NetSec Compétence

MImp

PréAb

SoEl

« R

Misplém

ésenté pabdelhafid

ous la dirl hassan A

02

Soutenu l

LA LIRéseaux,

Devant le

Mr My A

Mr My M

Mr El has

sionenta

ar : d BERRO

rection dABDELW

Période

2/05/2011 –

le 30 juin 20

MémoirPrésen

CENCE é Sécurit

e jury :

Ahmed EL K

Mehdi BOUH

ssan ABDE

n d'ation

OUKHAM

e : WAHED

UFD

de stage

– 26/06/201

011

re de fin nté pour o

PROFESet Systèm

KIRAM

HAMIDI

ELWAHED

audide la

M

D

UNIVERSIFaculté deDéparteme

M

1

d’étudeobtenir

SSIONNmes Info

Année un

ITE CADI

it séa norm

s Science ent d’info

Marrakech

NELLE ormatique

niversitaire

I AYYADSemlaliarmatique

h

écurme IS

es »

e : 2010/201

ritéSO 27

D

11

Maitre dDROUIL

7001

de stage : LLET Be

1

etty

Rapport de stage : Implémentation de la norme ISO 27001 LPR2SI

2 Abdelhafid BERROUKHAM

On Dédie ce modeste travail à :

Mes chers parents pour leur soutient et leurs

efforts pour me pousser à construire mon future

Mes chers frères et sœur

Aux personnels de NetSec

Mes professeurs

Tous mes amis



Au moment ou s’achève ce mémoire, je me dois de témoigner de ma sincère gratitude et de mon profond respect à Madame DROUILLET Betty, directrice de NetSec Compétences pour m’avoir permis de participer à ce projet et d’ avoir assuré un encadrement de qualité tout a long de sa réalisation.

Mes remerciement les plus chaleureux s’adressent également au professeur El hassan ABDELWAHED, qui a assuré la codirection de ce mémoire, ses remarques objectives et constructives et sa grande disponibilité sont des atouts qui m’ont permis de réaliser ce travail.

je tiens également à remercier le professeur My Ahmed EL KIRAM responsable de cet Licence professionnelle de m’avoir accueilli pour la poursuite de cette formation.

Mes remerciement au corps professoral de Licence Professionnelle Réseaux, Sécurité et Systèmes Informatiques pour leur disponibilité à nous offrir cette formation de base durant ces deux années.

J’adresse mes plus sincère remerciement aux membres de jury d’avoir accepté mon travail.

Mes remerciement vont enfin à tous mes collègues, et étudiants pour toutes les expériences qu’ensemble avons vécues et qui, d’une manière ou d’une autre, ont constitué un environnement favorable à la réalisation de ce travail.



Table des illustrations

Figure 1 – Initiative des grands compte orientées vers l’ISO 27001

Page 16

Figure 2 - Liste des principales normes publiées et en travaux

Page 16

Figure 3 - cycle de progrès PDCA

Page 18

Figure 4 - Principales méthodes d’analyse des risques

Page 19

Figure 5 - Schéma général de la méthode Mehari

Page 21

Figure 6 - Extrait de plan d’exécution de la mission

Page 24

Figure 7 - répartition des taches de la mission

Page 26

Figure 8 – Diagramme de gant de la mission

Page 26

Figure 9 – Etapes de la méthode MEHARI

Page 30

Figure 10 : Grille d’évaluation du niveau de risque

Page 33

Figure 11 : Classification des valeurs de l’entreprise

Page 34



Table des matières Dédicace ............................................................................................................................ 2

Remerciement ................................................................................................................... 3

Table des illustrations ....................................................................................................... 4

Table des matières ............................................................................................................ 5

Introduction ....................................................................................................................... 7

Chapitre I : Présentation de l’entreprise NetSec Compétences

I.1 L’entreprise NetSec Compétences .................................................................................. 8

I.1.1 Présentation .......................................................................................................................................................... 8

I.1.2 Prestation ............................................................................................................................................................... 8

I.1.3 Partenaire ........................................................................................................................................................... 10

I.2 Services de L’entreprise ............................................................................................... 10

I.2.1 Conseil .................................................................................................................................................................. 10

I.2.1.1 Conseil en sécurité ........................................................................................................................................ 10

I.2.1.2 Conseil en réseau ........................................................................................................................................... 12

I.2.2 Intégration & Ingénierie ................................................................................................................................... 12

I.2.2.1 Intégration et ingénierie en sécurité ............................................................................................................... 13

I.2.2.2 Intégration et ingénierie Réseau .................................................................................................................... 13

I.2.3 Formation ............................................................................................................................................................ 14

CHAPITRE II : Mise en place d’une démarche sécuritaire

II.1 La norme 27001 ........................................................................................................... 15

II.1.1 Définition ...................................................................................................................................................15

II.1.2 L’ISO 27001, 3 ans après sa publication .....................................................................................................15

II.1.3 L’ISO 27001, un SMSI basé sur 4 principes fondamentaux .........................................................................17

II.2 Principales méthodes d’analyse des risques ................................................................ 19

II.2.2 Comparatif des méthodes ...........................................................................................................................19

II.2.3 Présentation des principales méthodes .......................................................................................................20

II.3 La méthode MEHARI ........................................................................................................................... 21

II.3 Logiciel RISICARE ................................................................................................................................ 22



CHAPITRE III : Travaux effectués III.1 introduction ............................................................................................................... 23

III.2 Présentation de Menara préfa .................................................................................... 24

III.3 Description de projet .................................................................................................. 25

III.4 Déroulement de stage ................................................................................................ 25

III.5 Validation de l’approche proposée ............................................................................ 30

III.5.1 Les phases de la méthode MEHARI ............................................................................................................30

III.5.2 Plan stratégique de sécurité .......................................................................................................................31

III.5.2.1 Métrique des risques et objectifs de sécurité .............................................................................................. 34

III.5.2.2 Valeurs de l’entreprise : classification des ressources ............................................................................... 37

III.5.2.3 Charte de management ............................................................................................................................... 37

III.5.3 Plan opérationnel de sécurité ....................................................................................................................37

III.5.3.1 Préliminaires .............................................................................................................................................. 37

III.5.3.2 Audit de l’existant ...................................................................................................................................... 39

III.5.3.3 Evaluation de la gravité des scénario ......................................................................................................... 40

III.5.3.4 Expression des besoin de sécurité .............................................................................................................. 41

III.5.4 Plan opérationnel d’entreprise ..................................................................................................................42

III.5.4.1 Choix d’indicateurs représentatifs .............................................................................................................. 43

III.5.4.2 Elaboration d’un tableau de bord de la sécurité de l’entreprise ................................................................. 43

III.5.4.3 Rééquilibrage et arbitrage entre les unités ................................................................................................. 43

III.5.4.4 Synthèse ..................................................................................................................................................... 44

III.6 Audit technique ......................................................................................................... 44

III.6.1 Audit des routeurs ....................................................................................................................................46

III.6.2 Audit des switchs ......................................................................................................................................47

III.6.2 Audit des firewalls ....................................................................................................................................48

III.6.2 Recommandations ....................................................................................................................................48

Conclusion générale et perspective .................................................................................. 50

Glossaire .......................................................................................................................... 51

Bibliographie/Webographie .............................................................................................. 52

Annexe .............................................................................................................................. 53



Introduction

L'informatique est devenue un outil incontournable de gestion, d'organisation, de production et de communication. Le réseau informatique de l'entreprise met en œuvre des données sensibles, les stocke, les partage en interne, les communique parfois à d'autres entreprises ou personnes ou les importe à partir d'autres sites. Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité.

Il est donc impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur, de retirer aux données leur caractère électronique et confidentiel. Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes de malveillance dont la nature et la méthode d'intrusion sont sans cesse changeantes. Les prédateurs et voleurs s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient l'entreprise à l'extérieur.

La sécurité du système d'information d'une entreprise est un requis important pour la poursuite de ses activités. Qu'il s'agisse de la dégradation de son image de marque, du vol de ses secrets de fabrication ou de la perte de ses données clients ; une catastrophe informatique a toujours des conséquences fâcheuses pouvant aller jusqu'au dépôt de bilan. On doit réfléchir à la mise en place d'une politique de sécurité avant même la création du réseau. Cependant , la sécuri té des SI est souvent oubliée ou établ ie à postériori .

En ce qui concerne les normes de sécurité des SI, la famille de normes ISO 27000 constitue un véritable espoir pour les RSSI dans la mesure où elle apporte une aide indéniable dans la définition, la construction et la déclinaison d'un SMSI efficace à travers une série de normes dédiées à la sécurité de l'information.



Chapitre I : Présentation de l’entreprise NetSec Compétences I.1 L’entreprise NetSec Compétences I.1.1 Présentation

NetSec Compétences est une société de service spécialisée dans le domaine de l'infrastructure Système et Réseaux ainsi que dans le développement et l'intégration de solutions informatiques, le conseil et l'assistance dans la gestion des projets NTIC, des architectures, de la qualité de service et la sécurité des réseaux et systèmes.

Leur objectif est de jouer un rôle majeur dans l'industrie des technologies de l'information, et accompagner leur clients et partenaires en étant à leur écoute, et en mettant à leur disposition son expertise dans le respect des standards de qualité.

Les prestations qu’il délivre entrent dans le cadre de missions de service, de contrats de support technique ou de prestations de formations.

Créée en 2010 et basée à Marrakech, NetSec Compétences est représentée à l'échelle nationale et internationale. Elle est spécialisée dans le domaine des

• prestations et services NTICs • Services après-vente (à SLAs adaptés) • Pré-études et Optimisation d'OPEX/CAPEX des projets • Commercialisation et mise en place des solutions(matérielles et logicielles) réseau, système et sécurité • Formation.

A travers leur différentes prestations, il vise la contribution, d'une part, au développement des

connaissances et des compétences dans le domaine des NTICs et d'autre part, participer à la consolidation des acquis en matière d'ingénierie des réseaux de nouvelles générations.

NetSec Compétences prend en charge les projets clé-en-main de la phase d'acquisition jusqu'à l'implémentation.

NetSec Compétences possède une organisation modulaire apte à assurer une meilleure qualité de travail et de communication envers ses clients.

I.1.2 Prestation

Les prestations de NetSec Compétences sont autour de deux axes majeurs : les services et les produits

Comme indiqué dans la figure ci-dessous, les principaux services de NetSec Compétences sont organisées autour de cinq axes principaux :

1. La pré-étude et étude de problématiques liés à la sécurité et QoS des réseaux et des systèmes, aux réseaux, et aux systèmes informatiques

2. L'ingénierie des réseaux de communication

3. Le conseil dans nos domaines de compétences

4. La mise en place et l'intégration de solutions

5. La formation NTICs.



Dans le domaine de la sécurité par exemple, il assure des missions du type :

Audits Analyse des Risques Certification et Accréditation Tests d'intrusion Plan d'action Sécurité Conseil et Proposition de solutions adaptées Mise en œuvre & sécurisation Réseau et Parc Informatique

Il propose des solutions adaptées pour :

L'authentification Le contrôle d'accès La détection et prévention d'intrusion La redondance et la diversification La sauvegarde et le stockage La sécurité des e-mail La sécurité des serveurs La sécurité des transactions et des applications Web La segmentation VLAN, la mise en place de VPN

En ce qui concerne les services d'ingénierie des réseaux de communication, il assure des missions du type :

Audits Qualité de service IP Fondamentaux ITIL Elaboration SLA Gestion SLA Dimensionnement Planification Ingénierie VoIP Optimisation IP/3G/UMTS/CDMA 2000 Gestion et Administration

Leur solutions concernent essentiellement des services :

DNS Mail DHCP haute disponibilité Routage IP Commutation IP VoIP et QoS

Leurs prestations de formation visent :

La contribution au développement des connaissances et des compétences dans le domaine des NTICs

La participation à la consolidation des acquis en matière d'ingénierie des réseaux de nouvelles générations.



Leur solutions sont en totale concordance avec leur domaines de compétences (Sécurité & QoS, Réseaux, Systèmes) et comprennent entre autres, des modules complémentaires traitant des technologies utilisées aux niveau :

des réseaux d'accès filaires et radio (ADSL, Ethernet, des réseaux de transport (ATM, MPLS, WDM,..) des services réseaux (VoIP, IPTV, VPN-IP, …) de la relation usager- réseau (SLM, SLA, ITIL,…) des différentes facettes de la sécurité des réseaux et des systèmes

I.1.3 Partenaire NetSec-Compétences a développé un réseau de partenaires pour capitaliser sur leurs expériences et leurs expertises.

Leurs partenaires internationales sont :

• ASSIA, leader mondial des solutions DSL • IXIA , leader incontestable des tests (robustesse, sécurité, etc.) des réseaux à base d'IP et réseaux de

nouvelles génération.

I.2 Services de L’entreprise I.2.1 Conseil

I.2.1.1 Conseil en sécurité

NetSec Compétences propose des actions audit et de conseil adaptés à l’organisme. Ces actions sont à la fois de nature pratique (tests d'intrusions) et organisationnelle (application de méthodes normalisés d'analyse des risques et d'identification d'objectifs de sécurité).

Tests d’intrusions

Lors des tests d'intrusions, leur équipes effectuent des tests pratiques, à l'aide d'outils et logiciel de pointe, afin d'identifier les vulnérabilités de votre réseau et système. elle vous fournisse, à l'issu, un rapport détaillé :

• identifiant avec précisions l'ensemble des failles résidant notamment dans les systèmes d'exploitation, les mots de passes, les logiciels et applicatifs utilisés, les piles protocolaires, les configurations hardware et logiciels, les serveurs, etc.

• présentant un plan d'action précis à mettre en œuvre afin de corriger les vulnérabilité et faire face aux attaques éventuels.

http://www.assia-inc.com/

http://www.ixiacom.com/

http://www.netsec-competences.com/conseil.htm



Audits organisationnels

L'audit organisationnel de la sécurité peut s'appliquer à toute ou une partie de système, existant ou à concevoir. Il vous permettra de :

• déterminer avec précision les besoins en terme de sécurité de l’entreprise, • d'identifier les risques (avec les impacts) éventuels et de définir les objectifs et fonctionnalités de

sécurité qui doivent être déployés au niveau de l’entreprise. • Spécifier et mettre en œuvre une politique de sécurité adaptée à l’organisme.

Un rapport détaillé de la couverture et hiérarchisation des risques sera également présenté. Il contiendra notamment la justification des mécanismes de sécurité à mettre en place pour satisfaire les besoins, pallier les risques et se conformer aux meilleures pratiques et normes internationales.

En effet, leurs équipes de sécurité sont spécialisés dans l'application de méthodes normalisés d'analyse des risques, notamment:

• ISO 27005 • MEHARI • EBIOS • Critères commun pour l'évaluation de la sécurité des S (ISO/IEC 15408), etc.

Tests de sécurité et QoS

Par ailleurs, que ce soit à travers des audits organisationnels ou test d'intrusions, elle propose également une panoplie de tests, notamment de :

• performances, • Qualité de service (QoS) • architectures réseau et système • configurations matériels et logiciels

Ces tests ont pour vocation de conseiller les meilleurs mécanismes de sécurité et de QoS à mettre en place au niveau de réseau et système de l’entreprise.

Veille en sécurité

leurs consultants, experts de renommée mondiale, sont membre de réseaux mondiaux de détection des vulnérabilités, de résolution d'incidents concernant la sécurité des systèmes d'information (SSI) et d'aide à la mise en place de moyens permettant de se prémunir contre de futurs incidents.

Elle met ainsi à votre dispositions leurs compétences de veille en sécurité afin de l’ informer à l'avance de toute attaque éventuelle ou mesure de sécurité à déployer.

Dans le même sens, leurs équipes peuvent aider l’entreprise à identifier les origines et causes d'éventuels attaques et agressions logiques auxquelles l’entreprise à déjà fait face.



I.2.1.2 Conseil en réseau

Le secteur des Réseaux et Télécommunications est un large domaine mettant en jeu divers types de technologies et de concepts. En effet, la convergence des concepts que connait le domaine des réseaux a un impact direct sur les technologies actuellement utilisées par les entreprises. De ce fait, tout entreprise visant l'optimisation de ses investissements doit impérativement être accompagné dans vos choix stratégiques et techniques.

Dans ce contexte, NetSec Compétences se propose de :

• Apporter un regard extérieur, exhaustif, expérimenté et objectif, • Fournir l'état de l'art des technologies et concepts Réseaux et télécom, • Etablir l'état des lieux de vos infrastructures et services réseaux • Identifier vos éventuels besoins, • Aider à spécifier avec pertinence lesdits besoins, • Doter des pré-requis nécessaires à la négociation de vos contrats de niveau de service (SLA) • vous aidez à choisir la meilleure offre : rapport Prix / Qualité / Sécurité.

Les experts de NetSec compétences partagerons leurs expertises avec les entreprises dans les domaines suivants :

• Audit et évaluation des performances d’infrastructures réseaux et télécoms, • Recherche de solutions de réduction des coûts, • Aide à l'élaboration des spécifications techniques des projets d'évolution des réseaux locaux et

d'interconnexion de sites (LAN, WAN, WLAN, MAN), • Aide à la migration des solutions vers la Technologie IP, • Aide à l'ingénierie de mise en œuvre de solutions de communication sur IP (VoIP, ToIP, IPCentrex), • Aide à la mise en place d'un plan d'évolution vers les réseaux de convergences, • Aide au choix des technologies d'optimisation des ressources WAN, • Aide au choix des technologies d'accélération d'application.

I.2.2 Intégration & Ingénierie

I.2.2.1 Intégration et ingénierie en sécurité

NetSec Compétences propose des Pack-sécurité permettant de protéger les entreprises contre tout type d'attaques éventuelles :

• virus, vers, trojans et autres malwares • menaces réseau et web, • menace mail et spams, • portes dérobés (backdoors), Root kits, • etc.



Chacun de leurs pack-sécurité regroupe des solutions complémentaires et compatibles des meilleurs éditeurs du marché notamment :

pour les anti-virus et autres malwares : Kaspersky, Symantec, McAfee, BitDefender, Panda Security, Nod32, Trend Micro, Sophos, Avg, Avast, Dr Web, Computer Associate, Aladdin, Norman, Frisk Software, Proland, Hauri Inc, Authentium Inc, Gdata Software, EScan, GFI, Fortinet, F-Prot et aussi Lumension device control, …

pour les solutions de pare-feux : firewalls CISCO (ASA, PIX), Netasq, CheckPoint, Clavister, SonicWall, Fortinet, Panda Security, Kerio, Outpost Firewall, ZoneAlarm, Look and Stop, Kaspersky, BitDefender, Trend Micro, IPBrick, Cisco, Netgear, Belkin, Zyxel, DrayTek, Barracuda, WatchGuard, PineApp, McAfee, Array Networks, Astaro Security, Cyberoam, Netfense de phion, Cyberprotect, NetClarity, …

pour les solutions anti-spam : Kaspersky, IronPort, BitDefender, Panda Security, Vade Retro, GFI MailEssentials, GFI MailSecurity, Aladdin, IPBrick, Fortinet, MailWatcher, Optenet, AltoSpam, SpamWeed, Spamhibian, Sophos, DataSwift, Computer Associate, Intego Internet Security Barrier, Commtouch, Clearswift

Pour les solutions d'authentification, d'autorisation et de journalisation : Active Directory, LDAP, Kerberos, Radius, Diameter, ...

Pour les systèmes de détection d'intrusions : Snort, AirDefense, Kismet, ... Pour les solutions de supervision : SNMP, Nagios, Zabbix, HP openView, MRTG, Centreon,

Vigilo, ... pour les solutions de virtualisation : Microsoft, Linux, Ubuntu, RedHat, Mandriva, CentOS,

VMware, VirtualPC, CommonIT, Clearswift, Astaro, THInstall, Virtual bridges pour les solutions de chiffrement et/ou signature électronique : SecuStar, PrimX, PgP, SafeBoot,

Security BOX, PointSec, DigitalPersona, ActivCard, IronKey, Stealth MXP, Outbacker MXP, Flagstone, InfoGuard, OpenTrust Crypt & Share, Conformité PCI DSS, PointSharp, NagraID, Aladdin Gamme eToken, OpenTrust PKI, Code Green

pour les solutions de sauvegarde : AdBackup, WooXo, BackupExec, ArceServe, Arkeia...

I.2.2.2 Intégration et ingénierie Réseau

Le secteur des Réseaux et Télécommunications est un large domaine mettant en jeu divers types de technologies et de concepts. En effet, la convergence des concepts que connait le domaine des réseaux a un impact direct sur les technologies actuellement utilisées par les entreprises. De ce fait, tout entreprise visant l'optimisation de ses investissements doit impérativement être accompagné dans les choix stratégiques et techniques.

leurs solutions réseaux sont en totale concordance avec leurs domaines de compétences et comprennent entre autres, des modules complémentaires traitant des technologies utilisées aux niveaux des infrastructures réseaux à savoir :

• des réseaux d'accès filaires et radio (ADSL, Ethernet…), • des réseaux de transport (ATM, MPLS, WDM,..), • des services réseaux (VoIP, IPTV, VPN-IP, …), • de la relation usager- réseau (SLM, SLA, ITIL,…), • des différentes facettes de la Qualité de service et la sécurité des réseaux et des systèmes.

Rapp

Da

GM

I.2.3

Dapermdes pnéces

Ledomaréseaoutreperfo

Sorespe

port de stag

14 Abd

ans ce conte

• L'Etude e• L'Etude e• Le Desig• L'Etude, • L'Etude e• L'Etude e• L'Etude

MPLS,…), • L'Etude, • L'Etude, • L'Etude, • La métr• Mise en œ• Test de v• Test et év• Test de c• Validatio• Test des • Evaluatio

3 Formati

ans l'objectmanente de lprofils d'ingssaire des au

eurs sessionaine des réaux, leurs éve, elles permormances de

on offre dectivement d

• des résea• des résea• des servi• de la rela• de la sécu

ge : Implém

delhafid BE

exte, les exp

et mise en œet la mise engn et l'optimla mise en œ

et la mise enet la mise enet l'intégr

la mise en œla mise en œla mise en œ

rologie desœuvre de so

validation devaluation deconformité don de servicfonctionnalon de la Qo

ion

tif de promla satisfactiogénieurs sputres domai

ns de formseaux. Ellevolutions vmettront l'aes architectu

de formatiodes technolo

aux d'accès aux de transices réseauxation usagerurité et la Q

mentation d

ERROUKHA

perts de Ne

œuvre de Cân œuvre de

misation de pœuvre et opn œuvre de n œuvre de ration des

œuvre de soœuvre de poœuvre de sos réseaux olutions de es Routeur es performades équipemces Multimélités ADSL,E en enviro

mouvoir eton du clienécialisés, dines tangent

mation, appoes feront levers les hauanalyse des ures déjà dé

on qu’elle ogies utilisé

filaires et rasport (ATMx (VoIP, IPTr- réseau (SL

QoS des rése

de la norme

AM

tSec compé

âblages résedessertes p

plans d'adreptimisation dréseaux LAsolutions Vsolutions

olutions de tolitiques deolutions de et l'évaluafiabilisationet des comm

ances de Daments réseauédia, , 2G, 3G, L

onnement m

t renforcer nt et la garade plus en pts à leurs m

orteront dese point sur uts débits et

conséquenéployées.

propose ées aux nive

adio (ADSLM, MPLS, W

TV, VPN-IPLM, SLA, Ieaux et syst

Log

e ISO 27001

étences pro

eaux (téléphar Réseaux

essage IP, de politique

AN, WAN,VLAN, NAC

réseaux à

téléphonie se qualité de communicaation des n de réseau mutateurs IPata center, ux,

TE, et IMS mobile.

une vraieantie de la qplus, dans

métiers.

s connaissales dernier

t le sans-fil,nces de la c

comprend eaux :

L, Ethernet,WDM,..)

P, …) ITIL,…) tèmes

o de la soci

1

oposent des

honiques, Etsans fil (W

es de Routa

C à un envir

sur IP, service,

ations de groperformanADSL, P,

d'un réseau

e culture dqualité de seles technol

ances solidrs développ, les méthocommercial

plusieurs

…)

iété

solutions ré

thernet, banWifi, WiMax

ge,

ronnement

oupe (Multinces réseau

u d'opérateu

de serviceservice, les aogies de po

es, précisespements en des de gestisation de n

modules

éseaux clés

nalisés, fibrex),

de conver

icast, ..), ux.

ur,

s à traversacteurs du mointe et aya

s et synthématière d'

tion et de snouveaux s

complémen

LPR2SI

en main po

e optique)

rgence MP

l'amélioramarché exiant la visib

étiques dan'architecturesécurisationservices sur

ntaires trai

our :

PLS,

ation gent

bilité

ns le e de . En r les

itant



CHAPITRE II : Mise en place d’une démarche sécuritaire

II.1 La norme 27001

II.1.1 Définition :

La norme ISO 27001 publiée en octobre 2005 succède à la norme BS 7799-2. Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations, …). La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini. C'est le modèle de qualité PDCA (Plan-Do-Check-Act) qui est recommandé pour établir un SMSI afin d'assurer une amélioration continue de la sécurité du système d'information.

La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte ou intrusion. Cela apportera la confiance des parties prenantes.

L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer. Plus précisément, l'annexe A de la norme est composée des 133 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001.

Un point a disparu par rapport à la norme BS 7799-2. L’ISO 27001 n’incorpore plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque. En effet, la norme BS 7799-2 est issue d’un organisme britannique où il n’est pas incorrect d’afficher ouvertement la volonté de gagner de l’argent.

II.1.2 L’ISO 27001, 3 ans après sa publication

Fruits de plusieurs années de réflexion au niveau international, les normes de la famille ISO 27000 apportent une aide indéniable dans la définition et la mise en œuvre d’un système de management de la sécurité efficace. En 2005,l’ISO/IEC publie l’ISO27001, la première norme d’une nouvelle famille dédiée à la sécurité de l’information. Avant même que l’ISO ne s’intéresse à la gouvernance de sécurité de l’information, la norme britannique BS7799-2 avait commencé à imposer le concept de certification de l’organisation et de la gouvernance de sécurité du système d’information dans les pays anglo-saxons et en Asie. La reprise de la BS7799-2 par l’ISO/ IEC et la création de l’ISO 27001 permet à ces principes d’obtenir une véritable reconnaissance internationale. Elle marque également la volonté de décliner ces concepts dans un ensemble d’autres normes support, qui viennent apporter des précisions sur les principes clés de l’ISO 27001 (analyse de risques, indicateurs…) ou déclinant le modèle de manière plus précise pour certains secteurs (télécoms, pharmacie…).

Ce sont aujourd’hui les concepts apportés par la norme, tels que la prise en compte systématique des risques et le fameux cycle Plan-Do-Check-Act (PDCA) qui contribuent à faire de cette norme une véritable référence pour les organisations.



Les normes de la famille ISO 27000 arrivent alors que toutes les grandes organisations ont déjà engagé des démarches de sécurisation de l’information. Ces démarches sont plus ou moins avancées selon les cas ou les secteurs d’activité, mais elles évoluent toutes actuellement dans le même sens, avec une profonde transformation du métier de RSSI. D’experts techniques il y a encore quelques années, les RSSI sont en effet devenus des véritables chefs d’orchestre, animant la relation entre les métiers et la DSI. Leur rôle principal est désormais d’organiser, de fiabiliser, de contrôler et de communiquer. Les normes ISO 27000 vont apporter une aide incomparable aux RSSI pour les accompagner dans cette évolution.

Figure 1 – Initiative des grands compte orientées vers l’ISO 27001

Liste des principales normes publiées et en travaux :

Figure 2 - Liste des principales normes publiées et en travaux



II.1.3 L’ISO 27001 : un SMSI basé sur 4 principes fondamentaux

La norme ISO 27001 pose les bases du système de management de la sécurité de l’information (SMSI). Adoptant une approche par processus, la norme met en lumière les meilleures pratiques et surtout les organise dans le temps. Du SMSI en théorie… Clé de voûte de l’initiative 27000, la norme ISO 27001 décrit les exigences nécessaires à la mise en œuvre du Système de Management de la Sécurité de l’Information (SMSI). Le SMSI se définit par l’ensemble des ressources mises en place pour organiser et gérer au quotidien la sécurité de l’information. De manière plus concrète, le SMSI englobe :

o L’ensemble des documents explicitant la gouvernance de sécurité de l’information (politiques, analyses de risques, directives, procédures, manuels utilisateurs…).

o L’organisation associée à la sécurité de l’information (RSSI, correspondants sécurité informatique, correspondants sécurité métier, exploitants, instances de décisions).

o Les infrastructures techniques de sécurité (firewalls, antivirus…). o Toutes les infrastructures mettant en place d’autres mesures de sécurité (contrôle d’accès

physique…). Le SMSI est donc un dispositif global qui régit la manière dont la sécurité de l’information est mise en place. Il est important de noter qu’il est toujours défini pour un périmètre bien déterminé : toute l’entreprise, un métier ou un processus particulier, une application, un centre de production… Le choix du périmètre est un élément clé de la réussite du projet de mise en œuvre.

…au SMSI en pratique La définition du SMSI que nous venons de présenter peut laisser penser que chaque entreprise ayant déjà mis en place des éléments de gouvernance de sécurité de l’information dispose déjà d’un SMSI en bonne et due forme. Mais ce n’est pas vraiment le cas ! L’ISO 27001 impose en effet au SMSI le respect d’au moins quatre principes essentiels qui sont encore rarement mis en place. Ces principes représentent une évolution importante de la manière dont la sécurité de l’information est aujourd’hui prise en compte et formalisée. Et ce sont ces principes qui permettront d’atteindre ce que les approches classiques de la sécurité n’avaient pas pu faire, notamment une véritable efficience, une adéquation entre les coûts et les gains, et si on le souhaite, une reconnaissance externe et interne à travers la certification.

Les quatre principes fondamentaux sont : 1-Le pilotage par les risques

L’ISO 27001 impose l’analyse de risques comme pilier essentiel pour sélectionner et définir les mesures de sécurité à appliquer. Il est donc fondamental de bien prendre en compte cet aspect lors de la mise en place du SMSI. L’analyse de risques permet en effet de justifier la prise en compte ou non de mesures de sécurité, et surtout la manière dont ces mesures seront implémentées.

Et c’est bien un changement majeur par rapport aux pratiques de la dernière décennie ! La politique et les

directives de sécurité ne sont plus là pour présenter comme obligatoire un ensemble de bonnes pratiques conformes à « l’état de l’art », mais bien pour garantir que ces bonnes pratiques permettent de réduire des risques réels et quantifiés.



La méthodologie d’analyse n’est pas imposée mais doit être définie au préalable et répondre à certaines

contraintes : identification des processus et actifs critiques, identification des propriétaires, analyse des impacts, identification des menaces et des vulnérabilités, description et pondération des risques puis validation des risques résiduels.

2 - L’amélioration continue

Comme les systèmes de management de la qualité (ISO 9001) et de l’environnement (ISO 14001), un SMSI ISO 27001 repose sur le cycle de progrès PDCA : Plan, Do, Check, Act, également appelé Roue de Deming.

Figure 3 - cycle de progrès PDCA

Ce cycle vise une amélioration continue reposant sur une logique simple : dire ce que l’on fait, faire ce que l’on a dit, puis contrôler et corriger les écarts. Si la norme 27001 présente le cycle comme séquentiel (schéma ci-dessus), la réalité est différente. Globalement, il est bien sûr nécessaire de créer un cycle de réévaluation annuel pour l’intégralité du SMSI.

Les revues de direction marqueront la finalisation d’un tel cycle, avec la réalisation d’un bilan visant à

évaluer l’efficacité du SMSI mais également à valider les orientations à venir. Mais en complément, la démarche d’amélioration continue doit être aussi appliquée aux processus du SMSI, selon un cycle temporel qui peut potentiellement être différent.

Il peut par exemple être nécessaire de réaliser des bilans intermédiaires sur la gestion des incidents ou

encore de décider la réalisation d’audit sans attendre la fin d’un cycle annuel. Chaque processus peut alors avoir son propre cycle de fonctionnement.

3 - L’implication du management

Le management joue un rôle clé dans le fonctionnement d’un SMSI. Son implication ne se résume pas à un accord officiel pour lancer le projet. Il s’agit d’une interaction bien plus forte car c’est bien le management qui va orienter le SMSI et prendre les décisions relatives aux risques qu’il est prêt à accepter.

Son implication est également essentielle pour réussir les étapes de l’analyse de risques mais également

pour nommer les différents acteurs mettant en œuvre le SMSI et fournir les moyens nécessaires. Le management doit aussi communiquer vers les acteurs du périmètre pour marquer sa volonté de mettre en œuvre cette démarche d’amélioration de la sécurité de l’information.

Le management intervient également dans la durée. Il est l’acteur clé de la revue de direction qui se

déroule a minima annuellement. Cette revue a pour but d’évaluer l’efficacité du SMSI sur la période écoulée, de réévaluer les risques et de décider des orientations pour la période à venir. Les revues sont construites en collectant les éléments issus des différents processus du SMSI puis en réfléchissant aux évolutions à venir. C’est cette étape qui permet l’amélioration continue.



4 - L’approche processus

La norme ISO 27001 préconise que toutes les activités liées au SMSI soient conçues et formalisées sous la forme de processus. Cette approche processus est probablement un des éléments les plus importants de la norme, mais aussi l’un des moins explicités par celle-ci. Les porteurs et acteurs des différentes actions contribuant à la sécurité doivent donc être identifiés tout comme l’enchaînement des actions à mener pour chaque processus de sécurité.

Pour chaque processus, il faudra identifier : • les entrées et les sorties, • les responsabilités et les acteurs, • les différentes étapes, • les contrôles nécessaires, • les indicateurs générés, • les éléments de preuve qui permettront un audit interne ou de certification.

Il est important de préciser ici qu’il s’agit des processus de sécurité de l’information et que la norme ne demande pas de formaliser les processus métiers (au sens ISO 9001). II.2 Principales méthodes d’analyse des risques II.2.1 Comparatif des méthodes

Le tableau suivant liste les principales normes utilisées provenant des organismes de normalisation internationaux ainsi que celles soutenues par le secteur privé ou associatif :

Méthode Création Popularité Auteur Soutenue par Pays Outils

disponibles Etat

EBIOS 1995 *** DCSSI gouvernement France logiciel gratuit

Melisa ** DGA armement France abandonnée

Marion 1980 ** CLUSIF association France abandonnée

Mehari 1995 *** CLUSIF association France logiciel Risicare

Octave 1999 ** Université de Carnegie Mellon universitaire Etats-Unis logiciel payant

Cramm 1986 ** Siemens gouvernement Angleterre logiciel payant

SPRINT 1995 * ISF association Angleterre logiciel payant

BS 7799 *** gouvernement Angleterre

ISO 17799 *** international

ISO 13335 international

ISO 15408 international

SCORE 2004 Ageris Consulting secteur privé France logiciel payant

CALLIO 2001 CALLIO Technologies secteur privé Canada logiciel payant

COBRA 2001 C & A Systems Security Limited secteur privé Angleterre logiciel payant

ISAMM 2002 Evosec secteur privé Belgique

RA2 2000 aexis secteur privé Allemagne logiciel payant

Figure 4 - Principales méthodes d’analyse des risques



II.2.3 Présentation des principales méthodes

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoin de l'entreprise (ou d'une administration). Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), du Ministère de la Défense (France). Elle est destinée avant tout aux administrations françaises et aux entreprises.

Marion (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux) a été développée par le CLUSIF dans les années 1980 mais a été abandonnée en 1998 au profit de la méthode Mehari. C'est une méthode d'audit de la sécurité d'une entreprise, elle ne permet pas de mettre en œuvre une politique de sécurité en tant que tel. A base d'un questionnaire, elle donne une évaluation chiffrée du risque informatique.

Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information) fut inventée par Albert Harari au sein de la Direction Générale de l'Armement (DGA/DCN) en France. Elle a été rachetée par la société CF6 qui en a fait la promotion pendant de nombreuses années. Depuis le rachat de CF6 par Telindus, Melisa a été abandonnée par ses propriétaires bien qu'elle fut largement utilisée en France.

II.3 la méthode MEHARI Mehari (Méthodes Harmonisée d'Analyse des Risques) est développée par le CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion. Existant en langue française et en anglais, elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur privé. MEHARI est, avant tout, une méthode d’analyse et de management de risques.

En fait, cela veut dire que MEHARI et l’ensemble de ses bases de connaissance sont bâtis pour permettre une analyse précise des risques, quand cela sera jugé nécessaire, sans pour autant imposer l’analyse de risque comme une politique majeure de management.

En effet, le management de la sécurité est une fonction ou une activité qui évolue au cours du temps et les actes de management ne sont pas de même nature selon que l’entreprise n’a encore rien fait dans ce domaine ou, au contraire, qu’elle a déjà accompli des efforts substantiels.

Lors des premiers pas dans une démarche de sécurité, il sera sans doute bon de faire un bilan de l’état de la sécurité et de comparer ce bilan à un « norme » pour mettre en évidence le fossé à combler.

Ensuite, ce bilan fait et la décision prise de mettre en place une démarche sécuritaire, des actions concrètes devront être décidées. Ces décisions, qui seront le plus souvent regroupées dans des plans, schémas directeurs, référentiels ou politiques de sécurité, devront être prises dans le cadre d’une approche structurée. Une telle approche peut être basée sur une analyse des risques, ou inclure des concepts de risques, mais cela n’est pas obligatoire et il existe bien d’autres voies, dont l’alignement sur une « norme », que cette norme soit interne, professionnelle ou interprofessionnelle.

Il reste que, dès ce stade, et sans véritablement parler d’analyse de risque, la question des enjeux de la sécurité se pose. Bien souvent, en effet, quelle que soit la manière dont la décision a été préparée, le décideur ultime qui doit allouer le budget correspondant aura cette question : « est-ce bien nécessaire ? ». Sans analyse préliminaire des enjeux et sans consensus sur ce point, beaucoup de projets de sécurité sont abandonnés ou repoussés.



Souvent plus tard, mais parfois dès l’origine d’une démarche de sécurité, la question se pose du niveau de risque auquel est exposé l’entreprise ou l’organisme, et cette question se pose en ces termes : « A-t-on identifié tous les risques auxquels l’organisme est exposé et a-t-on l’assurance que leur niveau est acceptable ? ». Cette question peut, en outre, être posée dans toute sa généralité ou dans le cadre limité d’un nouveau projet. Il faudra alors utiliser une méthode d’analyse des risques.

Le principe sur lequel est fondé MEHARI est que les outils nécessaires, à chaque étape du développement de la sécurité, doivent être cohérents, c’est-à-dire que les résultats acquis à un stade donné doivent pouvoir être réutilisés ultérieurement.

La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les scénarios redoutés ?, et en la classification préalable des entités du SI en fonction de trois critères de sécurité de base (confidentialité, intégrité, disponibilité). Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. Puis, des audits identifient les vulnérabilités du SI. Et enfin, l'analyse des risques proprement dite est réalisée.

Figure 5 - Schéma général de la méthode Mehari

Mehari s'articule autour de 3 types de livrables : Plans de la méthode Mehari

1. le Plan Stratégique de Sécurité (PSS) 2. les Plans Opérationnels de Sécurité (POS) 3. le Plan Opérationnel d'Entreprise (POE)

Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite.



Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques, proposent des liens entre menaces et parades... Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose permettent la création de plan d'actions concrets. Cette méthode permet donc de construire une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits du Plans Opérationnels de Sécurité et d'atteindre le niveau de sécurité correspondant aux objectifs fixés dans le Plan Stratégique de Sécurité. Remarque : Si de nouveaux besoins apparaissent (en raison de la vie même de l’entreprise) la politique et les objectifs de sécurité doivent être modifiés et les phases 1 à 3 réitérées. II.3 RISICARE Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques, s'appuyant sur la méthode Mehari et qui permet d'améliorer la productivité et la justesse d'une démarche de gestion des risques.

Comme la plupart des outils de gestion des risques les avantages de Risicare sont :

• Automatisation, • Rapidité, • Complétude d'analyse.

Risicare s'appuie sur les caractéristiques suivantes :

L'utilisation de la méthode « Mehari » qui est une méthode complète d'analyse des risques et qui bénéficie du retour d'expérience des méthodes Marion et Melissa.

D'être conçu pour permettre une approche cellulaire qui permet de s'adapter à la taille et à la complexité de l'entreprise ou organisme.

La possibilité de personnaliser les bases de connaissances, voire de construire ses propres bases de connaissances.

Une relation entre un audit de l'existant et la quantification de scénarios de risques. Une prise en compte exhaustive et automatique des multiples possibilités de survenance de ces

scénarios. L'élaboration de plans d'action cohérents optimisant la réduction de l'ensemble des risques.



CHAPITRE III : Travaux effectués II o uI.1 Intr d ction

Pendant la période de mon stage je suis tenue à participer dans une mission de l’audit sécurité qui a pour but Implémentation de la norme ISO 27001.

Ce stage s'inscrit dans le cadre d'une mission d'audit organisationnel et technique avec une implémentation de la norme iso 27001 dans une entreprise.

III.2 Présentation de Ménara prefa

En 2002, le Groupe Ménara s’est doté d’une nouvelle unité industrielle, Ménara Préfa. Elle est destinée à la production de préfabriqués en béton (Agglos, Hourdis, Pavés autobloquants, bordures de trottoirs, caniveaux…), de planchers précontraints et de béton prêt à l’emploi.

Depuis, Ménara Préfa, première société du pôle, s’est imposée rapidement comme leader incontesté du secteur BTP (Matières premières) dans la région du Haouz, du Tensift et de l’oued Draa, et comme leader en terme de capacité de production à l’échelle nationale.

Ménara Préfa, avec une usine à Marrakech et une autre à El Kelaa des Sraghnas emploie plus de 250 personnes et compte se lancer dans une stratégie d’implantation sur d’autres zones à fort potentiel.

Une nouvelle unité a démarré son activité sur la ville de Béni-mellal d’autres suivront à bref échéance

III.3 Description de projet

L'audit sécurité d'un réseau informatique est un état des lieux de la sécurité du réseau informatique actuel avec des propositions permettant de résoudre les problèmes potentiels une fois l'audit sécurité effectué et les conclusions présentées par la partie effectuant cet audit.

Le présent projet d’audit a pour but d'évaluer les failles de sécurité du système d’information d’entreprise et proposer des solutions aptes à corriger les vulnérabilités afin que le hacker ne puisse s'en servir. Nous commencerons tout d'abord par une présentation des menaces auxquelles l'entreprise fait face, ensuite nous effectuerons les tests de vulnérabilités et d'intrusions sur le réseau et nous terminerons par les recommandations portant sur d'éventuelles améliorations à apporter au système d’information.

III.4 Déroulement de stage

Ce projet m’a donné une nouvelle vue vis-à-vis les grands projets des réseaux informatique particulièrement la sécurité des systèmes d’information, c’était pour moi une interessante occasion pour découvrir le déroulement des missions d’audit sur le plan pratique, notamment l’implémente d’une norme internationale (ISO 27001).

Comme c’est la première fois que je m’affronte a une implementation d’une norme, j’ai dû premièrement m’informer a propos, et se familiariser avec l’approche de la norme ISO 27000.



Donc pour bien faire avancer les choses, au début de cet période je me suis consacré à lire la norme 27001, ainsi que les normes de recommandation liées avec (ISO 27002, ISO 27005) et comprendre de quoi il s’agit et essayer de lire le maximum possible de documentation et d’articles, ceci afin d’avoir une vue bien précis vis à vis cet norme. Cela m’a pris presque le tiers de la période de stage.

Après avoir lu la norme avec ces différent axe qu’elle traite, que ça soit le déroulement des réunions avec les responsables des services de l’entêté audité, les questionnaires d’audit a poser pour découvrir les menaces auxquelles l'entreprise fait face, les phases de la mission, la documentation a recueille d’après l’entêté, les différents manière de traitement des risques que la norme propose, les étapes indispensable a suivi pour la mise en place d’un système de management de la sécurité d’information (SMSI) ainsi la préparation de planning a suivi pour assurer que le fonctionnement du SMSI.

Après ça on était chargé d’élaborer un plan d’exécution a suivre pour le déroulement de la mission en se basant sur les recommandations de la norme pour la répartition des tache en fonction de temps.

C

i-dessous le planning qu’on a préparé :

PLANNING D’EXECUTION

I Préparation de la mission

Réunion préliminaires

-Sensibilisation, objectif, Démonstration . -Définir la durée de chaque phase la mission.

Réunion préparatoire

-Désignation des chefs de projets, des équipes et les rôles de chacun. -Recueil de documents de l’organisme (politique de sécurité interne (PSI), organigramme, modèle d’activité du système d’information, description de l’architecture actuelle, etc.). -Fourniture de la documentation nécessaire -listes des interviews a réaliser -Affinement du planning d’exécution -Détails logistiques.

II Audit

Audit organisationnel

1- Définition des processus sensibles (chef de projet et responsable RSI). 2- Définir l’impacte sur le disfonctionnement des processus ( responsables des services en relation avec le

processus) 3- Définir les seuils de gravité de chaque impacte(chef de projet avec les responsables des service

concernés). Exemple : - Seuil 1 : Sans dommage significatif - Seuil 2 : Dommage important - Seuil 3 : Grave dommage



- Seuil 4 : Dommage extrêmement grave 4- Lister et classifier les ressources suivant trois critères (disponibilité , intégrité , confidentialité) 5- Questionnaires basés sur la méthode MEHARI (concis et simple : oui/non) adapté a chaque service et a

chaque personne (status). 6- Se pencher sur les réponses négatives pour extraire les non-conformités avec la norme. 7- calcul de différents indicateurs tel que la métrique de risque, de dissuasion, de potentialité (moteurs

MEHARI) 8- Proposer des recommandations.

Au cours de l’audit organisationnel on effectue des : Réunions journalières avec les auditeurs(30min) -valider les travaux. -revoir les non-conformité découvertes - réagir en cas de problème N.B : la dernière réunion journalière on effectue en plus : - révision des non-conformités - validation des recommandations Réunions journalières avec la direction(15-30 min) - Présentation de la non-conformité et des remarques ou de problèmes.

Audit technique 1- Teste d’intrusion

-montrer en pratique les failles et vulnérabilités exploitables et situer la gravité du risque. -proposer un plan d’actions permettant d’améliorer la sécurité de l’entité audité.

Les techniques de tests d’intrusions :

‐ Les scanners de réseau afin de détecter les ports et applications par lesquelles les attaquants peuvent pénétrer dans le système.

‐ Les scanners de vulnérabilité afin de détecter les vulnérabilités des composants réseau et système et qui peuvent donc être exploités par des utilisateurs malveillants.

‐ Les craqueurs de mots de passes visant à trouver les mots de passes faciles et/ou exploitables par les attaquants.

‐ Les scanners applicatifs permettant de trouver les failles dans les applications de la cible d’évaluation

‐ Détecteurs de failles protocolaires.

III Synthèse de recommandation

‐ Les actions détaillées (organisationnelles et techniques) urgentes à mettre en œuvre dans l’immédiat. ‐ Les actions organisationnelles, physiques et techniques à mettre en œuvre sur le court terme (jusqu’à la date

du prochain audit)

Exemple

- Des aménagements architecturaux

- Opérations de sensibilisation

- Proposition de l’esquisse d’un premier schéma directeur.



IV- Accompagnement post-audit

‐ Examen de l’efficacité des premières mesures urgentes. ‐ Correction de la démarche et toute autre action d’accompagnement, jugée utile par le soumissionnaire.

Figure 6 ‐ Extrait de plan d’exécution de la mission

Après ça on a fait une synthèse globale concernant la répartition des taches de cette mission avec le ourcentage de temps pour chaque phase comme la suivant : p

Préparation, planification, collecte d’informations 30%

Conduite de l’audite (technique, organisationnel, physique) 50%

30% audit technique -Marrakech 65% 70% audit organisationnel (ISO 27001 + MEHARI)

30% audit technique -El Kelaa 35% 70% audit organisationnel (ISO 27001 + MEHARI)

Finalisation du rapport et clôture d’audite 10%

Accompagnement post-audit 10%

Figure 7 ‐ répartition des taches de la mission ans oublier de formaliser le déroulement de projet sous forme d’un diagramme de gant comme la uite : Ss

Figure 8 – Diagramme de gant de la mission

Après l’élaboration du plan d’exécution on a passé à l’étude de la méthode avec laquelle on va analyser les

risques liés au système d’information de l’entreprise car sans analyse préliminaire des enjeux et sans consensus sur ce point, beaucoup de projets de sécurité sont abandonnés ou repoussés.



Il existe de nombreuses méthodes d'analyse des risques, certaines simples d'utilisation, avec parfois des outils logiciels en simplifiant l'utilisation. D'autres méthodes sont réservées à des grands comptes du fait de leur complexité et des ressources humaines impliquées. Il reste à choisir la méthode qui s'applique le mieux à notre entreprise.

Pour notre projet on a décidé d’utilisé la méthode MEHARI, par ce que la méthode MEHARI est une méthode complète d'analyse des risques et qui bénéficie du retour d'expérience des méthodes Marion et Melissa, ainsi cette méthode offre une approche cellulaire qui permet de s'adapter à la taille et à la complexité de l'entreprise ou organisme notamment dans notre cas. Plus que ça, cette méthode se caractérise par un calcul de pertinence des mesures de sécurité par rapport aux scénarios de sinistre potentiel.

Au fur et à mesure d’apprendre l’utilisation de la méthode on a essayé de se familiariser avec l’outil RISICRE, qui s'appuyant sur la méthode Mehari et qui permet d'améliorer la productivité et la justesse d'une démarche de gestion des risques. Elle offre une relation entre un audit de l'existant et la quantification de scénarios de risques.il y a plusieurs outils de gestion des risques mais l’avantages de cet idéal outil c’est la rapidité, l’automatisation ainsi la complétude d’analyse. Après avoir ressenti qu’on a bien assimiler la méthode avec ces différant phases ainsi la manière d’utilisation avec l’utilisation de Risicare on a fait une présentation destiné à notre encadrent de stage, cet présentation qui regroupe tous ce qu’on a compris jusque le moment, concernant l’analyse des risques, elle comporte : les étapes qu’il faut suivre dans chaque phase de la méthode, les formule de calcul des gravité des sinistre, la façon avec la quel on audit les responsable des services de l’entêté audité, tout ça pour le but d’évaluer nos acquis. En ce qui concerne notre mission d’audit sécurité, elle était planifier de commencer au début du mois juin, mais malheureusement pour des raison budgétaire la mission a étais retardé, et en attendant, on a commencé les préparations de la mission, dont une présentation de sensibilisation destinée au personnels de l’entreprise, pour le but de sensibilisé à l’importance de l’audit sécurité au système d’information de l’entreprise et qu’est-ce que ça vas lui apporter comme valeur ajouter, plus que ça on a enrichie notre présentation par des statistique mondial qui montre à quel niveau les entreprise sont liée à leurs systèmes d’informations, et donc comment ça sera l’impact vers l’entreprise si un risque touche son système d’information dans le cas d’un système d’information non sécurisé. Généralement on a essayé dans notre présentation de répondre à deux questions principale, donc la présentation a étai décomposer en deux parties, la premier partie répond a au question « c’est quoi la norme ISO27001 ? » et la deuxième partie répond au question « comment on peut la mettre en place ? ». Parmi les axe qu’on a traité dans la premier partie de cet présentation c’est :

La dépendance des entreprise vis-à-vis leurs SI L’impact de la perte des données. Les différents type d’attaques. Quelque statistique qui montre la gravité de nombre des virus découvert chaque jour



La deuxième partie de cet présentation concerne l’implémentation de la norme :

Les 4 principe clés de la norme Méthodologie suivie pour l’audit Organisationnel Les quatre phase qui décompose le déroulement de la mission.

Dans la moitié de mois juin notre chef de projet a réussie de fixé un rendez-vous pour faire une réunion avec le responsable de la sécurité informatique au sein de l’entreprise Menara préfa, pour discuter sur les problèmes qui face l’entreprise au niveau de la sécurité du système d’information et récolter le maximum d’information qui peuvent nous aider dans notre mission. Après la réunion on préparer un compte rendu de cet premier contact avec l’entreprise :

Synthèse de réunionLe 17/06/2011

Une réunion avec Mr Ahmed, le responsable de la sécurité informatique d’entreprise Menara préfa et en

présence du responsable de la sauvegarde , s’est déroulé pendant environ 1h (15h15 à 16h30) .

On a poser des questions sur les problèmes qui touchent le système d’information de l’entreprise, les problèmes

existant de l’entreprise, les problèmes liées a certain service ainsi que les problèmes qui peuvent arriver un jour, et

aussi a propos des solution existantes par exemple le mirroring.

En ce qui concerne les différents services ou processus important de l’organisation, Mr Ahmed n’a pa pu répondre a

ceci .

Mr Ahmed nous a parler aussi du service commercial où il y’a un bureau d’étude qui utilise un serveur de

sauvegarde, une application SIP (application de dessin ), il y a deux version, une version desktop s’installe sur chaque

post dans le même bureau, et une version sur réseau, l’accès a distant à cet dernier ce fait via Citrix.

A propos de l’accès au postes client, il a dit que c’est géré par un serveur de domaine (Windows Server 2003) en

utilisant Active directory (les unité organisationnel, GPO), qui contient les session de tous le personnel des site.

Aussi, il a bien insister sur l’importance de Serveur Adonix (ERP), puisque c’est le cœur de l’entreprise. Donc la

continuité d’activité de ce serveur est cruciale pour l’entreprise. l’accès a ce serveur est autorisé a tous le personnel

d’intérieure, et pour la sécurité de ce serveur il utilise comme mesure de sécurité un Firewall IPCop.

Pour assurer la continuité du service de l’ERP Adonix, ils ont envisager une solution de sauvegarde utilisant l’outil

Veritasse sachant qu’Adonix ne supporte aucune solution de clustering.

L’autre important serveur pour l’entreprise, c’est Agirh, utilisé par le service des ressource humaine, mais

malheureusement on n’a pas pu avoir plus de détails. Même chose pour l’application Optitime utiliser pour le

pointage.

Un autre pilier du système d’information et l’application Easy connect, utilisé pour la gestion de gasoil.vu que

l’arrêt de serveur provoquera l’arrêt de tous les véhicules sortant des sites ou usine de l’entreprise de l’entreprise.

L’autre sensible équipement c’est le post qui gère les automates aux usines, en cas d’une panne ils ont la possibilité

de gérer les automates manuellement, mais on aura un grand manque de precision.

On a traiter aussi durent cet réunion quelque problèmes concernent le sauvegarde avec le responsable de ce service,

et il a cité les problèmes suivant :



‐Les application sont très volumineux, ce qui pose des problèmes lors de la sauvegarde.

‐le sauvegarde effectuée est manuel et journalier.

‐pour d’autres application il utilise une copie instantané sur 2 serveurs de sauvegarde comme solution, pour garantir

la disponibilité des informations.

Quelques autres problèmes :

‐Ils ont pas un systèmes de détection d’intrusion pour détecter qui a la main dans le problème tel ou tel.

‐N’importe qui peut accéder au wifi car il y’a plusieurs pont wifi non sécurisé, et même si il ya des wifi sécurisés, les

clés sont facilement crackable (Clé WEP).

On a prévu pendant la deuxième réunion de recevoir quelque document, dont l’inventaire du matériel informatique, un rapport concernant la certification ISO 9001 déjà délivre au groupe Menara, l’organigramme de l’entreprise, la liste des processus métiers de l’entreprise, l’architecture réseau actuelle et enfin nous faire une démonstration et voir la salle des machines.

Lorsque j’ai constaté que la période de stage approche à terminer, et comme j’ai déjà dit le projet a étai retardé, pour tester la conformité de l’approche et méthodes proposés, et vu la sensibilité et la confidentialité des données utiles, nous avons utilisé un jeu de données qui s’approche au plus de la réalité du groupe Menara.

Cette approche décrie vraiment en pratique une démarche sécuritaire au sein de l’entreprise, et les

principales phases pour analyser les risques d’un système d’information grâce à l’application de la méthode MEHARI, qu’on a décidé d’utilisé comme méthode d’analyse des risque dans notre projet.



III.5.Validation de l’approche proposée

III.5.1 Présentation de la méthode MEHARI La démarche Méhari comporte trois grandes phases :

Plan stratégique de sécurité (PSS) : • Métrique des risques et objectifs de sécurité • Valeurs de l’entreprise : classification des ressources • Politique de sécurité • Charte de management

Plan Opérationnel de sécurité (POS) :

• Audit de l’existant • Evaluation des besoins de sécurité • Expression des besoins de sécurité • Construction du plan opérationnel de sécurité

Plan Opérationnel d’Entreprise (POE) :

• Choix d’indicateurs représentatifs • Elaboration d’un tableau de bord de la sécurité de l’entreprise • Rééquilibrage et arbitrage entre unités.

Figure 9 – Etapes de la méthode MEHARI



II.5.2 Le plan stratégique de sécurité Le plan stratégique de sécurité (PSS) constitue la première phase de la Méthode Harmonisée d’Analyse des

Risques (MEHARI). Elle est élaborée en étroite collaboration avec la ligne managériale de l’entreprise de manière à ce que toutes les actions entreprises et mises en place dans l’ensemble de l’entreprise (sites distants et accès distants inclus) tendent vers ces mêmes objectifs et protègent les ressources en fonction de leur classification.

Il sera un indicateur-clé des unités opérationnelles pour ce qui concerne les décisions à prendre en matière de sécurité. Elle verra la participation de la direction générale de l’entreprise, ainsi que celle des cadres supérieurs responsables de chaque département opérationnel. II.5.2.1 Métrique des risques et objectifs de sécurité

L’objectif de la métrique des risques et objectifs de sécurité est de dégager, par des tableaux standards, communs à toute l’entreprise, les éléments permettant :

• D’une part, d’affecter un degré de criticité de chaque scénario de sinistre ; • D’autre part, de fixer de façon cohérente les objectifs de sécurité en fonction des niveaux préétablis

d’acceptation ou de refus, total ou sous condition, des risques encourus.

Statuts de protection

Effet des mesures de protection sur l'impact du scénario

1 Effet de protection très faible : le sinistre ne sera détecté qu’au bout d’un délai important. Les mesures qui pourront alors être prises ne pourront limiter la propagation de l’incident initial et se limiteront à la borner dans le temps. L’étendue des conséquences du sinistre est difficile à cerner.

2 Effet de protection moyen : le début de sinistre ne sera pas identifié très vite et les mesures prises le seront tardivement. Le sinistre aura pris une grande ampleur mais l’étendue de ses conséquences sera encore identifiable.

3 Effet important : le sinistre sera détecté rapidement et des mesures de protection seront prises sans délai. Le sinistre aura néanmoins eu le temps de se propager, mais les dégâts seront circonscrits et facilement identifiables.

4 Effet très important : le début de sinistre sera détecté en temps réel et les mesures déclenchées immédiatement. Le sinistre sera limité aux détériorations directes provoquées par l’accident, l’erreur ou la malveillance.

Tableau 1 : Mesure de protection

Statuts palliatifs

Effet des mesures palliatives sur l'impact du scénario

1 Effet très faible : les solutions de secours éventuellement nécessaires doivent être improvisées. Il n’est pas assuré que les activités de l’entreprise touchées par le sinistre pourront être poursuivies. L’activité de l’ensemble des acteurs touchés par le sinistre est très fortement perturbée.

2 Effet moyen : les solutions de secours ont été prévues globalement et pour l’essentiel, mais l’organisation de détail reste à faire. Les activités principales touchées pourront se poursuivre après un temps d’adaptation qui peut être long. La reprise des autres activités et le retour à l’état d’origine demandera des efforts importants et occasionnera une forte perturbation des équipes.

3 Effet important : les solutions de secours ont été prévues, organisées dans le détail et validées. Les activités principales pourront se poursuivre après un temps de reconfiguration acceptable et connu. La reprise des autres activités et le retour à l’état d’origine ont également été prévus et se dérouleront avec des efforts importants mais supportables.

4 Effet très important : le fonctionnement des activités de l’entreprise est assuré sans discontinuité notable. La reprise de l’activité en mode normal est planifiée et sera assurée sans perturbation notable.

Tableau 2 : Mesures palliatives



Statuts récupération

Effet des mesures prises sur l'impact du scénario

1 Effet très faible : ce que l’on peut espérer récupérer des assurances ou d’un recours en justice est négligeable devant l’ampleur des dégâts subis.

2 Effet moyen : ce que l’on peut raisonnablement espérer récupérer n’est pas négligeable, mais les sinistres majeurs restent à la charge de l’entreprise (sinistre non couvert et responsable non solvable).

3 Effet important : l’entreprise est couverte pour les sinistres majeurs, mais ce qui reste à sa charge (franchise) demeure important quoique supportable.

4 Effet très important : l’entreprise est suffisamment couverte pour que l’impact financier résiduel soit négligeable.

Tableau 3 : Mesures de récupération

Statuts RI Effet des mesures prises sur la réduction d'impact du scénario

1 Effet très faible

2 Effet moyen : impact maximum jamais supérieur à un impact grave : I<ou = 3

3 Effet important : impact maximum jamais supérieur à un impact moyennement grave : I<ou= 2

4 Effet très important : impact du scénario toujours négligeable quel que soit l'impact intrinsèque

Tableau 4 : Mesures de réduction d’impact du scénario

La grille suivante, proposée en standard, permet d'évaluer l'impact "I":

Tableau 5 : Grille d’évaluation de l’impact de scénario

Statuts

exposition Effet des mesures structurelles sur la potentialité du scénario

1 Exposition très faible : Des mesures architecturales ont été prises pour limiter structurellement les risques :

cloisonnement des locaux, fragmentation des informations, rendant négligeable la probabilité d’un risque majeur.2 Exposition faible : L’entreprise (le service ou l’unité) est particulièrement peu exposée : le climat social est très favorable,

l’environnement ne laisse pas craindre le moindre problème, la position de suiveur de l’entreprise rend peu probable une agressivité notable de concurrents.

3 Exposition moyenne : L’entreprise (le service ou l’unité) n’est pas particulièrement exposée. Le climat social n’est pas mauvais, la concurrence est normalement agressive sans plus, l’environnement ne présente pas de menace particulière.

4 Exposition importante : L’entreprise (le service ou l’unité) est particulièrement exposée au risque envisagé de par un climat social est très défavorable ou un environnement à risque ou une position telle que l’on peut craindre des réactions spécialement agressives de la concurrence.

Tableau 6 : Tableau mesure des effets d’exposition naturelle

Statuts dissuasion

Effet des mesures dissuasives sur la potentialité du scénario

1 Effet très faible : L’auteur n’encourait aucun risque : il n’a pratiquement aucun risque d’être identifié et de toute façon cela n’aurait pour lui aucune conséquence.

2 Effet moyen : L’auteur encourait un risque faible : le risque d’être identifié est faible et les sanctions éventuelles, s’il était découvert, resteraient supportables.

3 Effet important : L’auteur de l’erreur ou de la malveillance encourrait un risque important : il existe une forte probabilité qu’il soit découvert et les sanctions encourues pourraient être graves.

4 Effet très important : Seul un inconscient pourrait courir un tel risque : il sera démasqué à coup sûr, les sanctions seront très lourdes et tout cela est bien connu.

Tableau 7 : Mesure dissuasives



Statuts

prévention Effet des mesures préventives sur la potentialité du scénario

1 Effet très faible : Toute personne de l’entreprise ou tout initié la connaissant un minimum est capable de déclencher un tel

scénario, avec des moyens qu’il est facile d’acquérir. Des circonstances tout à fait courantes (maladresse, erreur, conditions météo défavorables rares mais n’ayant rien d’exceptionnel) sont à même de déclencher un tel scénario.

2 Effet moyen : Le scénario peut être mis en œuvre par un professionnel sans autres moyens que ceux dont font usage les personnels de la profession. Des circonstances naturelles rares mais non exceptionnelles peuvent aboutir à ce résultat.

3 Effet important : Seul un spécialiste ou une personne dotée de moyens importants décidée à y consacrer du temps peut aboutir dans la réalisation d’un tel scénario. Des concours de circonstances peuvent rendre le scénario plausible.

4 Effet très important : Seuls quelques experts sont capables, avec des moyens très importants, de mettre en œuvre un tel scénario. Au niveau des événements naturels, seules des circonstances exceptionnelles peuvent conduire à de tels résultats (catastrophes naturelles).

Tableau 8 : Mesures préventives

Le niveau de la potentialité "P" est apprécié conformément à la grille standard ci-après :

Statuts potentialité Potentialité 1 Potentialité faible, ne surviendra sans doute jamais 2 Possible, bien que potentialité faible 3 Potentialité certaine, devrait arriver un jour 4 Très forte potentialité, surviendra sûrement à court terme

Tableau 9 : Grille du niveau de potentialité

Dans la mesure où il serait totalement utopique de prétendre au « zéro-risque » pour un système

d’information, la définition des objectifs de sécurité permet de fixer les niveaux de risque que l’entreprise jugera acceptables, inadmissibles quoique supportables, ou insupportables parce que ne disposant pas des moyens pour faire face à ses conséquences.

L’accord étant trouvé sur ces 3 termes, leur définition et les limites qu’ils recouvrent ; l’objectif sera de ramener, par des mesures de sécurité appropriées, tous les risques au niveau « acceptable ».

MEHARI propose une grille d’aversion au risque, construite sur la base de l’appréciation du risque par

rapport à son impact et à sa potentialité. Cette grille est validée par la direction générale et les départements opérationnels lors de la réunion.

Figure 10 : Grille d’évaluation du niveau de risque



III.5.2.2 Valeurs de l’entreprise : classification des ressources

Cette partie a pour objectif de faire une classification des ressources de l'entreprise :

Figure 11 : Classification des valeurs de l’entreprise

Etape 1 : Définir les domaines d’activités et processus La direction générale et les départements opérationnels nous ont permis de valider la cartographie des domaines fonctionnels dans le tableau des processus majeurs de l’entreprise ci-après :

DOMAINE PROCESSUS DESCRIPTION Management Prise de décision Ensemble des éléments contribuant à la prise de décisions

(acquisition, cession, données budgétaires et prévisionnels, etc.). Département Production

Production Production des produits cosmétiques, contrôle qualité, conditionnement.

Département Logistique

Logistique Gestion de stocks, Préparation des commandes, Expédition vers le réseau de distributions franchisées.

Département Ressource humaine

Paie Gestion de la paie et des comptes personnels associés (intéressement).

Département Ressource humaine

Frais Gestion des frais (avances sur frais, paiement des notes de frais, etc.).

Département informatique

Architecture exploitation informatique

Architecture réseaux & systèmes, Administration et exploitation des centres informatiques.


Projets informatiques Développements d'applications informatiques. Maintenance des applications existantes.


Supports aux utilisateurs Assistance aux utilisateurs, Formation, conseil

Service Commercial

Commercialisation Elaboration des outils de vente spécifiques d'un type de produit ou de service.

Service Commercial

Proposition commerciale Elaboration de l'offre spécifique d'un client (pour les offres sur devis).

Service Commercial

Gestion des commandes Gestion permanente des clients, de leurs particularités. Gestion des cibles commerciales.

Marketing Marketing Recherche des éléments significatifs du marché et élaboration d'une stratégie de vente.

Finance Comptabilité Comptabilité générale et gestion des obligations légales afférentes (fisc, comptes sociaux, etc.)

Achat Achat choisir les fournisseurs de matières premières en prenant en compte les coûts, la qualité et les délais de livraison

Tableau 10 : Domaine d’activités et processus de « Ménara préfa »



Etape 2 : Détecter les processus sensibles

D’après la direction générale et les responsables des départements opérationnels de l’entreprise, les processus critiques sont : - «Achat » dans le domaine « Achat » ; - « Production » dans le domaine « Département Production » ; - « gestion des commandes » dans le domaine « Commercial » ;

Etape 3 : Déterminer les critères d’impact

Dans cette étape, il s'agit de demander aux responsables, quel serait l'impact sur l'entreprise en termes opérationnels, financiers ou d'image en cas de dysfonctionnement d'un des processus vitaux. Nous définissons les critères d'impact pour les processus de chaque domaine à partir du tableau suivant :

IMPACT Domaines Description de l’impact

Commercial Incapacité à exploiter des opportunités commerciales Commercial Perte de chiffre d'affaireCommercial Baisse d'efficacité commercialeCommercial Perte de confiance des clients

Département Production Non tenue des délais de productionDépartement Production Augmentation des charges de productionDépartement Production Perte de productivité

Finance Paiement de pénalités contractuellesFinance Détournement de fondsFinance Augmentation du risque de fraude

Personnel Divulgation de renseignements concernant la vie privée

Tableau 11 : Détermination des critères d’impact

Etape 4 : Définir les seuils de criticité Il est nécessaire, dans cette étape, d'établir les quatre seuils de criticité associés à chaque critère d'impact retenu :

Seuil 1 : Sans dommage significatif sur les opérations de l’entreprise ; Seuil 2 : Dommage important sur les opérations de l’entreprise sur la compétitivité ; Seuil 3 : Grave dommage ne compromettant pas un domaine de l’entreprise ; Seuil 4 : Dommages extrêmement graves mettant en danger la survie de l’entreprise ;

Nous définissons les seuils de gravité d'impact pour chaque critère d'impact retenu à partir du tableau suivant : SEUILS D'IMPACTS Indiquer pour chaque critère d'impact, les seuils de gravité, en se basant sur les définitions suivantes : Gravité 1 : Impact non significatif au niveau de l’entreprise. Gravité 2 : Impact significatif, résorbé facilement et rapidement. Gravité 3 : Sinistre grave dont l’entreprise mettra plusieurs mois à se remettre. Gravité 4 : Sinistre extrêmement grave menaçant la survie de l’entreprise ou dont elle mettra plusieurs années à se remettre.

TYPE D’IMPACT

SEUILSGravité 1 Gravité 2 Gravité 3 Gravité 4

Divulgation de plans de nouveaux prod its uou de savoir-faire

Divulgation partielle ne permettant pas à la concurrence de rattraper son retard.

Divulgation partielle permettant à la concurrence de nous rattraper plus de 6 mois après le lancement.

Divulgation permettant à la concurrence de nous rattraper au début du lancement d'un produit stratégique (entre 0 et 6 mois).



Perte de savoir-faire Destruction de la copie d'un ou plusieurs fichiers d'un représentant en tournée

Indisponibilité de la base d'informations techniques pour la maintenance, pendant une durée inférieure à 1 semaine

Destruction de l'ensemble de l'aide automatisée à la maintenance (reconstitution : plusieurs mois) ou indisponibilité > 1 semaine

Départ d'une équipe hautement spécialisée, seule capable d'assurer la maintenance d'un produit majeur de l'entreprise.

Non tenue des délais de développement

retard inférieur à un mois retard compris entre 1 et 3 mois

retard compris entre 3 et 12 mois

Retard supérieur à 1 an

Tableau 12 : Les seuils de gravité d'impact pour chaque critère d'impact retenu

Etape 5 : Recenser les ressources

Une fois le niveau de décomposition choisi (en fonction de la granularité d'analyse souhaitée) et après avoir confirmé les limites du domaine étudié et précisé les intentions en matière d'investigation plus ou moins poussée, nous recensons, à l'aide d'un tableau du modèle ci-après, les ressources que l'on veut classifier.

RESSOURCES Indiquer les ressources que l'on souhaite classifier, leur type, ainsi que leur domaine et éventuellement les processus auxquels elles appartiennent. Dans les colonnes domaines et processus, "tous" signifie que la ressource est unique pour tous les domaines, "chaque" signifie que l'on identifie une ressource différente pour chaque domaine.

NOM TYPE DOMAINES PROCESSUSApplication AGIRH Logiciel Personnel Tous Application Adonix Progiciel Personnel Tous

Tableau 13 : Recensement des ressources

Etape 6 : Classifier les ressources

L’objectif de cette étape est de faire une classification des ressources retenues dans l’étape 5. La classification des ressources, qui consiste à analyser si une perte de disponibilité, d’intégrité ou de confidentialité d’une ressource peut conduire à un des critères d’impacts retenus et, dans l’affirmative, à quel niveau maximum. Ce niveau est alors la classification de la ressource pour l'aspect considéré (disponibilité, intégrité ou confidentialité). Pour chacune de ces ressources, on se pose les questions suivantes : - Que se passerait-il si la ressource était non disponible ? (Disponibilité) ; - Que se passerait-il si la ressource était non fiable ? (Intégrité) ; - Que se passerait-il si la ressource était atteinte par des tiers non autorisés ? (Confidentialité) ; Cette étape permet donc de trouver une valeur propre pour chaque ressource : Ressource : Application AGIRH Impact Disponibilité Intégrité Confidentialité Perte de chiffre d’affaire 2 2 1 Perte de confiance des clients 1 1 2 Baisse d’efficacité commercials 2 1 1 Synthèse de classification 2 2 2

Tableau 14 : Détermination de la valeur propre de chaque ressource

Lors d'une réunion avec la Direction Générale et les directions opérationnelles, nous validons la classification des ressources dans le tableau de synthèse de la classification des ressources ci-après:

RESSOURCES

NOM Disponibilité Intégrité Confidentialité Application AGIRH 2 2 2 Application Adonix 2 2 3



Application Optitime 1 2 2

Tableau 15 : Tableau de synthèse de la classification des ressources

III.5.2.3 La politique de sécurité La politique de sécurité du système d’information ne peut s’élaborer correctement et efficacement si elle ne tient pas compte de la stratégie globale de sécurité de Ménara préfa. La politique de sécurité se base sur des normes nationales et internationales tout en restant en conformité avec les législations en vigueur dans le pays. Ménara préfa ne dispose pas d’une politique de sécurité.

III.5.2.4 La charte de management Au cours d’une réunion avec le staff managérial de l’entreprise, il nous présente sa « Charte Managériale pour l’usage des ressources Informatiques et des services Internet à l’entreprise Ménara préfa » Cette charte devrait permettre : - De renforcer la sécurité des systèmes d’informations en informant et en responsabilisant les utilisateurs ; - De vous mettre en conformité avec la loi. Cette charte doit également informer les utilisateurs de l’existence de dispositifs de contrôle et d’éventuelles sanctions.

III.5.3 Plan opérationnel de sécurité II.3.1 Préliminaires Etape 1 : Définition du domaine couvert ou périmètre de l’étude Sur recommandation de la Direction Générale de « Ménara préfa », le domaine couvert par l’étude est : - Les 2 sites de l’entreprise à Marrakech et à El kelaa ; - Les locaux techniques du siège à Marrakech et à El kelaa ; - Le centre de production ; - Les réseaux locaux des deux sites ; - Les serveurs ; - Les applications Adonix et agirh ; Etape 2 : réalisation de la décomposition cellulaire Au sein d’une organisation comme Menara préfa qui est repartie en plusieurs sites et plusieurs systèmes informatiques, les résultats d’audits sont forcément différents selon les éléments mis en jeu. La réalisation de notre audit a mis en lumière toutes ces différences afin d’avoir une vue réelle de la vulnérabilité des systèmes existants. Cette tâche nous a été facilitée par la décomposition cellulaire. Les services de sécurité sont rassemblés dans les types de cellules au niveau de la base de connaissances, ce qui facilite l’identification du profil des répondants (un type de cellule rassemblant les questions destinées à un profil de répondant). Nous avons retenu pour l’entreprise «Menara préfa » la décomposition suivante :

o Entité : Entreprise « Menara préfa » ;



o Sites : Siège à Marrakech, Siège à El kelaa ; o Locaux : local technique Marrakech, local technique El kelaa, bureaux sièges Marrakech, bureaux El

kelaa ; o Architecture réseaux et télécom : LAN Marrakech, LAN El kelaa, réseau étendu IAM; o Exploitation réseaux et télécoms : exploitation des réseaux téléphoniques ; o Architecture des systèmes : serveur oracle, serveur de stockage, serveur de messagerie, serveur

Exchange ; o Applications opérationnelles : application Adonix, Agirh, Optitime ;

La décomposition cellulaire est une étape déterminante pour l’étude des risques. Elle se fait très souvent à l’aide d’outils comme RISICARE qui automatise aussi l’étude des risques. (Voire Annexe - Figure 1) A. Domaine de l’organisation de la sécurité Entreprise Menara préfa B. Domaine lié au site et à l’établissement Siège Marrakech, Siège El kelaa C. Domaine de la protection des locaux Local Technique Marrakech, Local Technique El kelaa,

Bureaux siège Marrakech, Bureau siège El kelaa D. Domaine de l’architecture réseau et télécoms Réseau étendu entre les deux sites E. Domaine du Réseau Local (LAN) Réseau local Marrakech, Réseau Local El kelaa F. Domaine de la sécurité de l’exploitation des réseaux Exploitation Réseaux G. Domaine de la sécurité des systèmes et leur architecture Serveur Oracle, serveur messagerie, serveur MySQL, serveur

Exchange H. Domaine de la Production Informatique Exploitation des serveurs. I. Domaine de la sécurité applicative Application Adonix, application agirh, application Optitime. J. Domaine de la sécurité des projet et développement applicatifs

Développement Adonix, Développement Agirh, D2veloppement Optitime.

K. Domaine Environnement de travail Environnement de travail L. Domaine juridique et Réglementaire Réglementation.

Tableau 16 : Décomposition cellulaire de l’entreprise Etape 3 : Reprise de la classification

Nous avons repris la classification des cellules en fonction des trois critères d’impact : disponibilité (D), intégrité (I), confidentialité (C). Chaque cellule s’est vue affectée d’une valeur indiquant son degré de criticité par rapport à un critère donné.

D I C A. Domaine de l’organisation de la sécurité Entreprise Menara préfa 2 2 2 B. Domaine lié au site et à l’établissement Siège Marrakech,

Siège El kelaa 1 2

1 1

2 2

C. Domaine de la protection des locaux Local Technique Marrakech Local Technique El kelaa Bureaux siège Marrakech Bureau siège El kelaa

4 4 2

4 4 2

4 4 1

D. Domaine de l’architecture réseau et télécoms Réseau étendu entre les deux sites 4 4 4 E. Domaine du Réseau Local (LAN) Réseau local Marrakech

Réseau Local El kelaa 4 4

4 4

4 4

F. Domaine de la sécurité de l’exploitation des réseaux Exploitation Réseaux 4 4 4 G. Domaine de la sécurité des systèmes et leur architecture Serveur stockage

serveur messagerie serveur MySQL serveur Exchange

2 4 2 2

2 4 1 2

2 4 2 1

H. Domaine de la Production Informatique Exploitation des serveurs. 3 2 2 I. Domaine de la sécurité applicative Application Adonix

application agirh application Optitime.

4 4 4

4 4 4

4 4 4

J. Domaine de la sécurité des projet et développement applicatifs

Développement Adonix, Développement Agirh, D2veloppement Optitime.

2 3 1

1 2 2

2 2 1

K. Domaine Environnement de travail Environnement de travail 2 2 1 L. Domaine juridique et Réglementaire Réglementation. 2 2 2

Tableau 17 : Classification des cellules en fonction des critères d’impact



III.5.3.2 Audit de l’existant

L’audit de l’existant se décompose en deux épreuves : la réalisation de l’audit et la production des résultats de l’audit.

Pour chaque cellule, il fallait rencontrer la ou les personnes concernées par celles-ci et ayant le profil associé au type de cellule auquel appartient cette cellule.

Pour une question de pertinence, nous avons porté notre préférence sur des questions dichotomiques. Ce qui implique que le répondant doit indiquer une réponse OUI ou NON pour chaque question (en cas d’hésitation ou de réponse partiellement affirmative, on a choisi de répondre NON par prudence). Nous avons aussi donné la possibilité de choisir S.O pour sans objet au cas où les questions d’audit ne concernent pas l’étude. (Voire Annexe – Figure 2)

La production des résultats de l’audit passe par une consolidation des réponses en vue d’obtenir une note pour le sous service auquel elles appartiennent. Ce calcul fait intervenir une moyenne pondérée normée de 0 à 4 plus, éventuellement, une notion de seuil maximum et minimum. Le seuil Max est utilisé pour les questions indispensables au sein d'un sous service, il correspond à la limite maximum de niveau de qualité que peut atteindre le sous service lorsqu'on a répondu Non à ces questions. A l'inverse le seuil Min est utilisé pour les questions suffisantes au sein d'un sous service, il correspond à la note minimale atteinte lorsqu'on a répondu Oui à ces questions. Naturellement si plusieurs questions au sein d'un sous service déclenchent des seuils Max différents, on retiendra le seuil MAX le plus faible. A l'inverse si plusieurs questions au sein d'un sous service déclenchent des seuils Min différents, on retiendra le seuil MIN le plus élevé. En cas de conflit entre seuils MAX et MIN (c'est à dire un déclenchement de seuil MAX de valeur inférieure à celle d'un déclenchement de seuil MIN), c'est le seuil MAX qui prévaudra. Ces résultats d'audit peuvent être utilisés pour produire des tableaux de vulnérabilité pour chacune des cellules. QUESTIONNAIRE D’AUDIT : DOMAINE DU RESEAU LOCAL (LAN) Question Rép P Max Min Com. Partitionnement du réseau local en domaines de sécurité A-t-on effectué un partitionnement du réseau local en séparant du réseau strictement interne les zones de communication avec l'extérieur (DMZ) ?

En particulier tout réseau sans fil (Wlan) est-il considéré comme un domaine distinct strictement isolé du reste du réseau (par firewall, routeur filtrant, etc.) ?

Procède-t-on régulièrement à une revue des connexions autorisées (standards et non standards ) et de leur pertinence ?

Sureté de fonctionnement des éléments d’architecture du réseau local A-t-on analysé chaque domaine de sécurité pour déterminer les exigences de continuité de service et en a-t-on déduit, si nécessaire, une architecture de redondance au niveau des points d'interconnexion, des équipements et du maillage du réseau ?

A-t-on vérifié, par une analyse de la charge moyenne et crête de chaque segment de réseau, la compatibilité du réseau et de ses équipements avec cette charge et cette vérification est-elle régulièrement réactualisée ?



Cette analyse a-t-elle été complétée par une étude des capacités du réseau à assurer les communications dans tous les cas de pannes simples de liaisons ou d'équipements ?

Télépilotage de l’exploitation du réseau local L'exploitation du réseau local est-elle pilotable à distance ? Le poste (ou l'installation) de pilotage distant dispose-t-il de tous les outils de pilotage habituellement utilisés (et de toutes les licences nécessaires) ?

La gestion des priorités permet-elle au pilotage distant de désactiver ou d'empêcher toute action de pilotage depuis l'intérieur ?

Organisation de la maintenance des équipements du réseau local Tous les équipements du réseau local sont-ils couverts par un contrat de maintenance ?

En a-t-on déduit des clauses particulières et adaptées à ces exigences dans les contrats de maintenance ?

Les pénalités en cas de non tenue des engagements par le titulaire du contrat de maintenance sont-elles réellement dissuasives ?

Tableau 18 : Extraits du questionnaire d’audit du réseau local Ces tableaux et graphiques nous permettent de faire un reporting sur la vulnérabilité de la société. Bien que ce ne soit pas la finalité de la méthode Méhari, cela nous facilite la comparaison de diverses cellules du même type et nous permettra un suivi dans le temps de cette vulnérabilité. (Voire annexe - Figure 3) II.5.3.3 Evaluation de la gravité des scénario

La base de connaissances Méhari offre une liste de scénarii types ainsi que les six formules indiquant les sous services utilisés pour chaque type de mesure (Structurelle, Dissuasive, Préventive, de Protection, Palliative, de Récupération). 06 Altération des données 10 Accident de traitement 11 Accident d’exploitation I N Stru Diss Prév Min(01B05 ;01C01) Max(06D01 ; min(07A05 ;07D03)) Prot Pall Récup

Min(08B04 ;07E03) Min(07D05 ;08D02) Min(01D02 ;01D05)

12 Altération accidentelle des donnée pendant la maintenance I N Stru Diss Prév Min (01B05 ; 01C01) Max(07A05 ;09C01) Prot Pall Récup Min (08B04 ; 07E03) Min (07D05 ; 08D02) Min (01D02 ; 01D05) 20 Erreur de saisie 21 En amont de la saisie I E Stru Diss Prév Min (01B05 ; 01C01) 08B03 Prot Pall Récup 08B04 Min (07D05 ; 08D02) Min (01D02 ; 01D05) 22 Lors de la saisie I E Stru Diss Prév Min(01B05 ;01C01) 08B03 Prot Pall Récup 08B04 Min (07D05 ; 08D02) Min (01D02 ; 01D05)

Tableau 19 : Extraits de l’évaluation de la gravité des scénarii (source CLUSIF 2007 – Base des connaissances)



Pour illustration, les scénarii 6.22 qui concerne l’altération de données ayant pour cause une erreur de

saisie de données et pour origine, nous avons quantifié les mesures structurelles par la formule : Min (01B05 ; 01C01), cela signifie que les sous services 01B05 : « Sensibiliser et former à la sécurité » et 01C01: "Motiver le personnel" sont impliqués dans la quantification de ces mesures structurelles.

En se penchant su l’ensemble des sous services de la base des connaissances Méhari 2007 impliqués dans

la quantification des six types de mesures pour ce scénario, le constat qui se dégage est qu’ils appartiennent au type de cellule Entité, Production Informatique et Sécurité Applicative, nous dirons que ce scénario s’appuie sur ces trois types de cellules pour se réaliser. (Voire annexe - Figure 4)

Pour un scénario type et les cellules associées (par exemple le scénario 622 du tableau précédent se

réalisant dans les cellules Entité et Production Informatique et Sécurité Applicative), on calcule pour chaque type de mesure (Structurelle, Dissuasive, Préventive, de Protection, Palliative de Récupération), l’efficacité de celle-ci : Eff-Stru, Eff-Diss, Eff-Prev, Eff-Prot, Eff-Recup. Pour cela, on utilise les formules associées à chaque type de mesure du scénario type étudié.

Réplication du scénario dans les cellules Code Domaine de

l’organisation Domaine de la sécurité des serveurs

Domaine de la sécurité des application

Expo Diss Prév Prot Pall Recup P RI G

06.21/1 Entreprise Menara Préfa

Exploitation des serveurs

Application Adonix

4 - 1 1 1 1 4 1 4



Application Agirh

4 - 1 1 1 1 4 1 4



Application Optitime

4 - 1 1 1 1 4 1 4

Tableau 20 : Extrait du tableau du calcul des statuts détaillés (Voire annexe - Figure 5)

On déduit la potentialité STATUS-P à partir des trois statuts de potentialité (STATUS-EXPO, STATUS-DISS, STATUS-PREV) en utilisant la grille correspondant au type de scénario (PMALVEILLANCE, P-ERREUR, P-ACCIDENT). (Voire annexe - Figure 6) Le scénario 06.22 : “ Altération de données par erreur lors de la saisie ” est de type Erreur. III.5.3.4 Expression des besoins de sécurité

Les besoins de sécurité sont déduits de l'évaluation de la gravité des scénarii et de l'appréciation, aussi objective que possible des services de sécurité ayant une influence sur cette gravité.

Les principaux soucis de tous les acteurs de la sécurité est naturellement de réduire à leur strict minium les

risques insurmontables (en priorité) puis inadmissibles, jusqu’à ce que le niveau du sinistre potentiel passe sous la barre du seuil fixé comme ne devant pas être franchi.



L’expression des besoins de sécurité sera donc, d'abord, l'expression des besoins de mesures spécifiques répondant aux risques majeurs (insupportables puis inadmissibles) découlant de l'étude des scénarii les plus graves.

Mais, s’il est crucial de réduire ces risques majeurs, il est également impératif de veiller à ce que chaque

entité applique des mesures de sécurité générale qui soient conformes aux choix définis par la politique de l’entreprise et répondent à ses risques courants. C’est pourquoi l’expression des besoins se traduira, outre la mise en place des mesures spécifiques au domaine étudié, par un ensemble de mesures résultant d’une comparaison entre le niveau de qualité des mesures en place et le niveau spécifié par la politique de sécurité de l’entreprise.

Mesures générales pour la cellule Entreprise Menara préfaNote Code Sous service 1.7 01A03 Système général de reporting et de gestion des incidents 1.8 01C01 Engagements du personnel, clauses contractuelles 2.0 01A01 Organisation du management et du pilotage de la sécurité

générale 2.0 01B02 Directives générales relatives à la protection de l’information 2.0 01B03 Classification des ressources 3.0 01A02 Organisation du management et du pilotage de la sécurité des

systèmes d’information 3.0 01A04 Organisation des audits et du plan d’audit 3.0 01B01 Devoirs et responsabilités du personnel et du management 3.6 01C04 Sensibilisation et formation à la sécurité

Tableau 21 : Extrait du tableau de l’expression des besoins de sécurité de la cellule Entreprise Menara préfa (Voire annexe - Figure 7)

Pour élaborer le plan d'action des mesures générales, nous prendrons en compte les contraintes organisationnelles, techniques mais aussi financières. Pour l'ensemble des mesures générales nous pourrons traiter les sous services utilisant des aspects légaux ou réglementaires

II.3.2.4 Plan opérationnel d’entreprise

Le Plan Opérationnel d’Entreprise (POE) est la consolidation des actions de sécurité engagées dans chaque unité. C’est dans cette phase que l’on doit positionner des indicateurs de sécurité pour suivre l’évolution du niveau de sécurité globale de l’entreprise. Ces indicateurs permettront de surveiller les points sensibles ou névralgiques de l’entreprise et à la Direction Générale de suivre l’évolution du niveau global de sécurité en fonction de objectifs définis.

Le POE donnera lieu à l’établissement d’un tableau de bord et pourra aussi être l’occasion d’un équilibrage

entre les unités de l’entreprise. Si de nouveaux besoins apparaissent (en raison de la vie même de l’entreprise) la politique et les objectifs

de sécurité doivent être modifiés et les phases 1 à 3 réitérées.



III.5.4.1 Choix d’indicateurs représentatifs

En raison des objectifs de sécurité que nous a fixé la Direction Générale au niveau de l’élaboration du plan stratégique de la sécurité, le choix des indicateurs portera sur les scénarios suivants : - Pour assurer la production :

01.12 Départ de personnel stratégique d’exploitation Ce scénario concerne directement les ressources humaines

02.21 Incendie dans une corbeille à papier Ce scénario concerne directement les locaux

Tableau 22 : Choix des indicateurs représentatifs de la production - Pour assurer la confidentialité et le secret de fabrication :

05.14 Bombe logique dans un logiciel par un utilisateur Ce scénario concerne directement les traitements informatiques

10.51 Perte de fichiers par vol dans un bureau Ce scénario concerne directement les structures support

Tableau 23 : Choix des indicateurs représentatifs de la confidentialité et le secret de fabrication - Pour assurer la disponibilité des moyens de communications :

01.23 Accidents ou panne grave rendant indisponible une ressource matérielle informatique (serveur, réseau, LAN, WAN, etc.) Ce scénario concerne directement les traitements informatiques

Tableau 24 : Choix des indicateurs pour assurer la disponibilité des communications III.5.4.2 Elaboration d’un tableau de bord de la sécurité de l’entreprise

Le tableau de bord pourra permettre d’apprécier par exemple la gravité des scénarii retenus à l'étape précédente. L’appréciation du niveau de cette gravité sera réactualisée à une fréquence déterminée par l'entreprise (Voire annexe - Figure 8).

Famille Libellé de la famille de scénarii Gravité initiale Gravité finale02 Destruction d’équipements 3 2 03 Performances dégradées 3 2 08 Divulgation des données 3 2 09 Détournement des fichiers de données 3 3 12 Poursuite judiciaire 3 3

Tableau 25 : Gravité initiale et gravité finale par famille de scénario

III.5.4.3 Rééquilibrages et arbitrages entre les unités

Les rééquilibrages et les arbitrages budgétaires entre les unités seront déterminés en fonction des ressources (humaines et financières) disponibles que l'entreprise peut accorder aux différentes unités pour mettre en œuvre les plans opérationnels de sécurité.



III.5.4.4 Synthèse La mise en place d’une démarche sécuritaire basée sur MEHARI est de nos jours une des plus fiables dès lors qu’elle est menée avec une volonté de l’instance managériale de l’entreprise. La sécurité ne peut se concevoir sans une maitrise réelle des risques encourus par l’entreprise et ses valeurs. La base de connaissance et des scénarii de risques prédéfinies facilitent l’identification des risques. La division des processus en cellule permet une évaluation des risques à une échelle infinie. La démarche MEHARI est certes assez harassante et exige un véritable audit du système d’information concerné, mais elle a l’avantage d’être bien documentée et régulièrement mise à jour par le Clusif. Enfin, je voudrais dire que l'élaboration d'une charte d'utilisation du réseau informatique et surtout une sensibilisation des utilisateurs du réseau sur le bien fondé de ces mesures de sécurité ainsi que leurs importance sur la pérennité du SI est une étape non négligeable pour l'effectivité de ces mesures.

III.6 Audit technique La première phase de cet audit technique a était axé sur l’analyse de l’architecture réseau.

Afin de mener à bien cet audit, on a élaboré un plan qui précise les points à réaliser. Ce plan est détaillé ci-dessous :

L’analyse l’architecture réseau L’audit des routeurs L’audit des switchs L’audit des firewalls Nokia et Pix de Cisco Les tests de redondances des équipements réseaux Les tests de redondances des serveurs Recommandations



Ci-dessous, l’architecture actuelle qui nous était fournis :

Il s’agit d’une architecture d’un réseau, plus précisément le nœud Internet, dont les équipements réseau et serveurs sont redondés dans deux salles différentes. L’objectif étant d’assurer une haute disponibilité du réseau. La liaison entre les deux salles se fait par fibre optique.

Le premier niveau de firewalls est composé de deux Nokia IP380 avec IP Clustering. Ces deux firewalls sont utilisés en partage de charge et comportent des DMZ publics.

Le deuxième niveau de pare feu est composé de deux Pix Cisco en mode actif/passif.



On a noté les points suivant :

Le serveur de répartition de charge M30 est placé dans la zone DMZ public (SW3)

Le schéma n’indique pas clairement les connexions entre les différents équipements. Ainsi, il est impossible de savoir à partir du schéma le câblage entre les switchs (réseau d’administration), d’identifier les lignes doublées entre routeur et switch…

Le switch SW3 comporte 7 ports Ethernet actifs au lieu de 3 indiqués dans le schéma. 6 ports sont identifiés :

o Liaison vers Nokia

o Liaison vers DNS

o Liaison vers relais

o Liaison vers réseau d’administration

o Liaison vers serveur (application)

Le switch SW11 comporte 5 ports Ethernet actifs au lieu de 3 indiqués dans le schéma. 4 ports sont identifiés :

o Liaison vers Pix

o Liaison vers serveur base de données

o Liaison vers serveur PKI


Le switch SW13 comporte 5 ports Ethernet au lieu de 3 indiqués dans le schéma. Les ports identifiés sont :

o Liaison vers Pix

o Liaison vers serveur Web

o Liaison vers serveur de répartition de charge

o Liaison vers serveur CFT


La console d’administration M25 est branchée au switch SW10

Le switch SW2 et SW1 ne sont pas administrables à partir du réseau d’administration (absence de connexion entre le switch SW1 (resp SW2) et le switch d’administration SW10 (resp SW9))

Le réseau isolé des blades est connécté au réseau du nœud Internet par l’intermédiaire du port d’administration des switchs (port actif).

III.6.1 Audit des routeurs

L’audit des routeurs a comme objectif d’analyser la configuration des routeurs externes M1 et M2 utilisés pour les connexions Internet.



Les points positifs :

Mots de passe crypté

Filtrage des adresses

Administration à distance

Routage statique

Les points à améliorer :

Utilisation de telnet

Permission de telnet depuis des postes Internet (externe)

SNMP activé (RO public)

III.6.2 Audit des switchs

L’audit des switchs a comme objectif d’analyser la configuration des différents switchs du nœud Internet.

Les points positifs :

Mots de passe crypté

Mode de communication en full duplex

Utilisation du protocole spanning-tree pour éviter les boucles

Administration à distance

Accès restreint par http sur, à la fois, l’adresse MAC ET l’adresse IP

Utilisation d’un VLAN administratif pour l’administration des Switch

Les points à améliorer :

SNMP activé (RO public)

Centralisation de la création et la modification de VLAN (configuration VTP)

Les switchs du nœud Internet sont des catalist C2950 avec la version de l’IOS 12.1(22)EA4. Ces switchs sont placés dans les DMZ, ils servent pour interconnecter les équipements réseau (Routeurs et firewall) et les serveurs (DNS, Relais, serveurs web, LVS…). Pour chaqu’un des switchs, un port est configuré en VLAN par défaut qui est le VLAN d’administration. Tous les ports du switch SW10 (resp SW9) sont configurés en VLAN par défaut et les autres switchs en sont cascadés. La DMZ d’administration (liée à SW10/SW9) sert pour administrer tous les switchs qui sont visible via leurs adresses IP du VLAN par défaut.

En plus du VLAN par défaut, chaque switch contient un autre VLAN (deux autres dans le cas de SW16/SW15) pour les communications entre les serveurs d’une DMZ et leurs passerelles par défaut.



La gestion des VLANs se fait par le protocole VTP. Les switchs SW1 et SW2 sont en mode VTP server, les autres switchs sont en VTP transparent. MENARA-PREFA est le domaine VTP auquel appartient tous les switchs.

III.6.3 Audit des firewalls

L’audit des firewalls a comme but de contrôler la conformité de la configuration appliquée aux règles de sécurité annoncées.

Audit des firewalls Nokia

Les firewalls Nokia sont disposés en clustering. Un réseau de synchronisation à travers des switchs SW16 et SW17 assure la synchronisation des deux équipements.

Les deux firewalls Nokia sont en partage de charge pour toutes les connexions entrantes et sortantes .

Audit des firewalls Pix de Cisco

Les firewalls Pix de Cisco sont configurés en mode actif/passif. Ainsi, le firewall M13 est actif pendant que le firewall M14 est utilisé en FailOver.

Les deux firewalls comporte la même configuration hors la possibilité de filtrage URL qui est absente en cas de basculement. Cette partie de disponibilité va être traité dans le chapitre suivant.

III.6.4 Recommandations

-Recommandations organisationnelles et physiques

Parmi les recommandations, il y’a :

• Les badges ou cartes matérialisant les autorisations d'accès aux sites doivent etre personnalisés avec le nom du titulaire et sa photo

• La nécessité de mettre en place un système opérationnel de détection des intrusions sur le siège du groupe, relié à un poste permanent de surveillance.

• La protection des circuits et des équipements contre la foudre doit faire objet d'un audit régulier. • Définir un ensemble de règles pour qu'une entité puisse être connectée au réseau étendu

considéré comme un espace de confiance. • Mise en place d’un mécanisme d'authentification et de contrôle d'accès de l'entité appelante avant

tout accès au réseau local depuis le réseau étendu. • Mise en place d’une équipe (hot line) accessible en permanence, chargée de recueillir les appels

liés au réseau étendu et au applications systèmes et de signaler et d'enregistrer tous les incidents. • établir un plan de sauvegarde, couvrant l'ensemble des configurations du réseau local, définissant

les objets à sauvegarder et la fréquence des sauvegardes. • rédigé une politique de sécurité spécifique à l'usage du personnel d'exploitation des systèmes

d'information. • La procédure d'attribution des autorisations d'accès doit nécessiter l'accord formel de la hiérarchie

(à un niveau suffisant) .



-Recommandations Techniques

Parmi les recommandations, il y’a :

Mise en place d’une solution de filtrage URL

Mise en place des HIDS (Host IDS) au niveau des serveurs

Acquisition de firewall redondant

Acquisition d’une solution Reverse Proxy

Mise en place d’un segment dédié pour l’administration des équipements

Mise en place du protocole ssh

Supervision de l’ensemble des équipements à partir d’un serveur

Toutes ces améliorations, en plus de la redondance des serveurs publics et l’acquisition d’une solution de répartition de charge vont permettre au groupe Menara de disposer d’une architecture réseau de haute disponibilité.

Néanmoins, on a pu relevé des éléments qui peuvent entraîner l’indisponibilité du service ou nuire à la sécurité réseau de l’organisme. Ces éléments sont développés sous forme de recommandations.

Architecture réseau

Vu la complexité de l’architecture réseau du groupe MENARA, il est nécessaire de s’assurer d’une identification rapide et simple des différents équipements réseau au niveau de la salle informatique. Le système d’identification (étiquetage ou câble coloré) mis en place doit faciliter la reconnaissance des différents équipements et ainsi garantir une intervention plus rapide et efficace des équipes de maintenance et technique.

La documentation technique doit être mise à jour y compris le schéma descriptif de la nouvelle architecture du nœud Internet.

Routeurs

Les routeurs Cisco répondent aux besoins du groupe MENARA. Par conséquent aucune recommandation n’est à faire.

Switchs

Les switchs supportent la norme VLAN. Ainsi il est conseillé de centraliser la gestion des VLANs dans un seul switchs.

Firewalls

Les firewalls Nokia et Cisco répondent aux besoins du groupe MENARA. Par conséquent aucune recommandation n’est à faire.



Conclusion général et perspective

Pendant le déroulement de mon stage, j’ai eu l’opportunité de travailler sur un thème très intéressant et d’actualité et qui s’aligne parfaitement avec ma formation. Le travail s’est avéré très enrichissant pour mon expérience professionnelle aussi bien dans l’aspect technique que l’aspect humain qui m’a permis d’avoir une vision détaillée de l’audit de sécurité.

L’objectif était d’implémenter la norme ISO 27001 au sein du groupe Menara et d’aligner cette dernière avec les recommandations des normes.

Ainsi, vu le nombre très restreint des cabinets spécialisé dans l’audit de sécurité et aussi des entreprises certifiées ISO 27001 au Maroc (3 entreprises en tout), y’avais pas assez d’articles ou documentation autour ce sujet. Ce qui nous a poussez à fournir un énorme effort afin d’assimiler le maximum de cette toute nouvelle approche en un très peu de temps, un grand défi à entreprendre.

Au début de la mission, nous avons était confronté à bien géré les interfaces entre le maitre d’ouvrage (groupe MENARA) et le titulaire (NetSec) ainsi que de bien exploiter et préserver les données confidentiels qu’on a recueillis, ce qui a présenté pour nous un important challenge aussi qu’une grande responsabilité.

Ceci a grandement enrichie mes connaissances et capacités soit au niveau technique (l’approche ISO 27000), et au niveau de la maitrise d’un important outils informatique (Logiciel RISICARE), ainsi que de perfectionner mes connaissances liés au aspect sécuritaire des SI.

Aussi cela était extrêmement bénéfique sur le plan relationnel, vu que j’ai effectué moi et mon binôme plusieurs réunions avec différents responsables du groupe MENARA.

Cette périodes de 8 semaines, m’a permis de prendre conscience de l’importance du savoir-être (être dynamique, être motivé, autonomie) et des relations humaines, seules qualités capables de faire avancer les choses.

Je garderais un très bon souvenir de ce stage où chaque personne m’a accorder un peu de son temps et a bien voulu me transmettre une partie de son savoir-faire et savoir-être.



Glossaire CLUSIF : Club de la sécurité de l’information français Audit : C’est une procédure de contrôle de la gestion d'une activité et de l'exécution de ses objectifs. En matière de systèmes d'information, l'audit de sécurité a pour objectif de mesurer l'écart entre la situation existante (sur les plans organisationnels, procéduraux et techniques) et la politique de sécurité de l'entreprise, les bonnes pratiques et l'état de l'art. Confidentialité : Prévention d'une divulgation non autorisée de l'information. Propriété qui assure que seuls les utilisateurs habilités ont accès aux informations. Intégrité : Elle permet que les informations et les logiciels sont complètes, exactes et authentiques. C’est l’intégrité qui peut nous assurer sur que le fait que les données sont effectivement ce qu’on croit qu’elles sont. Quand on parle d’intégrité réseau on fait référence aux procédures et techniques visant à garantir que les informations et données reçues sont bien celles qui ont été envoyées. Leur contenu doit être intégral et non modifié, les liens reliant des nœuds sources et des nœuds de destination devront aussi être valides. ISO 27002 : Norme internationale constituant un « guide de bonnes pratiques » en matière de sécurité de l’information (anciennement ISO 17799:2005). MEHARI : Méthode harmonisée d’analyse des risques, développée par le CLUSIF. Voir http://www.clusif.asso.fr/mehari/. RSSI : Responsable de la Sécurité des Systèmes d'Information « responsable du maintien du niveau de sécurité du Système d'Information. » Système d’information : SI. Représente l'ensemble des éléments participant à la gestion, au stockage, au traitement, au transport et à la diffusion de l'information au sein d'une organisation. Firewall : Pare-feu. Equipement placé entre deux réseaux, généralement entre un réseau public et un réseau privé ayant pour mission de protéger ce dernier et de contrôler les paquets entrants comme sortants. Le contrôle est effectué par filtrage selon différents critères (IP, application, heure, contenu etc) ou authentification.

Audit sécurité :Signifie l’intervention de spécialistes, utilisant des techniques et des méthodes adéquates, pour évaluer la situation de la sécurité d’un système d’information et les risques potentiels.

Système d'information : Désigne l’ensemble des entités et moyens (structures, personnel, outils logiciels, équipements de traitement, équipements réseaux, équipements de sécurité, bâtiments,..) en relation avec les fonctions de traitement de l'information.

Mission : Signifie toute action d’audit, de test, de vérification y compris la rédaction des rapports, les déplacements, la collecte de données, l’analyse des tests, et toute autre action assurée par le titulaire pour le compte du Maître d’Ouvrage dans le cadre de la bonne exécution du marché.

ADONIX : est un progiciel de gestion intégré en environnement Client serveur et web destiné aux PME/PMI et filiales de grands groupes. ADONIX a capitalisé plus de vingt ans d’expérience et de savoir-faire dans les domaine de la finance(comptabilité générale, tiers, analytique, Budgétaire, immobilisations), du négoce (achats, ventes, stocks, relation client) et de la gestion de production.



Bibliographie Auditware - Formation certifiante ISO 27001 Lead Auditor. IOS/IEC 27001:2005 PDF Version. IOS/IEC 17799:2005 PDF Version. IOS/IEC 27002:2007 PDF Version. IOS/IEC 27005:2005 PDF Version. MEHARI 2010 – Manuel de référence. SOLUCOM – Livre Blanc ISO/IEC 27001. SOLUCOM – SMSI Oui ! Certification ? Peut-être … SSI Groupe 4 – Livre Blanc. Webographie http://www.iso.org http://www.standardscentre.co.uk http://iso27001standard.com/ http://www.clusif.asso.fr/ http://www.risicare.fr/ http://www.symantec.com http://www.itu.int www.itu.int http://www.cases.public.lu http://fr.wikipedia.org

http://www.iso.org/

http://www.standardscentre.co.uk/

http://iso27001standard.com/

http://www.symantec.com/



Annexe

Figure 1



Figure 2

Figure 3



Figure 4

Figure 5

Figure 6



Figure 7

Figure 8

Documents

NetSec Compétence