Dédicaces Dédicaces Je dédie ce modeste travail : A ma mère que nulle dédicace ne puisse exprimer mes sincères sentiments A mon père qui m’a soutenu et encouragé durant ces années d’études A toute ma famille Pour tout l’amour qu’ils portent et pour leurs encouragements, leurs conseils et leurs disponibilités durant toute ma vie. A mes amis Pour leurs soutiens, je leurs souhaite de tout mon cœur beaucoup de bonheur et de succès. Bassem ABDALLAH -i- Remerciements Remerciements Avant de commencer la présentation de ce travail, je voulais exprimer par ces lignes, ma gratitude envers tous ceux qui, par leur présence, leur soutien, et leur conseil m’ont donné le courage afin d’accomplir ce projet de fin d’études. Je commence par remercier profondément Monsieur Khalil DRISS, mon encadrant professionnel, pour ses conseils intéressants, son encouragement continu, ainsi que le temps qu’il m’a réservé malgré ses grandes occupations. Mes remerciements vont aussi à tous les membres de l’équipe d’Intercom Technologies pour leur gentillesse et l’excellente ambiance de travail qu’ils entretiennent. Mes remerciements les plus sincères s’adressent de même à Monsieur Mohamed ABID, mon encadrant académique, pour son encouragement continu, et aussi pour être toujours là pour m’écouter, m’aider, et me guider à retrouver le bon chemin par sa sagesse et ses précieux conseils. Enfin, je remercie tous mes professeurs, mes enseignants, et toutes les personnes qui par leur encouragement immense et leur présence durant tout mon parcours universitaire j’ai pu réaliser ce travail. -ii- Sommaire Sommaire Introduction générale ............................................................................................................... 1 Chapitre 1: Etat de l’art .......................................................................................................... 3 1. La sécurité informatique .................................................................................................. 3 1.1. Enjeux de la sécurité ................................................................................................ 3 1.2. Les services de la sécurité ........................................................................................ 4 1.3. Exemples de mécanismes de sécurité ...................................................................... 5 1.3.1. Pare-feu (firewall)............................................................................................. 5 1.3.2. Antivirus ........................................................................................................... 5 1.3.3. VPN (Virtual Private Network) ........................................................................ 6 1.3.4. IDS (Intrusion Detection System) .................................................................... 6 1.3.5. IPS (Intrusion Prevention System) ................................................................... 6 1.3.6. DMZ (Demilitarized Zone) .............................................................................. 6 1.3.7. UTM (Unified Threat Management) ................................................................ 6 1.4. Sécurité et attaques par les logiciels malveillants .................................................... 7 1. 4.1. Menaces ................................................................................................................ 7 1.4.2. Risques .................................................................................................................. 8 1.4.3. Vulnérabilités ........................................................................................................ 8 1.5. Les logiciels malveillants ......................................................................................... 8 1.5.1. Virus ................................................................................................................. 8 1.5.2. Vers (ou Worm) ................................................................................................ 9 1.5.3. Cheval de Troie (ou Trajan Horse) ................................................................... 9 1.5.4. Espion (ou Spyware) ........................................................................................ 9 1.5.5. Spam ................................................................................................................. 9 1.5.6. Cookies ............................................................................................................. 9 1.5.7. Bombe logique ................................................................................................ 10 1.6. Types d’attaques .................................................................................................... 10 1.7. Les techniques de piratage informatique ............................................................... 11 1.7.1. L’ingénierie sociale : ........................................................................................... 11 1.7.2. Le déni de service (ou Denial-of-Service DoS) : ................................................. 11 -iii- Sommaire 1.7.3. L’usurpation d’adresse (ou IP spoofing) : ........................................................... 11 1.7.4. Les portes dérobées (ou backdoors) : .................................................................. 12 1.7.5. 2. Attaque d’un site web ..................................................................................... 12 1.8. Méthodologie d’une attaque................................................................................... 13 1.9. Méthodes de défense .............................................................................................. 13 Normes d’audit et méthodologies ................................................................................. 14 2.1. Les normes ISO 27000 ........................................................................................... 14 2.2. Méthodologies ........................................................................................................ 16 2.3. Critères de choix d’une méthode ........................................................................... 18 2.4. Les phases de l’audit .............................................................................................. 18 2.5. Niveaux d’audit ...................................................................................................... 18 2.6. Les techniques de l’audit ....................................................................................... 19 2.6.1. Audit « Boite blanche » .................................................................................. 19 2.6.2. Audit « boite noire » ....................................................................................... 19 Chapitre 2: Conception des solutions de sécurité ................................................................ 20 1. Etude de l’existant ......................................................................................................... 20 1.1. Inventaire des équipements .................................................................................... 21 1.1.1. Serveurs .......................................................................................................... 21 1.1.2. Equipements réseaux ...................................................................................... 21 1.1.3. Machines de chaque unité............................................................................... 22 1.2. Aspects de sécurité existants .................................................................................. 23 1.2.1. Aspect de contrôle d’accès existant .................................................................... 23 1.2.2. 2. Méthode de sauvegarde existante ................................................................... 23 Présentation des solutions de sécurité ........................................................................... 24 3.1. Contrôle d’accès ..................................................................................................... 24 3.1.1. AD ....................................................................................................................... 25 3.1.2. pfSense ................................................................................................................ 25 2.2. Audit ...................................................................................................................... 26 2.3. La sauvegarde ........................................................................................................ 27 3.3.1. Les modes de Backup .......................................................................................... 27 3.3.2. Les solutions de Sauvegarde ............................................................................... 28 3.3.3. Sauvegarde intelligente ....................................................................................... 30 -iv- Sommaire Chapitre 3: Mise en place des solutions de sécurité ............................................................ 32 1. 2. Mise en place d’une politique contrôle d'accès ............................................................. 32 1.1. Contrôle d’accès dans AD ...................................................................................... 32 1.2. Contrôle d’accès avec pfSense ............................................................................... 36 Audit technique ............................................................................................................. 40 2.1. Les outils utilisés.................................................................................................... 40 2.1.1. Découverte et scan des machines sur la place réseau .......................................... 40 2.1.2. Enumération avec GFILanguard ......................................................................... 41 2.1.3. Découverte des ports/ouverts .............................................................................. 42 2.1.4. Scan de Vulnérabilités ......................................................................................... 44 2.1.5. Ecoute de trafic.................................................................................................... 46 2.1.6. Scan de Vulnérabilités Web ................................................................................ 46 2.1.7. Attaque sur le réseau sans fil Wifi ...................................................................... 47 2.1.8. Exploitation des vulnérabilités ............................................................................ 48 2.1.9. Test Intrusif ......................................................................................................... 49 3. 2.2. Analyse de risque ................................................................................................... 50 2.3. Recommandations .................................................................................................. 53 2.3.1. Responsabilité de la direction informatique ................................................... 53 2.3.2. Les logiciels .................................................................................................... 53 2.3.3. Les mots de passe ........................................................................................... 53 2.3.4. Configuration réseau ....................................................................................... 54 2.3.5. Stations de communication et systèmes d’exploitation .................................. 55 Mise en place et implémentation d’une politique de sauvegarde .................................. 56 Conclusion générale et perspectives ..................................................................................... 61 Références ............................................................................................................................... 62 Annexe A - Résultats d’audit MEHARI global ................................................................... 65 Annexe B - La virtualisation ................................................................................................. 66 Annexe C - Haute Disponibilité............................................................................................. 68 -v- Liste des figures Liste des figures Figure 1 : Les services de la sécurité .......................................................................................... 4 Figure 2 : UTM .......................................................................................................................... 7 Figure 3 : Les chapitres de la norme ISO 27002 ...................................................................... 15 Figure 4 : Figure 4: Le traitement de risque ............................................................................. 16 Figure 5 : Les phases de l'audits d'audit ................................................................................... 18 Figure 6 : Architecture d'Intercom Group simplifiée ............................................................... 20 Figure 7 : Architecture réseau sécuririsé par le firewall pfsense ............................................. 26 Figure 8 : Comparaison des solutions logicielles ..................................................................... 30 Figure 9 : Création d’un utilisateur ou d’un groupe dans AD .................................................. 32 Figure 10 : Groupe Administrateurs........................................................................................ 33 Figure 11 : Propriétés d’un administrateur ............................................................................... 34 Figure 12 : Options avancés ..................................................................................................... 35 Figure 13 : Entrées d'audit ........................................................................................................ 35 Figure 14 : Installation de pfSense ........................................................................................... 36 Figure 15 : Login de pfSense ................................................................................................... 36 Figure 16 : Interface Web de pfSense ...................................................................................... 37 Figure 17 : VPN avec pfSense ................................................................................................. 39 Figure 18 : Test des règles de VPN de pfSense ...................................................................... 39 Figure 19 : Outil advanced IP Scanner ..................................................................................... 41 Figure 20 : Outil GFILanguard ................................................................................................ 42 Figure 21 : Outil Nmap ............................................................................................................ 43 Figure 22 : Analyse de vulnérabilité par Nessus ...................................................................... 45 Figure 23 : Outil Oasp ZAP ..................................................................................................... 47 Figure 24 : Outil Metasploit ..................................................................................................... 48 Figure 25 : Exploitation de la faille Eternal Blue ..................................................................... 49 Figure 26 : Figure 27: L'exploitation avec Metasploit ............................................................. 49 Figure 27 : Test d’intrusion extérieur ....................................................................................... 50 Figure 28 : Relation entre potentiel et impact des risques ....................................................... 51 Figure 29 : Le résultat général de l’audit ................................................................................. 52 Figure 30 : La nouvelle architecture réseau ............................................................................. 55 Figure 31 : Création d’administrateur de sauvegarde dans Veeam ......................................... 57 Figure 32 : Sauvegarder une machine par Veeam .................................................................... 58 Figure 33 : Propriétés de sauvegarde dans Veeam ................................................................... 59 Figure 34 : Restauration d’une machine par Veeam ................................................................ 59 Figure 35 : Résultat global d’audit ........................................................................................... 65 -vi- Liste des tableaux Liste des tableaux Tableau 1: Méthodologie d'audit .............................................................................................. 17 Tableau 2: Les serveurs d’Intercom Technologies................................................................... 21 Tableau 3: La liste des équipements réseaux ........................................................................... 22 Tableau 4 : La liste des machines ............................................................................................. 22 Tableau 5 Le schéma de l’audit................................................................................................ 26 Tableau 6: Les modes de Backup ............................................................................................. 27 Tableau 7: Avantages et désavantages de DAS ....................................................................... 28 Tableau 8: Comparaison entre SAN et NAS ............................................................................ 29 Tableau 9: Les choix avant la sauvegarde et la restauration .................................................... 31 Tableau 10: Audit par rapport la norme ISO 27002 ................................................................. 52 Tableau 11: Machine physique et machine virtuelle ................................................................ 66 Tableau 12: La disponibilité en chiffres ................................................................................... 69 -viii- Glossaire Glossaire AD : Active Directory AFP : Apple Filling Protocol AH : Authentication Header AP : Access Point CD : Compact Disc CIFS : Common Internet File System CLUSIF : Club de la Sécurité de l'Information Français COBIT : Control Objectives for Information and Related Technology CSV : Comma-Separated Values CVE : Common Vulnerabilities and Exposures DAS : Directly Attached Storage DCSSI : Direction Centrale de la Sécurité des Systèmes d'Information DDoS : Distributed Deny of Service DHCP : Dynamic Host Configuration Protocol DMZ : Demilitarized Zone DNS : Domain Name Server DoS : Deny of Service DVD : Digital Optical Disc EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité ERP : Enterprise Resource Planning ESP : Encapsulating Security Payload ESXI : Elastic Sky X FreeBSD : Free Berkeley Software Distribution -ix- Glossaire FTP : File Transfert Protocol GED : Gestion Electronique des Documents GLPI : Gestionnaire Libre de Parc Informatique HA : High-Availability HTTP : Hyper Text Transfer Protocol ICMP : Internet Control Message Protocol IDS : Intrusion Detection System IP : Internet Protocol IPS : Intrusion Prevention System IPSec : IP Security ISACA : Information Systems Audit and Control Association iSCSI : Internet Small Computer System Interface ISO : International Organization for Standarization L2TP : Layer Two Tunneling Protocol LAN : Local Area Network LDAP : Lightweight Directory Access Protocol MAC : Media Access Control MAC: Message Authentification Code MAN : Metropolitain Area Network MARION : Méthodologie d’Analyse de Risques Informatiques Orientée par Niveaux MEHARI : Méthode Harmonisée d’Analyse de Risques MPLS : Multiprotocol Label Switching NAS : Network Attached Storage NGIPS : Système de Prévention des Intrusions de Nouvelle Génération NFS : Network File System -xi- Glossaire OS : Operation system PC : Personal Computer PDCA : Plan Do Check Act PDF : Portable Document Format PHP: Hypertext Preprocessor PPP : Point to Point Protocol PPTP : Point-to-Point Tunneling Protocol RAID : Redundant Array of Independent Disks RPC : Remote Procedure Call RPO : Recovery point objective QoS : Quality of Service RSSI : Responsable de Sécurité des Systèmes d’Information RTO : Recovery Time Objective SAN : Storage Area Network SCSI : Small Computer System Interface SI : Système d’Information SMB : Server Message Block SMTP : Simple Mail Transfer Protocol SNMP : Simple Network Management Protocol SQL : Structured Query Language SSH : Secure SHell SSL : Secure Sockets Layer SVN : Apache Subversion TCP : Transmission Control Protocol TLS : Transport Layer Security -xii- Glossaire UDP : User Datagram Protocol UNIX : Uniplexed Information and Computer Systems UTM : Unified Threat Management USB : Universal Serial Bus vCSA : vCenter Server Appliance VLAN : Virtual LAN VM : Virtual Machine VPN : Virtual Private Network WAN : Wide Area Network WEP : Wired Equivalent Privacy WPA : Wi-Fi Protected Access XML : eXtensible Markup Language XSS : Cross-site scripting ZAP : Zed Attack Proxy ZBF : Zone Based Firewall -xi- Introduction générale Introduction générale Les réseaux informatiques sont devenus un élément très important dans toutes les entreprises modernes qui possèdent un parc informatique et qui sont localisés dans plusieurs sites éloignés géographiquement. Le terme réseau définit un ensemble d’entités (machines, personnes, etc.) interconnectées les unes avec les autres et qui permet circuler les données. L’ordinateur c’est la machine qui permet de manipuler des données. L’homme, qui utilise l’ordinateur pour se communiquer, a rapidement compris l’intérêt de ces ordinateurs reliés entre eux afin de pouvoir échanger les informations. Avec ces changements, le traitement de l'information est devenu facile, les évolutions en technologies des informations n'ont pas cessé de se développer. Ainsi, les données numériques, qui sont échangées entre les entités communicantes, circulent dans le réseau. Les administrateurs des réseaux assurent la fiabilité, la sécurité et la rentabilité. Mais, le passage au numérique impose à l'entreprise de rationaliser son système d'information car le pirate informatique peut s’infiltrer dans les réseaux. De ce fait, la sécurité est devenue un souci à tous les experts. Aujourd’hui, il est de plus en plus difficile d’administrer un réseau informatique tant les solutions sont complexes tel que le pare-feu et l’antivirus, de même les attaques sont multiples et diversifiés, par exemple des virus, ou le déni de service. Les responsables de sécurité des systèmes d’information RSSI doivent être toujours à la ponte coté outils d’administration réseau et coté attaques et vulnérabilités. Le RSSI peut faire périodiquement un audit de sécurité pour trouver les failles de son Système d’Information SI et donc employer les solutions adéquates pour les résoudre. L'audit du système d'information est essentiel à toute entreprise surtout pour obtenir des normes internationales. Dans ce cadre, notre sujet de fin d’études intitulé « Mise à niveau de la sécurité du Système d’Information d’Intercom Technologies », a été réalisé au sein de l’entreprise Intercom Technologies dans le but d’obtenir le Diplôme Génie de Communications et Réseaux de l’Ecole Nationale d’Ingénieurs de Gabès. Intercom Groupe a proposé de sécuriser son architecture réseau avec un contrôle d’accès, de sauvegarder ses donnés avec une méthode logicielle intelligente et de faire un audit de sécurité pour obtenir des recommandations pour améliorer son SI. 1 Introduction générale Intercom Group, c’est un groupe de sociétés de services et d’ingénierie informatique spécialisée dans l’ingénierie des logiciels, l’intégration des solutions informatiques, le développement continu, l’étude, le conseil et l’assistance dans plusieurs domaines d’activités. Intercom Group intervient tout au long du cycle de vie d’un projet, de l’analyse des besoins, et à la mise en place de solutions tout en offrant la formation et le transfert de compétence. Il intervient dans différents domaines, principalement le domaine de télécommunication, fibre optique, génie civile, énergie renouvelable, l’ingénierie réseaux fixes et mobiles. Par ce stage Intercom Groupe a voulu évaluer la sécurité de son SI. Ainsi, nous avons trouvé dans le réseau d’Intercom Technologies quelques problèmes de sécurité (mot de passes faibles, contrôle d’accès…) et un manque de quelques services basiques pour automatiser le réseau. Le présent rapport présente trois chapitres : Le premier chapitre présente l’état de l’art : les notions de la sécurité et l’audit. Dans le deuxième chapitre intitulé la conception des solutions de sécurité, nous commencerons par l’étude de l’existant pour capturer les besoins et proposer les solutions à implémenter dans l’environnement de travail. Puis, nous présentons la nouvelle architecture réseau avant de passer à représenter les solutions de contrôle d’accès et la sauvegarde, leurs avantages et inconvénients, toute la démarche à suivre pour la réalisation. Le troisième chapitre nommé mise en place des solutions de sécurité, il contient les implémentations, les installations et les configurations réalisées. Aussi, nous avons présenté la démarche pour faire l’audit et les résultats obtenus. Enfin, l’audit nous a permit de proposer des recommandations à l’entreprise. Enfin, nous clôturons le rapport par une conclusion générale qui présente le bilan de ce projet et les perspectives. -2- Chapite 1 : Etat de l’art Chapitre 1: Etat de l’art Introduction Dans ce chapitre, nous présentons la sécurité informatique et l’audit. Nous commençons par définir les menaces, les risques et les vulnérabilités, ainsi que les méthodes de défense contre les attaques informatiques. Puis, nous détaillons quelques normes d’audit et les phases de l’audit d’un système d’information. 1. La sécurité informatique Dans cette section, nous présentons les différentes techniques qui définissent la sécurité des systèmes d’information, les enjeux et les services de la sécurité. Nous décrivons les types des attaques et les méthodes de défense des systèmes d’information. 1.1. Enjeux de la sécurité La sécurité informatique est l’ensemble des moyens mis en place pour empêcher la mauvaise utilisation ou la modification d’un système d’information. La sécurité à plusieurs enjeux : économiques, politiques, et juridiques [1]. Enjeux économiques : le système d’information est considéré comme moteur de développement de l’entreprise. La concurrence fait que des entreprises s’investissent de plus en plus, dans la sécurisation de leurs systèmes d’informations dans la qualité de service fournit aux clients, pour réaliser des bénéfices sur l’ensemble de leurs activités. Enjeux politiques : la plupart des entreprises se réfèrent aux documents officiels de sécurité élaborés et recommandés par l’état. Ces documents contiennent généralement des directives qui doivent être appliquées par toute structure engagée dans un processus de sécurisation du réseau. Dans le cadre du chiffrement des données par exemple, chaque Etat définit des cadres et mesures d’utilisation es algorithmes de chiffrement et les recommande aux entreprises exerçant sur son territoire. Le non-respect de ces mesures et recommandations peut avoir des conséquences graves sur l’entreprise. A ce niveau, l’enjeu est plus politique parce que chaque Etat souhaite être capable de décrypter toutes les informations circulant dans son espace. Enjeux juridiques : dans un réseau, nous retrouvons de l’information multiforme (numérique, papier, etc.). Le traitement de celle-ci doit se faire dans un cadre bien définit et dans le strict respect des lois en vigueur. 3 Chapitre 1 : Etat de l’art 1.2. Les services de la sécurité Les services de la sécurité informatique sont : préserver la confidentialité, l’intégrité et la disponibilité des données sur le réseau. [2] - La confidentialité c'est le fait de s’assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé. - L'intégrité c'est garantir que les données ne sont pas modifiées. - La disponibilité c'est garantir l'accès aux informations. La figure 1 présente les trois principaux services de la sécurité. Figure 1 : Les services de la sécurité Pour les réseaux sans fil : la confidentialité c’est de garantir que les données envoyées à travers le réseau sont codées afin de ne pas être interceptées et lues par des individus indésirables. Le bon moyen de chiffrer les données est une clé et un bon processus d'authentification. Sachant que les réseaux sans fil sont plus exposés aux attaques ayant pour objectif l'intégrité des données et le brouillage radio peut facilement restreindre la disponibilité d'un réseau. Nous notons qu’il y’a d’autres services tel que - La traçabilité : c’est mémoriser l’origine du message. - L’authentification : c'est assurer que la personne qui échange le message est bien celui qu'il prétend être. - La non répudiation : c'est empêcher les deux personnes communicantes de nier avoir envoyé ou reçu un message. 4 Chapitre 1 : Etat de l’art 1.3. Exemples de mécanismes de sécurité A cause des menaces provenant des logiciels malveillants, il faut mettre en place des mécanismes de sécurité pour assurer les services. 1.3.1. Pare-feu (firewall) C’est un ensemble de différents composants matériels (physique) et logiciels (logique) qui contrôlent le trafic intérieur/extérieur selon une politique de sécurité. Un système pare-feu fonctionne la plupart du temps grâce à des règles de filtrage indiquant les adresses IP autorisées à communiquer avec les machines du réseau. Il s’agit ainsi d’une passerelle filtrante. Il permet d’une part de bloquer des attaques ou connexions suspectes d’accéder au réseau interne. D’un autre côté, un firewall sert dans de nombreux cas également à éviter la fuite non contrôlée d’informations vers l’extérieur. Il y a plusieurs types de firewall réseaux et applicatifs, matériels et logiciels : Sophos1, Fortigate2, ces deux solutions sont payantes, cependant il y a plusieurs firewalls gratuits comme pfSense3, Endian4, IPCOP5 qui proposent un contrôle sur le trafic entre machines et l’Internet avec des règles entrantes et sortantes. [3] 1.3.2. Antivirus L’antivirus est un logiciel conçus pour identifier, neutraliser et éliminer des logiciels malveillants. Ceux-ci peuvent se baser sur l’exploitation de failles de sécurité, mais il peut également s’agir de programmes modifiant ou supprimant des fichiers, que ce soit des documents de l’utilisateur sur l’ordinateur infecté, ou des fichiers, nécessaires au bon fonctionnement de l’ordinateur. Un antivirus vérifie les fichiers et courriers électroniques, les secteurs de boot, mais aussi la mémoire vive de l’ordinateur, les médias amovibles, les données qui transitent sur les éventuels réseaux. Les antivirus les plus connus sont Kaspersky6, Norton7, et BITDEFENDER8. [4] 1 https://www.sophos.com/en-us.aspx https://www.fortinet.com/products/next-generation-firewall.html 3 https://www.pfsense.org/download/ 4 https://www.endian.com/community/download/ 5 https://sourceforge.net/projects/ipcop/ 6 https://www.kaspersky.com/downloads 7 https://za.norton.com/products?nortoncountry 8 https://www.bitdefender.fr/ 2 5 Chapitre 1 : Etat de l’art 1.3.3. VPN (Virtual Private Network) dans les réseaux informatiques, le réseau privé virtuel est une technique permettant aux postes distants de communiquer de manière sûre. Un VPN repose sur un protocole, appelé protocole de tunnel, c'est-à-dire un protocole permettant aux données passant d’une extrémité à l’autre du VPN d’être sécurisées par des algorithmes de cryptographie. Plusieurs protocoles peuvent intervenir dans une connexion VPN et qui sont : PPTP, L2TP, IPSec, MPLS, SSL / TLS… [5] 1.3.4. IDS (Intrusion Detection System) Un système de détection d’intrusion est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Le RSSI vérifie les logs et cherche des signatures d’attaques. Par exemple Snort9 est un exemple d’IDS. Il permet d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions. [6] 1.3.5. IPS (Intrusion Prevention System) Un système de prévention d’intrusion est un outil similaire aux IDS, sauf que ce système peut prendre des mesures afin de diminuer les risques d’impact d’une attaque. C’est un IDS actif, il détecte un balayage automatisé, l’IPS peut bloquer les portes automatiquement. Firepower NGIPS10 (système de prévention des intrusions de nouvelle génération) de Cisco est un exemple courant des périphériques IPS matériels. Il y a d’autres IPS logiciels tel que : SolarWinds Security Event Manager11 et Security Onion WinPatrol12… [6] 1.3.6. DMZ (Demilitarized Zone) C’est une zone où nous pouvons mettre des services accessibles de l’intérieur et de l’extérieur du SI. Elle est délimitée par un ou deux firewalls. Le DMZ peut aider à atténuer les attaques de sécurité où nous isolons des routeurs ou des serveurs [7]. Dans ZBF (Zone Based Firewall), le firewall basé sur des zones, les interfaces des périphériques sont placées dans différentes zones uniques telles que (intérieur, extérieur, DMZ), puis des stratégies sont appliquées dans ces zones 1.3.7. UTM (Unified Threat Management) L’UTM englobe tous les outils présentés précédemment dans un seul boitier. [8] C’est à dire il joue le rôle d’un firewall, IPS, IDS, Antivirus, VPN. L’UTM est présenté dans la figure 2. 9 https://www.snort.org/ https://www.cisco.com/c/en/us/products/security/ngips/index.html 11 https://www.solarwinds.com/security-event-manager 12 https://securityonion.net/ 10 6 Chapitre 1 : Etat de l’art Figure 2 : UTM 1.4. Sécurité et attaques par les logiciels malveillants Dans cette section, nous définissons les menaces, risques et vulnérabilités dans la sécurité et nous passons à indiquer les logiciels malveillants de nos jours. 1. 4.1. Menaces Nous classons les menaces en deux catégories selon qu’elles ne changent rien (menaces passives) ou qu’elles perturbent effectivement le réseau (menaces actives) [9] Les menaces passives : consistent essentiellement à copier ou à écouter l’information sur le réseau, elles nuisent à la confidentialité des données. Dans ce cas, celui qui prélève une copie n’altère pas l’information elle-même. Les menaces actives : sont de nature à modifier l’état du réseau. 7 Chapitre 1 : Etat de l’art 1.4.2. Risques Les risques se mesurent en fonction de deux critères principaux: la vulnérabilité et la sensibilité. - La vulnérabilité : désigne le degré d’exposition à des dangers. Un élément de ce réseau peut être très vulnérable tout en présentant un niveau de sensibilité très faible. - Sensibilité : c’est lorsque nous fournissons un accès ç une donnée confidentielle. 1.4.3. Vulnérabilités La vulnérabilité se trouve sous plusieurs formes : [10] Vulnérabilité humaine : l’être humain de par sa nature est vulnérable. La plupart des vulnérabilités humaines proviennent des erreurs (négligences, manque de compétences, surexploitation, etc.) Vulnérabilités technologiques : ces vulnérabilités sont aux bases dûes à une négligence humaine lors de la conception et la réalisation. Avec la progression des outils informatiques, les vulnérabilités technologiques sont annoncées périodiquement. Vulnérabilité organisationnelles : les vulnérabilités d’ordre organisationnel sont dues à l’absence de documents cadres et formels, des procédures (de travail, de validation) suffisamment détaillées pour faire face aux problèmes de sécurité du système. Vulnérabilité au niveau mise en œuvre : les vulnérabilités peuvent être dûes au non prise en compte de certains aspects de sécurité lors de la réalisation d’un projet. 1.5. Les logiciels malveillants Un logiciel malveillant est un programme développé pour attaquer un système informatique, sans le consentement de l’utilisateur infecté. Plusieurs types de logiciels malveillants ont été proposés. Nous citons les plus répandus : [11] 1.5.1. Virus Un virus est un morceau de programme informatique malicieux conçu et écrit pour qu’il se reproduise. Sans la permission de l'utilisateur, il peut toucher l'ordinateur par sa capacité de se multiplier. En termes plus techniques, le virus s’attache à un programme exécutable et se copie systématiquement. Les virus les plus dangereux en 2019 sont : ILOVEYOU, LOCKY, Heathlbleed. [12] 8 Chapitre 1 : Etat de l’art 1.5.2. Vers (ou Worm) C’est un type de virus particulier qui s'étend par le réseau. Le ver contrairement aux virus, une fois implanté et activé dans un ordinateur, il est capable de se propager d’un ordinateur à un autre via le réseau, sans intervention de l’utilisateur et sans exploiter le partage de fichiers. Les clés USB infectés peut entrainer la propagation d'Autorun qui est un exemple de ver. [13] 1.5.3. Cheval de Troie (ou Trajan Horse) C’est un programme qui exécute des instructions sans l’autorisation de l’utilisateur. Généralement ces instructions nuisent à l'utilisateur. Contrairement au ver, le cheval de Troie ne se produit pas qui une fois installé sur un ordinateur et il effectue des actions cachées. Contrairement au ver, il ne se réplique pas. Nous citons les exemples de WANNACRY, ZeuS et Emotet. [13] 1.5.4. Espion (ou Spyware) Un logiciel espion est un programme qui a pour but la collecte des données personnelles et de les envoyer à son concepteur, ou à un tiers via internet ou tout autre réseau informatique, sans avoir obtenu préalablement une autorisation explicite des utilisateurs (à leurs insu). Une variété particulièrement toxique de logiciel espion connu comme espion dactylographique est le Keylogger qui enregistre de façon fidèle tout ce que l’utilisateur tape sur son clavier et le transmet au pirate, il capte surtout les identifiants, les mots de passe et les codes secrets. [14] 1.5.5. Spam Le spam est une vraie problématique. Il encombre les résultats de recherche ce qui gêne l’utilisateur. Un spam peut être définit comme étant un email anonyme, non sollicité, indésirable et envoyé en grand nombre de façon automatique sans l’accord de son destinataire. [15] 1.5.6. Cookies Un cookie est un fichier très simple, en fait un texte, enregistré sur le disque dur de l’ordinateur d’un internaute à la demande du serveur gérant le site Web visité. Il contient des informations sur la navigation effectuée sur les pages de ce site. L’idée originale est de faciliter l’utilisation ultérieure du site par la même personne. [16] Un cookie n’étant pas exécutable, il ne peut pas contenir de virus. Les cookies sont récoltés par les attaquants et exploités à fin de savoir les préférences de l’internaute. 9 Chapitre 1 : Etat de l’art 1.5.7. Bombe logique C’est une partie d’un programme malveillant qui reste dormante dans le système hôte jusqu’à ce qu’un déclencheur survient, ou encore que certaines conditions soient réunies, pour y produire des effets destructeurs en son sein. [17] Les bombes logiques sont généralement utilisées dans le but de créer un déni de service (ou DoS) en assurant les connexions réseau d’un site, d’un service en ligne ou d’une entreprise. 1.6. Types d’attaques Les attaques informatiques sont nombreuses. Une attaque est n’importe quelle action qui compromet la sécurité des informations. Par contre l’intrusion est la prise de contrôle partielle ou totale d’un système distant. Nous en donnons un bref aperçu où les attaques sont triées par cible d’attaque : [18] Hardware : le matériel est visible donc c'est un point d'attaque facile. La liste des attaques humaines soient involontaires ou volontaires est sans fin. Software: le logiciel peut être détruit, modifié, effacé, déplacé… Le résultat est identique dans chaque cas, l'accès au programme voulu est perdu. La modification est sans doute la pire des attaques car elle peut causer de dangereux troubles ultérieurs. Les techniques de modification des données les plus connues sont : les bombes logiques, les chevaux de Troie et les virus. Données : la confidentialité des données peut ne plus être garantie si les données sont mises sur écoute par simple requête, en déroutant les appareils au niveau de sortie de données… La modification des données est en général plus compliquée à effectuer puisqu'elle nécessite une plus grande connaissance technologique surtout si nous utilisons des signatures ou des MAC (Message Authentification Code). Réseau : les réseaux assurent la communication en utilisant des moyens de transports partagés et différents. Les accès à longue distance sont deux points importantes dont il faut tenir compte. Accès : l'utilisation non adapté d'un accès peut engendrer des pertes de performances, des pertes commerciales, mais aussi des pertes de données. Personnel : l'être humain reste toujours un des points faibles de sécurité. Citons l’exemple d’un employé qui touche une somme d’argent pour fournir un mot de passe. 10 Chapitre 1 : Etat de l’art 1.7. Les techniques de piratage informatique Depuis des années, il existe nombreuses techniques de piratage, et nous présentons par la suite les plus connues entre elles : [19] 1.7.1. L’ingénierie sociale Lorsque quelqu'un désire infiltrer un système informatique, il peut profiter de la naïveté des employés et les manipuler psychologiquement afin de contourner les dispositifs de la sécurité. Par exemple, obtenir les mots de passes. 1.7.2. Le déni de service (ou Denial-of-Service DoS) Les attaques DoS contribuent à saturer un routeur ou un serveur afin de le cracher suite à une attaque massive(le bloquer ou le rendre déconnecté). C'est très facile de mettre ces types d’attaques en place mais très difficile à les empêcher. L’usurpation d'adresse: c'est une technique permettant de se filtrer mais quelles sont les raisons qui peuvent pousser un attaquant à utiliser les en sachant que cela peut mener à endommager un routeur ou un serveur visé, les raisons sont : - Récupérer un accès : une attaque de type DoS fait, la plupart du temps, partie d’une attaque visant à obtenir le contrôle d’une machine ou d’un réseau. Par exemple l’attaque de type Syn Flood est très répandue, est souvent utilisée en conjonction avec une tentative de l’usurpation de l’identité. - Masquer les traces : ce type d’attaque permet également de cracher une station qui par exemple aurait pu contenir des traces du passage d’un pirate informatique (fichiers log des services). En détruisant cette station, il s’assure ainsi une certaine pérennité. - Se venger : très fréquemment, ces attaques sont accomplies dans le cadre d’une vengeance personnelle contre une personne, un administrateur ou bien encore une entreprise. 1.7.3. L’usurpation d’adresse (ou IP spoofing) En se faisant passer pour un hôte de confiance, cette technique permet de s’infiltrer dans un ordinateur. Une station envoie un paquet dont l’adresse IP est autorisée par le serveur visé. La source IP envoyée trompe donc la cible qui accorde l’accès en pensant avoir affaire à une machine de confiance. Notons qu’il existe différents types de spoofing comme IP spoofing, DNS spoofing, Web spoofing… 11 Chapitre 1 : Etat de l’art 1.7.4. Les portes dérobées (ou backdoors) C’est la technique la plus connue, depuis l’existence des attaques informatiques, et elle est la plus utilisée. Les backdoors (ou portes de service) permettent, à celui qui en connait l’existence et le fonctionnement, de revenir sur un système de façon détournée, c'est-à-dire sans passer par les méthodes d’authentifications habituelles. Il existe différents types de backdoors, certaines n’ont une utilité qu’une fois l’accès à la station accordé, d’autres permettent par exemple de contourner les différents types de parefeu. Les backdoors sont aussi des moyens de contourner les mécanismes de contrôle d’accès. Il s’agit d’une faille du système de sécurité due à une faute de conception accidentelle ou intentionnelle. 1.7.5. Attaque d’un site web L'injection SQL est une technique très connue qui pourrait détruire la base de données. Elle est l'une des techniques de piratage Web les plus courantes. Elle se produit généralement lorsqu’ un utilisateur est demandé de donner une entrée, telle que son nom d'utilisateur / idutilisateur, et au lieu d'un nom / id, l'utilisateur, il donne une instruction SQL qui s'exécute sans le savoir sur la base de données. Et voici des exemples : txtUserId = getRequestString ("UserId"); txtSQL = "SELECT * FROM Utilisateurs WHERE UserId =" + txtUserId; L'injection SQL basée sur 1 = 1 est toujours vraie SELECT * FROM Utilisateurs WHERE UserId = 105 OR 1 = 1; Les attaques de type XSS (Cross-Site Scripting) sont un type d’injection dans lequel des scripts malveillants sont injectés sur des sites Web dignes de confiance et sans danger. Les attaques XSS se produisent lorsqu'un attaquant utilise une application Web pour envoyer du code malveillant généralement sous la forme d'un script côté navigateur, à un utilisateur final. Le serveur Web est un programme qui héberge des sites Web basé à la fois sur le matériel et les logiciels. Il fournit des fichiers et autres contenus sur le site Web via HTTP. 12 Chapitre 1 : Etat de l’art Les services Web sont devenus une partie importante de l'internet. Ils sont utilisés pour la création de fichiers, la communication, etc. Les risques sont: une configuration par défaut, des autorisations des services inutiles, des certifications SSL mal configurées ... et les attaques peuvent être DoS, DDoS, homme au milieu, et le hameçonnage. 1.8. Méthodologie d’une attaque La méthodologie de l'attaque passe par les étapes suivants: elle commence par la collecte des informations, le balayage du réseau, le repérage des failles, puis l’intrusion et l’extension des privilèges et se termine par le nettoyage des traces. Cette méthodologie n’est pas toujours appliquée telle qu’elle est, par exemple, une attaque DoS peut ne pas se terminer par le nettoyage des traces. [20] 1.9. Méthodes de défense Certaines méthodes de défense permettent de prévenir les attaques, d’autres, moins efficaces, ne donnent qu’une détection ultérieure. Le cryptage : crypter c’est transformer les données afin qu’elles deviennent incompréhensibles. Le chiffrement est un procédé de cryptographie grâce auquel nous rendons la compréhension d’un document impossible à toute autre personne qui n’a pas la clé de déchiffrement. Nous pouvons nous protéger des interceptions et modifications. [21] En plus de la confidentialité, le cryptage permet d’atteindre un certain seuil d’intégrité en tenant compte du fait que des données qui n’ont pas de signification à la lecture peuvent difficilement être modifiées de manière sensée. Le cryptage est un des outils les plus importants de la sécurité informatique mais il ne se résout pas tous les problèmes de la sécurité. Contrôle software : afin d’empêcher les tentatives d’attaques extérieures, les programmes doivent être sécurisés. Le contrôle software est conçu durant la phase de développement, implémenté par le d’exploitation ou partie restrictive du programme. Contrôle Hardware : il existe de nombreux appareils qui assistent la sécurité. Citons des cartes d’implémentation de cryptage, des contrôleurs d’accès disque et des vérificateurs d’identité. Juridique : les lois en matière de crime informatique sont aujourd’hui encore assez floues, lentes à se développer… La communauté informatique n’a pas encore adopté de standards en matière de comportement éthique malgré que certaines organisations poussent de tels développements… 13 Chapitre 1 : Etat de l’art Après avoir présenté les types d’attaques, les méthodes de défense contre elles, Nous passons à détailler l’audit de sécurité qui aide le RSSI à détecter les failles de son SI et choisir les bonnes solutions pour y remédier. 2. Normes d’audit et méthodologies L’audit de la sécurité est une opération périodique pour éviter les pertes dûes aux attaques, identifier les failles et les remédier. L’audit a pour objectif améliorer la performance par des recommandations et passer à un plan d'action. Les systèmes d’information actuels doivent faire face à de nombreuses menaces susceptibles d’exploiter leurs vulnérabilités. Afin de limiter les impacts résultant de ces menaces, une politique de traitement des risques doit être mise en place. L’analyse des risques en sécurité de l’information permet d’identifier les dangers introduits par les applications et les SI, de les évaluer, et de définir et mettre en œuvre des mesures de protection adaptées. Dans cette section, nous présentons une synthèse de la famille des normes ISO 27000 et une comparaison de quelques méthodes d’audit de d’analyse des risques. [22] 2.1. Les normes ISO 27000 Les normes ISO 27000 sont internationales. La norme ISO 27001 se base sur l’approche processus et l’application du modèle PDCA (Plan Do Check Act). Elle traite les bonnes pratiques de la gestion des risques, définit les exigences en sécurité et les mesures de contrôle La norme ISO 27002 constitue un code de bonnes pratiques. Elle est composée de 114 mesures de sécurité réparties en 14 chapitres couvrant les domaines organisationnels et qui sont présentés dans la figure 3. [23] 14 Chapitre 1 : Etat de l’art Figure 3 : Les chapitres de la norme ISO 27002 La norme ISO 27005 fournit des lignes directrices pour la gestion des risques de sécurité de l’information. Elle s’appuie sur les concepts généraux spécifiés dans la norme ISO 27001 et est conçu pour aider la mise en œuvre d’un niveau de sécurité de l’information satisfaisant basé sur une approche de gestion du risque. [24] Une connaissance des concepts, des modèles, des processus et de la terminologie de l’ISO 27001 et l’ISO 27002 est essentielle pour une compréhension complète de la norme ISO 27005. La norme ISO 27005 est applicable à tous les types d’organisations (par exemple, des entreprises commerciales, des organismes gouvernementaux, des organisations à but non lucratif) qui ont l’intention de gérer les risques qui pourraient compromettre l’organisation de la sécurité de l’information. 15 Chapitre 1 : Etat de l’art Le processus de gestion des risques définit par cette norme comprend les étapes suivantes selon l’ordre croissant de l’établissement du contexte à la communication du risque : [25] - Etablissement du contexte - Identification du risque - Estimation du risque - Evaluation du risque - Traitement du risque - Acceptation du risque - Communication du risque La phase gestion du risque consiste à analyser les scénarios de risque identifiés afin de décider le traitement à admettre : le maintien, la modification, le transfert et l’évitement. [26] Pour planifier le traitement des risques, il est possible de regrouper les risques par familles de scénarios. La figure 4 présente la phase de traitement de risque. Figure 4 : Figure 4: Le traitement de risque 2.2. Méthodologies Pour réaliser une analyse des risques, il y a plusieurs méthodes d’audits représentées dans le tableau 1 : [27] 16 Chapitre 1 : Etat de l’art Tableau 1: Méthodologie d'audit Méthode Origine Caractéristiques COBIT ISACA Méthode accessible à tous, dans un langage simple, les outils (Control (Information fournis permettent la mesure des performances, Américaine, de Objectives for Systems Audit popularité moyenne et payante Information and Control and Association) Technologie) EBIOS DCSSI Cette méthode comprend une base de connaissances et un (Expression (Direction recueil de bonnes pratiques, gratuite, mais ne contient pas des des Besoins et Centrale de la recommandations de sécurité et elle ne peut pas être utilisée Identification Sécurité des toute seule (possibilité de l’utiliser avec la norme ISO 27002). des Objectifs Systèmes Cette méthodologie ne fournit pas de solutions immédiates aux de Sécurité) d'Information) problèmes de sécurité. C’est une méthode publiée par la Direction Centrale de la Sécurité des systèmes d’information en France en 1995. MARION CLUSIF Fonctionne par questionnaire débouchant sur 27 indicateurs (Méthodologie (Club de la répartis en 6 catégories, 2 phases (audit de vulnérabilité et d’Analyse Sécurité de analyse des risques), permet la définition et la mise en œuvre de de Risques l'Information plans d’actions personnalisés Informatiques Français) Orientée par Niveaux) MEHARI CLUSIF Succède la méthode MARION, Française, gratuite et rapide (Méthode mais nécessite des feuilles de calcul dédiés. Harmonisée La méthode MEHARI: cette méthode est développée et d’Analyse de maintenue depuis 1995 par le CLUSIF et reprend et remplace la Risques) méthode MARION. 17 Chapitre 1 : Etat de l’art 2.3. Critères de choix d’une méthode Nous citons par la suite quelques critères [28] qui pourraient aider à en choisir une: - La langue: il est important de bien comprendre le vocabulaire employé par la méthode - La culture du pays d’origine de la méthode : est à prendre en considération - La base de connaissance et les outils supportant la méthode : leur existence est fortement souhaitable pour faciliter son utilisation - La documentation : son existence et sa qualité sont bénéfiques - La pérennité : il est très important que l’éditeur de la méthode en assure la durabilité - La compatibilité : elle doit peser énormément par rapport aux normes internationales - Le retour d’expérience : le support d’un club d’utilisateurs, de forums, améliore son utilisation. Par la suite, nous choisissons la méthode MEHARI parce qu’elle répond aux critères de choix cités précédemment. 2.4. Les phases de l’audit Les phases d’audit sont la préparation de l’audit, l’audit organisationnel et physique, l’audit technique, le test intrusif, et le rapport d’audit qui contient la synthèse et les recommandations comme le montre la figure 5. [29] Figure 5 : Les phases de l'audits d'audit 2.5. Niveaux d’audit Il y a deux niveaux d’audit : [30] 18 Chapitre 1 : Etat de l’art Audit niveau 1 : avoir une vue globale de l’état de sécurité du système d’information et identifier les risques potentiels (environ tous les deux ans). Audit niveau 2 : concerne les composants du système d’information: validation d’une architecture de sécurité, test de vulnérabilités internes et/ou externes (intrusifs), validation du code (faille dans une application Web, contrôle d’accès trivial). 2.6. Les techniques de l’audit Les techniques de l’audit sont en 2 types : boite blanche et boite noire. [31] 2.6.1. Audit « Boite blanche » Cette méthode consiste à tenter de s’introduire dans le système en ayant connaissance de l’ensemble du système, afin d’éprouver au maximum la sécurité du réseau et elle se compose de: - Audit de configuration - Audit déclaratif - Audit organisationnel 2.6.2. Audit « boite noire » Cette méthode consiste à essayer de s’infiltrer le réseau sans aucune connaissance du système, afin de réaliser un test en situation réelle, et contient: - Audit de Vulnérabilités - Test d’intrusion - Audit technique Ces deux types d’audit vont nous aider à attendre l’objectif principal d’un audit de sécurité. L’audit répond aux préoccupations concrètes de l’entreprise, notamment ses besoins en sécurité en déterminant les dérivations par rapport aux bonnes pratiques et en proposant des actions d’améliorations du niveau de sécurité de l’infrastructure informatique. Conclusion: Dans ce chapitre, nous avons défini les notions de base de la sécurité des réseaux informatique. Dans le chapitre suivant, nous passons à étudier l'architecture réseau existante, et nous proposerons des solutions d’audit, de contrôle d’accès et de sauvegarde. 19 Chapitre 2 : Conception des solutions de sécurité Chapitre 2: Conception des solutions de sécurité Introduction: Dans ce chapitre, nous étudions l’architecture réseau d’Intercom Technologies du coté matériel et logiciel. ainsi que les solutions proposés pour le contrôle d’accès et la sauvegarde des données. 1. Etude de l’existant Voici l’architecture réseau existante la figure 6. Par la suite, nous faisons l’inventaire des machines et des serveurs pour savoir les machines présentes dans le réseau local et caractériser le système d’information. Figure 6 : Architecture d'Intercom Group simplifiée 20 Chapitre 2 : Conception des solutions de sécurité 1.1. Inventaire des équipements Dans cette partie nous donnons l’inventaire des équipements de réseau d’Intercom Technologies. 1.1.1. Serveurs Nous listons dans le tableau 2 les serveurs d’Intercom Technologies. Tableau 2: Les serveurs d’Intercom Technologies Nom Fonctionnalité Système d’exploitation HP Serveur Backup FreeBSD Lenovo E2 Serveur de données Linux VM Data E Serveur de données Windows Server 2012 VM Data D Serveur de données Windows Server 2012 Symantec Serveur Antivirus Windows Server 2012 CAM Vidéo surveillance Windows Server 2012 GLPI Serveur d’application de gestion des tickets Windows Server 2012 www.Intercom- Serveur technologies.fr Web de l’entreprise de l’acceuil Windows 10 Intercom Technologies www.Intercom- Serveur Web Windows 10 consulting.fr AD Active Directory et DNS Windows Serveur 2012 D365 Enterprise Resource Planning Microsoft JIRA Serveur d’application de gestion des projets Windows 7 APM Serveur application du pointage Windows NT Progress Pro Gestion de fiche de présence Windows NT GED Alfresco Gestion électronique des documents Linux SVN Serveur d’application de gestion des permissions Linux Financial and Operation aux projets 1.1.2. Equipements réseaux Nous présentons dans le tableau 3 la liste des équipements réseaux 21 Chapitre 2 : Conception des solutions de sécurité Tableau 3: La liste des équipements réseaux Equipement Marque Application ou Fonctionnalité Nombre Switch D-Link Sw Réseaux LAN 9 Routeur Cisco 1900 Routage 2 Patch panel Me 3400 E Gestion des câbles LAN 1 Téléphone sans fil hybride Gigaset c530 Itérance de voix IP 10 Machine de virtualisation HP Esxi Virtualisation 4 Optical Network Termination Cisco Adaptation optique 4 Caméra de Surveillance - - 10 Imprimantes ou Scanner - - 1 Pointeuse - - 1 1.1.3. Machines de chaque unité Nous présentons dans le tableau 4 la liste des machines pour chaque unité d’Intercom Technologies ainsi les systèmes d’exploitation sont Windows 7 professionnel et Windows 10 professionnel: Tableau 4 : La liste des machines Unité Nombre de machines Administration 14 Unité transmission 20 Unité réseaux 1 Unité fibre optique 96 Unité radio 18 Unité communication système 11 Bureau d’étude 15 Unité de développement 2 Service qualité 2 22 Chapitre 2 : Conception des solutions de sécurité 1.2. Aspects de sécurité existants Nous présentons dans cette partie les aspects de sécurité existants au niveau de réseau, logique et physique. - L’architecture n’est pas protégée en entrée de réseau par un firewall physique, par contre il existe un firewall logique basé sur des zones ZBF qui est mis en place pour l’inspection du trafic entrant et sortant de l’interface. Cette solution contrôle et gère les trafics ICMP, UDP et TCP. - Pour la mise à jour, l’équipe de maintenance système assure les mises à jour régulières et correctives en termes de sécurité pour la majorité des systèmes d’exploitation et logiciels. - Un système antiviral centralisé est mis en place par une solution Symantec 13 pour la détection et la protection contre les menaces, mais la stratégie de scan est limitée en termes d’efficacité. - La direction d’Intercom Technologies emploie des mesures de sécurité environnementale tel que la pointeuse et le système d’alarme pour gérer une alerte en cas d’accident. - La salle des serveurs est fermée par clé et seulement les personnes autorisées peuvent y accéder. 1.2.1. Aspect de contrôle d’accès existant Concernant le contrôle d’accès, l’administrateur adapte la politique de blocage de lecteur USB et le filtrage d’accès depuis et vers le réseau internet pour éviter le risque de propagation des virus. L’administrateur réseau assure le contrôle et la gestion d’accès aux postes de travail des utilisateurs. Ce dernier, assure la politique d’affectation des mots de passes des sessions utilisateurs. 1.2.2. Méthode de sauvegarde existante Pour la sauvegarde, une application Web FreeNAS14, gratuite, est utilisée. Elle est basée sur le système d'exploitation FreeBSD15 qui est presque similaire à UNIX, mais réellement n'est pas dérivé d’UNIX. Ce système d'exploitation, ayant des caractéristiques spécifiques, est très important dans les solutions réseaux, et il a été développé par Berkeley Software Distribution. 13 https://www.symantec.com/ https://freenas.org/ 15 https://www.freebsd.org/ 14 23 Chapitre 2 : Conception des solutions de sécurité Le tableau 5 présente les avantages et désavantages de FreeBSD : Tableau 5 : Les avantages et désavantages de FreeBSD Avantages Désavantages Les utilisateurs peuvent utiliser et développer FreeBSD n’est pas supporté par les PCs IBM. le système d'exploitation gratuitement, Il n'y a pas de support pour plug and play, puissant, prend en charge les correctifs et les son avenir est incertain pour le serveur de mises à jour. base de données et les systèmes Ce système d'exploitation est stable pour la d'exploitation de bureau. base de données, le serveur Internet, le serveur client et autres. Il se caractérise par la flexibilité, rapidité, fiabilité, et la sécurité. FreeBSD est un système d’exploitation de serveur, mais FreeNAS a été optimisé pour le service de fichiers et le stockage. Il prend en charge les partages de fichiers Windows SMB (Server Message Block) / CIFS (Common Internet File System), les partages de fichiers Unix NFS (Network File System) et les partages de fichiers Apple (AFP), ainsi que les protocoles FTP (File Transfert Protocol) et iSCSI (Internet Small Computer System Interface). La version de FreeNAS installé est 9.3. Nous pouvons installer la nouvelle version 11.2 qui est plus stable. FreeNAS permet la sauvegarde gratuite des données, son interface Web est facile à manipuler mais les options de sauvegarde sont simples. Il y a d’autres solutions de sauvegarde que nous pouvons les utiliser Après avoir définit l’existant , nous passons à présenter les solutions de sécurité proposés comme le contrôle d’accès, l’audit et la sauvegarde. 2. Présentation des solutions de sécurité Dans cette section, nous présentons les solutions que nous avons besoin d’implémenter pour sécuriser le réseau d’Intercom Technologies. 3.1. Contrôle d’accès La sécurisation des accès des utilisateurs est nécessaire pour permettre l’accès aux personnes autorisées et empêcher celles n’étant pas autorisés à accéder au système d’information. Aussi, une politique efficace et rigoureuse des droits d’accès attribués aux utilisateurs doit de vérifier 24 Chapitre 2 : Conception des solutions de sécurité de façon périodique par la direction concernée. Nous avons choisi de configurer l’Active Directory AD de Windows Server et le firewall pfSense pour améliorer le contrôle d’accès. 3.1.1. AD Le rôle d’administrateur réseau est d’utiliser les outils de Windows Server 201216 pour la mission de la sécurité. Il a une connaissance des différents systèmes d’exploitations, logiciels et matériels. Windows server est publié par Microsoft, c’est un système d’exploitation destiné aux entreprises qui apporte des fonctionnalités et des services qui facilitent l’administration. l’AD est un service d'annuaire pour les réseaux de domaine Windows. Il authentifie et autorise tous les utilisateurs et ordinateurs d'un réseau de type domaine Windows. 3.1.2. pfSense C’est un routeur / pare-feu open source. Son système d’exploitation est FreeBSD. PfSense permet de sécuriser le réseau de l’entreprise. PfSense est une Appliance : une solution toute packagée et prête à l'emploi. La solution est donc composée d'un système minimaliste embarquant les outils nécessaires à la réalisation d'une passerelle réseau (DNS, DHCP, VPN, etc.), un serveur Web et une interface de configuration en PHP. Il permet plusieurs fonctionnalités telles que le contrôle d’accès, NAT, Web proxy, Web filter, IPS…[32] Comme le montre la figure 6, nous remarquons qu’il y a un besoin d’un firewall pour le contrôle d’accès et plus des solutions de sécurité. La figure 7 représente la nouvelle architecture qui se base sur le firewall pfSense que nous l’avons ajouté. 16 https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2012-r2 25 Chapitre 2 : Conception des solutions de sécurité Figure 7 : Architecture réseau sécuririsé par le firewall pfsense 2.2. Audit Pour l’audit technique, nous avons choisi d’utiliser la méthode MEHARI et l’approche Ethical Hacking sous Kali17. [33] Kali est une distribution de Linux développée par Global Offensive pour les tests de pénétration des réseaux des entreprises. L’audit de sécurité d’un système informatique est une vue à l’instant tout ou partie du SI, permettant de comparer l’état du SI à un référentiel. L’audit répertorie les points forts, et surtout les points faibles de tout ou partie du système. L’auditeur dresse également une série de recommandations pour supprimer les vulnérabilités découvertes. Nous avons organisé le schéma d’audit dans le tableau 5 qui comprend les domaines et les sous ensemble. Tableau 5 Le schéma de l’audit Domaine Organisation Site 17 Sous-ensemble Intercom Technologies, Tunis Intercom Technologies, Tunis https://www.kali.org/downloads/ 26 Chapitre 2 : Conception des solutions de sécurité Locaux Salles informatiques, Salle serveurs Réseau étendu WAN d’- Intercom Group Tunis - France WAN Filiale Intercom Tunis - Internet Réseau local LAN d’Intercom Technologies, Tunis Sécurité des Systèmes et de leurs architectures Sécurité des équipements d’Intercom Technologies, Tunis Postes de travail Poste de travail des utilisateurs Sécurité applicative Les applications faites par le département informatique Gestion de la sécurité Processus de gestion de la sécurité de l’information 2.3. La sauvegarde Elle est souvent oubliée par les directions informatiques. Il s’agit de sauvegarder les données et le travail réalisé sur des machines. Les techniques de sauvegarde sont nombreuses, modulables et peuvent être imbriquées à souhait. Nous présentons les principales solutions, leurs avantages et inconvénients ainsi qu’une idée sur le déploiement et de maintien. [34] 3.3.1. Les modes de Backup Le tableau 6 illustre les trois modes de récupération des données ou Backup ainsi que leurs avantages et inconvénients. Tableau 6: Les modes de Backup Mode Full Backup Incrémentiel Avantages Rapide, facile, les fichiers et les Désavantages Besoin d'un grand espace de stockage. dossiers seront restaurés. Nécessité d'une bande passante Contrôle simple. importante, son temps est lent. Rapide s'il y a moins de données. Lent en restauration, car tous les Espace faible de stockage. incrémentations doivent être restaurés. Peut contenir plusieurs versions. Besoin d'un full Backup en avant pour commencer les backups incrémentiels Prend un grand temps pour restaurer un fichier spécifique. Si l'un des Backup échoue, la restauration sera incomplète. Différentiel Un espace de stockage faible par Lent Backup par rapport au backup rapport aux backups incrémentiels. incrémentiel. 27 Chapitre 2 : Conception des solutions de sécurité Seulement un full Back et le dernier Besoin d'un full Backup en avant pour Backup différentiel sont utilisés commencer les backups différentiels pour la restauration. Un full backup et tous les backups Permet de restaurer plusieurs différentiels sont en besoin pour la versions des fichiers. restauration. Si l'un des Backup échoue, la restauration sera incomplète. Prend un grand temps pour restaurer un fichier spécifique. 3.3.2. Les solutions de Sauvegarde Il y a 3 types de solutions de sauvegarde. a) Stockage directement attaché DAS (Directly Attached Storage) : La solution technique de stockage de type DAS consiste à connecter directement un périphérique au serveur ou à la station de travail. Il s’agit principalement d’un lecteur de bandes magnétiques mais d’autres solutions peuvent être envisagées comme le support optique ou les disques durs externes. Le matériel existant à nos jours, les supports amovibles tel que le CD / DVD, disque dur externe offrent un stockage de masse avec un temps d’accès très faible et un taux de transfert élevé par les interfaces des flashs USB 3.0. Le tableau 7 représente les avantages de la sauvegarde DAS Tableau 7: Avantages et désavantages de DAS Avantages Désavantages Les supports amovibles peuvent être Les supports sont fragiles, ils peuvent subir externalisés (il s’agit de mettre les des chocs. sauvegardes à l’abri en dehors de Avec le temps, les supports amovibles l’entreprise). peuvent se détériorer. Les supports Si le lieu de production est très endommagé, amovibles sont sensibles à l’environnement les sauvegardes ne seront pas détruites. (électricité, température, humidité…). Cependant, le coût de lieu de stockage est à Une solution DAS est destinée à effectuer des prendre en compte. La permutation des sauvegardes journalières ou hebdomadaires supports de stockage n’est pas entièrement afin d’externaliser les données. automatisée. Il est soumis aux erreurs Cette solution peut être associée à d’autres 28 Chapitre 2 : Conception des solutions de sécurité systèmes de sauvegarde afin d’effectuer des humaines (oubli, perte, etc.) sauvegardes en parallèle. Les disques durs externes peuvent effectuer les mêmes opérations qu’un lecteur de bandes mais ils sont plus sensibles au choc. b) Solution réseau : Lorsque nous parlons de stockage de réseau, c’est par opposition à l’attachement direct où, les unités de sauvegardes sont physiquement reliées à un serveur. Dans le cas du stockage en réseau, les unités de sauvegarde sont indépendantes d’un quelconque serveur, elles sont accessibles par le réseau, qu’il soit Ethernet ou Fibre Optique. Il existe deux solutions réseaux majeurs qui sont le NAS (Network Attached Storage) et le SAN (Storage Area Network). Le tableau 8 représente la différence entre les deux solutions SAN et NAS. Tableau 8: Comparaison entre SAN et NAS SAN NAS Il permet de travailler directement sur Toutes les machines connectées au réseau local les blocs du système de fichiers. peuvent accéder aux données du NAS Les données Le partage des données dépend des sont caractérisées par un nom de fichier ou une systèmes d’exploitation. méta-information (propriétaire et permissions, etc.) Les sauvegardes sont faites sur les Le NAS facilite le partage des données entre des blocs, même si ces derniers sont vides. systèmes d’exploitation. Le système de sauvegarde doit donc Le système de fichier est géré par le contrôleur être au moins aussi grand que le NAS. système en production. Les sauvegardes sont faites sur les dossiers, donc Le stockage en réseau permet une sur les données existantes. On peut ensuite la gestion de la sauvegarde simplifiée à comparaison des images. l’extrême: Toutes les données du système d’information sont stockées dans des baies de disques parfaitement identifiés. 29 Chapitre 2 : Conception des solutions de sécurité Le stockage en réseau permet de temps de reprise très bas. Il suffit de migrer la liaison du réseau de stockage défectueux vers le réseau de stockage de backup ce qui se résume finalement à un changement d’adresse IP. c) Les solutions logicielles La sauvegarde des données informatiques est indispensable pour la survie d’une entreprise. La sauvegarde des données est nécessaire : base de données, des applications critiques, fichiers bureautiques, etc. L‘objectif est de ne jamais perdre les informations importantes. Il existe plusieurs logiciels de sauvegarde tel que : Veeam18, Acronis19 et Veritas20. Plusieurs sites comparent les solutions logicielles. Selon le site connu TrustRaduis21, Veeam Backup est le meilleur de ces produits en 2018. L’avis des utilisateurs est montré dans la figure 8. Figure 8 : Comparaison des solutions logicielles 3.3.3. Sauvegarde intelligente Nous avons vu les familles de solutions pour construire une sauvegarde efficace. Il faut aussi intégrer ces solutions techniques dans une politique de sauvegarde intelligente. Nous devons alors : - Evaluer le temps de reprise maximum RTO (Recovery Time Objective) - Evaluer le point de reprise des données PRO (Recovery point objective) - Evaluer le coût de la perte (destruction de données) 18 https://www.veeam.com/downloads.html https://www.acronis.com/ 20 https://www.veritas.com/ 21 https://www.trustradius.com/disaster-recovery 19 30 Chapitre 2 : Conception des solutions de sécurité Une politique de sauvegarde implique qu’il faut sauvegarder tous les fichiers de tous les types présents. Le stockage en réseau est efficace, les utilisateurs travaillent sur des partages réseaux plutôt qu’en local. Les informations de configurations sont également importantes à sauvegarder. Les configurations des commutateurs, routeurs et autres équipements peuvent être longues à recréer. Une sauvegarde mensuelle ne prend que peu de temps et peut en faire gagner beaucoup. Pour définir une politique de sauvegarde, il existe des règles à respecter telles que : posséder une sauvegarde à l’extérieur pour se protéger du risque incendie, tester les sauvegardes régulièrement sur des machines qui ne sont pas en production. La sauvegarde de l’information reste un compromis entre le coût d’investissement dans le matériel de sauvegarde et l’importance des données. La restauration est aussi est un choix délicat qui peut déterminer la survie d’une entreprise suite à une crise. Le tableau 9 montre les différents choix à faire pour une sauvegarde intelligente. Tableau 9: Les choix avant la sauvegarde et la restauration Avant la sauvegarde Avant la restauration - Coût - Temps de sauvegarde - Stockage - Temps de stockage extérieur - Installation - Récupération de toutes les données (des - Les risques sont : fichiers, des applications, des systèmes * Perte des données par suppression ou d’exploitation et base de données) modification - Durée de conservation * Panne au niveau matériel - Possibilité d’augmenter la capacité * Attaque par des logiciels malveillants - Fréquence de Sauvegarde - Responsable de planification de sauvegarde Nous avons choisi de faire une sauvegarde intelligente avec le logiciel Veeam pour répondre aux besoins de sécurité d’Intercom Technologies Conclusion Au cours de ce chapitre, nous avons défini l’architecture réseau où nous effectuons la mission de l’audit. Ensuite, nous avons détaillé les problèmes trouvés et nous avons proposés les solutions nécessaires pour sécuriser le réseau. Par la suite, nous réalisons la procédure le contrôle d’accès, l’audit et la sauvegarde. 31 Chapitre 3 : Mise en place des solutions de sécurité Chapitre 3: Mise en place des solutions de sécurité Introduction Dans ce chapitre, nous présentons la mise en place des solutions de sécurité et la démarche à suivre pour la réalisation. Ce chapitre se compose de trois parties: la première partie est consacrée au contrôle d’accès, la deuxième partie présente l’audit et la troisième partie montre le déploiement de la solution de sauvegarde. 1. Mise en place d’une politique contrôle d'accès La sécurité est davantage centrée sur les utilisateurs pouvant accéder aux données de l’entreprise qu’à la criticité de la donnée elle-même. Nous contrôlons l’accès par l’AD et nous augmentons la sécurité par la mise en place du firewall pfSense. 1.1. Contrôle d’accès dans AD Avec Windows Server 2012, il est possible d’améliorer la gestion des données des utilisateurs par l’AD. La première étape consiste à ouvrir la rubrique utilisateurs et les ordinateurs de AD pour faires la configuration des utilisateurs. La figure 9 montre comment créer un utilisateur ou un groupe dans AD. Figure 9 : Création d’un utilisateur ou d’un groupe dans AD 32 Chapitre 3 : Mise en place des solutions de sécurité Nous avons créé les utilisateurs : Khalil, Amin, et Malek, et puis nous avons créé 3 groupes qui représentent 3 Départements : Télécom, Informatique et Bureau Etudes. Seulement l’utilisateur nommé Khalil appartient aux 3 groupes et nous l’avons ajouté dans le groupe Administrateurs. La figure 10 représente les utilisateurs qui appartiennent au même département que Khalil est son administrateur. Mais ils ne doivent pas avoir les mêmes droits que lui. Figure 10 : Groupe Administrateurs Ensuite, nous avons donné à Khalil un droit de contrôle total. Khalil est l’administrateur, il doit avoir les droits de création, lecture et suppression. L’étape de choix des permissions pour Khalil dans un groupe d’utilisateurs est présentée dans la figure 11. 33 Chapitre 3 : Mise en place des solutions de sécurité Figure 11 : Propriétés d’un administrateur La figure 12 montre que les administrateurs ont le droit de faire les installations et d’autres avantages qu’un utilisateur normal. Pour choisir les autorisations nous sélectionnons les délégations de contrôle et les fonctionnalités avancées. 34 Chapitre 3 : Mise en place des solutions de sécurité Figure 12 : Options avancés Nous pouvons modifier les configurations de droits dans la partie Group Policy de l’AD où Il y a plus de choix de permissions pour les administrateurs. Pour augmenter le contrôle d’accès dans AD, nous modifions les entrées de l’audit de l’administrateur selon l’étape présentée dans la figure 13. Figure 13 : Entrées d'audit Nous pouvons aussi installer pfSense pour plus de contrôle d’accès et des solutions de sécurité. 35 Chapitre 3 : Mise en place des solutions de sécurité 1.2. Contrôle d’accès avec pfSense Nous avons utilisé ce firewall pour mieux sécuriser le réseau, puisqu’ il permet : [35] - L’authentification LDAP (via Active Directory) - Les régles iptables pour les connexions entrant / sortant - La gestion des certificats (pour le serveur VPN) - La mise en place d’OpenVPN comme serveur VPN Pour installer par défaur le firewall pfSense, nous choisissons l’option 1 présenté dans la figure 14. [36] Figure 14 : Installation de pfSense Lorsque l'installation se termine, nous ouvrons l’interface Web suivant le montre la figure 15. Figure 15 : Login de pfSense Après l’installation, pfSense nous montre l’adresse Web avec la quelle on peut se connecter. Le login et le mot de passe par défaut sont : admin et pfsense. 36 Chapitre 3 : Mise en place des solutions de sécurité La figure 16 présente la première interface qui apparait avec l’adresse IP 192.168.80.213. L’administrateur se connecte à l’interface de contrôle qui montre le système, la version de CPU, la mémoire, le DNS, nous pouvons passer à configurer d’autres services. Figure 16 : Interface Web de pfSense Ensuite, nous configurons l’interface réseau LAN et WAN. Voici la configuration dont nous disposons : - Deux machines pfSense ayant respectivement sur le LAN les adresses 192.168.80.214 et 192.168.80.215, et sur la DMZ 192.168.82.214 et 192.168.82.215. - Une DMZ sur le réseau 192.168.82.0/24. - Un LAN sur le réseau 192.168.80.0/24. 37 Chapitre 3 : Mise en place des solutions de sécurité Dans la première étape, nous donnons les informations suivantes : - Nom de la machine : fw1 - Domaine : fw1.local - DNS primaire : 8.8.8.8 - DNS secondaire : 8.8.4.4 Dans la deuxième partie, nous configurons des règles iptables, ce qui s'effectue dans l’onglet Firewall puis le sous onglet Rules, ensuite nous sélectionnons l'interface sur laquelle nous voulons créer nos règles (la machine hôte est sous Linux) , ainsi nous bloquons tous les flux par défaut sur l’interface en utilisant des lignes de commandes : # iptables -A INPUT -i wan1 -j DROP # iptables -A OUTPUT -o wan1 -j DROP Dans cette partie, nous configurons une connexion VPN, il faut renseigner le réseau local en source de notre VPN et ajouter le réseau de destination. Nous ouvrons l’onglet OpenVPN dans VPN puis le sous onglet Servers et nous réalisons la configuration représentée dans la figure 17. 38 Chapitre 3 : Mise en place des solutions de sécurité Figure 17 : VPN avec pfSense Il faut au début créer un certificat pour le client pour qu’il puisse y connecter. Pour les algorithmes nous choisissons ESP, ce dernier permet le chiffrement et l’authentification avec AH alors que ce dernier seul n’assure que l’authentification. Pour configurer les règles LAN nous ouvrons Rules dans l’onglet Firewall ensuite nous ouvrons LAN : la règle any / any sur l’onglet IPSec de chaque côté. Cette règle est mise en place à des fins de test uniquement, ce test de connexion a été réalisé avec succès et il est représenté dans la figure 18. Figure 18 : Test des règles de VPN de pfSense La règle any/any est la plus basique pour savoir le trafic entrant sortant mais pour des raisons de sécurité nous utilisons d’autres règles. Enfin, nous avons changé le mot de passe de pfSense 39 Chapitre 3 : Mise en place des solutions de sécurité 2. Audit technique Dans cette partie, nous présentons les phases nécessaires à faire pour l’audit MEHARI. Nous expliquons le choix des outils utilisés, puis nous passons à analyser les résultats des scans, les failles trouvés, les vulnérabilités et le test intrusif. Nous faisons par la suite un rapport de recommandations. Il est nécessaire de répondre aux questions de l’audit pour vérifier la norme ISO de l’Organisation Internationale de Normalisation. 2.1. Les outils utilisés Le choix des logiciels d’audit suivants se base sur plusieurs raisons : ils sont des logiciels gratuits, efficaces, les plus répandus chez les experts. La liste des outils utilisés couvre: - Outils de sondage et de reconnaissance du réseau - Outils de test automatique de vulnérabilités du réseau - Outils spécialisés dans l’audit des équipements réseau (routeurs, commutateurs). - Outils spécialisés dans l’audit des systèmes d’exploitation. - Outils d’analyse et d’interception de flux réseau. - Outils de tests de solidarité des objets d’authentifications - Outils de tests de solidarité des outils de sécurité réseau (firewall) 2.1.1. Découverte et scan des machines sur la place réseau Nous avons utilisé Advanced IP Scanner22 qui permet de lister les machines selon leurs noms, adresses IP, adresse MAC (Media Access Control), et système d’exploitation ou OS (Operation System). C’est un outil de découverte du réseau (infrastructure informatique entière, dispositifs réseaux tel que serveurs, routeurs, machines, machines virtuelles…) La figure 19 illustre le résultat de balayage du réseau d’une plage réseau qui est une phase d’obtention des informations réseau telles que l’identification des hôtes, des informations sur les ports et les services. 22 http://www.advanced-ip-scanner.com/fr/ 40 Chapitre 3 : Mise en place des solutions de sécurité Figure 19 : Outil advanced IP Scanner Nous pouvons rechercher d’informations publiques de DNS avec whois, et la découverte du réseau et du filtrage IP par traceroute, ping, hping … 2.1.2. Enumération avec GFILanguard Nous avons utilisé GFILanguard23 qui donne les configurations du réseau, fournit une analyse des risques avec un minimum d’effort. C’est une solution d’énumération de sécurité du réseau et de gestion de sécurité. Nous avons vérifié avec ce logiciel les systèmes d’exploitation et les noms des domaines cités précédemment dans l’inventaire (voir la figure 20) 23 https://www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard 41 Chapitre 3 : Mise en place des solutions de sécurité Figure 20 : Outil GFILanguard Les informations collectées sont les informations de routage, les informations SNMP, les informations DNS, le nom de la machine, les informations sur l'utilisateur et le groupe, les ressources de l'application et du réseau. L'énumération des systèmes d’exploitation trouvés et les ports de services et aide à identifier les points d'attaque du système. 2.1.3. Découverte des ports/ouverts Nous avons utilisé Nmap (ou Zenmap24 avec Windows) : c’est un scanneur de port TCP et UDP. Avec cet outil Nous pouvons chercher les ports, et nous pouvons détailler l’architecture réseau et savoir les ports ouverts des machines existantes. Le principe de Nmap est facile, il s’agit d’envoyer un paquet à toutes les adresses et analyser le paquet retour. Un port en écoute permet un ordinateur à lui y connecter en établissant une connexion TCP / UDP avec lui. Par exemple, un serveur Web met les ports 80 et 443 en écoute, afin que les navigateurs des clients puissent y connecter. Lors d’une tentative d’un accès à un port, on peut trouver les états : [37] - Port ouvert : ce port d’une application est en écoute, un client peut y connecter - Port fermé : lorsque nous voulons nous connecter à ce port, aucune application n’est en écoute 24 https://nmap.org/zenmap/ 42 Chapitre 3 : Mise en place des solutions de sécurité - Port filtré : une application réseau filtre l’accès sur le port. Il s’agit d’un pare-feu - Port non filtré : le port est accessible, mais le programme qui émet la connexion ne détermine pas l’état si ouvert ou fermé. Nmap utilise des lignes de commande ou des scripts comme le montre la figure 21. Figure 21 : Outil Nmap Voici la liste des commandes et scripts Nmap que nous utilisons dans notre projet et qui sont testés sur toutes les machines : Analyser un seul port : nmap -p 22 192.168.x1.x2 Analyser une plage de ports : nmap -p 1-100 192.168.x1.x2 Analyser les 100 ports les plus courants (rapide) : nmap -F 192.168.x1.x2 Analyser tous les 65535 ports : nmap -p- 192.168.x1.x2 Numériser à l'aide de TCP Connect : nmap -sT 192.168.x1.x2 Analyser à l'aide de l'analyse SYN SYN (par défaut) : nmap -sS 192.168.x1.x2 Analyser les ports UDP : nmap -sU -p 123,161,162 192.168.x1.x2 Analyser les ports sélectionnés et ignorer la découverte : nmap -Pn -F 192.168.x1.x2 Détecter l'OS et les services : nmap -A 192.168.x1.x2 Détecter de service standard : nmap -sV 192.168.x1.x2 Détecter de service plus agressive : nmap -sV --version-intensité 5 192.168.x1.x2 Détecter de capture de bannière plus légère : nmap -sV --version-intensité 0 192.168.x1.x2 Enregistrer la sortie par défaut dans le fichier : nmap -oN outputfile.txt 192.168.x1.x2 Enregistrer les résultats au format XML : nmap -oX outputfile.xml 192.168.x1.x2 Enregistrer les résultats dans un format pour grep : nmap -oG outputfile.txt 192.168.x1.x2 Enregistrer dans tous les formats : nmap -oUn fichier de sortie 192.168.x1.x2 Analyser à l'aide des scripts sécurisés par défaut : nmap -sV -sC 192.168.x1.x2 43 Chapitre 3 : Mise en place des solutions de sécurité Les faiblesses rencontrées sont: SSH (22/TCP) : exécution arbitraire de commande sur le poste due à une faille présente au niveau de la gestion du buffer. La version SSH est trop veille. Netbios-ssn (139/TCP) : possibilité de se connecter sur le poste en utilisant un utilisateur et un mot de passe NULL. Ce qui permet au pirate un accès en tant qu’invité. Unknows (665/TCP) : possibilité d’obtenir un interpréteur en tant qu’administrateur sur le poste en exploitant une vulnérabilité du service RPC (Remote Procedure Call) qui est ouvert à ce port. FTP (21/TCP) : possibilité d’arrêter le service de protocole de transfert des fichiers FTP (à l’aide d’une commande. Ce qui empêche un site de fournir les services FTP. HTTP (80/TCP) : possibilité d’exécuter une commande en tant qu’un utilisateur système. Unknown (135 – 139 /TCP) : pour le port 135, il y a une possibilité d’exécution de code arbitraire et d’obtenir des privilèges systèmes, gagner le contrôle de la machine. L’ouverture du port 139 correspond au service NETBIOS constitue une faille de type critique pour le module SMB, ce port est réservé. Unknown (135/UDP) : faille dans le service exploitable à l’aide d’une attaque DoS. SNMP (161/UDP) : l’agent SNMP (Simple Network Management Protocol) répond à la communauté de nom public. SMTP (25/TCP) : possibilité d’exploitation de SMTP (Simple Mail Protocol) avec d’attaques de type DoS. Telnet (23/TCP) : le serveur Telnet tombe en panne lorsqu’il reçoit trop d’options. 2.1.4. Scan de Vulnérabilités Nous avons utilisé Nessus25 qui est un logiciel d’évaluation des vulnérabilités. Il présente plusieurs fonctionnalités, audits de configurations, découverte des données sensibles et gestion des correctifs. Son principe se base sur les vulnérabilités et expositions communes (CVE) qui sont une liste d'entrées, chacune contenant une base de données ou source d'informations de vulnérabilité de sécurité gratuite. [38] En cliquant sur une adresse IP répertoriée sous Vulnérabilités par hôte. Les informations sur cet hôte sont affichées dans deux sections. La section supérieure contient des informations sur cet hôte en particulier, y compris l'heure à laquelle l'analyse a été effectuée sur l'hôte 25 https://www.tenable.com/products/nessus/nessus-professional 44 Chapitre 3 : Mise en place des solutions de sécurité spécifique. La deuxième section est une liste des plugins, organisée par le port utilisé pour les activités d'analyse comme le montre la figure 22. Figure 22 : Analyse de vulnérabilité par Nessus Un rapport d'analyse de vulnérabilité de Nessus peut être fourni dans les formats suivants : HTML (par défaut), PDF, CSV (utilisé dans les tableurs, bases de données) Il y 5 niveaux de sécurité, le plus critique est en rouge. Dans la figure 22 le résultat de l’analyse de l’adresse IP donné présente 13 informations et 2 vulnérabilités faibles. Il y a plusieurs vulnérabilités détectées à partir de l’analyse par Nessus : Pour le freeNAS : Nous avons constaté une vulnérabilité critique de non pris en charge du système d'exploitation Unix exécuté sur l'hôte distant donc il faut effectuer une mise à niveau vers une autre version actuellement pris en charge, c'est à dire il faut passer de la version FreeBSD 9 qui s'est terminé le 2016-12-31 à la version FreeBSD 10.4 / 11.2. Nous avons trouvé une vulnérabilité moyenne de mise à niveau vers Samba version 4.2.11 / 4.3.8 / 4.4.2 ou ultérieure. Il y a autre vulnérabilité moyenne dans le serveur NFS distant qui exporte un ou plusieurs partages sans restreindre l'accès (en fonction du nom d'hôte, de l'IP ou de la plage IP). Nous devons placer les restrictions appropriées sur tous les partages NFS. Pour le serveur SVN : Nous avons trouvé une vulnérabilité moyenne : le serveur Web distant prend en charge les méthodes TRACE et / ou TRACK alors que TRACE et TRACK sont des méthodes HTTP utilisées pour déboguer les connexions au serveur Web. La solution est de désactiver ces méthodes. Pour l'application Web GLPI : Plusieurs vulnérabilités critiques existent dans Microsoft Windows SMBv1 telles que: 45 Chapitre 3 : Mise en place des solutions de sécurité La divulgation d'informations sensibles (CVE-2017-0267, CVE-2017-0268, CVE-2017-0270, CVE-2017-0271, CVE-2017-0274, CVE-2017-0275, CVE-2017-0276) - Le déni de service (CVE-2017-0269, CVE-2017-0273, CVE-2017-0280) - L'exécution de code à distance (CVE-2017-0272, CVE-2017-0277, CVE-2017-0278, CVE2017-0279) Il faut donc appliquer la mise à jour de sécurité applicable pour la version de Windows d’Intercom Technologies: (100054, 100055, 100057, 100059, 100060 ou 100061). Dans AD, nous avons trouvé une vulnérabilité critique MS17-010 reliée à la mise à jour de sécurité pour le serveur Microsoft Windows SMB (4013389) Ainsi que (ETERNALBLUE)(ETERNALCHAMPION)(ETERNALROMANCE) (ETERNALSYNERGY) (WannaCry) (EternalRocks) (Petya), l'hôte Windows distant est affecté par: - L'exécution de code à distance (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE2017-0146, CVE-2017-0148) - La divulgation des informations (CVE-2017-0147) Comme solution, Microsoft nous propose d’appliquer un ensemble de correctifs pour Windows Vista, 2008, 7, 2008, R2, 2012, 8.1, RT 8.1, 2012 R2, 10 et 2016. 2.1.5. Ecoute de trafic Nous avons utilisé Wireshark 26 qui est un analyseur de paquets gratuit et à source ouverte. Il est utilisé pour le dépannage du réseau, l’analyse et le développement de logiciel et de protocole de communication. Il permet de voir ce qui ce passe dans le réseau. En reniflant, nous pouvons surveiller tout type de trafic, qu'il soit protégé ou non. Les attaques peuvent être l'usurpation d'adresse MAC, les attaques DHCP, l'empoisonnement ARP, l'usurpation DNS... 2.1.6. Scan de Vulnérabilités Web Nous avons utilisé OWAS ZAP27 qui est une solution open source pour analyser tout un site Web. C'est également un excellent outil pour les testeurs de pénétration (ou pentesters) expérimentés à utiliser pour les tests de sécurité et elle il assure la sécurité des applications Web contre les attaques des pirates informatiques. 26 27 https://www.wireshark.org/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 46 Chapitre 3 : Mise en place des solutions de sécurité La figure 23 présente 9 alertes trouvés par OWASP ZAP28. Nous remarquons que le site Web : https://www.intercom-technologies.fr ne présente que des risques de type faibles et moyens. Nous faisons attention aux cookies et l’activation des entrées de protection XSS. Pour le site Web, il n’est pas utilisé pour des applications Web. Le fonctionnement du PHP est sensible, nous ne trouvons pas des vulnérabilités telles que SQL Injection. Pour les applications installées, une vulnérabilité est de type potentiel s’agit d’une mise à jour à appliquer. Figure 23 : Outil Oasp ZAP 2.1.7. Attaque sur le réseau sans fil Wifi Nous avons testé Aircrack-ng29 qui est un des logiciels populaire pour la fissuration WEP / WPA / WPA2. C'est un outil permettant de capturer les paquets et les prises de contact des clients connectés et de générer du trafic pour effectuer des attaques par force brute et par dictionnaire. 28 29 https://www.zaproxy.org/ https://www.aircrack-ng.org/ 47 Chapitre 3 : Mise en place des solutions de sécurité Nous avons pu trouver un mot de passe. Donc, comme solution les mots de passe des AP (Points d’Accès) doivent être difficiles à deviner, longues et complexes avec des caractères spéciaux et des chiffres. 2.1.8. Exploitation des vulnérabilités Pour exploiter les vulnérabilités, nous avons utilisé Metasploit30 : l’outil de développement et d’exécution d’exploits contre une machine distante Il aide à la pénétration. Metasploit permet l’exploit qui est une branche de la sécurité d'un système via des vulnérabilités, des attaques ou d'autres techniques de piratage. Dans la figure 24, nous présentons une faille très connue sous le nom d’ETERNALBLUE et qui est trouvée dans les machines Windows 7 de l’entreprise. Figure 24 : Outil Metasploit La charge utile (ou Payload) fait référence à la section réelle d'informations ou de données, par opposition aux métadonnées généralement automatiques. Payload est une partie d'un code malveillant et exploité qui provoque l'activité et les actions potentiellement dangereuses, telles que l'exploitation de portes dérobées et le piratage. Dans la figure 25, nous avons ouvert un port 4444 pour exploiter la faille trouvée. 30 https://www.metasploit.com/ 48 Chapitre 3 : Mise en place des solutions de sécurité Figure 25 : Exploitation de la faille Eternal Blue Nous avons configuré le port à utiliser et nous avons créé un dossier comme le montre la figure 26 sachant que nous n’avons pas le droit d’accéder à cette machine. Figure 26 : Figure 27: L'exploitation avec Metasploit 2.1.9. Test Intrusif Il permet d’apprécier le comportement du réseau face à des attaques et de sensibiliser les acteurs (équipe informatique et utilisateurs) et se termine par un rapport illustrant les failles décelées, les tests qui ont été exécutés ainsi que les recommandations. Pour le test d'intrusion intérieur: après la recherche de services ouverts (SMTP, FTP), nous exploitons les vulnérabilités trouvées. L'usurpation d’adresses (IP et MAC) est d'envoyer des paquets avec une fausse adresse IP, nous pouvons voler une session par forger des paquets permettant la prise de contrôle d’une connexion déjà établie. La technique souvent utilisée dans le cas d’attaque de type DoS et de profiter de la désynchronisation pour manipuler le serveur à notre guise. Nous n'avons pas l'essayer tous car les machines sont en mode production. 49 Chapitre 3 : Mise en place des solutions de sécurité Pour le test d’intrusion extérieur nous avons utilisé le site Hacker Target31 présenté dans la figure 27. Ce site nous a permis de déceler les failles au niveau des services SSH et le port filtré numéro 3389. Figure 27 : Test d’intrusion extérieur 2.2. Analyse de risque La gestion de risque est l’identification et l’évaluation des risques relatifs au système d’information. Nous voulons estimer le risque en se basant sur la méthode MEHARI : Risque = Impact * Potentialité * Vulnérabilité Si le résultat de calcul la Sévérité ou Gravité qui est une fonction (Potentialité, Impact) dont la valeur maximum est S=4, ceci est un risque ayant probabilité élevée d’occurrence et son impact est grave. [39] Cette relation est représentée dans la figure 28. 31 https://hackertarget.com/ 50 Chapitre 3 : Mise en place des solutions de sécurité MEHARI permet d’évaluer, qualitativement et quantitativement, le risque qui est calculé en fonction de deux facteurs : La potentialité : (STATUT-P) c’est la probabilité d’occurrence d’un risque en fonction du contexte et des mesures de sécurité mises en place. L’impact : (STATUT-I) : c’est la gravité des conséquences directes et indirectes qui résultent de l’occurrence du risque. Cet impact sera réduit par la mise en place des mesures de sécurité. Figure 28 : Relation entre potentiel et impact des risques Le résultat de l’audit général est 1.9 sur 4, c’est une valeur moyenne. Ce résultat est basé sur l’audit global (voir Annexe A) qui contient 14 parties et qui est lui-même basé sur l’audit détaillé. Le résultat général du diagnostic de services de sécurité d’Intercom Technologies est présenté dans la figure 29. 51 Chapitre 3 : Mise en place des solutions de sécurité Figure 29 : Le résultat général de l’audit Le tableau 10 présente le niveau de conformité de l’audit du SI par rapport à la norme ISO 27002 du chapitre 5 au chapitre 18 avec niveau de maturité et pourcentage. Tableau 10: Audit par rapport la norme ISO 27002 Chapitre 5 Politiques de sécurité Niveau de maturité 2,00 Pourcentage 6 Organisation de la sécurité de l'information 2,66 50,00% 67,00% 7 Sécurité des ressources humaines 3,56 89,00% 8 Gestion des actifs 1,82 45,00% 9 Contrôle d'accès 3,22 80,00% 10 Cryptographie 2,65 66,25% 11 Sécurité physique et environnementale 3,26 81,50% 12 Sécurité liée à l'exploitation 1,85 46,25% 13 Sécurité des communications 2,03 50,75% 52 Chapitre 3 : Mise en place des solutions de sécurité 14 Acquisition, développement et maintenance des SI 2,40 60,00% 15 Relations avec les fournisseurs 1,88 47,00% 16 Gestion des incidents liés à la sécurité de l’information la gestion de la continuité de l’activité 1,37 34,25% 1,00 1,67 25,00% 41,75% 17 18 2.3. Conformité Recommandations Suivant les analyses des scans et le calcul des résultats, nous pouvons donner des recommandations afin d’augmenter la sécurité. 2.3.1. Responsabilité de la direction informatique Chaque direction peut suivre des fiches techniques ou des manuels de politique, de norme et de procédures servant à la planification, à l’organisation, au contrôle et à l’évaluation de la direction informatique concernant: - Les normes de management de la sécurité du système informatique - Les procédures par la mise à jour des applications informatiques et l’élaboration d’un guide de sécurité aux utilisateurs - Vérifier l’existence de toute documentation relative aux politiques et normes informatiques. Les responsabilités de la direction informatique doivent être justifiées par une définition claire des responsabilités et un équilibrage entre les pouvoirs et les responsabilités. Ainsi, la séparation des fonctions des responsables informatiques diminue les risques d’accumulation des fonctions. Aussi, le personnel doit être également sensibilisé aux risques pour la sécurité du système d’information. 2.3.2. Les logiciels Tous les logiciels doivent être à jours, en particulier les navigateurs s’ils sont utilisés. Si l’entreprise utilise des logiciels développés uniquement pour elle, celle-ci doit s’assurer de la qualité de l’application en termes de sécurité. 2.3.3. Les mots de passe Ils doivent être changés régulièrement et être générés aléatoirement avec certaines règles telles que les caractères spéciaux 53 Chapitre 3 : Mise en place des solutions de sécurité 2.3.4. Configuration réseau - Un IDS / IPS fournit une bonne sécurité concernant la prévention des attaques. - Un firewall puissant est exigé : Nous recommandons le produit Fortigate 100E de la marque Fortinet. Mais, pour le moment nous avons testé pfSense qui est un outil libre et gratuit. Il est évidemment impératif d’avoir un firewall qui filtre toutes les communications sur chaque poste. Il peut être aussi utilisé pour sécuriser les connexions VPN. - Les emails sont des sources d’infection importante : c’est pourquoi un anti spam ou un antivirus mis à jour sont des nécessités. - Pour superviser la sécurité physique du matériel : Il faut définir une surveillance de réseau par Zabbix32 ou Nagios33 qui envoient des alertes pour enregistrer les activités sur un système donné. - Nous recommandons la nouvelle architecture : En fonction de la taille du réseau et l’inventaire réalisé, nous avons choisi de créer des VLANs par départements. Le plan d’adressage est une plage d’adresse IP dans notre cas contient 255 adresses répartis en 3 départements principaux : le bureau d’étude, le département informatique, et le département télécom et fibre optique. Nous choisissons les VLAN selon nos besoins, par exemple, un VLAN pour les caméras et un VLAN pour le serveur des données et le Backup. L’audit a facilité aussi la décomposition du réseau en des VLAN (Virtual LAN) et de concevoir la nouvelle architecture La figure 30 représente le travail effectué dans le cadre de la redéfinition de l’architecture d’Intercom. 32 33 https://www.zabbix.com/ https://www.nagios.org/ 54 Chapitre 3 : Mise en place des solutions de sécurité Figure 30 : La nouvelle architecture réseau 2.3.5. Stations de communication et systèmes d’exploitation Nous pouvons définir des procédures d’exploitation du réseau qui spécifie l’exécution du développement informatique, les sauvegardes ainsi que les gestions des anomalies. Egalement, pour un bon fonctionnement des équipements qui concourent à la protection de l’intégrité aussi bien du local que de ces équipements. Nous recommandons aussi d’avoir un serveur de Backup au lieu de FreeNAS utilisé afin d’éviter une interruption en cas de défaillance des serveurs. 55 Chapitre 3 : Mise en place des solutions de sécurité 3. Mise en place et implémentation d’une politique de sauvegarde Comme nous l’avons montré dans le chapitre 2, l’architecture d’Intercom Technologies ne contient pas un serveur NAS. Dans notre cas, il n y’a pas de Cloud ni privé ni hybride. La stratégie de sauvegarde que nous avons choisi d’implémenter est une solution logicielle avec Veeam, une solution matérielle avec le disque dur, le stockage en réseau NAS et le stockage en réseau SAN sont deux options disponibles. Nous avons installé Veeam Backup & replication qui est une solution logicielle de sauvegarde et de disponibilité puissante, facile à utiliser et économique. Veeam permet une restauration rapide, fiable et flexible des applications et des données virtualisés en réunissant la sauvegarde et la réplication de machines virtuelles (voir Annexe B) en une solution unique. La compatibilité de Veeam Backup est reconnue par les environnements virtualisés VMware Vsphere, VCenter et Microsoft Hyper-V. Veeam Backup offre une sauvegarde en mode image fiable et rapide pour les environnements virtualisés. Pour configurer la sauvegarde dans l’environnement du réseau d’Intercom Technologies, nous lançons la fenêtre de logiciel installé Veeam puis nous choisissons le login administrateur et son mot de passe. Selon la figure 31 il est important de contrôler l’accès pour toutes les applications du réseau. 56 Chapitre 3 : Mise en place des solutions de sécurité Figure 31 : Création d’administrateur de sauvegarde dans Veeam Puis, nous choisissons l’adresse IP de la machine à sauvegarder (voir figure 32). 57 Chapitre 3 : Mise en place des solutions de sécurité Figure 32 : Sauvegarder une machine par Veeam Il y a plusieurs options de sauvegarde, nous lançons d’abord un Full Backup, puis des backups incrémentiels automatiques de chaque jour. Nous choisissons l’emplacement réseau pour lequel nous désirons effectuer une sauvegarde et qui correspond à une adresse IP des machines. 58 Chapitre 3 : Mise en place des solutions de sécurité Nous lançons le job de sauvegarde comme présenté dans la figure 33: Figure 33 : Propriétés de sauvegarde dans Veeam La restauration d’une machine est facile, il suffit de suivre la démarche de la figure 34. Figure 34 : Restauration d’une machine par Veeam 59 Chapitre 3 : Mise en place des solutions de sécurité Conclusion Nous avons montré les réalisations effectuées durant le stage tout au long de ce chapitre. Nous avons limité l’accès, puis nous avons utilisé des outils techniques pour l’audit MEHARI ainsi pour donner des recommandations au DSI. Enfin, nous avons effectué la sauvegarde avec Veeam. 60 Conclusion générale et perspectives Conclusion générale et perspectives De nos jours, les entreprises modernes doivent porter une attention particulière à la sécurité. Les RSSIs doivent implémenter des solutions de sauvegarde des données et de contrôle d’accès. Ils peuvent réaliser des audits de sécurité pour vérifier la présence des vulnérabilités dans leurs SI. Le but de ce travail a consisté d’auditer, installer et configurer plusieurs services et applications d’administration et sécurité de réseau au sein de l’entreprise Intercom Technologies. La réalisation de ce projet a nécessité au début de faire une collecte d’informations, qui nous a permis à son tour de préparer une étude complète et choisir les meilleures solutions qui permettent d’atteindre nos objectifs. Nous avons défini la nouvelle architecture réseau avant de passer au contrôle d’accès et puis la mis en œuvre d’une solution de sauvegarde logicielle. Aussi, nous avons fait un audit de sécurité avec la méthode MEHARI qui nous a permis de déceler des vulnérabilités comme ETERNAL BLUE. Ce travail a été validé par le RSSI de l’entreprise et ces solutions sont implémentés déjà. Enfin, nous pouvons améliorer les solutions de sécurité installés et comme perspectives de la solution de sauvegarde nous pouvons-nous concentrer sur une solution de haute disponibilité (voir Annexe C). Nous pouvons aussi implémenter une solution de monitoring avec Nagios, un firewall puissant qui permet d’étudier le log ou programmer une application de gestion de log pour des objectifs de sécurité et de contrôle d’accès. . 61 Références Références [1] Enjeux de la sécurité informatique, objectifs et moyens, https://cnpd.public.lu/fr/dossiersthematiques/nouvelles-tech-communication/securite-informatique/enjeux-objectifs.html, consulté le 13 Février 2019 [2] Laurent POINSOT, « Introduction à la sécurité informatique », https://www.coursgratuit.com/cours-informatique/cours-d-informatique-generale-gratuit, consulté le 13 Février 2019 [3] Le firewall, https://www.frameip.com/firewall , consulté le 14 Février 2019 [4] Les antivirus efficaces pour protéger son système informatique, http://www.anticybercriminalite.fr/article/les-antivirus-efficaces-pour-protéger-son-système-informatique, dernière consultation le 14 Février 2019 [5] Le VPN, https://www.frameip.com/vpn , consulté le 14 Février 2019 [6] IDS vs IPS, https://www.varonis.com/blog/ids-vs-ips , le site est consulté le 15 Février 2019 [7] Le DMZ, https://searchsecurity.techtarget.com/definition/DMZ, le site est consulté le 15 Février 2019 [8] L’UTM, https://www.firewalls.com/what_is_utm_firewall, le site est consulté le 13 Février 2019 [9] Introduction et initiation à la Sécurité Informatique, https://www.securiteinfo.com/conseils/introsecu.shtml, consulté le 13 Février 2019 [10] Types des vulnérabilités informatiques, http://www.ordinateur.cc/Dépannage/PCDépannage/192056.html, consulté le 13 Février 2019 [11] Les malwares : https://www.futura-sciences.com/tech/definitions/securite-malware-2542, consulté le 15 Février 2019 [12] Top 10 virus, https://geniorama.com/top-10-des-virus-informatiques-les-plus-dangereux-en2019, consulté le 16 Février 2019 [13] Arthur GERARD, « 27 virus informatique ayant marqué l’histoire », https://www.supinfo.com/articles/single/3621-27-virus-informatique-ayant-marque-histoire, consulté le 16 Février 2019 [14] Keylogger, https://blog.malwarebytes.com/detections/spyware-keylogger, consulté le 16 Février 2019 [15] Margaret ROUSE, « Les spams », https://searchsecurity.techtarget.com/definition/spam, consulté le 16 Février 2019 [16] Les cookies, http://www.whatarecookies.com, consulté le 16 Février 2019 62 Références [17] Laurent POINSOT, « Introduction à la sécurité informatique », https://www.coursgratuit.com/cours-informatique/cours-d-informatique-generale-gratuit , consulté le 16 Février 2019 [18] Abdou GERMOUCHE, « Les attaques » http://dept-info.labri.ubordeaux.fr/~guermouc/AR/cours//cours2.pdf, lu le 17 Février 2019 [19] Abdou GERMOUCHE, « Cours Administration réseau : firewall » http://dept-info.labri.ubordeaux.fr/~guermouc/AR/cours//cours5.pdf, lu le 17 Février 2019 [20] Démarche de l'audit, https://www.ansi.tn/fr/pages/audit/demarche_audit.html, consulté lé 11 Mars 2019 [21] Le cryptage, https://www.cnil.fr/en/node/23022, consulté lé 11 Mars 2019 [22] La norme ISO 27000, http://www.27000.org, site consulté le 12 Mars 2019 [23] Norme ISO 2700, https://www.lccjti.ca/articles/iso-27002, consulté le 4 Mars 2019 [24] Norme ISO 27005, https://www.iso.org/standard/75281.html, consulté le 4 Mars 2019 [25] Pierrick LABOURIAUX, «Identification et évaluation du risque » https://www.supinfo.com/articles/single/231-identification-evaluation-risque, lu le 4 mars 2019 [26] Gestion des risques, https://www.bpms.info/mehari-gestion-risques-ssi, consulté le 4 Mars 2019 [27] Méthodologies de l’audit, https://www.ansi.tn/en/pages/audit/methodologie_audit.html, consulté le 5 Mars 2019 [28] Choix d’audit, http://www.oag-bvg.gc.ca/internet/methodologie/audit-deperformance/manuel/4043.shtm, consulté le 5 Mars 2019 [29] Les phases de l’audit selon la norme ISO 27001, http://www.audit.cfwb.be/index.php?id=2710, dernière consultation le 6 Mars 2019 [30] Alaeddine BAROUNI, « Audit de la Sécurité Informatique », https://www.isefc.rnu.tn/downloads/Audit.pdf, dernière consultation le 7 Mars 2019 [31] Lucie SAUNOIS,« Tests en boîte noire, grise ou blanche : quelles différences ? » , https://www.nbs-system.com/blog/tests-en-boite-noire-grise-ou-blanche-quelles-differences, consulté le 11 Mars 2019 [32] Benjamin SANS, « Installation de pfSense », https://connect.eddiamond.com/layout/set/print/GNU-Linux-Magazine/GLMFHS-074/pfSense-le-firewallconvivial, consulté le 11 Mars 2019 [32] Pfsense, https://www.pfsense.org/about-pfsense, consulté le 12 Mars 2019 [33] Ethical Hacking, https://www.ethicalhackx.com/ceh-v10-download, consulté le 13 Mars 2019 63 Références [34] La sauvegarde, https://jve.linuxwall.info/ressources/taf/Guide%207%20%20Maitrisez%20votre%20systeme%20de%20sauvegarde.pdf , lu le 2 Avril 2019 [35] Les fonctionnalités de pfSense, https://net-security.fr/system/openvpn-et-pfsense-part-1haute-disponibilite, consulté le 11 Mars 2019 [36] Installation de pfSense, https://connect.ed-diamond.com/GNU-Linux-Magazine/GLMFHS074/pfSense-le-firewall-convivial, consulté le 11 Mars 2019 [37] Scan de ports réseaux, https://www.malekal.com/scan-de-ports-reseaux , consulté le 3 Avril 2019 [38] CVE, https://www.cvedetails.com/, consulté le 17 Avril 2019 [39] MEHARI et analyse de risque, http://meharipedia.x10host.com/wp/wpcontent/uploads/2017/10/MEHARI-Anarisk-2017-valid%C3%87.pdf, consulté le 18 Avril 2019 64 Annexe Annexe A - Résultats d’audit MEHARI global Figure 35 : Résultat global d’audit 65 Annexe Annexe B - La virtualisation Dans le monde de l’informatique, la virtualisation est définie comme un ensemble de techniques visant à faire fonctionner plusieurs systèmes d’exploitation sur le même matériel en partageant les ressources de celui-ci. En d’autres termes, c’est une technique qui consiste à réaliser une abstraction des caractéristiques physiques de ressources informatiques afin de les présenter à des systèmes, des applications ou des utilisateurs. Le tableau 11 représente la différence entre machine physique et machine virtuelle. Tableau 11: Machine physique et machine virtuelle Machine physique Machine virtuelle Difficile de manager Facile à déplacer Les déplacements nécessitent des temps d'arrêt spécifique Encapsulé dans des fichiers au matériel physique Indépendant du matériel Difficile à gérer physique Nécessite un entretien physique Les pannes matérielles entraînent des temps d'arrêt Le matériel a des limites Les modifications matérielles limitent le support d'application Les serveurs sont physiquement individuels VSphere, Vcenter,VSphere Web Client VSphere ESXi, un logiciel utilisé dans le réseau d’Intercom Technologies est un hyperviseur de VMware qui s’installe directement sur le serveur physique, ceci permet de partitionner ce dernier en plusieurs serveurs logiques appelées machines virtuelles. vCenter est l'outil de gestion de la gamme vSphere, des machines virtuelles et des hôtes physiques. Cette interface contrôle aussi: - les alarmes de supervision (CPU, RAM) - les templates (enveloppes de systèmes d'exploitation préconfigurés) - l'utilisation de l’option HA. 66 Annexe Cet outil nécessite l'installation d'une base de données (Oracle ou MS SQL Server). Toutes les données et les statistiques d'utilisation des ressources sont stockées ainsi que l'ensemble de la configuration. Depuis la version 5.0 de vSphere, vCenter est disponible sous forme d'Appliance virtuelle préconfigurée, fonctionnant sur une distribution Linux SUSE. Cette Appliance se nomme vCSA (ou vCenter Server Appliance). 67 Annexe Annexe C - Haute Disponibilité 1. Définition Nous définissons la HA par le terme « sûreté de fonctionnement ». Une défaillance correspond à un dysfonctionnement du service. Le service est dit approprié s’il est conforme aux attentes. La panne d’un système informatique peut causer dans la plupart du temps, une perte de productivité et ainsi de l’argent. Il est important d’évaluer les risques liés à un dysfonctionnement et de mesurer les dégâts afin de rétablir les services dans un temps acceptable. L’origine des fautes peut être: - Origines physiques Désastre naturel (incendie…) Environnement (humidité, température…) Panne matérielle Panne du réseau Coupure électrique - Origines humaines (Erreur de conception) - Origines opérationnelles (bogue logiciel) Toutes les dispositions pour garantir la disponibilité d’un service, c'est-à-dire assurer son bon fonctionnement 24h/24 est appelé Haute disponibilité. La haute disponibilité c’est la capacité d’un système d’assurer la continuité opérationnelle d’un service sur une période donnée Actuellement, la vitalisation semble être en effet la seule solution viable pour réduire réellement les coûts liés aux systèmes d’information. Dans les entreprises, l’Internet se situe au cœur de l’activité de HA. La HA comprend les services des applications, les logiciels, la téléphonie, le site Web et la sécurisation du réseau de l’entreprise ainsi la disponibilité permanente de solution de sauvegarde ou secours ou reprise sur un accident. La disponibilité s’exprime sous la forme d’un taux de disponibilité. 68 Annexe Le tableau 12 présente le taux de disponibilité et la durée d’indisponibilité: Tableau 12: La disponibilité en chiffres Taux de disponibilité Durée d’indisponibilité 99% 3 jours et 15 heures 99,99% 53 minutes 99,9999% 32 secondes 2. Techniques de HA Un cluster haute-disponibilité est un groupe d’ordinateurs organisés dont le but est d’éviter le maximum d’indisponibilités. Il y a plusieurs techniques de HA : La redondance : en dupliquant les ressources, en met en place un mécanisme de redondance. La tolérance aux pannes est la capacité d’un système à fonctionner malgré une défaillance d’une de ses composantes. Lorsque les ressources tombent en panne, d’autres ressources doivent prendre le relais. La sécurisation des données : RAID, Snapshots, Dataguard Mode dégradé : fournir les services même en manque des sources complètes Plan de secours : Posséder un plan de secours pour maintenir les activités en cas de perte des ressources informatique est primordial. Toute entreprise aimerait pouvoir se remettre instantanément d’un sinistre sans aucune perte de données. Si cet objectif est, soyons réaliste, impossible à atteindre, il est toutefois possible de tendre vers un niveau d’efficacité satisfaisant. Avant la reprise, il faut étudier : le cas de catastrophe, les données les plus importants… Sécurisation des sauvegardes : externalisation ou centralisation sur un site tiers 69 Annexe 4. Mise en place d'une solution de HA Il faut faire une copie d’une machine virtuelle sur un autre hôte en continu qui permet de réaliser un plan de basculement, et une reprise ultrarapide de l’activité de la machine virtuelle sur l’hôte où elle est répliquée au cas où l’hôte ou la machine virtuelle de base serait défaillante. La sauvegarde elle-même et le plan de secours permettent la HA. 70
