AUDIT DE SECURITE ET ETUDE DES SOLUTIONS CONTRE LES ATTAQUES DES MALWARES

AUDIT DE SECURITE ET ETUDE DES SOLUTIONS
CONTRE LES ATTAQUES DES MALWARES

Généralités sur l’Audit de Sécurité des Systèmes d’Information

 L’audit de sécurité des systèmes d’information a pour but de comparer les dispositifs de sécurité existants par rapport aux dispositifs de sécurité prévus par les référentiels applicables. Pratiques ≠ Référentiels Réalité ≠ Théorie Dans cette partie, nous aurons à : Identifier les objectifs et les justifications des audits de sécurité des systèmes d’information, Identifier les différents types d’audit de sécurité des systèmes d’information, Caractériser le cadre règlementaire et éthique des audits de sécurité de systèmes d’information. 

Les objectifs des audits de sécurité

 Pourquoi réaliser un audit de sécurité des systèmes d’information ?  Pour disposer d’une évaluation organisationnelle et/ou technique de la SSI o Pour améliorer le niveau de sécurité (Identifier les vulnérabilités, risques et axes d’optimisation) o Pour accompagner un projet IT o Pour préparer la certification sécurité d’un compasant ou de l’ensemble du système d’information (certification ISO 27.001).  Pour assurer un contrôle des actions de sécurité SI o La confiance ne suffit pas : sans contrôle tiers, les risques de négligence ou d’erreurs sont accrues. Les audits SSI sont utiles dans une logique d’amélioration continue de la sécurité. Ils peuvent être imposés par la loi ou les normes. 

 Typologie des audits SSI

 Les types d’audits SSI :  Audit organisationnel  Audit d’architecture  Audit de configuration  Audit de sécurité physique  Audit de code  Tests intrusifs  Tests d’ingénierie sociale  Audits de certification.- Domaines à traiter – Champ géographique (les sites) – Champ logique (les composants du SI) 

Démarche d’audit 

Démarche méthodologique générale retenue pour l’exécution de la mission (séquençage de mission). 3. Méthodologie : représente une méthode formelle (EBIOS, MEHARI, Framework,…) 4. Référentiel d’audit : liste des dispositions de sécurité considérées comme bonnes pratiques qui ferons l’objet d’un contrôle (COBIT, ITIL, ISO 27002,…). Il peut découler de la méthodologie (base EBIOS ou MEHARI) utilisée ou de la finalité de l’audit (certification ISO 27001). 

Audit organisationnel

 L’audit de l’organisation de la sécurité vise à s’assurer que les politiques et procédures de sécurité définies par l’audité pour assurer le maintien en conditions opérationnelles et de sécurité d’une application ou de tout ou partie du système d’information sont conformes au besoin de sécurité de l’organisme audité, à l’état de l’art ou aux normes en vigueur, complètent correctement les mesures techniques mises en place, et enfin sont mises en pratique. Méthodologies  MEHARI (CLUSIF)  EBIOS (ANSSI) Outils  Revue documentaire  Entretiens  Eventuellement des visites Référentiels  ISO 27001, 27002, 27005  Eventuellement COBIT, ITIL Contexte d’usage  Faible maturité SSI – Le premier type d’audit à mener  Réorganisation de la fonction IT/SSI  Certification ISO De nombreuses vulnérabilités techniques découlent de dysfonctionnements organisationnels. Les différents points de contrôle (ISO/CEI 27002:2005) à faire dans le cas de l’audit organisationnel sont :  Evaluation et traitement des risques  Politique de sécurité  Organisation de la sécurité de l’information – Organisation interne – Parties prenantes externes  Gestion des actifs – Responsabilités pour les actifs – Classification de l’information  Sécurité des ressources humaines – Préalablement à l’embauche – Durant le contrat de travail – A la rupture de contrat ou changement de poste  Sécurité physique et de l’environnement – Zones sécurisées – Sécurité des équipements  Gestion des opérations et communication – Procédures et responsabilités – Gestion des services tiers – Planification et appropriation des systèmes – Protection contre les codes malicieux – Sauvegarde – Gestion de la sécurité du réseau – Manipulation des supports – Echange d’informations – Services de commerce électronique – Supervision  Contrôle d’accès – Prérequis de contrôle d’accès – Gestion des accès utilisateurs – Responsabilités des utilisateurs – Contrôle d’accès réseau – Contrôle d’accès système d’exploitation – Contrôle d’accès applications et infos – Télétravail et informatique nomade  Acquisition développement et maintenance des systèmes d’information – Prérequis sécurité des SI – Exactitude des traitements – Contrôles cryptographiques – Sécurité des fichiers systèmes – Sécurité des processus de développement et de support – Gestion des vulnérabilités techniques  Gestion des incidents – Signalement des incidents et vulnérabilités – Gestion des incidents et améliorations  Gestion de la continuité d’activité  Conformité normative – Conformité aux lois et règlements 

Audit d’architecture 

L’audit d’architecture consiste en la vérification de la prise en compte des bonnes pratiques de sécurité relatives au choix, au positionnement, au déploiement et à la mise en œuvre des dispositifs matériel et logiciels déployés dans un système d’information. L’audit peut être entendu aux interconnexions avec des réseaux tiers, et notamment internet. Méthodologies  MEHARI (CLUSIF)  EBIOS (ANSSI) Outils  Revue documentaire  Eventuellement entretiens et visites Référentiels  ISO 27002  Bases MEHARI ou EBIOS  Recommandations éditeurs/fabricants Contexte d’usage  Amélioration continue sécurité SI  Evaluation d’un SI tiers – Sous-traitant, partenaire, … Les différents points de contrôle (ISO/CEI 27002:2005) à faire dans le cas de l’audit organisationnel sont :  Architecture du réseau – Topologie du réseau – Localisation et volumétrie des sites – Type et normes des réseaux locaux – Interconnexion des sites – Localisation et rôle des équipements actifs et serveurs – Plan d’adressage IP – Capacité – Protocoles – Mécanismes de résolution de nom – Filtrage et gestion des flux – Sécurisation et disponibilité  Liaisons redondantes, switch meshing, IDS, firewall  Architecture serveur – Configuration matérielle – Système d’exploitation – Connectivité au réseau – Canaux de communication – Partages réseau – Logiciels installés – Sécurisation et disponibilité – Moyens de tolérance et de redondance – Dispositifs de sauvegarde – Positionnement sur le réseau  Architecture des postes de travail – Configuration matérielle – Configuration logicielle – Système d’exploitation – Configuration réseau – Logiciels installés  Sécurité logique – Identification et authentification – Moyens cryptographiques – Moyens de sauvegarde  Sécurité applicative – Architecture des applications (N-Tiers,…) – Sécurité des données (réplication,…) 

Audit de configuration

 L’audit de configuration a pour vocation de vérifier la mise en œuvre des bonnes pratiques de sécurité dans la configuration des dispositifs matériels et logiciels déployés dans un système d’information. Ces dispositifs peuvent notamment être des équipements réseau, des produits de sécurité, des serveurs, des systèmes d’exploitation ou des applications. Méthodologies  MEHARI (CLUSIF)  EBIOS (ANSSI) Outils  Revue documentaire  Vérifications (revue de paramétrage)  Tests (scanners, analyses de flux,…)  Eventuellement entretiens et visites Référentiels  ISO 27002  Bases MEHARI ou EBIOS  Standards et guides (NIST, NSA, ANSSI,…)  Recommandations éditeurs/fabricants Contexte d’usage  Amélioration continue sécurité SI  Nouveau projet ID d’infrastructures L’audit de configuration concerne souvent un périmètre limité (un réseau, un serveur, une application) et non pas le SI dans son ensemble. 

Tests intrusifs

 Le principe du test d’intrusion est de vérifier l’exploitabilité et l’impact des vulnérabilités   découvertes sur le système d’information audité, dans les conditions réelles d’une attaque sur le système d’information, à la place d’un utilisateur malveillant potentiel. Cette activité d’audit peut être réalisée soit depuis l’extérieur du système d’information audité (notamment depuis Internet ou le réseau interconnecté d’un tiers), soit depuis l’intérieur. Un test d’intrusion seul n’a pas vocation à être exhaustif. En revanche, il s’agit d’une activité qui peut être effectuée en complément des activités afin d’en améliorer l’efficacité ou de démontrer la faisabilité de l’exploitation des failles et vulnérabilités découvertes à des fins de sensibilisation. Méthodologies  OSSTMM Open Source Security Testing Methodology Manual (ISECOM)  SP800-115 Technical Guide to Information Security Testing and Assessment (NIST)  Open Web Application Security Project Testing Framework (OWASP) Outils  Outils techniques o Cartographie réseau (NMAP,…) o Scanners de vulnérabilités (Nessus, Nexpose, GFI, N-Stalker,…) o Exploitation de vulnérabilités (Metasploit,…) Référentiels  Banques d’exploits, Framework Contexte d’usage  Les tests intrusifs ne permettent que d’exploiter des vulnérabilités normalement déjà identifiées par l’audit de configuration (peu d’apports techniques). Son utilité première est de sensibiliser ou convaincre les décideurs. 

Table des matières

INTRODUCTION GENERALE
CHAPITRE 1 : Approche Théorique
1.1. INTRODUCTION
1.2. Présentation du sujet
1.2.1. Problématique
1.2.2. Les Objectifs
1.2.3. Délimitation du champ d’étude
1.3.Généralités sur l’Audit de Sécurité des Systèmes d’Information
1.3.1. Objectifs des audits de sécurité
1.3.2. Typologie des Audits SSI
1.3.2.1. Audit organisationnel
1.3.2.2. Audit d’architecture
1.3.2.3. Audit de configuration
1.3.2.4. Tests Intrusifs
1.3.2.5. Audit de code source
1.3.2.6. Audit de sécurité physique
1.3.3. Hiérarchie et dépendances
1.3.4. Obligations de l’auditeur SSI
1.4.Généralités sur les Malwares
1.4.1. Notion de malware
1.4.2. Les différents types de malwares
1.4.2.1.Virus
1.4.2.2.Vers
1.4.2.3.Cheval de Troie ou Trojan
1.4.2.4.Les Backdoors ou portes dérobées
1.4.2.5.Les Bombes logiques
1.4.2.6.Les Keyloggers
1.4.2.7.Les Rootkits
1.4.2.8.Les Ransomwares
1.4.2.9.Les Crypters
1.4.2.10. Logiciels espions et publicitaires
1.5.Notion d’attaque sur un Système d’Information
1.5.1. Attaques Réseaux
1.5.1.1.IP Spoofing
1.5.1.2.TCP Session Hijacking
1.5.1.3.ARP Spoofing
1.5.1.4.DNS Spoofing
1.5.2. Attaques Applicatives
1.5.2.1.Les problèmes de configuration
1.5.2.2.Les Bogues ou « Bugs »
1.5.2.3.Le « Buffer Overflow »
1.5.2.4.Les scripts
1.5.2.5. SQL Injection
CHAPITRE 2 : Démarche d’Audit d’un Système d’Information
2.1. INTRODUCTION
2.2 Audit du SMSI : La norme ISO 27001
2.2.1 La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do,Check, Act)
2.2.1.1 Phase « PLAN » du PDCA
2.2.1.2 Phase « DO » du PDCA
2.2.1.3 Phase « Check » du PDCA
2.2.1.4 Phase « Act » du PDCA
2.2.2 Domaine d’Application
2.3 Audit d’une infrastructure technique
2.3.1 Audit d’Architecture
2.3.1.1 Réseaux
2.3.1.2 Systèmes
2.3.1.3 Applications
2.3.2 Audit de configuration
2.3.2.1 Démarche
2.3.2.2 Caractérisation
2.3.2.3 Revue de configuration
2.3.2.4 Boite à outils sur Kali Linux
CHAPITRE 3: Etude des attaques des malwares et proposition de solutions
3.1 INTRODUCTION
3.2 Les différents types d’attaques utilisant les malwares66
3.2.1 Le Phishing ou Hameçonnage
3.2.2 Définition
3.2.3 Exemples de Phishing
3.2.4 Quelques astuces pour reconnaitre un message de Phishing
3.3 Les tests de pénétration
3.4 Les vols ou destructions de données
3.4.1 Techniques de vols de données des utilisateurs
3.4.2 Fonctionnement et Exemple de ces Chevaux de Troie
3.4.3 Destruction de données de l’utilisateur
3.5 Les attaques par Dénis de Service
3.5.1 Définitions
3.5.2 Différence entre DOS et DDOS
3.6 Solution contre les attaques des malwares
3.6.1 Les anti-virus
3.6.2 Les composants d’un antivirus
3.6.3 Méthode de détection virale
3.6.4 Les proxys antivirus
3.6.5 Les sensibilisations
CHAPITRE 4 : Approche Pratique De Notre Etude
4.1 INTRODUCTION
4.2 Architecture réseau utilisée
4.3 Les prérequis
4.4 Le choix de Kali Linux
4.5 Audit de sécurité avec Kali Linux
4.5.1 Scanning de vulnérabilités (GFI LANGUARD ou Nessus)
4.5.2 Audit du routeur CISCO
4.5.3 Rapport des résultats du scan (Vulnérabilités de Windows ex. Win 2008 server)
4.6 Déploiement d’une attaque utilisant une vulnérabilité ou un trojan
4.6.1 L’outil utilisé: Metasploit Framework
4.6.2 Description de l’attaque
4.6.3 Création du trojan
4.6.4 Lancement de l’attaque (exécution du trojan sur la cible)
4.6.5 Phase « post-exploitation »
CONCLUSION ET PERSPECTIVES
REFERENCES WEBOGRAPHIQUES
REFERENCES BIBLIOGRAPHIQUES

 

projet fin d'etudeTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *