Chapitre 5

Conclusions d'audit

1-/ Revue des constats d'audit :

La mission d'audit du système d'information et de télécommunication de l'office national de la télédiffusion permet de révéler les insuffisances sur le plan organisationnel et physique et sur le plan technique

1-1 / Sur le plan organisationnel et physique (Audit Niveau 1),

Suite à l'audit niveau 1, nous signalons l'absence :

- D'une politique de sécurité.

- D'un système de management de la sécurité.

- D'une définition formelle d'un responsable de la sécurité informatique.

- D'une charte de sécurité.

- D'un site de secours.

- D'un plan de continuité.

1-2/ Sur le plan technique (Audit Niveau 2),

Les vulnérabilités peuvent se résumer comme suit : 1-2-1/ Architecture réseau et système :

- Présence des ordinateurs dont les systèmes d'exploitation ne sont plus supportés par Microsoft, tels que NT4 et Windows 98.

- Absence d'un outil de monitoring et de contrôle en temps réel de l'activité sur les différents réseaux.

Rapport d'audit de la sécurité Informatique de l'ONT 91/125

1-2-2/ Vulnérabilité et failles des services réseau :

- Certains ports et services ouverts, non utiles, représentent une source d'exploit par les intrus.

- Il est possible de déterminer la cartographie des flux.

- Les partages administratifs, représentent une source de prise de contrôle des

machines.

1-2-3/ Sécurité des serveurs en exploitation et postes sensibles :

- Il n'existe pas d'outils de protection et de suivi des activités sur les stations critiques.

- Absence des détecteurs d'intrusion sur les serveurs critiques

- Sur un serveur, plusieurs rôles sont définis(contrôleur de domaine, DNS, serveur base de données).

- Il n'existe pas de procédures d'audit d'exécution des applications et des accès aux fichiers permettant de connaître l'exécution des programmes malveillants.

1-2-4/ Sécurité des équipements d'interconnexion réseau :

- Absence d'outils de contrôle de trafic sur les différents équipements - Absence de dernière mise à jour et de correctifs des systèmes

- Le IPsec n'est pas configuré pour le cryptage de la communication dans le réseau du périmètre.

- Les logs ne sont pas analysés.

- Des ports d'administration non utiles sont ouverts (tel que http).

1-2-5/ Sécurisation Internet, protection du réseau interne :

- Absence d'un Firewall pour le contrôle du trafic au niveau centre Nodal

Rapport d'audit de la sécurité Informatique de l'ONT 92/125

- Absence de sondes de détection d'intrusion réseau NIDS au niveau du siège et du centre Nodal.

- Absence d'une solution de secours en cas de panne du firewall du siège (problème de haute disponibilité).

1-2-6/ Sécurisation réseau d'accès distant

- L'authentification des utilisateurs se fait par des mots de passe simples.

- Les données circulant sur le réseau ne sont pas chiffrées (les VPN ne sont pas exploités).

2-/ Recommandations

2-1/ Recommandations Organisationnelles et physiques

Suite à l'audit organisationnel et physique du système d'information de l'office, nous proposons les recommandations suivantes, qui sont organisées par chapitre de la norme :

Politique de sécurité de l'information :

Nous avons proposé à l'office national de la Télédiffusion un document de politique de sécurité qui traite les principes, les objectifs et les exigences de la sécurité, ainsi que la nomination des responsables de la mise en place du système de sécurité (Annexe).

Organisation de la sécurité :

- La nomination d'un RSSI responsable de la sécurité.

- Rattacher le service informatique à la direction générale.

- Création d'un comité de sécurité de système d'information pour le suivi des projets de sécurité.

Rapport d'audit de la sécurité Informatique de l'ONT 93/125

- Lancer un appel d'offre auprès des sociétés spécialisées dans la sécurité, pour la mise en place d'un système de management de la sécurité de l'office.

Inventaire et classification des ressources :

- L'acquisition d'un logiciel qui gère le parc informatique de l'office. Sécurité et Ressources humaines :

- Elaboration d'une charte de sécurité qui doit être signée par les employés de l'office.

- Les contrats de recrutement doivent inclure un paragraphe relatif à la politique de sécurité de l'entreprise.

- Formation de tout le personnel de l'office (de la direction générale jusqu'aux employés) sur la sécurité informatique.

- La mise en place d'un système de suivi des incidents et des failles de sécurité.

Sécurité physique et sécurité de l'environnement de travail :

- Changer le local technique par un autre qui répond aux normes de sécurité. - Réserver un onduleur pour l'alimentation électrique du local technique.

- Sécuriser l'accès aux locaux sensibles par les badges électroniques ( avec enregistrement des accès).

- Embaucher des agents de sécurité pour contrôler l'entrée et la sortie des portes pendant les heures de travail.

- Installer un système de vidéo surveillance.

- Réglementer le déplacement d'ordinateurs à l'intérieur des locaux et la connexion des portables au réseau de l'Office.

Rapport d'audit de la sécurité Informatique de l'ONT 94/125

Exploitation informatique et gestion des réseaux :

- Mise en place d'un site de secours pour la sauvegarde en ligne des différentes données du système d'information.

- Acquérir un logiciel de clonage des disques et de sauvegarde à chaud pour les serveurs et les postes critiques.

- Mettre en place un système central d'analyse des logs.

- Maintenir un document d'exploitation des systèmes et des applications.

- Sécuriser les sauvegardes et installer l'armoire anti-feu dans un endroit accessible par clef ou par badge.

Contrôle d'accès logique

- Renforcer la sécurité des mots de passe

- Utiliser les connexions VPN entre le siège et les centres distants.

- Activer l'audit sur les serveurs critiques.

Développement et maintenance des applications et systèmes :

- Elaborer une politique pour la cryptographie des données critiques.

- Etablir des contrats de mise à jour et de maintenance pour tous les progiciels installés à l'office.

Gestion de la continuité :

o Elaborer un plan de continuité qui permet de maintenir ou rétablir, dans les délais prévus, les activités de l'Office en cas d'interruption ou de défaillance des processus cruciaux. Le plan de continuité est revu régulièrement en tenant compte des évolutions techniques et organisationnelles.

o Etablir un plan d'audit des éléments critiques de l'entreprise.

Rapport d'audit de la sécurité Informatique de l'ONT 95/125

Respect de la réglementation externe et interne

Il est recommander de définir les exigences légales, réglementaires et contractuelles pour chaque système d'information

2-2/ Recommandations techniques

2-2-1/ Architecture Globale de la solution de sécurité proposée

La Figure 22, présente une architecture Globale de la solution proposée pour la sécurisation du siège.

La Figure 23, présente une architecture Globale de la solution proposée pour la sécurisation du siège.

2-2-2/ Sécurisation du réseau local et Internet du centre nodal.

l'ONT exploite et commercialise une nouvelle technologie d'accès à l'Interne, l'Internet par télévision numérique. Cette nouvelle technologie se caractérise par l'envoi des requêtes sur un support filaire, RTC ou LS, et reçoit les réponses par antenne TV Technologie baptisée sous le nom de DVBT.

Vu l'importance de ce réseau pour l'ONT, nous proposons la mise en place :

> D'un Firewall pour contrôler le trafic entre les différents segments du centre nodal : la zone des serveurs de l'Internet, la zone des utilisateurs locaux, la liaison au siège et la connexion au réseau fédérateur de l'Internet.

> La mise en place d'un détecteur d'intrusion système qui écoute le trafic réseau de manière furtive afin de repérer les activités anormales ou suspectes et permet d'avoir une action de prévention sur les risques d'intrusion.

Equiper les serveurs critiques par des H-IDS (Integrity Host IDS).

Figure 22 : Architecture Du Siège

Rapport d'audit de la sécurité Informatique de l'ONT 96/125

Figure 23 : Architecture Centre Nodal

Rapport d'audit de la sécurité Informatique de l'ONT 97/125

Rapport d'audit de la sécurité Informatique de l'ONT 98/125

2-2-3/ Sécurisation du réseau Interne de l'ONT > Segmentation des réseaux

Le réseau interne doit subir une segmentation par nature d'application. Nous proposons différents segments réseaux tels que des VLANs pour la comptabilité, technique, paie et GRH, Trésorerie, etc.

> Gestion et monitoring réseau

L'administrateur doit toujours garder une vue sur l'état de son réseau et sur les performances des différents équipements et de leur disponibilité. Pour cela, il est nécessaire de mettre en place un système qui permet le monitoring et de contrôle en temps réel de l'activité sur les différents équipements, ainsi que l'analyse des performances et des problèmes réseaux.

2-2-4/ Sécurité des serveurs en exploitation et des postes de travail :

- Acquérir un logiciel de gestion de parc informatique pour identifier le matériel et les logiciels installés dans le réseau.

- Activer seulement les services indispensables sur les postes de travail et les serveurs.

- Désactiver les partages administratifs.

- Créer des VLANs dans le segment des serveurs pour séparer la messagerie, les applications de gestion, les application techniques, etc.

- Fermer tous les ports identifiés comme vulnérables sur les serveurs, les postes de travail et les équipements réseaux.

- Equiper les serveurs critiques par des H-IDS.

- Répartir les rôles sur plusieurs serveurs (contrôleur de domaine, DNS, serveur base de données).

- Activer l'audit des applications et des accès aux fichiers critiques.

Rapport d'audit de la sécurité Informatique de l'ONT 99/125

- Mettre en cluster le serveur de messagerie, jouant un rôle important dans le système d'information de l'ONT.

2-2-5/ Sécurisation des données :

Une stratégie de gestion proactive des données permet de protéger en permanence les données. Nous proposons :

- La création des stratégies pour gérer le stockage et les sauvegardes des données.

- L'utilisation de l'audit pour sécuriser en permanence les accès aux données.

- L'utilisation des autorisations de gestion pour sécuriser l'administration des données.

- Déterminer le délai de stockage des données et la manière d'utiliser le matériel redondant ainsi que les planifications de remplacement du matériel pour ne pas perdre les données en cas de défaillance matérielle.

- Création d'un site de secours, contenant une image des serveurs critiques de l'office.

2-2-6/ Sécurité des équipements d'interconnexion réseau :

- Désactivation des ports d'administration inutiles et limitation des accès d'administration.

- Mise en place des mécanismes de contrôle d'accès (ACL) sur les routeurs et les équipement d'accès.

- Mise à jour régulière des Firmware.

- Activation des outils de journalisation et des logs avec mise en place d'outil d'analyse sécurité.

Rapport d'audit de la sécurité Informatique de l'ONT 100/125

2-2-7/ Sécurisation Internet, protection du réseau interne :

- La mise en place d'un détecteur d'intrusion système qui écoute le trafic réseau de manière furtive afin de repérer les activités anormales ou suspectes et permet d'avoir une action de prévention sur les risques d'intrusion.

- Acquisition d'un deuxième Firewall pour assurer la disponibilité et le partage des charges dans le réseau du siège de l'ONT( haute disponibilité).

- La mise en place d'une Gateway antiviral pour le contrôle du trafic http, FTP et SMTP.

2-2-8/ Sécurisation réseau d'accès distant - Mettre en place une solution VPN.

2-3/ Conseils pratiques

Cette rubrique mentionne les mesures à entreprendre pour la sécurisation de chacune des composantes du réseau informatique de l'Office :

Pour la Sécurisation des Serveurs « contrôleur de domaine » il faut :

- Déplacez les fichiers journaux et la base de données des services d'annuaire de Microsoft Active Directory.

- Redimensionnez les fichiers journaux d'Active Directory.

- Implémenter Syskey pour le cryptage des mots de passe de comptes qui sont stockées dans l'annuaire.

- Sécurisez les comptes bien connus. - Sécurisez les comptes de service. - Implémenter des filtres IPSec.

Rapport d'audit de la sécurité Informatique de l'ONT 101/125

Pour la Sécurisation des Serveurs « DNS » il faut : - Configurez des mises à jour dynamiques sécurisées. - Limitez les transferts de zone aux systèmes autorisés. - Redimensionnez le journal du service DNS.

Pour la Sécurisation des routeurs il faut assurer que :

- Les dernières versions des correctifs et des mises à jour sont installées. - Les ports identifiés comme vulnérables sont bloqués.

- Les interfaces d'administration vers le routeur sont énumérées et sécurisées. L'administration Web est désactivée.

- Les services inutilisés sont désactivés (par exemple, TFTP). - Des mots de passe sûrs sont utilisés.

- La journalisation est activée et auditée en cas de trafic ou de situations hors norme.

- Les paquets ping volumineux sont analysés.

Pour la Sécurisation des Par-feu il faut assurer que :

- Les dernières versions des correctifs et des mises à jour sont installées.

- Des filtres efficaces ont été mis en place pour empêcher le trafic malveillant de pénétrer dans le périmètre du réseau.

- Les ports inutilisés sont bloqués par défaut.

- Les protocoles inutilisés sont bloqués par défaut.

- IPsec est configuré pour le cryptage de la communication dans le réseau du périmètre.

Rapport d'audit de la sécurité Informatique de l'ONT 102/125

- La détection des intrusions est activée au niveau du pare-feu.

Pour la Sécurisation des commutateurs il faut que :

- Les dernières versions des correctifs et des mises à jour sont installées.

- Les interfaces d'administration sont énumérées et sécurisées

- Les interfaces d'administration inutilisées sont désactivées

- Les services inutilisés sont désactivés.

3/ PLAN D'ACTION légende :

Prioritaire : à mettre en place dans un mois Urgent : à mettre en place dans 3 mois Normal : à mettre en place dans un an

Rapport d'audit de la sécurité Informatique de l'ONT 103/125

Rapport d'audit de la sécurité Informatique de l'ONT 104/125