Memoire Audit De Securite

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

DEDICACE

Je dédie, ce présent mémoire, à ma FAMILLE. C’est grâce à votre soutien infaillible que j’ai réussi à progresser dans mes études.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page1

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

REMERCIEMENTS Ce mémoire, qui marque le couronnement de mes études en licence professionnelle, me donne l'occasion d'adresser mes remerciements, les plus sincères, à tous ceux qui d'une manière ou d'une autre ont contribué à sa réalisation. Je remercie, tout particulièrement et en premier, le bon Dieu pour la paix et la santé qu’il a toujours pourvu pour la bonne réussite de mes études et autres activités extra scolaires. J'exprime également, ma profonde reconnaissance au Directeur de KRISTICCONSULTING M.ATTEKI FREDERIC et à l’ensemble du personnels et en particulier à M.KONAN KOFFI Erneste pour leur accueil si chaleureux et pour nous avoir accordé un stage au sein de leur entreprise. Mes remerciements sont adressés à mon professeur, M. NGUESSAN-BLÉ Stéphane, dont les remarques ont permis de mieux organiser l’allure générale de ce travail et de l’approfondir. Par ailleurs, il a bien voulu accepter de suivre ce mémoire, malgré ses nombreuses occupations, qu'il trouve ici l'expression de ma profonde gratitude. Je remercie ensuite tous les Professeurs et corps administratif de PIGIER Côte d’Ivoire pour leurs conseils et leurs disponibilités auprès des étudiants. Et enfin, Je remercie très vivementmes amis et connaissances pour leurs encouragements.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page2

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

AVANT-PROPOS Une bonne formation professionnelle doit allier les enseignements théoriques classiques à une expérience pratique, notamment par l'entremise d'un stage au sein d'une entreprise. Cette confrontation de la théorie et de la pratique doit permettre à l'étudiant de mesurer ses compétences, de corriger ses insuffisances et d’approfondir ses connaissances afin d’être plus opérationnel. Au

Groupe

PIGIER, structurede formationprofessionnelle,en cequi concerneles

étudiantsenLicence professionnelle et

Master2

lemémoire estla preuveécritede

l’accomplissementdu cyclede formation et représentepournousunephaseimportantepour notre candidature auDiplômede Licence Professionnelleoption Réseaux et Génie Logiciel. C’est donc une opportunité pour nous de porter une réflexion profonde à la fois théorique et pratique sur notre thème :« AUDIT DE

SECURITE INFORMATIQUE D’UN RESEAUX

LOCAL D’ENTREPRISE »

Laconduiteet l'exécutiondecetravailnousa permisdemobiliserdes connaissancestechniques enmatièredepromotiondesactivités d’audit et de sécurité dansledomainede réseaux informatiques d’entreprises.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page3

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

RESUME Dans l'entreprise, la sécurité du système d’informations et des données représentent un grand capital, à considérer au même niveau que le capital financier. Il faut les gérer convenablement. Maîtriser ce facteur permet aujourd'hui aux entreprises de limiter les risques de vulnérabilités et d’attaques. Par conséquent le défi est lancé, la gestion de sécurité de systèmes d’informations et des documents confidentiels des entreprises. Par ailleurs la sécurité du système d’information est devenue plus qu’une préoccupation pour toutes entreprises évoluant dans un monde en perpétuel économiquement et technologiquement. En effet, malgré des énormes budgets que cela confère, une entreprise se voit dans l’obligation de sécurisé ses données afin d’être l’abri de menaces. C'est dans ce cadre que se situe notre projet, qui consiste à Auditer la sécurité et à maintenir en bon état le système d’information de la société KRISTIC CONSULTING.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page4

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

SUMMARY Soas pre-view, we have had to realize in the frame of our assignment of training followed tasks: - Parses him needs of system of information of the enterprise ; - The audit of the physical logical working of the computer network of the enterprise ; -

To form staves of the enterprise to the good manipulation of the computer tool ;

- The faults detection in the working of the computer network of the enterprise; - To elaborate records technical flat working journeymen ; - Detection different types of attacks ; - To offer adequate solutions for the good management of the computer network of the enterprise.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page5

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

INTRODUCTION Le réseau informatique de tout établissement ou de toute entreprise est le premier maillon d’une grande chaîne qu’un utilisateur rencontre dès qu’il veut bénéficier des services en ligne qui lui sont proposés localement ou à distance par le biais d’Internet. L’accès à un réseau est un service qui peut être convoité dans un but malveillant. Cependant la Sécurité des Systèmes d’informations (SSI) est aujourd’hui un sujet important parce que le système d’information (SI) est pour beaucoup d’entreprises un élément absolument vital.

Vu l’importance et l’obligation de l’élaboration d’un audit de sécurité, chaque organisme doit établir un audit de sécurité informatique périodiquement afin d’identifier ses sources de menace et ses dégâts informationnels, alors que la sécurité des systèmes d’information était un produit de luxe, elle tend aujourd’hui à devenir un moyen d’apporter la confiance au cœur des affaires.

C’est ainsi que la société KRISTIC – CONSULTING nous a demandé de travailler sur le thème intitulé «AUDIT DESECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE». Ce mémoire est scindé en trois parties primordiales : la première partie présente le cadre de référence de notre étude, la seconde partie est axée sur l’étude préalable du thème qui nous a été soumis et la troisième partie détaille de façon pratique la mise en œuvre des solutions retenues.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page6

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

PREMIERE PARTIE : CADRE DE REFERENCE

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page7

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

I) PRESENTATION DE L’ENTREPRISE KRISTICCONSULTING 1. HISTORIQUE Créée en 2004, l’agence KRISTIC Consulting est une société Anonyme à Responsabilité Limitée (SARL). Elle a son siège social à Treichville, rue des selliers. L’agence est née de la volonté de professionnels ivoiriens de révolutionner la publicité en Côte d’Ivoire et en Afrique. La réactivité et l’innovation caractérisent l’agence KRISTIC Consulting. Représentation africaine de Basile Boli Evènements France(BBE), l’agence KRISTIC Consulting joue un rôle prépondérant dans l’économie ivoirienne à travers sa participation active au développement de la publicité en général et la promotion du marketing sportif en particulier. Certaines de ses réalisations telles des émissions télévisées et des évènements sportifs ont contribué au meilleur positionnement de certaines entreprises ivoiriennes et africaines. Aujourd’hui, c’est en toute confiance que KRISTIC Consulting envisage se positionner comme leader dans son domaine d’activité.

2. SERVICES ET SECTEUR D’ACTIVITE 2.1. Secteur d’activité KRISTIC Consulting est une société Anonyme à Responsabilité Limitée (SARL) qui exerce dans le secteur tertiaire c'est-à-dire, une entreprise qui est chargée à la vente des biens et services. Elle a son siège social à Treichville, rue des selliers. 2.2. Services KRISTIC Consulting est une société qui offre plusieurs services dont voici quelques uns : a) Marketing sportif Le marketing sportif (ou marketing du sport) est l'ensemble des principes et des stratégies marketing appliqués au domaine du sport. Il concerne à la fois les produits, les services et les organisations. Il existe une autre définition du marketing sportif. Dans ce différent point de vue, le marketing du sport est le marketing de l'offre. Il est un outil de gestion de Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page8

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

la consommation sportive, des produits et services dérivés. Le marketing sportif est un outil du management des Organisations sportives et/ou sportives professionnelles (nationales [Fédérations, Ligues, Clubs, etc.] et/ou internationales F.I.F.A., U.E.F.A., FIF etc.). Dans ce domaine KRISTIC CONSULTING s’illustre par l’organisation des événements tels que : -

-Le 1er tournoi en Afrique du football de plage du 04 au 06 décembre 2006 (Flag Beach soccer). -La célébration de la fête à Didier DROGBA le 09 juin 2006. b) Marketing social

Le marketing social est l’application des techniques et des outils du marketing commercial à des milieux relevant des problématiques sociales, environnementales ou culturelles. Il correspond à une segmentation, un ciblage. On procède ensuite à une évaluation des actions engagées. En la matière KRISTIC CONSULTING s’identifie par l’organisation des actions telles que : Le 1er salon Ivoirien du bien être familial (Expo Santé et Bien-être Familial) du 04 au 06 avril 2006 ; Déjeuner dîner gala (la main sur le cœur de Maman) mai 2004. c) Création Il s’agit de : L’élaboration de chartes graphiques, Affiches de tous formats, Cartes de visite, Calendriers, Chevalets, Semainiers, Objets Publicitaires, Cadeaux d’entreprise, Edition de mensuel (magazine échos MATCA).

d) Production audiovisuelle Elle consiste en la réunion et en la mise en œuvre de talents, de moyens techniques et humains, de financements nécessaires à la réalisation de programmes audiovisuels (télévision, cinéma).

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page9

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

En termes de production audiovisuelle, KRISTIC consulting en coproduction avec Basile Boli Evénements (BBE) a réalisé des émissions de fidélisation et de création de valeur ajoutée pour certaines marques. Il s’agira entre autre de : -Match par Match Orange : du 08 au 09 avril2008 (Orange CI) -En route vers la gloire : du 31 mars au 12 juin 2006 (Flag) -Au cœur des Eléphanteaux : les 20,23et 26 juin 2006 (CI Telecom) Ces supports ont contribué efficacement

au positionnement des entreprises mais

également et surtout à la fidélisation et à l’accroissement de la clientèle de celles-ci.

3. ORGANIGRAMME KRISTIC Consulting est dirigée par un Directeur Général. L’ensemble de son personnel est aidé dans ses tâches quotidiennes par des collaborateurs extérieurs ou consultants. Organigramme schématisé

Direction Générale

Secrétariat

Service Production Audiovisuelle et Création

Direction Commerciale et Marketing

La Comptabilité

Service Administratif

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

Service informatique

page10

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

II) INTERET DE L’ETUDE 1. Intérêt personnel Cette étude nous a permis de se familiariser avec l’environnement réseaux de l’entreprise, notamment par son administration et sa sécurisation. Elle nous a également donnée l’occasion de bien maîtriser les techniques de bases pour la gestion d’un réseau local d’entreprise.

2. Intérêt scientifique Nousvoulonsà travers cetteétude montrerl’importancedesstratégiesà

adopter

pour

auditer et sécurisé un réseau d’entreprise afin de déceler les risques auxquels s’exposent le réseau. Elle peut permettre à une entreprise de bien revalorisersesactivités de contrôle et de sécurité.

3. Intérêt social L’intérêt social

de ce

projet

vise à Formerauxtechniquesd’administration et de

sécurisation d’un réseau local d’entreprisedansl’ensemble du personnel,

lesjeunes

stagiaire qui veulent s’installercommeadministrateur systèmeenpleintemps et qui sont malgré toutconfrontésàunproblème d’insertion.

4. Intérêt pour l’entreprise Ce thème a un intérêt très capital pour l’entreprise, car sa mise en évidence devrait permettre à l’entreprise ,notamment à l’ensemble du personnel informatique de celle-ci de bien maitriser les techniques de bases d’audit informatique

et

lutter contre toute

utilisation frauduleuse des données importantes de l’entreprise et de renforcer ainsi les mesures de sécurité de l’entreprise afin d’accroître sa compétitivité et ses revenus dans le paysage des affaires oùla concurrence bas son plein.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page11

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

III) PROBLEMATIQUE La bonne marche d’une entreprise ne peut se faire que, si elle détient un minimum d’informations relatives à son environnement , mais aussi à l’utilisation optimale de son système d’ information. Cependant de nos jours, le paysage des affaires est heurté à des nombreuses difficultés d’ordres sécuritaires de réseaux informatiques dû aux attaques de tous genres, qui parfois occasionnent la fermeture de certaines d’entre elles. En effet la sécurité des réseaux informatiques des entreprises est devenue plus qu’une préoccupation de toutes les entreprises, qui évoluent dans un environnement de plus en plus incertain et qui veulent protéger leurs données sensibles contre les pirates informatique. La question ici est de mettre en évidence la stratégie que l’entreprise préconise pour pouvoir être à l’abri de ces menaces afin de protéger ses données.

IV) HYPOTHESES Eu égard de la vulnérabilité de données importantes de l’entreprise pour sa bonne santé et de la défaillance sécuritaire du système d’information de l’entreprise, cela nous a permis de fonder nos hypothèses sur les points suivants : -

La sécurité du système d’information de Kristic-Consulting est défaillante ; La licence de l’Anti-virus de l’entreprise est expirée ; les administrateurs de l’entreprise n’entreprennent pas assez les actions d’audit du réseau de l’entreprise ; Manque de sensibilisation à la sécurité informatique aux utilisateurs ; L’insuffisance des stratégies de sécurité rond le réseau d’entreprise de plus en plus vulnérable aux attaques de tout genre. La sécurité du système n’est pas fiable à 100% Le système est vulnérable aux attaques.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page12

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

V) MISSIONS DU STAGIAIRE 1. Les activités réalisées et taches confiées. Il s’agit de l’ensemble de tâches qui nous ont été confiées, et que nous avons eu le devoir d’accomplir dans le cadre de notre mission de stagiaire. Cet ainsi, Les activités réalisées ont été nombreuses. Dès le départ nous avons proposés et présentés un planning provisoire des différentes actions à mener pendant le stage. Ce qui a été bien accueilli par l'entreprise. Ensuite nous avons eu à faire la visite complète de l'entreprise et des ateliers afin d'analyser l'immobilier et l'implantation de l'entreprise, le matériel et l'équipement, les stocks de l'entreprise, l'organisation de la gestion de son système d’information, de la production. Nous avons également mené les missions suivantes :

-

Identifier les besoins internes de l’entreprise en terme fonctionnel ; Diagnostiquer le système d’information existant de l’entreprise et proposer des solutions idoines; Produire des rapports journaliers et les transmettent au supérieur hiérarchique ; Elaborer des fiches techniques pour le suivi des activités quotidiennes ; Assister les personnels de l’entreprise dans la manipulation de l’outil informatique ;

-

Former les utilisateurs profanes à l’utilisation de l’outil informatique ;

-

Maintenir en bon état le système informatique de l’entreprise ; Promouvoir les actions de surveillance, de sécurisation et d’administration du réseau informatique de l’entreprise ;

-

-

2. Nouvelles acquisitions professionnelles Ce stage nous a permis de se familiariser avec l’environnement de l’entreprise, il nous a permis en plus de maîtriser les techniques de base de la gestion d’un réseau informatique d’entreprise. Il nous a également donné l’occasion de bien maîtriser l’élaboration d’un cahier de charge pour la surveillance d’un réseau informatique d’entreprise.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page13

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

DEUXIEME PARTIE: ETUDE PREALABLE

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page14

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

I) APPROCHE METHOLOGIQUE Le but de la méthode utilisée est de mettre à disposition des règles, modes de présentation et schémas de décision.

1. DEFINITION Une méthodologie est une démarche rigoureuse et standardisée s’appuyant sur des outils tels que des questionnaires, des logiciels spécialisés et permettant de faire l’analyse de sécurité du système d’information dans ce contexte.

2. DIFFERENTES METHODES Plusieurs méthodes globales se présentent, citons comme exemples : -

La méthode COBIT (control objectifs for information and technology).

-

La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).

-

La méthode MARION (Méthodologie d’Analyse de Risques Informatiques Orientée par Niveaux).

-

La méthode MEHARIE (Méthode Harmonisée d’Analyse Risques).

3. CHOIX DE LA METHODE La méthodologie adoptée pour l’élaboration de notre projet est COBIT. 3.1. Présentation de COBIT COBIT est

un modèle de référence utilisé pour l'audit et la maîtrise des systèmes

d'information. -

Le référentiel COBIT peut être utile:

-

Comme source d'idées sur les meilleurs pratiques, processus, rôles et livrables

-

D'accélérer l'amélioration en suggérant les priorités, la cible et les solutions possibles

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page15

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

-

De comparer le niveau de maturité d'une organisation informatique

-

De donner des règles du jeu, de "gouverner"

-

De pouvoir atteindre et de démontrer la conformité à une norme.

3.2. Intérêt de COBIT Le modèle COBIT est centré sur la gouvernance des processus de gestion d'une direction informatique. "La Gouvernance des Technologies de l'Information contient une structure de relations et processus pour diriger et contrôler l'entreprise dans le but d'atteindre les objectifs de l'entreprise en ajoutant de la valeur tout en équilibrant le risque." La Gouvernance des TI permet de répondre aux questions suivantes: -

Comment sont prises les décisions?

-

Qui prend les décisions?

-

Qui est tenu pour responsable?

-

Comment le résultat des décisions est-il mesuré et suivi?

-

Quels sont les risques?

La Gouvernance des TI est un cercle vertueux permettant d'orienter et de contrôler les processus de gestion en: -

Donnant les orientations stratégiques des différents processus de gestion,

-

Utilisant les processus métier pour fournir les services demandés,

-

Chaque processus métier doit rendre compte de l'accomplissement de ses objectifs

-

De contrôler le bon déroulement des processus et de les améliorer au besoin en définissant de nouvelles orientations.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page16

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Le cercle vertueux de la Gouvernance d'un système d'information La clef de la gouvernance est le Contrôle permettant d'atteindre des objectifs dans une des catégories suivantes: -

Effectivité et efficacité des opérations

-

Fiabilité des informations, notamment financières

-

Conformité avec les lois, règlements et engagements contractuels applicables

3.3. Les phases d’audit La méthodologie à suivre se décompose en quatre phases : -

phase préparatoire.

-

Evaluation de la qualité des services.

-

Audit de l’existant.

-

Expression des besoins de sécurité " solutions." 3.3.1. Phase préparatoire

-

La définition du domaine couvert qui consiste à délimiter le périmètre de l’étude et à préciser les cellules qui le composent.

-

La définition du réseau en précisant les points de forces et de faiblesses.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page17

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

3.3.2. Evaluation de la qualité des services -

Le questionnaire d’audit : c’est un questionnaire prenant en compte les services à satisfaire.A chaque service correspond

un lot de questions

auxquelles il est

demandé de répondre par oui ou par non. "Annexe 2." -

La mesure globale de la qualité des services : une mesure globale de la qualité ou la performance d’ensemble d’un service de sécurité est élaborée automatiquement par la méthode à partir des réponses au questionnaire d’audit correspondant. Les résultats de l’audit de l’existant sont également utilisés pour établir une image consolidée de l’audit des mesures de sécurité. 3.3.3. Audit de l’existant

L’audit de l’existant est déterminé en suivant la démarche d’un plan bien organisé et détaillé élaboré par une autre société "SONAIDE" 3.3.4. Expression des besoins de sécurité -

L’expression des besoins de mesures spécifiques de sécurité : proposer des solutions de sécurité, opérer une sélection des mesures, répondre aux risques majeures découlant de l’étude des menaces les plus graves.

-

l’expression des besoins de mesures générales de sécurité : réduire les conséquences des risques majeurs (graves.)

II) DEFINITION DU PROJET D’ETUDE Un projet est un processus unique qui consiste en un ensemble d’activité coordonnées et maîtrisées comportant des dates de début et de fin entrepris dans le but d’atteindre un objectif précis à des exigences spécifiques.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page18

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

1. OBJECTIF Cette étude a pour objectif principal de renforcer la sécurité du réseau de l’entreprise à travers son audit.L’étude se donne également l’objectif d’apporter la lanterne de façon générale sur les éléments essentiels du réseau dont il faut protéger.

2. Nature du projet Il s’agit d’un projet soft car l’extrant principal est totalement intangible.

3. Durée et cout du projet 3.1. Durée du projet Ce projet a pour durée de 6 mois 2.1. Cout estimatif du projet Après étude, nous avons déterminé un cout estimatif totalde : 1. 938700 FCFA qui s’établissent comme suit : REAPPROVISIONNEMENT DES EQUIPEMENTS Désignation

Désignation Quantité Prix Unitaire

Montant

Ordinateurs

4

350.000 FCFA

1400000 FCFA

Câbles Réseaux

20

750 FCFA

15 000 FCFA

Anti virus

5

45.000 FCFA

45.000 FCFA

Climatiseurs

2

90.000 FCFA

90.000 FCFA

Attaches

70

100 FCFA

100 FCFA

Connecteurs Rj45

50

520 FCFA

520 FCFA

Commutateur

1

92.000 FCFA

92.000 FCFA

Total

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

1. 938700 FCFA page19

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

TROISIEME PARTIE : ETUDE DETAILLEE

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page20

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

I. AUDIT DU RESEAU INFORMATIQUE DE KRISTICCONSULTING 1. Phase préparatoire Il s’agit de mettre en place les éléments essentiels pour le contrôle physique (matériels) et logique (logiciels) de notre réseau. Cependant dans cette phase les opérations à effectuer sont les suivantes : -

la description du matériel présent ;

-

définition du périmètre de l’étude ;

-

l’analyse fonctionnelle du réseau ;

-

l’élaboration de la fiche de contrôle.

-

La définition du périmètre de l’étude

2. Définition du périmètre de l’étude

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page21

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Architecture du réseau actuel

3. Les équipements et matériels réseau 4. Description Le réseau actuel de la société KRISTIC-CONSULTING est constitué des équipements présentésdans le tableau suivant:

-

DELL

Intel 3Ghz

P4 512 Mo

03

TOSHIBA Dual Core

4 Go

Modèle 6087CTO 1908JTA

2 Ghz

04 03 01 02 01 01

HP

JT 12400

DELL

Os client

Os serveur

(01)

13

Mémoire RAM

Windows serveur 2003

Ordinateurs de Bureau Ordinateurs Portables Imprimante Serveur Hub Switch Routeur Modem

Processeur

Windows Xp professionnel Windows 7

Equipements Nombre Marque

Cisco

Plage d’adresse IP

La Société KRISTIC-CONSULTING dispose de plage d’adresse IP routables alloués au routeur et aux postes de travail connectés au réseau. Topologie du réseau Tous les postes de travail connectés au réseau sont placés sur le même segment. Des Switchs en cascade sont utilisés dont les différents postes de travail leurs sont connectés. -

Equipements existants - Des PC de bureau et portables : Pentium IV, Dual Core - Un serveur HP proliant pour de base de données -

Un serveur Dell qui gère différents applications Un serveur d’impression qui gère différentes impressions Un modem pour l’accès Internet et pour la connexion VPN Un Firewall pour contrer les intrusions de l’extérieur 2 Switch de 24 Ports et un Hub de 5 ports Des Imprimantes monoposte et réseau.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page22

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

II. AUDIT DE L’EXISTANT 1. Faiblesse du réseau actuel La situation actuelle souffre de défaillances du fait que le réseau n’obéit pas en effet aux normes d’exploitation. Nous citons si après à titre d’exemple certains problèmes du réseau : - Absence de stratégie claire de protection des attaques virales (Anti spam par exemple) venant des messageries électroniques depuis les ordinateurs qui ont un accès internet. - Absence d’un détecteur d’intrusion contre tout accès non autorisé de l’extérieur vers le réseau local. - Absence d’une politique pour la mise à jour de l’antivirus et des correctifs de Windows. - Absence d’un mécanisme de filtrage des paquets entrant/sortant. -Absence d’une stratégie centralisée comme Active directory pour gérer des ressources liées à la gestion du réseau (domaines, comptes utilisateurs, groupe de travail, stratégies de sécurité, ...). 2. Point Fort du réseau Même avec les faiblesses citées plus haut, le réseau de KRISTIC-CONSULTING présente un ensemble de points forts qu’il faut préserver, voire renforcé Citons à titre d’exemple : L’existence d’un responsable informatique améliore la qualité du travail et offre aux employés l’opportunité de travailler dans les meilleures conditions. La construction du local doté d’un câblage obéissant aux normes en matière de câblage informatique. Prise en compte de la sécurité contre les risques physiques (les dégâts d’eau, de feu ou d’électricité).

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page23

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

La connexion à internet et aux ressources du réseau local est rapide offrant un confort d’accès. Existence d’un Firewall qui permet la protection des réseaux informatiques internes de l'entreprise contre les intrusions du monde extérieur, en particulier les piratages informatiques. 3. Les enjeux de la sécurité Au fil des dernières décennies, l’outil informatique a pris une grande importance pour les entreprises. Quel que soit le secteur d’activité de l’entreprise, l’informatique joue un rôle prépondérant devenant peu à peu l’outil de référence. L’importance accordée aux systèmes informatiques par l’entreprise en fait la cible d’attaque. Le risque d’attaque est accru avec l’ouverture de l’entreprise à l’internet. A ces nouveaux risques s’ajoutent aussi les risques dits « classiques » comme les sinistres, les défaillances matérielles, le manque de vigilance. Négligé l’importance des risques pesant sur le système informatique peut conduire l’entreprise à déposer le bilan.

III. LES SERVICES DE SECURITE Un service de sécurité est une réponse à un besoin de sécurité, exprimé en terme fonctionnel décrivant la finalité du service, généralement en référence à certains types de menaces En Plus, un service de sécurité peut ainsi lui-même être constitué de plusieurs autres sousservices de sécurité pour répondre à un besoin. Nous avons définit des domaines de responsabilité, numérotés de 1 à 16, qui abordent dans la société, du point de vue de la sécurité : 1

Sécurité des locaux

2

Sécurité réseau étendu

3

Sécurité du réseau local

4

La sensibilisation et la formation à la sécurité

5

Contrôle d’accès applicatif

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page24

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

6

Contrôle de l’intégrité des données

7

Confidentialité des données

8

Disponibilité des données

9

La sécurité logique des équipements

10 Les plans de secours 11 Les plans de sauvegarde 12 Authentification 13 Contrôle d’accès 14 Configuration des logiciels 15 La maintenance 16 La gestion des incidents

1. Fonction informatique de sécurité La qualité de l’organisation générale de la fonction informatique dépend essentiellement de principaux facteurs : le positionnement de la fonction informatique, la séparation des fonctions et la gestion du personnel informatique. 2. Rôle des directions dans le système informatique Le système d’information est considérée comme un sous-système de l’entreprise lié au système opérant qui réalise les activités, et au système de décision qui fixe les objectifs et effectue les choix. La société KRISTIC-CONSULTING est une filiale d’AGE-CONSULTING, ainsi la direction Informatique est centralisée au siège. L’organigramme du système d’information est comme suit Architecte Base de données

Direction Informatique

Administration Application

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page25

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Service Bureautique Organigramme du système Informatique Selon un Budget, les nouveaux projets informatiques qui sont proposés suite à un besoin exprimé par la direction informatique, sont transmis directement vers la direction générale pour acceptation ou refus.  Appréciation L’existence de procédures de suivi fournit un avantage très important dans le bien être de l’entreprise car ces procédures permettent : -

L’évaluation du patrimoine existant

-

Le suivi de la situation actuelle

-

Le développement bien structuré des projets

-

Présence de planification pour l’application informatique

3. Rôled’un administrateur dans une entreprise Trois grandes familles de tâches incombent à l'administrateur d ’ u n réseau informatique d’entreprise : gérer le système, les services et la sécurité. Surveilleretassurerlabonnemarchedusystèmeauquotidien: -surveiller les ressources (disque, mémoire, CPU, etc.); -planifierl'ajoutderessources. Administrerlesservicesdéployés: -gérerlesutilisateurs; - installeretconfigurerlesapplications; -planifierlesmigrations. Prévoir et gérer les incidents et les intrusions (tâches transversales): - installerlescorrectifsdesécurité; -«durcir»lesystèmeetlesapplications; -mettreenœuvreunplandesauvegarde; Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page26

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

-superviserlesystèmeetlesapplications.

4. Existence de politiques, de normes et de procédures L’existence de politique, méthode, normes et procédures informatiques permettent de justifier que la fonction informatique est bien organisée et qu’elle respecte les règles de travail, et ce afin d’avoir un service de qualité et bien développé. Actuellement, le service informatique fonctionne selon une politique informatique de sécurité claire et formalisée mais ne suit pas : -

Une méthode clairement définie

-

Une norme de sécurité informatique standard

-

Une procédure informatique formalisée

 Appréciation L’inexistence de méthode de d’évaluation des risques et de la gestion de la sécurité informatique a pour conséquence : - Le manque de garantie de l’harmonisation et de la qualité des applications. -

Le manque de maitrise de la gestion des projets informatiques

-

Difficulté d’évaluation du personnel informatique

- L’inexistence de procédure informatique formalisée relative à la sécurité peut

engendrer: -

Difficultés de la mise à jour des applications informatiques

- Absence de formation et de sensibilisation des utilisateurs - Absence d’un guide de sécurité aux utilisateurs

 Recommandation Chaque direction peut suivre des fiches techniques ou des manuels de politique, de norme et de procédures servant à la planification, à l’organisation, au contrôle et à l’évaluation de la direction informatique concernant : Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page27

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Les normes de management de la sécurité du système informatique ;

-

Les procédures par la mise à jour des applications informatiques etl’élaboration d’un guide de sécurité aux utilisateurs.

-

Existence de toute documentation relative aux politiques, normes et procédures informatiques.

5. Responsabilité de la direction informatique Les responsabilités de la direction informatique doivent être justifiées par les éléments suivants : -

Définition claire des responsabilités de la direction informatique ;

-

Equilibre entre les pouvoirs et les responsabilités de la direction informatique ;

-

Le service informatique joueun rôle moteur dans la circulation de l’information dans la société, il est suivi par des responsables spécialistes :

-

Administrateur Réseau

-

Maintenance équipement informatique  Appréciation

La séparation des fonctions des responsables informatiques diminue les d’accumulation des fonctions.

risques

La présence d’une structure dédiée à la planification et le suivit des travaux informatiques offre une souplesse lors de : -

L’exploitation ;

-

La gestion du parc informatique ;

-

La gestion du réseau LAN et WAN.

 Recommandation La direction Informatique doit instaurer une structure qui sera chargé à la planification et au suivit des travaux afin de : -

Suivre la productivité du personnel informatique ;

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page28

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

-

Satisfaire les besoins des décideurs et des utilisateurs ;

-

Assurer l’existence de la veille technologique dans le secteur informatique.

6. Existence de dispositif de contrôle interne La réalisation des objectifs du contrôle interne nécessite la mise en œuvre par l’entreprise des dispositifs suivants : -

Un système adéquat de définition des pouvoirs et des responsabilités ;

-

Une documentation satisfaisante décrivant les procédures de la société ;

-

Des procédures efficaces permettant de respecter une structure d’audit interne efficace.

IV. PROCESSUS DES TRAITEMENTS 1. Gestion des configurations Actuellement, l’architecture appliquée par la plupart des postes à KRISTICCONSULTING, est une architecture client/serveur à deux niveaux « appelé aussi 2-tiers ». Cela signifie que les machines clientes contactent un serveur de base de données, qui leur fournit des services de données. Ces services sont exploités par des programmes, appelés programme client, s’exécutant sur les machines clientes. En plus, on constate seulement quelques postes appliquent une architecture à trois niveaux (appelé architecture 3-tiers). Cela signifie qu’il y’a un niveau intermédiaire, c'està-dire il existe une architecture partagée entre trois ressources : -

Premièrement, un client « l’ordinateur demandeur de ressources » équipé d’une interface utilisateur chargée de la présentation.

-

Deuxièmement, un serveur d’application est chargé de fournir la ressource mais faisant appel à un autre serveur.

-

Troisièmement, un serveur de base de données, fournissant au serveur d’application les données dont il a besoin.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page29

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

 Appréciation On constate qu’une architectureclient/serveur 2 tiers est évolutive, car il est facile d’ajouter ou d’enlever des clients sans perturbation et modification du fonctionnement du réseau En plus l’architecture 2 tiers interroge un seul serveur pour évaluer un service demandé. Mais, en cas de panne, seul ce serveur fait l’objet d’une réparation, et non le PC client, cela signifie que ce serveur est le seul maillon faible du réseau client/serveur, étant donné que tout le réseau est architecturé autour de lui.  Recommandation L’implémentation d’une architecture multi tiers est plus efficace pour la société. Cette architecture qui se base sur la technologie du Web met en évidence au moins 3 niveaux 2. Analyse des demandes arrivant au helpdesk Il n’existe aucun guide d’aide aux utilisateurs pour les applications utilisées.  Recommandation Afin d’établir une méthode de sécurité, il est important de développer un guide d’aide utilisateur pour les services de la sécurité appliquée dans la société et bien analyser les demandes arrivant à ce guide. 3. Procédures d’achat Les achats Informatiques sont initiés généralement par le responsable du informatique et réalisé par le chef du service financier. -

service

Le rôle du responsable informatique

L’utilisateur final informe sur un problème qui s’est produit lors de son utilisation d’un tel équipement. Une consultation décrit si cet équipement a besoin d’un entretien ou il est inutilisable, d’où une demande d’achat qui doit être élaborée par le responsable informatique. -

Le rôle du chef de service financier

Ce dernier reçoit la demande d’achat émanant du responsable informatique, élabore les consultations et procède au choix du fournisseur en concertation avec les acteurs concernés, en suite élabore un bon de commande selon le budget accordé. Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page30

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Enfin reçoit le bon de livraison et la facture après leur prise en charge par le responsable concerné

 Appréciation

L’informatisation du système de gestion et d’organisation relatif à la gestion de l’approvisionnement constitue un point fort envers l’amélioration du fonctionnement de ce domaine. Cela a pour conséquence de bien contrôler : - La gestion des commandes et des fournisseurs ; - La tenue et le suivi du stock ; - Prise en charge automatiquement des entrées et sorties ; - Contrôle du stock ; - Gestion des inventaires ;

V. EQUIPEMENTS INFORMATIQUE 1. Inventaires des équipements informatiques 1.1. Les Unités Centrales De références, Dell, HP, la configuration est généralement comme suit : -

Processeur : Dual Core

-

Mémoire Minimale de 512 MO

-

Espace disque minimal de 160 GO  Appréciation

On constate que la configuration matérielle répond aux exigences minimales pour la configuration des applications et pour une exploitation facile et assurer une rapidité des traitements 1.2. Les Switch et les Hubs Les différents postes de travail sont interconnectés via des Switch cascade.

et des hubs en

 Appréciation

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page31

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Les Switch envoient directement le trafic seulement à la destination, contrairement aux hubs qui envoient le trafic à tous les ports et non seulement à la destination L’utilisation des hubs augmente le risque d’intrus obtenant l’accès au réseau et menant une attaque d’écoute.

 Recommandation Il est conseillé de remplacer tous équipements passifs par des équipements actifs 1.3. Le câblage Informatique Le système de câblage informatique installé au bâtiment KRISTIC-CONSULTING est conçu pour fonctionner de façon optimale pour permettre des évolutions futures. Tous équipements informatiques existent dans la société sont câblage de type paire torsadé catégorie 5

interconnectés via le

Les boitiers des prises muraux sont repérés par des étiquettes portant un numéro unique sur le réseau et qui est repéré facilement dans le panneau de brassage pour l’interconnexion avec les commutateurs « prise Rj45 ».  Appréciation Le système de câblage installé fonctionne selon les besoins en termes de bande passante et de débit disponible Le Schéma de conception de câblage pour l’interconnexion des différents équipements n’est pas bien géré : les extrémités des câblages interconnectés aux commutateurs ne sont pas bien organisées. L’absence d’un suivi d’entretien de câblage peut être un point faible pour la sécurité du câblage. 1.4. Les Imprimantes Chaque service possède une imprimante configurée et partagée sur un poste utilisateur  Appréciation

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page32

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

La présence de ce type d’imprimante est un avantage pour la société du point de vue de coût d’une part, mais aussi c’est une vulnérabilité vu que toute panne du PC ou est configuré l’imprimante engendre une panne générale pour tous les connectés.  Recommandation

Prévoir l’utilisation des imprimantes réseaux, ou la configuration est gérée par l’administrateur réseau, et ou l’attribution d’accès est selon le paramètre IP de l’imprimante et non d’un PC. 2. Environnement du matériel 2.1. Les défauts de climatisation Il n’y a pas une salle informatique pour héberger le matériel informatique. Les serveurs, modem sont placés dans un bureau bien climatisé, l’accès à ce bureau n’est pas restreint. L’armoire informatique se situe dans un emplacement qui n’est pas climatisé.  Appréciation Les équipements informatiques sont conçus pour travailler dans un environnement spécifique pour respecter les conditions normales de fonctionnement. Alors que ces conditions sont partiellement respectées.  Recommandation Il est recommandé de -

Spécifier un local protégé et bien aménagé comme salle informatique.

-

Placer un climatiseur dans le local ou se trouve l’armoire informatique.

2.2. Détection des dégâts d’eau La société ne possède pas un détecteur contre l’humidité et les dégâts d’eau.  Appréciation Il y’a risque de propagation de l’eau dans la salle connectique ce qui peut causer des incidents à citer : -

Divers cours-circuits entrainant la rupture de service des équipements ;

-

Détérioration des équipements ;

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page33

PIGIER Côte d’Ivoire AUDIT

-

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Corrosion des câbles et connecteurs ;

 Recommandation Il est conseillé d’utiliser des tubes isolés pour le câblage d’alimentation, ainsi que pour le câblage réseaux.

2.3. Détection des dégâts du feu Il y’a une présence physique contre les dégâts de feu.  Appréciation Ce type d’incident peut mener à la destruction partielle de la société et particulièrement des équipements informatiques.  Recommandation Il est recommandé de Eviter le stockage de produits inflammables dans le bureau ou se trouve le matériel informatique - Vérifier régulièrement les circuits électriques 2.4. Les dégâts d’électricité Les deux serveurs, les Switch, ainsi que quelques postes utilisateurs sont protégés par des onduleurs contre les coupures électriques  Appréciation. L’utilisation d’un onduleur est un point fondamental pour protéger le matériel informatique contre : - Coupure électrique ; - Surtension, c'est-à-dire une valeur nominale supérieure à la valeur maximale prévue pour le fonctionnement normal ; - Sous-tension, c'est-à-dire une valeur nominale inférieure à la valeur maximale prévue pour le fonctionnement normal.  Recommandation -

Il est recommandé de brancher les onduleurs avec tous les équipements informatiques, afin de commander proprement l’extinction de données en cas de coupure de courant. Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page34

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

3. Environnement des logiciels de base Les systèmes d’exploitation installés au niveau des différents postes de travail sont : -

Windows XP

-

Windows Vista

-

Windows 7

-

Windows 2003 Server

3.1. Les Patchs Les patchs de sécurité « service Pack » ne sont pas installés au niveau des postes de travail. - La majorité des patchs de sécurité relatifs au système d’exploitation ne sont pas appliqués. Cette faille offre aux intrus la possibilité d’exploiter les vulnérabilités non corrigées.  Recommandation Il est conseillé d’installer un serveur de mise à jour Windows afin de distribuer les patchs sur le réseau vers les postes de travail. 3.2. Les systèmes de fichier Le système de fichier détecté au niveau des postes utilisateurs est le FAT et le NTFS.  Appréciation Le système de fichier FAT n’offre pas de mécanisme de sécurité qui peuvent être appliqués aux fichiers stockés sur le disque tel que : - La sécurité des fichiers : les droits d’accès peuvent être assignés aux fichiers et répertoires. - Le cryptage : les fichiers peuvent être stockés sur le disque sous forme crypté.  Recommandation Il vaut mieux réinstaller les postes utilisateurs en FAT par le système de fichier en NTFS, ceux ci peut offrir - Une sécurité au niveau des fichiers et des dossiers ; - Une compression des fichiers ; - Un quota des disques; - Un cryptage de fichiers. 3.3. Services inutilisables Des services non nécessaires sont en exécution sur les postes de travail.  Appréciation Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page35

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Le démarrage de certains services non nécessaire augmente le risque d’une intrusion au système, si jamais une vulnérabilité liée à ce service apparait. Le service d’accès à distance au registre est activé, ce service permet de manipuler à distance la base de registre  Recommandation Il faut arrêter et désactiver le démarrage automatique desservices non nécessaires pour les postes utilisateurs, exemple vous pouvez désactiver le Netmeeting « le partagede bureau à distance Netmeeting ».

VI. RESEAUX ET COMMUNICATIONS 1. Définition des réseaux informatiques Par définition un réseau informatique est l’interconnexion physique et logique des ordinateurs qui se partagent des ressources. 2. Définition de la communication La communication est la transmission des faits, d’opinions, d’idées par le biais d’un canal d’un récepteur à un émetteur. 3. La connexion externe et interne 3.1. Accès à internet A partir du LAN d'une entreprise, quelque soit la station qui désire accéder à la toile, il est possible d'exploiter l'une des trois méthodes ci après : - Connexion directe (sans NAT) : dans cette méthode, la station interne qui fait office de passerelle d'accès au réseau externe doit disposer d'une adresse IP officielle (publique) qui lui permettra de l'identifier sur internet. - Connexion directe avec NAT : dans ce cas, la station interne se contentera d'une adresse IP privée, ses requêtes passeront par un NAT qui lui a une adresse IP public. La NAT se chargera de traduire l'adresse de la station locale puisque celle-ci n'est pas routable autrement dit autorisée sur internet du fait qu'elle n'est pas unique. Ce mécanisme de NAT permet notamment de faire correspondre une seule adresse externe publique visible sur internet à toutes les adresses d'un réseau privée, et pallie ainsi à l'épuisement des adresses IPV4. -

Proxy-cache web : la station interne a une adresse privée et est configurée pour utiliser le serveur proxy lorsqu'elle émet une requête web ; c'est donc au tour du proxy d'envoyer la requête sur le serveur web externe. Cet état des fait ouvre deux sessions TCP (http) : station-proxy et proxy-serveur web, conserve une cache web en interne, permet un gain de la bande passante. De ces trois méthodes, la plus sécurisée est la dernière ; elles sont ainsi énumérées suivant le degré de sécurité le moins élevé.

3.2. Accès depuis l'internet Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page36

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Dans une architecture réseau où certains services tels la messagerie, le web sont parfois utilisés hors du réseau local, il convient de placer les serveurs hébergeant ces services dans Ks-serveur Web (zone démilitarisée) qui doit être semi ouverte à find'autoriser les accès externes. A défaut d'héberger ce service dans la zone démilitarisée, l'entreprise peut opter également solliciter les services d'un fournisseur d'accès ou d'un hébergeur. Les stations de Ks-serveur Web doivent être des stations dédiées c'est-à-dire réservées pour des tâches précises à fin de limites les risques d'attaques du réseau local. En matière de sécurité, vu les nombreuses failles de sécurité que présentent l'environnement Windows (serveur web IIS en l'occurrence), il est préférables d'utiliser les logiciels libres (ex : apache) et les systèmes Unix car ils présent moins de vulnérabilité ; tout en prévoyant un mécanisme de mise à jour. En général, accéder à partir de L'Internet au réseau local de l'entreprise concerne les tâches telles que : - La consultation de la messagerie et l'émission des messages, - L'accès (interactif) aux stations interne, - Le transfert de fichiers - L'accès global à toutes les ressources de l'Intranet (réseau interne) de manière sécurisée (absence de mot de passe en clair sur le réseau) Pour réduire la vulnérabilité du réseau local, il convient de sécuriser les moyens d'accès à ses tâches. L'accès interactif aux stations internes (Telnet), POP, IMAP,... présente une vulnérabilité élevée, ainsi il est nécessaire de les coupler avec le protocole de sécurisation des échanges SSL, qui assure la sécurité (confidentialité, intégrité et authentification) des transactions sur internet. Au niveau applicatif, on peu également sécuriser l'accès interactif et le transfert de fichiers en utilisant SSH ; penser à intégrer un garde-barrière dans la chaîne de sécurité. Un accès complet à toutes les ressources internes requiert davantage de sécurité. De ce fait l'entreprise peut opter pour l'implémentation d'un VPN qui est une bonne alternative aux liaisons spécialisées qui bien qu'étant plus fiables sont onéreuses. Le VPN utilise le principe de tunneling pour la communication entre le deux points distants via les protocoles tels que PPTP, L2TP, IPSec. Tous ces mécanismes de sécurité requièrent des compétences pointues pour ne pas créer des trous de sécurité dans la configuration ; ils ne garantissent pas une sécurité à 100% contre des attaques et des vols d'informations, d'où il est primordial de prévoir des sauvegardes. 3.3. Segmentation Absence de séparation logique au niveau du réseau. Tous les postes connectés sont placés sur le même segment.  Appréciation Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page37

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Les données échangées par le personnel (administratif, technique etc...) dispose du même niveau de confidentialité ce qui augmente le risque de perdre la confidence dans des données échangées.  Recommandation Il faut appliquer une séparation physique du réseau local en utilisant les commutateurs entre les équipements interconnectés selon le degré de confidentialité.

3.4. L’affectation des adresses IP Les adresses IP des équipements du réseau sont attribuées de façon statique 3.5. Plan d’adressages IP Architecture du réseau : client/serveur Adresse réseau : 192.168.10.0 Adresse routable : la mise en place de la Nat s’avère nécessaire pour répondre à cette question Plage d’adresseslocale : 192.168.10.65 à 192.168.10.126 Masque sous réseau : 255.255.255.0 Adressage des machines : Nomination des postes

Adresses IP

Ks-serveur d’applications (base de données)

192.168.10.65

Ks-serveur d’impressions

192.168.10.66

Ks-serveur Web

192.168.10.67

Ks -client01

192.168.10.68

Ks -client02

192.168.10.69

Ks -client03

192.168.10.70

Ks -client04

192.168.10.71

Ks -client05

192.168.10.72

Ks -client06

192.168.10.73

Ks -client07

192.168.10.74

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page38

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Ks -client08

192.168.10.75

Ks -client09

192.168.10.76

Ks -client010

192.168.10.77

Ks -client011

192.168.10.75

Ks -client012

192.168.10.76

Ks -client013

192.168.10.77

Ks -client014

192.168.10.78

Ks -client015

192.168.10.79

Ks -client016

192.168.10.80

 Appréciation Un attaquant, à l’aide d’outils spécifique, peut facilement identifier l’adresse IP de l’équipement désigné, pour accéder à ces ressources.  Recommandation Il est conseillé d’intégrer un serveur DHCP qui permet d’attribuer automatiquement des adresses IP à la station de travail. 3.6. Les Postes utilisateurs

Caractéristiques des postes Ordinateurs

16

Marque

DELL

Processeur

Intel P4 3Ghz

Mémoire RAM

512 Mo

Disque dur

Système d’exploitation

80 Go

Windows serveur 2003 (01) Windows XP 3

03 portables

Toshiba

Dual Core 2 Ghz

4 Go

160 Go

Windows 7

a- Séquence de démarrage La séquence de démarrage actuellement défini pour plusieurs postes de travail est le suivant -

Disquette/CDROM

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page39

PIGIER Côte d’Ivoire AUDIT

-

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Disque Dur  Appréciation

L’utilisation de cette séquence de démarrage offre à l’intrus, obtenant l’accès physique au poste de travail, le lancement d’un système d’exploitation pour mener ces attaques.

 Recommandation La séquence de démarrage qui doit être appliquée est la suivante : -

Disque Dur CD ROM/Disquette

b- Session La plus part des postes utilisateurs ne possèdent pas de session, mais il y’a d’autres qui possèdent la configuration de deux sessions : Une pour l’administrateur informatique, et l’autre pour l’utilisateur.  Appréciation L’absence de session offre à l’intrus la possibilité de collecter un ensemble d’information sur la cible (nom d’utilisateur, partage). L’audit des postes de travail connectés au réseau a relevé la vulnérabilité pour plusieurs postes.

présence de cette

 Recommandation L’exigence d’avoir au moins deux sessions pour chaque poste, une pour l’utilisateur avec privilège restreint de préférence pour ne pas modifier la configuration initiale et la deuxième pour l’administrateur qui est le seul à pouvoir modifier les paramètres de base. Une authentification par Login et Mot de passe est obligatoire. C- Active directory

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page40

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Les postes client sont intégrés dans le WORKGROUP, ou le compte d’accès par défaut est administrateur sur les postes client ce qui provoque des nombreuses requêtes en provenance des postes clients qui veulent devenir le "maitre de Workgroup"  Appréciation

Active directory fournit des services centralisés de Gestion des ressources et de la sécurité, il permet également l'attribution et l'application de stratégies.  Recommandation Une intégration des postes de travail au domaine spécifié est nécessaire. Cette étape donne à l’administrateur un droit de contrôler des utilisateurs en leurs attribuant les droits biens spécifiés et de gérer les différentes ressources, aussi il y’a un gain de temps pour l’administrateur et pour l’utilisateur. 4. Identification des risques 4.1. Les risques humains La société n’a pas pu parfaitement lutter contre les risques humains : Les risques de malveillance ;

-

Les risques de maladresse et d’inconscience des utilisateurs ;

-

Effacer involontairement les données ou des programmes ;

-

Exécuter un traitement non souhaité ;

-

Introduire des programmes malveillants sans le savoir.  Appréciation

La majorité des failles et incidents de sécurité sont dus à des erreurs humains, des utilisateurs sont encore inconscient ou ignorant des risques qu’ils encourent l’ors de l’utilisation d’un programme malveillant.  Recommandation

Une formation des utilisateurs est nécessaire à la sécurité informatique. Il faut s’assurer également que les utilisateurs sont sensibilisés aux risques informatiques et adhérents aux exigences de sécurité des systèmes d’information. Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page41

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

4.2. Les risques techniques 4.2.1. Les Virus La majorité des postes de travail disposent d’un antivirus installé (Kaspersky) qui vérifie en permanence les fichiers de l’ordinateur, mais il y’a quelques un qui sont mal configurés et qui ont une mise à jour ancienne.  Appréciation

La mise à jour de l’antivirus est paramétrée et se fait automatiquement chaque 2 heures et un scan se fait automatiquement à chaque démarrage.  Recommandation

Il faut reconfigurer le programme antivirus convenablement pour quelques postes afin d’avoir une protection fiable, une mise à jour automatique et un scan régulier. 4.2.2 Attaque sur le réseau On note l’absence d’un système de détection d’intrusion contre tout accès non autorisé depuis l’extérieur.  Appréciation

Le système de détection d’intrusion sera un composant primordial pour les mécanismes de sécurité des réseaux. Grace à lui on peut détecter les tentatives d’attaques de l’extérieur de l’entreprise.  Recommandation - NIDS : (Network Intrusion Détection System): est un détecteur d’intrusion réseau qui détecte les attaques réseau en se basant sur une base de signatures très à jour. - HIDS : (Host Intrusion Détection System) : Ces ondes s’incèrent entre les applications et le cœur du système d’exploitation pour protéger des applications ou des serveurs critiques. Les solutions IDS (Intrusion Détection System) pour réseau garantie une surveillance permanente du réseau. 4.2.3 Attaque sur le mot de passe Aucun mécanisme n’est pris en considération pour lutter contre les attaques sur les mots de passe.  Appréciation Un intrus peut mener une attaque pour collecter les mots de passe afin d’accéder aux ressources matériels mises en question. Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page42

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

 Recommandation

L’administrateur doit respecter les exigences de la stratégie de mot de passe - Durée limitée de la conservation de l’historique est conseillée d’implanter un système de détection d’intrusion sécurisé : - Durée limitée de la conservation de l’historique ; - Durée de vie maximale ; - Durée de vie minimale ; - Exigence de complexité ; - Longueur minimale ; - Cryptage.

VII. PRESENTATION DE « ACTIVE DIRECTORY » 1. Introduction Vu les vulnérabilités qu’on a rencontrépendant l’étude de l’audit de la sécurité informatique du réseau de la Société KRISTIC-CONSULTING et vu l’augmentation des services (messagerie, serveur fichiers…), nous proposons le passage du Workgroups au domaine et l’installation de l’annuaire Active directory afin de centraliser la gestion des ressources et la mise en place des règles de sécurité. Le facteur temps et sécurité sont des facteurs importants pour les sociétés, ceci pousse les décideurs à avoir des solutions centralisées de gestion des ressources informatiques. 2. Présentation Active Directory est le nom du service d'annuaire de Microsoft apparu dans le système d'exploitation Microsoft Windows Server 2000. Le service d'annuaire Active Directory est basé sur les standards TCP/IP, DNS, LDAP, Kerberos, etc.

Fig. 1 : structure Active Directory Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page43

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

2.1. Structure d’Active Directory 2.2. Domaines Un domaine Active Directory (AD) est la principale frontière logique dans un annuaire. Pris séparément, un domaine Active Directory ressemble beaucoup à un domaine NT. Les utilisateurs et les ordinateurs sont tous stockés et gérés dans les limites qu'il définit. Les domaines Active Directory servent de limites de sécurité pour les objets et contiennent leurs propres stratégies de sécurité. Un domaine regroupe des ordinateurs, des périphériques, des utilisateurs. C’est une sorte de zone sécurisée, sur laquelle on ne peut pénétrer que quand on a été authentifié par le Contrôleur de Domaine. 2.3. Arbres de domaines Un arbre Active Directory est composé de plusieurs domaines reliés par le biais d'approbations transitives bidirectionnelles, qui partagent un schéma et un catalogue global communs. 2.4. Contrôleur de domaine Un contrôleur de domaine est une machine physique qui centralise et contrôle toutes les ressources logiques du réseau.Ce sont des serveurs sur lesquels on a installé Active Directory et qui s’occupent de l’authentification des utilisateurs dans un domaine. 3. Annuaire Le service d'annuaire Active Directory doit être entendu comme étant un ensemble d’objets référençant les personnes (nom, prénom, numéro de téléphone, etc.) mais également toute sorte d'objets, dont les serveurs, les imprimantes, les applications, les bases de données, etc. 3.1. Authentification des utilisateurs Processus de vérification de la nature réelle ou prétendue d'une entité ou d'un objet (utilisateur). L'authentification consiste par exemple à confirmer la source et l'intégrité des informations, vérifier une signature numérique ou l'identité d'un utilisateur par un mot de passe et un login ou d'un ordinateur. 3.2. Forêts Une forêt est un groupe d'arbres de domaines interconnectés. Des approbations implicites existent entre les racines des arbres d'une forêt. Si tous les domaines et arbres de domaines ont en commun un même schéma et un même catalogue global, ils ne partagent en revanche pas le même espace de noms.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page44

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

La structure d'Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d'entreprises répartis sur de multiples sites. 3.3. Sites Un site est la représentation physique et logique des ordinateurs connectés en un lieu géographiquement bien déterminé dont le but est d’échanger les informations.

VIII. INSTALLATION ET DEPLOIEMENT D’ACTIVE DIRECTORY Or il faut bien spécifier les plages d’adressage IP pour les différents matériels, nous avons: -

Pour les postes de travail : de 192.168.10.68 à 192.168.10.80

-

Pour les serveurs : de 192.168.10.65 à 192.168.10.67

-

Pour les routeur/éléments actifs : de 192.168.10.81 à 192.168.10.84

-

Pour les Imprimantes : de 192.168.10.85 à 192.168.13.88

Toutes les étapes de l’installation sont présentées en Annexe 4. 1. Utilisateurs Chaque utilisateur a un certain nombre d’attributs et son propre UID (User Identity : Un numéro de code qui lui permet d’être identifié sur le domaine 2. Groupes Qui contiennent les utilisateurs, des ordinateurs et d'autres groupes. Les groupes simplifient la gestion d'un grand nombre d'objets. Toute personne faisant partie du domaine se connecte avec un compte utilisateur crée au niveau active directory. Le compte utilisateur contient les informations sur l’utilisateur, ses appartenances aux groupes et les informations concernant la politique de sécurité. Les services ajoutés grâce à Active directory sont : -

Centralisation de la gestion des comptes Windows

-

Absence de comptes locaux sur les postes clients à gérer

-

Une base unique de comptes, délais validité.

-

Centralisation de la gestion des PC Windows

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page45

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

-

Prise en main à distance : accès aux disques, base de registre, services

-

Mise en place de règles de sécurité

-

Les modalités d'accès aux ordinateurs et l’utilisation des logiciels

-

Authentification unique

-

Partages des ressources simplifiés

IX. SECURISATION DU RESEAU INFORMATIQUE DE KRISTIC-CONSULTING 1. Introduction La sécurité des SI fait très souvent l'objet de métaphores. L'on la compare régulièrement à une chaine en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie qu'une solution de sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :  La sensibilisation des utilisateurs aux problèmes de sécurité ;  La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation ;  La sécurité des télécommunications : technologies réseaux, serveurs de l'entreprise, réseaux d'accès, etc.  La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, stations de travail des personnels, etc. Etant donné les enjeux financiers qu'abritent les attaques, les SI se doivent de nos jours d'être protégés contre les anomalies de fonctionnement pouvant provenir soit d'une attitude intentionnellement malveillante d'un utilisateur, soit d'une faille rendant le système vulnérable. Du fait du nombre croissant de personnes ayant accès ces systèmes par le billet d'Internet, la politique de sécurité se concentre généralement sur le point d'entrée du réseau interne. Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page46

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

La mise en place d'un pare-feu est devenue indispensable à fin d'interdire l'accès aux paquets indésirables. On peut, de cette façon, proposer une vision restreinte du réseau interne vu de l'extérieur et filtrer les paquets en fonction de certaines caractéristiques telles qu'une adresse ou un port de communication. Bien que ce système soit une bastille, il demeure insuffisant s'il n'est pas accompagné d'autres protections, entre autres :  La protection physique des informations par des accès contrôlés aux locaux,  La protection contre les failles de configuration par des outils d'analyse automatique des vulnérabilités du système,  La protection par des systèmes d'authentification fiables pour que les droits accordés à chacun soient clairement définis et respectés, ceci afin de garantir la confidentialité et l'intégrité des données. Implémenter la sécurité sur les SI, consiste à s'assurer que celui qui modifie ou consulte des données du système en a l'autorisation et qu'il peut le faire correctement car le service est disponible. Toujours est il que même en mettant en place tous ces mécanismes, il reste beaucoup de moyens pour contourner ces protections. A fin de les compléter, une surveillance permanente ou régulière des systèmes peut être mise en place à savoir:  Les systèmes de détections d'intrusions ayant pour but d'analyser tout ou partit des actions effectuées sur le système afin de détecter d'éventuelles anomalies de fonctionnement.  L'utilisation de l’antivirus professionnel accompagné de leurs mises à jour régulière.  L'utilisation d'un serveur proxy dont le but est d'isoler une ou plusieurs machines pour les protéger. De plus le proxy possède un avantage supplémentaire en termes de performance.  L'utilisation de la technologie RAID qui signifie « ensemble redondant de disques indépendants » qui permet de constituer une unité de stockage à partir de plusieurs disques et d'y effectuer des sauvegardes régulières à partir de plusieurs disques durs. L'unité ainsi constituée (grappe) a donc une grande tolérance aux pannes ou une plus grande capacité et vitesse d'écriture. Une telle répartition de données sur plusieurs disques permet d'augmenter la sécurité et de fiabiliser les services associés. 2. Méthodes de sécurité conseillées (voir Annexe 3) 3. Repérage des actifs informationnels Les systèmes d’information comme ensemble de processus à valeurs ajoutées tiennent compte des données entrantes et sortantes L’intranet Les services fournis par l’intranet : - Une base de données qui héberge toutes données informationnelles (Financier, Personnel, scientifique…..) dont les utilisateurs ont besoin. - Le partage : la plupart des utilisateurs utilise le partage de fichiers comme étant une source d’échange de données. Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page47

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Messagerie Interne entre Utilisateur Extranet Les services fournis par l’extranet sont : - Les courriers électroniques - L’utilisation de l’internet -



Appréciation L’intranet constitue un moyen essentiel pour moderniser la communication entre les utilisateurs, partager l’information.  Recommandation Il faut bien administrer le partage et l’accès aux fichiers en utilisant l’annuaire Active directory pour bien préserver les droits d’accès et centraliser la gestion des ressources. 4. Gestion des impacts 4.1 Intégrité des données Faible intégrité pour les données traitées par les logiciels bureautique « Excel, Word, Excel » Moyenne intégrité pour les données traitées par le logiciel « OCTAL » et une intégrité totale sur le logiciel « SAGE » et « DECEMPRO ».  Appréciation

L’intégrité des données peut être potentiellement en danger car aucun test formalisé n’a été réalisé contre l’effacement accidentel des données et les pannes matérielles sur les divers supports d’information.  Recommandation

Pour protéger les données contre les erreurs de manipulation des utilisateurs ou contre les catastrophes naturelles, il faut prendre compte : - RAID « Redondant Array of Independant Disq » désigne une technologie permettant de stocker les données sur de multiples disques durs - Contrôle de la saisie des données : les données sensibles doivent être autocontrôlées par une personne assurant la vérification des données saisies. - Intégration d’un outil de vérification d’intégrité.

X. SOLUTIONS DE SECURITE Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page48

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

1. Déploiement complet d'Active Directory Grace à Active Directory la sécurité est entièrement intégrée dans la gestion des ressources réseau, il permet de gérer de façon centralisé les données sensibles de l’entreprise. Le contrôle d'accès peut être défini non seulement sur chaque objet de l'annuaire, mais aussi sur chaque propriété de chacun des objets. Active Directory fournit à la fois le magasin et l'étendue de l'application pour les stratégies de sécurité. Une stratégie de sécurité peut inclure des informations de compte, telles que des restrictions de mot de passe applicables sur l'ensemble du domaine ou des droits pour des ressources de domaine spécifiques. Les stratégies de sécurité sont mises en place par le biais des paramètres de Stratégie de groupe. Ainsi les avantages de Active directory est : - Amélioration de la productivité des utilisateurs - Réduction des tâches d'administration informatique - Amélioration de la tolérance de pannes pour réduire les périodes d'indisponibilité - Amélioration de la sécurité 2. Solution Antivirale La protection antivirale consiste à appliquer une solution antivirus client/serveur Cette solution consiste à installer un serveur antivirus sur le réseau, et de déployer sur chaque machine le client associé. Une telle solution permet de centraliser la tache d’administration (mise à jour des fichiers de signature et déploiement automatiquement sur les postes clients). L’antivirus proposé implémente au moins les fonctionnalités suivantes : exécution en tâche de fond, détection automatique, récupération des fichiers importants après une suppression accidentelle, filtrage du courrier électronique indésirable et mise à jour automatique. 3. Le serveur de mise à jour Microsoft software update services (SUS) est un maillon essentiel dans la nouvelle politique de sécurité de Microsoft 3.1. Principe de fonctionnement Le fonctionnement de SUS est relativement simple. Pour déployer, deux modules doivent être mis en place, un client et un serveur. Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page49

PIGIER Côte d’Ivoire AUDIT

-

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Le module serveur télécharge les informations à partir du cite Windows update de Microsoft et vous laisse choisir les mises à jour à installer sur les postes clients.

-

Le module client quand à lui communique périodiquement avec le serveur pour savoir si des mises à jour sont disponibles, si oui il les installe.

Cette solution offre un avantage de réduction de la bande passante internet et une simplification d’administration et de déploiement. 4. Système de détection d’intrusion Les IDS (Intrusion Détection System) sont des équipements logiciels ou matériels qui permettent de mettre en place des mécanismes de détection d’intrusion. On distingue principalement deux catégories de détection d’intrusion : - Host-based IDS (HIDS : Host intrusion Detection System) - Network-based IDS (NIDS: Network Intrusion Detection System). 5. Système de détection d’intrusion d’hôte Cette catégorie (HIDS) a pour objectif la surveillance de l’activité d’une machine en utilisant les fichiers de log du système et en contrôlant l’intégrité de celui-ci avec des outils comme AIDE (Advanced Intrusion Détection Environment) qui est un logiciel qui permet de contrôler l’intégrité du système de fichier sur un serveur. 6. Système de détection d’intrusion réseau Un NIDS travaille sur les données transitant sur le réseau. Il peut détecter en temps réel une attaque s’effectuant sur l’une des machines. Il contient une base de données avec tous les codes malicieux et peut détecter leurs envois sur une des machines. On peut citer par exemple un NIDS appelé Snort.

XI. SOLUTION FIREWALL La solution de filtrage consiste à déployer trois niveaux consiste à déployer trois niveaux de filtrage sur les ressources du réseau, comme écrit ci-dessous : 1. Firewall à filtrage de paquets

La majorité des équipements de routage actuels disposent d’une fonctionnalité de firewalling basé sur le filtrage de paquets. Cette technique permet de filtrer les protocoles, les sessions, les adresses sources, les ports sources et destination et même l’adresse MAC. 2. Firewall Statefull Inspection Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page50

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Cette solution sera implémentée par un équipement firewall matériel qui agit en tant que passerelle, afin de garantir la sécurité entre le trafic du réseau interne, public et démilitarisé. La technologie « stateful Inspection » permet de contrôler les couches applicatives, sans nécessité de proxy applicatif pour chaque service, en cherchant une session correspondante pour les paquets analysés. La solution Firewall proposée supportera de plus les fonctionnalités suivantes : - Module d’interconnexion des réseaux virtuels -

Authentification, autorisation d’adresse NAT

-

Journalisation et support du service SYSLOG

Au niveau architecture du réseau, le firewall proposé définira trois domaines de sécurité : - Zone interne : Représente le réseau local de l’organisme. Cette zone contient le plus haut niveau de sécurité -

Zone externe : représente la zone publique par laquelle passe tout le trafic de destination internet.

-

Zone démilitarisée : représente la zone contenant les serveurs visibles

de

l’extérieur dont l’accès est public. 3. Firewall Applicatif Un Firewall applicatif sera installé sur tous les postes client et les serveurs afin de protéger en premier lieu des tentatives d’intrusion interne. En deuxième lieu, l’utilisation d’un firewall applicatif permet de contrôler les connexions depuis et vers ces machines, de renforcer la confidentialité des données et de se protéger contre les programmes malveillants. 4. SOLUTION VPN Le VPN, Virtual Private Network (en anglais) ou réseau privé virtuel (en français) est basé sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise. Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant un chemin virtuel. Afin d'assurer un accès sécurisé et peu coûteux aux intranets ou aux extranets d'entreprise, le réseau privé virtuel d'accès simule un réseau privé, alors qu'il utilise en réalité une infrastructure d'accès partagée, commeInternet. Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page51

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Les données à transmettre peuvent être prises en charge par un protocole différent d'IP. Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant un en-tête. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de désencapsulation.

5. Présentation du réseau après sécurisation

Bilan des éléments misent en jeu pour la sécurité du réseau : - Logiciel de détection des erreurs de configuration et vulnérabilités - Logiciel Anti-virus - Mot de passe - Contrôle d’accès Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page52

PIGIER Côte d’Ivoire AUDIT

-

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Audit de système Système de détection d’intrusion Politique de sécurité Protection physique (Local fermé à clef) Mise en place d’un VPN (Virtual personnel network)

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page53

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

CONCLUSION A la fin de ce travail, nous pouvons dire que l’on a bien pu avoir une visibilité concrète sur un domaine bien spécifique qui est la sécurité informatique. En plus, ce travail nous a été profitable en termes d’acquisition d’une bonne expérience professionnelle, à travers laquelle nous avons eu l’occasion d’approfondir nos connaissances informatiques et de confronter la notion théorique à la pratique. De façon générale, nous pouvons dire que l’objectif global n’est pas atteint par un seul projet, mais par une succession de projets afin d’établir un audit de sécurité selon une méthode et norme standard. DIFFICULTES RENCONTREES Les difficultés rencontrées ont été presque inexistantes vu que notre intégration a été favorisée par l'accueil chaleureux de l'ensemble du personnel. La principale difficulté a été le fait de ne pas avoir au départ certaines informations et documents nécessaires pour la réalisation de notre étude.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page54

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

ABREVIATIONS ET SIGLES -

http : hyper file transfert protocole

-

CSMA /CD :Carrier Sense Multiple Access Collision Detect

-

CSMA /CA : Carrier Sense Multiple Access Collision Avoid

-

Ftp : file transfert protocole

-

AD : Active Directory

-

Qos :Quality of Service

-

SAM : Security Account Manager

-

IDS :Itrusiondetection system

-

NIDS :Network Itrusiondetection system

-

SUS :Microsoft sotfware update services

-

RAID :Redondan Array of Idenpanddisq

-

COBIT(Control Objectives for information and technology) :un modèle de référence utilisé pour l'audit et la maîtrise des systèmes d'information.

-

LDAP :Lightweight Directory Access Protocol est à l'origine un protocole permettant

l'interrogation et la modification des services d'annuaire - Kerberos :est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. -

SI : système d’information

-

SSI : sécurité de système d’information

-

SUS : Software Update Service

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page55

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

BIBLIOGRAPHIE -

INTERNET

-

WIKIPEDIA

-

GOOLGE

-

SECURISATION D’UN RESEAU D’ENTREPRISE ETAPE PAR ETAPE (NIVEAU 1) par : BOKA N’TAKPE ERNEST, Certifié CCNA, CEH, CEI, GSEC, GCIH

-

COURS DE RESEAUX INFORMATIQUE A LA BIBLIOTHEQUE DE PIGIER ;

-

Mettre en place CobiT : par le Professeur José Bouaniche, page 25 ET 69

-

Guide d’audit des applications informatiques par AFAI (association française d’audit et conseil en informatique).

-

Guide d’hygiène de la sécurité informatique par ANSSI (agence national de la sécurité informatique)

-

la sécurité de système d’information par : par D. Linglin,

-

informatique à l’IN2P3parB. Boutherin, et par K. Kortchinsky

-

www.microsoft.com/technet/prodtechnol/w2kadsi.asp

L'Administration des Réseaux par :Laurence Duchien CNAM-Cedric, 292, rue st Martin 75141 Paris Cedex 03 PAGE 210 et 135 -

Politique de sécurité informatique à l’IN2P3 par Bernard Boutherin Chargé de mission Sécurité Informatique IN2P3

-

www.isc.cnrs.fr

-

www.parisscyber.com

-

www.Reso-Net.com/es.htm

-

www.microsoft.com/france/window

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page56

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Annexe 2 Questionnaire d’audit Danslecadre de notre étudequi consiste à contrôler et sécurisé le réseau informatique de l’entreprise, nousadministronsceprésentquestionnaire,en vue d’évaluerlesactivités informatiques de KRISTIC-CONSULTING.

Connaissance de base en informatique Avez – vous déjà manipulé l’outil informatique ? Oui : Non :

Si oui dans quel cadre ? -

A l’école ?

-

A la maison ?

-

Au travail ?

Avez- vous déjà installé un logiciel informatique ? Non : Oui : Quel est votre niveau de connaissance en informatique ? -

Débutant :

-

Moyen :

-

Professionnel :

-

Expert :

-

Rien du tout :

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page57

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Information sur la qualité de service Quel est selon vous la qualité de service fourni par le service informatique ? - Mauvaise : - Bonne : - Performant : - Fiable : - Innovant : Comment sont protégées les données contres les menaces ? - Anti virus : - Anti Spam : - Firewall : Les comptes utilisateurs sont ils protégés par mot de passe ? - Oui : - Non : Si oui les mots de passes utilisateurs sont-ils modifiables après combien de temps ? - 2 jours : - 6 jours : - 1 mois : - 6 mois Autre, veuillez préciser :…………………………………………. Le trafic du réseau est il saturé ? Oui : Non :

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page58

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Vos Anti virus sont misent à jour après combien de jours ? -

Chaque jour : Chaque 2 jour : Chaque 1 semaine : Autre précisé :……………………………………………………………………

Avez-vous un plan de sauvegarde de vos données ? Oui : Non :

Si oui quelle est la stratégie utilisée ? - Disque externe : - Disquette : - RAID : - Data Center : A quel moment remplacez-vous vos équipements ? - Quant ils sont amortis : - Après 2 ans d’utilisation : - Une fois il tombe définitivement en panne : Mercipour votrecollaboration

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page59

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Annexe 3 : Méthode conseillé pour la sécurité : -

Limitez l'accès physique aux ordinateurs, en particulier les contrôleurs de domaine, aux personnes dignes de confiance ;

-

Pour les tâches administratives, utilisez le principe du moindre privilège ;

-

Définissez les groupes et leurs membres ;

-

Sécurisez les données des ordinateurs ;

-

Utilisez des mots de passe forts dans toute votre organisation ;

-

Ne téléchargez pas et n'exécutez pas de programmes émanant de sources non approuvées ;

-

Mettez à jour les programmes de détection de virus ;

-

Veillez à ce que tous les correctifs logiciels soient à jour

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page60

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Annexe 4 : Installation d’Active directory L’installation d’Active directory se fait de la manière suivante : - Un clic sur menu démarrer/exécuter - Saisissez la commande « dcpromo » (domaine contrôler promotion)/puis cliquez sur OK

Figure 1 : Promotion du Serveur

Figure 2 : lancement de l’installation Active Directory

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page61

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Figure 3 : Compatibilité des systèmes d’exploitation clients

Figure 4 : Installation du contrôleur principal du domaine Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page62

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Figure 5: Nouveau nom dans une nouvelle forêt

Saisissez le nom de domaine, dans notre cas c’est Ks.com, puis suivant

Figure 6 : Nom DNS du domaine - Saisissez le Nom de domaine NetBIOS donné par défaut à la page suivante, faite Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page63

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

un clic sur suivant.

Figure 7 : Nom de domaine NetBIOS A la page dossier de la base de données et du journal, cliquez sur suivant Ensuite on va donner le chemin de la base de données et du journal Active Directory. Microsoft préconise des disques durs différents pour des raisons de performances et de meilleure récupération (figure 8). -

Figure 8: Emplacement des données et du journal Active Directory On Indique ensuite à l’emplacement du dossier Sysvol selon Figure 9 Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page64

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Figure 9 : Emplacement du dossier Sysvol

Figure 10 : Diagnostics des inscriptions DNS - Cochez le deuxième bouton radio pour autoriser l’option de la page d’autorisation puis cliquez sur suivant

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page65

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Figure 11: Autorisation

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page66

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Figure 12 : Saisie du mot de passe administrateur

Cliquer sur suivant :

Figure 13 : Affichage du résumé

Figure 14 : Configuration d’Active Directory

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page67

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Figure 15 : Fin de l’installation d’Active Directory

Cliquer sur terminer

-

Un redémarrage du Le serveur est nécessaire à cette étape.

Figure 16 : Redémarrage du Serveur

-

On doit vérifier que le dossier \WINDOWS\SYSVOL contient bien ceci :

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page68

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Vérifier les partages : Par « Gestion de l’ordinateur » les partages NETLOGON et SYSVOL doivent y apparaître. -

Figure 17 : au serveur

Attribution d’adresse

Figure 18: modification du nom de Serveur Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page69

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Figure 19: modification complète du non de Serveur

Figure 20: Saisie de nom et mot de passe pour modification complète du non de Serveur - Configuration et optimisation DHCP

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page70

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Dans la console DHCP, on ajoute le serveur à l'aide d'un clic-droit, puis on l’active et on démarre le service propriétés du service DHCP. Puis on autorise le serveur DHCP à agir sur le domaine.

Figure 21 : Activation DHCP

Nous allons maintenant créer une étendue qui distribuera les adresses IP aux postes clients. Pour cela, au niveau du serveur, clic-droit => nouvelle étendue. On crée l’étendu selon le plan d’adressage qu’on a définit au début, ensuite on peut spécifier le routeur ou la passerelle par défaut qui doit être distribué par cette étendu en lui attribuant son adresse IP dans « option de l’étendu ».

-

CONFIGURATION DES POSTES CLIENTS

Adressage -

Clic droit sur favoris réseau

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page71

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

-

Cliquez sur propriétés, puis sélectionner ensuite protocole internet TCP/IP puis cliquez sur suivant

-

Saisissez l’adresse IPpuis cliquez sur OK, et sur fermer

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page72

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Identification -

Clic droit sur poste de travail, cliquer sur l’onglet «nom de l’ordinateur »,

Assistant Identification Réseau Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page73

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

-

Cochez le bouton cet ordinateur appartient à un réseau d’entreprise.

-

Cochez ensuite sur le bouton Ma société utilise un réseau comprenant un domaine, puis sur suivant.

Affichage de l’information sur la condition d’utilisation d’une machine en réseau, cliqué sur suivant Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page74

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

On saisie en suite le nom d’utilisateur, le mot de passe et le domaine puis en clique sur suivant.

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page75

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

-

sélectionnez ensuite identification au réseau

-

Saisissez la description de l’ordinateur puis cliquez sur modifier

-

Saisissez le mot de passe de l’administrateur et cliquez sur OK.

-

Cliquez sur OK

-

Cliquez ensuite sur OK pour redémarrer l’ordinateur

Configuration du Serveur Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page76

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Procédure - Menu « Démarrer. Tous les Programmes. Outils d’administration. Gérer votre serveur ». Cliquez sur le lien « Ajouter ou supprimer un rôle ».

L’étape préliminaire (figure 2) vous invite à effectuer les dernières vérifications avant le

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page77

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

début de la procédure d’installation d’Active Directory. Quand tous les nécessaires sont en place, cliquez sur le bouton « Suivant > » pour continuer.

éléments

Figure 2 : Etapes préliminaires, instant des ultimes vérifications

Figure 3 : Détection des paramètres réseau Ensuite on spécifier le nouveau rôle « contrôleur du domaine » dans la liste de l’assistant « Configurer votre serveur » de la (Figure 4)

Figure 4 : Sélection du rôle de Contrôleur de domaine

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page78

PIGIER Côte d’Ivoire AUDIT

DE SECURITE INFORMATIQUE D’UN RESEAU LOCAL D’ENTREPRISE

Mémoire de fin de cycle, licence professionnelle réseaux et génie logiciel

page79