1

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

Dédicaces

Je rends grâce au Tout Puissant ALLAH qui m'a donné l'occasion de produire ce travail

dans la santé et la sérénité.

Je dédie ce mémoire :

A ma mère Astou Sarr.

A mon défunt père Ndiaga Thiam qui m'a donnée une bonne éducation (Que la terre de

Darou Salam lui soit légère),

A mes soeurs et à toute ma famille en général et particulièrement à mon frère Sylla Thiam et

sa femme Fatou Diagne Rosalie Seck ;

A ma soeur Sokhna Thiam pour leur affection et leur soutien éternel.

A mon frère Ndiakhate Thiam, qui n'a ménagé aucun n'effort pour ma réussite,

A notre défunt professeur M. Christophe Paulo

A tous mes amis(es), pour leur amour, leur disponibilité et leur soutien sans faille: Libasse

Samb, Mory Diaw, Amadou Diongue, Mamadou Barro, Serigne Diop.

Je ne pourrai terminer sans dédier ce mémoire à Serigne Touba Khadim Rassoul à qui sa

voie m'a guidé dans le droit chemin.

2

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

Remerciements

?Dans l'élaboration de ce mémoire et durant mes recherches en général, j'ai été soutenu par bon nombre de personnes à qui je tends à adresser ici mes plus sincères remerciements. Ainsi, je remercie:

Le bon Dieu,

Ma mère Mme Thiam Astou Sarr, mon frère M. Sylla Thiam et sa femme Mme Thiam

Fatou Diagne Rosalie Seck,

Tous les étudiants de la M2tdsi et l'ensemble du corps professoral de TDSI pour la

qualité de la formation que vous nous avez dispensé.

M. Aziz GUEYE Directeur de la DSSIE ainsi que tous ces membres.

Madame DIAW responsable des ressources humaine de l'ADIE.

Tout le personnel de L'ADIE pour l'ambiance formidable que vous avez partagée avec

moi et mes collègues stagiaire durant notre séjour au sein de votre structure.

Mes collègues stagiaires pour toute l'importance que vous avez accordée à ce présent mémoire et à toute la promotion LP3 Réseaux et services 2014-2015. Que Dieu fasse de vous des grands Homme dans un futur proche

A mes amis : Libasse Samb, Fatou Sène Wellé, Mory Diaw, Amadou Diongue, Abou Diallo, Mabouya Diagne.

A tous ceux qui m'ont soutenu de près ou de loin durant mon cursus ; je vous suis sincèrement reconnaissant

3

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

TABLES DES MATIERES

Dédicaces 1

Remerciements 2

Liste des Acronymes et abréviations 6

Avant-propos 9

INTRODUCTION 10

CHAPITRE I: PRESENTATION GENERALE 11

I.1. Présentation de la structure d'accueil 11

I.2 Présentation du projet 17

I.2.1. Contexte 17

I.2.2. Problématique 17

I.2.3. Périmètre 18

I.2.4. Les parties prenantes au projet 18

I.2.5. Les buts 21

I.2.6. Les objectifs : 22

CHAPITRE II : ANALYSE ET DEFINITION DES CONCEPTS DE BASE 23

II.1 Evaluation des besoins 23

II.1.1. Analyse de l'existant 23

II.1.2. Identification de piste de solution 24

II.1.3. Présentation d'un SIEM 24

II.1.4. Présentation d'un CERT/CSIRT 25

II.1.5. Les différents types de CSIRT 25

II.1.6. Avantages fonctionnels d'un CSIRT 26

II.1.7. L'Etat des CSIRT en Afrique et au Sénégal 26

II.2. Etude des Outils de gestion d'incidents 27

II.2.1. Etude comparative des outils de gestion des incidents de sécurité 27

II.2.2. Présentation de l'outil Request Tracker (RT) 28

II.2.4. Présentation de l'outil RTIR (Request Tracker for Incidence Response) 38

Chapitre III: ANALYSE ET CONCEPTION DE LA SOLUTION 40

III.1. Définition d'un incident 40

III.2. Politique de la gestion des incidents de la sécurité 41

III.3. Les Mesures à mettre en place 41

III.4 Organisation 42

4

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

III.4.1 Préambule 42

III.5. Processus de traitement des incidents 51

III.6.Gestion des incidents de SSI 53

III.6.1. Détection et signalement de l'incident 53

III.6.2. Enregistrement de l'incident 54

III.6.3. Catégorisation de l'incident 54

III.6.4. Qualification de l'incident 55

III.7. Réponse à l'incident SSI 55

III.7.1. Mesures de réponses immédiates 55

III.7.2. Investigations 56

III.7.3. Traitement 58

III.7.4. Revues post-incident 60

III.7.5. Actions post-incident 61

Chapitre IV : Mise en OEuvre de la solution 63

IV .1. Architecture de la solution 63

IV.1.1. Les outils utilisés 65

IV.1.2. Installation et Configuration de RT 65

IV.1.3. Installation et Configuration de RTIR 70

IV.1.4.Installation et Configuration de postfix 73

IV.2 Envoie d'alertes entre Ossim et RT 79

Conclusion 89

Bibliographie : 90

Webographie: Erreur ! Signet non défini.

Annexe 92

5

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

Table des Figures

Figure 1: Logo de l'ADIE 12

Figure 2: Organigramme de l'ADIE 15

Figure 3: Vue synoptique d'un SIEM 24

Figure 4: Logo attestant l'utilisation du nom CERT 25

Figure 5:Acteurs/partenaires de l'équipe de réponses aux incidents de sécurité 46

Figure 6: Grands domaines d'activité des services liés à la gestion d'incidents de sécurité 47

Figure 7: Schématique du processus de gestion des incidents 52

Figure 8:architecture de la solution 63

Figure 9: Système de notification par email de RI 65

Figure 10: Fichier de configuration de RI 68

Figure 11:page d'authentification de RT 69

Figure 12: configuration de la passerelle de la messagerie /etc/aliases 70

Figure 13:Installation de RTIR 71

Figure 14:Initialisation de la base de données 72

Figure 15:Activation du plugin RT::IR 73

Figure 16: Visualisations des emails avec Ihunderbird 75

Figure 17: autorisation du domaine cert.adie.sn 76

Figure 18: Activation du connecteur d'envoi 77

Figure 19:espaces d'adressage 78

Figure 20:liste des domaines acceptés 79

Figure 21:Configuration de l'envoie d'email sous Ossim 79

Figure 22: réception de message envoyé depuis RI 80

Figure 23:Reception d'un emaill dans momo@cert.adie.sn 81

Figure 24:Format d'email provenant d'Ossim Alien Vault 82

Figure 25: Ajout d'un utilisateur 83

Figure 26:resultat de la création d'un utlisateur 83

Figure 27: Ajout d'un groupe 84

Figure 28: Résultats de l'ajout d'un groupe 84

Figure 29:Ajout des membres du groupe 84

Figure 30: Création d'une file 85

Figure 31: Résultats de la création d'une file 85

Figure 32: ajout des droits de groupe 86

Figure 33: résultats ajout des droits de groupe 86

Figure 34: Création des observateurs d'une file 86

Figure 35: interface pour créer un ticket 87

Figure 36: Affecter une file à un ticket 87

Figure 37: commentaires sur un ticket 88

Figure 38: Réponse et cloture de la résolution d'un incidents 88

Figure 39: Fichier de configuration de Postfix 92

Figure 40: message d'erreur possible sur l'interface web de RI 93

Figure 41: liste des adresses ip autorisées 93

Figure 42: Personnalisation de l'interface RI 94

6

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

Liste des tableaux

Tableau 1: Les parties prenantes au projet 21

Tableau 2: Panorama des acteurs du marché 28

Liste des Acronymes et abréviations

7

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

8

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

9

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

Avant-propos

A l'ère de la société de l'Information, la Sécurité des Systèmes d'Information se trouve au coeur des préoccupations des entreprises. De ce fait, il est judicieux de songer à la formation de personnes ressources capables d'apporter des solutions à de telles préoccupations.

C'est ainsi que, dans le cadre de la reforme LMD (Licence-Master-Doctorat) au sein de l'Université Cheikh Anta Diop de Dakar, plus précisément à la Faculté des Sciences et Techniques que le master Transmission de Données et Sécurité de l'Information (TDSI) a vu le jour sous la diligence du Pr. Mamadou SANGHARE et de son équipe.

Ce Master a pour objectif d'assurer la formation de cadres ayant des connaissances solides dans les domaines qui concernent les Communications (la fiabilité, l'intégrité et le secret de la transmission de l'information) ; la Sécurité des Systèmes d'Information ; l'Audit Informatique; le Développement de Solutions de Sécurité, les Réseaux, la gestion des incidents et failles de sécurités informatiques etc.

Il a deux options à savoir : l'option professionnelle et l'option recherche.

En option professionnelle, les étudiants sont tenus en deuxième année d'effectuer un stage en entreprise d'une durée minimale de quatre mois, sur un thème se rapportant à la Sécurité des Systèmes d'Information.

En option recherche, les étudiants choisissent un sujet de recherche proposé par les professeurs. D'où le présent mémoire sur la gestion des incidents de sécurité d'un Système d'information. Ce document n'est pas écrit sous la forme d'un tutoriel, donc vous n'aurai pas toutes les captures car notre démarche n'est pas séquentielle mais elle se veut plutôt méthodique.

10

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam

INTRODUCTION

L'environnement socio-économique d'aujourd'hui, évolue et devient de plus en plus soucieux de la sécurité. Les gens prennent de plus en plus de mesures pour s'assurer de leur sécurité et prennent les mêmes dispositions dans leurs organisations gouvernementales et industrielles. Ces changements à leur tour font écho dans les exigences de sécurité informatique. Les personnes averties en réclament d'avantages pour que leurs informations personnelles soient traitées, transmises ou stockées en toute sécurité. Les demandes sont reconnues aussi bien par les gouvernements que par l'industrie et commencent à se refléter dans la constitution des lois et dans la pratique des affaires.

Les Menaces et les vulnérabilités, sous une forme ou une autre, sont probablement toujours vues comme une incidence sur le Système d'Information.

Les organisations et les entreprises devront continuellement déterminer où ils sont menacés et essayer de trouver des façons d'atténuer les risques. Toutefois, les actions préventives ne sont pas toujours infaillibles.

À ce titre, les méthodes de détection doivent être mises en place pour identifier quand un compromis a eu lieu. Les activités d'intervention, doivent à leur tour, être mises en place, pour faire face à ces détections. C'est là que la nécessité de disposer d'une équipe CSIRT (Computer Security Incident Response Team) devient plus évidente.

Une équipe CSIRT est l'un des meilleurs moyens de rassembler l'expertise nécessaire pour faire face à la multiplicité des possibles incidents de sécurité informatique qui peuvent survenir. Dans la suite du document, on fera une présentation de la structure d'accueil et du projet .On va ensuite décrire les besoins nécessaires pour construire et exploiter une équipe CSIRT. Dans la seconde partie, on va définir et expliquer la nécessité d'une équipe CSIRT, définir et introduire les rôles possibles et les responsabilités, les exigences pour la construction, le fonctionnement et la structure organisationnelle possible d'une équipe d'intervention. En fin terminer avec la conception et la mise en oeuvre de la solution.

11

Gestion des incidents de sécurité avec Request Tracker | Mor Thiam