces conseils, son encouragement, son encadrement srieux et son soutien moral. Lattention dont il a fait preuve lgard de mes travaux et les conseils quil ma prodigu mont t trs utiles.
Mes vifs remerciements Mr Maher Affess : directeur Gnral Ste Palma, Mr Nizar Hakim : Directeur Informatique de ARemGroup, pour leurs soutiens incontestables, leurs conseils, leurs grandes expriences en management.
Je suis honor par la prsence de membres du jury davoir accept ce travail en esprant quils trouveront dans ce projet de quoi tre satisfait et auront la gratitude de lenrichir avec leurs critiques et corrections.
Sommaire
Introduction Gnrale...1 Chapitre 1 : Prsentation de la Socit Palma........2 1. Prsentation de la Socit.......2 2. Activit de la Socit.........2 Chapitre II : Audit t scurit rseau informatique .4 1. Apparition du thme audit informatique en Tunisie..5 2. Introduction......6 3. Audit de scurit....6 3.1 Dfinition.6 3.2 Contenu de laudit....6
4. La norme internationale ISO 17799....7 4.1 Introduction...7 4.2 Couverture thmatique..7 4.3 Les contraintes de scurit...9 5. la qualit des services de scurit...9 5.1 Dfinition..9 5.1.1 Lefficacit des services de scurit...9 5.1.2 Leur robustesse.9 5.1.3 Leur mise sous contrle.9 6. Les risques de scurit informatique.10 6.1. Les types de risques...10 6.2 Classification des risques..10 6.2.1. Les risques Humains...10 6.2.2. Les risques Techniques...11 7. Mthodologie dAudit...12 7.1 Dfinition..12 7.2. Les phases daudit.12 7.2.1. Phase prparatoire..12 7.2.2. Evaluation de la qualit des services..13 7.2.3. Audit de lexistant..13 7.2.4. Expression des besoins de scurit13
II. Audit de lexistant...17 1. Les services de scurit...17 2. Fonction Informatique de scurit.....17 2.1 Rle des directions dans le systme informatique...17 2.2 Existence de politiques, de normes et de procdures ..18 2.3Responsabilit de la direction informatique.19 2.4 Existence de dispositif de contrle interne..20 3. Dcentralisation des traitements20 3.1 Gestion des configurations..20 3.2 Analyse des demandes arrivant au help-desk..21 3.3 Procdures dachat...21 4. Equipement Informatique......22 4.1 Inventaires des quipements informatiques22 4.1.1 Les Units Centrales22 4.1.2 Les Switch et les Hubs.22 4.1.3 Les cblage Informatique.22 4.1.4 Les Imprimantes..23 4.2 Environnement du matriel.23 4.2.1Les dfauts de climatisation..23 4.2.2 Dtection des dgts deau...23 4.2.3 Dtection des dgts du feu..24 4.2.4 Les dgts dlectricit.24 4.3 Environnement des logiciels de base..24 4.3.1 Les Patchs24 4.3.2 Les systmes de fichier.25 4.3.3 Les services inutilisables..25 5. Rseaux et communications....26 5.1 Configuration du rseau..26 5.1.1 Rseau Local..26 5.1.1.1Segmentation26 5.1.1.2 Laffectation des adresses IP...26 5.1.1.3 Les postes utilisateurs..26 a- Squence de dmarrage.26 b- Session..27 c- Active directory.27 5.2 Identification des risques.27 5.2.1 Les risques humains.27 5.2.2 Les risques techniques.28 5.2.2.1 Les Virus...28 5.2.2.2 Attaque sur le rseau.28 5.2.2.3 Attaque sur le mot de passe..29 6. Scurit informatique..29 6.1 Reprage des actifs informationnels29 6.2 Gestion des impacts.30
6.2.1
III. Solutions de Scurit....30 1. Dploiement complet d'AD..30 2. Solution Antivirale....31 3. Le serveur de mise jour.........31 4. Systme de dtection dintrusion.31 4.1 Systme de dtection dintrusion dhte...31 4.2 Systme de dtection dintrusion rseau...32 5. Solution Firewall...32 5.1 Firewall filtrage de paquets32 5.3 Firewall Applicatif32 6. Annuaire.33 Chapitre IV : Installation et dploiement de Active directory......34 I. II. III. Introduction..35 Prsentation..35
Structure dactive directory36 1. Domaines.36 2. Arbres de domaines36 3. Fort.36 IV. Installation Active directory36 1. Serveur.36 2. Poste client...46 3. Fonctionnement...50 Conclusion ..52 Bibliographie...53
Introduction
Vu limportance et lobligation de llaboration dun audit de scurit, daprs la loi n2004-5 du 3 Fvrier 2004. Chaque organisme doit tablir un audit de scurit informatique priodiquement afin didentifier ses sources de menace et ces dgts informationnels. Partant de cette ide, nous avons dcid dtablir un rapport daudit de scurit informatique. Ainsi ce rapport est scind sur trois parties primordiales : La premire partie comporte une tude thorique qui dfinie le thme daudit de la scurit informatique. La deuxime partie est axe sur les diffrentes phases daudit rparti sur lanalyse. La troisime partie prsente une tude pratique qui dfinie la mise en uvre dune solution SSH.
Palma est le nouveau n du groupe AREM sur la scne industrielle, qui a t cre en 2005. PALMA, sest donn pour objectif de contribuer au dveloppement de cette industrie en Tunisie et dans la rive du Sud de mditerrane. Depuis son entre en production en 2007. Elle a positionn son offre autour de deux axes dune part fournir la branche menu iserie en aluminium en profils daluminium extrud et dautres part produire, selon un cahier des charges ou des plans dtaills. Ainsi, PALMA est le preneur dordres de nombreux mtiers tels que lclairage public, le sport. Etc. A cela sajoutent les pr ofils standard : cornires, tubes carres, tubes ronds ddis des usages usuels. 2/ Activit : Ses performances industrielles par lesquelles se distingue son entre sur le march lui ont permis non seulement de russir son positionnement, mais aussi dexporter vers lAlgrie et la Libye. Gamme de produits : Les profils standard (cornires, tubes carres, tubes ronds...), Portes coulissantes, accessoires et produits usuels, les murs rideaux pour les faades et portes dintrieur PALMA prfre des nouveauts qui se dmarquent des produits dj existants par leur caractre innovateur. Plutt que de recourir la casse des prix. La Qualit de leurs produits de point de vue design, esthtique saillie, styles, teintes bien tudies, la fait dmarquer de la concurrence. Rseaux de distribution : La socit palma a cre un rseau de distribution dans toute les zones de la Tunisie. Ainsi que lexportation de leurs produits vers lAlgrie, la Libye et lItalie. Certification :
Lapport juridique
La loi N 2004-5 du 3 Fvrier 2004 a promulgu lobligation dun audit priodique de la scurit des systmes dinformation et des rseaux relevant diverses structures publiques et prives et qui sera assur par des experts en audit du secteur priv certifis par lagence nationale de la scurit informatique. Les organismes soumis lobligation daudit doivent effectuer laudit priodique de leur systme dinformation au moins une fois par an. Lopration daudit se droule par le biais dune enqute sur le terrain bas sur les principaux lments suivants : Audit des aspects organisationnels et de la structuration de la fonction scurit, ainsi que du mode de gestion des procdures de scurit et la disponibilit des outils de scurisation du systme informatique et de leur mode dutilisation.
2. Introduction
En Informatique le terme Audit apparu dans les annes 70 a t utilis de manire relativement alatoire. Nous considrons par la suite un audit de scurit informatique comme une mission dvaluation de conformit scurit par rapport un ensemble de rgles de scurit. Une mission daudit ne peut ainsi tre ralise que si lon a dfinit auparavant un rfrentiel, un ensemble de rgles organisationnelles, procdurales ou technique de rfrence. Ce rfrentiel permet au cours de laudit dvaluer le niveau de scurit rel de terrain par rapport une cible.
3. Audit de scurit
3.1 Dfinition Un audit de scurit consiste sappuyer sur un tiers de confiance afin de valider les moyens de protection mis en uvre Un audit de scurit permet de sassurer que lensemble des dispositions prises par lentreprise sont rputes sures. 3.2 Contenu de laudit Lopration daudit prend notamment en compte des lments suivants : Descriptif des matriels, logiciels et documentations. Apprciation globale de ladquation entre les besoins et le systme dinformation existant. Examen des mthodes dorganisation, de contrle et de planification des services informatiques. Apprciation de la formation, de la qualification et de laptitude du personnel. Apprciation de la qualit, de laccs, de la disponibilit et de la facilit de comprhension de la documentation.
Ces objectifs sont regroups au travers des dix grandes thmatiques suivantes : *la politique de scurit : pour exprimer lorientation de la direction la scurit de linformation. *lorganisation de la scurit : pour dfinir les responsabilits du management de la scurit de linformation au sein de lentit. *la scurit et les ressources humaines : pour rduire les risques dorigine humaine, de vol ou dutilisation abusive des infrastructures, notamment par la formation des utilisateurs. *la scurit physique : pour prvenir les accs non autoriss aux locaux. *la gestion des oprations et des communications : pour assurer le fonctionnement correct des infrastructures de traitement de linformation, et minimiser les risques portant sur les communications. *les contrles daccs : pour maitriser les accs au patrimoine informationnel. *lacquisition, le dveloppement et la maintenance des systmes : Pour que la scurit soit une part intgrante du dveloppement et de la maintenance des systmes dinformation.
4/Comment protger lentreprise ? Ex em ple Figure1 : principe de fonctionnement de la norme ISO1779 s de me na ces Universit Virtuelle de Tunis
6. Les risques de scurit informatique : 6.1. Les types de risques : En ce qui concerne lanalyse de risque, on a dfini 12 types de menaces. .Accidents physiques. .Malveillance physique .Panne du SI .Carence de personnel. .Interruption de fonctionnement du rseau. .Erreur de saisie. .Erreur de transmission. .Erreur dexploitation. .Erreur de conception/ dveloppement. .Copie illicite de logiciels. .Indiscrtion/ dtournement dinformation .Attaque logique du rseau. 6.2 Classification des risques : 6.2.1. Les risques Humains : Les risques humains sont les plus importants, ils concernent les utilisateurs mais galement les informaticiens. .Malveillances : Certains utilisateurs peuvent volontairement mettre en danger le systme dinformation en y introduisant en connaissance de causes des virus, ou en introduisant Volontairement de mauvaises informations dans une base de donnes.
10
.Attaques sur le rseau : les principales techniques dattaques sur le rseau sont :
. Le Sniffing : technique permettant de rcuprer toutes informations transitant sur le rseau. Elle est gnralement utilise pour rcuprer les mots de passe des applications qui ne chiffrent pas leurs communications. .La Mystification (Spoofing) : technique consistant prendre lidentit dune autre personne ou dune autre machine. Elle est gnralement utilise pour rcuprer des informations sensibles.
11
12
13
14
2. Les quipements et matriels rseau 2.1 Description Le rseau actuel de la socit Palma est constitu de 32 postes interconnectes entre eux par une cascade de 2 Switch et 2 Hubs Le Local de la Socit Palma comporte un cblage rseau normalis. Des cbles paires torsades en utilisant le protocole de liaison de donnes Fast Ethernet. Plage dadresse IP La Ste Palma dispose de plage dadresse IP routables allous au routeur et aux postes de travail connects au rseau. Topologie du rseau Tous les postes de travail connects au rseau sont placs sur le mme segment. Des Switchers en cascade sont utiliss dont les diffrents postes de travail leurs sont connects. Equipements existants Des PC de bureau et portables : Pentium IV, Dual Core Un serveur HP proliant pour de base de donnes
15
2.2 Apprciation Faiblesse du rseau actuel La situation actuelle souffre de dfaillances du fait que le rseau nobit pas en effet aux normes dexploitation. Nous citons si aprs titre dexemple certains problmes du rseau : Absence de stratgie claire de protection des attaques virales (Anti spam par exemple) venant des messageries lectroniques depuis les ordinateurs qui ont un accs internet. Absence dun dtecteur dintrusion contre tout accs non autoris de lextrieur vers le rseau local. Absence dune politique pour la mise jour de lantivirus et des correctifs de Windows. Absence dun mcanisme de filtrage des paquets entrant/sortant. Absence dune stratgie centralise comme Active directory pour grer des ressources lies la gestion du rseau (domaines, comptes utilisateurs, stratgies de scurit, ...). Point Fort du rseau Mme avec les faiblesses cites plus haut, le rseau de la Ste Palma prsente un ensemble de points forts quil faut prserver, voire renforc Citons titre dexemple : Lexistence dun responsable informatique amliore la qualit du travail et offre aux employs lopportunit d travailler dans les meilleures conditions. La construction du local dot dun cblage obissant aux normes en matire de cblage informatique. Prise en compte la scurit contre les risques physiques (les dgts deau, de feu ou dlectricit). La connexion internet et aux ressources du rseau local est rapide offrant un confort daccs Existence dun Firewall qui permet la protection des rseaux informatiques internes de l'entreprise contre les intrusions du monde extrieur, en particulier les piratages informatiques.
16
17
Direction Informatique
Administration Application
Service Bureautique
Selon un Budget, les nouveaux projets informatiques qui sont proposs suite un besoin exprim par la direction informatique, sont transmis directement vers la direction gnrale pour acceptation ou refus. Apprciation Lexistence de procdures de suivi fournit un avantage trs important pour le bien de lentreprise car ces procdures permettent : Lvaluation du patrimoine existant Le suivi de la situation actuelle Le dveloppement bien structur des projets Prsence de planification pour lapplication informatique
2.2 Existence de politiques, de normes et de procdures : Lexistence de potique, mthode, normes et procdures informatiques permettent de justifier que la fonction informatique est bien organise et quelle respecte les rgles de travail, et ce afin davoir un service de qualit et bien dvelopp. Actuellement, le service informatique fonctionne selon une potique informatique de scurit claire et formalise mais ne suit pas : Une mthode clairement dfinie Une norme de scurit informatique standard Une procdure informatique formalise Apprciation Linexistence de mthode de dvaluation des risques et de la gestion de la scurit informatique a pour consquence : Le non garanti de lharmonisation et de la qualit des applications. Le non maitrise de la gestion des projets informatiques Difficult dvaluation du personnel informatique
18
2.3 Responsabilit de la direction informatique Les responsabilits de la direction informatique doivent tre justifies par les lments suivants : Dfinition claire des responsabilits de la direction informatique Equilibre entre les pouvoirs et les responsabilits de la direction informatique Le service informatique a un rle moteur dans la circulation de linformation dans la socit, il est suivi par des responsables spcialistes : Administrateur Rseau Maintenance quipement informatique Apprciation La sparation des fonctions des responsables informatiques diminue les risques daccumulation des fonctions La prsence dune structure ddie la planification et le suivit des travaux informatiques offre une souplesse lors de : Lexploitation La gestion du parc informatique La gestion du rseau LAN et WAN Recommandation La direction Informatique doit instaurer une structure qui sera charg la planification et au suivit des travaux afin de : Suivre la productivit du personnel informatique
Universit Virtuelle de Tunis 19
20
21
4.2.2 Dtection des dgts deau LA socit ne possde pas un dtecteur contre lhumidit et les dgts deau. Apprciation Il ya risque de propagation de leau dans la salle connectique ce qui peut causer des incidents citer : Divers cours-circuits entrainant la rupture de service des quipements Dtrioration des quipements Corrosion des cbles et connecteurs Recommandation
Universit Virtuelle de Tunis 23
24
25
27
28
6.
Scurit informatique 6.1 Reprage des actifs informationnels Les systmes dinformation comme ensemble de processus valeurs ajoutes tiennent compte des donnes entrantes et sortantes Lintranet Les services fournis par lintranet Une base de donnes qui hberge tous donnes informationnelles Financier, Personnel, scientifique..) dont les utilisateurs ont besoin. Le partage : la plupart des utilisateurs utilise le partage de fichiers comme tant une source dchange de donnes. Messagerie Interne entre Utilisateur Extranet Les services fournis par lextranet sont Les courriers lectroniques Lutilisation de linternet Apprciation
29
30
31
33
34
I.
Introduction Vu les vulnrabilits quon a rencontr pendant ltude de laudit de la scurit informatique du rseau de la Socit Palma et vu laugmentation des services (messagerie, serveur fichiers), je propose le passage du Workgroup au domaine et linstallation de lannuaire Active directory afin de centraliser la gestion des ressources et la mise en place des rgles de scurit. Le facteur temps et scurit sont des facteurs importants pour les socits, ceci pousse les dcideurs avoir des solutions centralises de gestion des ressources informatiques.
II.
Prsentation Active Directory est le nom du service d'annuaire de Microsoft apparu dans le systme d'exploitation Microsoft Windows Server 2000. Le service d'annuaire Active Directory est bas sur les standards TCP/IP , DNS, LDAP, Kerberos, etc. Le service d'annuaire Active Directory doit tre entendu au sens large, c'est--dire qu'Active Directory est un annuaire rfrenant les personnes (nom, prnom, numro de tlphone, etc.) mais galement toute sorte d'objet, dont les serveurs, les imprimantes, les applications, les bases de donnes, etc. Active Directory permet de recenser toutes les informations concernant le rseau, que ce soient les utilisateurs, les machines ou les applications. Active Directory constitue ainsi le moyeu central de toute l'architecture rseau et a vocation permettre un utilisateur de retrouver et d'accder n'importe quelle ressource identifie par ce service.
Fig. 1 : Active Directory est donc un outil destin aux utilisateurs mais dans la mesure o il permet une reprsentation globale de l'ensemble des ressources et des droits
Universit Virtuelle de Tunis 35
36
Figure 1 : lassistant Grer votre serveur Ltape prliminaire (figure 2) vous invite effectuer les dernires vrifications avant le dbut de la procdure dinstallation d Active Directory. Quand tous les lments ncessaires sont en place, cliquez sur le bouton Suivant > pour continuer.
37
Figure 3 : Dtection des paramtres rseau Ensuite on spcifier le nouveau rle contrleur du domaine dans la liste de lassistant Configurer votre serveur de la (Figure 4)
38
40
Ensuite on va donner le chemin de la base de donnes et du journal Active Directory. Microsoft prconise des disques durs diffrents pour des raisons de performances et de meilleure rcupration (cf. figure 11).
Figure 11 : Emplacement des donnes et du journal AD On Indique ensuite emplacement du dossier Sysvol selon Figure 12
44
Vrifier les partages : Par Gestion de lordinateur les partages NETLOGON et SYSVOL doivent y apparatre. Configuration et optimisation DHCP Dans la console DHCP, on ajoute le serveur l'aide d'un clic-droit, puis on active et on dmarre le service proprits du service DHCP. Puis on autorise le serveur DHCP agir sur le domaine
45
Pour crer un nouveau compte utilisateur utilisez la console Utilisateurs et ordinateurs Active Directory. 1 Cliquez avec le bouton droit sur Nouveau, puis sur Utilisateur, ou utilisez le bouton Nouvel utilisateur dans la barre d'outils.
46
Figure 19 : Cration des comptes utilisateur 3. Cliquez sur Suivant 4. Lassistant vous demande ensuite de saisir le mot de passe et ses proprits.
Les groupes simplifient laffectation dautorisations des ressources : Les utilisateurs peuvent tre membres de plusieurs groupes Type de groupe Deux types de groupes sont disponibles : - les groupes de scurit utiliss pour grer la scurit des ressources du ou des domaines. - les groupes de distribution utiliss par exemple pour envoyer des messages lectroniques l'ensemble des utilisateurs de ces groupes. Ces groupes ne peuvent pas tre utiliss pour la scurit. Des applications comme Exchange 2003 s'appuient sur la base d'annuaire Windows 2003 et peuvent ainsi utiliser les groupes de distribution.
Figure 22 : Type de Groupe Par dfaut, les diffrents groupes oprateurs ne disposent pas de membres. On procde lajout des comptes d'utilisateurs dans ceux-ci pour attribuer des droits spcifiques. II est prfrable de limiter les droits des utilisateurs leurs fonctions pour une question de matrise de la scurit. Le conteneur Users liste les groupes prdfinis du domaine avec une tendue globale ainsi que quelques groupes prdfinis du domaine avec une tendue de domaine local, selon la figure. 23
49
Figure 23 : Liste de Groupe 3. Fonctionnement Aprs linstallation dactive directory nous aurons le schma du rseau Palma selon la figure 24.
50
51
Conclusion
A la fin de ce travail, je peux dire que jai bien pu avoir une visibilit concrte sur un domaine bien spcifique qui est la scurit informatique. En plus, ce travail ma t profitable en terme dacqurir une bonne exprience professionnelle, travers laquelle jai eu loccasion dappliquer mes connaissances scientifiques et de confronter la notion thorique la pratique. Et pour conclure, je peux dire que lobjectif global nest pas atteint par un seul projet, mais par une succession de projets afin dtablir un audit de scurit selon une mthode et norme standard.
52
Bibliographie
www.ansi.tn www.clusif.fr www.clusif.fr www.microsoft.com/technet/prodtechnol/w2kadsi.asp. www.cygwin.com www.commencamarche.com www.isc.cnrs.fr www.parisscyber.com www.Reso-Net.com/es.htm www.microsoft.com/france/window
53