I

I

REMERCIEMENTS

Qu'il nous soit permis d'exprimer tout d'abord notre profonde gratitude au DIEU Tout Puissant, pour nous avoir donné la force, la santé et l'intelligence nécessaire à l'accomplissement de ce travail. Nos remerciements vont également à l'endroit de :

? M. Paul GUIMEZAP pour nous avoir donné l'opportunité de suivre cette formation au Cameroun,

? La Direction de l'Institut d'Ingénierie Informatique d'Afrique Centrale (3IAC)

? M. Léopold Hilaire DONGMO, Responsable des Activités culturelles et Sportif et notre encadreur pour ses conseils et suivi pendant la période de ce projet tutoré,

? Tout le corps enseignant de l'Institut Universitaire de la Côte en particulier les enseignants de CS2I (Conception des Systèmes d'Informations Informatisés) pour leur disponibilité et surtout leur volonté de partager leur connaissance,

? Enfin à toutes nos familles, nos amis, voisins, camarades de classe et toute personne qui de près ou de loin n'a cessé de nous soutenir.

II

II

LISTE DES FIGURES

Figure 1 : ..8

Figure 2 14

Figure 3 16

Figure 4 19

Figure 5 : 20

Figure 6 21

Figure 7 26

Figure 8 27

Figure 9 28

Figure 10 : 29

III

AUDIT DE SECURITE DU SYSTEME TELEPHONIQUE IP DE L'IUC

LISTE DES TABLEAUX

III

Tableau 1 : .11

Tableau 2 : ..12

Tableau 3 : ..13

Tableau 4 : ..13

Tableau 5 : ..14

Tableau 6: ..21

IV

IV

RESUME

Ce rapport représente la synthèse des activités que nous avons eu à mener lors de nos travaux dans le cadre du projet tutoré. En effet il a été question pour nous de faire un audit de sécurité du système de téléphonie IP de l'IUC passant entre autre par la détermination d'une politique de sécurité et la détection des risques et des vulnérabilités tout en définissants une méthode d'analyse des menaces. Pour y parvenir nous avons établis un chronogramme des activités en définissant les différentes tâches à accomplir pour la réalisation de ce travail. L'audit de sécurité quant à lui, est une vue à un instant T de tout ou partie du SI, permettant de comparer l'état du SI à un référentiel. L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de tout ou partie du système. Il est à mentionner que le résultat d'un audit de sécurité permet aux entreprises de mieux déterminer le fonctionnement de leur système d'information. Ce dans cette lancée que nous avons réalisée différents phase d'étude entre l'existant et la détermination d'une solution adapté pour résoudre les différents problèmes rencontrés lors de notre étude.

V

V

SOMMAIRE

REMERCIEMENTS ..I

LISTE DES FIGURES ..II

LISTE DES TABLEAUX III

RESUME IV

SOMMAIRE V

INTRODUCTION GENERALE ...1

CHAPITRE 1 : GENERALITES SUR L'AUDIT DE SECURITE 2

I. LE CONCEPT D'AUDIT 2

II. CONCEPT DE SECURITE 8

CHAPITRE 1 : AUDIT DE SECURITE DU SYSTEME TELEPHONIQUE IP DE L'IUC....16

1

1

INTRODUCTION GENERALE

Les entreprises de nos jour, poursuivent à travers leurs activités, un certain nombre d'objectifs. Ces derniers intéressent non seulement ceux qui interviennent directement dans la gestion, mais également ceux qui, d'une manière ou d'une autre, contribuent à l'amélioration du système d'information et de communication. Elles sont intéressées par des solutions de communication téléphoniques performantes permettant l'optimisation des coûts d'exploitation. La téléphonie IP (Internet Protocol, ou protocole Internet) ou VoIP (Voice over Internet Protocol, ou voix par IP) est une solution de téléphonie utilisant le protocole de télécommunications IP et la voix numérisée. Cette solution de nouvelle génération offre aux entreprises une gamme d'équipement téléphonique à forte valeur ajoutée pour leur système de communication. Elle ouvre notamment de nouvelles perspectives pour les entreprises en termes de coûts, de performance, de sécurité et de facilité d'administration. Au-delà de ces opportunités d'optimisations des coûts, les entreprises sont confrontés à de problèmes de sécurités (du système d'information).Pour répondre à ce besoin de sécurité, l'entreprise est obligées de mettre sur pieds des procédures en vue de déceler les points forts, et surtout les points faibles (vulnérabilités) de tout ou partie du système en place. Il s'agit d'opération d'évaluation, d'investigation, de vérification ou de contrôle appelé audit de sécurité qui vise à définir le niveau global de sécurité logique et physique du système d'information en place. Les actions menées dans ce cadre sont destinées à caractériser et déceler les failles de sécurité existantes (au niveau de l'implémentation, de l'exploitation, et du contrôle de moyens). Dans le cas d'espèce, il sera question de faire une étude complète du système téléphonique IP de l'IUC, de ressortir l'état qui nous permettra de/d' :

? Evaluer le degré de sécurité par rapport à l'éventualité de fraudes externes et internes ? Evaluer et d'optimiser la gestion de la politique d'administration de systèmes de téléphonie.

? Détecter la présence de périphériques de communication non autorisés sur les lignes téléphoniques.

? Déterminer l'état des vulnérabilités présentes dans les différents modèles de PABX.

Pour améliorer en intégralité son fonctionnement.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

2

2

CHAPITRE 1 : GENERALITES SUR L'AUDIT DE SECURITE

Dans ce chapitre, il sera question pour nous d'appréhender théoriquement le concept d'audit, de nous familiariser avec son approche méthodologique. A cet effet, nous passerons en revue la notion d'audit. Il s'agit en quelque sort d'essayer de visualiser tous les contours sémantiques possibles du concept, ses objectifs, ses méthodes, et les outils relatifs au fonctionnement d'un SI et définir tous autres aspects qu'il met en exergue dans l'évaluation d'un système d'information et communication.

I. LE CONCEPT D'AUDIT

1. Définition

Selon le dictionnaire encarte 2008, l'audit signifie analyse et contrôle de la gestion et de la comptabilité, examen approfondi des domaines d'activités (d'une entreprise) en vue de les rendent conforme à certaines normes ou règles.

Pour Wikipédia, l'audit informatique (encore appelé audit des systèmes d'information) est l'évaluation du niveau de contrôle des risques associés aux activités informatiques. L'objectif apparent est d'améliorer la maitrise des systèmes d'information d'une entité. L'objectif réel est d'assurer le niveau de service adéquat aux activités d'une organisation.

L'audit informatique vise donc à établir une cartographie précise du réseau informatique d'une entreprise. Le matériel, le câblage, les logiciels, les équipements d'interconnexion sont testés et analysé afin de générer des rapports de performances. L'idée est d'assurer que le système d'information et communication est optimisé pour les processus métiers de l'entreprise et qu'il répond au niveau de qualité requis pour son système d'information.

L'audit de sécurité quant à lui, est une vue à un instant T de tout ou partie du SI, permettant de comparer l'état du SI à un référentiel. L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de tout ou partie du système.

L'audit est généralement réalisé conjointement à une analyse de risques, et par rapport au référentiel. Le référentiel est généralement constitué de :

? La politique de sécurité du système d'information (PSSI)

? La base documentaire du SI

? Réglementations propre à l'entreprise

? Documents de référence dans le domaine de la sécurité informatique.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

3

3

2. Rôle et Objectif

Dans les entreprises, l'audit permet de dresser l'état réel du fonctionnement du système (financier, informatique, sécurité), cet état se défini suivant un ensemble de méthodes et procédures pour satisfaire son fonctionnement. Les objectifs d'un audit sont multiples :

> Une validation des mesures de sécurité mises en oeuvre (contrôle, suivi qualité) ; > Une validation des processus d'alertes, de réaction face à des sinistres ou des incidents

en déclenchant une simulation d'attaque logique par exemple, on analyse la conformité

de la réaction des acteurs avec les procédures en vigueur ;

> Une détection d'enjeux ou de lacunes "oubliées ";

> Une sensibilisation des utilisateurs, de la hiérarchie, des subordonnés aux risques encourus.

Généralement les entreprises sollicitent un audit de son système informatique en moyenne pour deux cas.

a. Prévention

L'entreprise dresse régulièrement un état des lieux de son système informatique dans le but de connaitre les faiblesses, les possibilités d'amélioration et d'optimisation futures. Ainsi, l'audit permet :

> Se faire une bonne idée du niveau de sécurité du SI

> Tester la mise en place effective de la PSSI

> Tester un nouvel équipement

> Evaluer l'évolution de la sécurité (implique un audit périodique)

b. Réparation

L'entreprise a enregistré une dégradation des performances de son système d'information. Elle décide d'entreprendre un audit de sécurité de son système d'information et communication

(téléphonique) pour en connaitre la cause et améliorer l'efficacité du système.

3. Type d'audit

Il existe deux grandes catégories d'audits. La première comporte les audits globaux d'entités durant lesquels toutes les activités ayant trait aux systèmes d'informations sont évalués. La seconde catégorie correspond aux audits thématiques, ayant pour objectif la revue d'un thème informatique au sein d'une entité (la gestion de projet, la sécurité logique par exemple).

La norme ISO 9000 distingue :

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

4

4

a. L'audit interne

L'audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité. Du fait de la variété des domaines à couvrir et des missions à conduire, l'audit interne doit disposer d'une gamme de compétences toujours plus étendue. La formation permanente constitue un facteur clé de performance au plan individuel et collectif.

b.Audit externe

Il est réalisé par un personne externe a l'entreprise qui travaille pas au sein de la structure mais a un statut d'indépendant et travaille pour différentes entreprises. Il a pour objectif d'étudier le système d'information de l'entreprise, de déterminer les failles du système et de produire un rapport à la fin de son étude pour répondre aux différents vulnérabilités rencontrés et définir une approche pour remédier aux problèmes rencontrés.

c. Audit de sécurité organisationnel

L'objectif d'un audit organisationnel de sécurité est d'établir un état des lieux complet et objectif du niveau de sécurité de l'ensemble du système d'information sur les plans organisationnels, procéduraux et technologiques. Cette phase peut couvrir l'organisation générale de la sécurité (réglementation, procédures, personnel), la sécurité physique des locaux (lutte anti-incendie, contrôle des accès, sauvegarde et archivage des documents), l'exploitation et administration (sauvegarde et archivage des données, continuité du service, journalisation ), les réseaux et télécoms (matériel (routeurs, modems, autocommutateur..), contrôle des accès logiques, lignes et transmission), les systèmes (poste de travail, serveur, logiciels de base, solution antivirale) et les applications (méthodes de développement, procédures de tests et de maintenance,..). Au cours des réunions effectuées au sein de l'organisme audité, l'auditeur définit le périmètre de l'audit et les personnes interviewées et planifie ses interventions. Pour mener à bien cette phase, l'auditeur applique une méthodologie d'audit et d'analyse de risques "formelle" (Marion, Méhari, Melisa, Ebios...) comme il peut adapter ces méthodes selon les besoins de l'organisme ou suivre une démarche propriétaire personnalisée et simplifiée. L'évaluation du niveau de sécurité s'établit à partir des entretiens avec les personnes interviewées et de l'analyse des ressources critiques et des documents fournis. Les vulnérabilités identifiées lors des précédentes étapes seront rapprochées des menaces pouvant survenir dans le contexte technique et fonctionnel, objet de l'audit. Réduire les risques revient soit à agir sur les vulnérabilités, soit essayer de réduire l'impact qu'aurait l'exploitation d'une vulnérabilité par une menace conformément à la formule :

Risque=Menace*Impact*Vulnérabilité.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

5

5

d. L'audit technique S'effectue en 3 phases :

i. Phase d'approche

Pour évaluer le niveau de sécurité, il faut d'abord le connaitre. Pour la reconnaissance de l'architecture du système, l'auditeur reçoit des informations inventoriées par l'équipe informatique locale afin de vérifier le plan d'adressage IP et éventuellement la stratégie de mise en oeuvre de DHCP et le NAT.

ii. La phase d'analyse des vulnérabilités

Au cours de cette phase, l'auditeur détermine à l'aide des résultats obtenus à l'étape précédente les vulnérabilités potentielles et les outils nécessaires à leur exploitation. En pratique, cela consiste à tester la résistance du système face aux failles connues, via une analyse automatisée des vulnérabilités.

iii. La phase d'intrusion

L'objectif des tests intrusif est d'expertiser l'architecture technique déployée et de mesurer la conformité des configurations équipement réseau, firewall, commutateurs, sondes ; etc.

4. Les méthodes d'audits

Les systèmes d'information (SI) actuels doivent faire face à de nombreuses menaces susceptibles d'exploiter leur vulnérabilité. Afin de limiter les impacts résultant de ces menaces, une politique de traitement des risques doit être mise en place. L'analyse des risques en sécurité de l'information permet d'identifier les dangers induits par les applications et les SI, de les évaluer, et de définir et mettre en oeuvre des mesures de protection adaptées. Pour réaliser une analyse des risques, Il existe environ deux cent (200) méthodes dont plus de 80% sont mortes ou confidentielles. Mais nous parlerons de quelques-unes en occurrence.

a. La méthode MEHARI

MEHARI est l'acronyme de (Méthode Harmonisée d'Analyse des Risques). Elle est développée et maintenue depuis 1995 par le CLUSIF (Club de la Sécurité de l'Information Français) MEHARI représente une évolution notable depuis deux autres méthodes françaises MARION et MELISA. Le but de la méthode d'approche top-down est de mettre à disposition des règles, modes de présentation et schémas de décision. L'objectif de la méthode est de proposer, au niveau d'une activité comme à celui d'une entreprise, un plan de sécurité qui se traduit par un ensemble cohérent de mesures permettant de palier aux mieux, les failles constatées, et d'atteindre le niveau de sécurité répondant aux exigences des objectifs fixés. Elle présente 3 phases à savoir :

? Etablissement d'un plan stratégique de sécurité (global) qui fournit notamment (la reconnaissance et la détermination des valeurs de l'entreprise, l'établissement d'une politique de sécurité entreprise, l'établissement d'une charte de management)

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

6

6

> Etablissement des plans opérationnels de sécurité réalisés par les différentes unités de l'entreprise.

> Consolidation des plans opérationnels (globaux).

b. La méthode MARION

La méthode MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux) est issue du CLUSIF. Il s'agit d'une méthodologie d'audit qui permet d'évaluer le niveau de sécurité d'une entreprise à travers de questionnaires pondérés donnant des indicateurs sous la forme de notes dans différents thèmes concourant à la sécurité. L'objectif est d'obtenir une vision de l'entreprise auditée à la fois par rapport à un niveau jugé "correct ", et d'autre part par rapport aux entreprises ayant déjà répondu au même questionnaire. Le niveau de sécurité est évalué suivant 27 indicateurs répartis en 6 grands thèmes, chacun d'eux se voyant attribuer une note de 0 à 4, le niveau 3 étant le niveau à atteindre pour assurer une sécurité jugée correcte. À l'issue de cette analyse, une analyse de risque plus détaillée est réalisée afin d'identifier les risques (menaces et vulnérabilités) qui pèsent sur l'entreprise. Ces différents thèmes sont :

> Sécurité organisationnelle

> Sécurité physique

> Continuité

> Organisation informatique

> Sécurité logique et exploitation

> Sécurité des applications

Cette méthode se déroule en 4 phases, à savoir :

i. Phase de préparation (1)

Durant cette phase, les objectifs de sécurité sont définis, ainsi que le champ d'action et le découpage fonctionnel permettant de mieux dérouler la méthode par la suite.

ii. Phase d'audit des vulnérabilités (2)

Cette phase voit le déroulement des questionnaires ainsi que le recensement des contraintes propres à l'organisme.

iii. Phase d'analyse des risques (3)

Cette phase voit l'exploitation des résultats précédents et permet d'effectuer une ségrégation des risques en Risques Majeurs (RM) et Risques Simples (RS).

iv. Phase du plan d'action (4)

Durant cette ultime phase de la méthode, une analyse des moyens à mettre en oeuvre est réalisée afin d'atteindre la note " 3 ", objectif de sécurité de la méthode, suite aux questionnaires. Ce sur cette méthode que nous allons réaliser notre audit

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

7

7

c. La méthode EBIOS

EBIOS est l'acronyme de (Expression des Besoins et Identification des Objectifs de Sécurité). C'est une méthode publiée par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) en France en 1995. . Elle comprend une base de connaissances qui décrit les types d'entités, les méthodes d'attaques, les vulnérabilités, les objectifs de sécurité et les exigences de sécurité.

d. La méthode OCTAVE

OCTAVE est l'acronyme de (Operationally Critical Threat, Asset and Vulnerability Evaluation). Elle est produite par le Software Engineering Institute (SEI) de l'université Carnegie Million de Pittsburgh aux USA en 1999. La méthodologie est conçue pour etre conduite en interne ; Elle comprend trois phases principales :

i. Vue organisationnelle

Création des profils de menaces sur les biens de l'entreprise à partir des connaissances des cadres supérieurs, des cadres opérationnels et des équipes de production.

ii. Vue technique :

Identification des vulnérabilités d'infrastructure,

iii. Développement de la stratégie :

Analyse de risques, mise en place des mesures de sécurité Les documents produits à la fin de l'utilisation de la méthode sont :

? Une stratégie de protection pour l'organisationnel et l'opérationnel, ? Un plan de gestion des risques pour l'IT,

? Un plan d'action à court terme pour l'ensemble de l'organisation.

e. Autres méthodes

Il existe plusieurs d'autres méthodes pour la réalisation d'un audit de sécurité, nous pouvons citer :

i. CRAMM est l'acronyme de (CCTA Risk Analysis and Management Method).

Elle est créée par le CCTA (Central Computer and Télécommunication Agency du gouvernement anglais) en 1985 et est actuellement la propriété d'une société anglaise (Insight Consulting, une division de Siemens). Elle est proposée en deux variantes, CRAMM Express et CRAMM Expert.

5. Cycle de vie d'un audit

Le processus d'audit de sécurité est un processus répétitif et perpétuel. Il décrit un cycle de vie qui est schématisé à l'aide de la figure suivante :

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

8

8

Figure 1 : cycle de vie d'un audit

6. Les limites d'un audit

Les limites inhérentes des audits sont par ailleurs les suivantes :

? Le temps imparti est restreint (la probabilité qu'une cause possible de futur incident de sécurité ne soit pas détectée n'est pas nulle) ;

? L'appréciation du contexte de l'entreprise (fonctionnelle, métier) est parfois délicate (un audit doit comporter ainsi une analyse minimale des enjeux et de la sensibilité des données et traitements) ;

? Le niveau de sécurité appliquée sur le système d'information est dynamique : il peut évoluer fortement en fonction d'une simple mise à jour de système d'exploitation ou d'applicatif par exemple. Il en ressort qu'un résultat d'audit peut être contredit par le moindre changement sur le système d'information (organisationnel ou technique).

II. CONCEPT DE SECURITE

Le problème de sécurité se répartissent en 4 catégories : le matériel, le logiciel, les incompatibilités entre les systèmes utilisés pour assurer la sécurité, et la politique de mise en oeuvre du plan de sécurité.

1. La qualité des services de sécurité

La qualité de service désigne l'ensemble de paramètre échangé pendant une communication avec connexion pour que les informations passent correctement. Appliquée aux réseaux à commutation de paquets, la qualité de service (QOS) désigne l'aptitude à pouvoir garantir un niveau acceptable de perte de paquet défini contractuellement, pour un usage donné. Les services de sécurités peuvent avoir des niveaux de performances très différents selon les

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

9

9

mécanismes employés et les équipements déployés. Ces niveaux couvrent : l'efficacité des services de sécurités, leur robustesse (puissance) et leur mise sous contrôle.

2. Les risques de la sécurité informatique

En ce qui concerne l'analyse de risque, on a défini 12 types de menaces à savoir :

> Accident physique

> Malveillance physique

> Panne du SI

> Carence du personnel

> Interruption de fonctionnement du réseau

> Erreur de saisie

> Erreur de transmission

> Erreur d'exploitation

> Erreur de conception / développement

> Copie illicite de logiciel

> Indiscrétion/ détournement d'information

> Attaque logique du réseau.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

10

10

CHAPITRE 2 : CAHIER DE CHARGE

I. CONTEXTE DU PROJET

L'institut universitaire de la cote est composé de deux campus dont l'un est situé à Logbessou et l'autre à Akwa, notre étude portera sur le campus de Logbessou. Afin de connaître le fonctionnement réel du système d'information (téléphonique) de l'entreprise, celle-ci réalise un audit interne pour déterminer les différents états du système pour pouvoir ainsi détecter les différentes failles, vulnérabilités et risques rattachés aux systèmes et mettre en place une politique de sécurité pour l'optimisation de ses ressources dû l'importance de notre étude.

1. Description

Cependant la réalisation d'un audit de sécurité nous permettra de :

? Définir une politique de sécurité optimal pour le fonctionnement du SI

? Sécuriser le SI téléphonique et ainsi le système de sécurité physique rattaché;

? Surveiller les accès via les contrôle interne ;

? Détecter les d'intrusion

? Améliorer le système d'intervention des risques

2. Interprétation de la problématique

La problématique de ce projet est de réaliser un audit de sécurité intelligent du système IP de l'IUC qui permettra de surveiller les différents trafics réseau TOIP en déterminant les méthodes régit pour l'utilisation optimal du système. Pour mieux comprendre les enjeux de ce projet, nous avons réalisé un schéma QQOQCP (Qui Quoi Ou Comment et Pourquoi) donné ci-dessous.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

11

11

Tableau 1 : Modèle QQOQCP

Dans un premier temps, nous allons d'abord faire une étude sur l'existant pour recenser les différentes équipements susceptible au attaque et ensuit définir une politique de sécurité conforme au besoin de l'entreprise.

II. OBJECTIF DU PROJET

Après une documentation générale sur l'audit d'un système téléphonique IP, et notamment la détection de scène d'intrusion, nous allons donc en premier temps étudié les différents locaux en question et nous concentrer sur le choix de la méthode d'audit a utiliser pour le projet d'audit de sécurité du système téléphonique IP de l'IUC en se basant notamment sur le retour d'expérience des utilisateur du système et les sondage à entreprendre.

Ensuite nous allons nous documenter sur la méthode d'audit choisi qui dans notre cas est méthode MARION ainsi nous pouvions réaliser des sondages et des questionnaires pour en fin réaliser un rapport qui offrira les différents recommandations et solutions.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

12

12

III. LA PORTEES ET LES LIMITES

1. Positionnement de l'étude par rapport aux objectifs de l'entreprise

La réalisation d'un audit de sécurité au sein du réseau local pour permettre les accès aux informations est un projet réalisable en court, moyen et à long terme ; Nous offrira une sécurité optimale selon les besoins et objectifs de l'entreprise tels que :

? Protection physique de biens et des ressources,

? Assurer la sécurité du personnel (divulgation de l'information rattachée au personnel)

2. Opportunité et risques

Tableau 2 : Opportunités et risques

IV. BUDGET

1. Couts et charges

Grâce au coût avantageux de la VoIP, la téléphonie IP offre de réelles économies pour les entreprises. Son implémentation est presque gratuite, mais néanmoins il faudrait :

? Main d'oeuvre de l'auditeur 1000000frcfa

? Logiciel : système d'exploitation linux, le système ELASTIX open source.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

13

13

2. Taille du Projet

Tableau 3 : Taille du projet

V. ORGANISATION

1. Les Intervenants

Tableau 4 : Intervenants

VI. PLANNIFICATION

Après une étude détaillée des phases du projet nous avons estimés que le temps qui sera alloué à la conception du projet prendra une durée moyennant 40 jours.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

14

14

Tableau 5: planning

1. Diagramme de GANTT

Figure 2 : diagramme de GANTT

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

15

15

PARTIE II : ETAT DE L'ART

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

16

16

SYSTEME TELEPHONIQUE IP DE L'IUC

CHAPITRE 1 : AUDIT DE SECURITE DU

I. AUDIT DE SECURITE DE L'EXISTANT

1. Architecture de l'existant

^-Mr

^kwerpou

^-Mr

^Fondateu

^r

^{-Dr Azebaze -Adj RH -Res RH -Cmpta1 -cmpta2 -cell -info}

^{Niveau 1}

^-Salle

^radio

^-labo106-

¹¹¹³

-

^labo107_

¹¹¹

^-labo

^110_cour

^3il

^Plage

^{d adresse}

///

^172.16.4

^3.0

^{Plage d adresse} //// ^{172.16.4 4.0}

^{-resp sportif -my iuc -AP (tic, 3il) -coord cplst -autre}

^{Labo MSI et Bureau Resp Cisco}

^Serveur

^Elastix

^{Niveau 2}

^SCOlarité

^et

^COMM

^Niveau

⁰

^Administ

^ration

^Plage

^{d adresse}

///

^172.16.4

^2.0

Figure 3 : architecture TOIP de l'IUC

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

17

17

2. Description du système téléphonique IP de l'IUC

Dans cette partie nous allons identifier tous les éléments et les entités qui participent au fonctionnement du Système téléphonique. D'après les visites effectuées et les renseignements fournis par le responsable de la cellule informatique, nous répartissons l'inventaire des équipements informatiques comme suit :

a. Les équipements

Actuellement l'IUC dispose d'un système téléphonique IP (TOIP) interne qui est relié au réseau interne de l'entreprise. Son déploiement a été fait via le réseau. Les équipent dont le système est constitué sont :

? 1 serveur ELASTIX solution matériel

? 54 téléphones IP fixe ATCOM (nombre recensé)

? 1 passerelle ATCOM MODEL IP pour les appels en externe

b. Solution d'appel

Le choix d'appel de l'existant est une solution gratuit offert par le serveur Elastix gui est un IP PABX qui permet d'implémenter la téléphonie IP. Dans le cas d'espèce les solutions sont définis telles que :

Lorsqu'un abonné qui est défini par un préfixe et numéro veut émettre un appel en externe (hors du réseau téléphonique IP de l'IUC) celui-ci doit disposer des autorisations préfixes (codes et mot de passe) pour réaliser les appels externes. Ses passages sont défini par des passerelles IP qui permettront les communications entre le système téléphonique IP de l'entreprise et les opérateurs extérieur (ORANGE, NEXTEL MTN). L'entreprise dispose d'un système de renvoi d'appel (répondeur) lorsque un abonné ne répond pas au appel entrent ; il permet aussi l'envoi d'un email sur la boite mail de l'abonné pour la notification. Le renvoi d'appel avec redirection est uniquement pris en compte lorsque les appels sont en provenance de l'extérieur.

3. Présentation de la sécurité du l'IUC a. Services de sécurité

Un service de sécurité est une réponse à un besoin de sécurité, exprimé en terme fonctionnel décrivant la finalité du service, généralement en référence à certains types de menaces. Voici définit quelques domaines de responsabilité : sécurité des locaux, sécurité réseau étendu, contrôle de l'intégrité des données, confidentialités des donnés, sécurités des systèmes téléphoniques (sur ceux porte notre étude), etc.

i. Sécurité physique

La sécurité physique est une partie essentielle de tout environnement sécurisé. Elle doit permettre la limitation des accès aux bâtiments et équipements (ainsi qu'à toutes les

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

18

18

informations qu'ils contiennent) évitant ainsi les intrusions inopportunes, le vandalisme, les catastrophes naturelles, et les dommages accidentels (pic d'intensité électrique, température trop élevée...). Dans le cas d'espèces, d'après les visites et les entretiens, nous avons constatés les faits suivants :

Salle serveur fermée à clef, seuls les personnes autorisées et qui possèdent la clé peuvent y accéder, c'est-à-dire les 03 responsables de la salle serveur et ainsi qui le PDG de l'établissement qui possède toutes les clés de toutes les salles existant à l'IUC. La présence des caméras de surveillance à l'entrée du local et dans presque toutes les salles et ainsi que dans la salle serveur ou le serveur Elastix (solution TOIP).

ii. Sécurité logique

Pour la sécurité logique, les moyens mis en place au sein du système téléphonique de l'IUC sont définit par le plan de sécurité suivant :

Création des vlan : Mise en place des différents vlan pour faire le passage des communications voix IP des différents départements de l'entreprise. En isolant les différentes communications et en organisant les postes utilisateurs selon leurs situations physiques dans les bâtiments, le service auquel appartient l'utilisateur, définition des mots de passe et de préfixe (code) pour les appels en externe, se aussi un moyen de sécurité car il permet de se posséder des autorisations (code et préfixe) pour réaliser les appels en externe.

II. ANALYSE DES RISQUES

1. Gestion de la continuité d'activité

Une analyse de risque à partir des divers scénarios n'est jamais développé, qui permet d'identifier les objets et les événements qui pourraient causer des interruptions (partielle ou totale). L'inexistence des alarmes pour l'avertissement lors d'accès aux actifs sensibles en dehors des heures de travail ou en cas d'accès non autorisés. Absence d'un plan de secours, ce qui veut dire que l'organisme est incapable de répondre rapidement et efficacement aux interruptions des activités critiques résultant de pannes, incident, sinistre. Absence des plans écrits et implémentés pour restaurer les activités et les services en cas de problèmes.

2. Les risques humains

L'IUC doit tenir compte du la lutte contre les risques humains, nous pouvons en avoir constaté les suivants dans notre étude.

a. Les risques de maladresse et d'inconscience des utilisateurs

Tel que effectuer des appels en issu en laissant le système ouvert à tout vulnérabilité ; Ou effacer involontairement les données ou des programmes, exécuter un traitement non souhaité, introduire des programmes malveillants sans le savoir.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

19

19

i. Appréciation

La majorité des faille et incidents de sécurité sont dus à des erreurs humaines, des utilisateurs sont encore inconscient ou ignorant des risques qu'ils encourent lors de l'utilisation du programme malveillant.

b. Les risques de malveillances

i. Le Déni de service (aussi connu sou le nom de DOS)

Le DoS est une attaque sur un système informatique, un réseau, qui peut provoquer une interruption du service initialement rendu à l'utilisateur à cause d'une réduction de la bande passante du système, ou de l'utilisation de toutes les ressources système. Ce type d'attaque peut être réalisé de nombreuses façons. On remarque cependant trois schémas de base : la réduction des ressources informatiques comme la bande passante, l'espace disque ou la puissance CPU, la perturbation des tables de routage, la perturbation d'éléments physiques du réseau.

Le Déni de services

Déni de service sur un téléphone

Déni de service distribué sur un serveur

Téléphones

IP

Pirate

Pirate

PC "zombis"

Figure 4 : déni de services

c. Les écoutes

Il s'agit d'intercepter et d'écouter une conversation sans que les interlocuteurs principaux ne soient conscients de ce qui est en train de se produire. En ToIP, cela concerne plus généralement une famille d'attaques permettant à une personne malintentionnée d'intercepter une conversation et de l'enregistrer. Considérant que des numéros de cartes de crédit pour les particuliers ou encore des éléments confidentiels de certains contrats dans les entreprises peuvent être énoncés lors d'une conversation téléphonique, l'impact de ce type d'attaque devient évident.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

20

20

i. MITM (Man In The Middle)

Est une attaque au cours de laquelle la personne malveillante a la capacité de lire, insérer ou modifier les messages échangés entre les deux parties, et cela sans qu'elles n'en soient conscientes. Ce type d'attaque peut notamment être utilisé pour réaliser des écoutes ou encore des dénis de service.

Le schéma ci-dessous nous présente son déroulement.

Figure 5 : MITM

ii. Les fraudes téléphoniques

Ce type d'attaque consiste à contourner le système téléphonique mis en place pour pouvoir passer des appels non autorisés. Ce type d'abus peut venir :

? soit d'une mauvaise configuration du système détectée par l'utilisateur malintentionné qui va en profiter.

? soit d'une personne malintentionnée qui va utiliser les méthodes évoquées plus haut.

iii. Le TOIP SPAM ou SPIT (Spam over Internet Telephony)

Le SPIT correspond à des messages téléphoniques non sollicités qui peuvent être envoyés à un utilisateur comme à l'ensemble de l'entreprise. En plus du dérangement de l'utilisateur, ce type de message peut provoquer une surcharge du système tant au niveau du réseau que sur les différents serveurs. Les auteurs de ce type d'attaques sont souvent difficiles à tracer sur Internet. Ils peuvent donc envoyer des messages qui ne sont pas seulement publicitaires mais

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

21

21

qui peuvent aussi être exploités pour organiser des actions frauduleuses, pour utiliser des ressources non autorisées ou encore pour récupérer des informations confidentielles.

Le schéma suivant montre son déroulement.

Figure 6 : SPIT

Étant donné qu'il existe un nombre infini d'attaque sur un système TOIP, nous allons vous résumer sur tableau les principaux à tenir compte.

Tableau 6 : quelque exemple des types de menaces

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

22

22

CHAPITRE 2 : RECOMMANDATIONS ET

SOLUTIONS

Pour pouvoir fournir les services de qualité aux utilisateurs, tout en assurant cette disponibilité, l'architecture d'un réseau TOIP doit fournir un flux de trafic continu. Pour atteindre un tel niveau de maitrise, celle-ci doit répondre à un ensemble de prérequis tel que la sécurité du système TOIP, la supervision des équipements (serveurs, téléphones), les tests d'intrusions et de vulnérabilités, les filtrages des applications, etc. Ce dans cet optique que nous allons présenter les différents solutions possible pour l'optimisation du système téléphonique IP de l'IUC.

I. RECOMMANDATIONS

1. Politique de sécurité

L'IUC est tenu à élaborer une politique de sécurité qui doit être validée par les responsables, distribuées et publiée à tout le personnel qui interagissent avec le système . Chaque employé doit etre concerné et doit s'engager à la charte du respect de la confidentialité et d'intégrité de l'information. Le message qui doit être délivré à travers la politique de sécurité et la charte informatique est que toute violation de la confidentialité et de négligence sera considérée comme délit punissable selon le degré de sa gravité. Aussi une revue régulière de cette politique de sécurité doit être planifiée pour tenir compte des possibles changements qui surviendront (nouveaux incidents, nouvelles vulnérabilités, changements à l'infrastructure...). Ils doivent définir régulièrement une procédure d'administration du réseau qui devra comprendre une évaluation périodique et complète des faiblesses du système. Par ailleurs, nous recommandons un audit régulier des serveurs en production par la même équipe. Celle-ci vérifiera le bon fonctionnement des serveurs et s'assurera que les utilisateurs ne détournent pas les serveurs de leurs fonctionnalités initiales, provoquant alors une baisse du niveau de sécurité de l'entreprise. Pour améliorer une supervision efficace du réseau, Par ailleurs, nous recommandons un plan qui définit l'architecture proprement dit du système téléphonique IP de l'IUC ; ainsi, nous recommandons de même de séparer le trafic généré par les solutions de supervision du reste des applications un mode «out of band» sur un segment réseau dédié.

a. La sécurisation physique et environnementale

Il faut mettre des consignes claires à propos du fait de manger, boire ou fumer dans les locaux informatiques pour tous utilisateurs du matériel informatique. Définir des procédures de gestion de crise en cas de long arrêt du système et de permettre la reprise du fonctionnement au moins partiellement (favoriser quelques postes sur d'autres).

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

23

23

2. Gestion de la continuité d'activité

L'objectif ici est d'offrir une continuité des services du système téléphonique, de tenir compte des différents actions entreprendre pour la continuité du système d'information.

a. La redondance

Par ailleurs, il faudrait définir la réplication du serveur de téléphonie IP pour pouvoir avoir accès aux services en cas de pannes ou de crash du serveur initial ; prévoir aussi un plan de sauvegarde des données transitant sur le système réseau de l'entreprise. Mettre en place un plan de sauvegarde couvrant l'ensemble des configurations des réseaux définissant les objets à sauvegarder et la fréquence des sauvegardes. Les accès aux systèmes doivent être journalisées avec si possible et au minimum l'identité de l'utilisateur, le système concerné, la date et l'heure de l'accès.

b. Solution serveur

Après une étude approfondie du système existant, la solution serveur open source elastix existante est la mieux adaptée pour le système, étant donné que se la solution qui mieux répond aux besoins déterminés par l'entreprise ; il faudrait juste prendre en compte les faille de sécurité que présente le système (avec le OVH install par défault).

II. SOLUTIONS

1. Sécurité physique

Comme nous l'avons précédemment précisé dans le chapitre antérieur, la sécurité physique est une partie essentielle de tout environnement sécurisé. Elle doit permettre la limitation des accès aux bâtiments et équipements et définir de procédure à entreprendre lorsque le système subis des intrusions inopportunes, le vandalisme, les catastrophes naturelles, et les dommages accidentels (pic d'intensité électrique, température trop élevée...). Par ailleurs, il faudra savoir que toute personne ayant un accès physique au système information et communication (téléphonique) peut potentiellement se connecter à tout moment et intercepter des communications ; Même avec le chiffrement des communications mis en place, un accès physique aux serveurs TOIP ou aux passerelles peut permettre à un attaquant d'observer le trafic (qui appelle qui ? à quelle fréquence ? etc.). Une politique de contrôle d'accès pour restreindre l'accès aux composants du réseau de ToIP via des badgeuses, serrures, service de sécurité, etc., permettra d'établir un premier périmètre sécurisé. Lors de la mise en place d'un système de ToIP, l'alimentation électrique doit être étudiée en détail pour éviter toute interruption de service due à une coupure de courant. Nous présentons deux possibilités qui peuvent être utilisées pour alimenter le poste IP :

? Brancher le téléphone sur secteur via un transformateur.

? Utiliser le protocole POE (Power over Ethernet - alimentation électrique du poste via le réseau informatique).

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

24

24

2. Sécurisation des serveurs

L'ensemble des serveurs participant à une solution de ToIP doit respecter une procédure de mise en place standard et être sécurisé avant toute connexion au réseau. Une seule équipe au sein de l'IUC doit être en charge de la rédaction des procédures d'installation et de sécurisation des serveurs et cela quel que soit le type de système (Windows, Linux, Unix propriétaire, etc.).

La sécurisation des serveurs comprend notamment :

? la suppression des comptes inutiles,

? la vérification du bon niveau de droit des différents comptes,

? la suppression des services inutiles,

? la suppression des logiciels ou modules inutiles, le bon niveau de correction par rapport

aux publications des éditeurs/constructeurs

3. La supervision

Les outils permettant la supervision des réseaux doivent normalement pouvoir être adaptés pour superviser l'ensemble de l'infrastructure convergente téléphonie sur IP et Data. C'est l'un des grands avantages de l'unification des infrastructures. Des mises à jour devront sans doute être nécessaires pour les adapter aux outils de la ToIP et à leurs particularités. Par ailleurs, les moyens de surveillance active du réseau et de l'ensemble de ses périphériques ne fournissent pas seulement un niveau de défense supplémentaire mais aussi des moyens de récupérer des informations sur le déroulement d'événements non prévu dans un fonctionnement normal. On comprend dans la surveillance active non pas la supervision du réseau évoqué plus haut, mais la détection d'intrusions réseau, la détection d'intrusions système et les remontées d'alarmes sur erreur des journaux système et logs réseau (via SNMP par exemple). Les tests d'intrusions et de vulnérabilités permettent de valider les niveaux de contrôle de la sécurité évoqués ci-dessus.

a. Syslog

La fonctionnalité Syslog permet d'avoir une technique pour gérer les échanges de notification réaliser via le réseau toip de l'entreprise entre un client et un serveur. Certaines alternatives existent et offrent des fonctionnalités de sécurité renforcées. Leur utilisation est recommandée pour éviter des fuites d'informations sur le type d'architecture ToIP mis en place ainsi que ses faiblesses potentielles.

b. Snmp

Les SNMP signifie Simple Network Management Protocol (Protocole simple de gestion du réseau). Il s'agit d'un protocole qui permet aux administrateurs réseau de gérer les équipements du réseau et diagnostiquer le problème de réseau. Le système de gestion de réseau est basé sur deux éléments principaux :

? Superviseur et Agent

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

25

25

Le superviseur est la console qui permet à l'administrateur réseau d'exécuter des requêtes de management. Les agents sont des entités qui se trouvent au niveau de chaque interface connectant l'équipement managé et permettant de récupérer des informations sur différents objets commutateur, serveur, soft phone ; son des exemples d'équipements contenant des objets pouvant être supervisés. Ces objets peuvent être les informations sur le matériels, les paramètres de configurations, des statistique de performance et autre objets qui sont directement lié au comportement en cours de l'équipement en question. L'architecture de gestion du réseau proposé par le protocole SNMP est basé donc sur trois principaux élément : Les équipements managés (managed devices) sont des éléments du réseau (ponts, hubs, routeurs ou serveurs), contenant des "objets de gestion" (managed objects) pouvant être des informations sur le matériel, des éléments de configuration ou des informations statistiques ; Les agents, c'est-à-dire une application de gestion de réseau résidant dans un périphérique et chargé de transmettre les données locales de gestion du périphérique au format SNMP, Les systèmes de management de réseau (network management system notés NMS), c'est-à-dire une console à travers de laquelle les administrateurs peuvent réaliser des tâches d'administration. Le SNMP nous permettra de :

? Administrer les équipements

? Surveiller le comportement des équipements.

4. Tests d'intrusions et de vulnérabilités

Un test de vulnérabilités est un test d'identification de failles connues. Le résultat de ce test est un tableau synthétique dressant la liste des équipements concernés pour chaque faille trouvée. Les tests d'intrusions consistent à éprouver les moyens de protection d'un système d'information en essayant de s'introduire dans le système en situation réelle. Les résultats du test de vulnérabilités pourront être exploités pour atteindre ce but.

On distingue généralement deux méthodes distinctes :

? La méthode dite «boîte noire» consistant à essayer d'infiltrer le réseau sans aucune Connaissance du système, afin de réaliser un test en situation réelle.

? la méthode dite «boîte blanche» consistant à tenter de s'introduire dans le système en ayant connaissance de l'ensemble du système, afin d'éprouver au maximum la sécurité du réseau.

Une telle démarche doit nécessairement être réalisée avec l'accord du plus haut niveau de la hiérarchie de l'entreprise, car elle peut aboutir à des dégâts éventuels d'autant que ces méthodes sont interdites par la loi sans l'autorisation du propriétaire du système. Un test d'intrusions, lorsqu'il met en évidence une faille, est un bon moyen de sensibiliser les acteurs d'un projet. A contrario, il ne permet pas de garantir la sécurité du système, puisque des vulnérabilités peuvent être identifiées.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

26

26

Le déroulement d'un test d'intrusion

Préconisations

Risques résiduels

Plan d'action

Diagnostic Identification des Dia_gnostic vulnérabilités

Validation

Evaluation des risques

Validation, tests de vulnérabilité

Evaluation des risques

Synthèse technique

Synthèse

Figure 7 : test d'intrusion

5. Authentification des utilisateurs

L'une des méthodes les plus importantes pour anticiper une attaque sur un système de téléphonie est de déterminer clairement l'identité des périphériques ou des personnes participant à la conversation. On parlera d'authentification. L'authentification est généralement basée sur un secret partagé par les différentes parties (vous êtes authentifié(e) si vous connaissez le secret) ou sur un système de clés publiques et de certificats (vous êtes authentifié(e) si vous possédez la clé correcte). Plusieurs méthodes peuvent etre utilisés pour sécuriser son système téléphonique via une authentification ; nous citerons :

a. Le protocole 802.1X

Permet de restreindre l'accès au LAN en empêchant les clients non autorisés de se connecter. En effet, ces derniers devront d'abord être authentifiés, puis autorisés par un serveur d'authentification, un RADIUS par exemple, avant que le port du commutateur ne soit ouvert et que le réseau ne soit accessible.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

Client à authentifier

Serveur

D'authentification

Réseau

Point D'accès

27

Trafic autorisé après authentification

r

Trafic autorisé avant authentification Figure 8 : L'authentification 802.1

b. Les PKI (Public Key Infrastructure)

Une PKI (Public Key Infrastructure) est un système de gestion des clés publiques qui permet de gérer des listes importantes de clés publiques et d'en assurer la fiabilité, pour des entités généralement dans un réseau. La PKI offre un cadre global permettant d'installer des éléments de sécurité tels que la confidentialité, l'authentification, l'intégrité et la non-répudiation tant au sein de l'entreprise que lors d'échanges d'information avec l'extérieur.

c. Séparation et sécurisation des flux

La séparation des flux voix et data peut être réalisée via l'utilisation de techniques comme

les VLAN, la mise en place de qualité de service ou encore de filtrage. Plusieurs autres procédures peuvent être utilisées pour la sécurité des accès au flux donnée tell que :

? Les firewalls ? Le chiffrement

? Access control List

6. Définition d'une politique de sécurité

La sécurité ne se limite pas uniquement à de simples mesures techniques, elle nécessite plutôt un concept intégral. Lors de la configuration d'un réseau téléphonique, qu'il s'agisse d'un réseau local (LAN), d'un réseau local virtuel (VLAN), ou d'un réseau étendu (WAN), il est important de définir dès le début les politiques de sécurité. Les politiques de sécurité sont des règles programmées et stockées dans un dispositif de sécurité, destinées à contrôler des aspects comme les droits d'accès. Ces politiques de sécurité sont, bien sûr, également des règlements écrits régissant le fonctionnement de l'entreprise. De plus, les entreprises doivent désigner le responsable de l'application et de la gestion de ces politiques et déterminer le mode d'information des employés à propos des règles et des protections. La sécurité exige des études,

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

28

28

des analyses et des améliorations régulières pour offrir niveau de protection dont l'entreprise a besoin. Il est possible également envisager l'acquisition d'un utilitaire d'évaluation des vulnérabilités ou encore des réaliser des audite externe afin de vérifier sa politique, ses procédures et la mise en oeuvre et, dans certains cas, ces décharger de certaines tâches à forte composante en main-d'oeuvre comme la surveillance. Une politique de sécurité repose essentiellement sur quatre piliers. A savoir :

? Décrire clairement votre modèle métier. ? Identifier en détail les risques associés.

? Adopter une démarche systématique de limitation de ces risques.

? Garder à l'esprit que la sécurité est un processus.

Il est impossible de réaliser un audit de sécurité sans tenir compte de ses différents piliers d'une politique de sécurité ; le schéma ci-dessous illustre le cycle vertueux de la sécurité.

1 SECURISER

4

ADMINISTRER POLITIQ

2

SUPERVISER

3 AUDITER

Figure 9 : cycle vertueux de la sécurité

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

29

29

7. Architecture proposée

^Serveur

^{Back up}

^{Niveau 2}

^{Serveur D'authent}

^ification

^Plage

^d'adresse

////

^172.16.4

^4.0

^{Labo MST et Bureau Resp Cisco}

^Serveur

^Elastix

^{-resp sportif -my iuc -AP (tic, 3il) -coord cplst -autre}

^{-Mr
kwerpou
-Mr
Fondateu
r
-Dr
Azebaze
-Adj RH
-Res RH
-Cmpta1
-cmpta2
-cell -info}

^{Plage d'adresse}

///

^172.16.4

^3.0

^{-Salle
radio
-labo106-
1113}
-
^{labo107_
111
-labo
110_cour
3il}

^{Niveau 1}

^SCOlarité

^et

^COMM

^Niveau

⁰

^Administ

^ration

^{Plage d'adresse} /// ^{172.16.4 2.0}

Figure 10 : Architecture proposée

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

30

30

CONCLUSION GENERALE

L'objectif de lancement de notre étude d'audit était d'évaluer le niveau de maturité du SI téléphonique de l'IUC et de dégager les déviations par rapport aux normes de sécurité telle que la norme ISO 9000. A travers cet audit, nous étions en contact direct avec les responsables de l'IUC et nous avons essayé de communiquer avec eux et d'échanger les connaissances pour réussir l'étape de l'audit organisationnel et physique et nous avons travaillé avec différents outils destinés au recensement des failles et des vulnérabilités du système audité afin d'expertiser l'étape de l'audit technique. Nous avons essayé de couvrir le maximum d'aspects pendant la période de cette étude, nous avons évalué le niveau de maturité des différentes clauses qui définissent la sécurité organisationnelle et physique, puis l'audit s'est concentré sur les aspects organisationnels. Avec des différentes recommandations détaillant les mesures nécessaires pour améliorer la qualité de la sécurité du SI (système téléphonique), en précisant les objectifs à atteindre et les indicateurs de suivi qui permettent d'évaluer la réussite des mesures prises. L'effort qu'exige le sujet de la sécurité n'a jamais été périodique ou temporaire, mais c'est un effort continu qui doit dépasser le fait de prendre des mesures pendant une période limitée pour devenir une approche à long terme et une vraie culture inculquée dans les bonnes habitudes des individu.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

31

31

BIBLIOGRAPHIE ET

WEBOGRAPHIE

Sites web utilisés pour l'audit de sécurité du système TOIP de l'IUC :

http://www.blascom@blascom.com lundi 25 avril 2016 à 16h

http://www.securiteinfo.com/conseils/portstroyens.shtml mardi le 26 avril 2016 à 18h 25minute

26 minutes.

http://www.google.fr/doc.toip.org. : le jeudi 28 avril 2016 à 17h25 minutes.

www.aubacom.com samedi le 30 avril 2016 à 18h 40minute

www.ovh.com lundi le 02 mai 2016 à 15h 30 minute www.numankhan.com lundi le 02 mai 2016 17h www.Iptel.org/tutorial jeudi le 05 mai 2016 à 10h 20 minute www.info@groupectei.com lundi le 09 mai 2016 à 12h www.leral.net lundi le 06 mai 2016 12h 40 minute www.oppida.com jeudi le 12 mai 2016 à 17h 30 minute www.voip-info.org samedi le 14 mai 2016 à 18h www.orange-business.com samedi le 14 mai 2016 18h 30 minute

Ouvrage utilisé pour l'audit de sécurité du système TOIP de l'IUC

Lors de la rédaction de ce rapport nous avons utilisé plusieurs ressources parmi lesquelles :

IT and TELECOM STRATEGY : livre blanc : Blas com

Les cahiers de charges de la sécurité : Cédric baillet

Comparatif des méthodes d'audit et analyse de risque : ANSI : IUT

Wikipédia : sécurité des systèmes téléphoniques

Voip et elastix : François Deppierraz

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges