Chapitre 4 - Audit de Sécurité [PDF]

Zitiervorschau

Chapitre 4: Audit de sécurité Cours préparé et animé par A.MOHAMMEDI

1

1. Définition • Un audit de sécurité consiste à s’appuyer sur un tiers de confiance afin de valider les moyens de protection mis en œuvre • Un audit de sécurité permet de s’assurer que l’ensemble des dispositions prises par l’entreprise sont réputées sures.

2

2. Rôle et objectifs d’audit • L’audit de sécurité est une mission d’évaluation de conformité par rapport à une politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité. • Principe : auditer rationnellement et expliciter les finalités de l’audit, puis en déduire les moyens d’investigations jugés nécessaires et suffisants. • L’objectif principal d’une mission d’audit de sécurité c’est de répondre aux préoccupations concrètes de l’entreprise, notamment de ses besoins en sécurité, en : Déterminant les déviations par rapport aux bonnes pratiques. Proposant des actions d’améliorations de niveau de sécurité de l’infrastructure informatique. 3

• Cependant, l’audit de sécurité peut présenter un aspect préventif. C'est-à-dire qu’il est effectué de façons périodiques afin que l’organisme puisse prévenir les failles de sécurité. Egalement, l’audit peut s’imposer suite à des incidents de sécurité.

4

3. Contenu de l’audit • L’opération d’audit prend notamment en compte des éléments suivants : Descriptif des matériels, logiciels et documentations. Appréciation globale de l’adéquation entre les besoins et le système d’information existant. Examen des méthodes d’organisation, de contrôle et de planification des services informatiques. Appréciation de la formation, de la qualification et de l’aptitude du personnel. Appréciation de la qualité, de l’accès, de la disponibilité et de la facilité de compréhension de la documentation.

5

4. Cycle de vie d’un audit de sécurité • Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit un cycle de vie qui est schématisé à l’aide de la figure suivante:

6

• L’audit de sécurité informatique se présente essentiellement suivant deux parties comme le présente le précédent schéma : L’audit organisationnel et physique. L’audit technique.

• Une troisième partie optionnelle peut être également considérée. Il s’agit de l’audit intrusif. Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce rapport présente une synthèse de l’audit. Il présente également les recommandations à mettre en place pour corriger les défaillances organisationnelles et techniques constatées.

7

5. Démarche de réalisation d’une mission d’audit • Tel que précédemment évoqué, l’audit de sécurité des systèmes d’information se déroule généralement suivant deux principales étapes. Cependant il existe une phase tout aussi importante qui est une phase de préparation. • Nous schématisons l’ensemble du processus d’audit à travers la figure suivante :

8

9

5.1 Préparation de l’audit • Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante pour la réalisation de l’audit sur terrain. En synthèse on peut dire que cette étape permet de : Définir un référentiel de sécurité (dépend des exigence et attentes des responsables du site audité, type d’audit). Elaboration d’un questionnaire d’audit de sécurité à partir du référentiel et des objectifs de la mission. Planification des entretiens et informations de personnes impliquées.

10

5.2 Audit organisationnel et physique a- Objectif Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de l’organisme cible, à auditer. Nous nous intéressons donc aux aspects de gestion et d’organisation de la sécurité, sur les plans organisationnels, humains et physiques. Les objectifs visés par cette étape sont donc : D’avoir une vue globale de l´état de sécurité du système d´information, D´identifier les risques potentiels sur le plan organisationnel.

11

b- Déroulement Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche méthodologique qui s’appuie sur un ensemble de questions. Ce questionnaire préétabli devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la conformité de cet organisme par rapport à la norme référentielle de l’audit.

12

5.3 Audit technique a- Objectif Cette étape de l’audit sur le terrain vient en seconde position après celle de l’audit organisationnel. L’audit technique est réalisé suivant une approche méthodique allant de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs et vulnérables. Cette analyse devra faire apparaître les failles et les risques, les conséquences d’intrusions ou de manipulations illicites de données.

13

Au cours de cette phase, l’auditeur pourra également apprécier l’écart avec les réponses obtenues lors des entretiens. Il sera à même de tester la robustesse de la sécurité du système d’information et sa capacité à préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation.

14

b- Déroulement L’audit technique sera réalisé selon une succession de phases respectant une approche méthodique. L’audit technique permet la détection des types de vulnérabilités suivantes, à savoir : Les erreurs de programmation et erreurs d’architecture. Les erreurs de configurations des composants logiques installés tels que les services (ports) ouverts sur les machines, la présence de fichiers de configuration installés par défaut, l’utilisation des comptes utilisateurs par défaut. Les problèmes au niveau du trafic réseau (flux ou trafic non répertorié, écoute réseau,...). Les problèmes de configuration des équipements d’interconnexion et de contrôle d’accès réseau. 15

Phase 1 : Audit de l’architecture du système Reconnaissance du réseau et de plan d’adressage, Sondage des systèmes, Sondage réseau, Audit des applications.

Phase 2 : Analyse des vulnérabilités Analyse des vulnérabilités des serveurs en exploitation, Analyse des vulnérabilités des postes de travail.

Phase 3 : Audit de l’architecture de sécurité existante Cette phase couvre entièrement/partiellement la liste ci après : 16

Audit des firewalls et des règles de filtrage, Audit des routeurs et des ACLs (Liste de contrôle d’accès), Audit des sondes et des passerelles antivirales, Audit des stations proxy, Audit des serveurs DNS, d’authentification, Audit des commutateurs, Audit de la politique d’usage de mots de passe.

17

5.4 Audit intrusif • Cet audit permet d’apprécier le comportement des installations techniques face à des attaques. Egalement, il permet de sensibiliser les acteurs (management, équipes sur site, les utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été effectués (scénarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifiées.

18

5.5 Rapport d’audit • A la fin des précédentes phases d’audit sur le terrain, l’auditeur est invité à rédiger un rapport de synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des défaillances enregistrées. Autant est-il important de déceler un mal, autant il est également important d’y proposer des solutions. Ainsi, l’auditeur est également invité à proposer des solutions (recommandations), détaillées, pour pallier aux défauts qu’il aura constatés. • Les recommandations devront inclure au minimum :

19

Une étude de la situation existante en termes de sécurité au niveau du site audité, qui tiendra compte de l’audit organisationnel et physique, ainsi que les éventuelles vulnérabilités de gestion des composantes du système (réseau, systèmes, applications, outils de sécurité) et les recommandations correspondantes. Les actions détaillées (organisationnelles et techniques) urgentes à mettre en œuvre dans l’immédiat, pour parer aux défaillances les plus graves, ainsi que la proposition de la mise à jour ou de l’élaboration de la politique de sécurité à instaurer.

20

6. La qualité des services de sécurité 6.1 Définition • La qualité de service désigne l’ensemble de paramètre échangé pendant une communication avec connexion pour que les informations passent correctement. • Appliquée aux réseaux à commutation de paquets « réseau basé sur l’utilisation de routeurs », la qualité de service « Qos » désigne l’aptitude à pouvoir garantir un niveau acceptable de perte de paquets, défini contractuellement, pour un usage donné. • Les services de sécurité peuvent avoir des niveaux de performance très différents selon les mécanismes employés. Ces niveaux couvrent : l’efficacité des services de sécurité. leur robustesse (puissance) leur mise sous contrôle. 21

6.2 L’efficacité des services de sécurité • De même que certaines serrures (fermetures) sont plus faciles à violer que d’autre, les services de sécurité sont conçus pour résister à des niveaux d’attaque variables, selon les mécanismes mis en œuvre, ce qui les rend plus ou moins efficaces.

22

6.3 Leur robustesse • De même que certaines protections actives peuvent devenir défaillantes sans que cela provoque une réaction, les services de sécurité peuvent être étudiés pour détecter toute anomalie par des mécanismes complémentaires, ce qui les rend plus ou moins robustes.

23

6.4 Leur mise sous contrôle • De même qu’un responsable ne sera véritablement sûr de la protection apportée par la serrure de sécurité que s’il s’assure que les occupants ferment effectivement à clé l’issue concernée. • Les services de sécurité peuvent être accompagnés de mesure de contrôle destinés à garantir la pérennité des mesures pratiques mises en place, ce qui les rend plus ou moins ( sous contrôle).

24

7. Les risques de sécurité informatique 7.1 Les types de risques • En ce qui concerne l’analyse de risque, on défini 12 types de menaces. Accidents physiques. Malveillance physique Panne du SI Carence de personnel. Interruption de fonctionnement du réseau. Erreur de saisie. Erreur de transmission. Erreur d’exploitation. Erreur de conception/ développement. Copie illicite de logiciels. Indiscrétion/ détournement d’information Attaque logique du réseau.

25

7.2 Classification des risques 7.2.1 Les risques Humains • Les risques humains sont les plus importants, ils concernent les utilisateurs mais également les informaticiens. Malveillances : Certains utilisateurs peuvent volontairement mettre en danger le système d’information en y introduisant en connaissance de causes des virus, ou en introduisant volontairement de mauvaises informations dans une base de données. Maladresse : Comme en toute activité les humains commettent des erreurs, ils leur arrivent donc plus ou moins fréquemment d’exécuter un traitement non souhaité, d’effacer involontairement des données ou des programmes. Inconscience : De nombreux utilisateurs d’outils informatiques sont encore inconscients ou ignorants des risques qu’ils encourent aux systèmes qu’ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. 26

7.2.2 Les risques Techniques • Programmes malveillants : C’est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants : Le virus : Programme se dupliquant sur d’autres ordinateurs. Le ver : Exploite les ressources d’un ordinateur afin d’assurer sa reproduction. Le Cheval de Troie : Programme à apparence légitime qui exécute des routines nuisibles sans l’autorisation de l’utilisateur.

• Accidents : il s’agit là d’un évènement perturbant les flux de données en l’absence de dommages aux équipements (panne, incendie, dégâts des eaux d’un serveur ou centre informatique,..). 27

• Erreurs : que ce soit une erreur de conception, de programmation de paramétrage ou de manipulation de données ou de leurs supports, l’erreur désigne les préjudices consécutifs à une intervention humaine dans le processus de traitement automatisé des données. • Technique d’attaques par messagerie : en dehors de nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques tels que : Le Pourriel (Spam) : Un courrier électronique non sollicité, la plus part du temps de la publicité. Ils encombrent le réseau. l’Hameçonnage : un courrier électronique dont l’expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles. 28

• Attaques sur le réseau : les principales techniques d’attaques sur le réseau sont : Le Sniffing : technique permettant de récupérer toutes informations transitant sur le réseau. Elle est généralement utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas leurs communications. La Mystification (Spoofing) : technique consistant à prendre l’identité d’une autre personne ou d’une autre machine. Elle est généralement utilisée pour récupérer des informations sensibles.

29

• Attaques sur les mots de passe : les attaques sur les mots de passe peuvent consister à faire de nombreux essais jusqu’à trouver le bon mot de passe. L’attaque par dictionnaire : le mot testé est pris dans une liste prédéfinie contenant les mots de passe les plus courants. L’attaque par force brute : toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution.

30