Audit et definition de la politique de sécurité du réseau informatique de la first bank( Télécharger le fichier original )par Gustave KOUALOROH Université de Yaoundé I - Master professionnel en réseaux & applications multimédia 2008 |
S0MMAIRELISTE DES SIGLES ET ABREVIATIONS IV PREMIERE PARTIE: AUDIT DE SECURITE DU RESEAU INFORMATIQUE DE LA FIRST BANK 4 1. ARCHITECTURE DU RESEAU INFORMATIQUE DU SIEGE DE LA FIRST BANK 4 2. LES MENACES SUR LE RESEAU INFORMATIQUE DE LA FIRST BANK 7 2.1. Menaces relevant des problèmes non spécifiques à l'informatique 7 2.2. Les pannes et erreurs (non intentionnelles) 7 2.3. Les menaces intentionnelles 8 3. SCAN DES PORTS AVEC NMAP 11 3.2. Différents types de scan 11 3.3. Différents états des ports 12 4. SCAN DES VULNERABILITES AVEC NESSUS 14 5. TESTS D'INTRUSIONS DIVERS ET VARIES 20 5.1. Résumé des étapes du hacker 20 5.2. Test d'intrusions sur le réseau de la First bank 20 6. DETECTION D'INTRUSIONS AVEC « SNORT » 23 6.1. Les prérequis pour l'installation de snort 24 6.2. Installation de l'outil snort 24 6.3. Test de Fonctionnement : 25 6.4. Liaison des logs de snort avec mysql : 25 6.5. Création de nouvelles règles 25 6.6. Mise en place d'ACID : 26 DEUXIEME PARTIE : DEFINITION DE LA POLITIQUE DE SECURITE DU RESEAU INFORMATIQUE DE LA FIRST BANK 32 1. OBJECTIF D'UNE POLITIQUE DE SECURITE RESEAU 32 1.1. Définir une analyse de risque 33 1.2. Principes génériques d'une politique de sécurité réseau 33 1.3. Niveaux d'une politique de sécurité réseau 37 1.4. Les différents types de politiques de sécurité 38 2. STRATEGIE DE SECURITE RESEAU 38 2.1. Méthodologie pour élaborer une stratégie de sécurité réseau 38 2.2. Propositions de stratégie de sécurité réseau 42 3.1. Le modèle I-BAC (Identity Based Control Access) 46 3.2. Le modèle R-BAC (Role Based Access Control) 46 3.3. Le modèle T-BAC (Task Based Access Control) 47 3.4. Le modèle V-BAC (View Based Access Control) 47 3.5. Le modèle T-MAC (Team Based Access Control) 48 3.6. Le modèle Or-BAC (Organization Based Access Control) 48 4. APPLICATION DU MODELE OR-BAC A LA DEFINITION DE LA POLITIQUE DE SECURITE RESEAU : CAS DU LAN DE PRODUCTION DU SIEGE DE LA FIRST BANK 56 4.4. Services offerts par le réseau local de l'Organisation et hiérarchisation : actions/activités 58 4.4. Définition des vues et hiérarchisation 59 4.5. Quelques Org_FB_Permissions 59 4.6. Dérivation des permissions 60 ANNEXES : CAHIER DE CHARGES II
INTRODUCTION
L'informatique est devenue un outil incontournable de gestion, d'organisation, de production et de communication. Le réseau informatique de l'entreprise met en oeuvre des données sensibles, les stocke, les partage en interne, les communique parfois à d'autres entreprises ou personnes ou les importe à partir d'autres sites. Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité. Il est donc impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur, de retirer aux données leur caractère électronique et confidentiel. Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes de malveillance dont la nature et la méthode d'intrusion sont sans cesse changeantes. Les prédateurs et voleurs s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient l'entreprise à l'extérieur. La sécurité du système d'information d'une entreprise est un requis important pour la poursuite de ses activités. Qu'il s'agisse de la dégradation de son image de marque, du vol de ses secrets de fabrication ou de la perte de ses données clients ; une catastrophe informatique a toujours des conséquences fâcheuses pouvant aller jusqu'au dépôt de bilan. On doit réfléchir à la mise en place d'une politique de sécurité avant même la création du réseau. Cependant, la sécurité des SI est souvent oubliée ou établie à postériori. En ce qui concerne les normes de sécurité des SI, la famille de normes ISO 27000 constitue un véritable espoir pour les RSSI dans la mesure où elle apporte une aide indéniable dans la définition, la construction et la déclinaison d'un SMSI efficace à travers une série de normes dédiées à la sécurité de l'information : § ISO/CEI 27001 : système de Gestion de la Sécurité de l'Information (ISMS) -Exigences ; § ISO/CEI 27002 : code de bonnes pratiques pour la gestion de la sécurité de l'information (anciennement ISO/CEI 17799) ; § ISO/CEI 27003 : système de Gestion de la Sécurité de l'Information (ISMS) - Guide d'implémentation ; § ISO/CEI 27004 : mesure de la gestion de la sécurité de l'information ; § ISO/CEI 27005 : gestion du risque en sécurité de l'information ; § ISO/CEI 27006 : exigences pour les organismes réalisant l'audit et la certification de Systèmes de Gestion de la Sécurité de l'Information (ISMS) ; § ISO/CEI 27007 : guide pour l'audit de Systèmes de Gestion de la Sécurité de l'Information (ISMS). Il existe également plusieurs méthodes d'analyse de risques selon les zones géographiques. Parmi ces dernières, nous pouvons citer : § EBIOS (Expression de Besoins et Identification des Objectifs de Sécurité) : méthode d'analyse des risques créée DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) du ministère français de la défense. Elle est destinée avant tout aux entreprises françaises et à l'administration ; § MELISA (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information) : méthode inventée par Albert Harari au sein de la Direction Générale de l'Armement (DGA) en France. Elle a été abandonnée au profit de MEHARI ; § MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux) : elle a été développée par le CLUSIF dans les années 1980 mais a été abandonnée en 1998 au profit de la méthode MEHARI ; § MEHARI (MEthode Harmonisée d'Analyse de RIsques) : développée par le CLUSIF depuis 1995, suite à la fusion de deux anciennes méthodes MARION et MELISA ; § OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) a été créé par l'université de Carnegie Mellon (Etats-Unis) en 1999. Elle a pour but de permettre à une entreprise de réaliser par elle-même l'analyse des risques de leur SI, sans aide extérieure (consultants) ; § CRAMM (CCTA Risk Analysis and Management Method) a été inventée par Siemens en Angleterre et est soutenue par l'état. A côté de tous ces standards de sécurité et méthodes d'analyse de risques, certains pays ont développé un arsenal juridique pour réglementer le secteur de la sécurité informatique. Bien plus des entreprises ont souvent été créées pour veiller à l'application des politiques gouvernementales en la matière. En France par exemple, la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) a été créée et placée sous l'autorité de Secrétaire général de la défense nationale. Cette structure chargée entre autres de coordonner l'action gouvernementale en matière de la sécurité des SI, d'évaluer les menaces pesant sur les systèmes d'information, donner l'alerte, développer les capacités à les contrer et à les prévenir à travers les CERTA. Au Cameroun, L'ANTIC, créée par Décret n° 2002/092 du 8 Avril 2002, a pour mission de promouvoir et de suivre l'action gouvernementale dans le domaine des technologies de l'information et de la communication. Notre travail dans le cadre du présent mémoire a débuté par la rédaction d'un cahier de charges, questions de se fixer les idées sur ce qui convient de faire ou non pour répondre aux questions qui se cachent derrière le thème énoncé plus haut dans ce document. Le contenu de ce cahier de charge peut être consulté en annexe de ce document. Par la suite, nous avons suivi un plan de travail structuré en deux parties : § l'audit de sécurité du réseau informatique de la First Bank : ici nous commençons par faire un aperçu des menaces sur le réseau informatique de la First Bank, nous effectuons par la suite des tests de vulnérabilités et des tests d'intrusions, enfin nous faisons des recommandations pour une amélioration future de la sécurité de ce réseau informatique ; § la deuxième partie est consacrée à la définition d'un politique de sécurité du système d'information de la First Bank. Nous avons commencé cette partie par un état des lieux des méthodes des différents modèles de sécurité puis nous avons appliqué un de ces modèles de sécurité, Or-BAC en l'occurrence, dans le cadre de la définition de la politique de sécurité du LAN de production de la First Bank. NB : pour des raisons de sécurité liées à la confidentialité des informations internes à la banque, les travaux effectués dans le cadre de ce travail n'ont pas été entièrement exposés dans le présent rapport. Un rapport plus complet notamment en ce qui concerne la première partie sur l'audit de sécurité est la propriété de l'entreprise Afriland First Bank. |
|