Etude et mise en place d’une politique de sécurité du système d’information

La sécurité d’un système d’information

Le système d’information représente un patrimoine essentiel de l’entreprise, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources logicielles et matérielles d’une structure sont uniquement utilisées et ce dans un cadre idéal.
La sécurité des systèmes d’information vise les objectifs suivants : La disponibilité : garantir que les éléments considérés (fichiers, messages, applications, services) sont accessibles au moment voulu par les personnes autorisées.
L’intégrité : Les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets.
La confidentialité : Seule les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.
D’autres aspects peuvent aussi être considérés comme des objectifs de la sécurité des systèmes l’information, tels que :
La traçabilité (ou « Preuve ») : garantie que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.
L’authentification : L’identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d’échange.
La non-répudiation: Aucun utilisateur ne doit pouvoir contester les opérations qu’il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur.
Une fois les objectifs de la sécurisation déterminés, les risques pesant sur chacun de ces éléments peuvent être estimés en fonction des menaces. Le niveau global de sécurité des systèmes d’information est défini par le niveau de sécurité du maillon le plus faible. Les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d’information est sensé apporter service et appui.

Les différents types de politique de sécurité

La sécurité organisationnelle : Elle concerne la politique de sécurité d’une société (code de bonne conduite, méthodes de classification et de qualification des risques, plan de secours, plan de continuité…).
Le périmètre de la sécurité est très vaste : la sécurité des systèmes d’information ; la sécurité des réseaux; la sécurité physique des locaux ; la sécurité dans le développement d’applications ; la sécurité des communications ; la sécurité personnelle.
Une fois la partie organisationnelle traitée, il faut mettre en œuvre toutes les recommandations, et plans dans le domaine technique de l’informatique, afin de sécuriser les réseaux et systèmes cet aspect relève de la sécurité technique.
La sécurité technique : Elle assure la disponibilité (les services et les informations doivent être accessibles aux personnes autorisées quand elles en ont besoin et dans les délais requis), l’intégrité (les services et les informations ne peuvent être modifiées que par les personnes autorisées), et la confidentialité (l’information est accessible uniquement à ceux qui y ont droit). Les techniques de sécurisation d’un système incluent : les vulnérabilités du système ; la sécurité des données: chiffrement, authentification, contrôle d’accès ; la sécurité du réseau: pare-feu ;la surveillance des informations de sécurité ; la sensibilisation des utilisateurs ; le plan de reprise des activités.

Les différents types d’attaques contre les systèmes d’information

Une attaque est généralement définit comme étant une défaillance utilisable à des fins néfastes et méconnues de la victime. Il existe principalement trois échelles sur la chaîne informatique qui sont confrontées aux risques de sécurité à savoir :
Le matériel : il est composé de l’ensemble des équipements informatiques et électriques tels que les ordinateurs, les modems, le circuit électrique etc.
Le système d’exploitation : il dirige l’ensemble des composantes de l’ordinateur ; on peut citer WINDOWS, LINUX, MAC OS etc. Le réseau : il englobe tout ce qui est application et données. Les programmes malveillants : Un programme malveillant ou malware est un logiciel écrit dans le but de déstabiliser intelligemment un ordinateur en volant des informations personnelles sur l’ordinateur de la victime où il fait de l’usurpation d’identité en envoyant des messages aux contacts de la personne par le biais de sa boîte de messagerie…
Moyens de protection : Il faut télécharger des anti-virus performants ou en acheter. D’habitude ceux qui sont vendus avec des licences sont les plus performants et offrent plus de solutions de sécurité. Virus : C’est un programme écrit dans le but de faire une propagande d’ordinateurs en ordinateurs ou dans le réseau local déstabilisant ainsi le fonctionnement de l’ordinateur ou le parc informatique de toute une société.
Le spyware ou logiciel espion : Il est écrit dans le but de rassembler des informations personnelles de la victime et de l’envoyer à l’attaquant à son insu. Ce type d’attaque s’est développé avec l’avènement du réseau des réseaux (internet) qui lui sert de support de transmission des données. Le keylogger ou enregistreur de frappe : c’est un logiciel qui enregistre dans un fichier tout ce que l’utilisateur tape au clavier. C’est très dangereux car il entre dans l’intimité de l’utilisateur de ce fait il peut avoir tous ses mots de passe et ses numéros de cartes bancaires.
Le ver : contrairement au virus le ver ne se propage pas dans le réseau local il le fait par le moyen des mails.
La porte dérobée ou backdoor : c’est presque le même principe qu’un keylogger car elle peut voler tous les détails personnels de la victime. En sus de cela elle a la capacité de contrôler l’ordinateur à distance en créant, modifiant ou supprimant un fichier ; d’installer des logiciels supplémentaires… Les attaques par messagerie : Phishing ou hameçonnage : c’est le fait d’envoyer un mail contenant un lien de notre banque pour nous demander nos mots de passe de comptes bancaires. En effet le site sur lequel on est redirigé adopte en général les mêmes couleurs que la banque et le même design c’est pourquoi nous tombons facilement dans le panneau et croyons que c’est bel et bien notre banque. Spam ou pourriel : c’est un courrier électronique qui embarque souvent de la publicité. Cela n’a pas d’effet néfaste sauf une surcharge de notre boîte email.
Les attaques au niveau réseau : Attaque DOS : c’est une attaque très puissante et dangereuse pour les sites cibles, car il permet de rendre hors service un site web, de site e-commerce…. Le sniffing : il permet d’écouter le réseau c’est-à-dire de connaître tous les ports ouverts, d’avoir des informations sur les ordinateurs connectés au réseau telles que le système d’exploitation utilisé, les applications installées etc.

Qu’est-ce qu’un audit informatique ?

Un audit informatique a pour objectif principal l’évaluation du niveau de contrôle des risques associés aux activités informatiques. L’objectif réel est d’assurer l’adéquation du système informatique aux besoins de l’entreprise et de valider que le niveau de service est adapté aux activités de celle-ci.
La mission d’audit informatique couvre parfois l’ensemble du système d’information notamment pour la mise en place d’un contrat d’infogérance, d’un contrat d’assistance ou d’un contrat de maintenance informatique, mais le plus souvent, elle est ciblée sur un point précis. L’audit d’un environnement informatique peut concerner l’évaluation des risques informatiques de la sécurité physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc. Le rapport d’audit informatique a pour finalité la formulation d’un diagnostic, mais doit également proposer les recommandations et le plan d’action pour améliorer la performance du domaine couvert, en conformité avec les besoins et les objectifs de l’entreprise.
Après la phase d’analyse sur site suivie de la rédaction d’un rapport complet, le RSSI chargé de l’audit doit préconiser des solutions pour améliorer la qualité de service apportée par les outils informatiques afin d’assurer : La pérennité et la cohérence des solutions proposées, Une indépendance vis-à-vis des fournisseurs, constructeurs et/ou éditeurs du marché, Une intégration simple, efficace et au meilleur coût à l’existant, Des investissements justifiés par un retour sur investissement quantifiable et rapide.

Table des matières

INTRODUCTION 
PARTIE 1 :CADRE DE REFERENCE ET METHODOLOGIE DE TRAVAIL
CHAPITRE 1 : CADRE DE REFERENCE 
I.1. PRESENTATION DE CITA
I.1.1 Mission
I.1.2 Domaines d’intervention
I.1.3 Direction générale
I.1.4 ORGANIGRAMME
I.1.5 Existant
CHAPITRE 2 : Approche méthodologique 
II.1 Problématique
II.2 Formulation des objectifs
II.3 Cahiers des charges
PARTIE 2 : CADRE THEORIQUE
CHAPITRE 3 : La sécurité d’un système d’information 
III.1 Définition
III.2 Principe généraux d’une politique de sécurité d’un système d’information
III.3 Les différents types de politique de sécurité
CHAPITRE 4 : AUDIT D’UN SYSTEME D’INFORMATION 
IV.1 Qu’est-ce qu’un audit informatique
IV.1.1 Audit de parc informatique
IV.1.2 Audit d’infrastructure système réseau
IV.1.3 Audit de sécurité informatique
CHAPITRE 5 : AUDIT DU RESEAU INFORMATIQUE DE CITA 
V.1. Description
V.2. Méthode 1 :Scan du réseau intranet
V.3. Méthode 2 :Monitoring de la bande passante du LAN
V.4. Méthode 3 :Entretien avec le personnel
V.5. Méthode 4 :Audit des vulnérabilités du site Web
V.6. Méthode 5 : Audit des vulnérabilités du client de messagerie
V.7. Tableau récapitulatif de la synthése de l’audit
CHAPITRE 6 : IMPLEMENTATION D’UNE POLITIQUE DE SECURITE 
VI.1 Proposition d’une politique de sécurité pour le réseau intranet
VI.1.1Architecture de la maquette de Test
VI.1.2 Prérequis matériels et logiciels
VI.1.3 Test et validation
VI.1.3.1 Configuration des services PfSense
VI.1.3.2 Les paramétres généraux du portail captif
VI.1.3.3 Sécurisation de l’accés au serveur PfSense
VI.1.3.4 L’hautentification des utilisateurs au portail captif
VI.2 Nagios comme outil de supervision pour le réseau CITA
VI.2.1 Statut des machines du réseau CITA
VI.3 Configuration du client de courrier électronique OUTLOOK
VI.4 Politique de sécurité pour le serveur Web
VI.5 Etat des lieux et sensibilisation des normes de sécurité après implémentation
VI.6 Coût d’investissement du projet
CONCLUSION 
ANNEXES 
WEBOGRAPHIE 
BIBLIOGRAPHIE 

Télécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *