Rapport d'audit de la sécurité Informatique de l'ONT 1/125

REMERCIMENTS

Nous exprimons toute notre gratitude à Monsieur Khaled Baouab, pour son encadrement exceptionnel. Nous le sommes reconnaissant pour son soutien incessant aussi bien moral que matériel.

Nous remercions Monsieur Najib Khanouch pour son encadrement et ses consignes.

Nous sommes particulièrement reconnaissant à Monsieur Issam Laarif, pour ces conseils et son encadrement

Nous remercions également Messieurs les membres de jury d'avoir accepté l'examen de ce travail.

Nous ne pouvons conclure ces remerciements sans exprimer notre reconnaissance à tout le personnel et le corps professoral de l'ISI.

Rahmoune Mohamed Ali Maddouri Faouzi

Rapport d'audit de la sécurité Informatique de l'ONT 2/125

Sommaire

Chapitre 1 Etude de l'existant 9

1-/ Présentation générale de l'Office National de la Télédiffusion 9

1.1/ Les missions de l'ONT 9

2.1-/ Organigramme de l'Office 9

2-/ Structure informatique de l'Office National de la Télédiffusion 11

3-/ Phase de Pré-audit réalisée 11

3.1-/ Interviews menés avec les responsables de l'Office 11

3.2-/ Equipements informatiques 12

4-/ Sécurité générale 15

Audit Organisationnel et Physique 16

1-/ Démarche 16

2-/ Analyse des résultats 20

3-/ Résumé des conformités par rapport à la norme 24

Analyse de risques et mise en oeuvre d'un RIAMS 26

I/Analyse de risque 26

1/ Détermination des exigences de l'ONT en matière de sécurité 26

2-/ Analyse de risque du système d'information de l'ONT 27

3-/ description des risques 28

4-/ Analyse des resultas 30

Le rosace suivant fourni par l'outil GAE, présente les gravités des risques pour

l'ONT. 30

Rapport d'audit de la sécurité Informatique de l'ONT 3/125

4-1/ Perturbation sociale 32

4-2/ Erreurs de saisie ou d'utilisation : 32

4-3/ Perte de servitudes essentielles 32

4-4/ Perte de données 32

4-5/ Divulgation d'informations en externe 33

5- Reduction des risques 33

II/Mise en oeuvre d'un système d'Analyse de risques 35

1/Taxonomie 38

2/Classification des équipements 41

3/Identification et description des Processus, Activité services et fonctions 42

4/Classification des Informations 43

4.1/Impact coût Confidentialité 44

4.2/Impact coût Disponibilité 45

4.3/Impact coût Intégrité 45

4.4/Impact coût Non répudiation 46

5/Classification des Processus et activités 47

6/Identification des Risques 52

7/Classification des Risques 52

7.1/Evaluation de gravité 52

7.2/Evaluation de probabilité d'occurrence 53

7.3/Choix des mesures 53

7.4/Classification gravité/Probabilité d'occurrence 54

8/Génération des tableaux de bord 56

9/Recherche des causes par les diagrammes ICHIKAWA 59

Rapport d'audit de la sécurité Informatique de l'ONT 4/125

Audit Technique 62

1-/ Audit de l'architecture réseau et système 62

1-1-/ Topologie du réseau : 62

1-2-/ Sondage système 67

1-3-/ Sondage des flux et services réseaux 71

1-4-/ Audit de la gestion des défaillances matérielles : 76

2-/ Audit des vulnérabilités réseau et système 78

2-1 Audit des vulnérabilités des Serveurs en exploitation 78

2-2 Audit des vulnérabilités des postes de travail : 84

2-3 Audit des vulnérabilités des serveurs et postes clients du centre Nodal 85

3-/ Audit de l'architecture de sécurité existante : 86

3-1 /Audit & vérification des règles de filtrage au niveau des Firewalls 86

2- 2-/ Audit du Routeur 87

2-3-/ Audit des commutateurs 88

Conclusions d'audit 90

1-/ Revue des constats d'audit : 90

1-1 / Sur le plan organisationnel et physique (Audit Niveau 1), 90

1-2/ Sur le plan technique (Audit Niveau 2), 90

2-/ Recommandations 92

2-1/ Recommandations Organisationnelles et physiques 92

2-2/ Recommandations techniques 95

2-3/ Conseils pratiques 100

3/ PLAN D'ACTION 102

Conclusion générale 104

Rapport d'audit de la sécurité Informatique de l'ONT 5/125

Bibliographie 105

Annexe 1 106

Rapport d'audit de la sécurité Informatique de l'ONT 6/125

INTRODUCTION GENERALE

L'audit de sécurité des systèmes d'information consiste à mesurer les pratiques de sécurité existantes par rapport à un référentiel extérieur, dit de « bonnes pratiques », puis de faire l'inventaire des risques qui pèsent sur l'activité de l'entreprise.

Plusieurs méthodes permettent de procéder à de tels audits. En France, les plus connues sont Mehari, créée par le Clusif (Club de la sécurité des systèmes d'information français), Ebios (de la Direction centrale de la sécurité des systèmes d'information) et MV3 (de CF6, racheté par Telindus). On rencontre également la méthode anglo-saxonne Cobit (pour ses capacités de contrôle et de présentation de l'existant). Enfin, les grands comptes peuvent recourir à la méthode anglaise CRAMM exhaustive, mais plus lourde que les précédentes.

La présente mission constitue en premier lieu une actualisation et une révision de la situation de la sécurité au niveau de l'ONT, telle qu'elle été depuis la dernière mission d'audit réalisée (en 2003).

Comme toute mission d'audit, la présente, vise à identifier de nouvelles failles, insuffisances dans la sécurité découlant soit de l'évolution de la situation (acquisition de nouveaux équipements, de nouveaux logiciels, évolution technologiques, etc), soit de nouvelles exigences internes, externes ou réglementaires, soit encore des failles non identifiées auparavant et d'améliorer éventuellement les système de management de la sécurité en apportant des réalisation tel qu'un système de mangement de risque.

En effet, la mission couvrira l'audit du niveau organisationnel et physique en premier lieu, et en deuxième lieu une analyse et une mise en oeuvre d'un système de managment de risques, et finalement l'audit au niveau technique qui complétera de façon ciblée, l'audit du premier niveau.

Ce rapport se divise en trois parties :

La première partie « Audit Niveau 1 » qui permet d'avoir une vue globale de l'état de sécurité du système d'information et d'identifier les risques potentiels. Elle est composée de trois chapitres.

Le premier chapitre consiste à l'étude de l'existant, par l'identification des sites et des équipements qui feront l'objet de l'audit.

Le deuxième chapitre « audit organisationnel et physique », permet de dégager les failles d'ordre organisationnel et physique à travers un questionnaire basé sur la norme ISO 17799.

Le troisième chapitre consiste à une analyse de risque permettant d'identifier le niveau de risque du système d'information. Il détaillera aussi que possible les choix et les techniques de mise en oeuvre utilisés pour la réalisation d'un système de management de risques

La deuxième partie « Audit niveau 2 », concerne l'audit technique et permet d'identifier les vulnérabilités techniques présentes sur les systèmes informatiques critiques des sites audités.

La troisième parie consiste à présenter une liste de recommandations pour palier aux insuffisances et vulnérabilités dégagées dans la première et la deuxième partie, et des propositions pour améliorer le niveau de sécurité de l'Office National de la Télédiffusion.

Rapport d'audit de la sécurité Informatique de l'ONT 7/125

Rapport d'audit de la sécurité Informatique de l'ONT 8/125

Rapport d'audit de la sécurité Informatique de l'ONT 9/125

Chapitre 1 Etude de l'existant

1-/ Présentation générale de l'Office National de la Télédiffusion L'Office National de la Télédiffusion (ONT) est une entreprise publique à caractère industriel et commercial, ayant son siège social au, Cité Ennacim 1 Bourgel ,B.P 399 ,1080 Tunis, est représentée par un président directeur général.

L'Office National de la Télédiffusion tunisienne a été crée par la loi N°93-8 du premier Février 1993.

1.1/ Les missions de l'ONT

- L'office National de la Télédiffusion Assurer les fonctions suivantes : - la diffusion des programmes radiophoniques et télévisuelle,

- La création, l'exploitation, l'entretien et l'extension des réseaux de diffusion des programmes radiophoniques et télévisés.

- Le contrôle et la protection de la qualité de la réception des émissions des programmes radiophoniques et télévisés.

- La conduite des études et recherches portant sur le matériel et les techniques de radiodiffusion et de télédiffusion ainsi que la participation à la mise au point des normes y afférentes.

- La promotion et la coopération avec les organismes techniques internationaux et étrangers et en coordination avec les institutions nationales concernées.

- La commercialisation des services à valeurs ajoutés tels que, le service de TUNITRENK et le service de l'Internet via la télévision numérique (DVB-T)

2.1-/ Organigramme de l'Office

L'Office est administré par un conseil d'administration présidé par un président directeur général.

Rapport d'audit de la sécurité Informatique de l'ONT 10/125

Rapport d'audit de la sécurité Informatique de l'ONT 11/125

2-/ Structure informatique de l'Office National de la Télédiffusion

Le service informatique de l'ONT est composé d'un ingénieur principal (chef de service) et d'un technicien de maintenance.

Le chef de service assure les fonctions suivantes :

- L'administration système de l'Office

- L'administration de l'Intranet de l'ONT basé sur LOTUS NOTES

- L'administration du système d'information de l'Office.

- La sécurité informatique de l'ONT

- L'administration de la solution de Gestion Electronique des Documents (GED) et développement du WORKFLOW

- L'étude et la préparation des cahiers des charges

- La Conception et le développement des applications spécifiques au domaine de télécommunication.

- La formation du personnel

Le technicien de maintenance assure les taches suivantes :

- la maintenance du parc informatique

- l'assistance des utilisateurs

3-/ Phase de Pré-audit réalisée

3.1-/ Interviews menés avec les responsables de l'Office

A fin de déterminer le périmètre de notre mission d'audit de la sécurité informatique, nous avons organisé une séance de travail avec les décideurs de l'entreprise, pour déterminer les sites et les équipements qui doivent être sécurisés. Nous avons dégagé les informations suivantes :

Rapport d'audit de la sécurité Informatique de l'ONT 12/125

Les sites de l'ONT :

Le siége de l'ONT est interconnecté à 20 sites pour l'exploitation de l'Intranet. Il faut signaler qu'il existe plusieurs types de connections, à savoir :

- Des liaisons spécialisées de 128 KB/s (propriété de l'ONT) entre le siège et les centres d'émissions radio et Tv, utilisées pour la connexion des centres avec le réseau Intranet de l'ONT.

- Des liaisons spécialisées de 64 KB/s entre le siège et le centre de comptabilité matière CCM (Jedeida). Le centre CCM utilise se support pour l'accès en mode terminal serveur aux applications de gestion de l'Office.

- Une liaison spécialisée publique de 128 KB/s entre l'office et le ministère de technologies des communications. Cette liaison est utilisée pour la réplication des serveurs de messagerie du ministère et de l'ONT.

- Une liaison de Faisceau Hertzien de débit 2MB/s entre le siège et le centre Nodal qui se trouve au local de ERTT (Etablissement de la Radio Télévision Tunisienne). Ce centre héberge les serveurs et les connexions de l'Internet par télévision numérique.

- De liaisons de type RTC entre le serveur de messagerie de l'office et des centres d'émission.

Suite à cette analyse, notre mission d'audit va porter sur les deux sites qui couvrent 90% de l'activité réseau de l'ONT à savoir :

- le siège de l'ONT (Mont Plaisir)

- Le centre Nodal (Rue De liberté ERTT) 3.2-/ Equipements informatiques

L'inventaire informatique montre que l'Office dispose des équipements suivants qui sont repartis sur 20 sites distants :

Les serveurs installés Au niveau Siège :

Les serveurs installés au niveau de la salle informatique de l'O.N.T sont :

Rapport d'audit de la sécurité Informatique de l'ONT 13/125

Les serveurs installés Au niveau Centre Nodal :

Rapport d'audit de la sécurité Informatique de l'ONT 14/125

Les serveurs installés au niveau centre Nodal sont :

4-/ Sécurité générale

Nous avons pu recueillir les informations suivantes :

- Les moyens réglementaires de lutte contre l'incendie sont en place ;

- Il existe des consignes de fermeture à clé des locaux, mais aucun moyen, ni procédure de Contrôle n'ont été mis en place ;

- La salle informatique qui se trouve en deuxième étage est climatisée ; - Deux gardiens sont présents durant les heures de fermeture (18h-8h) - Le service de nettoyage intervient de 7h à 8h de 12h30 à 13h45 ;

Rapport d'audit de la sécurité Informatique de l'ONT 15/125

Rapport d'audit de la sécurité Informatique de l'ONT 16/125

Chapitre 2

Audit Organisationnel et Physique

1-/ Démarche

Notre démarche s'articule autour de la norme ISO 17799 (version 2005). Notre approche méthodologique, basée sur des batteries de questionnaires préétablis et adaptés à la réalité des entités auditées de l'ONT, permettant d'aboutir à une évaluation pragmatique des failles et des risques encourus.

Après la validation du questionnaire auprès de la direction des réalisations et des développements des réseaux, une note sera attribuée à chaque question. La note représentant la maturité des principes de l'organisme est calculée comme suit :

- Un coefficient de pondération est attribué à chaque question posée, ce coefficient porte sur l'efficacité de la règle en matière de réduction du risque.

- Pour chaque principe de la norme, nous calculons une moyenne pondérée des notes obtenues en fonction des réponses choisies et du coefficient d'efficacité.

Nous considérons que le niveau de maturité est satisfaisant en matière de sécurité lorsqu'il atteint le niveau 3.

Le tableau suivant récapitule les notes obtenues pour chaque principe de sécurité :

Rapport d'audit de la sécurité Informatique de l'ONT 17/125

Rapport d'audit de la sécurité Informatique de l'ONT 18/125

Rapport d'audit de la sécurité Informatique de l'ONT 19/125

Rapport d'audit de la sécurité Informatique de l'ONT 20/125

Figure 3 : Niveau de maturité par chapitre

2-/ Analyse des résultats

Dans cette partie, nous allons détailler les insuffisances pour chaque chapitre de la norme.

Chapitre1- Politique de sécurité de l'information :

D'après le questionnaire, nous avons constaté l'absence d'une politique de sécurité de l'information de l'Office.

Nous avons proposé à l'office national de la Télédiffusion un document de politique de sécurité qui traite les principes, les objectifs et les exigences de la sécurité, ainsi que la nomination des responsables de la mise en place du système de sécurité.

Chapitre 2 - Organisation de la sécurité :

Nous avons dégagé les insuffisances suivantes :

Rapport d'audit de la sécurité Informatique de l'ONT 21/125

- L'absence de la nomination (par écrit) d'un RSSI dans l'office, avec une fiche de poste, ainsi qu'une délégation formelle mentionnant ses attributions et ses moyens d'action.

- L'absence d'un comité de sécurité de système d'information chargé d'assister le RSSI dans le pilotage et la coordination des actions de sécurité.

- L'absence d'une stratégie de mise en oeuvre permettant de définir une démarche de sécurité du système d'information.

- L'absence d'une démarche pour l'évaluation des risques et les impacts sur l'entreprise.

Chapitre 3 - Inventaire et classification des ressources :

Il faut signaler l'absence d'une classification de ressources basée sur la disponibilité, l'intégrité et la confidentialité, permettant d'attribuer à chacune d'entre elles les besoins et la priorité de protection.

Chapitre 4 - Sécurité et Ressources humaines :

- Nous avons constaté l'absence de la définition des exigences de sécurité au niveau des tâches affectées aux employés.

- Les contrats d'embauche n'incluent pas un paragraphe relatif à la politique de sécurité de l'entreprise.

- Absence d'une charte de sécurité qui devrait être signée par les employés, et qui devrait avoir pour objectif de réduire les risques d'erreur humaine, d'inattention, de fraude, ou d'utilisation malintentionnée d'équipements.

- Le personnel de l'ONT est informé partiellement de ses droit et devoir en matière de sécurité du système d'information.

- Absence d'un système de suivi des incidents et des failles de sécurité,or ce système permet l'évaluation de l'efficacité des solutions de protection mises en place.

Rapport d'audit de la sécurité Informatique de l'ONT 22/125

- Malgré l'effort fait en 2005 par le service informatique pour la formation des utilisateurs du siège sur la sécurité informatique, la formation des utilisateurs des différents centres d'émission TV et Radio reste insuffisante.

Chapitre 5- Sécurité physique et sécurité de l'environnement de travail :

- Le local technique de l'Office, dont la superficie ne dépasse pas 4 m2 , héberge plus que 10 serveurs. Ce ci peut engendrer un dégagement de chaleur très important, et par conséquent un incendie en cas de dysfonctionnement du climatiseur.

- L'accès des visiteurs est filtré seulement à l'entrée, ce qui permet une circulation libre à tous les bureaux du bâtiment.

- Absence d'un système de détection d'intrusion.

- Absence d'un système de vidéosurveillance des installations informatiques.

- Absence d'une procédure qui décrit les règles et les contrôles à vérifier avant de connecter un ordinateur portable au réseau de l'entreprise.

- Il n'y a pas une définition formelle des mesures directes de protection physique.

- Nous avons constaté que l'onduleur central, ne supporte pas l'ensemble des équipements informatique du siège, ce qui peut engendrer une surcharge de l'onduleur.

Chapitre6 - Exploitation informatique et gestion des réseaux :

- L'office dispose actuellement d'une armoire anti-feu pour le stockage des bandes magnétiques contenant des informations sensibles de l'établissement, mais l'emplacement de cette armoire n'est pas adéquat (au bureau du responsable).

- L'absence d'une documentation d'exploitation et de procédures formalisées de contrôle et de validation des modifications apportées au système d'information.

Rapport d'audit de la sécurité Informatique de l'ONT 23/125

- Les processus d'alerte en cas d'infection virale et de réparation existe mais ils ne sont pas formalisés.

- La journalisation concerne uniquement les logs générés par les systèmes d'exploitation et les bases de données SQL en exploitation.

- Les sauvegardes de secours sont stockées dans un autre site mais d'une façon non sécurisé.

- Les sauvegardes du système d'information de l'office sont stockées dans d'une armoire anti-feu. Ce pendant, l'emplacement de cette armoire n'est pas sécurisé.

- Le registre des anomalies est contrôlé lors des incidents graves ou des enquêtes.

- Absence d'une charte de sécurité d'utilisation de la messagerie et d'Internet, qui devrait être diffusée à l'ensemble des utilisateurs.

- Il n'existe pas de consignes de confidentialité de l'information lors des communications téléphoniques.

Chapitre 7 - Contrôle d'accès logique :

- Les contrôles d'accès sont basés sur des mots de passe non complexes.

- Il n'existe pas de charte d'utilisation des réseaux définie et diffusée à l'ensemble des utilisateurs, précisant les obligations de sécurité à respecter.

- Le réseau informatique du siège est protégé vis à vis de l'extérieur par un Firewall, mais le réseau du centre nodal ne dispose pas de firewall.

- Le contrôle d'accès logique fait l'objet d'une traçabilité, mais les journaux ne sont pas audités.

Chapitre 8 - Développement et maintenance des applications et Des systèmes :

Rapport d'audit de la sécurité Informatique de l'ONT 24/125

Nous avons constaté l'absence d'une politique d'utilisation de la cryptographie qui devrait avoir comme objectif de bien profiter des avantages de ses éléments et minimiser les risques qu'ils puissent engendrer.

Chapitre 9 - Gestion de la continuité :

Nous avons remarqué l'absence d'un plan de continuité permettant de maintenir ou rétablir, dans les délais prévus, les activités de l'Office en cas d'interruption ou de défaillance des processus cruciaux.

Le plan de continuité de service de l'Office doit être évalué régulièrement et mis à jour pour assurer son efficacité.

Chapitre 10 - Respect de la réglementation externe et interne

- Les exigences légales, réglementaires et contractuelles ne sont pas définies pour chaque système d'information.

- Absence de mesure de contrôle à appliquer afin de prévenir toute utilisation abusive de ces infrastructures

3-/ Résumé des conformités par rapport à la norme

Pour avoir une vue globale de la conformité du système d'information de l'ONT par rapport aux exigences de la norme, nous avons calculé la moyenne de chaque chapitre (la note est comprise entre 0 et 4)

Si la note entre [0 et 2 [, le chapitre est considéré comme non conforme. Si la note entre [2 et 4], le chapitre est considéré conforme.

Le tableau suivant décrit la conformité par chapitre :

Rapport d'audit de la sécurité Informatique de l'ONT 25/125

Rapport d'audit de la sécurité Informatique de l'ONT 26/125

Chapitre 3

Analyse de risques et mise en oeuvre

d'un RIAMS

I/Analyse de risque

Après avoir obtenu une appréciation du niveau de maturité en terme de sécurité de l'information de l'Office National de la Télédiffusion, nous nous intéressons à l'identification du niveau de risque en fonction de cette maturité et des menaces pesant sur le système d'information, ainsi que l'identification des actions prioritaires à conduire afin de réduire les risques ainsi identifiés.

1/ Détermination des exigences de l'ONT en matière de sécurité Chaque entreprise a ses propres exigences. Les exigences de sécurité de l'information d'une société dépendent de nombreux facteurs : Activité, Dimension, Culture, Cadre socio-économique, Cadre juridique, Cadre politique. Ces exigences peuvent être classées sous trois types : internes, externes, réglementaires et légales.

Pour déterminer les exigences de l'Office en matière de sécurité de son système d'information, nous avons demandé aux directeurs de nous exprimer leurs besoins en sécurité. Les résultats de cette requête montrent que

Les exigences internes de l'office national de la télédiffusion sont les suivantes : - Assurer l'accessibilité de l'information.

- Réduire le niveau de risques liés à l'information.

- Réduire les coûts liés à l'insécurité de l'information.

Rapport d'audit de la sécurité Informatique de l'ONT 27/125

- Assurer la formation du personnel et des personnes concernées, aux risques liés à la sécurité de l'information et à l'application des mesures.

- Assurer et maintenir la disponibilité des moyens et des ressources nécessaires au stockage et au traitement des informations.

Les exigences externes de l'Office sont les suivantes :

- Assurer la confidentialité des informations transmises par les fournisseurs et les clients.

- Assurer l'intégrité des informations transmises aux clients.

Les exigences réglementaires et légales de l'office sont les suivantes :

- Préserver la propriété intellectuelle (logiciel protéger, plan clients, etc.).

- Préserver la confidentialité, l'intégrité et l'accessibilité des informations administratives (bilan social, documents CNSS, code de douanes, registre du commerce etc.).

- Préserver la confidentialité, l'intégrité et l'accessibilité des informations financières et fiscales (déclaration d'impôts, bilan financier, etc.).

2-/ Analyse de risque du système d'information de l'ONT

L'analyse de risque est l'ensemble des méthodes qui concourent à quantifier les risques. Ces méthodes permettent aux principaux acteurs concernés, de mieux appréhender les risques afférents, les tâches et les projets, de mieux les maîtriser tous et d'en réduire les effets sans pour autant les éliminer totalement.

Selon la norme « ISO/IEC 17799» : L'analyse des risques de sécurité consiste en une évaluation systématique de:

Rapport d'audit de la sécurité Informatique de l'ONT 28/125

- L'impact résultant d'une défaillance de sécurité sur l'entreprise, en tenant compte des conséquences de la perte de la confidentialité, de l'intégrité ou de l'accessibilité de l'information.

- La probabilité réaliste de telles défaillances avec la prise en considération des dommages précédents, et des mesures en vigueur.

Pour réaliser cette analyse, nous considérons les douze menaces suivantes, qui sont utilisées par l'outil GAE (guide d'auto évaluation du système d'information) a savoir :

1. Accident physique

2. Perte de servitudes essentielles

3. Perte de données

4. Indisponibilité d'origine logique

5. Divulgation d'informations en interne

6. Divulgation d'informations en externe

7. Abus ou usurpation de droits

8. Fraude

9. Reniement d'actions

10. Non-conformité à la réglementation

11. Erreurs de saisie ou d'utilisation

12. Perturbation sociale

3-/ description des risques Accident physique

Rapport d'audit de la sécurité Informatique de l'ONT 29/125

Les accidents physiques recouvrent toutes les menaces de type « destruction de matériel suite à un accident.

Perte de servitudes essentielles

Les pertes de servitudes essentielles sont les menaces correspondant à l'indisponibilité temporaire ou permanente d'un service indispensable au fonctionnement du système d'information, mais dont la fourniture ne dépend pas de l'établissement.

Perte de données

Les pertes de données correspondent à l'indisponibilité de données définitive (et non

volontaire), suite par exemple à une destruction physique de matériel, mais aussi suite à l'effacement ou la corruption définitifs de ces données, qu'il soient accidentels ou malveillants.

Indisponibilité d'origine logique

L'indisponibilité d'origine logique est l'impossibilité d'accéder à des services ou à des informations suite à une défaillance non matérielle ou un manque de performance du système d'information l'amenant à un niveau de disponibilité insuffisant.

Divulgation d'informations en interne

La divulgation d'information en interne correspond au fait qu'un personnel de l'établissement prenne connaissance d'une information pour laquelle il n'est normalement pas habilité, que ce soit volontairement ou non.

Divulgation d'informations en externe

La divulgation d'information en externe correspond au fait qu'un tiers à l'établissement prenne connaissance d'une information pour laquelle il n'est normalement pas habilité, que ce soit volontairement ou non .

Abus ou usurpation de droits

Rapport d'audit de la sécurité Informatique de l'ONT 30/125

L'abus ou l'usurpation de droits consiste à outrepasser ses droits d'accès ou à utiliser les droits d'un tiers (en usurpant son identité ou non) pour réaliser des opérations ou accéder à des informations sans y être habilité.

Fraude

La fraude consiste à mener des actions illicites et déloyales dans un but d'enrichissement Personnel.

Reniement d'actions

Le reniement d'actions consiste à nier être l'auteur d'actions qui vous sont imputées. Non-conformité à la législation

La non-conformité à la législation est le fait, pour un établissement ou un membre de son personnel, de ne pas respecter le cadre juridique et réglementaire concernant ses activités, soit au cadre de la santé et de systèmes d'information de santé soit

au cadre de l'informatique en général.

Erreurs de saisie ou d'utilisation

Les erreurs de saisie ou d'utilisation consistent à, involontairement :

- Saisir dans le système d'information des informations erronées ;

- Mal interpréter des informations restituées par le système ;

- Mal utiliser ses fonctionnalités.

Perturbation sociale

Les perturbations sociales correspondent d'une part aux grèves ou aux départs du personnel suite à des incidents informatiques ou à l'utilisation des systèmes d'information ; d'autre part à toute autre perturbation sociale ayant une conséquence sur le fonctionnement des systèmes d'information.

4-/ Analyse des resultas

Le rosace suivant fourni par l'outil GAE, présente les gravités des risques pour l'ONT.

Rapport d'audit de la sécurité Informatique de l'ONT 31/125

Figure 4

Une Gravité du risque E [3,4] correspond à un risque inacceptable qui devrait faire l'objet de mesures urgentes ;

Une Gravité du risque E [2,3[ correspond à un risque inadmissible qui devrait être réduit à échéance déterminée ;

Une Gravité du risque E[0,2[ correspond à un risque toléré.

Les menaces de niveau 3 et 4 sont entre autres réellement pertinentes ; les risques liés à ces menaces en termes d'impact et/ou de potentialité sont très importants pour l'ONT.

Pur bien illustrer la gravité, nous allons donner des exemples pratiques de risque pour les menaces dont le niveau dépasse 2

Rapport d'audit de la sécurité Informatique de l'ONT 32/125

4-1/ Perturbation sociale

Le système informatique de l'office est administré par un seul ingénieur, le départ de cet administrateur peut engendrer une perturbation importante, puisque c'est le seul qui connaît le système.

Il est recommandé de recruter un autre ingénieur pour partager les charges. 4-2/ Erreurs de saisie ou d'utilisation :

- L'absence de l'audit des accès et de la journalisation des transactions, rend la tâche de détection des erreurs des saisies difficile.

- L'absence de la charte d'utilisation du système d'information, peut donner à l'utilisateur la liberté d'installer des logiciels qui peuvent être une source de destruction du système d'information.

- La réponse d'un utilisateur à un mail dont l'expéditeur n'est pas connu, peut entraîner la propagation d'un virus sur le réseau.

4-3/ Perte de servitudes essentielles

La coupure de la liaison spécialisée entre le centre nodal et la backbone, provoque l'arrêt du service « Internet sur DVB-T » commercialisé par l'ONT, ce qui peut engendrer la perte de la satisfaction des clients de l'ONT.

La panne du firewal du siège peut entraîner le dysfonctionnement total du système d'information de l'office

4-4/ Perte de données

- Si un intrus réinitialise le mot de passe du compte Administrateur en utilisant un support d'amorçage spécial, il peut accéder à tous les comptes locaux, aux secrets LSA et aux données stockées localement, ce qui peut avoir un impact sur les autres ordinateurs du réseau ou entraîner la perte de données importantes.

Rapport d'audit de la sécurité Informatique de l'ONT 33/125

- Des postes critiques dans l'entreprise telles que : la comptabilité, financier, paie, informatique et étude nécessitent une sauvegarde de l'image du système, pour permettre la réinstallation instantanée du système en cas de défaillance de disque.

- L'absence d'une classification de ressources matériels et logiciels, peuvent être une source de perte de données.

4-5/ Divulgation d'informations en externe

La divulgation d'une information concernant les résultats de dépouillement des offres, peut entraîner une poursuite juridique et perte de la crédibilité de l'entreprise.

4-6/ Fraude

L'accès à l'application de la paie, par une personne non autorisée, peut entraîner une modification illégale au niveau des salaires.

5- Reduction des risques

La Liste des principes ordonnés selon l'efficacité décroissante en matière de réduction des risques particuliers liés à l'office est la suivante :

Rapport d'audit de la sécurité Informatique de l'ONT 34/125

Figure 5

D'aprés ce tableau, il est recommandé que l'office exécute en toute urgence les proositions suivantes :

- La mise en place d'une politique de securité de l'information

- Renforcer le procédures de réaction aux incidents et aux défauts de fonctionnement.

- Améliorer l'organisation de la securité

- Renforcer la stratégie de mise en oeuvre.

Rapport d'audit de la sécurité Informatique de l'ONT 35/125

II/Mise en oeuvre d'un système

d'Analyse de risques

Un système de management des risques est tout d'abord un système d'information qui gérer l'activité de journalistique, de suivie, d'évaluation et de prise de décision concernant les risques leurs impacts, leur probabilité d'occurrence et l'efficacité des mesures antérieurs.

Il pourra être informatisé partiellement, totalement ou bien non informatisé. Les outils et moyens de mise en oeuvre pourrons varier du simple registre papier et de manuel de procédures à suivre, jusqu'aux outils de systèmes d'information informatisés tel que les bases de données, les SGBD, les outils de production bureautique et les outils d'analyse OLAP et les Bases de données multi dimension aussi appelée systèmes d'aide à la décision ou communient connues sous le nom de data warehouse.

En partant des insuffisance soulevés par les rapports d'audit réalisé dans l'office national de télédiffusion pour l'année 2003, la direction a eu l'initiative de mettre en oeuvre un système de management des risques. Cela étant proposé comme les des axes porteur de notre mission au sein de l'ONT.

Dans le cadre de mise en oeuvre d'un système de management des risques RIAMS, nous avons procéder comme suit:

· Elaboration d'une taxonomie soigneusement choisie et validée pour donner une quantification métrique et analytique et une sorte d'indexation des caractéristiques qualitatives afin d'harmoniser et de permettre une évaluation des risques.

· Identification des processus, activités et taches ainsi que des données en entrée, les données en sortie, et les données en consultation, leurs sources et leurs supports, ainsi que leur classification par degré de sensibilité par rapport

Rapport d'audit de la sécurité Informatique de l'ONT 36/125

aux aspects de la sécurité : Confidentialité, Intégrité, Disponibilité et Non répudiation.

· Identification des risques potentiels par scénario en partant de l'historique et d'une base de menaces assez riche (la base de eBIOS) et en mettant les informations collectées dans des fiches de déclaration de risque.

· Classification des processus, activités et taches en se basant sur la taxonomie indiquée et selon les critères suivants

o Impact stratégique

o Exigence réglementaire

o Probabilité d'occurrence d'incidents touchant à la confidentialité

o Probabilité d'occurrence d'incidents touchant à la disponibilité

o Probabilité d'occurrence d'incident touchant à l'intégrité

o Probabilité d'occurrence d'incident touchant à la Non Répudiation

o Détectabilité des incidents

o Maîtrisabilité des incidents

o Plan d'Urgence (existe, Testé, appliqué)

o Impact coût perte Confidentialité

o Impact coût perte Disponibilité

o Impact coût perte Intégrité

o Impact coût perte Non Répudiation o

· Evaluation de l'impact de perte de chacun des aspects de la sécurité qui intéressent l'organisme: perte de confidentialité, perte de disponibilité, d'intégrité et non répudiation.

Pour cela des règles et méthodes de calcul ont été élaborées et validées en collaboration avec les responsables des processus et activités en question.

Une fois le recensement des équipements, des services, des fonctionnalités, des processus, activités et taches ont été réalisés de la façon la plus satisfaisante, ainsi que celle des risques majeurs et leurs scénarios menaçant l'infrastructure informatique de l'organisme, le système mis en place permettra de générer un tableau de bord indiquant la potentialité des risques par processus (ou activité ou tache), par probabilité d'occurrence et par gravité d'impact financier.

Ce qui permet aux décideurs d'évaluer les charges dues aux risques, avec lesquelles survies actuellement l'activité de leurs unités au sein de l'organisme. Ce tableau de bord permet alors à l'administration de se décider sur les risques en les classant selon la classification STRIDE tout d'abord (ce qui est accepte, ce qui est géré, ce

Rapport d'audit de la sécurité Informatique de l'ONT 37/125

qui est insupportable et devra être externaliser,...) et d'en décider des mesures à mettre en oeuvre ou à réviser et qui serviront à réduire soit la probabilité d'occurrence, soit la gravité d'impact financier, si jamais l'incident se présente. De Cette façon, il sera mieux géré et les charges conséquentes seront maîtrisées.

Cette même étape permet de se décider sur les mesures déjà entrepris, en exposant les frais de ces mesures, leurs degré d'efficacité ainsi que les charges résiduelles des impacts du risque sur la base gravité d'impacte financier et probabilité d'occurrence. Dans cette optique, les charges dues au risque peuvent justifier l'investissement dans des mesures en comparant simplement les charges (charge de base et charges résiduelles après application des mesures) et les frais de mise en place. Le décideur pourra même choisir entre mesures de détection, mesure de protection et mesures de prévention dont chacune admet des coûts différents.

Ce système de management de risque permet à la fois de donner la position et le niveau de risque de l'organisme ainsi que des différentes équipements, services, processus et activité, mais aussi de choisir et de justifier le choix des mesures à entreprendre afin de réduire les risques et les coûts sou jacentes. Et encore plus, de calculer l'amélioration de la posture et du niveau de risque après application de ces mesures.

Et finalement il permettra d'en déduire le plan d'applicabilité. Par ailleurs, on a complété ce système par un mécanisme de feed-back permettant le cas échéant d'identifier les sources d'un incident basé sur les questionnaires de ICHIKAWA qui permettent de remonter de l'effet aux causes éventuelles.

Dans cette conception, on s'est inspiré de la méthode SASA, essentiellement la technique de classification des équipements en classes critique en disponibilité et en

Rapport d'audit de la sécurité Informatique de l'ONT 38/125

sensibilité, ainsi que l'aspect métrique des calculs des risques de base et des risques résiduels.

Par ailleurs, on a insister durant la mise en oeuvre de ce système sur l'aspect paramétrage, ce qui lui permettra d'être évolutif, pour survivre et accompagne l'évolution de l'organisme. En effet, tous les éléments du système peuvent être actualiser ou modifier : taxonomie, indexes, règles de calcul de gravité, méthodes de calcul de probabilité d'occurrence, Seuils des risques acceptables, données descriptives des équipements, activités, processus, taches, services, déclarations de risques, classification critique des avoirs.

Ci-après, on exposera une étude de cas permettant de montrer la démarche et la technique d'évaluation et de classification des risques recensés.

1/Taxonomie

Ci- après nous exposons un échantillon fictif des indices taxonomique utilisés dans notre de système d'analyse et de management des risques.

L'impact minime de moins de

- L'

. . . .

Figure : Tables de taxonomie d'évaluation CDIN

Dans le tableau ci-dessus, sont indiqués les indexes métriques qui ont été utilisés, ainsi que les règles et les formules de calcul qui ont été établit pour évaluer l'impacte financier et la probabilité d'occurrence des incidents relatif aux type de risques identifiés et cela relativement à l'aspect intégrité, à la confidentialité, la disponibilité et la non répudiation malgré que cette aspect ne représente pas un objectif majeur de l'organisme.

Par exemple, dans la taxonomie relative à la disponibilité, on a identifié 4 indexes codant 4 niveaux de disponibilité :

· Evènement toléré à longue durée : la panne ne doit pas dépasser les 24
heures. (indexe 0)

· Evènement toléré à moyenne durée : la panne ne doit pas dépasser les 2 heures. (indexe 1)

· Evènement toléré à courte durée : la panne ne doit pas avoir une durée
supérieure à 30mn. (indexe 2)

· Evénement inacceptable : la panne est inacceptable si elle dépasse les 5mn. (indexe 3)

Rapport d'audit de la sécurité Informatique de l'ONT 39/125

La colonne impact du tableau, spécifie la signification sur le plan financier plus précisément, un incident sera considéré de niveau 3 si il rend l'équipement ou l'information, ou la fonctionnalité (service) inaccessible durant une durée supérieur à 5mn, ce qui correspond à un impact financier de perte de 10% du chiffre d'affaire ou du budget ou capital respectif à cette activité. Les valeurs utilisées dans cette explication sont fictives.

Les quatre premiers tableau servent à décrire les indexes utilisés pour classer les informations, les processus, activité, fonctionnalité ou service et sa sensibilité vis-à-vis de l'intégrité, de la confidentialité, de la disponibilité et de la non répudiation.

Exigence Reglementaire

Figure : Table de taxonomie d'évaluation des coûts d'impact financier, stratégique et légal

Les trois tableaux ci-dessus, montrent les indexes utilisés pour l'évaluation de la gravité d'un incident à la base des coûts des dégât (frais de reprise, frais de réparation, perte d' (frais de reprise, frais de réparation, reconstruction des données, immobilisation de personnel, perte d'activité etc), de l'impact stratégique et l'exigence réglementaire éventuellement associés à l'information, service ou fonction sinistrée.

Rapport d'audit de la sécurité Informatique de l'ONT 40/125

Probabilités

Detectabilité

Maitrisabilité

Figure : Tables de taxonomie d'évaluation de la probabilité d'occurrence

Les tableaux ci-dessus, on été utilisés pour indiquer les indices utilisés pour calculer la probabilité d'occurrence d'un incident en fonction de sa probabilité naturelle, sa détectabilité et sa maîtrisabilité. En effet, certains risques ne sont pas facilement détectables malgré qu'ils aient une probabilité d'occurrence relativement élevée. D'autres sont détectables mais non maîtrisable, ce qui leurs donnée un aspect plus dévastateur.

Ces indices sont utilisés pour classer les risques de façon plus adéquate et d'en calculer un degré de probabilité.

2/Classification des équipements

Sachant que le parc de certains organismes ou entreprises est relativement important, il est quasi-impossible et parfois même inutile d'inspecter, de vérifier d'auditer et de faire l'inventaire des risques menaçant chaque équipent a part.

Pour cela différentes techniques pourrons venir en aide, réduisant ainsi l'espace de travail. C'est dans cette optique les méthodes d'échantillonnage pourrons trouver les utilité. Pour l'organisme dans lequel on a effectuer notre mission, à savoir l'ONT, le patrimoine informatique s'entend même sur des sites distants couvrant le territoire du pays entier.

Rapport d'audit de la sécurité Informatique de l'ONT 41/125

Rapport d'audit de la sécurité Informatique de l'ONT 42/125

Pour remédier au problème ainsi soulevé on a tout d'abord procédé à une classification des équipements selon leurs utilités pour les processus et activités. En effet, les serveurs sont plus importants que les postes de travails. Les serveurs relatifs au processus Gestion Comptable est plus critique que les serveurs de messagerie, qui à leur tour, plus critiques que d'autres.

Pour cela ont a identifier les équipements critiques, sur lesquels on a définie un indice indiquant le degré d'utilité relatif de cet équipement pour l'organisme.

Par ailleurs, pour le reste des postes de travails et autres équipements non critiques, on a adopté la technique d'échantillonnage pour sélectionner un sous ensemble représentatif d'équipements depuis les sites inspectés.

3/Identification et description des Processus, Activité services et

fonctions

L'approche d'analyse et d'étude qu'on a adopté pour cette partie de notre mission comme indiqué, étant de cibler les processus et activités principales et d'étudier les risques qui menaces ces derniers.

Dans le tableau suivant, on a procéder à l'identification des Processus et activités ainsi que les flux de données entrants et sortants, les acteurs ou équipements depuis ou vers lesquels seront dirigés ces flux, ainsi que la documentation qui pourra être consultée pour la réalisation et l'exécution de ces processus.

Malgré que cette étape est préliminaire, cependant elle primordiale et essentielle pour le reste de la démarche.

4/Classification des Informations

L'objectif de cette phase et d'arriver à élaborer une vue globale sur l'importance des informations les unes par rapport aux autres selon leur degré de sensiblité par rapport aux critères CDIN.

Le tableau suivant représente le but final de cette étape. Cependant, et avant d'arriver à remplir ce dernier convenablement, il est essentielle de procéder à l'évaluation détaillé de chaque information vis-à-vis de ces critères. Pour cela on a établit d'autres structures de tableaux qui seront détaillé ci-après.

Le tableau ci-dessus, identifie l'ensembles des informations ciblés ainsi que leur indice de classification relatif à la confidentialité, la disponibilité et l'intégrité (dans ce cas les dossier d'offres de fournisseurs sont classé 2 pour l'aspect confidentiel).

Rapport d'audit de la sécurité Informatique de l'ONT 43/125

4.1/Impact coût Confidentialité

Dans le tableau ci-dessous, on a représenté un échantillon fictif illustrant comment on évalue le coût d'impact financier relatif à un incident qui nui à la confidentialité. En effet, l'information sinistré dans ce cas c'est les Offres, qui suite à l'occurrence

d'un incident, pourra avoir comme conséquences : des poursuites légales par le fournisseur émettant le(s) offre(s) dévulgué(s) en question, le relance ment du

marché avec les coûts de retard d'acquisitions, des frais d'élaboration et de suivie supplémentaires qui s'élevant à la somme de 2500 DT (coûts directs et indirects),

ainsi que la conséquence de retard d'exécution du marché qui est estimé à la somme de 200 000DT.

Pour chacune des conséquence, la règle de calcul élaboré en collaboration avec les parties concernées est exprimée, ensuite le coûts total est calculé et un pourcentage

et déduit. Ce taux représente ce que représente cet impact par rapport au chiffre d'affaire et permettra de définir l'indice de cet incident dans la tableau des indices

de l'impact financier de la perte de confidentialité établit dans la rubrique taxonomie et discuté plus haut.

Rapport d'audit de la sécurité Informatique de l'ONT 44/125

Par ailleurs, et pour des raisons de rétro évaluation des mesures de sécurité mis en place, ce même tableau est complété par une section regroupant les mesures de sécurité relatives à la gestion de ce risque. Une description détaillée indique si cette mesure est documentée, ce qui augment son degré d'applicabilité, si elle est appliquée, le nombre d'occurrences antérieures de l'incident ainsi que le degré d'insuffisance associé à ces mesures. Ce qui permet de mieux décrire l'efficacité de cette mesure d'une part et de servir d'un moyen plus précis pour calculer l'indice de l'impact coût confidentialité.

4.2/Impact coût Disponibilité

De façon similaire à l'identification des risques qui menacent l'aspect confidentiel des processus et activités traité plus haut dans ce rapport, on a procédé à l'identification et la fixation des méthodes de calcul, des conséquences que pourra avoir les incidents sur l'aspect intégrité des données de chaque processus et/ou activité comme indiqué dans le tableau ci-après.

4.3/Impact coût Intégrité

Dans ce qui suit un extrait du tableau d'évaluation des ipacts d'incidents sur

l'intégrité des données de chaque activité.

Rapport d'audit de la sécurité Informatique de l'ONT 45/125

4.4/Impact coût Non répudiation

L'aspect non répudiation parfois abandonné dans l'analyse des risques, trouve son utilité étant donné l'aspect stratégique de certains services, réalisés par des activités et des processus, et offert à la plus part des organismes public de l'état. En effet, l'interruption ou la modification d'un service aussi vital ou une donnée cruciale pourra avoir des répercutions majeurs, ce qui relève le sens de la responsabilité et le besoin d'en assurer.

Dans le cadre de cette optique, il a été tenu compte de cet aspect en procédant à l'identification des risques qui peuvent altérer le fonctionnement de ces dits services stratégiques, et par la suite, l'évaluation des conséquences éventuelles et la fixation de règles de calcul de l'impact.

Le tableau suivant donne les détails de cette évaluation.

Rapport d'audit de la sécurité Informatique de l'ONT 46/125

Rapport d'audit de la sécurité Informatique de l'ONT 47/125

5/Classification des Processus et activités

Après avoir identifier et décrit chaque processus et activité une description orienté flux de données (approche processus), ainsi que l'ensemble des équipement contribuant à ce processus ou à cette activité de la façon la plus satisfaisante comme indiqué dans la représentation tabulaire partielle suivante, on a calculé le degré d'importance aussi appelé l'utilité de chaque processus ou activité pour l'organisme. Ce qui, nous a permit d'élaborer des priorités entre l'étude détaillée des risques.

Dans ce qui suit on a fragmenté le tableau sommaire en trois fragments pour pouvoir le représenter dans ce document. Certaines colonnes sont partiellement visibles ou rendu masquées ainsi que les données qui sont totalement fictives, pour respecter le secret professionnel et préserver le caractère confidentiel de ces informations.

Le premier fragment représente l'identification des processus et ou activités, le département, direction sous direction ou service où elle est exécuter. La colonne suivante identifie le personnel avec lesquels on a réaliser un ou plusieurs entretiens concernant cette activité, ainsi que le site et lieu d'entretient.

Apres avoir prélever les informations signalétique de chaque processus et activité, on a procéder à l'identification des informations et des fonctions sensibles pour chaque activité, l'aspect de sensibilité (Confidentialité, Intégrité, Disponibilité, Non répudiation) ainsi que les moyens utiliser pour réaliser cette activité (nombre d'utilisateur contribuant, Serveurs, SGBD, Portables, Documentation, équipement matériel, applicatif métier, support réseau). Par ailleurs, on a identifier les répercutions que peut avoir l'altération de cette activité sur le site (les locaux) ainsi que sur le personnel et l'organisation.

Par la suite on a décrit conformément à ce qui a précéder la relation entre l'activité et les aspects légales, disponibilité, intégrité, confidentialité et non répudiation, en partant de la relation déjà dégagée entre les données et ces critères et cela par le biais d'une fonction d'agrégation.

Toutes ces informations permettront de documenter et de calculer l'indice de priorité des activités montrant l'importance relative de chaque activité par rapport aux autres, pour le bon fonctionnement sécurisé de l'organisme.

Activité/Processus

Personnel/Entretient

DEPT

Site/Sujet-Lieu d'entretient

Informations Sensibles

Nbr Utilisateurs

Serveur(s)

SGBD

Portables

Documentaire

Materiel

Applicatif(logiciel)

Réseau

Site

Personnel

Organisation

Fonctions Sensibles

Lois

Disponibilité

Integrité

Confidentialité

Non Répudiation

Priorité

Comptabilité DAF Mr Mohamed Siège Laarif -Kairedin (directeur Enregistrement Pache DAF);Mr -Tunis Mizouri comptable Moh

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0 0 2

m 0 0 0

0 ® ® ® ® 2

Gestion des Approvisionnements DEX Mr AbdessalamSiège -K

m 0 0 0

m ® 0 0 0 2

Messagerie INF Mr Issaam Siège Laar -K

m 0 0 0

m ® 0 0 0 2

Affaires Générales DAF Mr MohamedSiège -KLa

m 0 0 0

m 0 0 0 0 3

Immobilisation DAF Mr MohamedSiège -KLa

m 0 0 0

m ® ® 0 0 3

Facturation client DC Mr DebbabiSiège Fet-K

m 0 0 0

m 0 0 0 0 3

Acces Internet INF Mr Issaam Siège Laar -K

m 0 0 0 0 3

Gestion de Carburant DAF Mr MohamedSiège -KLa

m 0 0 0 0 4

Gestion de Parc Auto DAF Mr MohamedSiège -KLa

m 0 0 0 0 4

Ressources Humaines DAF Mr MohamedSiège -KLa

m 0 ® 0 0 4

Bureau d'Ordre DG Mme RajaaSiège ?? -K (

m 0 0 0 0 4

Gestion des marchés DQDR Mr AbchouSiège Feth-K

m 0 0 0 0 4

Gestion de Formation DAF Mr MohamedSiège -KLa

m 0 0 0 0 5

Pointage DAF Mr MohamedSiège -KLa

m 0 0 0 0 5

Suivi des Projets DQDR Mr AbchouSiège Feth-K

m 0 0 0 0 6

Gestion de l'archive documentaire DAF Mr MohamedSiège -KLa

m 0 0 0 0

Vente DC Mr DebbabiSiège Fet-K

m 0 0 0 0

Exploitation des equipements de diffusion DEX Mr Abdessalam Siège -Kairedine Sallem Documents Pach (directer et -Tunis DEX);Mr Manuels Aye Fethi Techniques(sous di

m 0 0 0 0

2 - Tres sensi 0

m 0 0 0 0

Gestion des Equipements d'Energie DEX Mr AbdessalamZaghoue

Maintenace des equipements de diffusion DEX Mr AbdessalamSiège -K

m 0 0 0

m 0 0 0 0

Telesurveillance/Commnde equipement DEX Mr AbdessalamSiège -K

m 0 0 0

m 0 0 0 0

Audit et contrôle de gestion DG Mme SiègeKalthoum-K

m 0 0 0

m 0 0 0 0

Direction (Manager) DG Mr Said SiègAljene-K

m 0 0 0

m 0 0 0 0

Etude de marchés DQDR Mr Issaam Siège Laar -K

m 0 0 0

m 0 0 0 0

Gestion des fréquences DQDR Mr Issaam Siège Laar -K

m 0 0 0

m 0 0 0 0

Gestion du SIG DQDR Mr Issaam Siège Laar -K

m 0 0 0

m 0 0 0 0

Dev. Inf. Projet INF Mr Issaam Siège Laar -K

m 0 0 0

m 0 0 0 0

Dev. Logiciel INF Mr Issaam Siège Laar -K

m 0 0 0

m 0 0 0 0

Télévision Numérique DEX Mr IssaamTour deLaar c

m 0 0 0 ®

m 0 0

e)0

m ® ® ® 0 1

0 ® ® ® ® 1

Paie DAF Mr MohamedSiège -KLa

Suivi des Engagements et Paiement DAF Mr MohamedSiège -KLa

Trésorerie DAF Mr MohamedSiège -KLa

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0

m 0 0 0

e 0 0 0

0dieeur0 ef0

Apres une brève description des impacts que pourront avoir lieu sur chaque activité, nous procédons à l'évaluation métrique de l'impact et cela en se référant aux méthodes de calcul précédemment arrêtés et discutés dans les rubriques évaluation coûts d'impact respectivement pour la confidentialité, l'intégrité, la disponibilité et la non répudiation. Cela correspond à la colonne coût dans le deuxième fragment du tableau.

Rapport d'audit de la sécurité Informatique de l'ONT 48/125

Il est également à signaler que ce tableau est remplit partiellement par des données collectées suite aux différents entretiens réalisés avec les personnes concernés, en l'occurrence les valeurs qui sont affectées à la colonne exigence réglementaire et la colonne impact stratégique dont les indices ont été judicieusement fixés et approuvés par les personnes compétentes respectifs pour chaque activité.

Ce qui nous amène au calcul de la gravité d'impact des incident qui risque d'entraver l'exécution de chaque activité sous forme de produit entre le coût, l'exigence réglementaire et l'impact stratégique. Dans ce cas le premier paramètre admet 4 niveau d'indice, le deuxième a 2 niveaux (est une exigence réglementaire ou bien non) et le dernier admet également 2 niveau (ayant impact stratégique ou bien non). Ce qui donnera une gravité sur une échelle de 1 à 16.

Toutefois la gravité d'impact ne décrit pas totalement la potentialité d'un risque qui menace une activité. En effet, parfois des risques ayant des impacts relativement reduits peuvent devenir nuisibles s'ils sont plus fréquentes que d'autres moins probable pourtant de gravité supérieurs.

Rapport d'audit de la sécurité Informatique de l'ONT 49/125

Pour cela, on a procédé également à l'évaluation d'une prévision sur la probabilité d'occurrence future de chaque incident. Le calcul se base tout d'abord sur la probabilité d'occurrence naturel du phénomène, mais intègre également le nombre d'occurrences antérieurs, l'existante ou non de mesures de sécurité, si elles sont documentées, leurs degrés d'efficacité, et si elles sont appliquées ou non. Ce qui permet une estimation plus précis et plus argumentée.

Les valeurs prélevées pour chaque mesure de sécurité donneront différentes estimations pour un même incident. Une opération d'agrégation de ces valeurs résultantes donnera une estimation unique par incident, qu'on combine avec la probabilité d'occurrence naturelle du phénomène.

La colonne présente dans cette partie du tableau, représente le résultat final de l'estimation de probabilité d'occurrence future des incidents combinés par une agrégation, pour chaque activité.

A ce niveau pour chaque activité, le niveau du risque est décrit par le couple gravité et probabilité d'occurrence.

Il est primordiale de noter que l'usage du mot probabilité indique réellement indice de probabilité et non une probabilité normalisé au sens scientifique.

Rapport d'audit de la sécurité Informatique de l'ONT 50/125

Comptabilité DAF Mr Mohamed Siège Laar 2 -Khaiedin : Coût directeur Pache -Tunis DAF);Mr Acceptable Miz 2m ou2 8eur 3 : Fnne)1 fois par mois

Paie DAF Mr Mohamed Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)1 : 1 fois 10 ans

Suivi des Engagements et Paiement DAF Mr Mohamed Siège Laar 4 -Khaiedin : Coût directeur Pache -Tunis DAF);Mr Insupportable Mizouri 2m ou1 8eur 3 : Fnne)1 fois par mois

Trésorerie DAF Mr Mohamed Siège Laar 4 -Khaiedin : Coût directeur Pache -Tunis DAF);Mr Insupportable Mizouri 1m ou2 8eur 3 : Fnne)1 fois par mois

Gestion des Approvisionnements DEX Mr Abdessalam Siège 3 -Khadine Salem : Coût Pach (directeur -Tunis Supportable DEX);Mr A hi2 1di 6 0 : Epoiaton) 1 fois 50 ans

Messagerie INF Mr Issaam Siège Laarf 4 -Khaiedine : (ous Coût direteur Pache -Tunis Insupportable DQDR);Mr Moed 2 2hme 16(chef3 : 1 srvce fois par informatique) mois

Affaires Générales DAF Mr Mohamed Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)3 : 1 fois par mois

Immobilisation DAF Mr MohamedSiège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Mizo 1m ou1 1eur 0 : Fnne)1 fois 50 ans

Facturation client DC Mr Debbabi Siège Feti 4 -Khaiedine : sous Coût Pah directeur -Tunis Insupportable Commercialee 1 me1 a 43 (Chef : 1 service fois par Commercile)mois

Acces Internet INF Mr Issaam Siège Laarf 1 -Khaedine : (ous Coût direteur Pache -Tunis negligeable DQDR);Mr d1 1hm 1 cef 2 : 1 srvce fois par informatique) ans

Gestion de Carburant DAF Mr Mohamed Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)2 : 1 fois par ans

Gestion de Parc Auto DAF Mr Mohamed Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)3 : 1 fois par mois

Ressources Humaines DAF Mr Mohamed Siège Laar 4 -Khaiedin : Coût directeur Pache -Tunis DAF);Mr Insupportable Faouzi la2 2dur16 RH)3 : 1 fois par mois

Bureau d'Ordre DG Mme Rajaa Siège ?? 2 (get -Khaiedine : Coût bureau Pache d'ordre) -Tunis Acceptable {jort t2 l r 2d 8ter,3 :ec1 fois par mois

Gestion des marchés DQDR Mr AbchouSiège Feti 1 -Khaedine : (ous Coût direteur Pache -Tunis negligeable Réalisation 2 meoj 2 4 3 : 1 fois par mois

Gestion de Formation DAF Mr Mohamed Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)1 : 1 fois 10 ans

Pointage DAF Mr Mohamed Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)2 : 1 fois par ans

Suivi des Projets DQDR Mr AbchouSiège Feti 1 -Khaedine : (ous Coût direteur Pache -Tunis negligeable Réalisation 1 meroj 2 2 1 : 1 fois 10 ans

Gestion de l'archive documentaire DAF Mr Mohamed Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)0 : 1 fois 50 ans

Vente DC Mr DebbabiSiège Feti 3 -Khaedine : sous Coût Pah directeur -Tunis Supportable Commerciae 2 me2 mia12 3 (Chef : 1 service fois par Commercile)mois

Exploitation des equipements de diffusion DEX Mr Abdessalam Siège 4 -Khaidine Salem : Coût Pach (directeur -Tunis Insupportable DEX);Mr Aye hi2 2 diur 16 3 : Epoiaton) 1 fois par mois

Gestion des Equipements d'Energie DEX Mr AbdessalamZaghoueneSa

Maintenace des equipements de diffusion DEX Mr Abdessalam Siège 1 -Khadine Salem : Coût Pach (directeur -Tunis negligeable DEX);Mr G 1C so1 1ctur2 : 1 Maintenance) fois par ans

Telesurveillance/Commnde equipement DEX Mr Abdessalam Siège 3 -Khadine Salem : Coût Pach (directeur -Tunis Supportable DEX);Mr A hi1 di2 6 1 : Eploiaton) 1 fois 10 ans

Audit et contrôle de gestion DG Mme Siège Kalthoum 3 Iwz -Khaedine : (chef Coût Pache service -Tunis Supportable audit) 1 1 3 2 : 1 fois par ans

Direction (Manager) DG Mr Said Sièg Aljene 2 (PDG -Khaiedine : Coût Pache -Tunis Acceptable 2 1 4 0 : 1 fois 50 ans

Etude de marchés DQDR Mr Issaam Siège Laarf 2 -Khaiedine : (ous Coût direteur Pache -Tunis Acceptable DQDR) 1 2 4 1 : 1 fois 10 ans

Gestion des fréquences DQDR Mr Issaam Siège Laarf 1 -Khaedine : (ous Coût direteur Pache -Tunis negligeable DQDR) 2 1 2 0 : 1 fois 50 ans

Gestion du SIG DQDR Mr Issaam Siège Laarf 2 -Khaiedine : (ous Coût direteur Pache -Tunis Acceptable DQDR) 1 1 2 2 : 1 fois par ans

Dev. Inf. Projet INF Mr Issaam Siège Laarf 1 -Khaedine : (ous Coût direteur Pache -Tunis negligeable DQDR);Mr d1 1hm 1cef3 : 1 srvce fois par informatique) mois

Dev. Logiciel INF Mr Issaam Siège Laarf 4 -Khaiedine : (ous Coût direteur Pache -Tunis Insupportable DQDR);Mr Moed 2 2hme 16(chef3 : 1 srvce fois par informatique) mois

Télévision Numérique DEX Mr IssamTourde Laarf 1 contrôle : (ous Coût - direteur Lfayette negligeable -Tunis DQDR);Mr 1a 1 ( 1 reter 3 : 1 chef fois de parcentre moistour

Service Internet à Haut Débit (DVBT) DEX Mr IssamTour deLaarifcontrôle(sous - drecteur Lfayette DQDR); -Tunis

Par ailleurs, on a remarqué que malgré cette description, certains risques sont majeurs malgré que leurs gravités et leurs indices de probabilité soient faibles. Cela s'explique par le faite qu'ils peuvent être discrets, et difficilement détectables d'une part, ou bien que s'ils sont détectables, ils pourront être dévastateurs. Pour remédier à ce problème, on a ajouté un indice sur la détectabilité d'un incident et un autre pour décrire s'il est maîtrisable. Ce qui nous permettra de mieux comparer les risques sur tous les plans et les niveaux.

Et pour finir et préparer l'analyse à l'étape suivante à savoir dégager le plan d'applicabilité et dégager les recommandations, nous avons choisi de juxtaposer avec ce qui a précéder les mesures actuellement en place, les mesures envisageables et une prévision des nouveaux indices de risque par activité après application de ces mesures. De cette façon les décideurs pourrons analyser l'amélioration, comparer les investissements dans les nouvelles mesures de sécurité (préventives, correctives, détectives) et les gains apportés suite à la diminution du niveau de risque.

Certaines colonnes concernant cette partie sont rendues masquées explicitement.

Rapport d'audit de la sécurité Informatique de l'ONT 51/125

Rapport d'audit de la sécurité Informatique de l'ONT 52/125

6/Identification des Risques

Différentes approches sont suivie durant l'étude des risques. Certaines commencent par une base de risques exhaustive, d'autres sont plus ciblées et oriente l'étude selon

le type d'équipement en question. Dans notre mission on a choisie d'orienter notre étude vers les processus. En effet, au lieu de faire une étude systématique de tous les

risques qui la plus part d'entre eux, ne risque pas d'avoir lieu. Ce qui représente d'abord une charge énorme, et peut être inutile.

On a choisi de cibler notre étude le plus possible, afin de pouvoir étudier de façon détaillée les coûts et les aspects relatifs à ces risques. Pour cela, on s'est basé sur la

classification des processus, activités, fonctions et services afin de se focaliser sur les risques qui menacent les ressources et équipements qui hébergent ou participent

dans les processus et activités les plus utiles pour l'organisme. 7/Classification des Risques

7.1/Evaluation de gravité

La formule qui a été utilisée pour calculer le degré de gravité d'un incident, étant basée sur, tout d'abord l'impact financier résiduel intégrant les coûts de

rétablissement du service, fonction activité ou processus, des coûts de recouvrement des données, les coûts conséquentes d'interruption de l'activité, processus, fonction ou service, ainsi que des acquisitions ou réparations éventuels.

En effet, la gravité a été évaluée au produit de la multiplication des critères

mentionnés plus particulièrement le produit entre coût impact financier, impact stratégique et exigence légale.

L'aspect exigence légale a été introduit à cause de l'importance des pénalités fiscales qui pourrons avoir lieu suite à la perte de l'activité ou des données comptable de l'organisme. Certaines autres activités sont également sensibles et serviront de support stratégique pour l'état et pour les organismes et ministère. Pour cela ont a choisi d'introduire un autre indice décrivant cet aspect stratégique.

Les coûts de réparation, de recouvrement de données, d'arrêt de services sont intégrés ensemble dans le coût financier.

7.2/Evaluation de probabilité d'occurrence

La probabilité d'occurrence relative à un incident est calculé sur la base de sa probabilité d'occurrence naturelle liée à la nature du risque, au faite qu'il existe des mesures, si ces mesures sont documentées, si elles sont appliquées, si elles sont

efficaces (suffisantes) et sur l'historique d'occurrence du même incident (nombre d'occurrences antérieurs). La fonction de calcul utilisé étant le produit entre ces

indices.

7.3/Choix des mesures

A ce niveau, le décideur pourra préciser les seuils au dessus desquels il considérera les risques inacceptables. En effet, parmi les critères possibles, la gravité du

incident. Dans cet exemple, il a été décidé que les incidents ayant une gravité

Rapport d'audit de la sécurité Informatique de l'ONT 53/125

Rapport d'audit de la sécurité Informatique de l'ONT 54/125

supérieure à 2 dans la table des indices de gravité (voir taxonomie) seront trop pour être acceptés.

Par ailleurs, il a été décidé que les incident ayant une probabilité d'occurrence supérieur à 2 et une détectabilité également supérieur à 2 ainsi qu'une maîtrisabilité de 0 ou de 1 seront également considéré comme des risques qu'il faut éliminer que ce soit en réduisant leurs gravité, que ce soit en réduisant leurs degré incidence et cela en mettant en oeuvre des mesures de protection, des mesures de détections ou des plan d'urgence.

Ce tableau de seuils permet alors d'orienter le décideur vers le type de mesures à entreprendre qu'elle soit préventive, détective ou corrective.

7.4/Classification gravité/Probabilité d'occurrence

Cette étape est réalisé par le système d'analyse des risques et se base sur la

taxonomie définie et sur les données introduites dans les étapes précédentes.

En réalité il examines les fiches d'identification des risques recensés, la listes des processus, activités, fonctions, services et la listes des équipements sur lesquels se déroulent ces processus ou activités, calculera la gravité et la probabilité d'occurrence pour chaque type d'incident qui risque d'atteindre un équipement altérant ainsi une activité ou un processus.

Dans l'exemple ci-après est exposé le résultat d'analyses préliminaires représentant le calcul du nombre d'occurrences d'incidents classés par gravité et par probabilité d'occurrence avec les totaux en lignes et en colonnes.

Ainsi dans une totalité de 30 activités, il y en a 4 activité atteintes par des risques très probables (1 fois par mois) et dont la gravité est élevé (gravité de 16). En effet, cette analyse permet au décideur de choisir une région où il ne veut plus supporter les conséquences. Dans cette illustration il s'agit de la région allant de la gravité de 6 à la gravité de 16 et de la probabilité 2 à la probabilité 3 et qui touche à 9 activités ou processus.

Niveau inicateur de resultat : Niveu de risque (CDIN) Indicateur de moyens

A ce niveau, on pourra aussi affiner nos analyses en appliquant des restrictions plus fortes telle que l'analyse des activités ciblées par des incidents atteignant l'intégrité, ou la disponibilité des données de l'activité en question.

Rapport d'audit de la sécurité Informatique de l'ONT 55/125

NB CIA

Probabilité d'occurrence

Gravité

0 : 1 fois 50 ans

2 activité(s) 2 activité(s) 4 activité(s) 3 activité(s) 11 activité(s)

1 activité(s) 1 activité(s) 1 activité(s)

1 activité(s)

1 activité(s) 1 activité(s) 2 activité(s)

1 activité(s) 1 activité(s)

4 activité(s)

1 activité(s)

4 activité(s)

3 activité(s)

1 activité(s)

4 activité(s)

2 activité(s) 4 activité(s) 1 activité(s) 4 activité(s)

5 activité(s) 5 activité(s) 6 activité(s) 14 activité(s) 30 activité(s)

1 : 1 fois 10 ans

2 : 1 fois par ans

3 : 1 fois par mois

Total

1

2

3

4

6

8

12

16

Total

8/Génération des tableaux de bord

Une fois, le Système RIAMS a été paramètre et alimenté par les informations nécessaires précédemment exposées, il permettra de générer un tableau de bord sous forme de table croisée dynamique d'aide à la décision disposant les différents axes et les mesures élaborés.

Dans le figure ci-dessous, on a visualisé la gravité des incidents sur l'axe des abscisses, la probabilité d'occurrence calculée sur l'axe des ordonnées et le nombre de risques menaçant l'organisme sur l'axe z.

D'autres tableaux plus spécifiques sont possibles, exposant les charges financières à la place du nombre de risques. L'aspect confidentiel de ces tableaux ne permet pas leur intégration dans le présent document.

Rapport d'audit de la sécurité Informatique de l'ONT 56/125

Par ailleurs, des opérations de filtrage et de pivotement sont possibles également. En effet, il est souvent nécessaire de pouvoir visualiser les mêmes analyses mais de les restreindre uniquement aux risques relatifs à l'aspect disponibilité, ou bien de représenter sur l'un des axes les coûts résiduelles par aspect (C ou D ou I ou N) afin de pouvoir juger lequel des aspect de lé sécurité étant le plus touché par les risques.

Cette flexibilité a été atteinte, grâce au faite qu'on a considéré dés le départ que le RIAMS est tout d'abord un système d'information qui devra gérer de façon flexible et évolutive les risques. Les sorties de ce système d'information étant exploitable dans les outils de bureautique, de gestion de réseaux ou de PAO/DAO.

Rapport d'audit de la sécurité Informatique de l'ONT 57/125

La figure ci-dessus expose les analyses d'une autre façon, cependant nous remarquons les indices de filtrage en haut à gauche permettant de sélectionner le critère pour les risque à aspect touchant à la confidentialité, par exemple n'introduire que les risque ayant un classement 2 ou supérieur pour la confidentialité, dans l'analyse.

A droite du graphique, une légende permettant de distinguer la signification des barres colorées dans le graphique. Ici c'est le classement couleur de la probabilité d'occurrence. Par ailleurs, on remarque la liste des champs qu'on pourra les intégrer dans le graphique et dans l'analyse par opération de glisser déposer. Dans cette visualisation, le champs Activité//Processus représenté en gras, a été intégré sur l'axe z avec la fonction de calcul NB(Activité//Processus) déjà visible sur le coin haut gauche.

Rapport d'audit de la sécurité Informatique de l'ONT 58/125

9/Recherche des causes par les diagrammes ICHIKAWA

Figure : Diagramme ICHIKAWA

Par le biais de ce diagramme, conçu par ICHIKAWA durant les années 40, on pourra remonter vers les cause d'un incident de sécurité mettant en question l'un des aspects de la sécurité, à savoir, la confidentialité, l'intégrité, la disponibilité et la non répudiation. Dans la figure ci-dessus, on a représenté l'implémentation du questionnaire relatif à la perte d'intégrité. Les différentes catégories des causes éventuelles de l'incident, sont représentées sous forme de rives de part et d'autre, portant chacune en graduel les causes possibles avec des champs de saisie pour indiquer le degré de maîtrisabilité, de probabilité et de détectabilité de chacune des causes éventuelles.

Rapport d'audit de la sécurité Informatique de l'ONT 59/125

La légende en bas à droite, indique le système d'indexes utilisé pour remplir ces champs. Par ailleurs, le cartouche en bas indique le processus ou l'activité ciblé par l'incident, et l'information altérée par l'incident, ainsi que la formule qui devra être appliquer pour calculé le niveau d'impact sur le plan Intégrité de cette données des différentes causes élémentaires reportées respectivement sur les rives.

En haut, un autre cartouche porte l'information signalétique du diagramme et la gestion des versions et l'approbation.

Ces diagrammes ont été adoptés pour enrichir notre système de management de risques, en intégration un mécanisme de feed-back permettant la recherche des causes source d'un impact CDIN sur l'une des information, activités ou processus.

Rapport d'audit de la sécurité Informatique de l'ONT 60/125

Audit Niveau 2

Audit technique

Rapport d'audit de la sécurité Informatique de l'ONT 61/125

Rapport d'audit de la sécurité Informatique de l'ONT 62/125

Chapitre 4

Audit Technique

1-/ Audit de l'architecture réseau et système 1-1-/ Topologie du réseau :

Le réseau de l'ONT est contrôlé par un Firewall. Il a pour rôle de concentrer l'administration de la sécurité en des points d'accès limités au réseau de l'office et de créer un périmètre de sécurité entre les segments réseaux suivants de l'ONT :

- Le réseau des utilisateurs

- Le réseau des serveurs

- Le reseu de l'Internet

- Le réseau Extranet de l'Office

- Le réseau Intranet

- Le réseau d'accès distant

- Le réseau d'administration de l'antivirus. 1-1-1-/ Cartographie du réseau

Durant cette phase, nous avons inspecté le LAN grâce à divers outils de découverte de réseaux (Cheops, Network View).

Rapport d'audit de la sécurité Informatique de l'ONT 63/125

Architecture Du Réseau Existant de L'ONT

Rapport d'audit de la sécurité Informatique de l'ONT 64/125

A/ Réseau des Utilisateurs

Les ordinateurs du siège sont regroupés dans un seul segment réseau, ils sont connectés à travers des switchs niveaux 2 et des Hubs.

Figure 6 : Image Network View (segment des Utilisateurs)

B/ Réseau des serveurs

Les serveurs sont reliés entre eux par un switch niveau 3.

Figure 7 : Image Network View (segment des serveurs)

Rapport d'audit de la sécurité Informatique de l'ONT 65/125

TALK / DATA

TALK RS CS TR RD TD CD

TALK / DATA TALK

RS CS TR RD TD CD

reseau Interne

FH

TALK / DATA TALK

TALK / DATA TALK

TALK / DATA TALK

RS CS TR RD TD CD

RS CS TR RD TD CD

RS CS TR RD TD CD

modem

modem

TALK / DATA TALK

RS CS TR RD TD CD

serveur de Messagerie Lotus

Rapport d'audit de la sécurité Informatique de l'ONT 66/125

C/ Réseau Internet de l'Office

L'ONT assure des services Internet Haut débit via sa plate forme DVB-T, la transmission des requêtes est assurée par une ligne spécialisée 2 MB/s, installée entre le siège et le centre nodal. Le flux IP de retour est véhiculé à travers le système de diffusion de la télévision numérique terrestre (émetteur 500 Watt de Boukornine). Le débit de la voie descendante peut attendre 2 Mbits extensible à 4 Mbits.

D/ Réseau d'accès distant de l'ONT

Nous signalons qu'il existe actuellement des centres d'émission qui accèdent au service de messagerie à travers des lignes téléphoniques privées (FH), le débit de ces connexions ne dépasse pas 56 K.

Le serveur de messagerie, joue le rôle de serveur d'accès distant en identifiant les utilisateurs à partir des mots de passe LOTUS.

Figure 8 : Réseau D'accès Distant

E/ Réseau Intranet de l'ONT

le réseau Intranet connecte le siège aux différents centres d'émission TV et radio moyennant des lignes spécialisées de 128 K. il assure les services suivants :

- Accès des centres au serveur de messagerie de l'Office ;

- Accès des centres à des applications centralisées tels que l'application de gestion de stock ;

- Accès des centres à l'Internet via le réseau interne de l'ONT ;

- Accès au serveur d'antivirus pour la recherche des nouvelles mises à jour ;

F/ Le réseau Extranet:

Le réseau Extranet connecte le siège au ministère moyennant une ligne spécialisée de 128 Ko. Cette connexion est utilisée pour la réplication entre les serveurs de messagerie.

Rapport d'audit de la sécurité Informatique de l'ONT 67/125

1-1-2 Adressage IP :

Le plan d'adressage utilisé au niveau des réseaux du siège de l'ONT respecte la norme IANA (RFC 1819). Les réseaux sont de type 192.168.X.Y

La cartographie des réseaux montre que le réseau de CCM (Jedieda) n'est pas conforme à la norme. Nous citons à titre d'exemple :

1-2-/ Sondage système

1-2-1-/ Identification et mise à jour des systèmes d'exploitation

Figure 9 : outil Newt

Pour réaliser cette tâche, nous avons utilisé l'outil NEWT, ce ci a permis de dégager les conclusions suivantes :

Rapport d'audit de la sécurité Informatique de l'ONT 68/125

Les Postes de travail :

Environ 90% de systèmes d'exploitation des ordinateurs du siège ,sont de type Windows 2000 ou Windows XP. Nous remarquons l'existence du système d'exploitation Windows 98 installé sur quelques ordinateurs.

Il faut signaler que le système d'exploitation Windows 98, n'est plus supporté par Microsoft, la présence de ce système d'exploitation est une faille de sécurité.

Figure 10

Les serveurs :

Sur les anciennes générations de serveurs, le système d'exploitation installé est NT4, alors que sur les nouvelles générations, les systèmes sont de type Windows 2003 ou 2000.

Figure 11

Rapport d'audit de la sécurité Informatique de l'ONT 69/125

La mise à jour des systèmes d'exploitation se fait d'une façon automatique, à partir d'un serveur WSUS. Les systèmes d'exploitation supportés par WSUS sont :

- Windows 2000; - Windows XP;

- Windows 2003;

Nous remarquons que le WSUS est lié à une stratégie du domaine Windows 2003. Ce qui implique que seuls les ordinateurs membres du domaine Windows 2003 peuvent recevoir les mise à jour.

De ce fait, nous signalons les insuffisances suivantes :

- Les systèmes Windows 98 et NT4 ne font pas l'Objet de mise à jour automatique.

- Les mises à jours des systèmes d'exploitation des ordinateurs, membre du domaine NT4, se font manuellement.

Il est recommandé de :

- Garder un seul domaine (WINDOWS 2003)

- Mettre à jours des serveurs dont le système d'exploitation est Windows NT4 par l'installation de Windows 2003

- Mettre à jours des ordinateurs dont le système d'exploitation est Windows 98 par l'installation de Windows XP.

1-2-2-/ Mise à jour des applications

Nous distinguons trois types d'applications constituant le système d'information de l'office :

Rapport d'audit de la sécurité Informatique de l'ONT 70/125

A/ Les applications de gestion :

B/ Les applications de l'Intranet :

C/ Les applications techniques :

Seules les applications de gestion et de l'intranet font l'objet des contrats annuels de maintenance et de mise à jour.

Il est recommandé d'établir des contrats de maintenance pour les applications techniques.

Rapport d'audit de la sécurité Informatique de l'ONT 71/125

1-2-3-/ Contrôle d'intégrité et protection anti-virale des postes de travail :

Un antivirus est installé sur tous les postes et serveurs de l'office. La mise à jour est instantanée moyennant une console d'administration, connectée à l'Internet et télécharge les mises à jour et elle les distribue sur tous les postes du réseau.

Nous signalons que les sites distants sont connectés à cette console, et reçoivent d'une façon régulière les mises à jour.

L'antivirus intègre un PC firewall, un détecteur d'intrusion et un détecteur d'espion. Ces différentes composantes sont activées sur tous les ordinateurs de l'Office.

Signalons qu'il n `existe pas de passerelle antivirale pour le trafic http, SMTP et POP, ainsi qu'une sonde système pour inspecté le trafic réseau. Par ailleurs, les serveurs ne sont pas équipés par des HIDS.

1-2-4-/ Sécurisation des serveurs :

Afin d'assurer la continuité des services des applications de gestion, indispensables à l'office, les serveurs de gestion sont mis en cluster avec redondance aux niveaux des cartes réseaux, de l'alimentation et des disques du système.

Nous signalons que ces serveurs jouent plusieurs rôles : serveur d'application, contrôleurs de domaine et DNS. Il est recommandé de distribuer les rôles sur plusieurs serveurs.

Les serveurs sont placés dans un segment dédié, dont les accès sont contrôlés par le firewall.

1-3-/ Sondage des flux et services réseaux

1-3-1-/ Sondage réseau (ports, services, applications associées)

Le sondage des services réseau est une étape qui permet de savoir quels sont les ports ouverts sur les machines du réseau audité (ouverts, fermés ou filtrés). Pour

Rapport d'audit de la sécurité Informatique de l'ONT 72/125

effectuer cette tâche, nous avons utilisé les outils de Scan de ports tels que NMAP, GFI et Nessus

Nous remarquons ce qui suit :

- Les ports ouverts sur la majorité des ordinateurs dont le système d'exploitation est Windows 2000 ou 2003 sont :

- Les ports de type 162(Snmp Trap) et 80(http) sont ouverts sur quelques ordinateurs, ceux-là peuvent être exploités par un intrus pour attaquer le réseau de l'entreprise.

Figure 13

D'après le sondage réseau des serveurs, nous constatons que le serveur de messagerie (DOMINO) et le contrôleur de domaine NT (Serveur1-ONT ), présentent un ensemble de ports ouverts de type UDP pouvant être exploités pour réaliser une attaque sur le réseau de l'ONT.

Rapport d'audit de la sécurité Informatique de l'ONT 73/125

FIG14 : Liste des Ports UDP sur un serveur de messagerie

1-3-2-/ Flux réseaux observés :

D'après l'analyse du trafic réseau par l'outil IRIS, nous remarquons que le protocole dominant au niveau du réseau de l'ONTest de type IP.

Fig 15 : Pourcentage d'utilisation du réseau par protocole

Rapport d'audit de la sécurité Informatique de l'ONT 74/125

Pour diminuer l'utilisation du protocole ARP au niveau du réseau, il est recommandé de configurer les switchs en attribuant à chaque port une association entre l'adresse MAC et l'adresse IP de la machine.

Le protocole Netbios peut être éliminé du réseau par la mise à jours des ordinateurs ayant le windows 98 comme système d'exploitation.

Fig 16 : Résumé sur les paquets capturés (ETHEREAL)

L'absence des VLANs et de chiffrement des données au niveau des différents segments, permet l'écoute et le décodage du trafic. Ce ci peut avoir un impact très important lorsqu'il s'agit de données confidentielles.

Rapport d'audit de la sécurité Informatique de l'ONT 75/125

1-3-3-/ Situation des ressources et partages sur le réseau interne :

L'analyse du rapport de l'outil de scan GFI sur les Partages des dossiers et des imprimantes, montre qu'il existe sur 40% des ordinateurs, des partages dont les accès sont affectés à tout le monde avec contrôle total.

Nous constatons l'existence de partage système sur les serveurs et sur quelques postes. Ce ci peut être exploité par un intrus pour l'administration à distance d'un serveur ou d'un ordinateur.

Pour les imprimantes réseaux, nous constatons qu'elles sont installées aux bureaux des secrétaires. L'imprimante de la direction de la qualité et de

développement des réseaux est installée dans la salle de maintenance
informatique. L'accès fréquent à la salle de maintenance pour chercher les documents imprimés, peut être une source de vol de matériel ou d'équipement informatique.

D'après l'analyse de droits d'accès sur les imprimantes, nous constatons que tous les utilisateurs peuvent imprimer sur n'importe quelle imprimante, à l'exception de l'imprimante laser couleur, dont les personnes autorisées sont définies dans la règle d'accès.

1-3-4-/ Politique de gestion des mots de passe :

La politique de gestion des mots de passe instaurée au niveau des deux contrôleurs de domaines (Windows 2003 et NT4) est la suivante :

Rapport d'audit de la sécurité Informatique de l'ONT 76/125

Nous remarquions que la politique de mot de passe ne respecte pas les exigences de complexité, ceci est du au fait que les utilisateurs préfèrent des mots de passe simples pour les retenir facilement.

Il est recommandé de sensibiliser les utilisateurs sur la création de mots de passe complexes, et sur les dégâts qui peuvent être engendrés par l'utilisation de mots de passe simples.

1-4-/ Audit de la gestion des défaillances matérielles : 1-4-1-/ Protection physique des disques durs :

Les deux serveurs du domaine Windows 2003, sont mis en cluster avec une baie de stockage externe en RAID5.

Le contrôleur de domaine NT4, n'a aucune sécurité physique sur les disques

durs.

Le serveur « Terminal server », permettant l'exploitation de l'application gestion de stock par les utilisateurs du centre CCM, est un simple ordinateur muni d'un disque IDE. Une panne de ce disque peut entraîner l'arrêt de l'activité de gestion du stock des pièces de rechanges.

1-4-2-/ Stratégie de sauvegarde des données :

la stratégie de sauvegarde des données critiques de l'office ,se résume comme suit :

> Les données de base SQL sont stockées sur disque en deux étapes :

- Une sauvegarde complète des différentes bases à 20 H.

- Une sauvegarde incrémental des différentes bases à 12 :30 H

Cette stratégie de sauvegarde des données SQL ne permet de perdre dans les pires des cas que le travail d'une demi-journée.

> Les données critiques sont sauvegardées sur des bandes magnétiques tous les jours à minuit.

Rapport d'audit de la sécurité Informatique de l'ONT 77/125

> Chaque utilisateur ouvrant une session sur le domaine Windows 2003, dispose automatiquement d'un raccourci réseaux vers son dossier de sauvegarde, qui trouve sur le serveur de fichier.

> Les données de la messagerie sont enregistrées sur DVD une fois par semaine.

> Le serveur d'archive enregistre les messages dont la date de création dépasse 6 mois

Les bandes magnétiques sont stockées dans une armoire anti-feu.

Chaque lundi, une copie de la bande magnétique contenant l'activité de la semaine est envoyée au centre CCM à Jedeida, pour servir comme site de secours en cas de perte totale de toutes les sauvegardes du siège.

Nous remarquons que les données des utilisateurs, stockées sur le serveur de fichier ne font pas l'objet d'une sauvegarde régulière, et que le taux d'occupations des disques du serveur est de 80% (les disques sont en miroring).

Il est recommandé de procéder à :

- La mise en place d'autre disque au niveau serveur de fichier (une configuration en RAID 5 est utile).

- La création des quota pour les utilisateurs.

- La sauvegarde sur DVD des données du serveur de fichier une fois par semaine.

- La mise en place d'une solution de clonage de disque pour la régénération automatique des serveurs et des données critiques de l'ONT

- La mise en place d'un site de secours où les données sont enregistrées d'une façon automatique avec une tolérance de perte d'une demi-journée maximum de travail.

Rapport d'audit de la sécurité Informatique de l'ONT 78/125

2-/ Audit des vulnérabilités réseau et système

L'objectif de cette étape est de mesurer les vulnérabilités des parties les plus sensibles du réseau local en opérant à partir d'une station de travail standard, dans des conditions analogues à celles dont disposerait une personne malintentionnée travaillant sur site. Pour réaliser cette tâche, nous avons utilisé les outils les plus intéressants du marché à savoir :NESSUS, ISS et GFI.

Ce graphe résume la susceptibilité des serveurs de l'office aux attaques selon le nombre et la gravité (ou niveau de risque) des vulnérabilités détectées par « Internet Scanner » après avoir scanné le réseau.

Fig 17 :pourcentage de vulnérabilités

2-1 Audit des vulnérabilités des Serveurs en exploitation

2-1-1 Analyse des vulnérabilités du serveur de messagerie « DOM01 »

Le graphe ci-après résume la susceptibilité du serveur aux attaques selon le nombre et le niveau de gravité des vulnérabilités détectées par les scanners :

Fig 18

La vulnérabilité d'ordre grave détectée au niveau serveur est de type autorisation de relais SMTP, ce ci à pour consequence de permettre aux utilisateurs distants d'envoyer les emails. Cette configuration est souvent exploitée par les intrus pour éviter le système de protection des Emails.

En complément aux outils de scan de vulnérabilité, nous avons posé un ensemble de questions, pour dégager les insuffisances du serveur de messagerie sur le plan fonctionnel.

La réponse de l'administrateur sur la liste des questions est la suivante :

Rapport d'audit de la sécurité Informatique de l'ONT 79/125

Rapport d'audit de la sécurité Informatique de l'ONT 80/125

Rapport d'audit de la sécurité Informatique de l'ONT 81/125

Rapport d'audit de la sécurité Informatique de l'ONT 82/125

D'après la réponse au questionnaire, il est recommandé : - D'activer le cryptage des données.

- De mettre en place un serveur de cluster pour la messagerie, afin d'assurer la disponibilité du service.

- De renforcer la sécurité des données et des fichiers ID.

2-1-2 Analyse des vulnérabilités du contrôleur de domaine NT4 «serveur1-ONT »

Le graphe ci-après résume les vulnérabilités d'ordre grave sur le contrôleur de domaine NT4, détectées par les scanners :

Fig 19

Liste des vulnérabilités :

Rapport d'audit de la sécurité Informatique de l'ONT 83/125

L'étude du serveur montre les failles suivantes :

- Des comptes actifs, non utilisés,dont les mot de passe sont simples.

- Le système de fichier des disques de données ne permet pas la configuration de sécurité, il n'est pas de type NTFS.

- L'audit des comptes n'est pas activé sur le serveur.

2-1-3 Analyse des vulnérabilités des serveurs d'applications en cluster « ont-server1 » et « ont_serer2 »

Les résultats des tests intrusifs montrent qu'il n'existe pas de vulnérabilité d'ordre grave sur les serveurs Windows 2003, ce ci est du au fait que l'installation, par défaut du système d'exploitation Windows 2003,n' active que les services nécessaires.

Rapport d'audit de la sécurité Informatique de l'ONT 84/125

Pour enrichir notre analyse, nous avons étudié les recommandations de sécurité données par Microsoft et nous avons dégagé les insuffisances suivantes :

- Les fichiers journaux et la base de données Active Directory ,sont enregistrés dans l'emplacement par défaut. Ces fichiers peuvent être une cible d'attaque. Il est recommandé de les déplacer vers un emplacement sécurisé.

- Sur les contrôleurs de domaines, les informations concernant les mots de passe sont stockées dans les services d'annuaire. Les logiciels de piratage de mot de passe s'attaquent à la base de données SAM ou aux services d'annuaire pour accéder aux mots de passe des comptes utilisateurs. Il est recommandé d'utiliser SYSKEY pour le cryptage renforcé des mots de passe.

- Les serveurs en cluster jouent plusieurs rôles : serveur d'application, serveur de base de données, DNS et contrôleur de domaines. On recommande la séparation des rôles.

2-2 Audit des vulnérabilités des postes de travail :

Les vulnérabilités les plus importantes sur les postes de travail sont :

- Des partages administratifs non contrôlés.

- Des dossiers partagés avec autorisation à tout le monde.

- Des comptes crées en local avec le privilège « administrateur local de la

machine »

- Les composantes DCOM sont actives sur des postes, celles- là peuvent être exploitées par les pirates pour exécuter des codes à distance.

- Il n'existe pas de procédures d'audit d'exécution des applications et des accès aux fichiers permettant de connaître l'exécution des programmes inhabituels.

Rapport d'audit de la sécurité Informatique de l'ONT 85/125

- Le compte administrateur local, doit être renommé et son mot de passe doit être complexe.

2-3 Audit des vulnérabilités des serveurs et postes clients du centre Nodal

Le graphe ci-après résume la susceptibilité du serveur aux attaques selon le nombre et le niveau de gravité des vulnérabilités détectées par les scanners au niveau centre nodal :

Fig 20

Les vulnérabilités les plus importantes détectées par les scanners (ISS et GFI) se résument comme suit :

- Des comptes locaux crées avec mots de passe vides.

- Absence de politique pour la gestion des mots de passe.

- Absence d'un contrôleur de domaine pour la gestion centralisée des ordinateurs.

- Des mises à jour critiques du système, manquantes, par défaut de système de mise à jour automatique.

- Des services critiques sont activés sur le serveur et les postes de travail, à savoir SNMP et tel net. L'exploitation de ces ports par un attaquant peut engendrer la prise de contrôle de tout le réseau.

Rapport d'audit de la sécurité Informatique de l'ONT 86/125

- Les composantes DCOM sont actives sur des postes, ce ci donne la possibilité à un intrus d'exécuter des programmes à distance.

- Les serveurs et les postes sont vulnérables à l'attaque de dénie de service sur le port 135.

- Absence d'un Firewall qui protége le serveur Proxy, des accès externes et

internes venant de l'interne et des accès internes venant du réseau local.

- Absence d'un antivirus à jour au niveau serveur Proxy.

- Absence d'un système détection d'intrusion sur le serveur, sachant qu'il est accessible à partir de l'Internet.

3-/ Audit de l'architecture de sécurité existante :

3-1 /Audit & vérification des règles de filtrage au niveau des Firewalls

L'analyse et la vérification des règles d'accès implémentés au niveau du firewall, montre que ces règles filtrent correctement la circulation entres les zones suivantes :

- Zone des utilisateurs.

- Zone des serveurs.

- Zone de l'Internet.

- Zone d'accès au CCM.

- Zone d'accès au centre nodal et les autres centres d'émission TV et Radio.

- Zone d'administration antivirus.

- Zone du réseau ministère.

Il faut signaler que les logs générés par le Firewal, ne sont pas très lisibles. Il est recommandé de mettre en place un système de journalisation et d'analyse des logs, afin d'exploiter en temps réel les alertes générées par le Firewall.

Rapport d'audit de la sécurité Informatique de l'ONT 87/125

Le Firewal, objet de notre étude, englobe plusieurs fonctions autre que l'inspection du trafic telles que : le filtrage URL,passerrelle antivirale et détection d'intrusion. Pour sécuriser au maximum le trafic circulé sur le réseau, on recommande l'activation de ces options.

Le Firewall est le point d'accès entre les différents réseaux : Interne et externe de l'ONT. La panne du firewall entraîne l'isolement total des réseaux et l'arrêt du système informatique de l'Office. A cet effet, on recommande la duplication du firewall pour éviter ce genre de problème.

2- 2-/ Audit du Routeur

L'analyse des rapports des scanners montre que le service finger est actif ce qui permet à un attaquant d'identifier le routeur ainsi que sa configuration.

Le service tel net est actif sur le routeur, ce ci permet le capture des informations tels que : le compte et le mot de passe circulant en clair sur le réseau. Pour remédier à ce problème il est recommandé d'utiliser le protocole SSH.

L'audit de la conformité des ACL envers la politique de la sécurité du site, montre que les règles sont simples et ne permettent aucun contrôle. A cet effet il est recommandé de reprogrammer les ACL.

L'accès au routeur sur le port 80, par le compte du fabriquent cisco (login « cisco » et mot de passe « cisco »), permet l'accès au fichier de configuration, comme le montre la capture d'écran suivante :

Rapport d'audit de la sécurité Informatique de l'ONT 88/125

Fig 21

De ce fait, il est recommandé de renforcer la sécurité des routeurs.

2-3-/ Audit des commutateurs

L'audit des commutateurs révèle les insuffisances suivantes :

- Les dernières versions des correctifs et des mises à jour ne sont pas installées. - Présence de plusieurs ports d'administration tels que telnet, ssh et hhttp.

Rapport d'audit de la sécurité Informatique de l'ONT 89/125

Rapport d'audit de la sécurité Informatique de l'ONT 90/125

Chapitre 5

Conclusions d'audit

1-/ Revue des constats d'audit :

La mission d'audit du système d'information et de télécommunication de l'office national de la télédiffusion permet de révéler les insuffisances sur le plan organisationnel et physique et sur le plan technique

1-1 / Sur le plan organisationnel et physique (Audit Niveau 1),

Suite à l'audit niveau 1, nous signalons l'absence :

- D'une politique de sécurité.

- D'un système de management de la sécurité.

- D'une définition formelle d'un responsable de la sécurité informatique.

- D'une charte de sécurité.

- D'un site de secours.

- D'un plan de continuité.

1-2/ Sur le plan technique (Audit Niveau 2),

Les vulnérabilités peuvent se résumer comme suit : 1-2-1/ Architecture réseau et système :

- Présence des ordinateurs dont les systèmes d'exploitation ne sont plus supportés par Microsoft, tels que NT4 et Windows 98.

- Absence d'un outil de monitoring et de contrôle en temps réel de l'activité sur les différents réseaux.

Rapport d'audit de la sécurité Informatique de l'ONT 91/125

1-2-2/ Vulnérabilité et failles des services réseau :

- Certains ports et services ouverts, non utiles, représentent une source d'exploit par les intrus.

- Il est possible de déterminer la cartographie des flux.

- Les partages administratifs, représentent une source de prise de contrôle des

machines.

1-2-3/ Sécurité des serveurs en exploitation et postes sensibles :

- Il n'existe pas d'outils de protection et de suivi des activités sur les stations critiques.

- Absence des détecteurs d'intrusion sur les serveurs critiques

- Sur un serveur, plusieurs rôles sont définis(contrôleur de domaine, DNS, serveur base de données).

- Il n'existe pas de procédures d'audit d'exécution des applications et des accès aux fichiers permettant de connaître l'exécution des programmes malveillants.

1-2-4/ Sécurité des équipements d'interconnexion réseau :

- Absence d'outils de contrôle de trafic sur les différents équipements - Absence de dernière mise à jour et de correctifs des systèmes

- Le IPsec n'est pas configuré pour le cryptage de la communication dans le réseau du périmètre.

- Les logs ne sont pas analysés.

- Des ports d'administration non utiles sont ouverts (tel que http).

1-2-5/ Sécurisation Internet, protection du réseau interne :

- Absence d'un Firewall pour le contrôle du trafic au niveau centre Nodal

Rapport d'audit de la sécurité Informatique de l'ONT 92/125

- Absence de sondes de détection d'intrusion réseau NIDS au niveau du siège et du centre Nodal.

- Absence d'une solution de secours en cas de panne du firewall du siège (problème de haute disponibilité).

1-2-6/ Sécurisation réseau d'accès distant

- L'authentification des utilisateurs se fait par des mots de passe simples.

- Les données circulant sur le réseau ne sont pas chiffrées (les VPN ne sont pas exploités).

2-/ Recommandations

2-1/ Recommandations Organisationnelles et physiques

Suite à l'audit organisationnel et physique du système d'information de l'office, nous proposons les recommandations suivantes, qui sont organisées par chapitre de la norme :

Politique de sécurité de l'information :

Nous avons proposé à l'office national de la Télédiffusion un document de politique de sécurité qui traite les principes, les objectifs et les exigences de la sécurité, ainsi que la nomination des responsables de la mise en place du système de sécurité (Annexe).

Organisation de la sécurité :

- La nomination d'un RSSI responsable de la sécurité.

- Rattacher le service informatique à la direction générale.

- Création d'un comité de sécurité de système d'information pour le suivi des projets de sécurité.

Rapport d'audit de la sécurité Informatique de l'ONT 93/125

- Lancer un appel d'offre auprès des sociétés spécialisées dans la sécurité, pour la mise en place d'un système de management de la sécurité de l'office.

Inventaire et classification des ressources :

- L'acquisition d'un logiciel qui gère le parc informatique de l'office. Sécurité et Ressources humaines :

- Elaboration d'une charte de sécurité qui doit être signée par les employés de l'office.

- Les contrats de recrutement doivent inclure un paragraphe relatif à la politique de sécurité de l'entreprise.

- Formation de tout le personnel de l'office (de la direction générale jusqu'aux employés) sur la sécurité informatique.

- La mise en place d'un système de suivi des incidents et des failles de sécurité.

Sécurité physique et sécurité de l'environnement de travail :

- Changer le local technique par un autre qui répond aux normes de sécurité. - Réserver un onduleur pour l'alimentation électrique du local technique.

- Sécuriser l'accès aux locaux sensibles par les badges électroniques ( avec enregistrement des accès).

- Embaucher des agents de sécurité pour contrôler l'entrée et la sortie des portes pendant les heures de travail.

- Installer un système de vidéo surveillance.

- Réglementer le déplacement d'ordinateurs à l'intérieur des locaux et la connexion des portables au réseau de l'Office.

Rapport d'audit de la sécurité Informatique de l'ONT 94/125

Exploitation informatique et gestion des réseaux :

- Mise en place d'un site de secours pour la sauvegarde en ligne des différentes données du système d'information.

- Acquérir un logiciel de clonage des disques et de sauvegarde à chaud pour les serveurs et les postes critiques.

- Mettre en place un système central d'analyse des logs.

- Maintenir un document d'exploitation des systèmes et des applications.

- Sécuriser les sauvegardes et installer l'armoire anti-feu dans un endroit accessible par clef ou par badge.

Contrôle d'accès logique

- Renforcer la sécurité des mots de passe

- Utiliser les connexions VPN entre le siège et les centres distants.

- Activer l'audit sur les serveurs critiques.

Développement et maintenance des applications et systèmes :

- Elaborer une politique pour la cryptographie des données critiques.

- Etablir des contrats de mise à jour et de maintenance pour tous les progiciels installés à l'office.

Gestion de la continuité :

o Elaborer un plan de continuité qui permet de maintenir ou rétablir, dans les délais prévus, les activités de l'Office en cas d'interruption ou de défaillance des processus cruciaux. Le plan de continuité est revu régulièrement en tenant compte des évolutions techniques et organisationnelles.

o Etablir un plan d'audit des éléments critiques de l'entreprise.

Rapport d'audit de la sécurité Informatique de l'ONT 95/125

Respect de la réglementation externe et interne

Il est recommander de définir les exigences légales, réglementaires et contractuelles pour chaque système d'information

2-2/ Recommandations techniques

2-2-1/ Architecture Globale de la solution de sécurité proposée

La Figure 22, présente une architecture Globale de la solution proposée pour la sécurisation du siège.

La Figure 23, présente une architecture Globale de la solution proposée pour la sécurisation du siège.

2-2-2/ Sécurisation du réseau local et Internet du centre nodal.

l'ONT exploite et commercialise une nouvelle technologie d'accès à l'Interne, l'Internet par télévision numérique. Cette nouvelle technologie se caractérise par l'envoi des requêtes sur un support filaire, RTC ou LS, et reçoit les réponses par antenne TV Technologie baptisée sous le nom de DVBT.

Vu l'importance de ce réseau pour l'ONT, nous proposons la mise en place :

> D'un Firewall pour contrôler le trafic entre les différents segments du centre nodal : la zone des serveurs de l'Internet, la zone des utilisateurs locaux, la liaison au siège et la connexion au réseau fédérateur de l'Internet.

> La mise en place d'un détecteur d'intrusion système qui écoute le trafic réseau de manière furtive afin de repérer les activités anormales ou suspectes et permet d'avoir une action de prévention sur les risques d'intrusion.

Equiper les serveurs critiques par des H-IDS (Integrity Host IDS).

Figure 22 : Architecture Du Siège

Rapport d'audit de la sécurité Informatique de l'ONT 96/125

Figure 23 : Architecture Centre Nodal

Rapport d'audit de la sécurité Informatique de l'ONT 97/125

Rapport d'audit de la sécurité Informatique de l'ONT 98/125

2-2-3/ Sécurisation du réseau Interne de l'ONT > Segmentation des réseaux

Le réseau interne doit subir une segmentation par nature d'application. Nous proposons différents segments réseaux tels que des VLANs pour la comptabilité, technique, paie et GRH, Trésorerie, etc.

> Gestion et monitoring réseau

L'administrateur doit toujours garder une vue sur l'état de son réseau et sur les performances des différents équipements et de leur disponibilité. Pour cela, il est nécessaire de mettre en place un système qui permet le monitoring et de contrôle en temps réel de l'activité sur les différents équipements, ainsi que l'analyse des performances et des problèmes réseaux.

2-2-4/ Sécurité des serveurs en exploitation et des postes de travail :

- Acquérir un logiciel de gestion de parc informatique pour identifier le matériel et les logiciels installés dans le réseau.

- Activer seulement les services indispensables sur les postes de travail et les serveurs.

- Désactiver les partages administratifs.

- Créer des VLANs dans le segment des serveurs pour séparer la messagerie, les applications de gestion, les application techniques, etc.

- Fermer tous les ports identifiés comme vulnérables sur les serveurs, les postes de travail et les équipements réseaux.

- Equiper les serveurs critiques par des H-IDS.

- Répartir les rôles sur plusieurs serveurs (contrôleur de domaine, DNS, serveur base de données).

- Activer l'audit des applications et des accès aux fichiers critiques.

Rapport d'audit de la sécurité Informatique de l'ONT 99/125

- Mettre en cluster le serveur de messagerie, jouant un rôle important dans le système d'information de l'ONT.

2-2-5/ Sécurisation des données :

Une stratégie de gestion proactive des données permet de protéger en permanence les données. Nous proposons :

- La création des stratégies pour gérer le stockage et les sauvegardes des données.

- L'utilisation de l'audit pour sécuriser en permanence les accès aux données.

- L'utilisation des autorisations de gestion pour sécuriser l'administration des données.

- Déterminer le délai de stockage des données et la manière d'utiliser le matériel redondant ainsi que les planifications de remplacement du matériel pour ne pas perdre les données en cas de défaillance matérielle.

- Création d'un site de secours, contenant une image des serveurs critiques de l'office.

2-2-6/ Sécurité des équipements d'interconnexion réseau :

- Désactivation des ports d'administration inutiles et limitation des accès d'administration.

- Mise en place des mécanismes de contrôle d'accès (ACL) sur les routeurs et les équipement d'accès.

- Mise à jour régulière des Firmware.

- Activation des outils de journalisation et des logs avec mise en place d'outil d'analyse sécurité.

Rapport d'audit de la sécurité Informatique de l'ONT 100/125

2-2-7/ Sécurisation Internet, protection du réseau interne :

- La mise en place d'un détecteur d'intrusion système qui écoute le trafic réseau de manière furtive afin de repérer les activités anormales ou suspectes et permet d'avoir une action de prévention sur les risques d'intrusion.

- Acquisition d'un deuxième Firewall pour assurer la disponibilité et le partage des charges dans le réseau du siège de l'ONT( haute disponibilité).

- La mise en place d'une Gateway antiviral pour le contrôle du trafic http, FTP et SMTP.

2-2-8/ Sécurisation réseau d'accès distant - Mettre en place une solution VPN.

2-3/ Conseils pratiques

Cette rubrique mentionne les mesures à entreprendre pour la sécurisation de chacune des composantes du réseau informatique de l'Office :

Pour la Sécurisation des Serveurs « contrôleur de domaine » il faut :

- Déplacez les fichiers journaux et la base de données des services d'annuaire de Microsoft Active Directory.

- Redimensionnez les fichiers journaux d'Active Directory.

- Implémenter Syskey pour le cryptage des mots de passe de comptes qui sont stockées dans l'annuaire.

- Sécurisez les comptes bien connus. - Sécurisez les comptes de service. - Implémenter des filtres IPSec.

Rapport d'audit de la sécurité Informatique de l'ONT 101/125

Pour la Sécurisation des Serveurs « DNS » il faut : - Configurez des mises à jour dynamiques sécurisées. - Limitez les transferts de zone aux systèmes autorisés. - Redimensionnez le journal du service DNS.

Pour la Sécurisation des routeurs il faut assurer que :

- Les dernières versions des correctifs et des mises à jour sont installées. - Les ports identifiés comme vulnérables sont bloqués.

- Les interfaces d'administration vers le routeur sont énumérées et sécurisées. L'administration Web est désactivée.

- Les services inutilisés sont désactivés (par exemple, TFTP). - Des mots de passe sûrs sont utilisés.

- La journalisation est activée et auditée en cas de trafic ou de situations hors norme.

- Les paquets ping volumineux sont analysés.

Pour la Sécurisation des Par-feu il faut assurer que :

- Les dernières versions des correctifs et des mises à jour sont installées.

- Des filtres efficaces ont été mis en place pour empêcher le trafic malveillant de pénétrer dans le périmètre du réseau.

- Les ports inutilisés sont bloqués par défaut.

- Les protocoles inutilisés sont bloqués par défaut.

- IPsec est configuré pour le cryptage de la communication dans le réseau du périmètre.

Rapport d'audit de la sécurité Informatique de l'ONT 102/125

- La détection des intrusions est activée au niveau du pare-feu.

Pour la Sécurisation des commutateurs il faut que :

- Les dernières versions des correctifs et des mises à jour sont installées.

- Les interfaces d'administration sont énumérées et sécurisées

- Les interfaces d'administration inutilisées sont désactivées

- Les services inutilisés sont désactivés.

3/ PLAN D'ACTION légende :

Prioritaire : à mettre en place dans un mois Urgent : à mettre en place dans 3 mois Normal : à mettre en place dans un an

Rapport d'audit de la sécurité Informatique de l'ONT 103/125

Rapport d'audit de la sécurité Informatique de l'ONT 104/125

Conclusion générale

Nous avons essayé le long de cet audit d'être le plus objectif possible dans nos analyses, malgré la difficulté de juger notre propre activité.

L'audit interne est une occasion précieuse dont il faut profiter, car nous avons pu dégager à travers cet audit nos propres insuffisances. Ce ci nous incite à préparer un plan d'action qui va tenir compte de toutes les recommandations mentionnées dans ce rapport d'audit.

Par conséquent, nous estimons que l'audit interne deviendra une coutume de l'office qui sera planifié tous les 6 mois, afin d'actualiser et de réviser la situation de la sécurité au niveau de l'Office.

En fin de cette mission, nous proposons la panification d'une autre étude visant à mettre en oeuvre un système d'analyse et de gestion des risques (RIAMS) qui couvre tous les sites et toutes les activités même d'ordre secondaire, ce représentera une généralisation du RIAMS mis en oeuvre durant cette mission, ce permettra certainement d'améliorer la situation et d'apporter la finalisation necessaire à ce RIAMS, permettant ainsi de calculer le niveau de risque, d'évaluer l'évolution de la situation et d'offrir un tableau de bord métrique pour le décideur, afin de bien cibler les investissements en matière de sécurité et rendre le système de management de sécurité d'information plus efficace.

Rapport d'audit de la sécurité Informatique de l'ONT 105/125

Bibliographie

[1] ISO 19011:2002 (F), lignes directrices pour l'audit des systèmes de

management de la qualité et/ou de management environnemental, Octobre 2002.

[2] ISO/IEC 17799:2000, Information technology, Code of practice for information security management.

[3] BS 7799-2:2002, Information security management systems, Specification with guidance for use.

[4] Microsoft official course 2113A, Conception de la sécurité pour les réseaux Microsoft.

[5] C. LLORENS, L. LIVIER, Tableau de bord de la sécurité réseau.

[6] XICom Rapport de Synthèse d'audit 2003 pour ONT

[7] XICom Rapport de Solution proposée 2003

[8] XICom Rapport Détaillé d'audit 2003 pour ONT

[9] S. M. Bellovin et W. R. Cheswick : Firewalls et Sécurité Internet, Edition

Addison-Wesley.

Rapport d'audit de la sécurité Informatique de l'ONT 106/125

Questionnaire

Nom auditeur : Rahmoune Mohamed Ali

Date de l'Audit : 12-01-2006

Questions

Chap.1 : Politique de Sécurité

Questions

Réponse

1,1 Politique de sécurité

organisation de la securité

OUI/NON

Rapport d'audit de la sécurité Informatique de l'ONT 107/125

strategie de mise en oeuvre

Rapport d'audit de la sécurité Informatique de l'ONT 108/125

sécurité pluriannuel ?»

OUI/NON

sensibilisation

OUI/NON

securité des interventions par des tiers externes

Chap.3 : Inventaire et Classification des Ressources

inventaire des rssources

Rapport d'audit de la sécurité Informatique de l'ONT 109/125

classification des ressources

Chap.4 : Sécurité et Ressources humaines

Rapport d'audit de la sécurité Informatique de l'ONT 110/125

securité dans la definition des postes et des ressources

formation du personnel à la securité de l'Information

OUI/NON

reactions aux incidents de securité et aux defauts de fonctionnement

4 3 - « L'établissement a t-il établit et communiqué un processus de

Chap.5 : Sécurité physique et Sécurité de l'environnement

Rapport d'audit de la sécurité Informatique de l'ONT 111/125

etablissement et protectiond'un perimetre de securité

»

OUI/NON

protection et securité du materiel

5

Chap.6 : Exploitation informatique et gestion des réseaux

procedures d'exploitation et responsabilités

planification de la capacité et recette pour mise en exploitation

OUI/NON

protection contre les logiciels pernicieux

Rapport d'audit de la sécurité Informatique de l'ONT 112/125

6 3 -

« Les processus d'alerte en cas d'infection virale et de réparation sont-ils formalisés et mis en oeuvre ? »

OUI/NON

Rapport d'audit de la sécurité Informatique de l'ONT 113/125

sauvegarde et journaux d'exploitation

gestion des reseaux

OUI/NON

manipulation et securité des supports

echanges d'informations et des logiciels

Chap.7 : Contrôle d'accès logique

Rapport d'audit de la sécurité Informatique de l'ONT 114/125

gestion des acces des utilisateurs

responsabilité des utilisateurs

OUI/NON

contrôle d'acces logique au niveau des reseaux

Rapport d'audit de la sécurité Informatique de l'ONT 115/125

contrôle d'accees logique au niveau des systemes d'exploitation