ingissatso.doomby.comingissatso.doomby.com/.../rapport-audit-qualite-2012.docx · Web viewUn moyen...
Transcript of ingissatso.doomby.comingissatso.doomby.com/.../rapport-audit-qualite-2012.docx · Web viewUn moyen...
République Tunisienne
Ministère de l’Enseignement Supérieur,
de la Recherche Scientifique et de la Technologie
Université de Sousse
Institut Supérieur des Sciences Appliquées et de Technologie
De Sousse (ISSATS)
: issatso@ issatso.rnu.tn
Tél : 73 332 655
Fax : 73 332 658
Département de Génie InformatiqueDépartement INFORMATIQUE’’ DI ’’
Mini projet : Audit et QualitéAudit de sécurité d’un système d’information en
se référant à l’ISO 17799 et proposition d’une solution basée sur les produits
WNM
2éme année formation ingénieur informatique industriellePAR :
CHEBBI WAHBI & BEN SLIMANE NABIL & BEN AMOR MOURAD
Enseigné par :Mr. .JGHAM WALID
Année Universitaire : 2011 / 2012
SommaireIntroduction Général..............................................................................................4
1. Présentation du réseau de l’ISSATSO...............................................................5
2. Les Différentes phases d’audit.........................................................................5
2.1 Audit des commutateurs..............................................................................5
2.2 Audit des routeurs.........................................................................................6
2.3 Audit du firewall..........................................................................................6
3. Audit des systèmes d’information avec la procédure <QQOQCP>....................6
4. Audit des systèmes d’information avec la procédure <Diagramme de Pareto>7
5. Solution proposée...............................................................................................8
5.1 Solutions technique.......................................................................................8
5.2 Solution Architecture....................................................................................8
5.3 Solution finale...............................................................................................9
Conclusion Général................................................................................................9
5. Procédure de réalisation de l’audit.....................................................................9
Introduction Général
La sécurité des systèmes d’information constitue un domaine qui a toujours été d’actualité, encore plus de nos jours vu les mutations et avancées permanentes qui surviennent dans le monde des technologies de l’information. Garantir la sécurité d’un système d’information n’est pas une tâche ponctuelle. Elle constitue un processus continue et cyclique qui s’effectue autour des points suivants :
La protection : Définir nos ressources sensibles à protéger ainsi que les mécanismes de
protection.
La détection : Détecter les failles aux quelles sont exposées nos ressources.
La réaction : Définir les solutions à mettre en place pour la correction.
La révision : S’assurer que nos correctifs ne sont pas en conflit avec les politiques de sécurité déjà
en place et s’y intègre parfaitement.
Un moyen pour suivre la sécurité d’un système d’information de façon continue est d’effectuer un audit de sécurité des systèmes d’information de façon périodique. C’est dans ce contexte que s’inscrit ce projet qui vise l’audit du système d’information de l’Institue Supérieur des Sciences Appliquées et Technologie de Sousse (ISSATSO).
Pour se faire, nous présenterons certains concepts clé de l’audit des systèmes d’information, ainsi que notre organisme cible. Par la suite, nous entamerons notre mission d’audit par l’audit organisationnel et physique, ensuite l’audit technique. Enfin notre mission d’audit s’achèvera par un ensemble de recommandations et la proposition d’une solution technique pour améliorer la sécurité du système d’information d’ISSATSO.
1. Présentation du réseau de l’ISSATSO
L e réseau global de l’ISSATSO est un MAN (Metropolian Area Network).
Ce dernier se constitue de différents sites distants. En plus de ces sites distants, il inclut également une interconnexion avec des partenaires tels que le CNI ou le ministère de l’enseignement et de recherche. Ces interconnexions permettent un échange de données permanent entre site central, sites distants et partenaires. Les sites distants se composent d’arrondissements ainsi que de Régies et Recettes. L’interconnexion entre ces différentes entités est possible au moyen de lignes spécialisées ou Frame Relay (voir figure 1):
Figure 1-Réseau de l’ISSATSO
2. Les Différentes phases d’audit
2.1 Audit des commutateursLes commutateurs au sein de l’ISSATSO proviennent de trois firmes différentes :
9 commutateurs HP composés de 24 ports Ethernet chacun, et d’un port SPF.
2 commutateurs Huawei, composés de 24 ports Ethernet et 2 ports SPF.
1 commutateur 3com, composés de 24 ports Ethernet et deux ports SPF.
L’interconnexion des commutateurs est effectuée suivant une cascade. En effet, le Switch de la firme 3COM joue le rôle de Switch fédérateur. Par la suite, les autres Switch (HP et Huawei) sont connectés à ce dernier suivant une connexion en étoile.
2.2 Audit des routeursL’ISSATSO de Sousse s’est dotée de routeurs de marque Cisco. Ils sont de deux gammes à savoir :
2 routeurs Cisco 2600
3 routeurs Cisco 1600
2.3 Audit du firewallL’ISSATSO possède un firewall de la gamme SG 300. Cet équipement est l’interface entre l’Internet et le réseau de l’ISSATSO. Doté de 4 ports, il gère le trafic provenant de l’Internet et celui dirigé vers Internet. Il n’autorise que les connections de type ftp, http, smtp, pop3, Ping. En plus de la gestion de l’accès, en se basant sur les règles d’accès définies au niveau de sa politique de sécurité, il permet aussi le NAT (Network address translator). Ce service permet une conversion d’adresse IP, de sorte à préserver l’identité des adresses IP du réseau.
3. Audit des systèmes d’information avec la procédure <QQOQCP>
Quoi ?
-Auditer des applications et des systèmes d’information
-identifier le système de communication
Pourquoi ?
-sécurité des données
-Intégrité et confidentialité des données
-éviter des erreurs de manipulation
-communiquer avec des composant de manière distribuer et performant
Comment?
-mettre en place un système
d information bien structure
-utiliser du firewall pour la sécurité de réseau de
L’issat
-utiliser un certificat de chiffrement
-Utiliser le système NFS pour la détection des intrusionsQue ce qui est concerné ?
-le système de l’entreprise
-les personnels de l’issat
-les ordinateurs de l’issat
-les routeurs
-les serveurs
Pour qui ?
- les responsables et les chefs de département
- les techniciens informatiques
Ou ?
- les bureaux des personnels
-département informatique
-système de sécurité soft et hard
4. Audit des systèmes d’information avec la procédure <Diagramme de Pareto>
Le diagramme de Pareto est élaboré en plusieurs étapes :
1. Déterminer le problème à résoudre. 2. Faire une collecte des données (par exemple en utilisant la fiche de collecte des données) ou
utiliser des données déjà existantes. 3. Classer les données en catégories et prévoir une catégorie "Divers" pour les catégories à peu
d'éléments. 4. Quantifier l'importance de chaque catégorie et déterminer le pourcentage de chacune par
rapport au total. 5. Classer ces pourcentages par valeur décroissante, la catégorie "Divers" est toujours en
dernier rang. 6. Représenter les données sous forme d'un histogramme.
Pour représenter le diagramme de Pareto il faut adapter les étapes vue précédemment a notre problème
Le problème :Auditer le système d’information de l issat et élaborer un rapport contenant les failles(les problèmes) non conforme a la norme 17799
Causes Nbre de fois % Cumul
Des ports sont ouverte mais nom utilisable 22 fois 44% 44%
Personnel non qualifie pour ce type de processus 19 fois 38% 82%
Le système réseau est mal installer 5 fois 10% 92%
Pas de firewall au niveau de réseau local 2 fois 4% 96%
Des problèmes de cryptage (absences de certificat)pour le système de chiffrement des données 2 fois 4% 100%
Total 50 fois 100%
Classer ces pourcentages par valeur décroissante, la catégorie "Certif de chiffrement" est toujours en dernier rang. Représenter les données sous forme d'un histogramme
5. Solution proposée
5.1 Solutions technique La solution technique nous proposons sur le réseau MAN de l’ISSATSO que tient compte des aspects suivants :
La haute disponibilité des ressources, afin d’assurer la continuité de service.
L’intégrité des données pour s’assurer de leur non falsification.
La confidentialité, du fait que nous aurons à véhiculer des informations à caractère personnel.
Le contrôle du trafic interne au site central de l’ISSATSO, pour éviter les intrusions.
Pour tenir compte de l’ensemble des aspects précédemment évoqués, nous allons exploiter de façon optimale les fonctionnalités offertes par le firewall StoneGate en matière de réseau privé virtuel sécurisé, de partage de charge, de continuité de service et de la sonde IPS en terme de prévention d’intrusion, d’analyse en temps réel du trafic, d’alerte et de la réaction à adopter.
5.2 Solution Architecture Dans le but d’assurer une connexion permanente entre le site central de l’ISSATSO de Tunis et les sites distants, nous proposons une solution qui permet de garantir de façon concomitante la continuité de service, le partage de charge ainsi que la sécurité du trafic réseau.
La mise en place de notre solution se base sur les préalables suivants :
Révision du plan d’adressage.
Répartition du réseau en VLAN.
Equipement de chaque site distant de firewall
Disposition de connexion Internet pour les sites distants.
Les failles (problèmes) de sécurité du SI de l’issat de Sousse
Acquisition de sonde IPS au niveau du site central.
5.3 Solution finaleLe schéma suivant présente l’architecture de la solution finale que nous proposons. Il résume les précédentes propositions que nous avons faites
Figure 2- Architecture de la solution proposée
Conclusion Général
Nous avons proposé des recommandations et une solution se rapportant à l’architecture du réseau de l’ISSATSO. Cette solution à été adopté en prenant comme objectif la continuité d’activité, la disponibilité, la confidentialité des informations et la prévention d’intrusion.
5. Procédure de réalisation de l’audit
Procédure VersionA
RéférencePQ GEN 004
Réalisation des Audits Date 22/04/2012
Page 1/3
1- Objectif : Réaliser les processus d’audit pour un système d information 2-Domaine d’application : Cette application s’applique sur un système d information d une entreprise donnée a pour but le respect de certaine aspects:
Identifier les problèmes et les faille résidu dans les systèmes d information des entreprises
Assurer une sécurité optimale des informations et les protéger contre une violation illégale
Etablir une structure qui répond au besoin structurel de l entreprise en respectant le cahier de charge
Rendre les systèmes d information rigide contre les opérations de piratage 3-Responsabilité: Des experts spécialisés pour auditer des applications et des systèmes d informations4-Référence / Définition: ISO 9001 :2008 (chap. 7.2.3Communication avec les clients)5-Pièces jointes: Se sont les fichiers ou les documents qu’il faut compléter : PX_ Expert informatique FX_ Expert informatique
6-Description:
Rédigée par Vérifier par Approuvée par DiffusionNom : Nom : Nom :
Fonction : Fonction : Fonction :
Procédure VersionA
RéférencePQ GEN 004
Réalisation des Audits Date 22/04/2012
Page 2/3
Informations nécessaires au processus de communication
avec l’entreprise
(Ou- A Qui- Comment ?recours)
-Enregistrement de la demande
Par téléphone, e-mail ou courrier
Selon des critères : sécurité, complexité
-Etude approfondi des informations pertinentes et comparer avec la la norme internationale
élaboration du rapport d audit (établir les failles +donner des solutions
Réception de la demande d’audit
Accusé de réception
Evaluation du système
Correspondance avec les normes internationales
Rapport d audit
Communication avec des entreprises
opérations d audit passe avec succès obtenir la certificat
Obtenir le certificat
Rédigée par Vérifier par Approuvée par DiffusionNom :Fonction :
Nom :Fonction :
Nom :Fonction :
Procédure VersionA
RéférencePQ GEN 004
Réalisation des Audits Date 22/04/2012
Page 3/3
IX_ Expert informatique
FX_ Expert informatique
IX_ Expert informatique
Certification
Mise en place des contacts et des demandes des entreprises
pour réaliser
Identifier les failles de sécurité du SI de l’entreprise
Etablir un rapport d’audit spécifiant les différents problèmes techniques et structurel du SI (s il existe bien sur)
Début
Expert informatique
Expert informatique
PX_ Expert informatique
PX_ Expert informatique
Rédigée par Vérifier par Approuvée par DiffusionNom :Fonction :
Nom :Fonction :
Nom :Fonction :
Faire la correspondance du SI avec les normes
Expert informatique
Expert informatique
Certification du système
Expert informatique
Si oui