Réalisé par Edgar Doukpè AYENA Page REPUBLIQUE DU BENIN
**************
UNIVERSITE D’ABOMEY-CALAVI (UAC)
**************
ECOLE POLYTECHNIQUE D’ABOMEY-CALAVI (EPAC)
**************
DEPARTEMENT DE GENIE INFORMATIQUE ET TELECOMMUNICATION (GIT)
Option : Réseaux et Télécommunications (RT)
MÉMOIRE DE FIN DE FORMATION
POUR L’OBTENTION DU
DIPLOME D’INGENIEUR DE CONCEPTION
THEME :
Réalisé par : Edgar Doukpè AYENA
Présenté et soutenu publiquement devant le jury composé de : Président : Pr. Marc Kokou ASSOGBA, Enseignant à l’EPAC Membres : 1. Dr. Maurice COMLAN, Enseignant à l’EPAC
2. CNE, Ing. Bidossessi R. ALAHASSA, maître de mémoire
PROPOSITION ET MISE EN APPLICATION DE POLITIQUE DE SECURITE : CAS DU CAMP MILITAIRE GUEZO
Année académique : 2015-2016 7ème Promotion
Réalisé par Edgar Doukpè AYENA Page i
Réalisé par Edgar Doukpè AYENA Page ii
SOMMAIRE
SOMMAIRE ... II DEDICACE ... III REMERCIEMENTS ... IV LISTE DES SIGLES ET ACRONYMES ... VI LISTEDESTABLEAUX ... VIII LISTEDESFIGURES ... IX RESUME ... X ABSTRACT ... XI
INTRODUCTION GENERALE ... 1
PARTIE 1 : GENERALITES ... 6
CHAPITRE 1 : GENERALITES ... 7
1. ETUDE DE L’EXISTANT ... 8
2. LA POLITIQUE DE SECURITE ... 12
PARTIE 2 : MATERIELS ET METHODES ... 16
CHAPITRE 2 : AUDIT ET NALYSE DE RISQUE ... 17
2.1. POLITIQUE INTERNE DE GESTION ... 18
2.2. METHODOLOGIE DE TRAVAIL ... 18
CHAPITRE 3 : RESULTATS ET ANALYSE ... 35
PARTIE 3 : TESTS ET DISCUSSION ... 56
CHAPITRE 4 :APPLICATION DANS BRO ... 57
CHAPITRE 5 : TESTS EFFECTUES ... 63
CHAPITRE 6 : DISCUSSION ... 68
CONCLUSION ET PERSPECTIVES ... 71
REFERENCES BIBLIOGRAPHIQUES ... 73
ANNEXES ... 76
GLOSSAIRE ... 82
ENGLISHVERSION ... 85
TABLE DES MATIERES ... 94
Réalisé par Edgar Doukpè AYENA Page iii
DEDICACE
A mes parents Paul S. AYENA et Rachelle ADOUKONOU, mes frères Roméo, Gildas et Fourier. Merci d’avoir été toujours là et d’avoir cru en moi. Je vous dédie ce modeste travail et j’espère que vous y trouverez une raison de plus d’être fiers de moi.
Réalisé par Edgar Doukpè AYENA Page iv
REMERCIEMENTS
Ce mémoire n'aurait pu aboutir sans le soutien et les encouragements, au quotidien, des personnes qui m'ont accompagné pendant ces quelques années.
Mais je souhaite témoigner avant tout, toute ma reconnaissance à Toi mon Dieu, le Père Tout-Puissant, qui m’a permis d’aller jusqu’au bout, malgré les nombreuses épreuves et difficultés rencontrées. Soit mon guide au quotidien.
J’adresse aussi mes sincères remerciements à toutes les personnes qui, de près ou de loin, ont contribué à l’élaboration de ce mémoire. Je pense particulièrement :
au Pr. Mohamed M. SOUMANOU, Directeur de l’École Polytechnique d’Abomey-Calavi et à tout le personnel administratif ;
au Dr. Léopold DJOGBE, Chef du Département GIT, pour sa détermination à nous offrir une formation de qualité ;
au Capitaine Bidossessi R. ALAHASSA, maître de ce mémoire, merci infiniment pour la confiance en moi accordée en me confiant ce thème et en acceptant de l'encadrer ;
au feu Dr. Sèmiyou A. ADEDJOUMA, que son âme repose en paix.
à tous les professeurs de l’EPAC, et en particulier à ceux qui ont participé à ma formation, pour la richesse de leurs enseignements ;
aux enseignants Dr Théophile HOUNGAN, Dr Michel DOSSOU et Dr Médésu SOGBOHOSSOU pour la qualité de leurs cours ;
au CERADEI-GIT (Cercle d’Echanges de Réflexions et d’Actions des Élèves Ingénieurs du GIT), cercle que j'ai eu l'honneur de présider le Bureau Exécutif ;
à tous mes camarades du département GIT, en particulier Joris, Eric, Samuel, Amoros et Samuel; à tous mes aînés du Secteur Industriel en
Réalisé par Edgar Doukpè AYENA Page v particulier John, Florentio, Maxime, Sidikou et Boris pour les bons moments passés ensemble.
Je garderai aussi un excellent souvenir de tous les militaires et stagiaires de l'espace informatique du Camp Guezo. Les échanges que j'ai pu avoir avec eux ont contribué à une meilleure avancée de mes travaux.
Enfin, je tiens à adresser un grand merci à mes parents, pour avoir toujours cru en moi et m'avoir soutenu tout au long de mes études.
Réalisé par Edgar Doukpè AYENA Page vi
Liste des sigles et acronymes
A
ANSSI: Agence Nationale de la Sécurité des Systèmes d’Information AQSSI : Autorité Qualifiée pour la Sécurité du Système d’information ASSI : Administrateur de la Sécurité du Système d’Information
B
BSI: British Standard Institute BYOD: Bring Your Own Devices
C
CIDF: Common Intrusion Detection Framework
CIDR: Classless Inter-Domain Routing CluSIF: Club de la Sécurité de l'Information Français
CObIT: Control Objectives for Information and Technology
CVE: Common Vulnerabilities and Exposures
D
DCSSI : Direction Centrale de la Sécurité des Systèmes d’Information
DDoS : Distributed Deny of Service DoS: Deny of Service
DTI: Direction des Transmissions et de l’Informatique
E
EBIOS: Expression des Besoins et Identification des Objectifs de Sécurité
EI: Espace Informatique H
HIDS: Host-based Intrusion Detection Systems
I
IDMEF: Intrusion Detection Message Exchange Format
IDS: Intrusion Detection Systems IMAP: Internet Message Access Protocol
IPS: Intrusion Prevention Systems ISACA: Information Systems Audit and Control Association
ISMS: Information Security Management System
Réalisé par Edgar Doukpè AYENA Page vii ISO: International Standard
Organization M
MARION: Méthodologie d’Analyse de Risques Informatiques Orientée par Niveaux
MEHARi : Méthode Harmonisée d’Analyse de Risques
MELISA: Méthode d'Evaluation de la Vulnérabilité Résiduelle des Systèmes d'Armement
N
NASL: Nessus Attack Script Language NIDES: Next generation Intrusion Detection Expert System
NIDS: Network Intrusion Detection Systems
O
OpenVAS: Open Vulnerability Assessment System
P
PSSI: Politique de Sécurité du Système d’Information
R
RDI : Responsable de la Division Informatique
S
SCSSI : Service Central de la Sécurité des Systèmes d’Information
SMSI: Système de Management de Sécurité de l’Information
SI : Système d’Information
Réalisé par Edgar Doukpè AYENA Page viii
LISTE DES TABLEAUX
Tableau I.I : Les 11 domaines de la norme ISO 17799:2005 [3] ... 14
Tableau II.I : Méthodes d'audit et caractéristique ... 20
Tableau II.III : Impact du dysfonctionnement des processus majeurs ... 25
Tableau II.IV : Classification des ressources ... 25
Tableau II.V : Seuils d'impact ... 26
Tableau II.VI : Classification des données ... 28
Tableau II.VII : Classification des services ... 29
Tableau II.IX : Caractéristiques des PC utilisés pour les tests ... 33
Tableau III.I : Aperçu des types de dommage et vulnérabilité du système ... 37
Tableau III.II : Résultat du test1 ... 42
Tableau III.III : Services à problèmes découverts pendant le test ... 43
Tableau III.IV : Paquets reçus par les PC au cours du test 1 ... 43
Tableau III.IV : Résultats du test avec nmap ... 44
Tableau III.X : Eligibilité des risques à l'assurance ... 49
Tableau III.XI : Familles des risques ... 51
Tableau III.XII : Matrice d'analyse de risque ... 54
Tableau III.XIII : Matrice de risque, identification du risque ... 55
Tableau IV.I : Spécification des besoins de Bro ... 60
Réalisé par Edgar Doukpè AYENA Page ix
LISTE DES FIGURES
Figure 1.1 : Implémentation de la norme ISO 17799 [4] ... 15
Figure 2.1 : Méthodologie d'étude ... 19
Figure 2.2 : Démarche d'analyse de risque avec MEHARi [5] ... 22
Figure 2.8 : Topologie réseau utilisée pour les tests d’audit ... 32
Figure 3.1 : Gravité globale de risque des scenarii ... 37
Figure 3.2 : Tables de détermination d'impact et potentialité des scénarios ... 38
Figure 4.3 : Scenarii à risques élevés détectés ... 41
Figure 4.1 : Localisation typique du système Bro ... 59
Tableau IV.I : Spécification des besoins de Bro ... 60
Figure 4.2 : Positionnement de Bro dans le réseu ... 61
Figure 4.3 : Architecture de déploiement finale de Bro ... 61
Figure 5.1 : Architecture de test ... 66
Figure 5.2 : Fichiers générés après exécution du script ... 67
Figure 5.3 : Contenu du fichier pe.log ... 67
Figure 1 : environnement used for bro implementation ... 91
Figure 2: architecture used for the test ... 91
Réalisé par Edgar Doukpè AYENA Page x
RESUME
Dans ce travail, nous proposons une politique de sécurité informatique pour le Camp Guezo. Cette politique est un ensemble de solutions et recommandations en matière de sécurité informatique.
Pour définir cette politique de sécurité, il nous a fallu d’abord effectuer un audit de sécurité du réseau vu que celui-ci ne disposait d’aucune politique de sécurité auparavant. La réalisation de cet audit est passée par une étude d’analyse de risque. A l’issu de cette opération, un rapport d’audit ainsi qu’une matrice d’analyse de risque ont été produits. Le rapport d’audit nous a permis d’appréhender le niveau de sécurité du réseau audité pour ensuite proposer une politique de sécurité adaptée aux besoins en matière de sécurité du réseau. La matrice d’analyse de risque proposée quant à elle constitue un outil destiné à l’administrateur et auquel il doit se référer chaque fois en cas d’intrusion ou d’incident dans le réseau pour une aide à des prises de décision.
Ainsi, l’implémentation d’une partie de la politique de sécurité proposée a permis d’offrir un environnement sécurisé de surveillance et de détection d’intrusion dans le réseau.
Mots Clés : politique de sécurité, audit informatique, analyse de risque, intrusion.
Réalisé par Edgar Doukpè AYENA Page xi
ABSTRACT
In this work we propose a security’s policy for the Camp Guezo network. This security policy proposed is a whole of solutions and recommendations for the network security.
To set this security policy, we had to first perform a network security audit since it had no security policy before. The completion of this audit went through a risk analysis study. At the end of this operation, an audit report and a risk analysis matrix were produced. The report has enabled us to assess the actual level of security of the audited network to then offer a security policy adapted to current needs for network security. The risk analysis matrix proposed, as for her, constitutes a tool for the administrator and to which it must refer to each time in case of intrusion or incident in the network to help with decision making.
Thus, the implementation of part of the proposed security policy afford to offer a minimal environment surveillance and intrusion detection in the network.
Keywords: security policy, computer audit, risk analysis, intrusion
Réalisé par Edgar Doukpè AYENA Page 1
INTRODUCTION GENERALE
Les systèmes d’informations sont maintenant accessibles à la plupart des individus et organismes (économiques, sociaux, gouvernementaux, etc.) de notre société. Ceux-ci utilisent largement les possibilités offertes par les systèmes de traitement de l’information et par l’interconnexion de ces systèmes au travers de réseaux informatiques permettant l’échange instantané de données à travers le monde. L’importance prise par les différents outils permettant l’échange et le traitement de l’information engendre une relative dépendance des individus et des organisations à l’égard de ces technologies. Aussi, la défaillance de ces systèmes peut avoir des conséquences graves au niveau économique, sanitaire, social, militaire, etc. [2].
Ces défaillances peuvent être accidentelles ou provoquées par les actions d’individus malveillants ayant accès au système. A cet effet, des études ont montré que 60% à 70% des attaques informatiques proviennent de l'intérieur des entreprises, des réseaux [1]. Aussi, avec l’avènement d’Internet, les systèmes sont ouverts de plus en plus au monde extérieur, ce qui n’est pas resté sans risque. A titre d’exemple, en 2014, il a été notifié le piratage de plusieurs comptes utilisateurs dropbox1. Dans le même temps, « spotlight report » publie que 67%
des entreprises ayant adopté la stratégie BYOD2 ont été victimes de perte de données, 57% de ces entreprises ont connu l’accès illégal aux informations et systèmes, 47% envahies par des applications téléchargées corrompues et 45% ont été infectées par des codes malicieux1.
1Symantec. Url : http ://www.symantec.com/connect/blogs/dropbox-user-credentials-stolenreminder-
increase-awareness-house, consulté le 27 juin 2016.
2Bring Your Own Device. Utilisation par les employés de leurs appareils personnels au
sein des entreprises. BYOD & Mobile Security, URL : http ://www.infosecbuddy.com/wp-content/
uploads=2014=06=BY ODMobileSecurity2014:pdf, consulté le 29 juin 2016
Réalisé par Edgar Doukpè AYENA Page 2 La sécurité informatique s’intéresse à ces types de défaillances en définissant les méthodes et les outils permettant d’assurer la protection des systèmes et des réseaux d’informations contre les actions de tels individus.
La première étape de sécurisation des systèmes consiste à définir une politique de sécurité. Celle-ci est constituée de règles permettant de s’assurer que des propriétés de sécurité s’appliquent sur les données du système étudié. D’après la définition des critères ITSEC [2] reprise par Yves Deswarte [3], ces propriétés sont la confidentialité, l’intégrité, la disponibilité, les approches d’audit et de détection. Il s’agit donc d’approches a posteriori.
Diverses approches préventives sont généralement employées pour la protection des données d’un système, permettant de s’assurer a priori du respect de la politique de sécurité. Cependant, l’expérience montre que ces approches sont souvent insuffisantes. Il est donc nécessaire de recourir également à des approches d’audit et de détection.
L’action des utilisateurs malveillants dont le but est de provoquer la défaillance d’un système est définie par le terme d’attaques. Une attaque réussie se traduit par une intrusion qui constitue une violation de la politique de sécurité.
Ces intrusions sont possibles en raison de défauts présents sur les systèmes et appelés vulnérabilités. Celles-ci peuvent apparaître à différents moments du cycle de vie d’un système : lors de la conception, lors de l’implémentation, lors du déploiement et de la configuration ou lors de l’exploitation du système.
Nous nous intéressons dans ce travail aux aspects de confidentialité, d’intégrité et de disponibilité des politiques de sécurité. La vérification de ces propriétés peut s’avérer relativement complexe. En effet, il n’est pas suffisant de garantir que seuls les utilisateurs légitimes aient accès (en lecture ou en écriture) aux différentes informations. Il faut également s’assurer que les utilisateurs légitimes (ou plus exactement les programmes informatiques s’exécutant pour le compte de ces utilisateurs légitimes) ne transmettent pas d’informations protégées à des utilisateurs non-légitimes. Cela nécessite de suivre les flux d’informations au sein
Réalisé par Edgar Doukpè AYENA Page 3 des systèmes. Les approches et les mécanismes utilisés pour la protection des systèmes d’informations dépendent donc essentiellement du type de système étudié et de la nature des données exploitées.
Nous proposons dans ce mémoire, une approche d’architecture de détection et de prévention d’intrusions basée sur les systèmes de détection et de prévention d’intrusions notamment Bro. Dans cette approche, il convient d'identifier ce qui doit être protégé, de quantifier l'enjeu correspondant, de formuler des objectifs de sécurité et d'identifier, arbitrer et mettre en œuvre les parades adaptées au juste niveau de sécurité retenu. Le document est organisé de la façon suivante : la première partie est consacrée à un état de l’art en matière de sécurité informatique et de politique de sécurité ; la deuxième partie à notre proposition de solution et la troisième partie aux résultats et discussion.
Nous finirons enfin par une conclusion et des perspectives visant à améliorer ce travail.
1. Contexte, justification et problématique
Durant ces dernières décennies, la croissance et la complexité des attaques n’ont fait que rendre difficile la mise en place et la gestion de la sécurité des réseaux informatiques. Il est devenu plus que nécessaire de garantir la disponibilité de chaque équipement dans le réseau. De même, l’intégrité et la confidentialité des données dans le réseau sont devenues un enjeu majeur. La variété des formes sous lesquelles peuvent se présenter une attaque informatique (virus, vers, cheval de trois ou autres) déjoue presque toujours tôt ou tard les moyens de sécurité ce qui justifie l’inexistence du risque zéro en matière de sécurité.
De nouveaux outils sont donc inventés chaque jour, de nouveaux concepts (la gestion des risques en informatiques, la culture de sécurité, …) apparaissent, mais
Réalisé par Edgar Doukpè AYENA Page 4 ceux-ci n’ont jamais pu offrir une sécurité entière au système d’information. Les réseaux restent alors sous menace pressante et malgré les stratégies de sécurités mises en place les menaces n’ont jamais cessé et ne cesseront jamais d’exister.
Cependant, malgré cette inexistence du risque zéro, il n’en demeure pas moins quand même de définir un certain environnement offrant un niveau de sécurité optimal pour son réseau.
Le camp militaire Guezo est doté d’un réseau informatique. Dans ce réseau, il manipule une importante quantité d’informations et de données de divers ordres. Il apparait important de mettre à jour les mesures existantes de sécurité et d’en proposer de nouvelles appropriées à ses ressources informatiques.
Parmi les mesures à disposition, la définition et la mise en application d’une politique de sécurité feront l’objet de ce mémoire. Cela permettra à l’administrateur du réseau de suivre et d’être averti des activités suspectes sur le réseau afin de pouvoir prendre des décisions en face de certaines situations.
2. Objectifs
L'objectif général visé par ce travail est de définir des lignes de conduite en matière de sécurité de l'information à travers des règles et procédures de sécurité à respecter. La sécurité d'un réseau est un champ très vaste et à travers donc la formulation d'une politique de sécurité de l'information nous comptons faire partager à l'ensemble du Camp Militaire Guezo, des principes d'organisation et de comportement.
Plus spécifiquement il s’agira pour nous :
o de faire une étude de l’existant en matière de sécurité informatique ; o de faire une étude d’analyse de risque des menaces informatiques dans
le contexte de l’étude;
Réalisé par Edgar Doukpè AYENA Page 5 o de réaliser un audit de vulnérabilité du réseau et de proposer une
matrice d’analyse et d’identification des risques en cas de catastrophes informatiques pour des prises de décision ;
o de proposer une politique de sécurité à la lumière des contraintes spécifiques au contexte d’étude ;
o et enfin de mettre en application avec Bro une partie de la politique de sécurité.
Dans le cas présent, le but n'est pas d'imposer un système unique et monolithique mais plutôt de partager un ensemble de principes, de bonnes pratiques et de contrôles qui découlent de la Politique de Sécurité du Système d’Information (PSSI) à mettre en place. Ainsi, cela permettra d'homogénéiser la culture du Camp dans le domaine de la sécurité de l'information, de garantir la cohérence des actions.
Réalisé par Edgar Doukpè AYENA Page 6
PARTIE 1
GENERALITES
Réalisé par Edgar Doukpè AYENA Page 7
CHAPITRE
GENERALITES 1
Réalisé par Edgar Doukpè AYENA Page 8
1. Etude de l’existant
Notre étude a été menée dans l’enceinte du Camp Militaire Guezo de Cadjèhoun. C'est le principal organisme national militaire du Bénin. Il a une structure très éclatée et compte beaucoup de sites et de directions dont la Direction de l'Informatique et des Transmissions.
1.1. Le contexte de la sécurité
La protection militaire déployée ne confère pas une protection du point de vue informatique, celui-ci reste donc vulnérable. Les accès parfois trop incontrôlés des personnes dans l'enceinte rend difficile la délimitation des zones à protéger. Il s'agit d'un organisme d'intérêt national généralement très imbriqué avec d'autres organismes. Il travaille le plus souvent avec plusieurs organismes sur des travaux communs (les universités, les ministères, des particuliers, des coopérations internationales, etc.) dans le cadre de beaucoup de projets dont par exemple le projet BJNET.
On note la présence d'une forte dimension internationale, avec plusieurs accords de coopération internationale, beaucoup de missions annuelles à l'étranger, et l'accueil dans les unités des prestataires de service, des étudiants, à titre de visiteurs ou de stagiaires. L'état d'esprit de ces prestataires, étudiants ou stagiaires est par nature ouvert et non naturellement enclin au respect de dispositions de sécurité contraignantes. Le Camp présente une sensibilité importante au regard de la protection du patrimoine scientifique, technique et national, liée aux enjeux de certaines recherches et actions de défense. La typologie des données à protéger est alors très variée (données scientifiques, techniques, classées secret défense, d'intérêt national et confidentielles, etc.). Les moyens financiers et humains ne sont pas toujours adaptés à la mise en œuvre nécessaire des recommandations en matière de gestion de la sécurité et
Réalisé par Edgar Doukpè AYENA Page 9 d'acquisition d'outils de protection. En outre il dispose d'atouts propres liés à la qualité et la compétence des personnels dans le domaine de l'informatique et des réseaux. S'y ajoutent un sens de l'initiative et un esprit d’équipe qui facilitent les relations et le fonctionnement en réseaux.
1.2. Intérêt de sécuriser un système d’information
Dans le contexte présenté ci-haut, il apparaît que le Camp peut être à tout moment victime des actes malhonnêtes qui compromettent la sécurité de son SI tels que : les vols, l'introduction de programmes informatiques malveillants cachés dans des pièces jointes à des courriels ou dans des clés USB piégées, des vols de mots de passe, les risques de vol d'informations, etc. D'autre part, il est aussi sujet à des risques de mauvais fonctionnement du matériel ou du logiciel par suite d'une défaillance, des erreurs de conception ou d'une intervention délibérée. Ces risques peuvent entraîner des altérations ou des destructions de données, les incendies, l'impossibilité de poursuivre le traitement, ou l'arrêt du système pouvant engendrer des dégâts énormes financièrement comme matériellement voire humains comme l'a su bien souligner Dugerdil P. dans son livre Impact des décisions informatiques [2].
Il apparaît alors important de définir et de mettre en place des mesures appropriées et adaptées pour la sécurité du patrimoine informationnel du Camp.
1.3. Le périmètre de la sécurité du système d’information
La sécurité d’un système d'information couvre l’intérieur et l’extérieur du réseau, mais sa définition doit aussi englober les entités immatérielles que les ordinateurs et les réseaux regorgent, essentiellement les logiciels et en particulier les systèmes d’exploitation, les méthodes d'accès, les personnes concernées.
Réalisé par Edgar Doukpè AYENA Page 10 Le périmètre de la SSI du camp englobe 19 sites interconnectés à savoir : BIM, EMG, EI, CRIAT, DMA, GS, 1er BG, BTRN, 1er GB, DSSA, DTI, BEMS, DRN, MDN, INFO, DGPD, BMAT, MESS, EMAT et 2 serveurs : le serveur de l'EI (Espace Informatique) et le serveur de l’EMG (État-Major Général) et 2 routeurs ADSL (Asymetric Digital Subscribe Line) donnant un accès à Internet aux utilisateurs du réseau.
Les usages liés à la mobilité des appareils (ordinateurs portables, connexions sans fil, assistants personnels, téléphones portables…) sont également à prendre en compte.
1.4.
Les besoins de sécurité
Il est question ici d'assurer la protection de l'outil de travail (disponibilité), des données (confidentialité, intégrité), et du personnel.
Protection de l'outil de travail : les postes informatiques, les réseaux, les applications et les données, constituent « les éléments du système d'information du camp. Cet ensemble est indispensable à la fois pour les activités nécessaires, mais aussi pour la gestion des différents sites. La disponibilité et l'intégrité de cet outil doivent impérativement être mises à l'abri de menaces internes et externes.
Protection des données : dans quelques cas il peut s'agir de données classifiées secret de défense, le plus souvent il s'agit de données sensibles telles que :
Les données de gestion : authentification, gestion comptable et financière, gestion des ressources humaines, des documents ;
Les données nominatives : liées à la vie privée des personnes, liées à l'enseignement et à la hiérarchie militaire ;
Les données stratégiques : informations d’ordre politique ou stratégique ou touchant des questions de défense.
Réalisé par Edgar Doukpè AYENA Page 11 La protection des données sensibles suppose l'identification préalable de ces données, la détermination du type de protection nécessaire et l'évaluation de leur degré de sensibilité.
Protection juridique : la mise en œuvre des SI s'inscrit dans un cadre législatif et règlementaire destiné en particulier à protéger les droits de propriété intellectuelle et industrielle et ceux de la vie privée (fichiers nominatifs, etc.).
Pour cela trois objectifs essentiels doivent être visés et à pris en compte dans la politique pour une bonne protection des SI : la confidentialité, la disponibilité et l’intégrité.
Le camp militaire Guezo possède un réseau informatique nécessitant un niveau minimum de sécurité en ce qui concerne ses ressources afin de ne pas être victime des menaces qui planent sur toute plateforme informatique.
Dans cette optique, il est d’abord important de définir une ligne de conduite à tenir vis-à-vis de ses ressources informatiques. Cette ligne de conduite est déclinée en des règles et principes qui sont regroupés dans un manuel appelé politique de sécurité qui sera présentée dans le chapitre suivant.
Réalisé par Edgar Doukpè AYENA Page 12
2. La politique de sécurité
Une politique de sécurité définit une vision de la sécurité du système informatique par l’organisation qui en fait son exploitation. La protection d’un système informatique contre les formes de danger qui le menacent requiert de disposer de politiques de sécurité (PS) bien définies et imposées à tout utilisateur ou toute personne appelée à utiliser les ressources dudit système. En d'autres termes, une PS se doit de décrire tout comportement indésirable pouvant nuire à la sécurité du système. Les PS visent généralement différents objectifs.
2.1. Objectifs d’une politique de sécurité
La sécurité informatique vise en général la mise en place des mesures de sécurité appropriées et adaptées à un système afin de garantir à ce dernier un niveau de sécurité optimal. Elle s’intéresse de ce fait aux actions des individus malveillants sur le système et doit constituer en sa première étape en la définition d’une politique de sécurité. Cette dernière a pour rôle de mettre en garde, de recommander et d’informer les employés du SI et autres personnes associées contre les dégâts causés par l’usage déplacé intentionnel ou accidentel du système informatique et de ses données.
Ces mesures de sécurité à mettre en œuvre visent à assurer :
2.1.1. L'intégrité des données
L'intégrité des données est la non-occurrence d’altération inappropriée (accidentelle ou frauduleuse) de l’information. Elle permet de garantir, dans le temps et dans l’espace, l’exactitude et la complétude de l’information et sa pertinence vis-à- vis des besoins de gestion. Une politique d'intégrité permet de détecter toute manipulation frauduleuse du contenu d'un message.
2.1.2. La confidentialité de l’information
La confidentialité est la tenue secrète de l’information avec accès aux seules entités autorisées. C’est la non-occurrence de divulgation non autorisée de
Réalisé par Edgar Doukpè AYENA Page 13 l’information. Elle assure le maintien du secret de l'information et ne permet l’accès en lecture qu’aux seules entités autorisées.
2.1.3. La disponibilité du système
La disponibilité est l'aptitude d’un système à remplir une fonction dans des conditions prédéfinies d'horaires, de délais ou de performances.
2.2. Les normes de la sécurité informatique
Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des SI sont disponibles. Ces normes constituent des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une démarche de sécurité cohérente. L'International System Organization (ISO) a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO 27000. Certaines sont obligatoires pour obtenir une certification (ISO 27001 et 27006) et d’autres ne sont que des guides.
Ces normes constituent un ensemble de contrôles basés sur les meilleures pratiques en sécurité de l’information, un standard international qui couvre tous les aspects de la sécurité informatique à savoir : les équipements, les politiques de gestion, les ressources humaines, les aspects juridiques. Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes [3] :
1. la définition du périmètre à protéger (liste des biens sensibles) ; 2. l'étude de la nature des menaces ;
3. l'étude des impacts des menaces sur le SI ;
4. la définition des mesures de protection à mettre en place.
La norme ISO 17799 correspond à un niveau de détail plus fin que la 27001 et spécifie une Politique de la Sécurité des Systèmes d'Information. Elle donne des exemples et des indications sur les niveaux 1 à 3, mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant ce qui est nécessaire à mettre en
Réalisé par Edgar Doukpè AYENA Page 14 place, sans toutefois préciser en détail comment. Elle comporte 39 catégories de contrôle et 133 points de vérification répartis en 11 domaines en sa version 2005 [6]. Ils sont numérotés par les chapitres 5 à 15 de la norme (Tableau I.I).
La norme ISO 17799 n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de sécurité au fil du temps. Elle s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique. Son implémentation est résumée à la Figure 1.1.
Tableau I.I : Les 11 domaines de la norme ISO 17799:2005 [3]
Réalisé par Edgar Doukpè AYENA Page 15 Figure 1.1 : Implémentation de la norme ISO 17799 [4]
La définition d’une politique de sécurité est une étape importante dans le processus de sécurité d’un SI. Elle doit viser certains objectifs de sécurité comme la confidentialité, la disponibilité et l’intégrité.
Cependant, étant donné un système informatique n’ayant aucune politique de sécurité informatique interne de base comme c’est le cas du camp, un audit de sécurité s’impose. C’est l’objet du prochain chapitre.
Réalisé par Edgar Doukpè AYENA Page 16
PARTIE 2
MATERIELS ET METHODE
Réalisé par Edgar Doukpè AYENA Page 17
CHAPITRE
AUDIT ET ANALYSE DE RISQUES
2
Réalisé par Edgar Doukpè AYENA Page 18 Le travail réalisé a proposé des mesures de sécurité pour le réseau informatique du Camp Militaire Guezo. Nous avons proposé une politique de sécurité adaptée aux contextes et réalités du Camp et basée sur une démarche d'analyse de risques. L’audit informatique et l’analyse de risque réalisés seront présentés dans ce chapitre.
2.1. Politique interne de gestion
Au sein du Camp, la responsabilité générale de la sécurité des SI relève du directeur de la DTI (Direction des Transmissions et de l'Informatique) en tant qu'Autorité Qualifiée pour la Sécurité du Système d'Information (AQSSI) du Camp.
Il est assisté dans cette fonction par l’Administrateur de la Sécurité du Système d'Information (ASSI) de l'Espace Informatique (EI) du Camp.
La solution que nous proposons ici s'inscrit dans le cadre de la politique et des directives émanant de l’administrateur du réseau de l’EI, en charge de la SSI.
2.2. Méthodologie de travail
La Figure 2.1 présente l'approche méthodologique adoptée pour mener à bien notre étude.
L’analyse des besoins : cette partie présente l’étude des menaces et de leurs impacts sur la sécurité des SI.
L'audit de sécurité : ici il s'agit d'examiner le réseau en vue d’identifier les faiblesses et failles.
La politique de sécurité : il s'agit de proposer conformément au rapport d'audit et aux besoins identifiés, des mesures de sécurité pour minimiser les risques d'insécurité et garantir les bonnes pratiques informatiques à adopter vis- à-vis des ressources informatiques au sein du Camp.
L’application : il s'agit ici d’implémenter une partie de la politique en vue de détecter toute action suspecte sur le réseau.
Réalisé par Edgar Doukpè AYENA Page 19 Les tests et correctifs : il s'agit d'effectuer des tests de contrôle afin de s'assurer l’application effective de la politique. Des correctifs seront apportés si nécessaire.
Figure 2.1 : Méthodologie d'étude
Réalisé par Edgar Doukpè AYENA Page 20 Tableau II.I : Méthodes d'audit et caractéristique
Nom Signification Origine Caractéristiques
COBIT Objectifs de Contrôle pour l’Information et les
Technologies connexes ISACA
Méthode accessible à tous, dans un langage simple.
Les outils fournis permettent la mesure des performances mais la méthode est aujourd’hui davantage assimilée à une méthode de gouvernance des SI.
EBIOS Expression des besoins et identification des objectifs de
sécurité DCSSI
Notamment déployée au sein de l’administration française, cette méthode comprend une base de connaissances et un recueil de bonnes pratiques.
MARION Méthodologie d’analyse de risques informatiques
orientés par niveaux CLUSIF
Elle fonctionne par questionnaires débouchant sur 27 indicateurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en œuvre de plans d’actions personnalisés.
MeHARi Méthode harmonisée d’analyse de risques CLUSIF
Elle s’articule autour de 3 plans. Elle permet désormais d’apprécier les risques au regard des objectifs de l’entreprise.
Réalisé par Edgar Doukpè AYENA Page 21
2.2.1. Présentation de la méthode
Plusieurs méthodes permettent l’analyse et la gestion des risques d’un système.
Le Tableau II.I en présente quelques-unes et leurs caractéristiques.
MeHARi est une méthode d'analyse, d'évaluation et de gestion des risques liés au SI et à son utilisation. La méthode MeHARi prend avant tout en compte les informations de l’entreprise afin de mieux définir les points à protéger.
La méthode MeHARi est organisée suivant trois phases : l’établissement d’un plan stratégique de sécurité, l’établissement des plans opérationnels de sécurité et la consolidation des plans opérationnels. Elle prévoit une démarche de sécurité de l’information à deux niveaux. Le premier est le niveau stratégique qui est lié au métier de l’entreprise et indépendant des processus et technologies mises en œuvre. Le second est le niveau opérationnel. Il traite des entités, des branches qui mettent en œuvre la politique et la décline en analyse de risques, la définition des mesures de sécurité à mettre en œuvre et le pilotage de la sécurité dans le temps. La Figure 2.2 résume la démarche d’une analyse de risque avec la méthode MEHARI.
Réalisé par Edgar Doukpè AYENA Page 22 Figure 2.2 : Démarche d'analyse de risque avec MEHARi [5]
La Figure 2.2 présente la démarche MeHARi pour une analyse de risque. Elle définit les différentes actions à mener avant (cadres en jaune sur la figure) et les précautions à prendre après l’analyse (cadres en vert sur la figure). Cette analyse débute par l’analyse des enjeux et classification et finit par l’audit des services de sécurité.
2.2.2.
Classification
Comme le montre la démarche de la méthode MeHARi, la première étape est classification. Cette approche est basée sur une statistique issue d’un questionnaire-réponse. Il s’agit de définir les différents domaines d'activités et les processus sensibles relevés. Le tableau III.II présente les processus majeurs que nous avons retenus pour l’étude d’analyse de risque. Le choix de ces processus a été fait sur la base des domaines d’analyse de la méthode. Ainsi, plus un processus est sensible, plus il y a d'étoiles.
Ensuite, l'impact de ces différents processus sur le bon fonctionnement du système en cas de dysfonctionnement a été évalué. L’impact représente le dégât
Réalisé par Edgar Doukpè AYENA Page 23 réel engendré lorsqu’une catastrophe se produit concrètement. Ces impacts sont résumés dans le tableau III.III.
Pour chaque impact, il faut définir des seuils de gravité. Ces seuils renseignent sur le degré de gravité de l’impact et les temps de réponse nécessaires pour corriger le problème. C’est ce que nous présente le tableau III.V.
Ces seuils sont définis en fonction de l’impact que le dysfonctionnement aura sur le bon déroulement des activités du Camp.
Seuil 1 : Sans dommage significatif ;
Seuil 2 : Dommage important ;
Seuil 3 : Grave dommage ;
Seuil 4 : Dommage extrêmement grave.
Enfin, nous avons procédé au recensement et à la classification des ressources suivant les trois objectifs à savoir la Disponibilité, l'Intégrité et la Confidentialité. Cela permet de bien voir le critère le plus important dans chaque domaine et donc de prioriser certaines mesures dans la sécurité de ce domaine.
Les notes sont comprises entre 1 et 4. Le critère le plus important à la note la plus élevée (Voir Tableau II.IV).
Réalisé par Edgar Doukpè AYENA Page 24 Tableau II.II : Processus majeurs retenus pour l'analyse de risque
Processus majeurs retenus
Domaines Processus Description Sensibilité
Management (Gestion) Prise de décision Respect des délais
Assignation des taches **
Gestion du projet Suivi du projet *
Juridique
Gestion du contrat et du Communication interne/externe
**
cahier de charges Elaboration du contrat
Respect du contrat et des accords
Sécurité Politique de sécurité Elaboration de la politique
Gestion et suivi de la politique ***
Direction technique
Techniciens
Installation réseau
****
Gestion réseau Exploitation des serveurs Gestion des postes clients Responsable Interface techniciens/décisionnaire
Elaboration du plan d’adressage ***
Réalisé par Edgar Doukpè AYENA Page 25 Tableau II.III : Impact du dysfonctionnement des processus majeurs
Impacts
Domaines Description de l’impact
Management Retard dans le projet
Perte de synchronisation entre les membres de l’équipe
Juridique
Perte de temps si mauvaise transmission des informations
Mise en danger des installations si le retard apparaît trop important
Sécurité
Possibilité d’intrusion dans le réseau devient plus importante
Vols d’informations
Mauvais fonctionnement du réseau
Direction Technique
Arrêts des équipements et des services Intrusion facilité si mauvaise configuration
Vols d’informations
Tableau II.IV : Classification des ressources Classification des ressources
Nom Type Disponibilité Intégrité Confidentialité EI
EMG et EI Réseau Serveur Personnel
Bâtiment Serveur Ethernet Système
RH
1 2 3 2 3
1 4 3 3 4
1 3 4 4 2
Réalisé par Edgar Doukpè AYENA Page 26 Tableau II.V : Seuils d'impact
Seuil d’impact Domaines Types d’impacts
Gravité 1 Gravité 2 Gravité 3 Gravité 4
Management
- Retard du projet - Perte de synchronisation
de l’équipe
< 3 jours Absence temporaire
Entre 5 et 10 jours
> 1 semaine
Entre 10 et 20 jours
> 2 semaines
> 20 jours
> 1 mois
Juridique
- Mauvaise transmission des
informations - Oubli dans le
contrat
Informations non importantes
Exception
- Causant une interruption
de services temporelle - Avenant important
Informations relatives à l’organisation de l’équipe et du réseau Avenant très
important
- Informations importantes comme une intrusion non
reléguée - Contrat non
conforme Sécurité Faille dans la
politique de sécurité
Laxisme sur le suivi
Indisponibilité du réseau
Divulgation d’information
Direction Technique
- Arrêt des services - Arrêt du réseau
- Intrusion
½ journée 1 heure
1 à 2 jours
½ journée
3 à 4 jours 1 jour Compromission
des machines
> 5 jours
> 2 jours Vol d’information
2.2.3. Guide d’analyse et de classification
Une fois ces classifications terminées, nous nous sommes appuyés sur les questionnaires de la méthode MEHARI, basé sur 12 scénarii, pour modeler un questionnaire d’environ 400 questions, découpé en six domaines.
Domaine d’Organisation
Domaine des Locaux
Domaine du Réseau Local (LAN)
Réalisé par Edgar Doukpè AYENA Page 27
Domaine de l’Exploitation des Réseaux
Domaine de la sécurité des Systèmes et de leur architecture
Domaine de la Protection de l’Environnement de Travail
Pour chaque question, le responsable du réseau devait répondre par « oui » ou par « non ». A la suite de ça, les réponses négatives ont été ciblées pour mettre en lumière les non-conformités par rapport à la norme ISO 17999: 2005. Des améliorations sous forme de recommandations ont été proposées.
A la suite de la classification, les valeurs et données retenues seront entrées dans la base de connaissance de MeHARi 2010.
L’échelle de valeur des dysfonctionnements est le résultat principal de l’analyse des enjeux de la sécurité. Les actifs du système sont classifiés en trois catégories :
les services (informatiques, télécommunications et généraux) ;
les données nécessaires au fonctionnement des services ;
les processus de gestion de la sécurité ou de la conformité des référentiels.
Les tableaux II.VI et II.VII sont le résultat des classifications respectivement des services et des données.
Les services de sécurité peuvent avoir des niveaux de performances très variés selon les mécanismes et les processus employés. L’évaluation de cette qualité est facteur de trois paramètres à savoir : l’efficacité du service, sa robustesse et les moyens de contrôle du maintien dans le temps de caractéristiques précédentes.
Une de ces bases de connaissances de cette qualité consiste en une base d’audit des services de sécurité sous la forme d’un questionnaire et d’un système de pondération des réponses. Ces questions sont axées sur l’efficacité des mesures de sécurité (par exemple : fréquence de sauvegardes, le contrôle d’accès physique, …) et sur la robustesse des mesures de sécurité (localisation et
Réalisé par Edgar Doukpè AYENA Page 28 protection d’accès aux lieux de stockage des sauvegardes, protection du système de détection d’incendie,…).
Tableau II.VI : Classification des données
Réalisé par Edgar Doukpè AYENA Page 29 Tableau II.VII : Classification des services
2.3. Audit du réseau
L’audit est la phase pendant laquelle nous soumettons le système à des tests de pénétration afin d’identifier les failles présentes. Pour ce faire, deux choix s’offraient à nous :
un audit boîte blanche où toutes les informations et volumes nécessaires seraient disponibles et où l'accès physique aux éléments constitutifs du SI serait permis. Il faut noter que cet audit implique au préalable un travail comme par exemple un fichier détaillé et complet sur le système (architecture physique et logique, les plans d'adressage, les mesures déjà mises en places et services déployés, etc.) ;
un audit boîte noire où nous nous plaçons dans la position d'un attaquant externe, position dans laquelle nous ignorons tout sur le
Réalisé par Edgar Doukpè AYENA Page 30 système en question. Nous utiliserons alors les outils des attaquants pour démontrer la faisabilité d'une attaque.
Dans le cas de ce travail, un audit hybride a été réalisé.
2.3.1. Choix de l’outil de l’audit
Il existe de nombreux outils appelés scanners qui permettent d’automatiser la découverte de vulnérabilités. Ils permettent d’évaluer les vulnérabilités présentes sur les réseaux. Ils se déclinent sous plusieurs formes et donnent des résultats avec des précisions variables.
Internet Scanner : Internet Scanner de la société ISS. Il peut s’intégrer au produit ISS Décisions pour être utilisé avec d’autres produits de sécurité tels que les systèmes de détection d’intrusions et les firewalls (pare-feu).
SATAN, SAINT, SARA : vers le début des années 90, est apparu SATAN qui a remporté un énorme succès dans le domaine. Il avait la particularité d’être open source. Mais il n’est plus mis à jour depuis plusieurs années. Il existe une myriade d’outils similaires tels que l’outil open source SARA qui est la troisième génération d’outil d’analyse basé sur SATAN, ou la solution commerciale SAINT.
Retina : Nous pouvons également citer le logiciel Retina de la société eEye, qui est rapidement devenu populaire. Il analyse le trafic sur chaque port afin de déterminer le service utilisé. Il existe une fonction nommée CHAM permettant de découvrir de nouvelles failles de vulnérabilité. Cette méthode repose sur un moteur d’intelligence artificiel. Retina est une solution commerciale.
Nessus, NeWT : Enfin, il existe une autre offre, l’outil Nessus. Nessus était un outil open source. Nessus est l’un des outils les plus populaires du moment. Lors de son passage d’open source en logiciel propriétaire, une version fork open source a été développée, il s’agit d’OpenVas qui fait pratiquement la même chose que Nessus.
Réalisé par Edgar Doukpè AYENA Page 31 OpenVAS (Open Vulnerability Assessment System) permet d'auditer des réseaux possédant divers systèmes tels que les différentes versions de Windows et de nombreuses distributions de Linux, FreeBSD, Sun Solaris, HP-UX, IBM AIX.
OpenVAS permet de faire des tests d'intrusion. Les audits peuvent donc avoir lieu à l'intérieur du réseau ou à l'extérieur à travers Internet à l'aide d'un poste connecté au Web. OpenVAS scanne les ports d'un serveur et recherche puis identifie les failles de vulnérabilité présentes grâce à sa base de plugins.
Il analyse les protocoles utilisés sur chacun des ports du serveur afin d'identifier les services présents. Il est ainsi capable de détecter les services même si ces derniers n'utilisent pas les ports qui leurs sont attribués par défaut.
Par exemple, il sera capable de détecter un service FTP (File Transfert Protocol) disponible sur un port autre que le port 21.
Afin de permettre une recherche d'informations plus aisée, chaque faille de vulnérabilité est associée à des identifiants, ce qui permet aux administrateurs de trouver davantage d'informations sur les vulnérabilités publiques. L'objectif des CVE3 est de constituer un référentiel de noms standardisés pour les vulnérabilités publiquement connues et les révélations relatives à la sécurité.
Pour la suite de notre travail, OpenVas est l’outil que nous utiliserons.
2.3.2. Architecture
OpenVAS est basé sur une architecture client-serveur qui permet de multiples configurations. En effet, nous pouvons placer le daemon OpenVAS à l'extérieur du réseau sur l'Internet afin d'effectuer des séries de tests. Le client lui est à l'intérieur du réseau. Il permet de contrôler et de configurer le serveur qui effectue l'attaque proprement dite de la machine cible.
Le fonctionnement d’OpenVAS est détaillé en annexe B de ce document
3 Common Vulnerability And Exposures
Réalisé par Edgar Doukpè AYENA Page 32 2.3.3. Mise en œuvre de l’audit
2.3.3.1. Tests de vulnérabilités
Dans cette partie, nous avons effectué une série de tests de vulnérabilité du système. Nous avons adopté une stratégie de type interne. Le client et le serveur OpenVas ont tous deux été placés à l'intérieur du réseau local Ethernet.
2.3.3.2. Protocole des tests effectués
Une série de tests a été effectuée à l'aide du scanneur de vulnérabilité OpenVAS. L'objectif étant de découvrir les failles rendant vulnérable le système.
Test :
Des tests de vulnérabilité seront réalisés sur plusieurs ordinateurs possédant des systèmes d'exploitation différents. Divers services et partages de répertoire ont été activés. Les tests effectués ne sont pas de type destructif.
OpenVAS utilisera en plus de ses scanners de port par défaut le logiciel Nmap qui est réputé pour être l'un des meilleurs scanners de ports open source.
Déploiement Topologie
Figure 2.8 : Topologie réseau utilisée pour les tests d’audit
La figure ci-dessus présente la topologie réseau utilisée pour nos tests. Les PC utilisés appartiennent tous au réseau local du camp.
Réalisé par Edgar Doukpè AYENA Page 33 Le réseau Ethernet utilisé pour les tests est donc constitué de trois ordinateurs portables reliés entre eux via un Switch. Différents systèmes ont été installés sur ces postes, le tableau suivant montre les différentes configurations PC effectuées.
Tableau II.IX : Caractéristiques des PC utilisés pour les tests
Ordinateurs PC1 PC2 PC3
Adresse IP 10.X.X.5 10.X.X.6 10.X.X.7
Micro-processeur Intel Celeron 2.3 GHz - -
Mémoire vive 2 Go 2 Go 2 Go
OS
Windows 7 et Ubuntu 16.04 en dual boot
Windows 7 édition intégrale
Windows server 2008 Scanner de
vulnérabilité
OpenVAS est installé sous Ubuntu
- -
Sniffer - Wireshark -
Wireshark, est un puissant outil d’analyse de paquets. Pour notre étude, il a servi au comptage des paquets qui transitent sur le réseau et a été installé sur le PC2. Il nous permettra de savoir le volume de paquets TCP, UDP, ICMP, ARP et autres types de paquets émis vers le PC2.
2.3.3.3. Paramétrages
Test1. Lors de l'installation, les paramètres par défaut des systèmes d'exploitation ont été conservés. Les PC1 et PC3 sont protégés à l'aide de mot de passe. Le client et le serveur OpenVAS ont été installés sur le PC1. Le scanner de port Nmap n'est pas utilisé pour ce test de vulnérabilité. La plage de ports scannés est comprise entre 1 et 65536.
Test2. Le scanner de ports Nmap a été utilisé pour ce test de vulnérabilité.
La plage de port scanné est comprise entre 1 et 65536.
Réalisé par Edgar Doukpè AYENA Page 34 Dans ce chapitre, nous avons présenté l’analyse de risque effectuée avec la méthode MeHARi retenue. Les concepts et les bases sur lesquelles repose la politique de sécurité proposée ont été abordés.
Ensuite, le test d’audit de vulnérabilité du réseau a été réalisé au cours de l’opération d’audit.
Enfin conformément à l'analyse des besoins et d’analyse de risque réalisée, une étude des menaces et risques a été menée afin dégager une matrice des familles de risques encourus et enfin proposer une matrice d'analyse et d'identification de ces risques dans le contexte réel en vue de leurs traitements.
Les différents résultats obtenus seront présentés dans le prochain chapitre.
Réalisé par Edgar Doukpè AYENA Page 35
CHAPITRE RESULTATS ET ANALYSE
3
Réalisé par Edgar Doukpè AYENA Page 36 Dans ce chapitre, nous présentons les résultats de l’analyse menée avec MEHARI et des tests d'audit réalisés. Nous présenterons aussi sous la base de ces analyses les éléments de la politique de sécurité proposée.
3.1. Résultats
3.1.1. Synthèse de l’analyse avec MEHARI
A l’issue de l’analyse effectuée avec MEHARI, il ressort plusieurs types de risques et dommages. Nous avons sélectionné quelques scenarii de catastrophes, les conséquences, les causes, les impacts et les données à prendre en compte pour solutionner les problèmes identifiés.
Le tableau III.I donne un aperçu des types de dommages et de vulnérabilités présentés.
A l’issue de l’analyse, la gravité globale de risque du système est présentée en fonction de deux paramètres, l’impact et la potentialité des scenarii et aussi leur table de détermination.
Les Figures 3.1 et 3.2 présentent respectivement la gravité globale du risque en fonction de l’impact et de la potentialité et la table de détermination d’impacts et de potentialité des scénarii obtenus.
Les différents niveaux de facteurs de réduction des risques sont définis à l’annexe A.
Réalisé par Edgar Doukpè AYENA Page 37 Tableau III.I : Aperçu des types de dommage et vulnérabilité du système
Figure 3.1 : Gravité globale de risque des scenarii
Réalisé par Edgar Doukpè AYENA Page 38 Figure 3.2 : Tables de détermination d'impact et potentialité des scénarios
Comme le montre la Figure 3.1, à l’issue de l’analyse trois scenarii se sont avérés très graves. Ces scenarii sont marqués en couleur rouge sur la figure. Il s’agit de la perte d’archives informatiques, la divulgation de fichiers de données applicatives et l’indisponibilité des services ou des terminaux mis à la disposition des utilisateurs (voir Figure 3.3). Ces scénarios méritent une prise en charge immédiate. De même, les scénarios peints en couleur jaune et bleue sont moins graves mais nécessitent néanmoins une réflexion autour et des mesures afin d’empêcher leur réalisation.
Vu ces différents scenarii de risques, des mesures de solutions sont à prendre en compte et ont donc fait l’objet de proposition. Elles sont présentées dans le rapport d’audit.
Réalisé par Edgar Doukpè AYENA Page 39 La Figure 3.2 quant à elle présente la grille des scénarii de type confidentialité, intégrité et disponibilité suivant deux critères : le confinement et palliation. Les niveaux de ces critères se définissent comme suit.
Confinement
Niveau 1 : l’effet de confinement et de limitation des conséquences directes est très faible ou nul
Soit le sinistre ne peut être limité dans ses conséquences directes, soit il ne sera détecté qu’au bout d’un délai important.
Les mesures qui peuvent alors être prises n’ont qu’une influence très limitée sur le niveau des conséquences directes.
Niveau 2 : l’effet de confinement et de limitation des conséquences directes est moyen
Si le sinistre pouvait être limité dans ses conséquences directes, le délai de détection n’est pas rapide et/ou les réactions sont tardives.
Les mesures qui peuvent alors être prises ont une influence réelle sur l’impact, mais l’ampleur des conséquences directes reste importante.
Niveau 3 : l’effet de confinement et de limitation des conséquences directes est important
Le délai de détection est rapide et les réactions sont prises sans délai.
Les mesures qui peuvent alors être prises ont une influence réelle sur l’impact direct, qui est réel mais limité et circonscrit.
Niveau 4 : l’effet de confinement et de limitation des conséquences directes est très important
Réalisé par Edgar Doukpè AYENA Page 40 Le début de sinistre est détecté en temps réel et les mesures déclenchées immédiatement. Les conséquences directes seront limitées aux détériorations immédiates dues à l’accident, l’erreur ou l’acte volontaire.
Palliation
Niveau 1 : l’effet de limitation des conséquences indirectes est très faible ou nul.
Les mesures seront totalement improvisées et/ou il est probable que leur effet en sera très faible.
Niveau 2 : l’effet de limitation des conséquences indirectes est moyen
Les solutions de secours ou moyens palliatifs ont été prévu globalement et pour l’essentiel, mais l’organisation de détail n’a pas été faite. Il est probable qu’il résultera de ce manque de préparation un manque d’efficacité très net des mesures prévues. Le délai de reprise de fonctionnement normal de l’activité ne peut être connu avec précision ou ne changera pas fondamentalement le niveau de gravité du sinistre.
Niveau 3 : l’effet de limitation des conséquences indirectes est important
Les mesures ont été analysées et organisées dans le détail, puis validées. Le délai de reprise du fonctionnement normal de l’activité peut être estimé ou connu avec précision et est tel que cela réduira notablement la gravité des conséquences indirectes du scénario.
Niveau 4 : l’effet de limitation des conséquences indirectes est très important Le fonctionnement normal de l’activité est assuré sans discontinuité notable.
Les autres critères sont présentés en annexe A du document.
Réalisé par Edgar Doukpè AYENA Page 41 Figure 4.3 : Scenarii à risques élevés détectés
3.1.2. Résultats de l’audit avec OpenVAS
Cette partie présente les résultats des différents tests réalisés afin de découvrir les vulnérabilités du réseau à travers l’architecture test mise en place dans le chapitre 3 dans la section audit de vulnérabilité. Ces résultats sont présentés sous forme de tableau et ces tableaux présentent les trous de vulnérabilités détectés afin de nous faire une idée des failles de vulnérabilité présentes. Les vulnérabilités les plus importantes ont été mentionnées dans ce qui suit, ainsi que des informations relatives aux paquets utilisés lors des audits par OpenVAS.
Trois types d'indications sont fournis dans le rapport :
trou de sécurité : indique les failles présentes du système ;
alerte de sécurité : indique des failles qui peuvent devenir des trous de sécurité ;
Réalisé par Edgar Doukpè AYENA Page 42
message de sécurité : donne la possibilité à un attaquant de trouver des informations sur le poste.
Résultats des tests
L’architecture utilisée est la suivante. Le protocole des tests effectués ainsi que les caractéristiques des PC ont été présentés plus haut dans le chapitre 3 (voir tableau III.IX).
Test 1 :
PC cible : PC1 / PC2 / PC3 Durée du test : 22 minutes Plage de port : 0-65535 Informations obtenues :
Tableau III.II : Résultat du test1
Postes Trou de sécurité Alerte de sécurité Message de sécurité
PC1 5 7 6
PC2 4 2 1
PC3 2 15 10
Trou de sécurité Alerte de sécurité Message de sécurité
Total 15 50 70
Réalisé par Edgar Doukpè AYENA Page 43 Le total des indications représente le nombre total d'indications obtenues lors de l'audit. Le nombre de ports concernés indique le nombre de ports correspondant à chaque type d'indication pour chacun des PC cibles. Un port peut donc correspondre à plusieurs indications du même type. C'est pour cette raison que le total des indications ne correspond pas à la somme des ports concernés pour un type d'indication donné.
Tableau III.III : Services à problèmes découverts pendant le test Services problématiques découverts sur :
PC1 PC2 PC3
Netbios-ssn (139/tcp) Netbios-ssn (139/tcp) ftp (21/tcp)
Ssh (22/tcp) http (80/tcp)
Unknown (1024/udp) Snmp (161/tcp)
Unknown (665/tcp) Netbios-ssn (139/tcp)
Unknown (135/tcp) Unknown (135/udp)
Le tableau ci-dessus présente les ports auxquels sont associés des trous de sécurité. Unknown est indiqué lorsque le service présentant la vulnérabilité est inconnu.
Tableau III.IV : Paquets reçus par les PC au cours du test 1 Paquets comptés par Wireshark sur le PC2
Total ARP ICMP TCP UDP Autres
8302 16 258 7750 275 3
100% 0.19 3.11 93.35 3.31 0.04
Ce tableau renseigne sur le type de paquets envoyés sur les PC.
