Rapport d'audit de la sécurité Informatique de l'ONT 1/125

REMERCIMENTS

Nous exprimons toute notre gratitude à Monsieur Khaled Baouab, pour son encadrement exceptionnel. Nous le sommes reconnaissant pour son soutien incessant aussi bien moral que matériel.

Nous remercions Monsieur Najib Khanouch pour son encadrement et ses consignes.

Nous sommes particulièrement reconnaissant à Monsieur Issam Laarif, pour ces conseils et son encadrement

Nous remercions également Messieurs les membres de jury d'avoir accepté l'examen de ce travail.

Nous ne pouvons conclure ces remerciements sans exprimer notre reconnaissance à tout le personnel et le corps professoral de l'ISI.

Rahmoune Mohamed Ali Maddouri Faouzi

Rapport d'audit de la sécurité Informatique de l'ONT 2/125

Sommaire

Chapitre 1 Etude de l'existant 9

1-/ Présentation générale de l'Office National de la Télédiffusion 9

1.1/ Les missions de l'ONT 9

2.1-/ Organigramme de l'Office 9

2-/ Structure informatique de l'Office National de la Télédiffusion 11

3-/ Phase de Pré-audit réalisée 11

3.1-/ Interviews menés avec les responsables de l'Office 11

3.2-/ Equipements informatiques 12

4-/ Sécurité générale 15

Audit Organisationnel et Physique 16

1-/ Démarche 16

2-/ Analyse des résultats 20

3-/ Résumé des conformités par rapport à la norme 24

Analyse de risques et mise en oeuvre d'un RIAMS 26

I/Analyse de risque 26

1/ Détermination des exigences de l'ONT en matière de sécurité 26

2-/ Analyse de risque du système d'information de l'ONT 27

3-/ description des risques 28

4-/ Analyse des resultas 30

Le rosace suivant fourni par l'outil GAE, présente les gravités des risques pour

l'ONT. 30

Rapport d'audit de la sécurité Informatique de l'ONT 3/125

4-1/ Perturbation sociale 32

4-2/ Erreurs de saisie ou d'utilisation : 32

4-3/ Perte de servitudes essentielles 32

4-4/ Perte de données 32

4-5/ Divulgation d'informations en externe 33

5- Reduction des risques 33

II/Mise en oeuvre d'un système d'Analyse de risques 35

1/Taxonomie 38

2/Classification des équipements 41

3/Identification et description des Processus, Activité services et fonctions 42

4/Classification des Informations 43

4.1/Impact coût Confidentialité 44

4.2/Impact coût Disponibilité 45

4.3/Impact coût Intégrité 45

4.4/Impact coût Non répudiation 46

5/Classification des Processus et activités 47

6/Identification des Risques 52

7/Classification des Risques 52

7.1/Evaluation de gravité 52

7.2/Evaluation de probabilité d'occurrence 53

7.3/Choix des mesures 53

7.4/Classification gravité/Probabilité d'occurrence 54

8/Génération des tableaux de bord 56

9/Recherche des causes par les diagrammes ICHIKAWA 59

Rapport d'audit de la sécurité Informatique de l'ONT 4/125

Audit Technique 62

1-/ Audit de l'architecture réseau et système 62

1-1-/ Topologie du réseau : 62

1-2-/ Sondage système 67

1-3-/ Sondage des flux et services réseaux 71

1-4-/ Audit de la gestion des défaillances matérielles : 76

2-/ Audit des vulnérabilités réseau et système 78

2-1 Audit des vulnérabilités des Serveurs en exploitation 78

2-2 Audit des vulnérabilités des postes de travail : 84

2-3 Audit des vulnérabilités des serveurs et postes clients du centre Nodal 85

3-/ Audit de l'architecture de sécurité existante : 86

3-1 /Audit & vérification des règles de filtrage au niveau des Firewalls 86

2- 2-/ Audit du Routeur 87

2-3-/ Audit des commutateurs 88

Conclusions d'audit 90

1-/ Revue des constats d'audit : 90

1-1 / Sur le plan organisationnel et physique (Audit Niveau 1), 90

1-2/ Sur le plan technique (Audit Niveau 2), 90

2-/ Recommandations 92

2-1/ Recommandations Organisationnelles et physiques 92

2-2/ Recommandations techniques 95

2-3/ Conseils pratiques 100

3/ PLAN D'ACTION 102

Conclusion générale 104

Rapport d'audit de la sécurité Informatique de l'ONT 5/125

Bibliographie 105

Annexe 1 106

Rapport d'audit de la sécurité Informatique de l'ONT 6/125

INTRODUCTION GENERALE

L'audit de sécurité des systèmes d'information consiste à mesurer les pratiques de sécurité existantes par rapport à un référentiel extérieur, dit de « bonnes pratiques », puis de faire l'inventaire des risques qui pèsent sur l'activité de l'entreprise.

Plusieurs méthodes permettent de procéder à de tels audits. En France, les plus connues sont Mehari, créée par le Clusif (Club de la sécurité des systèmes d'information français), Ebios (de la Direction centrale de la sécurité des systèmes d'information) et MV3 (de CF6, racheté par Telindus). On rencontre également la méthode anglo-saxonne Cobit (pour ses capacités de contrôle et de présentation de l'existant). Enfin, les grands comptes peuvent recourir à la méthode anglaise CRAMM exhaustive, mais plus lourde que les précédentes.

La présente mission constitue en premier lieu une actualisation et une révision de la situation de la sécurité au niveau de l'ONT, telle qu'elle été depuis la dernière mission d'audit réalisée (en 2003).

Comme toute mission d'audit, la présente, vise à identifier de nouvelles failles, insuffisances dans la sécurité découlant soit de l'évolution de la situation (acquisition de nouveaux équipements, de nouveaux logiciels, évolution technologiques, etc), soit de nouvelles exigences internes, externes ou réglementaires, soit encore des failles non identifiées auparavant et d'améliorer éventuellement les système de management de la sécurité en apportant des réalisation tel qu'un système de mangement de risque.

En effet, la mission couvrira l'audit du niveau organisationnel et physique en premier lieu, et en deuxième lieu une analyse et une mise en oeuvre d'un système de managment de risques, et finalement l'audit au niveau technique qui complétera de façon ciblée, l'audit du premier niveau.

Ce rapport se divise en trois parties :

La première partie « Audit Niveau 1 » qui permet d'avoir une vue globale de l'état de sécurité du système d'information et d'identifier les risques potentiels. Elle est composée de trois chapitres.

Le premier chapitre consiste à l'étude de l'existant, par l'identification des sites et des équipements qui feront l'objet de l'audit.

Le deuxième chapitre « audit organisationnel et physique », permet de dégager les failles d'ordre organisationnel et physique à travers un questionnaire basé sur la norme ISO 17799.

Le troisième chapitre consiste à une analyse de risque permettant d'identifier le niveau de risque du système d'information. Il détaillera aussi que possible les choix et les techniques de mise en oeuvre utilisés pour la réalisation d'un système de management de risques

La deuxième partie « Audit niveau 2 », concerne l'audit technique et permet d'identifier les vulnérabilités techniques présentes sur les systèmes informatiques critiques des sites audités.

La troisième parie consiste à présenter une liste de recommandations pour palier aux insuffisances et vulnérabilités dégagées dans la première et la deuxième partie, et des propositions pour améliorer le niveau de sécurité de l'Office National de la Télédiffusion.

Rapport d'audit de la sécurité Informatique de l'ONT 7/125

Rapport d'audit de la sécurité Informatique de l'ONT 8/125

Rapport d'audit de la sécurité Informatique de l'ONT 9/125