Professional Documents
Culture Documents
MASTERE PROFESSIONNEL
Nouvelles Technologies des Tlcommunications et Rseaux
Prsent par :
Ayari Amani
2012 - 2013
A ma mre pour toute laffection quelle me procure. A mon pre pour ses innombrables et prcieux conseils. A mes frres et leurs conjointes pour leur soutien. Aux petites, Lina et Fatouma pour la joie quils me font vivre. A mon fianc Ahmed Lhomme que jaime tant et avec qui je construirai ma vie A ma tante Mtira Pour son soutien moral A toute ma famille, mes oncles, mes tantes, mes cousins et mes cousines A tous mes amis
Amani
1
2012 - 2013
Le travail prsent dans ce rapport a t effectu dans le cadre de ce projet de fin dtudes pour lobtention du diplme de mastre professionnel en Nouvelles Technologies de Tlcommunications et Rseaux lUniversit Virtuelle de Tunis (UVT) Ce travail ralis au sein des locaux du Ministre des Technologies de lInformation et de Communication(MTIC) a pu tre men terme grce la collaboration de certaines personnes quil nous plat de remercier. Je remercie galement Mr Khaled Sammoud mon encadreur pour ses conseils lucides et pertinents. Je tiens remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi Mosly pour la confiance quils ont su me tmoigner au cours de toute la dure de ltude de mon projet, pour leur disponibilit et leur patience. Je rends ici hommage leurs qualits dexpert auditeur, par lesquelles ils ont su guider mes travaux de recherches en scurit des rseaux. Mes remerciements vont aussi aux membres du jury, qui donneront mon travail une valeur ajoute travers leurs recommandations et leurs remarques si importantes, dont je serai trs reconnaissant. Je remercie particulirement aux responsables et lquipement informatique au ministre pour leur aide, leur patience et leur disponibilit. Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce travail.
Amani
2
2012 - 2013
6Dmarche de ralisation dune mission daudit de scurit des systmes dinformation............................................................................................................................ 15 6.1- Prparation de laudit ............................................................................................ 15 6.2- Audit organisationnel et physique ........................................................................ 16 6.3- Audit technique ...................................................................................................... 16 6.4- Audit intrusif ........................................................................................................... 18 6.5- Rapport daudit ....................................................................................................... 18 78Lois relative la scurit informatique en Tunisie ................................................... 19 Conclusion ....................................................................................................................... 19
Chapitre II : ........................................................................................................................................ 20 Prsentation de lorganisme daccueil et tude de lexistant .......................................................... 20 12Introduction .................................................................................................................... 21 Prsentation de lorganisme daccueil......................................................................... 21 2.1- Prsentation gnrale ............................................................................................. 21 2.2- Rles et attributions ............................................................................................... 21 2.3- Organigramme : ...................................................................................................... 23 2.4- Le bureau des systmes dinformation ............................................................... 25 3Description du systme informatique ......................................................................... 25 3
2012 - 2013
3.1- Inventaire des micro-ordinateurs et serveurs.................................................... 25 3.2- Inventaire des logiciels et systme dexploitation ........................................... 26 3.3- Inventaire des quipements rseaux................................................................... 27 4Architecture et topologie du rseau ............................................................................ 28 4.1- Plan dadressage ...................................................................................................... 28 4.2- Description de larchitecture rseau ................................................................... 28 5Aspects de scurit existante ........................................................................................ 29 5.1- Scurit physique ................................................................................................... 29 5.2- Scurit logique ...................................................................................................... 30 5.3- Scurit rseau......................................................................................................... 31 5.4- Scurit des systmes ............................................................................................. 31 6Conclusion ....................................................................................................................... 32 Chapitre III : ....................................................................................................................................... 33 Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002 .................... 33 123Introduction .................................................................................................................... 34 Approche adopt ............................................................................................................ 34 Droulement de la taxonomie organisationnel et physique .................................... 34 3.1- Prsentation des interviews .................................................................................. 34 3.2- Prsentation et interprtation des rsultats ....................................................... 34 4Conclusion ....................................................................................................................... 40 Chapitre IV: ....................................................................................................................................... 41 Taxonomies des failles techniques .................................................................................................... 41 12Introduction .................................................................................................................... 42 Analyse de larchitecture rseau et systme............................................................... 42 2.1- Reconnaissance du rseau et du plan dadressage ........................................... 42 2.2- Sondage systme et des services rseaux ........................................................... 44 3Analyse des vulnrabilits ............................................................................................ 50 3.1- Serveur Backup Mail.............................................................................................. 50 3.2- Serveur SyGec ......................................................................................................... 51 3.3- Serveur de messagerie Lotus Notes .................................................................... 52 4Analyse de larchitecture de scurit existante .......................................................... 53 4.1- Analyse du Firewall ............................................................................................... 54 4
2012 - 2013
4.2- Analyse du Routeur Cisco..................................................................................... 54 4.3- Analyse du Switch HP Procurve .......................................................................... 55 4.4- Analyse de la politique dusage de mots de passe ........................................... 56 5Conclusion ....................................................................................................................... 57 Chapitre V : ........................................................................................................................................ 58 Recommandations organisationnelles et physiques ........................................................................ 58 12345678910111213Introduction .................................................................................................................... 59 Politique de scurit ....................................................................................................... 59 Organisation de la scurit de linformation.............................................................. 59 Gestion des biens ............................................................................................................ 60 Scurit lie aux ressources humaines ........................................................................ 61 Scurit physique et environnementale ...................................................................... 62 Gestion des communications et de lexploitation ...................................................... 63 Contrle daccs.............................................................................................................. 63 Dveloppement et maintenance des systmes........................................................... 64 Gestion des incidents ..................................................................................................... 65 Gestion de la continuit dactivit ............................................................................... 66 Conformit ...................................................................................................................... 66 Conclusion ....................................................................................................................... 67
Chapitre VI : ...................................................................................................................................... 68 Recommandations techniques ........................................................................................................... 68 123Introduction .................................................................................................................... 69 Recommandations .......................................................................................................... 69 Solution propose........................................................................................................... 72 3.1- Dploiement complet dActive directory (Annexe 4) ...................................... 72 3.2- Windows Server Update Services ...................................................................... 72 3.3- Deuxime Switch HP Procurve ............................................................................ 72 3.4- Nouvelle architecture ............................................................................................. 73 4Conclusion ....................................................................................................................... 73 Conclusion Gnrale.......................................................................................................................... 74 Bibliographie ...................................................................................................................................... 77 Annexes .............................................................................................................................................. 79 5
2012 - 2013
2012 - 2013
Introduction Gnrale
2012 - 2013
Le prsent rapport entre dans le cadre de ralisation dune mmoire du mastre professionnel Nouvelles Technologies des Tlcommunications et Rseaux lUniversit Virtuelle de Tunis pour lobtention dune mission daudit de scurit de systme informatique de Ministre des Technologies de lInformation et de Communication. Les systmes informatiques sont devenus des outils indispensables au fonctionnement des entreprises. Ils sont aujourdhui dploys dans tous les secteurs professionnels, savoir, le secteur bancaire, les assurances, la mdecine voire dans le domaine aronautique. Cette volution a assouvi par consquent les besoins de nombreux utilisateurs qui ne sont pas forcment de bonne foi. Ils peuvent exploiter les vulnrabilits des rseaux et des systmes dans le but daccder des informations confidentielles et de les utiliser dans leurs propre intrt. Il en dcoule que ces rseaux sont devenus cibls par ce genre de menaces et leurs scurisation recle une proccupation de plus en plus importante. La mise en place dune politique de scurit autour de ces systmes est donc primordiale. Ds lors, la scurit revt une importance qui grandit avec le dveloppement des rseaux IP, les entreprises y voient aujourdhui un avantage concurrentiel et un nouveau dfi battre. La complexit des technologies utilise, la croissance exponentielle des terminaux protger ainsi que la prolifration de nouvelles menaces dmontrent que la scurit est trs importante, et ncessaire. Les oprations informatiques offrent de nouvelles perspectives de rentabilit pour les pirates et les malveillants. Elles constituent un moyen dattaque qui peut tre men des milliers de kilomtres de la cible vise. Ces risques ont gagn du terrain depuis la naissance du rseau mondial Internet. Par consquent, toute organisation qui a des ordinateurs relies internet (ou tout autre rseau externe) doit laborer une politique pour assurer la scurit de chaque systme.
2012 - 2013
Ici interviennent les mthodes daudit de scurit des systmes dinformation qui sont la base mme dune politique permettant lentreprise de mettre en uvre une dmarche de gestion de ses risques. Dans ce contexte il nous a t confi de raliser une mission daudit de scurit du systme dinformation du ministre des technologies de linformation et de communication. Le prsent rapport sera structur en six parties : La premire partie prsente des gnralits sur la scurit informatique et sur une mission daudit ainsi quun aperu sur les normes de scurit de linformation. La deuxime partie prsente lorganisme daccueil et ltude de lexistant et lidentification de systme cible. La troisime partie est consacre aux taxonomies des failles organisationnelles et physiques bass sur la norme 27002 et ses rsultats. La quatrime partie sera consacre aux taxonomies des failles techniques qui permettent, travers des outils de dtection des vulnrabilits, dvaluer la scurit mise en place pour la protection du systme dinformation. Enfin, les deux dernires parties de ce rapport comporteront des
2012 - 2013
Chapitre I :
10
2012 - 2013
1- Introduction
L'informatique est l'un des lments clefs de la comptitivit d'une entreprise. C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimis. Cependant, rare sont celles qui mettent en place une stratgie au fil des volutions de leurs besoins. C'est pourquoi raliser un audit permet, par une vision claire et globale, d'entreprendre la rationalisation du parc et par la mme d'en augmenter la productivit, d'anticiper les problmes et de diminuer les cots de maintenance. (1)
11
2012 - 2013
2012 - 2013
Chapitre n9: Scurits physiques et environnementales Chapitre n10: Exploitation et gestion des communications Chapitre n11: Contrle d'accs Chapitre n12: Acquisition, dveloppement et maintenance des systmes d'informations Chapitre n13: Gestion des incidents Chapitre n14: Gestion de la continuit d'activit Chapitre n15: Conformit.
13
2012 - 2013
dun audit
de
scurit
des systmes
Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit un cycle de vie qui est schmatis laide de la figure suivante (3)
Laudit de scurit informatique se prsente essentiellement suivant deux parties comme le prsente le prcdent schma : Laudit organisationnel et physique. Laudit technique. Une troisime partie optionnelle peut tre galement considre. Il sagit de laudit intrusif. Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport prsente une synthse de laudit. Il prsente galement les recommandations mettre en place pour corriger les dfaillances organisationnelles et techniques constates. Une prsentation plus dtaille de ces tapes daudit sera effectue dans le paragraphe suivant qui prsente le droulement de laudit.(3)
14
2012 - 2013
15
2012 - 2013
Elaboration dun questionnaire daudit scurit partir du rfrentiel et des objectifs de la mission.
Planification des entretiens et informations de personnes impliques. 6.2- Audit organisationnel et physique
a- Objectif Dans cette tape, il sagit de sintresser laspect physique et organisationnel de lorganisme cible, auditer. Nous nous intressons donc aux aspects de gestion et dorganisation de la
scurit, sur les plans organisationnels, humains et physiques. Les objectifs viss par cette tape sont donc : Davoir une vue globale de ltat de scurit du systme dinformation, Didentifier les risques potentiels sur le plan organisationnel. b- Droulement Afin de raliser cette tape de laudit, ce volet doit suivre une approche mthodologique qui sappuie sur un ensemble de questions. Ce questionnaire prtabli devra tenir compte et sadapter aux ralits de lorganisme auditer. A lissu de ce questionnaire, et suivant une mtrique, lauditeur est en mesure dvaluer les failles et dapprcier le niveau de maturit en termes de scurit de lorganisme, ainsi que la conformit de cet organisme par rapport la norme rfrentielle de laudit. Dans notre contexte, cet audit prendra comme rfrentiel la norme ISO/27002 :2005.
2012 - 2013
Au cours de cette phase, lauditeur pourra galement apprcier lcart avec le s rponses obtenues lors des entretiens. Il sera mme de tester la robustesse de la scurit du systme dinformation et sa capacit confidentialit, dintgrit, de disponibilit et dautorisation. b- Droulement Laudit technique sera ralis selon une succession de phases respectant une approche mthodique. Laudit technique permet la dtection des types de prserver les aspects de
vulnrabilits suivante, savoir : Les erreurs de programmation et erreurs darchitecture. Les erreurs de configurations des composants logiques installs tels que les services (ports) ouverts sur les machines, la prsence de fichiers de configuration installs par dfaut, lutilisation des comptes utilisateurs par dfaut. Les problmes au niveau de trafic rseau (flux ou trafic non rpertori, coute rseau,...). Les problmes de configuration des quipements dinterconnexion et de contrle daccs rseau. Les principales phases : Phase 1 : Audit de larchitecture du systme Reconnaissance du rseau et de plan dadressage, Sondage des systmes, Sondage rseau, Audit des applications.
Phase 2 : Analyse des vulnrabilits Analyse des vulnrabilits des serveurs en exploitation,
2012 - 2013
Audit des firewalls et des rgles de filtrage, Audit des routeurs et des ACLs (Liste de contrle daccs), Audit des sondes et des passerelles antivirales, Audit des stations proxy, Audit des serveurs DNS, dauthentification, Audit des commutateurs, Audit de la politique dusage de mots de passe.
6.4-
Audit intrusif
Cet audit permet dapprcier le comportement des installations techniques face des attaques. Egalement, il permet de sensibiliser les acteurs (management, quipes sur site, les utilisateurs) par des rapports illustrant les failles dceles, les tests qui ont t effectus (scnarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifies.
6.5-
Rapport daudit
A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger un rapport de synthse sur sa mission daudit. Cette synthse doit tre rvlatrice des dfaillances enregistres. Autant est-il important de dceler un mal, autant il est galement important dy proposer des solutions. Ainsi, lauditeur est galement invit proposer des solutions (recommandations), dtailles, pour pallier aux dfauts quil aura constats. Les recommandations devront inclure au minimum : Une tude de la situation existante en termes de scurit au niveau du site audit, qui tiendra compte de laudit organisationnel et physique, ainsi que les ventuelles vulnrabilits de gestion des composantes du systme (rseau, systmes, applications, outils de scurit) et les recommandations
correspondantes.
18
2012 - 2013
Les actions dtailles (organisationnelles et techniques) urgentes mettre en uvre dans limmdiat, pour parer aux dfaillances les plus graves, ainsi que la proposition de la mise jour ou de llaboration de la politique de scurit instaurer.
8- Conclusion
Laudit est une dmarche collaborative visant lexhaustivit. Elle est moins raliste quun test mais permet en contrepartie de passer mthodiquement en revue tout le rseau et chacun de ses composants en dtail. Dans le chapitre suivant nous mettons laccent sur ltude de lexistant et lidentification de systme cible.
19
2012 - 2013
Chapitre II :
20
2012 - 2013
1- Introduction
Notre mmoire de mastre sest droul au sein du Ministre des Technologies de linformation et de la Communication (MTIC) qui est charg principalement du pilotage, de la planification, de la rglementation et lorganisation du secteur des technologies de la communication en Tunisie. Ce chapitre prsente une tude exhaustive sur le systme informatique et les composants qui le constituent. Toutes les informations ont t rassembles suite des visites sur place et des entretiens avec les membres de lquipe informatique.
Dnomination Ministre Secteur dactivits Moyens humains (fin 2012) Adresse e-mail Site web Tlphone :
2012 - 2013
attire l'investissement et encourage les efforts d'exportation et la comptitivit des entreprises tunisiennes. Ladresse officielle du site du ministre est : www.mincom.tn[N1]
A cet effet, le ministre est charg notamment de : Coordonner entre les structures charges des tudes stratgiques dans le domaine de la Poste, des Tlcommunications et de la technologie de l'Information ; laborer des normes techniques ; et encadrer les programmes de la recherche et les activits industrielles en vue de leur adaptation aux besoins du secteur, Elaborer des plans et des tudes stratgiques dans les domaines des tlcommunications et Postal, Elaborer les tudes de rentabilit tarifaires et les modalits de fixation des tarifs des Tlcommunications et des tarifs postaux, Fixer les conditions et les modalits relatives la mise en place et l'exploitation des services valeur ajoute des tlcommunications, Suivre l'activit des Entreprises sous tutelle du ministre du point de vue technique et financier. 22
2012 - 2013
Collecter et analyser des statistiques relatives au secteur et proposer des programmes insrer dans les plans de dveloppement et en valuer les rsultats :
Participer l'laboration des tudes stratgiques et des plans de dveloppement dans le domaine des communications,
Evaluer les rsultats des plans de dveloppement relatifs aux domaines affrents aux attributions du ministre,
2.3- Organigramme :
Lorganigramme du ministre comprend principalement : L'inspection gnrale des communications Les directions gnrales tel que : 23
2012 - 2013
-Direction gnrale des technologies de linformation -Direction gnrale des technologies de la communication -Direction gnrale de lconomie Numrique, de linvestissement et des statistiques -Direction gnrale des entreprises et tablissements publics -Direction gnrale des services communs Le cabinet comprend les structures suivantes :
-Le bureau d'ordre central -Le bureau de linformation et de la communication -Le bureau des systmes dinformation -Le bureau des relations avec les associations et les organisations -Le bureau de suivi des dcisions du conseil des ministres, des conseils ministriels restreints et des conseils interministriels -Le bureau des affaires gnrales, de la scurit et de la permanence -Le bureau des relations avec le citoyen 24
2012 - 2013
-Le bureau de supervision des projets statistiques -Le bureau de la rforme administrative et de la bonne gouvernance -Le bureau de la coopration internationale, des relations extrieures
2.4-
Le bureau des systmes dinformation est charg de : Lexcution du chemin directeur de linformation et sa mise jour, de mme le dveloppement de lutilisation de linformatique au niveau de diffrents services du ministre. Lexploitation et la maintenance des quipements et des programmes informatiques. La fixation de besoins en matire informatique et participation llaboration des cahiers des charges des appels doffres pour lacquisition dquipements informatiques. La participation llaboration des programmes de formation et de recyclage. Le dveloppement des programmes informatiques concernant les produits financiers. Le suivi et lapplication des programmes de maintenance des quipements informatiques au niveau rgional travers les ples rgionaux.
2012 - 2013
Serveur primaire messagerie Lotus Domino/Notes Serveur Secondaire messagerie Lotus Domino/Notes Serveur Backup Mail Serveur Antivirus rseau Koss 9.0 Serveur Mangement FW Serveur Fax
Plates formes OS/ SGBD Windows 2008 Server/ SQL serveur 2005 Windows 2003 SP3 Windows 2003 SP3
10.0.3.51/24
Messagerie Intranet
10.0.3.52/24
Sauvegarde des mails Systme Antiviral Console dadministration du FireWall/IDS Gestion lectronique des Fax
Windows XP SP2 Windows 2008 Server Windows 2008 Server R2 Windows 2008 Server
10.0.3.101/24
26
2012 - 2013
RACHED
lEtat Application pour lautomatisation des procdures relatives aux missions effectues a ltranger par les agents de ladministration Application daide a la dcision Budgtaire Application permettant le suivi des diffrentes tapes de gestion des biens mobiliers du ministre, depuis leur acquisition jusqu' la fin de leur utilisation Application de gestion des stocks des produits tenus en stock dans les magasins du ministre
Tableau 2:liste des applications du MTIC
Externe
Externe Externe
Externe
27
2012 - 2013
spcialises avec un dbit qui varie entre 128 ko/s et 512 ko/s).
28
2012 - 2013
Toute larchitecture du rseau Interne est autour dun doublet de firewall (qui fonctionne en mode clustering) ayant 8 interfaces Ethernet de 10/100/1000 Mbps. Les firewalls internes sont relis un doublet de firewall Frontal.
2012 - 2013
Salle serveur ferme clef, seuls les personnes autorises et qui possdent la cl peuvent y accder, La climatisation est assure par (deux) climatiseurs domestiques install dans la salle des serveurs. Les prises de courant lectriques ne sont pas ondules. Existence des onduleurs (3 de marque InfoSec 5kva administrable a distance et 5 de marque APC 1kva) pour assurer la continuit de service des ressources critique en cas de problmes lectrique.
Seuls les machines et les composants rseaux importance leve sont protgs par des onduleurs pour liminer les problmes dalimentation lectrique de courte dure. Les extincteurs dincendies sont disponibles dans chaque couloir Absence des camras de surveillance pour les zones sensibles.
30
2012 - 2013
Des procdures de sauvegarde pour les donnes sensibles sont appliques selon les frquences suivantes : Pour la base de donnes de lapplication SyGec : une image sur disque chaque jour. Pour les Emails au niveau du serveur de messagerie : une sauvegarde est planifie tous les jours (fin de la journe) sur un poste de travail ddi pour backup Mail. Pour la configuration du firewall : une sauvegarde de la configuration chaque mois ou lors dune modification importante, et une sauvegarde des logs est assure chaque semaine. Afin dassurer la continuit des services et viter larrt des services mme partiellement en cas des problmes (panne matriel, crash disque...), une certaine redondance matrielle a t constat notamment au niveau des firewalls ainsi quau niveau des disques de certains serveurs qui utilisent une technologie Raid niveau 5.
2012 - 2013
Une Solution antivirale Koss 9.0 (Kaspersky Open Space Security) est mise en place avec une architecture client/serveur, et une version client (agent) est installe sur toutes les machines du rseau (une version pour les postes de travail et une version pour les serveurs), le serveur de lantivirus tlcharge les mises jour rgulirement et les installe sur tous les Ordinateurs.
6- Conclusion
Suite la description de lenvironnement de droulement de notre mission daudit et lidentification de larchitecture rseau et principaux serveurs et quipements, nous allons procder, dans le chapitre suivant, aux taxonomies des failles organisationnelles et physiques bass sur la norme 27002.
32
2012 - 2013
Chapitre III : Taxonomies des failles organisationnelles et physiques bases sur la Norme 27002
33
2012 - 2013
1- Introduction
Ce chapitre vise avoir une vision qualitative et quantitative des diffrents facteurs de la scurit informatique du site audit et identifier les points critiques du systme dinformations. Laudit fonctionnel sera ralis en se basant sur des entretiens avec le responsable, et des observations constats sur le site.
2- Approche adopt
Notre approche consiste mesurer le niveau de maturit en se basant sur un questionnaire inspir de la Norme ISO 27002 (voir annexe 1). Ce questionnaire comporte 11 chapitres, chaque chapitre prsente un thme de scurit dans lequel sont exposs des objectifs de contrles et des recommandations sur les mesures de scurit mettre en uvre et les contrles implmenter.
34
2012 - 2013
On remarque linexistence dune politique de scurit formelle et disponible pour tous les personnels et par consquent, labsence dun document de politique de Scurit crit, valid et diffus par la direction gnrale et de norme applique.
La politique de scurit nest pas affecte un responsable, charg de la rvision rgulire de ce document et ladapte priodiquement en cas de changement au niveau de lorganisation ou au niveau de larchitecture, suite un incident de scurit, ou bien cause des changements technologiques.
b- Organisation de la scurit de linformation Linexistence des fonctions suivantes dans la politique de scurit : responsable spcialiste de la scurit physique ; responsable spcialiste de la scurit fonctionnelle et informatique ; directeur responsable de la scurit gnrale. Absence des objectifs de scurit dans la politique globale de lorganisme. Absence de lidentification des informations confidentielles. Linexistence dune politique de rvision et de documentation de la politique dorganisation de la scurit. Absence du mcanisme didentification et de classification des accs. Absence dun contrat qui stipule les clauses relatives la scurit des valeurs de lorganisation, la scurit physique et lexistence dun plan de secours dans le cas dexternalisation du ministre. Absence de comit de pilotage du SI. Absence de lidentification des risques dus aux effets externes.
c- Gestion des biens Il ny a pas une classification des ressources bases sur les 3 axes : Disponibilit, Intgrit et Confidentialit. Manque des Lignes directrices pour la classification des informations en termes de valeur, dexigences lgales, de sensibilit et de criticit, Linexistence dun stock inventori dquipements et de pices dtaches de secours. Absence dune licence dacquisition pour tous les logiciels installs. 35
2012 - 2013
Il ny a pas de contrle des logiciels installs. Linexistence des rgles dutilisation des biens et des services dinformation.
d- Scurit lie aux ressources humaines Linexistence dun contrat sign par tous les personnels pour prendre des dcisions en cas de non respect des rgles de scurit, ou bien quils soient sources des failles. Absence dune note prcisant les devoirs et responsabilits du personnel. Absence dun programme de sensibilisation du personnel aux risques d'accident, d'erreur et de malveillance relatifs au traitement de l'information. Les employs doivent noter, signaler toutes les failles et les menaces de scurits observes dans les systmes ou services ou applications, et savoir qui sadressent en cas pareils. Absence dun document de confidentialit des informations sign par les employs lors de lembauche. e- Scurit physique et environnementale Absence dune rglementation spciale contre le fait de fumer, boire, et manger dans les locaux informatiques. Absence dune politique de maintenance pour les quipements sensibles. Absence des procdures de gestion de crise en cas de long arrt du systme et de permettre la reprise du fonctionnement au moins partiellement (favoriser quelques machines sur dautres). Linexistence dun systme de dtection ou dvacuation deau. Absence dun document li la scurit physique et environnementale.
f- Gestion des communications et de lexploitation Absence des procdures formelles pour les oprations dexploitation : backup, maintenance et utilisation des quipements et des logiciels. Linexistence dune distinction entre les phases de dveloppement, de test et dintgration dapplications. Absence dune procdure pour la gestion des incidents. 36
2012 - 2013
Absence des procdures formelles pour la prvention contre la dtection et la prvention des logiciels malicieux.
Absence dune politique pour se dbarrasser des documents importants. Linexistence des consignes interdisant lutilisation des logiciels sans licence qui doivent tre respects et contrls.
g- Contrle daccs Absence dune procdure dattribution ou de retrait des privilges qui n cessite laccord formel de la hirarchie. Les utilisateurs non conscients quils doivent verrouiller leurs sessions en quittant leur bureau mme pour quelques instants. Absence du contrle par un dispositif didentification et dauthentification laccs au systme. Linexistence dun dispositif de revue des droits daccs des intervalles rguliers. Absence des conditions respecter lors du choix des mots de passe. Il faut sensibiliser les utilisateurs pour prendre prcautions lutilisation des disquettes, CD, flash h- Dveloppement et maintenance des systmes Absence des procdures de validation en cas dun ou des changements raliss sur les programmes ou bien sur les applications. Absence de lassurance de la scurit de la documentation du systme dinformation. Linexistence des procdures de contrle pour les logiciels dvelopps en soustraitance. Linexistence dune politique de maintenance priodique et assidue des quipements. i- Gestion des incidents Linexistence dune politique de gestion des incidents. 37
2012 - 2013
Absence dune politique pour rpartition des responsabilits en cas dincident. Absence dun systme de reporting des incidents lis la scurit de linformation.
Les employs ne sont pas informs du comportement avoir si un incident est survenu.
j- Gestion de la continuit dactivit Absence dune politique de sauvegarde pour dautres actifs de lorganisme. Une analyse de risque partir des divers scnarios nest jamais dvelopp, qui permet didentifier les objets et les vnements qui pourraient causer des interruptions (partielle ou totale). Linexistence des alarmes pour lavertissement lors daccs aux actifs sensibles en dehors des heures de travail ou en cas daccs non autoriss. Absence dun plan de secours, ce qui vient de dire que lorganisme est incapable de rpondre rapidement et efficacement aux interruptions des activits critiques rsultant de pannes, incident, sinistre. Absence des plans crits et implments pour restaurer les activits et les services en cas de problmes. k- Conformit On remarque labsence dune dfinition, dune documentation et dune mise jour explicite de toutes les exigences lgales, rglementaires et contractuelles en vigueur, ainsi que la procdure utilise par lorganisme pour satisfaire ces exigences. Linexistence dun contrle de la conformit technique. La non-conformit des rgles de scurit appliques. Linexistence dune procdure dfinissant une bonne utilisation des technologies de linformation par le personnel. Il faut que le responsable de la scurit de linformation value priodiquement des procdures pour le respect de la proprit intellectuelle. l- Rsultat 38
2012 - 2013
70
Lgende : PS : Politique de scurit de linformation (0%) OS: Organisation de la scurit de linformation (30%) GB : Gestion des biens (50%) SRH : Scurit lie aux ressources humaines (23%) SPE : Scurit physique et environnementale (61%) GCE : Gestion des communications et de lexploitation (50%) CA : Contrle daccs (57%) DMS : Dveloppement et maintenance des systmes (38%) GI : Gestion des incidents (0%) GCA : Gestion de la continuit dactivit (45%) C : Conformit (50%) Par consquent, la moyenne est de : 37% Niveau trs bas en terme de scurit physique et organisationnelle
39
2012 - 2013
4- Conclusion
La taxonomie organisationnel et physique a permis davoir une vue globale sur le niveau de scurit du systme dinformation grce un ensemble dentretiens et au questionnaire qui se base sur la norme ISO 27002. Nous entamons dans le chapitre suivant la partie technique.
40
2012 - 2013
Chapitre IV:
41
2012 - 2013
1- Introduction
La taxonomie des failles techniques suit une tude organisationnelle et physique permettant davoir une vue globale de ltat de scurit du systme dinformation et didentifier les risques potentiels. A cette tape nous passons la recherche des vulnrabilits fin danalyser le niveau de protection de linfrastructure face aux attaques notamment celles qui exploitent ces vulnrabilits. Nous utilisons tout au long de cette partie un ensemble des outils permettant dobtenir les informations ncessaires et de dceler les diffrentes vulnrabilits.
42
2012 - 2013
Cette figure montre les postes utilisateurs de la zone inspection, la zone des serveurs en exploitation et les postes utilisateurs de la zone DAAF sur le rseau interne. Le rseau interne est segment en 8 sous rseaux. Tous les htes du rseau utilisent des adresses IP prive de classe A (10.*.*.*/24) avec un masque rseau de classe C ce qui nest pas conforme aux normes en vigueur. La configuration TCP/IP des htes est manuelle, ce quindique quelle est protge contre les modifications, les postes de travail occupent des adresses de plage 10.x.x.x/24. Pour laccs au rseau public Internet, une translation dadresse (NAT) est assure par le Firewall frontal. Nous signalons cet gard, que la configuration rseau au niveau des postes nest pas protge contre les modifications. En effet, chaque utilisateur peut changer son adresse ce qui peut gnrer des conflits dadresses. Des attaques de type IP Spoofing (usurpation d'identit) peuvent tre facilement menes et gnrer un dni du service; il suffit de remplacer ladresse IP du poste par celle dun quipement critique (routeur,
43
2012 - 2013
serveur, etc.). Cette attaque permet la dgradation des performances de lquipement concern voir mme son arrt complet.
44
2012 - 2013
a- Identification des systmes dexploitation Des essais de balayage systmatique des ports avec des options de dtection des systmes d exploitation ont permis davoir la liste des O.S au niveau des stations de lensemble du rseau audit de la MTIC. Les rsultats de test ont confirm que le rseau local du site est exclusivement Windows pour les postes utilisateurs (des stations tournant sous le systme Win XP), Windows 2003 Server et Linux (Distribution Redhat) pour les serveurs de donnes et dapplication en exploitation. Jai constat que les versions des O.S dtectes sur un chantillon important des serveurs au niveau du rseau local ne sont pas mise jour vu labsence dune solution de gestion centralise des mises jour.
b- Identification des services rseaux Il sagit de dterminer les services offerts par les serveurs et les postes de travail qui peuvent tre une source de vulnrabilit. J'ai effectu un balayage des machines (serveurs et postes de travail) du rseau interne, jai pu cerner la liste des ports ouverts sur les stations en activit. Jai retenu utile de prsenter deux petits chantillons de ces prlevs effectu sur le serveur backup mail en utilisant loutil Zenmap et le console sur Back-Track 5(8) :
45
2012 - 2013
Il est ais didentifier les services rseau en activit sur les serveurs dapplications et de donnes en exploitation au niveau du site MTIC et de connatre le type des OS, ainsi que les failles relatives aux versions associes. Certains services en activit sur les stations, dont il faudra dcider de leur utilit et de sassurer priodiquement de labsence des failles, par exemple : HTTP 80 (TCP), TELNET 23 (TCP), FTP 21 (TCP), SMTP 25(TCP) et NETBIOS 135 (TCP & UDP), 139 (TCP) et 445 (TCP & UDP). 46
2012 - 2013
c- Identification des ports ouverts Jai appliqu loutil GFI LANguard sur les serveurs et les quipements critiques et jai constat quil existe des ports qui sont ouverts et non utiliss.
Plus
de
dtails
concernant
le
serveur
secondaire
messagerie
Lotus
47
2012 - 2013
Les ports ouverts sont : Le port 445 est ouvert pour la plupart des serveurs et peut tre utilis par le ver NIMDA. Le port 139 est ouvert pour la plupart des serveurs, ce port peut tre utilis par les chevaux des Troie(11) suivant : Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz. Le port 25 (service SMTP) tant actif sur les serveurs messageries, il prsente un risque de SPAM et par suite un risque de saturation de disque. Ce service doit tre dsactiv sil nest pas utilis. Le port 443 est ouvert au niveau de plusieurs serveurs dapplications, qui peut tre exploit par le trojan Slapper. d- Identification des flux rseaux Cette tape concerne lanalyse du trafic, lidentification des principaux flux, protocoles et applications, le taux d'utilisation ainsi que les flux inter-stations et les protocoles superflu. J'ai utilis pour cela Wireshark qui est un logiciel libre d'analyse de protocole, ou packet sniffer , permet deffectuer de capture sur le rseau ainsi quune analyse du trafic. La capture dcran suivante reprsente linterface dinterception des paquets de Wireshark :
48
2012 - 2013
Une premire analyse du trafic permet didentifier lexistence de plusieurs protocoles actifs superflus qui gnrent des informations gratuites et qui pourraient tre exploites par des personnes malintentionnes pour mener des attaques. Les protocoles identifis sont les suivants : Cisco Discovery Protocol (CDP) : Il est utilis pour obtenir des adresses des priphriques voisins et de dcouvrir leur plate-forme, il utilise le protocole SNMP. CDP peut aussi tre utilis pour voir des informations sur les interfaces quun routeur utilise. ces donnes peuvent tre exploites dans la recherche des vulnrabilits du routeur et mener des attaques. (4) Spanning Tree Protocol (STP) : il permet dapporter une solution la suppression des boucles dans les rseaux ponts et par extension dans les VLANs e- Identification des partages rseaux Jai utilis loutil GFI LANguard sur les serveurs et les quipements critiques pour dterminer les partages rseaux utiliss :
Figure 18:Partages rseau avec GFI LANguard La plupart des partages existants contiennent les partages administratifs et partages cachs par dfaut ADMIN$, C$, D$, IPC$, K$ , En effet, les partages administratifs par dfaut peuvent tre exploits par un intrus pour avoir le contrle total de la machine.
49
2012 - 2013
Par la suite, je vais mesurer les vulnrabilits des parties les plus sensibles du rseau local pour dgager rapidement les failles rellement dangereuses et dgager partir des outils, des rapports efficaces et exploitables pour une scurisation rapide et efficaces du systme.
50
2012 - 2013
Identification du port critique ouvert tel que par exemple : port 23 pour le service Telnet. Cela peut mettre en danger le serveur vu la criticit du Telnet (accs distance et flux circulant en clair).
51
2012 - 2013
Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services rseaux en activit (ports critiques ouverts, comme le port 23), vulnrabilits relatives au systme dexploitation et au systme SGBD (le port 1433 (Microsoft SQL Server) est un port utilis par le cheval de Troie Voyager Alpha Force ).
52
2012 - 2013
Les vulnrabilits sont rparties sur des vulnrabilits relatives aux services rseaux en activit et vulnrabilits systmes. Le sondage des ports avec les vulnrabilits associes est prsent comme suit : Sasser (5554|TCP) (Vulnrabilit dordre grave) Utilis en tant que serveur FTP pour les anciennes versions du ver Sasser. Sasser a t un ver qui a exploit un dbordement de tampon dans Windows LSA service. Le ver a attaqu le port TCP 445 avec l'exploit, puis en cas de succs il a ouvert une commande Shell distance sur le port TCP 9996 et un service ftp sur le port 5554. Le service ftp est pourtant mme exploitable et la tentative de ver Dabber tente d'exploiter cette vulnrabilit. POP3 (110|TCP) (Vulnrabilit dordre grave) Le port 110 est ouvert, dsactiv le service sil nest pas utilis car il est possible de dtecter quels chiffrements SSL qui sont pris en charge par le service pour le
cryptage des communications. SMTP (25|TCP) (Vulnrabilit dordre moyenne) Port SMTP ouvert (cible des spammeurs), il est recommand de le dsactiver sil nest pas utilis, ou filtrer le trafic entrant ce port. HTTP (80|TCP) (Vulnrabilit dordre moyenne) Il est recommand de le dsactiver sil nest pas utilis car il est possible dextraire des informations de configuration et de dterminer le type et la version du serveur web.
53
2012 - 2013
54
2012 - 2013
2012 - 2013
Il y a seulement trois adresses IP qui sont autorises joindre et manager le Switch, y compris ladresse IP du chef service informatique.
2012 - 2013
Au niveau poste de travail, chaque utilisateur est responsable de la dfinition de son mot de passe. Certains mots de passe (aux niveaux des postes) ressemblent aux noms des utilisateurs ou sont trop courts (infrieur 10 caractres), ce ne sont pas de bonnes pratiques de scurit. Labsence dune sensibilisation des utilisateurs et de la mise en place dune procdure de contrle a priori. Absence dune charte d'utilisation qui spcifie aux utilisateurs leurs obligations de protection de leurs postes. Absence dune politique qui dfinit notamment quelle est la typologie de mots de passe autoriss, la longueur des mots de passe, les dlais d'expiration, la technique de gnration, l'occurrence d'utilisation des mots de passe,
5- Conclusion
Au cours de cette tape, jai essay de dceler certaines vulnrabilits au niveau rseau et applications en analysant les diffrents flux et les politiques de scurit adopts par les quipements tel que firewall, routeur... Il sagit maintenant de proposer des recommandations et des actions suivre pour remdier ces faiblesses.
57
2012 - 2013
Chapitre V :
58
2012 - 2013
1- Introduction
Aprs avoir termin lvaluation de la scurit du systme dinformation suivant la norme 27002, je vais proposer dans ce chapitre des recommandations rparties par thme mettre en uvre pour pallier aux insuffisances. La mise en place de ces recommandations pour remdier aux risques encourus peut tre faite progressivement ressources humaines et budgtaires. selon le degr durgence et la disponibilit des
2- Politique de scurit
Le MTIC est tenu laborer sa politique de scurit qui doit tre valide par les responsables, distribue et publie tout le personnel. Chaque employ doit donner son consentement et signer son adhsion la charte du respect de la confidentialit de linformation. Le message qui doit tre dlivr travers la politique de scurit et la charte informatique est que toute violation de la confidentialit est un dlit punissable selon le degr de sa gravit. Aussi une revue rgulire de cette politique de scurit doit tre planifie pour tenir compte des possibles changements qui surviendront (nouveaux incidents, nouvelles vulnrabilits, changements linfrastructure...)
limplmentation et la mise jour des politiques et des procdures de scurit. Pour grer la scurit, il est conseill de prendre en compte les recommandations suivantes : Le management de lorganisation doit tre impliqu dans la scurit de linformation, en particulier dans la dfinition de la politique de scurit, la dfinition des responsabilits, lallocation des ressources, ...
59
2012 - 2013
Dfinir la structure et l'organisation du management de la scurit compos dun RSSI et des responsables de toutes les directions du MTIC et prciser leurs rles et responsabilits respectifs et vis--vis des managers oprationnels. Cette structure doit avoir la capacit alerter sans dlai la Direction Gnrale en cas de problme grave. Dfinir les rles des responsables en matire de scurit de linformation. La mise en place dun systme dautorisation concernant les moyens de traitement de linformation (contrle de lusage dquipements ou logiciels personnels). Engagement de personnels vis--vis le respect de la scurit informatique (dfinition des devoirs et responsabilits, des notes prcisant les obligations lgales,...). Assurer une veille technologique en matire de scurit (participation des
cercles, associations, congrs,...). Etablir une revue de la scurit de linformation en fonction des volutions de structures. Analyser les risques lis aux accs de personnel tiers au systme dinfo rmation ou aux locaux et tablir les mesures de scurit ncessaire.
60
2012 - 2013
Dsigner pour chaque actif identifi et inventori un "propritaire" qui assume la responsabilit du dveloppement, de la maintenance, de l'exploitation, de l'utilisation et de la scurit de cet actif. Dfinir et documenter, pour chaque actif, les rgles d'utilisation acceptables. Dfinir et contrler une procdure de revue priodique des classifications.
61
2012 - 2013
Les rgles et mesures gnrales de protection de l'information qui couvrent l'ensemble des domaines concerns (documents, micro-informatique, accs aux locaux, systmes et applications) Les sanctions prendre contre le manque de responsabilit. Ce programme de sensibilisation doit tre ractiv rgulirement. La violation de la politique scurit et des procdures de scurit de l'organisme par des employs devra tre traite au moyen dun processus disciplinaire et les mesures correspondantes doivent tre communiques tous les employs.
maintenance, personnel de nettoyage, etc.) : port d'un badge spcifique, prsence d'un accompagnateur, autorisation pralable indiquant le nom de l'intervenant, Faire une analyse systmatique et exhaustive de toutes les voies possibles d'arrive d'eau et de tous les risques d'incendie et les risques environnementaux envisageables et prendre des mesures en consquence. Mettre en place des dtecteurs d'humidit et des dtecteurs d'eau proximit de salle machine qui doivent tre relis un poste permanent de surveillance. Dfinir des procdures de gestion de crise en cas de long arrt du systme et de permettre la reprise du fonctionnement au moins partiellement (favoriser quelques machines sur dautres).
62
2012 - 2013
documentes, maintenues jour, rendues disponibles toute personne en ayant besoin et approuves par les responsables concerns. Dfinir, au sein de l'exploitation des rseaux, des profils correspondant chaque type d'activit et attribuer les droits privilgis ncessaires pour chaque profil. Etablir, contrler et tester formellement des mesures de scurit pour remdier aux nouveaux risques avant mise en exploitation. Dfinir une politique afin de lutter contre les risques dattaque par de s codes malveillants (virus, chevaux de Troie, vers,). Dfinir une politique et des mesures de protection pour lutter contre des codes excutables (applets, contrle ActiveX, etc.) non autoriss (blocage ou contrle de lenvironnement dans lequel ces codes sexcute, authentification de lmetteur,...). Etablir une procdure garantissant, en cas de mise en rebut, la non divulgation des informations sensibles jusqu la destruction de leur support. Etablir des documents dfinissant : Les rgles gnrales appliquer en ce qui concerne la protection des moyens et supports de stockage, de traitement et de transport de l'information, Les rgles appliquer en ce qui concerne lexploitation des ressources informatiques (rseau, serveurs,..), des services de communication lectronique et des rseaux sans fil. Mettre en place un service de messagerie lectronique chiffre. Archiver tous les lments ayant permis de dtecter une anomalie ou un incident.
8- Contrle daccs
Etablir une politique de gestion des droits d'accs aux zones de bureaux s'appuyant sur une analyse pralable des exigences de scurit, bases sur les enjeux de lactivit. 63
2012 - 2013
Les droits accords aux utilisateurs ds leur enregistrement doivent tre approuvs par les propritaires des ressources concernes. Contrler strictement le processus d'attribution (ou modification ou retrait) de droits privilgis et d'autorisations d'accs un individu. Le processus de cration ou de modification dun authentifiant pour les accs internes doit respecter un ensemble de rgles permettant d'avoir confiance dans sa solidit intrinsque. Effectuer un partitionnement du rseau local en domaines de scurit correspondant des exigences de scurit homognes et des espaces de confiances lintrieur desquels les contrles peuvent tre adapts. Les rgles tablissant les critres de connexion au rseau tendu doivent dfinir les mesures de scurit logique devant protger les quipements de rseau et les quipements de scurit, et doivent prciser les filtrages mettre en place pour contrler les accs entrant aussi bien que pour les accs sortant. Procder rgulirement une revue des connexions autorises (standards et non standards) et de leur pertinence pour le rseau local et tendu. Analyser la sensibilit des systmes gnraux pour mettre en vidence leurs exigences de scurit et en dduit des mesures disolement (physique et logique) appropries pour les serveurs ou quipements concerns. Dvalidation automatique de l'identifiant de l'utilisateur, en cas d'absence d'change aprs un dlai dfini, ncessitant une nouvelle identification authentification.
64
2012 - 2013
Chiffrer les donnes sensibles contenues ventuellement sur le poste de travail ou sur un disque logique de donnes partages hberg sur un serveur de donnes. La procdure et les mcanismes de conservation, de distribution et dchange de cls, et plus gnralement la gestion des cls, doivent offrir des garanties de solidit dignes de confiance, lors des changes et daccs distant sur le rseau local et tendu. Mettre en place des procdures pour contrler linstallation du logiciel sur les systmes en exploitation. Les installations, les matriels et les logiciels du systme d'information ainsi que ceux qui assurent la protection du systme d'information et la fourniture des services essentiels doivent tre maintenus et tests rgulirement.
10-
Les responsabilits et les procdures doivent tre tablies afin de fournir rapidement des solutions effectives aux incidents de scurit. Mettre en place un systme de dclaration des incidents auprs des correspondants du RSSI avec une synthse de ces incidents transmise au RSSI. Le systme de dclaration et de gestion des incidents doit inclure tous les incidents (exploitation, dveloppement, maintenance, utilisation de SI) physiques, logiques ou organisationnels et les tentatives dactions malveillantes ou non autorises nayant pas abouti. Dfinir des rgles prcisant les processus de reporting des incidents et des anomalies constates et les comportements adapts. Chaque incident rseau (local et tendu) majeur doit faire lobjet dun suivi
65
2012 - 2013
11-
Dfinir des processus, rgulirement mis en uvre, danalyse des risques, lis linformation, pouvant conduire une interruption des activits de lentreprise, dbouchant sur une dfinition des exigences de scurit, des responsabilits, des procdures appliquer et moyens mettre en uvre afin de permettre llaboration des plans de continuit. Analyser la criticit des diffrentes activits pour mettre en vidence les besoins de continuit de service et dduire des plans de continuit dactivit pour chaque activit critique. Ces plans doivent prvoir bien toutes les actions entreprendre pour assurer la continuit de l'activit entre l'alerte et la mise en uvre ventuelle des solutions de remplacement prvues par les plans de secours techniques. Ces plans doivent traiter tous les aspects organisationnels lis la solution de secours "manuel" (personnel, logistique, encadrement,...). Mettre en place une solution de secours pour pallier lindisponibilit de tout quipement ou de toute liaison critique du rseau tendu et local. Identifier prcisment les scnarios de sinistre pouvant affecter lensemble du parc des postes utilisateurs et analyser pour chaque scnario, ses consquences en termes de service rendus impossibles aux utilisateurs.
12-
Conformit
Toutes les exigences lgales, rglementaires et contractuelles doivent tre dfinies explicitement et documentes pour le systme informatique et son application par l'organisation doit figurer dans un document tenu jour. Procder des contrles frquents visant vrifier que les logiciels installs sont conformes aux logiciels dclars ou quils possdent une licence en rgle. Les oprations d'audit ralises pour les donnes critiques doivent tre enregistres. 66
2012 - 2013
Dfinir et documenter les rgles concernant les audits mens sur le rseau, les procdures et les responsabilits associes. Les outils d'audit doivent tre protgs afin d'viter toute utilisation indue ou malveillante. Ceci s'applique, en particulier, aux tests de pntration et aux valuations de vulnrabilits. Les rsultats d'audit doivent tre protgs contre toute modification ou divulgation.
13-
Conclusion
Dans cette partie, jai propos des recommandations que je juge ncessaires mettre en uvre pour amliorer la scurit du systme dinformation du MTIC en se basant sur la norme 27002. Dans la partie suivante, je vais aborder laspect technique.
67
2012 - 2013
Chapitre VI :
Recommandations techniques
68
2012 - 2013
1- Introduction
Aprs avoir termin lvaluation technique, Les outils de scan et les tests techniques effectus ont permis de dceler des failles de scurit et des vulnrabilits des diffrents composant du systme dinformation. Par la suite, je vais proposer des recommandations techniques mettre en uvre pour pallier les insuffisances et les dfaillances dtectes.
2- Recommandations
Les recommandations sont les suivantes : Utiliser SSH au lieu de Telnet pour ladministration distance des quipements rseaux et scurit et pour empcher linterception des donnes. Dsactiver ou fermer les services rseaux inutiles et surtout SNMP sur les quipements critiques (FW, Routeurs, Serveurs,). Mettre en place une solution de gestion centralise des mises jour (WSUS) afin de minimiser les bugs et les failles de scurit et de vrifier que les mises jour sont bien installes. Attribution des mots de passe au niveau de bios sur les machines sensibles afin de protger contre les accs physiques. Utiliser des certificats numriques pour crypter et signer les messages. Prvoir des matriels redondants pour les quipements critiques (les serveurs en exploitation, Routeurs,...). Prvoir des matriels de remplacement en cas de panne dun composant essentiels. Prvoir des cycles de formation pour lquipe informatique sur les aspects : Scurit des systmes dexploitation. Scurit rseaux et systme de gestion de BD. Prvoir des cycles de sensibilisation pour les utilisateurs pour quils tiennent compte de limportance de la scurit et limpact de linscurit. 69
2012 - 2013
Effectuer des tests de rcupration et de restauration des systmes et des donnes comme sil y a eu dincident.
Au niveau Firewall
Effectuer un enregistrement dtaill de toutes les traces de connexions qui sont bloques ou passes par le firewall. Etablir des statistiques sur lusage du Firewall. Vrification des derniers patchs et mises jour de manire rgulire et automatiquement partir du site du constructeur. Etablir un rapport d'audit long terme prsentant l'historique des incidents survenus au niveau du firewall. Dfinir un document ou une spcification des rgles de filtrage contenant une description de lutilit de chaque filtre/rgle. Dfinir un document prcisant la configuration du Firewall et le suivi des modifications de cette configuration.
Au niveau Routeur
Etablir une procdure documente pour le backup des configurations du routeur. Toutes les modifications de configuration des routeurs doivent tre documents et conservs dans un endroit scuris afin dassurer la continuit de travail. Enregistrement de toute tentative refuse nimporte quel port, protocole ou service. Assurer le contrle, la vrification et larchivage des logs en concordance avec la politique locale. Mettre jour lIOS chaque publication dune nouvelle version.
70
2012 - 2013
Une bonne politique de scurisation des accs par mot de passe consiste galement en la dfinition d'un dlai d'expiration du mot de passe. Il est par exemple possible de dfinir le renouvellement des mots de passe par priode de 15, 30 ou 45 jours. Ne divulguez jamais un mot de passe et surtout pas en l'envoyant par courrier lectronique. vitez de noter le mot de passe quelque part ou de le laisser expos (sur cran, sous le clavier, dans un fichier non protg, ...). Proposer des changements rguliers tout en bloquant la possibilit d'utiliser des mots de passe dj employs. Dfinir la frquence des audits afin de s'assurer que la politique est bien respecte. Des outils tels que LophtCrack, John the Ripper ou Crack permettent de contrler rgulirement la robustesse des mots de passe.
Politique de sauvegarde
Mettre en place une stratgie de sauvegarde et de restitution des donnes formellement dcrite et de vrifier le bon fonctionnement des supports de
sauvegarde aprs chaque cycle de ce dernier. Procder rgulirement la vrification des sauvegardes en procdant des essais de restauration des donnes sauvegardes. Sensibiliser rgulirement le personnel de limportance de sauvegarde. Procder une sauvegarde systme, des journaux et sauvegarde des configurations des quipements rseaux. Mettre en place un plan de sauvegarde couvrant lensemble des configurations des rseaux dfinissant les objets sauvegarder et la frquence des sauvegardes. Les accs aux systmes doivent tre journalises avec si possible et au minimum l'identit de l'utilisateur, le systme concern, la date et l'heure de l'accs.
71
2012 - 2013
3- Solution propose
3.1- Dploiement complet dActive directory (Annexe 4)
Lobjectif principal dActive Directory est de fournir des services centraliss didentification et dauthentification un rseau dordinateurs utilisant le systme Windows. Il permet galement lattribution et lapplication de stratgies, la distribution des logiciels, et linstallation de mise jour critique par les administrateurs.(5) Active Directory rpertorie les lments dun rseau administr tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partags, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partages, et les administrateurs peuvent contrler leurs utilisations grce des fonctionnalits de distribution, de duplication, de partitionnement et de scurisation des accs aux ressources rpertories.
2012 - 2013
Evidement, avant dimplmenter cette mthode, il faut activer le Spanning Tree (STP) pour viter davoir une boucle.
4- Conclusion
Jai propos dans ce chapitre des recommandations sur le plan technique fin de minimiser le risque dexploitation des vulnrabilits du rseau et de protger les diffrents quipements pour assurer une continuit et une disponibilit complte.
73
2012 - 2013
Conclusion Gnrale
74
2012 - 2013
Lobjectif de lancement de notre mission daudit tait dvaluer le niveau de maturit du SI du MTIC et de dgager les dviations par rapport aux normes de scurit surtout la norme ISO 27002. A travers cet audit, nous tions en contact direct avec les responsables du MTIC et nous avons essay de communiquer avec eux et dchanger les connaissances pour russir l'tape de l'audit organisationnel et physique et nous avons pu travailler avec diffrents outils destins au recensement des failles et des vulnrabilits du systme audit afin d'expertiser l'tape de l'audit technique. Nous avons essay de couvrir le maximum daspects pendant la priode de cette mission, nous avons valu le niveau de maturit des diffrentes clauses qui dfinissent la scurit organisationnelle et physique, puis laudit sest concentr sur les aspects techniques. Pour laudit technique nous avons tudi larchitecture du rseau informatique ainsi que les diffrents quipements critiques. Nous avons aussi consacr une bonne partie de cet audit pour tudier les diffrents systmes applicatifs tel que le service messagerie ou le SGBD vu leur importance dans le SI du MTIC. Nous avons dtaill, examin et classifi les failles trouves, pour enfin proposer diffrentes recommandations couvrant les domaines tudis, et nous avons labor un plan daction permettant lorganisme datteindre ses objectifs et amliorer la faon de grer son SI. Le plan daction propos dtaille les mesures ncessaires pour amliorer la qualit de la scurit du SI, en prcisant les objectifs atteindre et les indicateurs de suivi qui permettent dvaluer la russite des mesures prises. Nous avons aussi propos quelques solutions commerciales et gratuites permettant daider les responsables amliore r la faon de grer le SI surtout la partie concernant le rseau informatique. Nous devons signaler que les responsables du MTIC seront les principaux joueurs et dcideurs en ce qui concerne les estimations financires et lorganisation des ressources humaines impliques dans lexcution de ce plan daction vu leur mthodologie de 75
2012 - 2013
travail et les procdures administratives respecter. Notre rle est principalement de les aider valuer leur SI et de proposer les mesures ncessaires. Il est noter quun effort considrable a t dj fait au sein du MTIC pour amliorer la qualit du SI dans un monde technologique voluant la vitesse de la lumire, mais dautres mesures peuvent tre prises ou planifies pour atteindre un seuil de robustesse honorable. La valeur que prsente le MTIC dans le domaine des tlcommunications et les nouvelles technologies en Tunisie linvite continuer les efforts pour donner lexemple aux autres organismes lchelle nationale et internationale et rester toujours un modle et une rfrence pour les autres. Aujourdhui, leffet de la rflexion humaine est de plus en plus important dans le domaine de la scurit, ce qui laisse les spcialistes en scurit affirmer que "La scurit cest 75% de savoir tre et de savoir-faire et 25% de matriel ", atteindre ses objectifs en matire de scurit dpend essentiellement du facteur humain et de la culture de lorganisme. Leffort quexige le sujet de la scurit na jamais t priodique ou temporaire, mais cest un effort continu qui doit dpasser le fait de prendre des mesures pendant une priode limite pour devenir une approche long terme et une vraie culture inculque dans les bonnes habitudes des individus et des organismes concerns.
76
2012 - 2013
Bibliographie
77
2012 - 2013
1 :http://www.pommef.com/audit-informatique-Macintosh-paris.html 2 :http://users.polytech.unice.fr/~hugues/GL/Norme/norme.html 3 :http://www.blog.saeeed.com/2012/11/implementation-et-mise-en-oeuvre-de-lanorme-iso-cei-27001/ 4 :http://cisco.goffinet.org/s2/methode_diagnostic#.UpXKE9JHR-s 5 :http://www.arkeia.com/fr/products/arkeia-network-backup/backupagent/directory-server-agents/active-directory-agent 6 : http://www.ansi.tn/fr/presentation_agence/cadre_juridique.html 7 : http://nmap.org/ 8 :http://www.ehacking.net/p/backtrack-5-tutorial.html 9 : http://www.networkview.com 10 :http://www.cyberinfos.net/modules.php?name=Forums&file=viewtopic&t=59&view=previous 11 :http://www.securiteinfo.com/conseils/portstroyens.shtml 12 :http://forum.cigiema.fr/t235-Les-Ports-Reseaux.html http://www.nessus.org/products/nessus
78
2012 - 2013
Annexes
79
2012 - 2013
N (en cours) N N
N N N N
N N
80
2012 - 2013
Est-ce que le processus de revue est dclench suite des changements affectent le recensement du risque tel que : Des incidents de scurit grave Nouvelle vulnrabilits Changement dans lorganigramme Inefficacit des mesures mises en place Evolutions technologiques Lorganisation et la gestion de la scurit sont-elles formalises dans un document chapeau couvrant lensemble du domaine pour le projet ? Une dmarche de certification iso 27002 a-t-elle t prvue pour le projet ? 2. Organisation de la scurit de linformation Quelles sont les fonctions dfinies dans la politique de scurit ? Directeur responsable de la scurit gnrale Responsable spcialiste de la scurit physique Responsable spcialiste de la scurit fonctionnelle et informatique Les objectifs de scurit sont ils identifis, intgrs la politique globale de lorganisme, et sont ils en concordance avec les objectifs de lorganisme ? Les rgles de scurit prcisent t-elles une dfinition claire des tches, rles spcifiques affectation des responsables de scurit de linformation ? Existe t-il une coordination de lexcution des tches de scurit des diffrentes entits en charge de la scurit de linformation au sein lorganisme ? Les informations confidentielles protger sont elles identifies ? Existe t-il une politique de rvision et de documentation de la politique dorganisation de la scurit en vue de la mettre jour ou niveau ? Existe-il un comit de scurit du SI ? Existe-il un RSSI dans le site, avec une fiche de poste, ainsi quune dlgation formelle mentionnant ses attributions et ses moyens dactions ? Lentreprise entretien t elle des relations en cas de besoin avec : Des spcialistes indpendants Des partenaires Des autorits publiques Aucune relation Lentreprise entretien t elle des relations en cas de besoin avec : Audit externe Audit interne Aucun Lentreprise dispose t elle dun mcanisme qui permet : Didentifier les accs De classer les accs De savoir les raisons daccs
N N N
N N O
N N N (en cours) O O
81
2012 - 2013
Aucun Y a-t-il un contrat qui stipule les conditions daccs et les recours en cas de panne lors des accs par des tiers ou des sous traitants ? Les risques dus aux effets externes sont ils identifis ? En cas dexternalisation lentreprise prcise t elle dans un contrat les clauses relatives : La scurit des valeurs de lorganisation La scurit physique Lexistence dun plan de secours Aucun Avez-vous appliqu une dmarche mthodologique danalyse et de gestion des risques SSI ? Lorganisation de la scurit est-elle formalise dans un document ? Une politique de confidentialit a-t-elle t labore dans le cadre de ce projet ? Des rvisions priodiques de la mise en uvre de la gestion de la scurit sont-elles prvues ? 3. Gestion des biens Existe-t-il un inventaire des biens du projet ? Existe-t-il une classification des biens par rapport leurs critres de sensibilit (en termes de disponibilit, dintgrit et de confidentialit) ? Les actifs de lorganisme sont ils identifis rpertoris ? Est-ce quon a prvu une classification des informations selon leur importance ? A chaque actif est-il associ un propritaire qui doit en assurer galement la responsabilit ? Quelles sont les valeurs critiques de lentreprise ? Les personnes Le matriel Les logiciels Les donnes Les services Les sous rseaux Limage de marque et rputation Lentreprise procde t elle rgulirement un inventaire de ces avoirs ? Existe-il des fiches concernant les mouvements ? (date dentre, date de sortie, date de mouvement, destination, provenance) Les informations sensibles bnficient elles des procdures dfinissant leurs conservations ou destruction ? Le matriel informatique est-il inventori par un lment identifiable et unique ? (ex : n de srie ? Le matriel en prt est-il clairement identifi sur linventaire ? (nom de la
O N N
N N N N
O O N O O 82
2012 - 2013
personne ayant fait lemprunt) Existe-t-il un stock inventori dquipements et de pices dtaches de secours ? Les logiciels installs ont-ils tous une licence dacquisition ? Contrlez-vous si des logiciels autres que ceux de votre inventaire sont installs ? (logiciels pirates) Est-ce quil y a un responsable de la bonne tenue des inventaires ? Existe-il des rgles dutilisation des biens et des services dinformation ? Existe-il une procdure pour la d-classification des biens dinformation ? Existe-il des procdures de manipulation des biens dinfirmation par des personnes externes lorganisation ? 4. Scurit lie aux ressources humaines Le contrat employeur employ tient il compte des responsabilits de lemploy vis--vis de la scurit de lorganisme ? Lorganisme saccorde t-il les moyens de vrifier lauthenticit et la vracit des diplmes et documents fournis par les potentiels futurs employs ? Le personnel est il inform de ces responsabilits vis--vis de la scurit des actifs : Avant lembauche, Pendant la priode de son exercice, Aprs remerciement ? Y a t il une politique de rotation du personnel occupant des taches clefs ? Existe-t-il des sessions dinformation du personnel sur la scurit des systmes dinformation de lorganisme ? Le responsable de scurit est il form aux nouvelles technologies ? Est-ce que le personnel a sign un document de confidentialit des informations lors de lembauche ? Existe-t-il des procdures disciplinaires pour les employs sources de failles de scurit ? Y a-t-il une procdure de revue de ce document, surtout en cas de dpart ou une fin de contrat ? Est-ce que les sous traitants ou le personnel contractuel a sign un document pareil ? Est-ce que tout le personnel est inform vers qui et comment rendre compte des incidents de scurit ? Y a-t-il une procdure dapprentissage des accidents et des failles de scurit ? A-t-on organis rgulirement des tests pour vrifier le degr dassimilation du personnel de la politique de scurit ainsi que sa culture en informatique. 5. Scurit physique et environnementale La situation gographique de lorganisme tient elle compte des risques
N N N O N N N
N O N
N O O N N N N N N N
O 83
2012 - 2013
naturels ou industriels ? Le cblage lectrique est il conforme aux rgles de scurit ? Est-ce quune analyse de risque a t effectue pour valuer la scurit physique de la socit ? Parmi ces procdures quels sont ceux qui figurent dans la protection physique des locaux : Contrles des portes dentre Cltures hautes Attribution des badges Contrle la sortie Camra de surveillance Limitation daccs Est-ce que des mesures de scurit particulire ont t instaures pour le centre informatique ? (si oui commenter...) Par badge . Y a-t-il une rglementation spciale contre le fait de fumer, boire, et manger dans les locaux informatiques ? Existe-il une protection de cblage informatique et de tlcommunication lgard des risques lectrique ? (variation de tension) Les quipements acquis suivent ils une politique de maintenance ? Existe-t-il un systme de protection contre les coupures et les micros coupures ? Si oui lesquels ?.............................................Onduleurs Existe-t-il un systme de climatisation conforme aux recommandations du constructeur ? Existe-t-il un groupe lectrogne pour les coupures de longue dure ? Y a-t-il une procdure de crise en cas de long arrt ? (favoriser quelques machines sur dautres) Quelles mesures de scurit contre lincendie figurent parmi ces mesures : Existence dun systme de dtection automatique dincendie pour lensemble de btiment Existence dun systme dextinction automatique pour les salles dordinateur Existence dextincteurs mobiles Existence des meubles rfractaires pour le stockage des documents et des supports informatique vitaux
84
2012 - 2013
Formation et information du personnel Visite des pompiers pour prendre connaissance de la configuration des locaux A-t-on prvu des systmes dvacuation en cas dincendie ? Est-ce que vous tes assur que leau ne peut envahir les locaux ? Est-ce quun systme de dtection deau est instaur ? Est-ce quun systme dvacuation deau est instaur ? Existe-t-il une documentation lie la scurit physique et environnementale ? 6. Gestion des communications et de lexploitation Est-ce quil y a des procdures formelles pour les oprations dexploitation : backup, maintenance et utilisation des quipements et des logiciels ? Existe-t-il une distinction entre les phases de dveloppement, de test et dintgration dapplications ? Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers, cheval de Troie,.) ainsi quune mise jour priodique et constante de ces derniers ? Est-ce quil y a des procdures formelles pour la prvention contre la dtection et la prvention contre les logiciels malicieux ? Y a-t-il une procdure dfinie pour la gestion des incidents ? Est-ce que le backup est priodiquement effectu ? Est-ce quil y a des recommandations crites interdisant : lutilisation des logiciels sans licence et le non respect des droits dauteur ? Y a-t-il des procdures crites pour la gestion des supports dtachables ? Y a-t-il une politique prcise pour se dbarrasser des documents ? Y a-t-il une politique de scurit pour email ? Existe-t-il un systme antiviral contre les virus et les vers ? Est-ce que lantivirus est rgulirement mis jour ? Existe-t-il une mise jour contre les programmes malveillants ? Lchange dinfirmations sur le rseau ainsi que les transactions en ligne sont elles scurise ? Avec quel mcanisme de scurit ? Droit daccs
O O N N N
N N O
Existe-t-il une DMZ qui se distingue parfaitement du rseau interne de lorganisme ? 7. Contrle daccs A-t-on prvu de protection logique pour les ressources informationnelles
O 85
2012 - 2013
vitales ? Les accs aux locaux (sensibles ou pas) sont ils contrls, enregistrs et analyss travers des logs ? Existe-t-il une politique qui hirarchise les autorisations daccs ? Un ancien employ perd t-il ces droits daccs aux locaux et aux informations sensibles de lorganisme ? Laccs distant (logique) au rseau informatique est-il protg ? Par quel quipement ou outil ou mcanisme ? Laccs au systme est il contrl par un dispositif didentification et dauthentification ? Existe-t-il un dispositif de revue des droits daccs des intervalles rguliers ? Est-ce que les terminaux sensibles sont quips dun conomiseur dcran avec mot de passe ? Est-ce que les utilisateurs verrouillent leur session de travail avant de quitter leur poste de travail mme pour quelques instants ? Les mots de passe sont-ils affects individuellement ? Y a-t-il des conditions respecter lors du choix des mots de passe (ex : min 6 caractres) ? Un ancien employ perd t-il ces droits daccs aux informations et locaux ? Y a-t-il une suite aux tentatives daccs infructueuses ? A- t-on prvu des limitations contre : Lutilisation des applications Le tlchargement dapplication Lutilisation des disquettes, CD 8. Dveloppement et maintenance des systmes Existe-t-il des procdures de validation des changements raliss sur les programmes ? La garantie de la confidentialit, lauthenticit et lintgrit de linformation seffectue-t-elle au moyen de signature lectronique ou de cryptographie ? La scurit de la documentation du systme dinformation est elle assure ? Est-ce que les programmes sont contrles contre les portes drobs et chevaux de trois ? Existe-t-il des procdures de contrle pour les logiciels dvelopps en soustraitance ? Sassure-t-on que lquipement acqurir rpondra aux besoins exprim ? Sassure-t-on de la non rgression de service lors du dveloppement ou de lintgration des nouveaux services ? Existe-t-il une politique de maintenance priodique et assidue des quipements ? 9. Gestion des incidents
O N O
O N N O ? O N O O N
N O N O N O N N
86
2012 - 2013
Existe-t-il une politique de gestion des incidents ? Les potentielles faiblesses descelles font elles objet de rapport complet et dtaill ? La rsolution des incidents se fait elle de faon cohrente ? Existe-t-il un rapport dtaill des incidents qui surviennent ? Existe-t-il une politique de rparation des responsabilits en cas dincident ? Les actions entreprendre pour la rsolution des incidents sont elles dfinies ? Les employs sont ils informs du comportement avoir en cas dincident ? 10. Gestion de la continuit dactivit Est-ce que lorganisme a dvelopp un plan de secours ? Existe-t-il un plan stratgique bas sur une analyse du risque dtaillant le plan durgence ? Les donnes sauvegardes sont-elles mise jour priodiquement ? Est il dfini des critres spcifiant les ayant accs ces donnes ? Existe-t-il une politique de sauvegarde dautres actifs de lorganisme ? Existe t-il une (des) alarme(s) pour lavertissement lors daccs aux actifs sensibles en dehors des heures de travail ou en cas daccs non autoriss? Y a-t-il des plans crits et implments pour restaurer les activits et services en cas de problmes ? Existe-t-il des mesures de sauvegarde des actifs (donnes sensibles), ainsi que de leur protection ? Si oui sur quel support ? Disque, CD En cas de changement dquipe de travail, la continuit de service est elle assure ? Est-ce que les plans sont tests et maintenus par des revues rgulires ? 11. Conformit Est-ce que chaque systme dinformation les exigences lgales, rglementaires et contractuelles sont explicitement dfinies et documents ? Existe-t-il un contrle de la conformit technique ? Les rgles de scurit appliques restent elles conforment une norme particulire ? Existe-t-il une procdure dfinissant une bonne utilisation des technologies de linformation par le personnel ? Est-ce que des procdures sont mises en place pour sassurer du respect de la proprit intellectuelle ? Est-ce que les enregistrements importants de lorganisme sont protgs de la perte, la destruction et falsification ? Est-ce que lentreprise est conforme aux lois en vigueur concernant le chiffrement ?
N N N N N N N N N O O N N N O O O N N N N N
N O O
87
2012 - 2013
Les logicielles utilises bnficient ils de licence dexploitation ? Les rgles de scurit appliques restent elles conforment la lgislation en vigueur ? Existe-il une procdure daudit interne et rgulier de lorganisme ? Les rgles de scurit appliques restent elles conforment une norme particulire ? Le droit la proprit intellectuelle et la protection des donnes personnelles sont-ils prservs ? Les audits externes sont-ils effectus et planifis priodiquement ?
O O O N N O
88
2012 - 2013
O O TOUS
O O O N O O O 89
2012 - 2013
Existe-t-il des statistiques sur lusage du firewall ? Evaluation/ test de vulnrabilit Existe-t-il une procdure de test des vulnrabilits du firewall (priodique) ainsi que des essais de test de pntration (rsistance du systme face aux attaques) ? Existe-t-il un rapport qui prsente lhistorique des incidents survenus au niveau du firewall (crash, violation des ACLs) Disponibilit Y a-t-il un secours automatique pour le FW primaire ? Le groupement de firewall assure t-il la haute disponibilit et rpartition de charge ? Le firewall est-il ondul ?
O N
O O O
90
2012 - 2013
Cliquez sur le nud Rles (1) puis sur Ajouter des rles (2)
91
2012 - 2013
Lassistant dajout de rles apparait. cliquez sur Suivant Slectionnez Services de domaine Active Directory
Lassistant vous propose dajouter les fonctionnalits du .NET Framework 3.5.1 acceptez lajout en cliquant sur Ajouter les fonctionnalits requises
92
2012 - 2013
La case Services de domaine Active Directory est bien coche cliquez sur Suivant Cliquez sur Suivant Une fentre de rcapitulatif apparait, vrifiez vos paramtres et cliquez sur Installer
Lassistant dajout de rle a bien install les services de rle mais le serveur nest pas pour autant passer en contrleur de domaine. Pour cela, nous devons cliquez sur: lancez lassistant Installation des services de domaine Active Directory (dcpromo.exe)
93
2012 - 2013
Cliquer sur Excuter lassistant Installation des services de domaine Active Directory (dcpromo.exe).
94
2012 - 2013
Nayant actuellement aucun domaine, cochez la case Crer un domaine dans une nouvelle fort (1) afin de crer ce dernier, ensuite cliquez sur Suivant (2). Attention toutefois ne pas crer un nouveau domaine dans une nouvelle fort si vous tes dj dans un domaine. Le risque tant de tout lessiver sur votre domaine existant
On insert un nom et le systme vrifie si il existe ou non Dfinissez votre nom de domaine (1) puis cliquez sur Suivant (2) Dans le cadre de ce tutoriel, jutiliserai MTIC.tn
95
2012 - 2013
Nous allons en profiter pour ajouter le rle de serveur DNS notre serveur Si elle ne lest pas, cochez la case Serveur DNS puis cliquez sur Suivant
96
2012 - 2013
Paramtrage dadresse IP
97
2012 - 2013
98
2012 - 2013
Voici le rcapitulatif de vos paramtres, cliquez sur Suivant Linstallation est en cours.. Patientez un moment Linstallation est maintenant acheve, cliquez sur Terminer
99
2012 - 2013
100
2012 - 2013
101
2012 - 2013
Cliquez suivant
2012 - 2013
Vrification pour dterminer si la console de gestion des stratgies de groupe doit tre installe
103
2012 - 2013
Recherche dun contrleur de domaine pour le domaine MTIC.TN qui contient le compte SRVAD1
2012 - 2013
Dfinition de la scurit sur le contrleur de domaine.des fichiers Active Directory et des cls du Registre. 105
2012 - 2013
Protection de c:\windows\systeme32\spool
Protection de SamSs
Protection de kerberos
106
2012 - 2013
Installation termin
Redmarrage de lordinateur
107
2012 - 2013
Les tests
On va crer un nouveau utilisateur, cliqu sur BSI-nouveau-utilisateur
On va remplir le formulaire
2012 - 2013
Le serveur DNS fonction convenablement .il peut rsoudre dans les deux sens du nom BIOS l@ IP et de l@ IP au nom BIOS
109
2012 - 2013
110
2012 - 2013
*Empcher laccs au panneau de configuration : Cliquer sur Configuration utilisateur-stratgies-modles administrationpanneau de configuration
111
2012 - 2013
Rsultat : imprime cran de lordinateur de lutilisateur ayari amani -avant lapplication de la stratgie
**Empcher laccs au Gestionnaire des tches Cliquer sur configuration utilisateur-stratgies-systme-option Ctrl-Alt-Suppr Supprimer le Gestionnaire des tches.
112
2012 - 2013
Rsultat : -avant
113
2012 - 2013
Rsultat : -avant
et
Accs refus
114