Audit d’un Système d’Information avec Kali Linux

Audit d’un Système d’Information avec Kali Linux

 Généralités sur l’Audit des systèmes d’information

 Démarche d’audit

 La démarche d’audit informatique se définit à partir des préoccupations du demandeur d’audit qui peut être le directeur général, le directeur informatique, le directeur financier,… Il va pour cela mandater l’auditeur pour répondre à une liste de questions précises qui font, plus ou moins implicitement, référence à l’état des bonnes pratiques connues dans ce domaine. Cela se traduit par un document important : la lettre de mission qui précise le mandat à exécuter et qui donne les pouvoirs nécessaires à l’auditeur. 5 Celui-ci va ensuite s’attacher à relever des faits puis il va mener des entretiens avec les intéressés concernés. Il va ensuite s’efforcer d’évaluer ses observations par rapport à des référentiels largement reconnus. Sur cette base il va proposer des recommandations. L’auditeur informatique va se servir de référentiels d’audit informatique lui donnant l’état des bonnes pratiques dans ce domaine. Le référentiel de base est CobiT: Control Objectives for Information and related Technology. Mais il va aussi utiliser d’autres référentiels comme : CobiT, ISO27002, CMMi, ITIL, Val IT, Risk IT. 

Différents informatique types d’audit

 La démarche d’audit informatique est générale et s’applique à différents domaines comme la fonction informatique, les études informatiques, les projets informatiques, l’exploitation, la planification de l’informatique, les réseaux et les télécommunications, la sécurité informatique, les achats informatiques, l’informatique locale ou l’informatique décentralisée, la qualité de service, l’externalisation, la gestion de parc, les applications opérationnelles… Ci-dessous une présentation succincte des audits informatiques les plus fréquents.

 Audit de la fonction informatique 

Le but de l’audit de la fonction informatique est de répondre aux préoccupations de la direction générale ou de la direction informatique concernant l’organisation de la fonction informatique, son pilotage, son positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes de travail… Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues en matière d’organisation de la fonction informatique. Elles sont nombreuses et bien connues, parmi celles-ci on peut citer :  la clarté des structures et des responsabilités de l’équipe informatique,  la définition des relations entre la direction générale, les directions fonctionnelles et opérationnelles et la fonction informatique,  l’existence de dispositifs de mesures de l’activité et notamment d’un tableau de bord de la fonction informatique, 6  le niveau des compétences et des qualifications du personnel de la fonction.  Il existe de nombreuses autres bonnes pratiques concernant la fonction informatique. L’audit de la fonction se base sur ces pratiques dans le but d’identifier un certain nombre d’objectifs de contrôle comme :  le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et notamment l’existence d’un comité de pilotage de l’informatique,  la mise en œuvre de politiques, de normes et de procédures spécifiques à la fonction,  la définition des responsabilités respectives de la fonction informatique et des unités utilisatrices concernant les traitements, la maintenance, la sécurité, les investissements, les développements,….  l’existence de mécanismes permettant de connaître et de suivre les coûts informatiques, soit à l’aide d’une comptabilité analytique, soit, à défaut, grâce à un mécanisme de refacturation,  le respect des dispositifs de contrôle interne comme une évaluation périodique des risques, la mesure de l’impact de l’informatique sur les performances de l’entreprise… Ces différents objectifs de contrôle correspondent au processus PO 4 de CobiT : « Définir les processus, l’organisation et les relations de travail ». 

Audit des études informatiques 

L’audit des études informatiques est un sous-ensemble de l’audit de la fonction informatique. Le but de cet audit est de s’assurer que son organisation et sa structure sont efficaces, que son pilotage est adapté, que ses différentes activités sont maîtrisées, que ses relations avec les utilisateurs se déroulent normalement,… Pour effectuer un audit des études informatiques on se base sur la connaissance des bonnes pratiques recensées dans ce domaine. Elles sont nombreuses et connues par tous les professionnels. Parmi celles-ci on peut citer :  l’organisation de la fonction études en équipes, le choix des personnes et leur formation, leurs responsabilités … ;  la mise en place d’outils et de méthodes adaptés notamment une claire identification des tâches, des plannings, des budgets, des dispositifs de suivi des études, un tableau de bord… ; 7  le contrôle des différentes activités qui ne peuvent pas être planifiées comme les petits projets, les projets urgents… ;  la mise sous contrôle de la maintenance des applications opérationnelles ;  le suivi des activités d’études à partir de feuilles de temps. Il existe de nombreuses autres bonnes pratiques concernant les études informatiques. Pour l’auditer on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d’objectifs de contrôle comme :  l’évaluation de l’organisation de la fonction d’études informatiques et notamment la manière dont sont planifiées les différentes activités d’études ;  le respect de normes en matière de documentation des applications et notamment la définition des documents à fournir avec les différents livrables prévues ;  le contrôle de la sous-traitance notamment la qualité des contrats, le respect des coûts et des délais, la qualité des livrables… ;  l’évaluation de la qualité des livrables fournis par les différentes activités d’études qui doivent être testables et vérifiables ; Il existe de nombreux autres objectifs de contrôle concernant les études informatiques et ils sont choisis en fonctions des préoccupations du demandeur d’audit. 

 Audit de l’exploitation 

L’audit de l’exploitation a pour but de s’assurer que le ou les différents centres de production informatiques fonctionnent de manière efficace et qu’ils sont correctement gérés. Il est pour cela nécessaire de mettre en œuvre des outils de suivi de la production comme Openview d’HP, de Tivoli d’IBM,… Il existe aussi un système Open Source de gestion de la production comme Nagios. Ce sont de véritables systèmes d’information dédiés à l’exploitation. Pour effectuer un audit de l’exploitation on se base sur la connaissance des bonnes pratiques concernant ce domaine comme : o la clarté de l’organisation de la fonction notamment le découpage en équipes, la définition des responsabilités,… 8 o l’existence d’un système d’information dédié à l’exploitation notamment pour suivre la gestion des incidents, la gestion des ressources, la planification des travaux, les procédures d’exploitation,… o la mesure de l’efficacité et de la qualité des services fournies par l’exploitation informatique. Il existe de nombreuses autres bonnes pratiques concernant l’exploitation informatique. Pour effectuer cet audit on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d’objectifs de contrôle comme : o la qualité de la planification de la production, o la gestion des ressources grâce à des outils de mesure de la charge, des simulations, le suivi des performances,… o l’existence de procédures permettant de faire fonctionner l’exploitation en mode dégradé de façon à faire face à une indisponibilité totale ou partielle du site central ou du réseau, o la gestion des incidents de façon à les repérer et le cas échéant d’empêcher qu’ils se renouvellent, o les procédures de sécurité et de continuité de service qui doivent se traduire par un plan de secours, o la maîtrise des coûts de production grâce à une comptabilité analytique permettant de calculer les coûts complets des produits ou des services fournis. Ces différents objectifs de contrôle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13 de CobiT : DS 1 « Définir et gérer les niveaux de services », DS 3 « Gérer la performance et la capacité », DS 6 « Identifier et imputer les coûts », DS 12 « Gérer l’environnement physique », DS 13 « Gérer l’exploitation ». 

 Audit des projets informatiques 

L’audit des projets informatiques est un audit dont le but est de s’assurer qu’il se déroule normalement et que l’enchaînement des opérations se fait de manière logique et efficace de façon qu’on ait de fortes chances d’arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle. Comme on le voit un audit d’un projet informatique ne se confond pas avec un audit des études informatiques. 9 Pour effectuer un audit d’un projet informatique on se base sur la connaissance des bonnes pratiques connues en ce domaine. Elles sont nombreuses et connues par tous les chefs de projets et de manière plus générale par tous professionnels concernés. Parmi celles-ci on peut citer :  l’existence d’une méthodologie de conduite des projets,  la conduite des projets par étapes quel que soit le modèle de gestion de projets : cascade, V, W ou en spirale (processus itératif),  le respect des étapes et des phases du projet,  le pilotage du développement et notamment les rôles respectifs du chef de projet et du comité de pilotage,  la conformité du projet aux objectifs généraux de l’entreprise,  la mise en place d’une note de cadrage, d’un plan de management de projet ou d’un plan de management de la qualité,  la qualité et la complétude des études amont : étude de faisabilité et analyse fonctionnelle,  l’importance accordée aux tests, notamment aux tests faits par les utilisateurs. Il existe de nombreuses autres bonnes pratiques concernant la gestion de projet. Pour effectuer un audit d’un projet informatique on va se baser sur un certain nombre d’objectifs de contrôle comme :  la clarté et l’efficacité du processus de développement,  l’existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs et aux utilisateurs,  la vérification de l’application effective de la méthodologie,  la validation du périmètre fonctionnel doit être faite suffisamment tôt dans le processus de développement,  la gestion des risques du projet. Une évaluation des risques doit être faite aux étapes clés du projet. Il existe de nombreux autres objectifs de contrôle possibles concernant l’audit de projet informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d’audit.

Table des matières

DEDICACES
REMERCIEMENTS
AVANT-PROPOS
TABLE DES MATIERES
GLOSSAIRE
LISTE DES FIGURES
INTRODUCTION GENERALE
PARTIE I : ETUDE THEORIQUE
CHAPITRE 1 : APPROCHE THÉORIQUE
1.1. Introduction
1.2. Présentation du sujet
1.2.1. Problématique
1.2.2. Objectifs
1.2.3. Délimitation du champ d’étude
1.3. Généralités sur l’Audit des systèmes d’information
1.3.1. Démarche d’audit :
1.3.2. Différents informatique types d’audit
1.3.3. Audit de la fonction informatique
1.3.4. Audit des études informatiques
1.3.5. Audit de l’exploitation
1.3.6. Audit des projets informatiques
1.3.7. Audit des applications opérationnelles
1.3.8. Audit de la sécurité informatique
1.4 Démarche d’audit informatique
1.5 Les référentiels d’audit informatique
1.6. La certification des auditeurs informatiques
1.7. Généralité sur les malwares
1.7.1. Définition d’un malwares
1.7.2 .Les différents types de malwares
1.7.2.1. Trojan (cheval de Troie)
1.7.2.2. VIRUS
1.7. 2.3 Ver (Worms)
1.7.2.4 Backdoor(portes dérobé)
1.7.2.5 les Ransomwares
1.7.2.6 Les Rootkits
1.7.2.7 les botnets
1.7.2.8 les spywares (logiciel espion)
1.8 Attaque sur un système d’information
1.8.1 Les attaques réseaux
1.8.2.1. IP Spoofing
1.5.2.2 TCP session hijacking
1.8.2.3 ARP spoofing
1.8.2.4. DNS Spoofing
1.8.2 Les attaques applicatives
1.8.2.1 Les problèmes de configuration
1.8.2.2 Les Bogues ou « bugs »
1.8.2.3 Les buffers overflow
1.8.2.4 Les scripts
1.8.2.5 Les injections SQL
1.8.2.6 Man in the middle
CHAPITRE2 : ETUDE DES ATTAQUES DE MALWARES ET PROPOSITION DE SOLUTIONS
2.1 Introduction
2.2 Les différents types d’attaques utilisant les Malwares
2.2.1.Le Phishing ou Hameconnage
2.2.2 Définition
2.2.4.Exemples de phising
2.2.5 Quelques astuces pour reconnaitre un message de phising
2.2.6 Comment éviter le phishing
Bonnes pratiques humaines
Bonnes pratiques techniques
2.3.Les Tests de pénétration
2.3.1.Introduction
2.3.2 Préparation des tests
2.3.3 Exécution des tests
2.3.4. Phase préliminaire : recherche des hôtes
2.3.5 Détection des machines sur un réseau
2.3.6 Détection des ports réseau ouverts sur une machine
2.3.7 Identifier l’OS d’une machine
2.3.8. Attaque du systeme
2.3.8.1 Les vols et destructions de données
2.3.9 Techniques de vols de données des utilisateurs
2.3.9.1Exemple : Les vols de cartes/données bancaires
2.3.9.2 Distributeur de billets
2.3.10 Les points de paiements (POS)
2.4 Fonctionnement et exemple de Chevaux de Troie bancaire
2.4.1 Zeus Trojan Malware
2.4.1.1 DÉFINITION DU VIRUS
2.4.1.2 les conséquences du cheval de Troie Zeus sur les ordinateurs
2.4.1.3 Comment le cheval de Troie Zeus infecte les ordinateurs
2.4.1.4Les Mesures de protection
2.5.1 Attaques par déni de service
2.5.1.1Les différences entre DoS et DDoS
2.6.1.Solutions contre les attaques des malwares
2.6.1.1Definition d’un antivirus
2.6.1.2 L’antivirus résident
2.6.1.3 Les proxy anti-virus
2.6.2 Les sensibilisations
2.7 Que faire en cas d’infection par malware
2.7.1 Premiers gestes à faire
2.7.1.1 Coupez votre connexion Internet
2.7.1.2 Désactivez la restauration système
2.7.1.3 Passez à la désinfection
2.7.1.4 Vérifiez que tout va bien
2.7.2 Comment reconnaître une infection par malware ?
2.7.3. Equipez votre ordinateur d’un anti-malware pour sa protection
DEUXIEME PARTIE : ETUDE PRATIQUE
CHAPITRE 3: APPROCHE PRATIQUE DE NOTRE ETUDE
3.1 Introduction
3.2 Le choix de Kali Linux
3.3 Audit de sécurité avec Kali Linux
3.3.1 Scan de vulnérabilités (Nmap et Zenmap)
3.3.2 Rapport des résultats du scan (vulnérabilités de Windows7)
CHAPITRE4: Déploiement de l’audit avec kali Linux
4.1 L’outil utilisé : Métasploit Framework
Module Exploit
Module Payload
Modules Axillaires
4.2 Description de l’attaque
4.3 Création du Trojan
4.4 Lancement de l’attaque (exécution du Trojan par la cible)
4.5 Phase « poste-exploitation
CONCLUSION ET PERSPECTIVES
BIBLIOGRAPHIE
WEBOGRAPHIE

 

projet fin d'etudeTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *