Memoire Online - Etude, conception et mise en ?uvre d?un systeme de surveillance par detection d?intrusion dans un reseau informatique (cas de la banque finca)

ETUDE, CONCEPTION ET MISE EN OEUVRE D'UN SYSTEME DE SURVEILLANCE PAR DETECTION D'INTRUSION DANS UN RESEAU INFORMATIQUE

Travail présenté et défendu en vue de l'obtention du grade d'Ingénieur en Sciences Informatiques

ETUDE, CONCEPTION ET MISE EN OEUVRE D'UN SYSTEME DE SURVEILLANCE PAR DETECTION D'INTRUSIONDANS UN RESEAU INFORMATIQUE

PLAN SOMMAIRES

EPIGRAPHE

« Ne vous fiez pas aux protections et aux pare-feu pour protéger vos informations. Surveillez les points les plus vulnérables. Vous constaterez que c'est votre personnel qui constitue le maillon faible »

" L'art de la Supercherie', Kevin D. Mitnick et William L. ; éditions Campus Press.

«Qui connaît l'autre et se connaît, en cent combats ne sera point défait; qui ne connaît l'autre mais se connaît, sera vainqueur une fois sur deux; qui ne connaît pas plus l'autre qu'il ne se connaît sera toujours défait.»

DEDICACE

Je dédie ce mémoire à mon père Bertin NKITABUNGI et ma mère Pauline BUAKUDIYI.

AVANT-PROPOS

Avant d'entamer notre présent mémoire, nous tenons à adresser nos remerciements à Dieu tout Puissant et Grand, qui a les noms advint.

Je tiens à remercier tous ceux ou celles qui, de près ou de loin, ont contribué à la réussite de ce travail. Je désire remercier tout particulièrement mon directeur de recherche, le Professeur Msc Phd. Blaise FYAMA MWEPU sans qui cette aventure n'aurait vu son épilogue si tôt. J'ai beaucoup appris avec lui et m'a fait aimer le travail propre. Votre modestie, support, vos conseils et encouragements m'ont de m'améliorer. J'ai adoré votre façon de me guider tout en me laissant la liberté de décider. Merci pour tout.

Mention spéciale à l'Assistant Cyrille Paul MYAMPI qui en a assuré la Co-direction, qui a pris le temps de relire et de corriger tout ce mémoire, chapitre par chapitre a?n de le dépouiller de toutes sortes d'erreurs.

Nous avons l'insigne honneur de remercier toutes les autorités académiques, ainsi qu'au corps professoral de l'université Liberté « UL » en sigle pour leurs conseils et formations dont nous sommes bénéficière, qu'elles trouvent ici l'expression de notre profonde gratitude.

Ma profonde gratitude à mon berger spirituel KAZADI WA KALENGA, à mes frères et soeurs pour vos encouragements entre autre : Jean-Paul KAPUKU, Bernard LUSAMBA, Annie NGALULA, Monique KAPINGA, Thérèse TSHITA, Jean-Bosco NGALAMULUME, Célestin LUPATI, Patric KANYINDA, Junior NTUMBA, Modeste KAMBALA, Gentil KAYEMBE à mes neveux, nièces, cousins, cousines, beaux-frères, belles-soeurs pour plusieurs actes de soutien de leur part que je ne saurai pas décrire ici.

Mes remerciements sincères vont également à l'encontre de tous ceux et celles qui ont rendu agréable ce séjour à Lubumbashi et précisement à l'Université Liberté surtout en sciences informatiques des réseaux et télécommunications plus importants pour moi (mes compagnons) entre autres : Isaac KABUYI, John BWALESO, Chadrack KIBEMBE, Daniel KABAMBA, Robert ILUNGA, Elie NTUMBA, Ambrice CHILOMBO, Reagan MUHIYA, Mardochée MONGA, Jean MWILAMBWE, Marjorie ILUNGA, Guellord MUTOMBO, Benjamin MUJINGA, Céléstin TSHILOMBO, Delphin MUKONKOLE, Guy-Mika MWIMANIKA, Beatrice MBUYItous les compagnons que nous n'avions cités sentez-vous à l'aise et sans oubliez mes amis et connaissances Augustin AKULAYI, Trésor MPUTU, Salomon LUISHIYE, Salomon KASEYA, Pierrot KABUAYI, Moise KANYINDA, Clément NTUMBA MULUME, Cardozo MUAMBA, Grégoire TSHIBWABWA, Arthur NGONGO pour vos encouragements dans les pires et bons moments passés.

En?n, mon dernier et plus gros mot de remerciement va à ceux qui m'ont donnée naissance ainsi qu'à tous mes grands-mères qui n'ont jamais cessé de m'encourager. Grâce à vous et que mon Dieu vous benisse.

LISTE DES ABREVIATIONS

· ANSSI : Agence Nationale Française de la Sécurité des Systèmes d'Information

· FINCA/RDC : The Foundation International Community Assistance/République Démocratique du Congo

LISTE DES TABLEAUX

TABLE DES ILLUSTRATIONS

INTRODUCTION GENERALE

1. CONTEXTE D'ELABORATION

Au jour d'aujourd'hui, les entreprises centralisaient ayant plus de sites, en stockent une grande partie de l'information, qui est numérisée sur des supports électroniques et par conséquent, elle devient plus facile d'accès par l'intermédiaire de réseaux d'ordinateurs ou Internet. C'est pourquoi sécuriser les accès réseaux, les données confidentielles et serveurs devient un des premiers soucis de l'entreprise. D'où il est nécessaire de mettre en place un système de détection d'intrusion pour compléter les autres systèmes de sécurité, consistant à identifier ou analyser des attaques ou des violations de sécurité issues du réseau de surveillance et des activités hébergées ; il découvre le scénario d'attaque et l'exploitation non conforme du système informatique. Cette surveillance contribue à éviter le renouvellement des attaques en bloquant les sources d'attaques et en corrigeant les vulnérabilités du système et en plus une détection précoce d'un scénario d'attaque permet de stopper rapidement son développement pour éviter des dégâts plus graves et mettre fin à l'introduction sans autorisation dans un lieu dont l'intrus n'est pas propriétaire à l'intérieur du réseau local ou celles passées inaperçues à travers ce dernier.

En effet, un outil de gestion comme PortSentry, Tripwire, Logcheck et Bro IDS visent à atteindre quatre buts fondamentaux lors du déploiement de politiques de sécurité : l'exactitude, la confidentialité, la sécurité et la vitesse. Et partant de l'objectif de la banque FINCA qui vise à fournir des services financiers aux entrepreneurs de faibles revenus du monde permettant ainsi de créer des emplois, générer des capitaux, et améliorer leur niveau de vie faible via les cartes bancaires, etc.

Donc, notre travail s'inscris dans le cadre d'étudier, concevoir et mettre en oeuvre un système de surveillance par detection d'intrusions dans un réseau informatique pour la Banque FINCA afin de la faire survivre avec peu de menaces.

2. PROBLEMATIQUE ET HYPOTHESES

2.1. Problématique

«Même si la sécurité informatique ne se limite pas à celle du réseau, il est indéniable que la plupart des incidents de sécurité surviennent par les réseaux, et vise les réseaux »[1].

Depuis déjà plusieurs dizaines d'années, la Banque FINCA a étendu ses activités sur l'ensemble du territoire national de la République Démocratique du Congo. A cet effet, plusieurs succursales ont été ouvertes. Cette situation a nécessité à la Banque FINCA de se doter des moyens humains et techniques conséquents basés essentiellement sur les nouvelles technologies de l'information et de la communication. L'avènement de cette firme dans la province du Haut-Katanga a changé la donnée du marché et les besoins auprès des consommateurs ; elle a su remettre en cause le système monopoleur. Avec cela, la concurrence a pris une toute autre tournure et pour cela, la Banque FINCA a besoin, pour assurer sa pérennité et son avantage économique, de sécuriser l'ensemble de son infrastructure réseau.

En effet, l'infrastructure actuelle est de type en étoile centralisée c'est-à-dire que l'on se connecte à distance via VPN sur le réseau WAN pour accéder aux applications de gestion comme l'Orbit banking. Un modem pour la connexion et un routeur VPN est placé à l'entrée du réseau interne afin de le sécuriser des accès non autorisés. Mais il se pose un sérieux problème de piratage, interruption et l'intrusion dans leur réseau.

Car depuis quelques mois déjà, il ne répond pas efficacement : manque d'un système de détection d'intrusion physique et logique pour limiter les intrusions, manque des post-détecteurs pour bloquer les scannages des ports par les intrus, le redémarrage inattendu des ordinateurs, le flux des réseaux à l'entrée aléatoire. Cette situation est de plus en plus préoccupante du fait que sa maintenance n'est effectuée que par les techniciens du GEA^1(*). Ce qui coûte à l'entreprise et crée parfois des interruptions de service et un manque à gagner à la Banque FINCA.

Hors les enjeux de sécurité s'accroissent et il convient de tenir compte des nouvelles attaques et au mieux de les prévenir.

Partant de ce constat, une problématique majeure se pose dont les questions sont élucidées comme suit :

· Comment étudier et cerner les impacts des problèmes ci-haut cités sur l'infrastructure réseau de FINCA ?

· Comment rendre opérationnelle la sécurité optimale après étude et analyse ?

2.2. Hypothèses

L'hypothèse est une proposition de réponse aux questions que l'on se pose à propos de l'objet de la recherche formulée en terme tel que l'observation et analyse puissent fournir une réponse. [2]

Pour nous, une hypothèse est une réponse provisoire aux questions que le chercheur s'est posé dans la problématique. En effet, elle devra tenir compte d'un certain nombre d'éléments inhérents à la sécurisation des systèmes en vue de répondre efficacement à cette problématique :

· En faisant une analyse des risques, évaluer ce qui est critique en vue de minimiser les interruptions, les piratages et réduire à un niveau acceptable les problèmes ci-haut cités ;

· La solution à cette question revient à dire que, c'est en faisant le déploiement d'un système de détection d'intrusion sur l'infrastructure réseau, qui permettra de répondre aux imperfections de cette architecture pour limiter les redémarrages inattendus des ordinateurs ;

· C'est en implémentant, la solution BRO IDS accouplés avec les post-détecteurs sur serveur Linux connecté sur un switch central pour analyser tout paquets suspects circulant sur le réseau et alerter l'administrateur réseau par un e-mail ou les fichiers log à l'amiable en vue de bloquer les menaces sans qu'il endommage le système.

3. METHODES ET TECHNIQUES

3.1. Methodes

Pour une bonne rédaction, tout travail scientifique nécessite et oblige l'utilisation des méthodes et techniques. Le mot « méthode » tire son origine du grecque « méta » qui signifie chemin à suivre pour atteindre l'objectif.

La méthode est l'ensemble des opérations intellectuelles par lesquelles une discipline cherche à atteindre les vérités qu'elle poursuit, les démontrées et de vérifier.[3]

C'est pourquoi faisant abstraction aux méthodes scientifiques générales et en utilisant les méthodes utilisées dans notre domaine et dans ce dernier, nous avons fait l'usage des méthodes suivantes :

· La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), est une méthode assez reconnue et fait référence dans le domaine de la gestion des risques des systèmes d'information et consiste à formaliser les objectifs et les exigences de sécurité adaptés au contexte du système étudié. Cette méthode vise la sécurisation des « gros » systèmes d'information et s'appuie sur le standard ITsec. La démarche méthodologique permet d'impliquer l'ensemble des acteurs du système d'information dans la problématique de la sécurité.

· La méthodeOCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation) s'oriente vers la gestion des risques portant sur les systèmes opérationnels (information, systèmes, logiciel, matériel, personnes) qui ont un effet immédiat sur l'organismeet couvre l'ensemble des processus métiers de l'entreprise aux nouveaux organisationnels et technique. Cette dernière suppose la constitution d'une équipe pluridisciplinaire comprenant des membres de tous les services de l'entreprise et leur permettra d'améliorer leur connaissance de leur entreprise et de mutualiser les bonnes pratiques de sécurité ;

· La méthode Top-down design est une méthodologie qui commence au plus haut niveau d'un concept de design et se dirige vers le plus bas niveau permettant de limiter et de conceptualiser rapidement le projet et de le diviser en sous-parties aisément manipulables. Elle permet donc d'avoir une estimation rapide, bien qu'approximative, de sa complexité et de son coût avec comme les étapes suivantes : l'identification de besoins et objectifs des utilisateurs (clients), la conception de l'architecture logique du réseau ; la conception de l'architecture physique du réseau et le Test, validation et documentation du réseau, en se basant sur l'approche par signature et par comportement.

3.2. Techniques

Les techniques sont des procédés ou pratiques pouvant aider à concrétiser les principes fixés par la méthode.[4], faisant abstraction pour les techniques générales et nous avons utilisés ce qui est pour notre domaine et pour notre cas nous avons fait usage de : la technique de la gestion de réseau : une démarche algorithmique, d'analyser l'architecture d'un réseau informatique ; de choisir des éléments physiques ; d'optimiser les fonctionnalités du système d'exploitation d'une station de travail ; d'assurer la sécurité des éléments physiques et logiques du réseau informatique ; d'assurer la gestion du parc informatique, de superviser le fonctionnement du réseau informatique, de choisir des logiciels ; d'assurer la gestion de son temps et de la qualité de son travail ; d'assurer le soutien à la clientèle du réseau informatique.

4. CHOIX ET INTERET DU SUJET

4.1. Choix du sujet

Le choix comme l'ensemble d'éléments qui motivent un chercheur d'opter pour un tel sujet plutôt que d'un autre. [5] C'est pourquoi, suite aux interruptions, aux intrusions, vols et falsifications de données dont sont victimes les systèmes informatiques des entreprises, il nous a semblé nécessaire d'étudier les mécanismes de sécurisation desdits systèmes par la mise en oeuvre d'un système de surveillance par détection d'intrusion au sein de Banque FINCA pour limiter l'accès aux personnes non autorisées dans ce dernier.

4.2. Intérêt du sujet

Nous portons l'intérêt de notre sujet sur deux niveaux différents entre autre sur le plan social et scientifique.

· Sur le plan social : s'inscrit dans une perspective devant permettre aux administrateurs systèmes et aux responsables de la sécurité, de trouver des moyens ou outils comme le BRO IDS, PortSentry, Tripwire et Logcheck répondant au mieux à leur contexte de sécurité réseau ;

· Sur le plan scientifique : ce dernierconstitue une référence et une source d'inspiration pour d'autres investigateurs soucieux d'expérimenter ce domaine en ce moment où les scientifiques s'adonnent à écrire dans ce domaine.

5. ETAT DE LA QUESTION

C'est une recherche de savoir « comment d'autres chercheurs ont posé, décomposé et solutionné une équation sociale, semblable sous d'autres cieux ou certaines époques ». [6]

Pour nous, nous définissons l'état de la question comme une recension c'est-à-dire le fait de parcourir la littérature scientifique pour découvrir ce que les autres ont déjà écrit, si le même sujet a été déjà abordé ou traité en vue de faire une démarcation entre les prédécesseurs.L'état de la question sur un sujet de recherche est l'ensemble des conclusions auxquelles ont abouti les travaux antérieurs.

De ce fait, nous ne prétendons pas être le premier à traiter ce sujet, qui parle de l'étude, conception et mise en oeuvre d'un système de surveillance par détection d'intrusion.

Pour plus de précisions, nous rappelons que ce sujet a été déjà traité par d'autres chercheurs qui sont passés avant nous, mais sous une autre forme avec différentes technologies qui sont :

1. Réalisé par DABOUR Imane et HADJI Imène: « Etude et mise en place d'un système de détection/prévention d'intrusion (IDS/IPS) réseau. Etude de cas SNORT», Université Abou Bekr Belkaid Tlemcen, facultés des sciences, département d'informatique, licence en informatique, option informatique générale, 2013-2014 ; les points forts, la mise en place l'IDS Snort pour limiter les intrusions dans un réseau, la maitrise de l'environnement Linux et les points faibles, le snort peut être assimilés à de simples alarmes qui se déclenchent une fois qu'ils découvrent une intrusion, ce qui constitue la limite notoire pour l'IDS Snort, ce dernier non appliqué à l'entreprise. Solution :mettre en place des outils ou mécanismes « post-détection »,c'est à dire des outils àvocation « actives » (permettant par exemple de bloquer la connexion de la machine source) en cas d'intrusion ;

2. Présenté par RAZAFINDRAIBE Tianantenaina : « Etude de sécurité réseaux et mise en place d'un système de détection d'intrusion sous linux », Université d'Antananarivo, école supérieure polytechnique, département télécommunication, 23 Mai 2012 ;les points forts, mise en place de firewall, mise en place de Snort IDS et les points faibles, déploiement assez couteux et difficile à gérer ; solution : la mise en place d'une architecture virtualisé qui permet de déployer plus rapidement et simplement la sécurisation des serveurs ;

3. Présenté par MARFALL N'DIAGA FALL, « Sécurisation formelle et optimisée de réseaux informatiques », Mémoire présentéà la Faculté des études supérieures de l'Université Lavaldans le cadre du programme de maîtrise en informatiquepour l'obtention du grade de Maître ès sciences (MSc.), en octobre 2010; les points forts, la définition de la projection d'une politique de sécurité sur une paire quelconque de noeuds d'un réseau, la définition d'un opérateur de renforcement permettant de générer une configuration sécuritaire et optimale d'un réseau ; les points faibles, manque d'un prototype mettant en oeuvre toute l'approche, sans la méthode de conception de l'architecture réseau de sécurité ; solution : Implémenter un prototype mettant en oeuvre toute l'approche, l'utilisation de la méthode de conception de réseau sécurisé est nécessaire ;

4. Présenté par KAFWAMBA NYEMBO,« mise en oeuvre d'un système de prévention et de détection d'intrusion sous la plate-forme TMG 2010 », mémoire présenté à la faculté de sciences informatiques, option réseaux et télécommunication, Université protestante de Lubumbashi(UPL), 2012 - 2013 ; le point fort, la mise en place de TMG 2010 plus sécurisé ; le point faible, manque d'un mécanisme de post-détection ; solution : mettre un mécanisme de post-détection pour renforcer le TMG 2010 est indispensable.

Ainsi, pour notre cas, nous relèverons les défis ci-haut pour déployer une politique orientée entreprise, nous allons spécifierles méthodesutilisées pour concevoir une architecture qui répond aux normes et un système à trois niveaux, prévoir un système de test pour voir si nos solutions sauront résistée, et enfin, nous utiliserons des technologies accouplées pour un système persistant. Et voici en résumé les outils que nous aurons à utiliser pour concrétiser notre défis entre autres : le BRO IDS qui est outil réseau incorporant les fonctionnalités de Snort pour détecter les tentatives d'attaque réseau, PortSentry qui permet de surveiller les ports de leur système et il effectue une action (généralement d'un blocage) s'il détecte une tentative de connexion sur un port dont nous ne souhaitons pas qu'il soit écouté, Tripwire qui contrôle les changements des fichiers systèmes pour l'analyse d'intégrité, LogCheck qui permet une analyse efficace des logs et enfin le système Kali Linux qui est un outil de test, etc. Tous ces outils sont configurés en parallèles pour apporter une sécurité accrue pour mettre la Banque FINCA dans un refuge.

6. DELIMITATION DU SUJET

Il est vraiment illusoire, si pas extravagant, à un chercheur de baser son étude sur l'ensemble de la planète terre car ces résultats seront infidèle. D'où, nous avons jugé bon de circonscrire dans un cadre spatio-temporel notre dit travail.

6.1. Cadre spatial

En ce qui concerne le cadre spatial, notre étude portera sur la Banque FINCA sise avenue Lomani, l'agence de la ville de Lubumbashi dans la commune de Lubumbashi.

6.2. Cadre temporel

Quant au cadre temporel et pour éviter toute évasion scientifique, notre travail est rédigé au cours du mois d'octobre 2016 jusqu'au mois de juillet 2017.

7. SUBDIVISION DU TRAVAIL

Il faut diviser pour mieux régner dit-on, en d'autre terme scinder pour bien évoluer, ainsi, mise à part l'introduction et la conclusion, ce mémoire sera subdivisé en 4 chapitres qui sont :

- Le chapitre premier s'articulera sur lesNotions de système de detection d'intrusion dans un réseau informatique, nous avons montré, comment fonctionne un système de détection d'intrusion ? Quelles sont les méthodes utilisées par l'IDS pour détecter l'intrusion dans un réseau informatique ? Le diagramme utilisé pour détecter un paquet malveillant circulant dans un réseau, ses qualités requises, ses avantages, ses stratégies utilisées pour détecter une intrusion, ses catégories d'attaques et l'utilisation des agents mobiles dans le système de détection d'intrusion ;

- Le chapitre deuxième portera sur la présentation de l'infrastructure informatique de la banque FINCA, ici il s'agira de la présentation de la Banque FINCA sise avenue Lomani, l'agence de la ville de Lubumbashi dans la commune de Lubumbashi, qui est notre cadre d'étude ; de son analyse critique de son architecture réseau existante afin de relever les anomalies ou les points forts et les pointsfaibles dans le réseau FINCA pour y apporter notre contribution ;

- Le chapitre troisième qui est technique de conception de l'infrastructure réseaude la banque FINCA, nous allons faire une étude de l'identification de notre projet, de la conception d'un nouveau système de sécurité en analysant les besoins fonctionnels et contraintes liées à la mise en place de l'infrastructure réseau ;

- Le chapitre quatrième parlera sur la mise en place d'un système de surveillance par détection d'intrusion dans un réseau de la banque FINCA, dans celui-ci il s'agira de l'implémentation de notre solution type de sonde réseau qui sont des outils réseaux pour détecter les tentatives d'attaque réseau et test de ce dernier.

Et enfin dans la conclusion générale, nous parlons de notre contribution, de ces limites ainsi que des perspectives futures de nos travaux.

CHAPITRE PREMIER : NOTIONS DE SYSTEME DE DETECTION D'INTRUSION DANS UN RESEAU INFORMATIQUE

INTRODUCTION

La plupart des entreprises continue à mettre en place des pare-feux comme moyen de protection principal afin d'empêcher les utilisateurs non autorisés d'accéder à leurs réseaux. Toutefois, la sécurité réseau s'apparente beaucoup à la sécurité "physique", dans la mesure où une seule technologie ne peut répondre à tous les besoins, mais qu'une défense à plusieurs niveaux donne les meilleurs résultats. Les entreprises se tournent de plus de plus vers des technologies de sécurité supplémentaires, pour se protéger des risques et vulnérabilités auxquels les pare-feux ne peuvent faire face. Les solutions IDS (Intrusion Detection System) pour réseaux garantissent une surveillance du réseau permanente.

Ces systèmes analysent le flux de paquets de données du réseau, à la recherche de toute activité non autorisée, telle que les attaques menées par les pirates informatiques (hackers), permettant de ce fait d'y remédier rapidement. Lorsqu'une activité non autorisée est détectée, un système IDS peut envoyer à une console de gestion des alertes accompagnées d'informations détaillées concernant l'activité suspecte. Un IDS peut également ordonner à d'autres équipements, tels que des routeurs, d'arrêter les sessions non autorisées.Ce chapitre a pour but d'aider à distinguer les différents types d'attaques informatiques et classification de l'IDS existants, mais il vise également à expliquer le fonctionnement et la mise en place de différents systèmes de détection d'intrusions afin de protéger les informations publiques et privées.

1.1. DEFINITION

Un système de détection d'intrusions (IDS)est un mécanisme destiné à repérer des activités anormales ou suspectes sur une cible donnée afin de remédier aux problèmes dans les plus brefs délaiset le processus de surveillance des événements se trouvant dans un système des ordinateurs ou du réseau et les analysant pour détecter les signes des intrusions, défini comme des tentatives pour compromettre la confidentialité, intégrité, disponibilité ou éviter des mécanismes de sécurité de l'ordinateur ou du réseau ou ensemble de composants logiciels et matériels dont la fonction principale est de détecter et analyser toute tentative d'effraction (volontaire ou non).[7]

1.2. ROLE ET FONCTION DE L'IDS

Pour surveiller la circulation des paquets sur le réseau. Vous pouvez considérer l'IDS comme une caméra installée devant votre port. Ça pour savoir qui essaye à attaquer à votre réseau.Quand une tentative est réussie en passant votre par-feu, il va peut-être provoquer des menaces. Alors, vous pouvez diminuer des fautes positives en connaissant ces tentatives. Dans l'environnement de NAT est aussi un profit parce qu'il nous permet de tenir l'adresse réelle de la source par mettre en corrélation avec des événements entre le système IDS qui situe avant d'après le par-feu.

Cette technologie vous permettra de vérifier que votre ligne de base du par-feu est suivi, ou que quelqu'un a fait une erreur en changeant une règle de par-feu. Si vous savez que votre ligne de base du par-feu proscrivent l'utilisation de ftp et votre système IDS montre des alertes de ftp, alors vous savez que le par-feu ne bloquepas de trafic de ftp. C'est juste un effet secondaire et ne devrait pas être la seule manière que vous vérifiez la conformité à votre ligne de base.

1.2.1. Principes de fonctionnement des IDS

Pour bien gérer un système de détection d'intrusions, il est important de comprendre comment celui-ci fonctionne : Comment reconnaître/définir une intrusion ?Comment une intrusion est-elle détectée par un tel système ?Quels critères différencient un flux contenant une attaque d'un flux normal ?

Ces questions nous ont amené à étudier le fonctionnement interne des IDS. Il existe plusieurs méthodes permettant de détecter une intrusion :

· La première consiste à détecter des signatures d'attaques connues dans les paquets circulant sur le réseau : l'approche par scénario ou par signature.

· La seconde, consiste quant à elle, à détecter une activité suspecte dans le comportement de l'utilisateur : l'approche comportementale ou par anomalie.

Ces deux techniques, aussi différentes soient-elles, peuvent être combinées au sein d'un même système afin d'accroître la sécurité.

Cette technique s'appuie sur la connaissance des techniques utilisées par les attaquants pour déduire des scénarios typiques.Elle ne tient pas compte des actions passées de l'utilisateur et utilise des signatures d'attaquesexistantes (ensemble de caractéristiques permettant d'identifier une activité intrusive : une chaîne alphanumérique, une taille de paquet inhabituelle, une trame formatée de manière suspecte, ...).

- La recherche de motifs (pattern matching) : C'est la méthode la plus connue et la plus facile à comprendre. Elle se base sur la recherche de motifs (chaînes de caractères ou suite d'octets) au sein du flux de données. L'IDS comporte une base de signatures où chaque signature contient les protocoles et ports utilisés par une attaque spécifique ainsi que le motif qui permettra de reconnaître les paquets suspects.

De manière analogue, cette technique est également utilisée dans les anti-virus. En effet un anti-virus ne peut reconnaître un virus que si ce dernier est reconnu dans sa base de signatures virale, d'où la mise à jour régulière des anti-virus.

- Recherche de motifs dynamiques : Le principe de cette méthode est le même que précédemment mais les signatures des attaques évoluent dynamiquement. L'IDS est de ce fait doté de fonctionnalités d'adaptation et d'apprentissage.

- Analyse de protocoles : Cette méthode se base sur une vérification de la conformité des flux, ainsi que sur l'observation des champs et paramètres suspects dans les paquets. L'analyse protocolaire est souvent implémentée par un ensemble de préprocesseurs (programmes ou plug-in), où chaque préprocesseur est chargé d'analyser un protocole particulier (FTP, HTTP, ICMP, ...). Du fait de la présence de tous ces préprocesseurs, les performances dans un tel système s'en voient fortement dégradées (occupation du processeur).

L'intérêt fort de l'analyse protocolaire est qu'elle permet de détecter des attaques inconnues, contrairement au pattern matching qui doit connaître l'attaque pour pouvoir la détecter.

- Analyse heuristique et détection d'anomalies : Le but de cette méthode est, par une analyse intelligente, de détecter une activité suspecte ou toute autre anomalie (une action qui viole la politique de sécurité définie dans l'IDS).

Par exemple : une analyse heuristique permet de générer une alarme quand le nombre de pings vers un réseau ou hôte est très élevé ou incessant (Ping de la mort).

Cette technique consiste à détecter une intrusion en fonction du comportement passé de l'utilisateur. Il faut préalablement dresser un profil utilisateur à partir de ses habitudes et déclencher une alerte lorsque des événements hors profil se produisent. Cette technique peut être appliquée non seulement à des utilisateurs mais aussi à des applications et services.

Plusieurs métriques (paramètres) sont possibles : la charge CPU, le volume de données échangées, le temps de connexion sur des ressources, la répartition statistique des protocoles et applications utilisés, les heures de connexion, ...

1.2.2. Architecture des IDS

Un IDS est essentiellement constitué d'un sniffer couplé avec un moteur qui analyse le trafic et entreprend des actions suivants les règles définies dans l'IDS. Ces règles décrivent le comportement de l'IDS selon le trafic analysé trafic : Alertes, journalisation des événements dans des fichiers logs.

Un IDS peut analyser les couches suivantes : la couche réseau (IP, ICMP), la couche transport (TCP, UDP) et la couche application (HTTP, Telnet).

Selon le type de trafic, l'IDS accomplit certaines actions définies dans les règles. Certains termes sont souvent employés quand on parle d'IDS :

- Faux positif : une alerte provenant d'un IDS mais qui ne correspond pas à une attaque réelle (Fausse Alerte) ;

- Faux négatif : une intrusion réelle qui n'a pas été détectée par l'IDS.

Le schéma suivant illustre le fonctionnement et les caractéristiques d'un IDS :

Les autres IDS sont en réalité des dérivées de ces familles : les IDS Hybrides, les IPS (systèmes de prévention d'intrusions).Les IDS sont disponibles sous formats :Les logiciels : permettent à n'importe quel administrateur de réseau de l'installer sur son OS. Ils sont faciles à installer, configurer et contrôler. Cependant, cet OS (Windows, Linux) est une distribution dont les failles peuvent être connues des hackers. Il est plus vulnérable si les patchs (programmes de mise à jour) ne sont pas régulièrement installés et que les modules inutilisés de l'OS sont conservés.

- Les NIDS : Les NIDS sont des IDS dédiés aux réseaux. Ils comportent généralement une sonde (machine par exemple) qui « écoute" sur le segment de réseau à surveiller, un capteur et un moteur qui réalise l'analyse du trafic afin de détecter les intrusions en temps réel. Un NIDS écoute donc tout le trafic réseau, puis l'analyse et génère des alertes si des paquets semblent dangereux.

- Les IPS : Les IPS ont pour fonction principale d'empêcher toute activité suspecte détectée au sein d'un système : ils sont capables de prévenir une attaque avant qu'elle atteigne sa destination.

Contrairement aux IDS, les IPS sont des outils aux fonctions « actives », qui en plus de détecter une intrusion, tentent de la bloquer.

Le principe de fonctionnement d'un IPS est analogue à celui d'un IDS, ajoutant à cela l'analyse des contextes de connexion, l'automatisation d'analyse des logs et la coupure des connexions suspectes. Contrairement aux IDS classiques, aucune signature n'est utilisée pourdétecter les attaques.

· Les NIPS : Network IPS dédiés aux réseaux. Ils ont les mêmes fonctions que les IDS classiques, sauf qu'ils ont la capacité d'anticiper une attaque ;

· Les HIPS/KIPS : Host IPS, plus connu sous l'appellation de systèmes de préventiond'intrusions « kernel » (KIPS), spécifiques aux hôtes. Ils supervisent l'intégralité desactivités sur la machine où elle est déployée.

L'utilisation d'un détecteur d'intrusions au niveau noyau peut s'avérer parfois nécessaire pour sécuriser une station.

Le KIPS peut également interdire l'OS d'exécuter un appel système qui ouvrirait un Shell de commandes. Puisqu'un KIPS analyse les appels systèmes, il ralentit l'exécution : c'est pourquoi c'est une solution rarement utilisée sur des serveurs souvent sollicités.

Exemple de KIPS : Secure IIS, qui est une surcouche du serveur IIS de Microsoft.

Cependant les IPS possèdent quelques inconvénients : ils bloquent toute activité qui semble suspecte.

Le placement des IDS va dépendre de la politique de sécurité définie dans le réseau. Mais il existe des positions qu'on peut qualifier de standards, par exemple il serait intéressant de placer des IDS :

· Dans le (ou les) réseau(x) privé(s) (intrusions vers ou depuis le réseau interne) ;

· Sur la patte extérieure du firewall (détection de signes d'attaques parmi tout letraficentrant et sortant, avant que n'importe quelle protection intervienne).

Il est crucial de bien définir les zones sensibles du système (réseau), ainsi que les zones les plus attractives pour un pirate. Il faut aussi voire qu'au-delà de l'architecture du réseau, il faut prendre en compte l'organisation de la sécurité existante :Recherche-t-on une administration centralisée ?Quel est l'existant organisationnel de la surveillance du réseau ? Et Quels sont les compétences et les moyens en internes pour gérer les IDS ?

Face aux menaces d'intrusions, il existe plusieurs solutions concernant le choix d'un IDS. Il existe des solutions commerciales aussi bien qu'Open Source. Les solutions Open Source n'ont rien n'à envier aux solutions commerciales. Mieux les solutions commerciales se basent même sur les Open Source pour améliorer leur produit.

La différence notoire entre ces deux solutions se trouve essentiellement sur le déploiement (éventuellement sur le prix !). Elle nécessite beaucoup de prés-requis telles que des utilitaires de base ou encore des connaissances sur le système où le produit va être déployé. Cette situation se présente surtout quand on est dans un environnement Linux ! Dans l'environnement Windows on ne fait que suivre les instructions du produit en cochant/décochant des cases, faisant des « suivant ».

· Zone Labs Integrity (commerciale) est une solution client/serveur distribuée qui protège tous les réseaux d'ordinateur personnel (PC). La protection des points finals de multicouche de l'intégrité sauvegarde chaque PC contre des menaces connues et inconnues, bloquant les entrés et les sorties non autorisées de réseau et les connexions d'application. Le serveur central d'intégrité offre un système flexible et facilement administré pour d'établissement des règles de sécurité de réseau; Le serveur donne également à des administrateurs un outil puissant avec lequel pour équilibrer pour la protection de réseau et la productivité des employés pour la sécurité dans le monde réel ; Le Zone Labs Integrity est un principal créateur des solutions de sécurité de point final et d'un des marques de confiance dans la sécurité d'Internet, protégeant les 20 millions PCs finis dans le monde entier. Vous pouvez trouver des informations plus détaillées introduisant les caractéristiques de la Zone Labs Integrity sur l'adresse http://download.zonelabs.com/bin/media/flash/integrity/main.swf, son inconvénient la Zone Labs Integrity ne supporte que le système d'exploitation Windows pour toutes les versions ;

· Symantec Client Security (commerciale) fournit la protection des clients contre des menaces complexes sur l'Internet en intégrant l'antivirus, le par feu et la détection des intrusions, travers la gestion et la réponse centralisées. Il vous aide à protéger votre entreprise contre les virus, les pirates et les menaces combinées. Cette nouvelle solution fournit un déploiement commun et fonction de mise à jour pour des technologies de sécurité multiples, permettant une sécurité plus complète de client. Symantec™ Client Security est une solution facile à administrer qui garantit une sécurité multi couches performante. En protégeant votre entreprise avec Symantec, vous bénéficiez d'une protection constamment à jour contre les virus, les pirates et les menaces combinées, ainsi que d'un support de renommée mondiale. Pour plus d'information sur www.symantec.com;

· BRO IDS : c'est un IDS open source, est destiné à la détection sur des réseaux Gbps à fort trafic, développé essentiellement par une équipe du Lawrence Berkeley National Laboratory. Bro se base sur un ensemble de règles décrivant des signatures d'attaques ou des activités inhabituelles. Le comportement après détection de trafic suspect peut être paramétré : simple log, alerte en temps réel à l'administrateur ou exécuter un programme (par exemple pour reconfigurer un routeur).

NB : Suite aux présentations des méthodes qui utilisent les IDS citées précédemment, nous avions jugé de prendre Bro IDS comme une solution pour déployer un système de surveillance par détection d'intrusion.

1.3. ARCHITECTURE GENERALE DU SYSTEME

Comme nous avions vu précédemment sur les catégories d'attaques, les quatre classes d'attaques illustrées à la figure 5 violent les différentes propriétés de sécurité des systèmes informatiques qui sont la confidentialité, l'intégrité, l'authentification et la disponibilité. C'est pourquoi, il est important de basé notre système sur la politique de sécurité à trois niveaux. Nous avons besoin de recueillir les journaux d'événements des trois niveaux différents, alors nous pouvons les regrouper, filtrer les alertes chroniques et, enfin, on peut corréler nos données afin de réduire leurs volumes pour en faciliter l'analyse et l'optimisation de temps de traitement à la recherche de quelques intrusions.

Dans le cas d'une intrusion de niveau 2 ou 3, l'administrateur peut regrouper les données ensemble afin de savoir exactement comment les événements se sont déroulés.

Cette méthode est appelée "la reconstruction de l'événement » et elle est vraiment utile pour les administrateurs, car ils peuvent ainsi :

- Identifier les faiblesses du système et améliorer les politiques de sécurité ;

- Nous aider à résoudre le problème des faux positifs et négatifs, de réduire leurs nombres, et donc de réduire le nombre d'alertes et d'accélérer le traitement par la suite;

1.3.1. Diagramme du systèmede détection d'intrusion

Comme le montre le schéma de la figure 6, lorsque le trafic de paquet arrive, il passe à travers le premier niveau où l'IDS est installé. Si c'est un paquet intrusif et son scénario est inclus dans la base de données IDS, le paquet sera rejeté, si ce n'est pas le cas, il passe par le deuxième niveau où nous vérifions le type de service effectué ou demandé par l'utilisateur derrière cette machine, s'il est autorisé à utiliser le service demandé ou non. S'il n'a pas le droit d'accéder à des services demandés et / ou de ressources, la demande sera rejetée et l'administrateur réseau sera notifié par une alerte pour lancer les diagnostics, si oui, le paquet passe par le troisième niveau.

Dans ce niveau, nous vérifions si l'utilisateur est présent dans l'entreprise ou non. Si c'est oui, l'utilisateur aura un accès complet aux services et / ou aux ressources demandées. S'il est absent, il n'aura pas le droit d'y accéder à distance, le paquet sera rejeté et l'administrateur du réseau sera informé par une alerte pour lancer les diagnostics. L'analyse de paquet intrusif fournie à l'administrateur réseau pour déterminer l'origine de l'attaque à l'aide de la reconstruction des événements afin de souligner ce qui s'est exactement passé, et mettre en oeuvre des contre-mesures pour ce nouveau type d'attaque et par la suite, mettre à jour la base de données de l'IDS de premier niveau.

Figure 6.I:Diagramme de l'algorithme de politique de sécurité à trois niveaux

1.3.2. Système a trois niveaux

Nous avons fait une description des différentes étapes du système de politiques de sécurité à trois niveaux :

· Niveau 1 : Stratégies de protection externe, le premier niveau de détection d'intrusions consiste à utiliser un système de détection d'intrusions bien connu en utilisant une approche classique ayant des avantages des approches susmentionnées. Il sera placé donc au sein de pare-feu pour prévenir les attaques du réseau provenant de l'extérieur en refusant les tentatives de connexion malveillantes de tiers non autorisés situés à l'extérieur ;

· Niveau 2 : Politiques de sécurité fonctionnelle, le deuxième niveau de détection consiste à définir des politiques de sécurité fonctionnelles, ce qui signifie que les politiques sont en fonction des tâches assignées aux utilisateurs dans l'entreprise par la segmentation du réseau en VLAN « Virtual Local Area Network » et l'utilisation des ACL « Access Control List" ;

· Niveau 3 : Politiques de sécurité opérationnelle, le troisième niveau de détection d'intrusions consiste à la définition d'une politique de sécurité opérationnelle par un mécanisme qui corrèle les informations de la liste des contrôle d'accès physique à la société et les informations de la liste des contrôle d'accès logique aux hôtes de l'utilisateur. Cela signifie, refuser l'accès au réseau aux utilisateurs qui ne sont pas réellement opérationnels (c'est à dire ceux qui sont absents ou définitivement démissionnés) de la société à ce moment-là.

1.4. QUALITES REQUISES DES SYSTEMES DE DETECTION D'INTRUSIONS

Les systèmes de détection d'intrusions actuels tendent à garantir les cinq propriétés suivantes [9]:

· Exactitude de détection : elle se traduit par une détection parfaite des attaques avec un risque minimal de faux positifs ;

· Performance : une détection rapide des intrusions avec une analyse approfondie des événements est indispensable pour mener une détection efficace en temps réel ;

· Complétude : une détection exhaustive des attaques connues et inconnues ;

· Tolérance aux fautes : les systèmes de détection d'intrusions doivent résister aux attaques ainsi qu'à leurs conséquences ;

· Rapidité : une analyse rapide des données permet d'entreprendre instantanément les contres mesures nécessaires pour stopper l'attaque et protéger les ressources du réseau et du système de détection d'intrusions.

1.5. AVANTAGES ET INCONVENIENTS DES METHODES DE DETECTION

Nous avons présenté les deux principes de la détection d'intrusions : l'approche comportementale et l'approche basée sur la connaissance. D'une part l'approche comportementale détecte toute déviation importante dans le comportement habituel d'un utilisateur. Diverses techniques de détection existent à savoir l'approche statistique, l'apprentissage automatique, l'approche immunologique, la spécification des programmes et la théorie d'information. D'autre part, la détection basée sur la connaissance cherche directement les activités malveillantes en s'appuyant sur les descriptions des attaques connues. Parmi les techniques employées nous citons les systèmesexperts, les automates, les algorithmes génétiques, la fouille de données et le filtrage de motifs.

Nous résumons dans le tableau 1 les avantages et les inconvénients de ces deux principes de détection évoqué ci-haut :

Détection par anomalie

Détection basée par la connaissance

Avantages

· Détection de nouvelles attaques.

· Explication facile des scénarios d'attaques.

· Génération minimale des faux positifs.

Inconvénients

· Apprentissages inexacte : si ce dernier se base sur des données supposées être normale mais contenant des attaques inconnues.

· Evolution du comportement normal ce qui exige un apprentissage adaptatif => risque d'un apprentissage progressif initié, par un intrus.

· Génération abondante des faux positifs.

· Sélection cruciale des paramètres utiles lors de la phase d'apprentissage puisque des paramètres en trop représentent un bruit alors que ceux en moins dégradent la qualité de détection.

· Définition difficile des seuils exacts d'anomalie

· Fixation difficile des durées nécessaires à l'apprentissage.

· Non détection de nouvelles attaques,

· Expertise requise pour construire efficacement des signatures d'attaque

· Mise à jour continue de la base de règles

· Augmentation rapide du nombre de règles qui généralement manquent d'abstraction

· Délais important entre la découverte des attaques et la définition des signatures.

1.6. STRATEGIE UTILISEE POUR UNE DETECTION D'INTRUSIONS

Afin de résoudre quelques problèmes de la détection d'intrusions basée réseau, nous proposons une nouvelle stratégie de vérification du trafic. Nous divisons le processus de détection en deux étapes.

Une première étape de division du trafic suivie par une étape de détection d'intrusions. La première étape tient compte des propriétés du trafic et des caractéristiques des IDS pour partager la charge de l'analyse sur plusieurs IDS.

1.6.1. Phase de la division du trafic

La division du trafic réseau sert principalement à mieux gérer le haut débit et à choisir la méthode de détection convenable à chaque classe du trafic. D'autres avantages liés à la tolérance aux fautes, la réduction des faux positifs et la gestion des journaux de sécurité sont explorées au fur et à mesure dans cette sous-section.

· Support du haut débit : les systèmes de détection d'intrusions doivent supporter le haut débit afin d'assurer la sécurité des futurs réseaux. La rapidité du trafic réduit le temps alloué au traitement des paquets sous peine de l'augmentation du taux des paquets rejetés ;

· Tolérance aux pannes: les IDS sont des systèmes ouverts en cas de panne (fail-open devices) qui analysent une copie du trafic qui passe à travers le réseau. Les attaquants essaient de les désactiver en menant dessus des attaques par déni de services. Le succès de ces tentatives facilite les futures intrusions portées sur le réseau et minimise le risque de détection ;

· Efficacité de détection : la classification des paquets tient compte non seulement de la nature du trafic, mais également des serveurs fournissant les services analysés. Par exemple un flux HTTP peut être inspecté différemment selon que ce trafic est généré par un serveur Web interne de l'entreprise ou par un autre serveur de l'extérieur ;

· Optimisation des fichiers de sécurité : l'élaboration des journaux de sécurité constitue une des dernières étapes du processus de détection d'intrusions et elle reflète la qualité de l'analyse effectuée sur le trafic.

1.6.2. Phase de la détection d'intrusions

Suite à la division du trafic, nous décidions du traitement que subira chaque classe du trafic. Diverses actions sont envisageables durant cette deuxième étape d'analyse :

- Simple filtrage du trafic : afin d'accélérer l'analyse, nous sélectionnons les règles possibles de détection d'attaques. Ensuite, nous inspectons le contenu des paquets à la recherche des motifs d'attaques,

- Analyse protocolaire : nous supervisons quelques classes du trafic jusqu'au niveau application ce qui permet de mieux protéger les services fournis par l'entreprise (services web, mail, ftp...) ;

- Direction vers un pot de miel : cette action permet d'analyser le comportement des attaquants et par suite d'apprendre leur plan d'attaques pour mieux définir les signatures d'attaques ;

- Ignorer l'analyse : cette opération s'avère intéressante pour gérer les situations de surcharge réseau. Par exemple lors des pics du trafic, l'analyse peut se restreindre à des classes plus prioritaires. Nous attribuons alors à chaque classe de trafic un ordre de priorité ;

- Stopper les trafics nocifs : l'action implémente une stratégie de prévention contre les attaques ou de réponse aux attaques détectées.

Nous présentons dans la figure 7 les deux phases d'analyse du trafic réseau. D'abord, la division du trafic s'appuie sur des règles de division définies par l'administrateur. Ces règles dépendent des propriétés du trafic circulant sur le réseau et des méthodes de détection d'intrusions déployées sur le site de l'entreprise. Ensuite divers traitements sont possibles à chaque classe du trafic. Les résultats de ces analyses permettent de mieux comprendre les propriétés du trafic ce qui contribue à mieux formuler les règles de division du trafic et par suite adapter le diviseur.

1.7. PRESENTATION DE SOLUTION BRO IDS

1.7.1. Identification du produit BRO IDS

- Le module Packet Capture : chargé d'écouter le trafic en mode sniffer et de transmettre tous les paquets à la couche supérieure ;

- Le module Event Engine : classe les flux par protocole, crée une table d'états pour les connexions, contrôle l'intégrité (checksum), réassemble les fragments et analyse les flux. Ce module génère des événements qu'il transmet à la troisième couche ;

- Le module Policy Layer : utilise les scripts écrits dans le langage de Bro pour traiter les événements.

1.7.2. Description du produit

Bro est un système de détection d'intrusions réseau (« Network Intrusion Detection System ») open source, disponible pour les systèmes d'exploitation de type Unix (dont Linux, FreeBSD et open BSD), qui analyse le trafic réseau à la recherche de toute activité suspecte. L'analyse se fait de manière passive et transparente, c'est-à-dire qu'il n'altère pas les paquets réseaux qu'il traite.^2(*)

- Le premier consiste à capter le trafic réseau et à décoder les différentes couches protocolaires (de manière à en extraire la sémantique applicative). Cette étape fournit des événements de « haut-niveau » qui pourront par la suite être analysés ;

- Le second consiste à analyser les événements générés lors de la première étape par des scripts d'analyse. Ces scripts comparent ces événements par rapport à des motifs caractérisant des comportements réputés anormaux. Cette analyse permet à la fois la détection d'attaques connues au préalable (qui sont décrites en termes de signatures ou d'événements) et d'anomalies (par exemple, la présence de connexions de certains utilisateurs vers certains services ou l'occurrence de tentatives de connexions infructueuses).

Bro utilise un langage spécifique qui permet d'adapter son fonctionnement au contexte du réseau à surveiller. Si Bro détecte un scénario d'attaque, il peut réagir de différentes manières :

- Il peut générer une entrée de journal(en utilisant éventuellement le système de gestion de journaux de l'OS) ;

- Il peut alerter l'opérateur par courriel (le rapport étant chiffré via GPG) ;

- Il peut exécuter une commande définie par l'administrateur (par exemple, de mettre fin à une connexion ou de bloquer un hôte malveillant à la volée). Ce système permet donc à l'administrateur d'adapter le type de réponse.

Bro peut générer des journaux détaillés qui sauvegardent les différents événements observés. Ces journaux peuvent s'avérer utiles lors de la phase de diagnostic réalisée lorsqu'une attaque est détectée (analyse post mortem).

Bro permet de surveiller des réseaux à haut débit (Gbps). Tout en fonctionnant sur du matériel de type PC, Bro est en mesure d'atteindre les performances nécessaires à la surveillancede réseau à fort trafic en réalisant une combinaison judicieuse de techniques de filtrage de paquets. Il constitue donc une solution peu coûteuse permettant de surveiller le trafic d'une connexion Internet.

Un IDS réseau : Bro est un IDS réseau. Il recueille, filtre (éventuellement), décode et analyse le trafic qui passe à travers un réseau local. Un seul moniteur Bro, placé à un carrefour stratégique du réseau, peut être utilisé pour surveiller tout le trafic entrant et sortant du réseau. Il est également possible de le placer sur un segment particulier du réseau afin de ne surveiller que le trafic à destination (ou en provenance) d'une zone particulière (par exemple, la « zone démilitarisée » ou DMZ). La figure 8 donne un exemple possible d'intégration d'une sonde Bro dans un réseau. Bro ne nécessite pas l'installation de logiciel client sur chaque ordinateur du réseau. En revanche, il s'agit d'une solution logicielle qui nécessite le support d'une architecture matérielle et d'un OS (de type UNIX).

Analyse détaillée de la couche applicative : Bro a la capacité de comprendre de manière détaillée de nombreux protocoles d'application, et ce, par le biais de codes spécifiques ou « analyseurs ». Ces derniers génèrent un flux d'événements décrivant l'activité observée au niveau sémantique. Ces événements ne constituent pas des alertes^3(*) de sécurité, mais fournissent plutôt les entrées pour d'autres traitements réalisés par Bro. Ces traitements sont développés dans un langage de script spécifique.

Langage de script spécifique :Les scripts décrivant les politiques d'analyse de Bro sont des programmes écrits dans un langage de script spécifique à Bro. Ils contiennent les « règles » qui décrivent les activités considérées comme problématiques. Ils interprètent les événements issus de l'activité réseau et lancent des traitements complémentaires. L'apprentissage du langage peut nécessiter du temps et des efforts mais une fois maitrisé, l'administrateur Bro dispose d'un outil puissant lui permettant de définir des politiques de détection et d'analyse propres aux besoins du réseau qu'il administre.

Politiques par défaut :Bro est livré avec un ensemble de scripts conçus pour détecter les attaques Internet les plus communes. L'utilisation de ces scripts ne nécessite pas de connaître le langage de script de Bro ni le mécanisme de mise en oeuvre des politiques Bro.

Mécanisme de reconnaissance de signatures d'attaques :Bro comprend un mécanisme de reconnaissance de signatures qui permet d'identifier des contenus spécifiques dans le trafic capté. Pour Bro, ces signatures sont exprimées à l'aide d'expressions régulières, plutôt que d'utiliser de simples chaînes de caractères. La richesse du langage Bro complète utilement le mécanisme de reconnaissance de signatures. Il permet en effet de prendre en compte le contexte du réseau à surveiller. Par exemple on pourra définir les types de machines présentes dans le système d'informations ainsi que les services qu'elles offrent. Il sera ainsi possible de réduire potentiellement le nombre de faux positifs.

L'analyse de trafic réseau :Bro recherche des motifs d'attaques par rapport aux signatures dont il dispose, mais il peut aussi analyser les protocoles réseau, les connexions, les transactions, les volumes de données et de nombreuses autres caractéristiques du réseau afin d'y détecter l'occurrence de comportements anormaux. Il dispose de mécanismes permettant de stocker les informations relatives aux événements observés par le passé afin de l'intégrer dans l'analyse de nouvelles activités.

Détection, suivi d'une action :Les scripts Bro peuvent générer des enregistrements de l'activité dans des fichiers de sortie (y compris l'activité normale et non agressive). Ils peuvent également générer des alertes vers le journal d'événements du système d'exploitation, y compris le système de gestion de journaux syslog. Les scripts peuvent également exécuter des programmes (script bash, etc.) définis par l'administrateur. Ceci peut permettre :

Compatibilité avec le logiciel Snort : Snort est un système de détection d'intrusions réseau (NIDS) par signature. Il est largement répandu et son langage de signature constitue ainsi un standard de fait. Bro inclut un outil de conversion des signatures de l'IDS Snort vers son propre format de signatures : snort2bro.

En effet, l'échec du processus dedétection d'intrusions peut conduire à l'absence de prise en compted'éventuels incidents de sécurité, si le système surveillé est effectivement vulnérable et si aucun mécanisme de protection n'a été à même de le protéger. Ces fonctions sont les suivantes :

- La capture et le décodage de protocole, qui sont assurés pour Bro par les modules précédents :

· Le module de capture (qui constitue l'interface avec la bibliothèque de capture) ;

· Le module de suivi des protocoles avec les scripts nécessaires au suivi des protocoles utilisés durant l'évaluation (TCP, UDP, HTTP, DNS et SMTP).

- L'analyse des événements, qui est assurée pour Bro par les modules suivants :

· L'interpréteur de script ainsi que les scripts de détection activés par défaut ;

1.8. CATEGORIES D'ATTAQUES

1.8.1. Définition

Une attaque est une exploitation d'une vulnérabilité présente dans un système. De ce fait, réduire les attaques ne peut se faire qu'avec une bonne compréhension du système et des possibles sources de vulnérabilité afin de trouver les remèdes convenables. Le motvulnérabilité exprime toutes les faiblesses des ressources informatiques qui peuventêtreexploitées par des personnes malintentionnées.

1.8.2. Les différents types d'attaques

Nous savons que la fonction principale des systèmes informatiques est de fournir des informations et des ressources aux utilisateurs. Par conséquent, il ya un flux de données échangées entre une source et une destination sur un canal.

La tâche du système de sécurité est de limiter l'accès aux données et aux ressources seulement pour les parties autorisées (personnes ou processus) qui sont autorisés à les utiliser, selon les politiques de sécurité établies. Le flux normal de données ou d'informations est visé par plusieurs catégories d'attaques de sécurité [9]qui sont illustrées dans la figure 10.

· Interruption : le système est détruit ou devient indisponible. Il s'agit d'une attaque sur la disponibilité,

· Interception : une partie non autorisée ait accès aux données par l'écoute dans le canal. Il s'agit d'une attaque sur la confidentialité ;

· Modification : les données sont non seulement interceptées, mais également modifié par un tiers non autorisé. Il s'agit d'une attaque sur l'intégrité ;

· Mascarade : l'attaquant fait semblant d'être une source légitime et insère ses données souhaitées. Il s'agit d'une attaque sur l'authentification.

1.8.3. Cinq phases d'attaques et outils de sécurisation

Il existe 5 (cinq) phases d'attaques avec les outils qu'on utilise quand un système informatique est piraté :

1. La phase de reconnaissance : rassemble l'ensemble des techniques permettant à l'attaquant de prendre le maximum d'informations sur la cible. Le logiciel utilisé est SamSpade,

2. La phase de balayage : une fois que les attaques choisissent leur cible, beaucoup d'entre eux passent des mois à la recherche d'un moyen, lentement mais sûrement, en balayant nos systèmes à la recherche d'une bonne voie. Les logiciels utilisés sont : THC-Scan, Nmap & Nessus ;

3. La phase d'accès : Cette phase est la plus importante, certaines attaques n'ont pas besoin de pirater l'accès au réseau direct à nuire à votre machine. Les logiciels utilisés sont : John The Ripper, LC6, NetCat & Sniffit ;

4. La phase de maintien d'accès, les pirates peuvent choisir de continuer à attaquer et d'exploiter le système cible, ou d'explorer plus profondément dans le réseau cible et chercher d'autres systèmes et de services, le logiciel utilisé est : VNC ;

5. La phase de couverture de pistes, les attaquants utilisent de nombreuses techniques pour couvrir leurs traces sur un système. L'utilisation de ces tactiques, les méchants peuvent se cachaient en silence sur une machine pendant des mois voire des années, les logiciels utilisés sont : WWWShell & Covert TCP.

1. Achats sécurisés : Les webmasters ou les personnes ayant créés la page web doivent disposer d'un cryptage sécurisé (du type https://www.nomdusite.ci) pour que des renifleurs ne puissent pas obtenir eux aussi les données du client en train d'effectuer une transaction. Cette mention est très importante quand il s'agit d'utiliser des sites oùl'on vous demande des données confidentielles (mot de passe, numéro de carte de crédit, etc.). Aujourd'hui pratiquement tous les sites nécessitant la communication d'informations sensibles utilisent des protocoles de chiffrement tels SSL/TLS. En résumé, il n'y a point de salut sans le protocole SSL (Secure Socket Layer), utilisé pour sécuriser les transactions.

2.Utilisation de la carte bancaire : Avec le développement des TIC^4(*) et le taux de pénétration d'Internet dans nos pays Africains, l'imminence de l'explosion du commerce électronique se fait grandissante. Si vous effectuez des achats ou toute autre transaction parcarte bancaire, il faut s'assurer que cette dernière n'a pas été volée ou falsifiée, d'où la nécessité de se procurer ces cartes auprès de fournisseurs agréés. Vérifiez également l'authenticité des sites sur lesquels vous effectuez des transactions, en saisissant directement l'adresse url du site dans la barre d'adresse, afin d'éviter les attaques par phishing. Entre autres, ne divulguez jamais votre mot de passe et conservez-le jalousement, de sorte à n'être que le seul à en avoir connaissance.

3. Les Spams : L'entreprise doit laisser le choix aux clients de signaler clairement s'ils souhaitent recevoir de façon périodique (chaque semaine ou mois...) un catalogue de ses offres ou toutes sortes de publicité. Car les spams, dans tous les autres pays dotés d'une législation en la matière, sont illégaux et passibles de poursuites judiciaires. La tendance en la matière dans les législations en cours en Côte d'Ivoire et dans les pays d'Afrique devrait suivre cette dynamique. Une des techniques anti-spam consiste à publier son adresse e-mail dans des fichiers images publiés dans les pages web. Ainsi les robots utilisés par certains spammeurs n'indexeront pas votre adresse électronique, réduisant du coup les risques d'êtrespammé. Sinon des solutions techniques spécifiques existent, tels que : SpamAssassin : anti-pourriel open source, etc.

1. Création de badges de couleurs différentes : La création de badges de couleurs différentes, munis de grandes photographies, permet de distinguer les salariés des services, les stagiaires, les sous-traitants, les fournisseurs, les partenaires commerciaux et les autres visiteurs. Cette stratégie vise à renforcer la sécurité physique du système d'exploitation, car s'il est techniquement périlleux de « faire tomber » un serveur bien protégé, il en est moins difficile d'en rompre l'alimentation électrique par exemple.

2. Création et gestion de mots de passe complexes : La création d'une stratégie de mots de passe complexes pour le service informatique va permettre d'utiliser une série de combinaisons de majuscules, de minuscules et de numéros. Il est conseillé de suivre les règles suivantes :

· Le mot de passe ne doit figurer sur aucune liste de mots de passe dits classiques (12345, password, motdepasse, etc.) ;

· Le mot de passe ne doit pas être un mot du dictionnaire, car il pourrait être cracker en utilisant la technique dite de brute force ;

· La durée de validité du mot de passe doit être limitée pour les accès aux comptes d'entreprises (messagerie, etc.), afin de s'assurer que les mots de passe seront régulièrement changés. Comme dans l'exemple qui suit.

J (je) s (suis) l (le) P (père) d (de) 2 (deux) E (enfants) n (nommés) Y (yves) & (et)

Bien évidemment, il existe de nombreuses techniques de création de mots de passe forts ; qu'il faut mettre en oeuvre, afin d'assurer un niveau de force suffisant des mots de passe des employés de l'entreprise.L'utilisation de mots de passe construits en combinant des mots tirés de nos patois peut s'avérer être une stratégie efficace.

De plus, il est préférable d'utiliser des mots de passe différents pour chaque compte (messagerie, bancaire, etc.) et de changer régulièrement les mots de passe (chaque deux mois de préférence).

3.Désactivation des outils amovibles : Cette stratégie peut s'appliquer si les salariés n'ont pas d'intérêt à utiliser une clé USB, une disquette ou à graver des CD-ROM. Cela dépend de leur définition de fonction et de la nature des activités autorisées au sein de l'entreprise. Cette technique est utilisée dans la plupart des entreprises industrielles et de téléphonie, où les ordinateurs sont tous mis en réseaux et interconnectés entre eux. Ceci permet de limiter voire réduire les risques de contagion virale via les périphériques amovibles (USB, disquettes, etc.) Et même de prévenir les risques de fuites d'informations, ou du moins d'en assurer une traçabilité.

1.8.4. Risques

Un risque permet de mesurer les possibilités de l'occurrence d'un événement, associé à une situation ou une activité. De l'autre côté, un enjeu est grossièrement ce que l'on peut gagner ou perdre en posant un acte. Dans le cas de la sécurité informatique en entreprise, il s'agit plutôt de ce que l'on peut perdre, en l'absence de moyens adéquat de sécurisation. Lorsque l'on évoque les risques susceptibles d'engendrer un incident informatique sur le Système d'Information d'une entreprise, on distingue deux grandes catégories [10]: les risques physiques et les risques logiques.

Ces risques physiques peuvent être d'origine accidentelle ou malveillante et les conséquences sont aisément identifiables.

1.9. UTILISATION DES AGENTS MOBILES DANS LES SYSTEMES DE DETECTION D'INTRUSIONS

Le domaine de recherche sur les agents mobiles est relativement récent (voir [11]). Le concept d'agents mobiles dans le réseau est apparu en 1994 avec Telescript de General Magic [5] qui ont proposé un système fermé pour le commerce électronique. Les agents sont des entités capables de migrer leur exécution d'une place à une autre via l'instruction go, de rencontrer d'autres agents sur la même place via l'instruction meet et de communiquer avec d'autres agents sur d'autres places par des connections permettant l'envoi de messages. Beaucoup de travaux de recherche ont été effectués dans le but d'affiner les environnements de développement des systèmes d'agents mobiles, d'approfondir cette nouvelle forme d'architecture des réseaux et de faire valoir son impact sur l'existant en matière de communication et de services. Le but de cette section est de présenter, une vue globale sur l'utilisation des agents mobiles dans les systèmes de détection d'intrusions.

1.9.1. Agent mobile

Un agent mobile est défini dans [13]comme étant un programme autonome qui peut se déplacer de son propre chef, de machine en machine sur un réseau hétérogène dans le but de détecter et de combattre les intrusions. Cet agent mobile doit être capable de s'adapter à son environnement, de communiquer avec d'autres agents, de se déplacer et de se protéger. Pour ce dernier point, une des fonctions de l'agent doit être l'identification et l'authentification pour donner l'emplacement et l'identité de celui qui l'a lancé.

Il est également défini dans [14] comme étant «une entité logicielle qui fonctionne de manière continue et autonome dans un environnement particulier capable d'effectuer des activités de manière flexible et intelligente qui réagit bien aux changements d'environnement. Idéalement, un agent fonctionnant continuellement serait capable de s'enrichir de ses expériences. De plus, nous attendons d'un agent qu'il puisse cohabiter avec d'autres dans un même environnement et accomplir ses tâches en communicant et en coopérant avec eux, voir même effectuer cela en se déplaçant sur différents postes ».

Le principal avantage de l'utilisation des agents mobiles est la mobilité des ces derniers sous forme des entités indépendantes. Ils peuvent être ajoutés ou retirés d'un système sans altérer les autres composants et ils peuvent être aussi testés seuls avant d'être introduits dans des environnements plus complexes. En outre, ils peuvent faire partie d'un groupe et fournir alors des fonctions simples mais qui peuvent être échangées de façon à donner des résultats plus complexes qu'ils ne pourraient pas obtenir seuls. Le fait qu'il n'y ait pas de programme principal qui se sert des autres modules comme esclaves mais plutôt la présence de plusieurs entités intelligentes qui collaborent, fait que si une des entités s'arrête, le système continue son fonctionnement.

Figure 11.I: Couche physique d'un système de détection d'intrusions par des agents mobiles.

1.9.2. Architecture du système avec les agents mobiles

Cet exemple est donné dans [15] pour mettre en place des systèmes de détection d'intrusions utilisant des agents mobiles pour la collecte des données et leur analyse en employant une structure hiérarchique. Celle-ci permet une grande souplesse par sa faculté à s'adapter à la dimension du réseau.

La figure 6 montre un exemple simple d'IDS qui adhère à l'architecture des agents mobiles pour les systèmes de détection d'intrusions. Cette figure montre les trois composantes essentielles de l'architecture : agents, transmetteurs et moniteurs (ou contrôleurs).

Un système de détection d'intrusions basé sur des agents mobiles peut être distribué sur un nombre quelconque de stations au sein d'un réseau. Tous les agents d'une station rapportent les résultats de leurs recherches à un ou plusieurs transmetteurs. Ces transmetteurs surveillent les opérations effectuées par tous les agents. Ils ont la capacité de lancer, d'arrêter et d'envoyer des commandes de configuration à ces agents. Ils peuvent également réaliser de la compression de données à partir des informations reçues par les agents. Finalement, ils rapportent leurs résultats à un ou plusieurs moniteurs. Ces derniers surveillent les opérations de plusieurs transmetteurs à la fois. Ils ont accès aux données du réseau de manière étendue et de là ils sont capables d'effectuer des corrélations de haut niveau et de détecter des intrusions impliquant plusieurs machines. Ils peuvent être organisés hiérarchiquement de telle sorte qu'ils réfèrent eux-mêmes leurs activités à un contrôleur supérieur.

Aussi, un transmetteur peut reporter ses activités à plus d'un contrôleur pour fournir des informations redondantes permettant de résister à une panne provenant de l'un d'entre eux. Pour finir, un contrôleur est responsable de fournir des informations et d'obtenir des commandes de contrôle à partir d'une interface utilisateur.

Pour conclure cette section, si les agents mobiles possèdent des avantages importants, les inconvénients qu'ils engendrent ne sont pas négligeables. Cependant, l'approche par agents mobiles semble pouvoir donner des résultats meilleurs que les autres technologies et la recherche est en train de développer une nouvelle architecture pour cette technologie.

1.10. CONCLUSION PARTIELLE

Dans ce chapitre, nous avons vu un ensemble de systèmes contribuant à la sécurité des systèmes informatiques. Premièrement, nous avons commencé par définir et expliquer le fonctionnement dessystèmes de détection d'intrusions. Deuxièmement, nous avons expliqué le rôle joué par l'IDS dansla sécurité des réseaux et finalement, nous avons détaillé le fonctionnement d'une architecture générale d'un système de sécurité en se basant sur les trois niveaux et nous avons montré leur rôle dans la sécurisation des informations circulant dans le réseau.

CHAPITRE DEUXIEME : PRESENTATION DE L'INFRASTRUCTURE INFORMATIQUE DE LA BANQUE FINCA

2.0. INTRODUCTION

Dans ce chapitre, nous tenons à signaler qu'il sera question de présenter l'entreprise FINCARDC/Lubumbashi sa structure fonctionnelle, procéder à l'analyser l'architecture existante du réseau en vue de relever les points forts et les points faibles.

2.1. PRESENTATION DE L'ENTREPRISE FINCA

2.1.1. Raison sociale (dénomination)

La dénomination sociale est The Foundation International Community Assistance« FINCA RDC ».

2.1.2.Siege social

La Banque FINCA est une entreprise d'origine des USA précisément en à Washigton DC dénommée FINCA (The Foundation International Community Assistance) en sigle, a plusieurs branches provinciales au Haut-Katanga précisément sa branche sise avenue Lomani, l'agence de la ville de Lubumbashi dans la commune de Lubumbashi et le siège à Kinshasa de FINCA/RDC est situé au croisement des avenues Colonel Ebeya et l'hôpital Général de Kinshasa (ex. Maman Yemo), au sein de l'ex. Immeuble Sodimca, dans la commune de la Gombe. Elle est bornée :

2.1.3. Statut juridique

La Banque FINCA/RDC est une société par Action à Responsabilité Limité (SARL), avec comme numéro du registre commercial KG/4096/M et identification nationale 01-610-N53321U, agrée par la Banque Centrale du Congo.

2.1.4. Domaine d'activité

La vision d'une organisation est la perception des résultats que l'organisation voudrait voir ses activités réalisées. C'est un tableau qui montre où l'organisation voudrait aller et peut être décrite comme une « balise brillante de loin pendant la nuit, qui guide des voyageurs vers leurs destination ».

La vision de FINCA s'énonce comme suit : « tisser un réseau global au service des micros entrepreneurs comme jamais auparavant, tout en fonctionnant sur base des principes commerciaux de performance et de stabilité ».

Cette déclaration de vision traduit clairement d'une part la volonté de FINCA d'être le leader mondial en matière de services financiers fournis aux micros entrepreneurs, et d'autres part la nécessité de travailler de manière rentable professionnelle, afin d'assurer la pérennité de ses opérations.

La mission d'une organisation est la réalisation du but de son existence, et aussi celle de sa vision. La mission de FINCA consiste à « fournir des services financiers aux micros entrepreneurs du monde entier, afin de leur permettre de créer de l'emploi, accumuler des richesses et améliorer leurs conditions de vie » dans le but de contribuer à l'effort planétaire de réduction de la pauvreté.

· Bas coût total : consiste à proposer sur le marché un produit dont le coût total est inférieur à ceux de la concurrence ;

· Cher de produit : consiste pour une organisation, à faire de l'innovation son argument principal de compétitivité, en présentant sur le marché des nouveaux produits, dont la concurrence ne dispose pas encore ;

· Enfermement du client : consiste pour une organisation, à fournir sur), le marché, des produits associés et compatibles uniquement entre- eux, de sorte que la clientèle, désireuse de tirer le maximumd'avantages des produits achetés, soit enfermée dans la consommation de ceux de ladite organisation ;

· La solution client: elle consiste pour une organisation, à investir dans la mise en oeuvre des rapports de longue durée avec les clients. Ceux-ci estiment que l'organisation comprend leurs problèmes commerciaux ou personnels et ils ontconfiance dans la capacité de l'organisation à développer des solutions (la vente, les produits multiples et les services), le service exceptionnel (avant et après la vente) et la quantité du rapport. Cette stratégie est celle que FINCA a adaptée.

2.1.5. Historique de banque FINCA

En 1984, Hatch, un économiste averti et expert du développement international, conçoit une nouvelle méthode pour porter assistance aux pauvres. Dans un avion survolant les Andes en direction de la Bolivie, Hatch est frappé par l'inspiration. Il saisit de quoi écrire, et note rapidement idées, équations et organigrammes. Arrivé à La Paz, il a déjà jeté les bases d'une approche complètement différente de l'allègement de la pauvreté : un programme de services financier qui donnerait des responsabilités aux pauvres. « Donnez aux communautés pauvres l'occasion, et après déguerpissez ! » Déclare Hatch. Il appelle l'idée village banking. Cette approche donne aux pauvres l'occasion d'obtenir des prêts à des niveaux d'intérêt du marché.

Hatch a d'abord convaincu le groupe des officiers de l'USAID (Agence des États-Unis pour le développement international), qui, intéressés par cette idée novatrice, fournira une première subvention d'un million de dollars. Hatch et son partenaire d'affaire péruvien, AquilesLanoa, lancèrent le programme dans cinq parties géographiquement séparées de la Bolivie, et en l'espace de quatre semaines, avaient généré des fonds dans 280 villages, servant 14?000 familles avec des prêts valant 630?000 $.

La fondation internationale pour l'assistance communautaire a réussi, en près de vingt-cinq année d'expérience, à se classer parmi les plus importantes institutions internationales du monde de la micro finance.Pour assurer plus d'efficacité de développement, il prône les principes suivant :

- Permettre aux bénéficiaires de déterminer eux-mêmes les sommes dont ils ont besoins;

- Permettre aux bénéficiaires de gérer eux-mêmes les fonds dont ils ont besoin.

La mise en pratique de ces principes conduit à la création de la méthodologie dite « Village Banking » qui consiste en de micro-prêts de groupe7 avec les caractéristiques suivantes :

· Le groupe compte 10 à 15 membres : les membres se connaissent : ils veillent et/ou travaillent dans le même quartier,

· Les membres utilisent le concept de « solidarité », ils garantissent les prêts des autres membres ;

· Le contrat social au sein du groupe assure le remboursement, assure que la banque villageoise se réunit toutes les semaines ou toutes les deux semaines ;

· Les membres ont à charge une organisation démocratique ils élisent leurs propres dirigeant, établissent leurs propres règlements, tiennes les livres comptables, gèrent les fonds, et sont pleinement respectables de la surveillance des prêts, ycompris d'appliquer des pénalités, en cas de violation de lois et règlement du groupe.

Ainsi, le premier programme FINCA va voir le jour à la Paz, en Bolivie, dans un contexte marqué par un manque total de soutien des banques envers les institutions de micro crédit. Le formidable succès remporté par la formule va création de nouveaux programmes en Amérique Latine. A ce stade, FINCA se concentrait exclusivement à servir les femmes économiquement faibles, pour les raisons suivantes :

- Aider la femme est le plus court chemin pour aider la famille à améliorer son niveau de vie.

Avec l'évolution du temps, FINCA a décidé d'une part de cibler tous les micros entrepreneurs, et d'autre part de s'engager dans un vaste processus de restructuration de son mode de fonctionnement, afin d'opérer comme les banques commerciales, mais avec une finalité sociale (« à Banker With a soul » : un banquier dotée d'une âme).De ce fait, si la maison mère basée à Washington dispose du statut d'organisation caritative, les filiales éparpillées à travers le monde sont en train de se transformer pour devenir des banques.

A l'heure actuelle, FINCA est présente dans 22 pays d'Amérique latine, aux Caraïbes, d'Asie Occidentale et centrale, en Europe de l'est et en Afrique ; elle compte près de 7000 employés, servant 700000 clients pour un portefeuille global de près de 500000000 USD. De manière exhaustive, FINCA est présente dans les continents suivant : Amérique1, Moyen orient2, Eurasie3, Afrique4, et FINCA maintien une présence administrative en Ukraine.

La filiale congolaise de FINCA a commencé à opérer en mai 2003, dans un contexte marqué par une situation politique très instable (la fin de la guerre n'était pas encore effective et formelle), ainsi qu'une extrême méfiance du public envers les institutions financières. En dépit de cela, FINCA/RDC, dotée alors du statut d'ONG, parvint à récolter un succès impressionnant avec son produit de village Banking.

En 2006, FINCA/RDC obtint, aux termes de l'instruction n°001 de la banque Centrale du Congo, le statut d'instruction de micro finance.En 2006, un nouveau produit est introduit par l'institution, à savoir le crédit individuel, lequel a permis à FINCA/RDC de doubler son portefeuille de crédit en l'espace de quelques mois seulement. C'est dans ce contexte que FINCA/RDC décida de passer de la phase d'expansion de ses activités, ce qui impliqua d'importants investissements dans les infrastructures : il fut décidé la création de deux branches à Kinshasa, Gombe et Masina, dotée des bureaux ultramodernes, et qui devinrent pleinement opérationnelles en décembre 2006. Au cours de l'année 2006, le personnel de FINCA/RDC passa de 50 à plus de 120 employés.

En dépit de tous ces succès, l'instruction se trouvait limité par son statut juridique, lequel ne permettrait pas d'offrir au public de nouveaux produits tels que les transferts d'argent et les paiements électroniques : de par la législation congolaise en effet, seules les banques sont habilitées à gérer les moyens de paiement, dont font partie les transferts et les paiements. Cet obstacle est désormais levé, car depuis le mois de mai 2008, FINCA/RDC est une société par Action à Responsabilité Limitée (SARL), disposant du tout nouveau statut juridique desociété de micro finance ».

2.2. EFFECTIF SALARIAL/ORGANISATION DES SERVICES DE FINCA RDC

2.2.1. Organigramme FINCA RDC/Centre-Ville LUBUMBASHI

2.2.2. Fonctionnement

Le département des opérations, qui est le plus importantpour une institution financière telle que FINCA/RDC, est dirigé par un Directeur des opérations, de qui relèvent le Chef de produit crédit individuel, ainsi que les Dirigeants de branche.

Chaque branche de FINCA est sous la responsable d'un dirigeant de branche, qui gère des superviseurs de crédit, lesquels dirigent des équipes de promoteurs de crédit, chargés du traitement des demandes de crédit.

C'est une direction qui gère tous les aspects liés aux contrats, aux salaires et avantage, aux sanctions positives et négatives au recrutement de nouveaux employés, au sein de l'entreprise. Il est sous la responsabilité du Directeur des Ressources Humaine, lequel est aidé dans son travail des Assistantes administratives.

Le département des finances est chargé de gérer tous les aspects liés à la gestion des liquidités de l'entreprise, au contrôle de l'exécution du budget. Il est sous la responsabilité d'un Directeur Financier et comporte en son sein un Chef comptable, descomptables de branche, des superviseurs de caisse, ainsi que des caissières.

Le responsable du portefeuille ainsi que les officiers de portefeuille, font partie également du département des finances, même s'ils révèlent également d'une certaine manière de la direction des Opérations.

Le département informatique est chargé de la gestion des logiciels de l'institution, mais également de la gestion et de la surveillance du réseau à distance, auquel sont connectées toutes les branches de FINCA, afin de fournir en temps réel, à la Direction Générale, les données financières en rapport à l'évolution globale de portefeuille de l'institution. Il est coordonné par un IT Manager (responsable des technologies de l'information), lequel est assisté par des officiers de département.

En plus de ces départements existent au sein de l'institution, un département d'audit, une fonction d'inspection, ainsi qu'une fonction de marketing et relations publiques.

L'audit interne est une fonction autonome au sein de l'entreprise, non impliquée dans les opérations, et dont le rôle est fournir une appréciation indépendante et à posteriori, sur le fonctionnement de l'institution, en rapport à l'environnement de contrôle et aux mesures de contrôle interne contenues dans le Département d'audit relève directement du département régional d'audit. Il est composé d'un directeur de l'audit interne, qui est indépendant.

L'inspection est composée d'un inspecteur chef et cinq inspecteurs, déployés dans différentes branches de FINCA, et spécialisés dans l'un des deux produits de l'institution. La fonction d'inspection a pour but de prévenir et détecter les entorses aux politiques et procédures, afin d'aider la direction à bien conduire l'institution : elle fait donc partie de la direction de l'entreprise, contrairement à l'audit interne, qui est indépendant.

La fonction des relations publiques, dont la création est très récente, est à ce jour uniquement constituées d'un responsable Marketing, lequel travaille de pair avec les dirigeants de branches, les superviseurs et les promoteurs, pour stimuler la demande des produits de FINCA, concevoir et conduire des activités de relation publique destiné à créer et maintenir une bonne image de l'institution auprès du public.

2.2.3.Capital/chiffre d'affaires

La Banque FINCA/RDC dispose à l'heure actuelle d'un portefeuille de 6.500.000 USD pour un total de 28.000 clients, repartis dans deux produits de crédit : le village Banking et le crédit individuel. Mais, depuis le 15 juin 2009, FINCA/RDC a introduit un nouveau produit, qui est l'épargne.

2.2.3.Environnement économique

La Banque FINCA/RDC a des partenaires en RDC, en dehors de la RDC, oeuvre à Lubumbashi comme capital économique de la République Démocratique du Congo et avec plusieurs concurrents entre autres : RawBank, TMB, ProCredit, etc.

2.3. INFRASTRUCTURE INFORMATIQUE

2.3.1. Présentation de l'infrastructure

Le réseau de la banque FINCA branche Centre-ville Lubumbashi, est un réseau VPN ayant essentiellement une topologie en étoile. C'est un réseau du type client/serveur fonctionnant en mode poste client/serveur avec plusieurs risques que dispose ce réseau dans la matière de sécurité, les données sont centralisées, dans ce mode nous avons constatés plusieurs problèmes incontrôlés par le système local, et ce qui crée aussi un casse-tête pour le système centralisé.

2.3.2. Organigramme de service informatique

2.3.3. Analyse du parc informatique

La banque FINCA branche de Centre-ville Lubumbashi compte au sein de sa branche plus de 100 (cent) des machines ayant des marques différentes, repartie dans ce site. La salle technique contient un grand nombre des machines et les restes sont repartis dans les différents bureaux.

L'architecture du réseau est du type client/serveur, avec une machine serveur située au niveau de Kinshasa où il y a la configuration VPN pour les accès distants, il n'y a aucun protocole de sécurité dédié pour le transfert ou échange des informations (données) inter site. Ainsi donc, chaque partie client échange directement avec le serveur car tout est centralisé. Les systèmes d'exploitation installés sur les postes clients et serveur sont de la plate-forme Microsoft.

Pour mettre en place un réseau informatique, plusieurs équipements informatiques sont mis en jeux. La plupart de ces équipements sont des équipements d'interconnexion. Chacun de ces équipements joue un rôle spécifique dans le réseau comme nous l'avions montré dans premier chapitre.

Ainsi pour le réseau de FINCA nous avions repérés les équipements qui sont consignés dans le tableau suivant :

Marque	Nature	Taille	Caractéristiques physiques
Cisco Catalyst 3750G-16TD	Switch TP-LINK	7	16 ports Ethernet 10/100/1000 et 1 port 10GE Xenpak
Cisco Microtik 20-11	Routeur	1	· Ports 1 x RJ-45 10/100Base-TX Auto MDI/MDI-X Internet 4 x RJ-45 10/100Base-TX Auto MDI/MDI-X LAN.
Dell power EDGE-T110	Serveurs	5	· Format : tour · Processeurs Intel mono socket à deux ou quatre coeurs Jusqu'à 4 disques durs 4 emplacements DIMM DDR3 ; · Gamme de processeurs Intel- Core i15-2100 et Intel Xeon E3-1200, · Jusqu'à 32 Go et 1 333 MT/s · Disque dur Câblés : jusqu'à quatre disques durs SAS ou SATA de 3,5 pouces ou jusqu'à six disques durs SSD SAS ou SATA de 2,5 pouces
HP	Photocopieuse	3
RJ 45	Connecteurs		Câble UTP
DELL	Ordinateurs	20	Processeur 2.10GHZ, RAM 2.0OGO, capacité Disque dur 500G0 et Système d'exploitation installé windows 8
H.P	Ordinateurs	12	Processeur 1.00GHZ, RAM 1.0OGO, capacité Disque dur 300G0 et Système d'exploitation installé Windows 7 et XP

2.2.4. Codification existante

La Banque FINCA en ce qui concerne la disponibilité des services fait le backup journalier afin d'avoir les mêmes données en cas sinistre, comme les failles dans les actifs d'un réseau peuvent être présentées de menaces pour ce dernier, la Banque FINCA procède à la mise jour régulière de ces logiciels ainsi que la protection par le mot de passe.

2.2.5. Architecture actuelle du réseau FINCA

Le réseau actuel de la Banque FINCA est constitué de 100 postes interconnectées entre eux par l'internet, le 1 modem, le 1 routeur, les 7 Switchers, une antenne WIMAX le 5 serveurs en cascade. Le Local de la Banque FINCA comporte un câblage réseau normalisé. Des câbles pairs torsadées en utilisant le protocole de liaison de données FastEthernet :

- Plage d'adresse IP : La Banque FINCA dispose de plage d'adresse IP routables alloués au routeur et aux postes de travail connectés au réseau.

- Topologie du réseau : Tous les postes de travail connectés au réseau sont placés sur le même segment. Des Switchers en cascade sont utilisés dont les différents postes de travail leurs sont connectés.

2.4. DIAGNOSTICS PROPOSES

Cette partie permet faire un diagnostic sur le système existant ou utiliser, il est donc question de soulever les points forts et les points à améliorer en vue de proposer une nouvelle solution. L'analyse du réseau de la banque FINCA/Branche Centre-ville Lubumbashi nous a permis de dégager certains nombres problèmes (défauts) pouvant diminuer la qualité ainsi que les performances de cette banque, nous pouvons sous le tableau suivant :

LES POINTS FORTS

LES POINTS FAIBLES

- L'existence d'un responsable informatique améliore la qualité du travail et offre aux employés l'opportunité de travailler dans les meilleures conditions.

- La construction du local doté d'un câblage obéissant aux normes en matière de câblage informatique.

- Prise en compte la sécurité contre les risques physiques (les dégâts d'eau, de feu ou d'électricité) et les agents de sécurité (Polices et G4 Security).

- La connexion à internet et aux ressources du réseau local est rapide offrant un confort d'accès.

- Cette branche possède deux types des liaisons sur le serveur : la première liaison qui est permanente (pour le data) et la seconde de sauvegarde (en cas de problème).

- La mise à jour régulière des logicielles ;

- Un parc informatique considérable,

- La gestion financière et du personnelle sont informatisées.

- La connexion VPN à l'Internet.

· Absence de stratégie claire de protection des attaques virales (Anti spam par exemple) venant des messageries électroniques depuis les ordinateurs qui ont un accès internet.

· Absence d'un détecteur d'intrusion contre tout accès non autorisé de l'extérieur vers le réseau local et post-détecteur pour bloquer les scans furtifs de ports.

· Absence d'une politique pour la mise à jour de l'antivirus et des correctifs de Windows.

· Absence d'un mécanisme de filtrage des paquets entrant/sortant.

· Non existence d'un Firewall qui permet la protection des réseaux informatiques internes de l'entreprise contre les intrusions du monde extérieur, en particulier les piratages informatiques.

2.5. CONCLUSION PARTIELLE

Afin de ce chapitre, nous évoquons qu'il était concentré à la présentation de lastructure fonctionnelle de Banque FINCA et à l'étude du réseau existant qui nous a permis de diagnostiquer le système actuel et d'avoir une vision générale sur le fonctionnement du réseau notamment les différents équipements d'interconnexion utilisés, l'architecture physique et logicielle ainsi que les failles à améliorer ; la question qui se pose est celle de savoir : comment mettre en place une architecture réseau qui intégrer un système de surveillance pour la détection d'intrusion à partir d'un réseau existant ? Ainsi, notre prochain chapitre se penchera sur la technique de conception de l'infrastructure réseau FINCA. Les lignes ci-dessous nous donnerons les plus amples détails.

CHAPITRE TROISIEME : TECHNIQUE DE CONCEPTION DE L'INFRASTRUCTURE RESEAU DE LA BANQUE FINCA

3.0. INTRODUCTION

Dans ce chapitre, nous aurons à parler de l'identification de notre projet, de la conception logique et physique de notre architecture réseau en analysant les différents besoins fonctionnels, les besoins non fonctionnels, la gestion de risque avec la méthode OCTAVE et EBIOS, la conception d'architecture avec la méthode TOP DOWN DESIGN et les différentes contraintes liés à la mise en place de ces derniers.

3.1. IDENTIFICATION, ANALYSE DES OBJECTIFS, LES BESOINS ET LES CONTRAINTES FONCTIONNELLES

3.1.1. Les besoins et les objectifs d'un système de surveillance par détection d'intrusion

La capture des besoins fonctionnels et les objectifs est une étape primordiale, sur son exhaustivité et sa qualité repose une grande partie de la réussite ou l'échec de la solution à mettre en place.

- Recourir à un système de surveillance par détection d'intrusion répondant aux normes internationales afin de limiter les intrusions, limiter les interruptions de services et circulation rapide des informations dans les réseaux.

· Le Système de surveillance par détection d'intrusion : La détection d'intrusions vise à identifier les actions et les tentatives qui essaient de contourner la politique de sécurité pour compromettre la confidentialité, l'intégrité ou la disponibilité d'une ressource, et à lever des alertes en cas de détection d'intrusion. Elle peut être effectuée manuellement ou automatiquement. Une fois le détecteur d'intrusion réseau peut alerter l'administrateur réseau en cas d'intrusion, les post-détecteurs qui permettaient de bloquer les adresses IP qui essayaient de scanner les ports des machines dans un réseau sans autorisation, seront déployé en vue permettre la disponibilité des ressources, de limiter les intrusions à 95% dans le réseau de ce dernier et les interruptions seront plus légèrement réduite.

· La Performance : une architecture réseau sécurisée est de pouvoir réglementer les accès aux ressources du réseau tant à partir du réseau local qu'à l'extérieur, tout en essayant au minimum de limiter les failles d'éventuelles attaques aux vols d'informations et d'accroitre la sécurité du réseau local.

· La sécurité : ce paramètre dans le réseau est très important pour l'évaluation de taux de risque dans les actifs qui fait partie de ce dit mémoire ;

· La manageabilité : notre nouvelle architecture réseau sera facile à gérer et à utiliser à partir d'un tableau de bord et des outils de gestion réseau ;

· L'extensibilité : en ce qui concerne l'extensibilité de notre infrastructure nous sommes persuadés que même au bout de trois ans si l'entreprise arrivait à porter de modification en ajoutant les nouveaux équipements, cela n'aura pas de conséquences sur le système car lors de l'adressage, nous aurons à laisser une plage d'adresses pour le besoin futur.

3.1.2. Les contraintes

La mise en place de tout projet présente les contraintes dont l'entreprise peut envisager d'autres alternatives au-delà de ses moyens afin d'arriver à la réalisation de sa vision. Ainsi, l'entreprise peut présenter les contraintes suivantes : Le budget, le personnel ; les échéances ; la performance matérielle et la politique de l'entreprise, etc.

3.1.3. La spécification des besoins

Après avoir analyser l'existant dans notre deuxième chapitre, nous avons eu à cibler quelques besoins afin de pallier aux contraintes mentionnées ci-haut.

Les besoins fonctionnels sont des besoins exprimés par le client, ils constituent une action qui doit être menée par l'infrastructure à définir par rapport à la réponse à une demande, fonctionnellement ces besoins peuvent être exprimés en mettant en évidence les fonctions de services (pour répondre à la question « A quoi ça sert ? ») et les fonctions techniques (comment cela peut marcher ?). Sur ce, nous aurons à :

· Configurer le BRO IDS qui est outil réseau incorporant les fonctionnalités de Snort pour détecter les tentatives d'attaque réseau, le portSentry qui permet de surveiller les ports du système (ou de la machine) et il effectue une action (généralement d'un blocage) s'il détecte une tentative de connexion sur un port dont nous ne souhaitons pas qu'il soit écouté, le Tripwire qui contrôle les changements des fichiers systèmes pour l'analyse d'intégrité, le LogCheck qui permet une analyse efficace des logs et enfin le système Kali Linux qui est un outil de test de sécurité, etc. Sauf Kali-linux, tous ces outils sont configurés en parallèles pour apporter une sécurité accrue, mais tous seront orienté sous Linux la version Debian serveur ;

· Configurer les protocoles de routage et l'IDS physique en vue d'assurer l'authentification, l'intégrité et la disponibilité des ressources à l'aide d'un émulateur réseau GNS3 et un outil de virtualisation Oracle VM VirtualBox pour installer les trois machines virtuelles (Windows Seven, Debian et Kali-Linux) afin d'émuler notre solution en faisant abstraction de toute l'architecture proposée.

Les besoins non fonctionnels sont des besoins qui représentent les exigences implicites auxquels le système doit répondre. Ainsi, à part les besoins principaux le système est tenu de répondre aux critères ci-après :

· Savoir quels sont les éléments les plus importants du système informatique,

· La sécurité des accès (local, password : politique de réutilisation, caractères spéciaux, longueur) ;

· Ré-conception du plan d'adressage et de nommage pour tenir en compte les nouvelles exigences du client.

3.2. LA GESTION DU RISQUE

· Avoir une meilleure protection des systèmes qui conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires,

· Prendre de meilleures décisions basées sur des faits tangibles et mesurables : Investissement en équipement, personnel, formation, etc.

· Quelles sont leurs valeurs ? Quelles sont leurs criticités ? Quelles sont leurs propriétés ?

· Quels sont les acteurs - attaqueurs ? Quels sont leurs motivations et leurs moyens ?

· Actifs : L'ensemble des données et des systèmes d'information nécessaires au bon déroulement d'une organisation,

· Un événement redouté : - Unwanted Incident - est un scénario générique représentant une situation crainte par l'organisme.

· Vulnérabilité : Défaut ou faiblesse d'un système pouvant mener à une faille de sécurité ou à la violation de sa politique de sécurité ;

· Risque : Impact sur la mission de l'organisation, dépend à la fois de la vraisemblance de la menace (condition) et de son impact sur les actifs et les ressources (conséquence) ;

· Les scénarii de menace sont les scénarios qui conduisent à un ou plusieurs événements redoutés. Ces scénarii sont déclenchés par les menaces et permettent d'expliquer et de décrire comment les menaces peuvent être les causes initiales des événements redoutés.

3.2.1. Méthode OCTAVE

L'acronyme OCTAVE signifie «Operationally Critical Threat, Asset, and Vulnerability Evaluation». Il s'agit d'une suite d'outils, de techniques et de méthodes créées pour l'évaluation des risques basée sur la sécurité de l'information stratégique et laplanification. OCTAVE fut publiée en Septembre 2001. OCTAVE et sa version OCTAVE-S sont largement référencées par la communauté internationale du domaine de la sécurité de l'information. Entre Juin 2003 et Juin 2005, la méthode OCTAVE a été téléchargé plus de 9600 fois. L'OCTAVE elle a été développé par le CERT® Survivable Entreprise Management Team. Cette méthode est conçue pour être menée par le personnel de l'organisation sans faire appel à des consultants externes : elle est auto-dirigée. Cette méthode présente trois variantes : OCTAVE qui vise les grandes organisations, OCTAVE-S qui est la version réduite visant les PME/PMI et OCTAVE Allegro qui se focalise principalement sur le stockage, le transport, la gestion de l'information et les risques associés.

Phase 1 : Vue organisationnelle : Cette phase couvre les aspects organisationnels et se focalise sur la constitution des profils de menaces basés sur les actifs de l'entreprise. Il s'agit de l'identification des ressources importantes, des menaces et des exigences de sécurité associées. Les mesures de sécurité existantes sont identifiées pour produire des profils de menace.

Phase 2 : Vue technologique : Dans cette phase se fait l'identification des vulnérabilités de l'infrastructure à partir de composants clefs. Les analystes identifient les moyens d'accès aux actifs opérationnels afin d'identifier les composants à sécuriser.

Phase 3 : Développement de la stratégie de sécurité : Les analystes se focalisent sur l'atténuation des menaces suite à l'évaluation des risques pour définir des stratégies de protection et créer un plan d'atténuation.

3.2.2. Méthode EBIOS

L'EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme aux dernières normes ISO 27001, 27005 et 31000. Créée en 1995 par l'ANSSI (l'Agence Nationale de la Sécurité des Systèmes d'Information) et régulièrement mise à jour, EBIOS bénéficie de ses 20 ans d'expérience dans le domaine de la gestion du risque. Elle permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l'organisme et vis-à-vis de ses partenaires, constituant ainsi un outil complet de gestion des risques SSI. L'ANSSI et le Club EBIOS ont élaboré la version 2010 de la méthode EBIOS pour prendre en compte les retours d'expérience et les évolutions normatives et réglementaires.

EBIOS se décompose en plusieurs phases que nous allons détailler dans la section qui suit.

Un contexte bien défini permet de gérer les risques de manière appropriée, et ainsi de réduire les coûts à ce qui est nécessaire et suffisant au regard de la réalité du sujet étudié. Pour ce faire, il est essentiel d'appréhender les éléments à prendre en compte dans la réflexion :Le cadre mis en place pour gérer les risques, les critères à prendre en considération (comment estimer, évaluer et valider le traitement des risques) ;la description du périmètre de l'étude et de son environnement (contexte externe et interne, contraintes, recensement des biens et de leurs interactions...). La méthodologie EBIOS permet d'aborder tous ces points selon le degré de connaissance que l'on a du sujet étudié. Il sera ensuite possible de l'enrichir, de l'affiner et de l'améliorer à mesure que la connaissance du sujet s'améliore.

Selon EBIOS, il y a risque de sécurité de l'information dès lors qu'on a conjointement une source de menace, une menace, une vulnérabilité, et un impact.

Le principal enjeu est de réussir à obtenir les informations nécessaires à l'analyse qui puissent être considérées comme fiables. C'est la raison pour laquelle il est extrêmementimportant de veiller à ce que ces informations soient obtenues de manière à limiter les biais et à ce que la démarche soit reproductible.

Les risques appréciés permettent de prendre des décisions objectives en vue de les maintenir à un niveau acceptable, compte-tenu des spécificités du contexte. Pour ce faire, EBIOS permet de choisir le traitement des risques appréciés au travers des objectifs desécurité : il est ainsi possible, pour tout ou partie de chaque risque, de le réduire, de le transférer (partage des pertes), de l'éviter (se mettre en situation où le risque n'existe pas) ou de le prendre (sans rien faire). Des mesures de sécurité peuvent alors être proposées etnégociées afin de satisfaire ces objectifs.

La méthode formalise une démarche de gestion des risques découpée en cinq modules représentés sur la figure 16 suivante :

La démarche est dite itérative. En effet, il sera fait plusieurs fois appel à chaque module afin d'en améliorer progressivement le contenu, et la démarche globale sera également affinée et tenue à jour de manière continue surtout en cas d'ajout au système qui pourrait avoir une influence sur la sécurité.

À l'issue du premier module, qui s'inscrit dans l'établissement du contexte, le cadre de la gestion des risques, les métriques et le périmètre de l'étude sont parfaitement connus ; les biens essentiels, les biens supports sur lesquels ils reposent et les paramètres à prendre en compte dans le traitement des risques sont identifiés.

Le second module contribue à l'appréciation des risques. Il permet d'identifier et d'estimer les besoins de sécurité des biens essentiels (en termes de disponibilité, d'intégrité, de confidentialité...), ainsi que tous les impacts (sur les missions, sur la sécurité des personnes, sur les aspects financiers, sur les aspects juridiques, sur l'image, sur l'environnement, sur les tiers et autres...) en cas de non-respect de ces besoins et les sources de menaces (humaines, environnementales, internes, externes, accidentelles, délibérées...) susceptibles d'en être à l'origine, ce qui permet de formuler les événements redoutés.

Le troisième module s'inscrit aussi dans le cadre de l'appréciation des risques. Il consiste à identifier et estimer les scénarios qui peuvent engendrer les événements redoutés, et ainsi composer des risques. Pour ce faire, sont étudiées les menaces que les sources de menaces peuvent générer et les vulnérabilités exploitables.

Le quatrième module met en évidence les risques pesant sur l'organisme en confrontant les événements redoutés aux scénarios de menaces. Il décrit également comment estimer et évaluer ces risques, et enfin comment identifier les objectifs de sécurité qu'il faudra atteindre pour les traiter.

Le cinquième et dernier module s'inscrit dans le cadre du traitement des risques. Il explique comment spécifier les mesures de sécurité à mettre en oeuvre, comment planifier la mise en oeuvre de ces mesures et comment valider le traitement des risques et les risques résiduels. Pour plus d'information sur cette méthodologie, nous pouvons consulter le site de l'Agence Nationale Française de la Sécurité des Systèmes d'Information (ANSSI) ainsi que le site internet du club EBIOS.

Nous allons présenter les résultats d'une analyse des risques effectuée à l'aide méthodologie EBIOS et OCTAVE, cette analyse a été effectuée dans une banque FINCA Lubumbashi en République Démocratique du Congo qui utilise un système d'information pour la gestion de ses comptes clients.

3.2.3. L'analyse des risques

Nous allons à présent présenter les différentes étapes suivies et nos résultats après l'application d'EBIOS et OCTAVE sur un système compte bancaire qui utilise et stocke des données(argents) des clients sur ses serveurs. Le but de l'étude est de permettre de faire une analyse des risques pour le SIBF (système d'information bancaire de FINCA).

Gérer les risques de SSI sur le long terme et élaborer une politique de sécurité de l'information. Nous souhaitons que les risques de sécurité de l'information qui pourraient empêcher la banque FINCA d'atteindre ses objectifs soient gérés, et ce, de manière continue. Nous avons pour objectifs de : Optimiser les processus métiers en maîtrisant les risques de sécurité de l'information ;

C'est un établissement de microfinance, ci-après dénommé, par abréviation « FINCA », c'est un établissement privé à caractère spécifique, doté de la personnalité morale et de l'autonomie financière, sous la tutelle administrative du Ministre de la Finance par le biais de la Banque Centrale du Congo (BCC) en sigle.

Les chefs des branches, le IT Manager, les officiers (pour la gestion du système informatique) et le personnel administratif.

Cette Banque visé à fournir « des services financiers aux entrepreneurs de faibles revenus du monde permettant ainsi de créer des emplois, générer des capitaux, et améliorer leur niveau de vie faible. Le principal processus métier concerné par l'étude est la fourniture des capitaux.

Le système informatique du FINCA se compose de serveurs, des Switches, d'unmodem, un routeur, l'antenne WIMAX, de machines et les utilisateurs, ainsi que d'un système d'information. Comme présenter dans la figure 14 dans le deuxième chapitre. La banque FINCA dispose également d'un site internet non isolé physiquement du SI.

La majorité des services utilisent les dossiers papiers en plus de l'outil informatique. Cependant, presque tous les services sont entièrement informatisés (à 95%), le personnel de ces services utilisent les papiers pour les formalités administratives.

Le bâtiment est en étage relier à l'aide de câbles en fibres optiques. Les machines clients sont également reliées entre les switches à l'aide de liaisons par câbles, modem, routeur, switch. Cependant, pour l'accès à internet.

Cinq serveurs sont installés dans un local sécurisé. Ils sont interconnectés entre eux. Si l'un des serveurs tombe en panne les autres prennent automatiquement en charge les tâches qui devaient être effectuer. Les données sont stockées sur des NAS (Network Area Storage), ce qui garantit également la sauvegarde des données même en cas de pannes physiques de l'un des serveurs, puisque ceux-ci ne stockent sur leurs disques durs que les systèmes d'exploitation.

Le sujet de l'étude représente la partie du système d'information de FINCA indispensable pour qu'il exerce son coeur de métier. L'ensemble du patrimoine informationnel des clients est créé, traité et stocké sur ce système d'information.

La population de l'étude est l'ensemble des collaborateurs travaillant dans le périmètre choisi (Les chefs des branches, le IT Manager, les officiers, les utilisateurs). Au moins une personne de chaque catégorie participe à l'étude ; d'autres personnes peuvent également participer à l'étude afin d'apporter un point de vue extérieur. Les critères de sélection sont les meilleures connaissances du métier en général.

3.2.3.7 Identification des paramètres à prendre en compte lors de l'étude

Le personnel doit avoir accès aux dossiers clients FINCA se trouvant dans son service. Nous faisons la remarque que cette contrainte est imposée par la politique de gestion des accès à l'information de FINCA.

Tout le personnel utilisant l'informatique (les ordinateurs ainsi que le logiciel métier) n'est pas spécialisé en informatique.

3.2.3.7.2 Référence communautaire, légale et réglementaire à appliquer :

L'aspect éthique et déontologique de la microfinance doit être appliqué. La législation relative à la protection des données personnelles doit être appliquée.

La continuité du service doit être garantie même en cas de grève ou de crise grave.

La disponibilité maximale des informations bancaires des clients doit être garantie à tout instant.

La confidentialité des informations bancaires ne doit pas être au détriment de la qualité du service.

Du fait que la ville de Lubumbashi se trouve dans une zone plus peuplé et vaste, qu'elle serait l'impact un client emprunte un capital disparait ?

Afin d'exprimer les besoins de sécurité, les critères de sécurité retenus sont les suivants :

- La disponibilité : propriété d'accessibilité au moment voulu des biens essentiels.

- L'intégrité : propriété d'exactitude et de complétude des biens essentiels.

- La confidentialité : propriété des biens essentiels de n'être accessibles qu'aux utilisateurs autorisés.

Nous avons établi l'échelle suivante pour exprimer les besoins de sécurité en termes de disponibilité :

L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en termes d'intégrité :

L'échelle suivante sera utilisée pour exprimer les besoins de sécurité en termes de confidentialité :

L'échelle suivante sera utilisée pour estimer la gravité des événements redoutés et des risques :

L'échelle suivante sera utilisée pour estimer la vraisemblance (apparence de vérité) des scénarios de menaces et des risques :

Chaque métier sélectionné précédemment dans l'étude est lié à plusieurs processus. Ces processus sont des fonctions qui traitent des informations essentielles en entrée et en sortie. Dans le cadre de l'étude nous avons retenu les processus suivants en tant que bien essentiel :

Le schéma suivant décompose les biens supports et les positionne les uns par rapport aux autres :

Bien essentiel Bien support	La gestion des clients FINCA informatisés le logiciel l'Orbit.	La gestion des résultats d'analyse.	La gestion du Site internet de l'établissement	La gestion des transmissions informatiques
Logiciel métier utilisé	X	X
Canal informatique			X	X
Le matériel informatique				X

Thème ISO 27799	Mesure de sécurité	Description
7.6.1. Zone sécurisée	Périmètre de sécurité physique	Les serveurs se trouvent dans une salle sécurisée, l'accès est protégé par une porte blindée, seul le chef du service informatique et son adjoint possèdent les clés pour y accéder.
9.2 sécurité du matériel	Protection de l'Emplacement des équipements,	Le matériel est protégé des coupures de courant par des onduleurs, l'établissement possède en outre un groupe de courant en cas de coupure de longue durée.
7.8.2.1 Gestion des accès utilisateurs	Gestion des privilèges	Les droits d'accès aux dossiers clients sont restreints, un utilisateur ou un personnel ne peut accéder qu'aux dossiers des clients dans son service.
7.8.2.1 Gestion des accès utilisateurs	Gestion des accès aux postes Client	L'accès et l'utilisation des machines client sont restreints par une connexion via Active directory de Windows server.
Iso 27002 14.1 Aspects de la sécurité de l'information en matière de gestion de l'activité	Plan de continuité de l'activité en cas de panne	Cinq serveurs sont interconnectés entre eux et les bases de données sont stockées sur des serveurs NAS, si l'un des serveurs crache, ses tâches seront automatiquement divisées entre les autres.
ISO27002 12.3 backup des données	Etablissement d'une politique de sauvegarde Régulière	Des sauvegardes régulières sont effectuées et stockées.
Contrôle antivirus et logiciel malveillant	Installation d'un antivirus	Un antivirus est installé sur les serveurs mais pas sur les machines clients.
Contrôles sur le réseau	Utilisation d'un Pare feu Logiciel	Un pare feu logiciel est installé sur le réseau, celui-ci est édité par Microsoft, L'administrateur réseau mais pas un pare feu matériel prévu.

· Un code malveillant accidentellement ou intentionnellement introduit (Virus, ver, spyware...) ;

· Un pirate informatique cherchant des informations sur les antécédents clients d'une personne en particulier, ou cherchant à prouver que le système est vulnérable ou qu'il y a négligence au sein de la Banque FINCA ;

· Le personnel de FINCA a aussi été identifié comme étant une source de menace que ce soit délibérément ou bien par négligence ou par curiosité mal placée ;

· L'administrateur système, les help desk ou le personnel de maintenance qui peuvent être soudoyés pour voler l'argents, ou bien dans une volonté de nuire délibérément au système afin de se venger d'un licenciement par exemple ;

· Les accidents et les catastrophes naturelles (panne de courant, les intempéries...).

Il est à noter que le personnel administratif n'est pas sensibilisé à l'éthique, au secret de la banque ainsi qu'à la sécurité informatique. L'étude a consisté par la suite à déterminer les risques à partir des éléments définis précédemment, et à estimer leur gravité et probabilité d'occurrence en prenant en compte les mesures de sécurité existantes.

Evènement redouté	Bien essentiel	Critère	Besoin de sécurité	Source de menace	Impact	Gravité
Indisponibilité des dossiers clients	Gérer les dossiers Clients informatiques	Disponibilité	Disponibilité immédiate	· Membre du service informatique, · Personnel utilisateur peu sérieux ou malveillant · Virus informatique, · Script kiddies, · Agence gouvernementale étrangère	Impossibilité de consulter les dossiers des clients, donc de fournir l'argent, peut s'avérer perte de gain pour le client.	Critique
Modification non autorisée d'un compte client	Gérer les comptes clients informatiques.	Intégrité	Intègre	Personnel du service informatique ou utilisateur malveillant, Virus informatique	Données comptes clients transmises non intègres, risques très important pour le client	Critique
Divulgation d'un compte client à une personne non autorisée	Gérer les comptes clients informatiques	Confidentialité	Réservé	· Membre du service informatique ou utilisateur système peu sérieux ou malveillant · Virus informatique script kiddies Agence gouvernementale étrangère	Divulgation du secret client, donc risques de préjudice importants pour le client et pour la réputation de la banque	Critique
Site internet indisponible	Gérer le contenu du site web	Disponibilité	Entre 4 et	24 · Virus informatique, · Script kiddies	Site web piraté	Limitée
Modification non autorisée du site internet	Gérer le contenu du site web	Intégrité	Détectable	· Script kiddies	Site web piraté	Limitée
indisponibilité du réseau et des transmissions	Gérer les transmissions	Disponibilité	Disponibilité immédiate	· Membre du service informatique ou utilisateur du système peu sérieux ou malveillant · Virus informatique · script kiddies	peut causer un préjudice grave au compte client et à la réputation de la banque	Critique
Interception et modification des données transitant sur le réseau	Gérer les transmissions	Intégrité	Détectable	· Membre du service informatique ou utilisateur système peu sérieux ou malveillant · Virus informatique · Script kiddies · agence gouvernementale étrangère	Risque pour le Compte client et pour la réputation de la banque	Critique
Interception des données transitant sur le réseau	Gérer les transmissions réseau,	Confidentialité	Réservé	· Virus informatique · Script kiddies · agence gouvernementale étrangère,	Divulgation du secret compte client et préjudice pour le client et la réputation de la banque	Critique

Il existe 9 événements à la gravité critique, L'importance relative des événements redoutés précédemment analysés (identifiés et estimés) est évaluée à l'aide du tableau suivant (critères de gestion des risques) :

Nous avons établi la liste des risques à partir des événements redoutés et des scénarios de menaces précédemment appréciés.

Evénement redouté	Besoin de sécurité	Sources de menace	Impact	Gravité
Indisponibilité de réseau ou des résultats d'analyse	Disponibilité immédiate	· Employé peu sérieux ou malveillant, · Incendie des locaux ou panne de courant ; · Script kiddies	Impossibilité de prodiguer les comptes nécessaires à un client	Critique
Intégrité des données stockées sur la base de données ou sur le réseau compromise	Intègre	· Employé peu sérieux ou malveillant · Script kiddies	Les données transmises sont fausses	Critique
Confidentialité des données stockées sur le réseau compromise	Réservée	· Employé malveillant ou ayant une curiosité mal placée	Divulgation du secret des comptes clients et d'informations à caractère personnel	Critique
Disponibilité du site internet	Disponible dans les 24h	· Employé malveillant	Atteinte à la crédibilité de l'établissement	Limitée
Intégrité du site internet	Intègre	· Employé malveillant	Atteinte à la crédibilité de l'établissement	Limitée

3.2.3.13. Les mesures proposées pour l'amélioration de la sécurité du système :

Le risque d'accès illégitime et de la modification non désirée des données personnelles des comptes bancaires des clients, les interruptions des réseaux doivent être évité ou réduit à un niveau acceptable. C'est pourquoi les contre-mesures que nous avons citées tout au long de cette partie du chapitre ne suffisent pas, il faut en outre se prémunir contre les intrusions destinées à détruire ou corrompre les données, ou à en rendre l'accès impossible. Les techniques classiques contre ce risque sont l'usage de pare-feu (firewalls) physique et le filtrage des communications réseauxqui permettent de protéger la partie privée d'un réseau dont les stations pourront communiquer avec internet sans en être « visibles ». Le terme visible est ici une métaphore qui exprime que nul système connecté à internet ne peut de sa propre initiative accéder aux machines du réseau local (seules ces dernières peuvent établir un dialogue) et que le filtre interdit certains types de dialogues ou de services, ou certains correspondants (reconnus dangereux) et un serveur Linux doté de Bro IDS et post-détecteurs placer au carrefour pour surveiller tous les paquets qui circulent dans le réseau qui semblent être suspects en vue d'alerter à l'amiable pour trouver une solution.

3.3. CONCEPTION D'ARCHITECTURE AVEC TOP DOWN DESIGN

3.3.1. Cahier de charges fonctionnels du projet

A. Intitulé du projet : notre projet est intitulé étude, conception et mise en place d'un système de surveillance par détection d'intrusion, cas de banque FINCA.

B. Définition : il est question ici de proposer une architecture réseau qui permet d'assurer une surveillance par détection d'intrusion.

· Un ordinateur faisant office de serveur sur lequel nous allons configurés le système de surveillance par détection d'intrusion,

Dans chaque projet informatique quel que soit son type, il est nécessaire d'identifier et modéliser les besoins dans un document élaboré en collaboration avec les utilisateurs et les informaticiens ce qu'on appelle cahier de charge. Ainsi le tableau suivant nous donne le détail sur les différents équipements et leur prix :

EQUIMENTS	DETAILS	NOMBRE	PRIX UNITAIRE	PRIX GLOBAL
Commutateur	Cisco Catalyst 3750G-16TD	7	5000$	35000$
Connexion Internet	Vodanet	1	1000$	1000$
Routeur cisco	Cisco 2691	1	5000$	5000$
Serveur	Dell power EDGE-T110	6	4800$	28800$
Cisco PIX Firewall	PIX 506^E	1	2500$	2500$
Main d'oeuvre	Configuration et implémentation			7000$
Total				79.300$

Notons que ce coût est dérisoire car il ne prend pas en compte le coût de l'élaboration d'un cahier de charge de façon complète et professionnelle ainsi que celui du travail technique effectué, en effet il s'agit ici d'un projet qui s'inscrit dans le cadre de la rédaction d'un mémoire académique de fin d'étude.

Pour une bonne gestion d'un projet, il est important de pouvoir planifier les différentes activités à réaliser et rendre plus simple le suivi de son avancement. Ainsi, la planification nous permet de réaliser les points suivants : Fixer des objectifs, maitriser les moyens ; définir les travaux à réaliser ; suivre les actions en cours ;rendre compte de l'état d'avancement du projet et coordonner les actions.

Ainsi pour mieux planifier notre projet, nous allons créer le diagramme de Gantt à l'aide de GanttProject 2.7.2 (conception personnelle) qui est l'outil de prévision qui permet de planifier le projet, visualiser les différentes activités à réaliser et rendre aisé le suivi d'avancement de projet. Le planning est représenté sous forme d'un calendrier (jour, semaine, mois, année, etc.), la partie hachurée indique la date de début et de fin de l'action, notre diagramme de Gantt présente les étapes ci-dessous :

4. Expertise des équipements : moment de constatation du fonctionnement de l'outil à utiliser :7jours ;

8. Formation du personnel : période d'instruction des personnels de la banque FINCA/Haut-Katanga ville de Lubumbashi sise avenue Lomami à l'usage de réseau :10jours.

3.3.2. Conception logique du reseau

La topologie peut varier du simple au complexe et varie selon la taille, les caractéristiques et le trafic du réseau. Elle permet dans la mesure du possible de localiser tout problème dans un réseau dont l'objectif principal est initialement de connecter quelques équipements.

Le Bro IDS plus les post-détecteurs sont installé sur un serveur dédié avec le serveur Linux connecté à un switch placé à l'entrée du réseau pour surveiller tous les trafics qui entre et qui sort et surveiller toute violation sur tous les postes de l'entreprise c'est-à-dire les analyseurs (BRO IDS) pour la détection de malveillance et les senseurs(Post-détecteurs) pour la détection d'anomalies et la détection des attaques inconnues.

A l'entrée du réseau est doté de Cisco PIX Firewall (PIX 506E) pour déterminer si le trafic est autorisé, dans un sens ou dans l'autre. Le cas échéant, il active la connexion ; celle-ci aura un impact quasiment nul sur les performances du réseau. Les données d'un trafic non autorisé sont détruites. L'un de ses avantages utilise un système d'exploitation sécurisé dédié à la protection du routeur et les réseaux, ne pas vulnérable aux menaces provenant d'internet. Pour de plus amples informations sur Cisco IOS Firewall : www.cisco.com/go/csis

· Ce produit permet d'observer le flux de paquets de données sur le réseau et de déterminer les menaces pouvant affecter le réseau. Il complète d'autres dispositifs de sécurité (les firewalls et les VPN par exemple) afin de garantir une architecture réseau sécurisée. Les firewalls travaillent principalement sur la couche réseau et transport de la pile OSI (Open System Interconnection),

· L'acceptation ou le rejet du trafic se base sur les informations relatives à l'adresse ou au port (application) utilisé par le trafic concerné. La charge utile est rarement inspectée par les firewalls, tandis que le Cisco Secure IDS inspecte le contenu du trafic à la recherche de signatures de débordements de pile (buffer overflow), d'interruptions de service et d'autres types d'attaques. Le Cisco Secure IDS combiné à des firewalls représente une solution solide, complémentaire et intégrée.

Au sein d'un réseau nous retrouvons plusieurs utilisateurs. Avec l'évolution de la technologie tout tend vers l'adressage IP ainsi ce dernier représente l'une des premières fonctions des protocoles de la 3^èmecouche (réseau). Il représente le numéro qui identifie chaque ordinateur connecté à Internet, ou plus généralement et précisément, l'interface avec le réseau de tout matériel informatique (routeur, imprimante) connecté à un réseau informatique. Nous utiliserons les IPV4 (protocole Internet Version 4) afin d'identifier les hôtes dans le réseau.

Pour ne pas gaspiller les adresses, les hôtes de notre réseau prendront les adresses de classe B, avec leurs masques de sous réseau par défaut. Le tableau ci-dessous les adresses IP réseau ou du sous réseau :

Nous avons opté comme protocole de routage RIPv2 : c'est-à-dire c'est un protocole de routage sans classe qui permet à chaque routeur de communiquer avec son voisin.

Tout équipement dans un système informatique doit être identifié et nommé pour permettre à l'administrateur de connaitre l'emplacement et de différencier chaque matériel ainsi que les fonctions de regroupement des services au sein du réseau. Le tableau suivant nous présente le nommage des équipements :

Equipements	Localisation	Code(quantité)
Switches	Salle de l'IT Manager, Bureau des superviseurs, Salle des promoteurs de credits, Salle des comptables, Bureau des ressources humaines, Switch central1 et 2	SwtITMAG001(1), SwtBSVS002(1), SwtSPCT003(1), SwtSCTBLE004(1). SwtSCT004(1). SwtSCT004(2).
Routeur	Pour toutes l'entreprises	R1001(1)
Cisco PIX firewall	Pour toutes l'entreprises	PIX1001(1)
Modem	Pour toutes l'entreprises	Modem1001(1)
Ordinateur (HP, DELL)	Salle de l'IT Manager, Bureau des superviseurs, Salle des promoteurs de credits, Salle des comptables, Bureau des ressources humaines	PCITMAG001(1), PCDEPINFO001(24), PCDEPAUDIT002(24), PCFXINSP003(24), PCDEPOP004(70).
Serveur	Salle Serveur	SERVFICH001(1), SERVF002(1), SERVACTVE003(1), SERVBDD004(1), SERVBROIDS005(1).
Point d'accès	Tous départements	APDEPINFO(1)
Imprimante	Salle des promoteurs de credits	IMPRDEPOP000(1).

· Le GNS3 pour Graphical Network Simulator 3 est un logiciel libre distribué sous licence GPLv2 permettant la simulation de réseaux informatiques. Contrairement à d'autres simulateurs comme Packet Tracer de CISCO qui ne font qu'imiter un modèle abstrait du matériel simulé, GNS3 imite vraiment le comportement physique de ce dernier. En ce sens, GNS3 est plus un émulateur qu'un simulateur. En tant que tel, son premier avantage est de fournir des simulations plus proches de la réalité. Une simulation marchant sur GNS3 a de fortes chances de marcher sans trop de problèmes inattendus en implémentation physique.

· BRO IDS : BRO Intrusion Detection System est un outil qui permet de détecter les attaques réseau.

· LogCheck fait partie de LogSentry et permet une analyse efficace des logs puisqu'il les classifie etétablit des rapports sur l'activité et les erreurs qui réclament une lecture. Il propose quatre niveauxd'analyse différents : ignorer, activité inhabituelle, violation de sécurité et attaque.

· PortSentry surveille les ports de notre système et il effectue une action (généralement un blocage) s'ildétecte une tentative de connexion sur un port dont nous ne souhaitons pas qu'il soit écouté.

3.3.3. Conception physique du reseau

Rappelons qu'un réseau informatique est un ensemble de moyens matériels et logiciels interconnectés dans l'objectif de partager des informations.

On appelle médias réseau des éléments qui permettent d'acheminer un signal d'un équipement à un autre au sein d'un réseau.

Nous distinguons deux catégories de médias ou supports de transmission : supports de transmission réseau filaire et non filaire. Nous porterons notre choix sur les deux types de transmission mais plus particulièrement sur le média filaire pour les utilisateurs systèmes. Nous allons utiliser les médias suivants :

· Liaison Hertzienne (onde sans fil) via le WIMAX, le backbone des opérateurs de télécommunication ;

· Fibre optique : 200-600 MHz/km pour les fibres multimodes ; > 10 GHz pour les fibres monomodes ; 10 à 25 MHz/km pour des câbles électriques usuels.

Sur ce point nous allons faire le choix des matériels à utiliser dans notre réseau. On attend en informatique par matériel réseau tout équipement qui se connecte directement à un segment du réseau. Nous distinguons deux types de matériels réseaux notamment des équipements d'utilisateur final appelés hôtes et les équipements réseaux appelés également les équipements d'interconnexion.

Les hôtes permettent aux utilisateurs de partager, de créer et d'obtenir des informations, ils peuvent fonctionnés indépendamment du réseau. La liste suivante nous donne quelques équipements : les scanneurs, les ordinateurs, les imprimantes et tant d'autres équipements qui rendent services de manière indirecte à l'utilisateur. Pour notre cas, nous allons utiliser les hôtes existant au sein de la banque FINCA.

Sont des équipements qui assurent le transport des données qui doivent être entre les équipements d'utilisateur final. En outre ils sont utilisés pour convertir les formats des données et assurer la gestion de transfert de données entre autres : les serveurs, routeurs, Cisco PIX Firewall, sondes BROS IDS, Switches, Modem, etc.

Le FAI est une entreprise ou un organisme qui permet à offrir une connexion à l'Internet (réseau des réseaux). Pour notre cas, nous avons deux FAI entre autre Vodanet comme fournisseur principal.

3.4. CONCLUSION PARTIELLE

Pour mettre terme à ce chapitre, nous rappelons qu'il était centré sur l'étude de faisabilité, qui nous permis à spécifier les besoins du client, les différentes contraintes fonctionnelles, une gestion d'analyse a été faite pour répertorier tous les risques auxquels les actifs critiques sont exposés et de les hiérarchiser en vue d'une analyse qui détermine ainsi quels risques devront être traités avec priorité et quels risques seront acceptables sans aucune intervention et le cahier de charges fonctionnels de notre projet. En outre, il a été question dans ce chapitre de déterminer l'architecture logique et physique de notre réseau, dans le prochain et de chapitre dernier nous allons de faire une architecture type pour présenter notre solution.

CHAPITRE QUATRIEME : MISE EN PLACE D'UN SYSTEME DE SURVEILLANCE PAR DETECTION D'INTRUSION DANS LE RESEAU DE LA BANQUE FINCA

4.0. INTRODUCTION

Dans ce chapitre, il sera question dans un premier lieu de configurer notre modèle type en utilisant le simulateur le Graphical Network Simulator 3« GNS3 » en sigle, en second lieu nous aurons à configurer sur Debian 8.5 serveur l'outil réseau (Bro IDS) et les post-détecteurs (PortSentry, Tripwire et LogCheck) au carrefour pour limiter les intrusions, les bloquer en cas de détection d'intrusions pour garantir l'intégrité, l'authentification et la confidentialité de données et enfin on va tester notre solution si les outils réagissent avec Kali-linux 2017.1, notons que nous n'allons pas configurer l'IDS physique, mais nous nous intéressons sur les IDS logique dans notre cas pour assurer une surveillance par détection d'intrusion.

4.1. PREREQUIS

L'implémentation de cette solution que nous voulons mettre en place présente quelques exigences qui doivent être réalisées au préalable :

4.1.1. Preuve de concept sous GNS3

GNS3 pour Graphical Network Simulator 3 est un logiciel libre distribué sous licence GPLv2 permettant la simulation de réseaux informatiques. Contrairement à d'autres simulateurs comme Packet Tracer de CISCO qui ne font qu'imiter un modèle abstrait du matériel simulé, GNS3 imite vraiment le comportement physique de ce dernier. En ce sens, GNS3 est plus un émulateur qu'un simulateur^5(*). En tant que tel, son premier avantage est de fournir des simulations plus proches de la réalité. Une simulation marchant sur GNS3 a de fortes chances de marcher sans trop de problèmes inattendus en implémentation physique.

Son deuxième avantage est sa souplesse et sa richesse. GNS3 permet d'utiliser un large éventail de matériel sur lesquels on peut installer les images appropriées. Cela va des routeurs CISCO, en passant par les traditionnelles machines x86-64. Depuis la version 0.8 de GNS3 permet l'utilisation de machines virtuelles créées sous Virtualbox et les simulations faites avec peuvent être intégrées à un environnement physique existant !

Pour toutes ces raisons, nous avons choisi GNS3 pour produire une preuve de concept de la solution que j'ai proposée.

Une preuve de concept, ou en anglais proof of concept, est une réalisation courte ou incomplète d'une idée pour démontrer sa faisabilité. Dans le cas présent, il s'agit de créer une simulation de la solution pour montrer qu'elle marchera.

4.1.2. Architecture simulée

La figure 19 « Simulation GNS3 de la solution Linux » présente l'architecture que j'ai simulé sous GNS3.

Pour configurer les équipements du modèle on utilise la console par défaut en mode privilégié

Nous commencerons par configurer nos routeurs en leur attribuant la bonne configuration réseau. Nous attaquerons ensuite la configuration des clients et le serveur dans les parties qui suivent :

Nos interfaces sont maintenant configurées, il nous reste à configurer le routage avec le protocole RIP v2 pour permettre la communication et l'acheminement des paquets vers les différents réseaux.

Quelque vérification de configuration entre le routeur LSHI et KIN et la vérification de toutes les routes :

4.2. INSTALLATIONS ET CONFIGURATIONS DES OUTILS

· Il possède un très bon système de suivi d'erreurs et les problèmes sont résolus en moins de 48 heures ;

· Depuis le début, sa priorité consiste à développer un système d'exploitation complet et fiable ;

Parmi les paquetages Debian existants, plusieurs outils de détection d'intrusion en temps réel sont capables de découvrir un comportement hostile envers une connexion. Il en existe deux catégories : ceux qui surveillent les tentatives d'attaques sur un réseau et ceux qui contrôlent l'activité sur un hôte spécifique.

Nous utilisons PortSentry pour détecter les scans de ports, TripWire pour contrôler les changements dans le système et LogSentry pour l'analyse des "logs". Le premier et le dernier font partie de la suite TriSentry de Psionic Technologies.

4.2.1. Outils d'hôtes

· Détection de scans de ports : PortSentry surveille les ports de notre système et il effectue une action (généralement un blocage) s'il détecte une tentative de connexion sur un port dont nous ne souhaitons pas qu'il soit écouté.

Différents niveaux d'activité peuvent être choisis : le mode classique, le mode "stealth" (furtif) et le mode avancé. La configuration repose sur le fichier /usr/local/psionic/portsentry/portsentry.conf.

TCP_PORTS, vous définissez ici les ports à contrôler soit en mode classique soit en mode stealth. L'auteur du programme propose trois listes de ports selon le degré de réactivité que vous souhaitez appliquer. Le nombre maximum de ports s'élève à 64.

ADVANCED_PORTS_TCP, ADVANCED_PORTS_UDP, indique le numéro de port le plus élevé à utiliser en mode avancé. Chaque port au-dessous de celui-ci sera surveillé sauf ceux déjà exclus. Le port le plus élevé peut-être défini jusqu'à 65535. Toutefois il est déconseillé de dépasser 1024 afin d'éviter les fausses alertes.

ADVANCED_EXCLUDE_TCP, ADVANCED_EXCLUDE_UDP, propose une liste des ports à exclure. Les ports présents dans cette section ne seront pas surveillés en mode avancé. Vous pouvez y inscrire les ports habituellement dédiés aux clients distants et ceux n'offrant pas un véritable service. ident, par exemple.

IGNORE_FILE, nous y inscrivons le chemin du fichier dans lequel nous définissons les adresses IP à ignorer. L'interface locale, lo comprise, doivent également se trouver dans ce fichier. Vous pouvez aussi y ajouter les adresses IP locales.

KILL_ROUTE, nous pouvons ajouter ici la commande à exécuter pour bloquer l'hôte attaquant. Par exemple : iptables -I INPUT -s $TARGET$ -j DROP où $TARGET$ correspond à l'hôte attaquant.

KILL_RUN_CMD, nous indiquons une commande à exécuter avant de bloquer l'accès de l'hôte attaquant.

Une fois configuré, il doit être exécuté dans l'un des trois modes grâce aux options suivantes : pour TCP vous disposez de -tcp (mode de base), -stcp (mode stealth) et -atcp (mode avancé) ; pour UDP ce peutêtre -udp, -sudp, -audp.

Parce que le portsentry stop.Vous pouvez recevoir le paquet de données provenant du serveur.

Pour stocker l'information deux clés sont nécessaires : la première, la clé du site ("site key") est utilisée pour chiffrer les règles et les fichiers de configuration, et la seconde, la clé locale ("local key") sert àchiffrer l'information sur l'état des fichiers contrôlés.

La configuration se fait simplement dans le fichier /etc/tripwrie/twpol.txt et une fois qu'elle a été adaptée, vous pouvez l'installer en tapant :

Pour créer la base de données initiale contenant l'état actuel des fichiers, nous exécutons la commande : tripwire -m i 2

Le fichier de configuration peut être effacé afin d'empêcher un intrus de savoir quels fichiers ont été modifiés en tapant :

twadmin -m p > /etc/tripwire/twpol1.txt twadmin -m f > /etc/tripwire/twcfg.txt

Execute checking manually (Daily check script for Cron is included in package): -tripwire -m c -s -c /etc/tripwire/tw.cfg

If there is no problem even if some differences are detected, then update, results are saved under the directory: -

Ceci installe le programme logtail dans /usr/local/bin pour maintenir une liste des analyses déjà effectuées. Les fichiers suivants sont également installés :

Contient les expressions pouvant être considérées comme des violations de sécurité.

Vous pouvez utiliser cron pour lancer logcheck toutes les heures : 0 * * * * /bin/sh

4.2.2. Outils réseau

su apt-get install cmake make gcc g++ flex bison libpcap-dev libgeoip-dev libssl-dev python-dev zlib1g-dev libmagic-dev swig2.0

4.3. OUTILS DE TESTS DE MAINTENANCE

Il est question de : à quoi avons-nous besoins pour tester et maintenir notre réseau ? En réponse, nous avions besoins des outils pour s'assurer de la santé de notre réseau ; sans plus tarder, voici la liste non exhaustive :

· TCP Dump qui est outil en ligne de commande permettant d'écouter leréseau.

· Ethereal ou Wireshark : logiciel open-source permettant lacapture et l'analyse de traf?c réseau en mode graphique.

· NTOP pour indiquer à quoi est utilisé le réseau (charge, stations les plus bavardes, qui dialogue avec qui, avec quels protocoles...) sur courte période.

· Kali Linux qui est un système d'exploitation Linux qui permet de tester les performances du réseau, comme dans notre cas nous essayons de simuler un petit test en utilisant l'armitage qui est une interface graphique pour Metasploit, développée en Java (donc multiplateforme) pour voir nos machines s'ils sont vulnérables où pas. Pour lancer l'armitage sous Kali, il suffit de se déplacer au menu de gauche ou onglet d'applications puis lancer comme suit :

Pour utiliser d'abord l'armitage, il faut : démarrer une base de données postgresql en tapant cette commande sur terminal en mode administrateur : service postgresql start, puis créer une base de données métasploit avec la commande suivante : msfdb init pour accéder à cette dernière.

Il suffit d'ajouter l'adresse IP de la machine a exploitée en allant sur le menu Hosts puis Add Host puis taper l'adresse cliquant sur le bouton Add et il y aura un message de confirmation de l'ajout de l'hôte puis cliquer sur OK comme suit :

Après avoir ajouté l'hôte, il faut faire un clic droit puis scan pour scanner et voir les services qui tournent sur la machine avec le type d'OS, voir les attaques qui sont possibles au sein de la machine cible en choisissant l'onglet Attacks puis Find Attacks puis l'armitage va ressembler tous les exploits, puis clic droit sur la cible pour voir les attaques exploitables(failles) ou en choisissant l'auto-pourneur(Hail mary) pour avoir toutes les connexions(Shell) toujours l'onglet précèdent et en faisant clic droit sur l'hôte aller sur Shell 2 puis interact pour accéder dans l'hôte. Comme illustrer ci-dessous :

L'interface suivante montre que nous sommes au sein de notre machine cible et on peut faire tout.

N.B : Si vous voyez, la machine devient tout rouge, comme illustrer dans les interfaces précédentes sachant que ta machine est prise en otage par un jackpot.

4.4. CONCLUSION PARTIELLE

Le chapitre était consacré à la réalisation du projet proprement dit. Dans ce chapitre il a été question de montrer les configurations type de base d'un réseau, les configurations liées au système de surveillance par détection d'intrusion ainsi qu'à le test de vulnérabilité du réseau s'il répond au plan de sécurité que nous avions adopté, pour comment est-ce qu'on va notre réseau à l'extérieur.

CONCLUSION GENERALE

Nous avons, dans un premier temps, permis au lecteur de se familiariser avec les spécificitésdu système de détection d'intrusion qui est une sentinelle de sécurité en temps réel (semblable à un détecteur de mouvement) protégeant le périmètre du réseau, les extranets et les réseaux internes de plus en plus vulnérables.Les systèmes IDS analysent le flux de données du réseau à la recherche de signatures d'attaques ou d'activités considérées comme non autorisées, déclenchent l'alarme et lancent les actions nécessaires face à cette activité et dans un deuxième temps d'analyser l'architecture réseau existante de FINCA ses faiblesses pour en proposer une architecture nouvelle pour répondre aux faiblesses constatées via une analyse de risque qui est processus comprenant l'identification des risques en matière de sécurité, leur impact et l'identification des zones nécessitant une protection.

En effet, les systèmes de détection d'intrusions qui essaient de détecter les violations d'une politique de sécurité soufrent de plusieurs faiblesses. Les recherches permettant de développer des méthodes de détections d'intrusions ne cessent d'évoluer au même rythme que l'évolution des attaques et l'accroissement de leur complexité et partant de la méthode top down design qui nous a permis d'analyser les différents problèmes au sein du réseau de la banque FINCA en s'inspirant de l'analyse de risques avec l'OCTAVE et l'EBIOS et de notre hypothèse qui était une réponse provisoire, nous avons jugés bon de mettre en place une architecture de surveillance par détection d'intrusion pour limiter les intrusions frauduleuses dans le système en servant de BRO IDS et les post-détecteurs au niveau logiciel.

En sommaire des contributions, Dans ce mémoire nous avons apporté les contributions suivantes : Modélisation d'une architecture se surveillance en s'inspirant avec les OCTAVE et EBIOS résistante aux intrusions dans le système ;Utilisation des sondes très puissant qui est BRO IDS et les post-détecteurs.

En perspective, nous proposons d'améliorer les performances de notre IDS à travers l'exploitation des fichiers logs générés par BRO IDS en alertant l'administrateur réseau à chaque tentative d'intrusion de haut niveau par un mail ou un SMS et installer le contrôleur de domaine et les pare-feu et nous tenons à dire que nous n'avions pas atteint la perfection, c'est-à-dire d'autres chercheurs peuvent à continuer à grever ce dernier. Il faut bien signaler que ce mémoire est une excellente initiation à la vie professionnelle car il offre un aperçu de ce que sera le travail au sein d'une équipe de sécurité informatique. Il a donc été une expérience enrichissante aussi bien sur le plan théorique que pratique.

BIBLIOGRAPHIE

[1]	C. Llorens, Laurent Levier et Denis Valois, Tableaux de bord de la sécurité réseau, 2e édition, Paris: Eyrolles, Octobre 2006.
[2]	PIRETTE, Méthodes de sciences, Dalloz éd., Paris, 1971, p. 18.
[3]	M. R. PINTO et GRANWITTZ, Les méthodes en science sociales, 7ème éd., Paris: Dollaz, 1986, p. 10.
[4]	L. BINDUNGWA, Comment élaborer un travail de fin de cycle? continu et étape, Kinshasa: Médias Paul, 2008, p. 47.
[5]	I. T. louis, initiation à la recherche scientifique G2 ISS,2007-2008 inédit, LUBUMBASHI, 2007-2008.
[6]	ROBERT, PETIT ROBERT DICTIONNAIRE DE LA LANGUE FRANCAISE, PARIS, 2010.
[7]	M. L. e. V. Alanou, Intrusion détection : A bibliography. Technical Report SSIR-2001-01, Rennes, France: Supélec, septembre 2001.
[8]	M. D. a. A. W. H. Debar, A revised taxonomy for intrusion detection systems, London: Annales des Télécommunications, 55(7_8) :361_378, 2000..
[9]	F. V. a. G. V. C. Kruegel, «INTRUSION DETECTION and Correlation Challenges and Solutions» Université de Californie, Californie USA: edition La (c)2005 Science Springer, 2005.
[10]	A. VLADIMIR, Concevoir la Sécurité en Entreprise, Abidjan Cote d'Ivoire: CI-CERT, 2014.
[11]	S. Perret, Agents mobiles pour l'accès nomade à l'information répartie dans les réseaux de grande, Master's thesis, Thèse en Sciences Informatique, Paris, France: LSR-IMAG, Grenoble I, 19 novembre 1997.
[12]	J. E. White, Telescript technology, the foundation for the electronic marketplace, Paris: White paper, Genenral Magic, 1994.
[13]	N.Boukhatem, Les agents mobiles et leurs applications, Paris: DNAC , 1999.
[14]	J. G.-F. D. Isacoff E. Spafford D. Zamboni J. Balasubramaniyan, An architecture for intrusion detection using autonomous agents. Technical Report COAST TR 98-05, COAST Laboratory, Jun 1998.
[15]	J. G.-F. D. Isacoff E. Spafford D. Zamboni J. Balasubramaniyan, An architecture for intrusion detection using autonomous agents. Technical Report COAST TR 98-05, COAST Laboratory, Jun 1998.
[16]	SECURIDAY, Journée nationale de la Sécurité Informatique, Paris: Club de la Sécurité Informatique à l'INSAT, 2003.
[17]	25 12 2012. [En ligne]. Available: www.google/Wimax/. [Accès le 19 Mars, Avril 2016].
[18]	P.-A. FOUQUE, «Alogorithme de Chiffrement par Bloc (DES et AES),» Ecole Normale Supérieure, France, 2013.
[19]	Jigar SOLANKI, Yvan VANHULLEBUS, Cryptologie et Sécurité Informatique, Ipsec et Intégraption de l'extension "Mode conf" dans le module Ipsec, Bordeaux: Talence cedex, 2008.
[20]	Laurent Archimède, Thomas Chevalier, Julien Herbin, Sécurité de l'Information Tunnels et VPN, Paris: DESS ISYDIS, 2004.
[21]	VPN et Solution pour l'Entreprise, Université de Pau et des Pays de l'Adour, 3 éd., vol. II, Lyon, Département Informatique: DESS IIR, 2001-2002, p. 34.
[22]	U. Black, VPN and Label Routing network's, Paris: Prentice Hall, 2001.
[23]	S. S. TAN, Présentation sur le VPN, Paris, Université de la marée de la Vallée: UFR, 2004.
[24]	Diffié-Hellman, «RSA Laboratories,» Bordeaux 1, 2012.
[25]	G. Florin, Sécurité des niveaux liaison et réseau (VPN), Laboratoire CEDRIC, 2015.
[26]	www.cisco.com, 2009.
[27]	CCNA Sécurity : VPN-Configurations, 2014.

TABLE DES MATIERES

DEDICACE............................................................................................................................IV

AVANT-PROPOS........................................................................................V

* ² Il est toutefois possible d'adopter une attitude plus active et mettre fin à certaines connexions pour lesquelles des actions douteuses ont été détectées. Ce n'est cependant pas le mode de fonctionnement standard de Bro.

* ³Bro différencie les avertissements (« notice »), des informations internes qui peuvent être transformés en alertes (« alarm »), qui seront remontées à l'exploitant de Bro (par exemple par courriel). Par défaut, Bro transforme tous les avertissements en alertes.

* ⁵ Cependant nous continuerons à utiliser les termes « simulation » et « simulateur » pour plus d'aisance.