&apport d(audit de sécurité in#ormati)ue '*+""E 'E,E-M D"&E-'"+ &E"+A,E DE A
Elaboré par
Baklouti Ahlem
Encadré par
Baklouti Mariem M. ahbi Moalla ! ""M #a$ M. %allali &iadh ! D&' #a$ #a$
Date : 12/12/2012
Version : 1.0
Table des matières "ntroduction................................... "ntroduction.......................................................... .............................................. .............................................. ................................................1 .........................1 résentation de la mission............................................ mission................................................................... .............................................. ........................................1 .................1 résentation de l3or4anisme...................................... l3or4anisme............................................................. .............................................. ........................................... .................... 2 érim5tre de l3étude.............................................. l3étude..................................................................... .............................................. ............................................. ........................6 ..6 Architecture du réseau................................................. réseau........................................................................ ............................................................. ...................................... ..7 lannin4 de réalisation......................... réalisation................................................ .............................................. .............................................. ......................................... ..................7 7 Audit or4anisationnel et ph8si)ue....................................... ph8si)ue.............................................................. .............................................. .................................9 ..........9 -hapitre1 : politi)ue de sécurité.......................................................... sécurité................................................................................................. ....................................... 9 1.
But...................................... But............................................................. .............................................. .............................................. ................................................9 .........................9
2.
oliti)ue oliti)ue de sécurité.... sécurité......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ........... ............... ...........9 ..9
-hapitre 2 : r4anisation de la sécurité d3in#ormation............... d3in#ormation...................................... ................................................ ......................... 1.
r4anisati r4anisation on interne..... interne.......... .......... .......... .......... .......... .......... ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ............... ........... .
But..................................... But............................................................ .............................................. .............................................. .............................................. ................................. .......... 2.
'iers... 'iers........ .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ............. .................. ................... .............; ....;
But..................................... But............................................................ .............................................. .............................................. .............................................. .................................; ..........; -hapitre < : estion es tion des biens........................................... biens.................................................................. .............................................. .................................11 ..........11 1.
&esponsabil &esponsabilités ités relati=es relati=es au$ biens..... biens.......... .......... ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ............... ...........11 .11 But..................................... But............................................................ .............................................. .............................................. ..................................................11 ...........................11
2.
-lassi#ication -lassi#ication des in#ormations. in#ormations...... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ............. ...........1< ...1< But..................................... But............................................................ .............................................. .............................................. ..................................................1< ...........................1<
-hapitre 6 : écurité liée au$ ressources humaines..................................................................16 1.
A=ant A=ant le recrutement... recrutement........ .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .............. ...................16 ..........16 But..................................... But............................................................ .............................................. .............................................. ..................................................16 ...........................16
2.
endant endant la durée du contrat.... contrat......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... .......... .......... .......... .......... .......... ..............1 .........19 9
But..................................... But............................................................ .............................................. .............................................. ..................................................19 ...........................19 <.
in ou modi#ication modi#ication du contrat.... contrat......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ............ ........1> .1> But..................................... But............................................................ .............................................. .............................................. ..................................................1> ...........................1>
-hapitre 7 : écurité ph8si)ue et e t en=ironnementale.................................................... en=ironnementale.................................................................20 .............20 1.
?ones ?ones sécurisées... sécurisées........ .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... .......... .......... .......... .......... .......... .......... .......20 ..20 But..................................... But............................................................ .............................................. .............................................. ..................................................20 ...........................20
2
écurité écurité du matériel..... matériel.......... .......... .......... .......... .......... .......... .......... .......... ......... ......... .......... .......... .......... .......... ........... ................ ................... .............26 ....26 But..................................... But............................................................ .............................................. .............................................. ..................................................26 ...........................26
-hapitre 9 : estion de l3e$ploitation et des télécommunications...........................................2> 1.
rocédures rocédures et responsa responsabilités bilités liées liées @ l3e$ploitati l3e$ploitation.. on....... .......... .......... .......... ........... ................ ................... .................2> ........2> But..................................... But............................................................ .............................................. .............................................. ..................................................2> ...........................2>
2
estion estion de la prestation prestation de ser=ice ser=ice par un tiers... tiers........ .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ..........<0 .....<0 But..................................... But............................................................ .............................................. .............................................. ..................................................<0 ...........................<0
<
lani#icatio lani#ication n et acceptation acceptation du du s8st5me.... s8st5me......... .......... .......... .......... .......... .......... .......... .......... ......... ......... ............... ................... ..........<1 .<1 But..................................... But............................................................ .............................................. .............................................. ..................................................<1 ...........................<1
6
rotection rotection contre contre les codes mal=eillants mal=eillants et mobiles mobiles..... .......... .......... .......... ........... ............... ................... ...................<< .........<< But..................................... But............................................................ .............................................. .............................................. ..................................................<< ...........................<<
7
au=e4arde. au=e4arde...... .......... .......... .......... .......... .......... .......... .......... .......... ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ............... ............<6 ..<6 But..................................... But............................................................ .............................................. .............................................. ..................................................<6 ...........................<6
9
estion estion de la la sécurité sécurité des réseau$. réseau$...... .......... .......... .......... .......... .......... .......... .......... .......... ......... ............. ................... ................... ............<7 ...<7 But..................................... But............................................................ .............................................. .............................................. ..................................................<7 ...........................<7
Manipulatio Manipulation n des supports.. supports....... .......... .......... ......... ......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ............ ................. ...............<9 .....<9 But..................................... But............................................................ .............................................. .............................................. ..................................................<9 ...........................<9
-hapitre : Audit techni)ue.................................................... techni)ue........................................................................... .......................................... ..........................<> .......<> "ntroduction.................................. "ntroduction.......................................................... ............................................... .............................................. ..........................................<> ...................<> 1.
Déroulement Déroulement de l3audit l3audit techni)ue. techni)ue...... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... .......... ............ ................<> .........<> 1.1 hases de l3audit........................................... l3audit.................................................................. ...................................................... ............................... ........<; ........ <;
1.2 Audit de l3architecture du s8st5me et des é)uipements de réseau..............................<; 1.< onda4e des s8st5mes et des é)uipements :...............................................................61 1.6 Audit des ser=eurs et des postes de tra=ail sensibles..................................................67 1.7 'ests 'ests d3intrusion :........................................... :.................................................................. .............................................. ......................................6 ...............6 lan d3action......................................... d3action................................................................ .............................................. .......................................................... ................................... ...6 -onclusion................................ -onclusion....................................................... .............................................. .............................................. ....................................... ........................... ...........6> 6>
7
Introduction ,3in#ormati 3in#ormation on présente un des biens =itau$ =itau$ pour la =ie le #onctionnem #onctionnement ent la pro4ression pro4ression et l3é=olution de l3entreprise. -ette in#ormation uste e$acte et pertinente pertinente permet @ l3entreprise d3accomplir ses tCches répondre au$ besoins des clients et #onctionner selon les besoins des des diri4eants. A cet e##et l3entreprise doit proté4er son in#ormation ainsi )ue le s8st5me d3in#ormation assurant le traitement de cette in#ormation. our proté4er son s8st5me d3in#ormation l3entreprise doit pou=oir é=aluer les ris)ues pour mettre en place une politi)ue de sécurité in#ormati)ue du s8st5me d3in#ormation. -eci dans le but d3assurer l3inté4rité la con#identialité la traabilité et la disponibilité de l3in#ormation. ,3audit in#ormati)ue é=alue les ris)ues d3un en=ironnement in#ormati)ue. "l impli)ue tous les inte inter= r=en enan ants ts d3un d3un tel tel en=i en=iro ronn nnem emen ent. t. "l conc concer erne ne la sécu sécuri rité té ph8 ph8si)u si)ue e lo4i lo4i)u )uee et or4anisationnelle. -e tra=ail présente le rapport d3audit de la sécurité in#ormati)ue de la Direction &é4ionale des 'élécommunications de #a$ 'unisie 'elecomF. +ous décrirons notre mission puis nous présenterons la société ensuite nous dé#inissons le périm5tre de l3audit.
Présentation de la mission +otre mission consiste @ auditer la sécurité in#ormati)ue de la Direction &é4ionale des télécommunications de #a$ D&' #a$F. ,3obecti# étant de donner une é=aluation de la sécurité ph8si)ue la sécurité lo4i)ue et la sécurité du réseau. +ous de=ons mettre en é=idence les #aiblesses le ni=eau de ris)ue et nous de=ons proposer les mesures correcti=es. our ce #aire nous procéderons en deu$ étapes :
Audit ph8si)ue et or4anisationnel :
"l s3a4it de s3intéresser au$ aspects de 4estion et d3or4anisation de la sécurité sur les plans or4anisationnels humains et ph8si)ues. ,3obecti# =isé par cette étape est d3a=oir une =ue 4lobale de lGétat de sécurité du s8st5me dGin#ormation et dGidenti#ier les ris)ues potentiels sur le plan or4anisationnel.
Audit techni)ue : 9
"l s3a4it d3e##ectuer une décou=erte et reconnaissance du réseau audité et des ser=ices réseau$ =ulnérables. -ette étape de=ra #aire apparaHtre les #ailles et les ris)ues les consé)uences d3intrusions ou de manipulations illicites de données.
Présentation de l’organisme ,3o##ice national des télécommunications est créé suite @ la promul4ation de la loi +I<9 du 1 a=ril 1;;7. ,3o##ice a ensuite chan4é de statut uridi)ue en =ertu du décret +I<0 du 7 a=ril 2006 pour de=enir une société anon8me dénommée J 'unisie 'elecom 'elecom K. En uillet 2009 il a été procédé @ l3ou=erture du capital de 'unisie 'elecom @ hauteur de <7L en #a=eur du consortium consortium émirati 'e-om 'e-omD". D". -ette opération opération =ise @ améliorer améliorer la rentabilité rentabilité de 'unisie 'elecom et @ lui permettre de se hisser parmi les 4rands opérateurs internationau$. Depuis sa création 'unisie 'elecom 'elecom Nu=re @ :
consolider l3in#rastructure des télécoms en 'unisie O améliorer le tau$ de cou=erture dans la téléphonie #i$e mobile et transmission de
données O cont contri ribu buer er acti acti=e =eme ment nt @ la prom promot otio ion n de l3us l3usa4 a4ee des des '"- 'e 'ehnol hnolo4 o4ie iess de
l3in#ormation et de -ommunicationsF O contribuer au dé=eloppement des sociétés inno=antes dans le domaine des télécoms O
ionni5re du secteur des télécoms en 'unisie 'unisie 'elecom a établi un ensemble de =aleurs dé#initoires )ui place le client au centre de ses priorités. ,3adoption de ces =aleurs se traduit en particulier par une amélioration continue des standards de l3entreprise et de la )ualité des ser=ices. 'unisie 'elecom compte dans ses ran4s plus de 9 millions abonnés dans la téléphonie #i$e et mobile. 'unisie 'elecom se compose de 26 directions ré4ionales de >0 Actels et points de =ente et de plus de 1< mille points de =ente pri=és. Elle emploie emploie plus de >000 a4ents. ,3or4ani4ramme 4énéral de l3entreprise est illustré dans la #i4ure cidessous :
Dans notre cas nous nous intéresserons @ la Direction &é4ionale des 'élécommunications de #a$ D&'F. Ainsi Ainsi l3or4ani4ramme de la D&' se présente comme suit :
>
Périmètre de l’étude ,e but but de l3au l3audi ditt in#o in#orm rmati ati)u )uee est d3an d3anal8 al8ser ser la sécur sécurit itéé de l3ens l3ensem embl blee du s8st5 s8st5me me in#ormati)ue de le criti)uer et de le ren#orcer en tenant compte des contraintes techni)ues et or4anisationnelles. +ous nous sommes adressés au responsable de la subdi=ision J upport " K #aisant partie de la di=ision J &éseau$ et " K pour obtenir les in#ormations nécessaires @ l3élaboration de notre audit. +ous sommes aussi appelés @ inter=iePer des représentants de cha)ue Di=ision :
-ommerciale er=ice client5le A##aires #inanci5res &essources Qumaines
Et é4alement la subdi=ision J A##aires ré4ionales K. Ainsi un recensement des é)uipements de la D&' nous a permis de dresser le tableau sui=ant : E)uipement Matériels rdinateur de bureau rdinateur portable "mprimante réseau "mprimante locale canner &outeur Pitch irePall
+ombre
onctionnalités
0
Manipuler les lo4iciels de
7
4estion et de bureauti)ue Manipuler les lo4iciels de
1 22 2 1
4estion et de bureauti)ue "mprimer les états "mprimer les états +umériser des documents &outer le tra#ic =ers le réseau
7
e$terne @ la D&' "nterconnecter
1
é)uipements &especter les politi)ues de
les
sécurité réseau ,o4iciels is Rork#loP
estion d3abonnés rdre de tra=au$
Erp
mobile data estion de la client5le
#i$e
;
Architecture du réseau
Planning de réalisation Etape Date &éunion de sensibilisation @ la sécurité -onsult -onsultatio ation n du réseau réseau routeur routeur #irePal #irePall l sPitch -onsultation des politi)ues de sécurité -onsultation des applications ,i=raison =ersion 0 du rapport ,i=raison rapport #inal
10
Audit organisationnel et physique Chapitre1 : politique de sécurité 1. But ,a politi)ue de sécurité in#ormati)ue #i$e les principes =isant @ 4arantir la protection des ressources in#ormati)ues et de télécommunications en tenant compte des intérSts de l(or4anisation et de la protection des utilisateurs. ,es ressources in#ormati)ues et de télécommunications doi=ent Stre proté4ées a#in a#in de 4arantir con#identialité inté4rité et disponibilité des in#ormations )u(elles traitent dans le respect de la lé4islation en =i4ueur.
2. Poli Politique tique de sécurit sécuritéé 1. Document Document de politi politi)ue )ue de sécuri sécurité té -on#ormité : +on &is)ue : Ele=é -onstatation "mpact as as de docume document nt pour la politi politi)ue )ue de sécuri sécurité té "n#o "n#orm rmat atio ion n non non selon monsieur Palid chakroun in4énieur @ l3unité
prot proté4 é4éé
et
ris) ris)ue ue
recommandation de +écessité de rédi4er un document de
di=ul4ation
radio mobile appartenant @ la di=ision des réseau$. 2. &ée$amen &ée$amen de politi)ue politi)ue de sécurité sécurité -on#ormité : +on -onstatation uis)u3il n3e$iste pas de document de politi)ue de
&is)ue : Ele=é "mpact "n#o "n#orm rmat atio ion n non non
sécurité le rée$amen ne s3appli)ue pas.
di=ul4ation
politi)ue de sécurité @ =alider par la direction
prot proté4 é4éé
et
ris) ris)ue ue
recommandation de +écessité de rédi4er un document de politi)ue de sécurité @ =alider par la 11
A44ra=ation des incidents de sécurité.
direction
et
périodi)uement
de ce
ré=iser
et
document
adapter sui=ant
l3é= l3é=ol olut utio ion n des des #ail #aille less dans dans le " de l3entreprise.
Chapitre 2 : rganisation de la sécurité d’in!ormation 1. rgan rganisati isation on inte interne rne But ,3or4anisation ,3or4anisation interne a pour but de érer la sécurité de l3in#ormation au s ein de l3or4anisme. our atteindre ce but nous de=ons :
-réer un comité pour dé#inir la politi)ue de sécurité. -e comité doit coordiner entre les di##érents acteurs de la société di=isions et subdi=isionsF pour anal8ser et dé#inir les besoins en
sécurité in#ormati)ue. Dans le cas échéant prendre prendre a=is de spécialist spécialistee et d3e$pert d3e$pert dans le domaine a8ant une e$périence e$périence dans la sécurité sécurité in#ormati)ue in#ormati)ue des sociétés de télécommunicationF.
1.1 "ngagement de la direction direction #is$%$#is de la sécurité de l’in!ormation Con!ormité : &on 'isque : "le#é -onstatation "mpact +ous a=ons constaté )ue la société man)ue de Di=ul4ation Di=ul4ation possible possible et #acile #acile de l3in#ormat l3in#ormation ion directi=es claires @ respecter et @ appli)uer pour la
&ecommandation "l con=ient de dé#inir une politi)ue politi)ue de sécurité sécurité pour la société con#irmé par le 12
A44ra=ation des incidents de sécurité.
direction
et
de
périodi)uement
ce
ré=iser
et
document
adapter sui=ant
l3é= l3é=ol olut utio ion n des des #ail #aille less dans dans le " de l3entreprise.
Chapitre 2 : rganisation de la sécurité d’in!ormation 1. rgan rganisati isation on inte interne rne But ,3or4anisation ,3or4anisation interne a pour but de érer la sécurité de l3in#ormation au s ein de l3or4anisme. our atteindre ce but nous de=ons :
-réer un comité pour dé#inir la politi)ue de sécurité. -e comité doit coordiner entre les di##érents acteurs de la société di=isions et subdi=isionsF pour anal8ser et dé#inir les besoins en
sécurité in#ormati)ue. Dans le cas échéant prendre prendre a=is de spécialist spécialistee et d3e$pert d3e$pert dans le domaine a8ant une e$périence e$périence dans la sécurité sécurité in#ormati)ue in#ormati)ue des sociétés de télécommunicationF.
1.1 "ngagement de la direction direction #is$%$#is de la sécurité de l’in!ormation Con!ormité : &on 'isque : "le#é -onstatation "mpact +ous a=ons constaté )ue la société man)ue de Di=ul4ation Di=ul4ation possible possible et #acile #acile de l3in#ormat l3in#ormation ion directi=es claires @ respecter et @ appli)uer pour la
&ecommandation "l con=ient de dé#inir une politi)ue politi)ue de sécurité sécurité pour la société con#irmé par le 12
sécurité
directeur de la société et appli)uer par tous les emplo8ées.
1.2 Coordination de la sécurité de l’in!ormation Con!ormité : &on 'isque : (oyen -onstatation "mpact &ecommandation +ous a=ons constaté la présence d3un &" mais *n inter=enant inter=enant peut #aire des des actions )ui ne "l con=ient de créer une collaboration entre le man)ue de sensibilisation des emplo8és @ la
sont pas con#orme @ la politi)ue de sécurité.
sécurité
les di##érent di##érentes es di=isions di=isions et subdi=isions. subdi=isions. *n audit périodi)ue assurera l3application de la politi)ue de sécurité
1.) Attri*ution des responsa*ilités en matière matière de sécurité Con!ormité : ui -onstatation
'isque : null "mpact
&ecommandation
+ous a=ons a=ons remar)ué remar)ué )ue l3acc5s l3acc5s au$ bases bases de ,3ident ,3identi#ica i#ication tion de la responsabi responsabilité lité d3acc5s d3acc5s données se #ait mo8ennant une authenti#ication @ au$ biens de cha)ue emplo8é est assurée tra=ers l3intranet de l3entreprise 1.+ ,ystème d’autorisation concernant concernant les moyens de traitement traitement de l’in!ormation Con!ormité : &on
'isque : (oyen
-onstatation
"mpact
&ecommandation
+ous a=ons constaté constaté )ue toutes les applications ,3utili ,3utilisatio sation n des ordinateur ordinateurss portables portables non Mise en Nu=re d3un s8st5me de 4estion des accessible accessibless =ia l3intranet l3intranet sont proté4ées par un connectés @ l3intranet peut Stre une source de s8st5me d3authenti#ication.
autori autorisat sation ionss
pour pour
cha)ue cha)ue
é)uipe é)uipemen mentt
di=ul4 di=ul4ati ation on et peut peut présen présenter ter un point point de personnel et des mo8ens de protection
,es emplo8és peu=ent peu=ent utiliser utiliser des ordinateurs ordinateurs =ulnérabilité du "
contre les atta)ues =ia internet 1<
sécurité
directeur de la société et appli)uer par tous les emplo8ées.
1.2 Coordination de la sécurité de l’in!ormation Con!ormité : &on 'isque : (oyen -onstatation "mpact &ecommandation +ous a=ons constaté la présence d3un &" mais *n inter=enant inter=enant peut #aire des des actions )ui ne "l con=ient de créer une collaboration entre le man)ue de sensibilisation des emplo8és @ la
sont pas con#orme @ la politi)ue de sécurité.
sécurité
les di##érent di##érentes es di=isions di=isions et subdi=isions. subdi=isions. *n audit périodi)ue assurera l3application de la politi)ue de sécurité
1.) Attri*ution des responsa*ilités en matière matière de sécurité Con!ormité : ui -onstatation
'isque : null "mpact
&ecommandation
+ous a=ons a=ons remar)ué remar)ué )ue l3acc5s l3acc5s au$ bases bases de ,3ident ,3identi#ica i#ication tion de la responsabi responsabilité lité d3acc5s d3acc5s données se #ait mo8ennant une authenti#ication @ au$ biens de cha)ue emplo8é est assurée tra=ers l3intranet de l3entreprise 1.+ ,ystème d’autorisation concernant concernant les moyens de traitement traitement de l’in!ormation Con!ormité : &on
'isque : (oyen
-onstatation
"mpact
&ecommandation
+ous a=ons constaté constaté )ue toutes les applications ,3utili ,3utilisatio sation n des ordinateur ordinateurss portables portables non Mise en Nu=re d3un s8st5me de 4estion des accessible accessibless =ia l3intranet l3intranet sont proté4ées par un connectés @ l3intranet peut Stre une source de s8st5me d3authenti#ication.
autori autorisat sation ionss
pour pour
cha)ue cha)ue
é)uipe é)uipemen mentt
di=ul4 di=ul4ati ation on et peut peut présen présenter ter un point point de personnel et des mo8ens de protection
,es emplo8és peu=ent peu=ent utiliser utiliser des ordinateurs ordinateurs =ulnérabilité du "
contre les atta)ues =ia internet 1<
portables )ui ne sont pas connectés @ l3intranet. l3intranet.
2. -ier erss But Assurer la sécurité de l3in#ormation et des mo8ens de traitement de l3in#ormation appartenant @ l3or4anisme et consultés opérés communi)ués ou 4érés par des tiers 2.1 Identi!ication des risques pro#enant des tiers tiers Con!ormité : ui 'isque : &ull -onstatation D3apr5s le -he# *nité &adio Mobile tout acc5s
"mpact
&ecommandation
"mpact
&ecommandation
par un tiers doit #aire l3obet d3une demande d3inter=ention spéci#iant le t8pe d3acc5s la date et l3obecti# 2.2 a sécurité sécurité et les clients clients Con!ormité : ui 'isque : &ull -onstatation D3apr5s le -he# *nité &adio Mobile tout acc5s par un tiers doit #aire l3obet d3une demande d3inter=ention spéci#iant le t8pe d3acc5s la date et l3obecti# 2.) a sécurité dans les les accords conclus a#ec des tiers Con!ormité : ui
'isque : null
16
portables )ui ne sont pas connectés @ l3intranet. l3intranet.
2. -ier erss But Assurer la sécurité de l3in#ormation et des mo8ens de traitement de l3in#ormation appartenant @ l3or4anisme et consultés opérés communi)ués ou 4érés par des tiers 2.1 Identi!ication des risques pro#enant des tiers tiers Con!ormité : ui 'isque : &ull -onstatation D3apr5s le -he# *nité &adio Mobile tout acc5s
"mpact
&ecommandation
"mpact
&ecommandation
par un tiers doit #aire l3obet d3une demande d3inter=ention spéci#iant le t8pe d3acc5s la date et l3obecti# 2.2 a sécurité sécurité et les clients clients Con!ormité : ui 'isque : &ull -onstatation D3apr5s le -he# *nité &adio Mobile tout acc5s par un tiers doit #aire l3obet d3une demande d3inter=ention spéci#iant le t8pe d3acc5s la date et l3obecti# 2.) a sécurité dans les les accords conclus a#ec des tiers Con!ormité : ui
'isque : null
16
-onstatation D3apr5s
le
-he#
*nité
"mpact &adio
&ecommandation
Mo bi bile
l3inte l3inter=e r=enti ntion on d3un d3un tiers tiers se #ait #ait mo8enn mo8ennant ant un contrat contrat 4arantissa 4arantissant nt l3en4a4eme l3en4a4ement nt du tiers tiers @ la protection des biens de la société
17
-onstatation D3apr5s
le
-he#
*nité
"mpact &adio
&ecommandation
Mo bi bile
l3inte l3inter=e r=enti ntion on d3un d3un tiers tiers se #ait #ait mo8enn mo8ennant ant un contrat contrat 4arantissa 4arantissant nt l3en4a4eme l3en4a4ement nt du tiers tiers @ la protection des biens de la société
17
Chapitre ) : /estion des *iens 1. 'esp 'esponsa* onsa*ilit ilités és relati#es relati#es au0 *iens But Mettre en place et maintenir une protection appropriée des biens de l3or4anisme.
19
Chapitre ) : /estion des *iens 1. 'esp 'esponsa* onsa*ilit ilités és relati#es relati#es au0 *iens But Mettre en place et maintenir une protection appropriée des biens de l3or4anisme.
19
1.1 In#entaire In#entaire des *iens *iens Con!ormité : ui
'isque : null -onstatation
"mpact
&ecommandation
"mpact
&ecommandation
+ous a=ons constaté l3e$istence d3un document dans cha)ue local contenant un in=entaire in=entaire de tous les biens 1.2 Propriété Propriété des *iens *iens -on#ormité : ui -onstatation D3apr5s le -he# *nité &adio Mobile cha)ue a4ent
&is)ue : null
manipulant un bien est tenu @ respecter son manuel ses consi4nes et assurer son bon #onctionnement. ,a #iche de #onction précise les biens concernés. 1.) tilisation correcte des *iens -on#ormité : +on &is)ue : haute -onstatation "mpact +ous a=ons constaté )ue les manuels d3utilisation erte de temps en cas de recherche
&ecommandation Etablir un document contenant la ré#érence
e$istent mais ils ne so nt pas ré#érenciés
pour cha)ue manuel d3utilisation d3un bien
,3utilisation des appareils mobiles en dehors des
&is) &is)ue ue de pert pertee des des bien bienss lors lors de leur leur
locau$ est soumise @ une autorisation =erbale
utilisation en dehors des locau$
+écessité d3établie une autorisation écrite si4né et daté
1
1.1 In#entaire In#entaire des *iens *iens Con!ormité : ui
'isque : null -onstatation
"mpact
&ecommandation
"mpact
&ecommandation
+ous a=ons constaté l3e$istence d3un document dans cha)ue local contenant un in=entaire in=entaire de tous les biens 1.2 Propriété Propriété des *iens *iens -on#ormité : ui -onstatation D3apr5s le -he# *nité &adio Mobile cha)ue a4ent
&is)ue : null
manipulant un bien est tenu @ respecter son manuel ses consi4nes et assurer son bon #onctionnement. ,a #iche de #onction précise les biens concernés. 1.) tilisation correcte des *iens -on#ormité : +on &is)ue : haute -onstatation "mpact +ous a=ons constaté )ue les manuels d3utilisation erte de temps en cas de recherche
&ecommandation Etablir un document contenant la ré#érence
e$istent mais ils ne so nt pas ré#érenciés
pour cha)ue manuel d3utilisation d3un bien
,3utilisation des appareils mobiles en dehors des
&is) &is)ue ue de pert pertee des des bien bienss lors lors de leur leur
locau$ est soumise @ une autorisation =erbale
utilisation en dehors des locau$
+écessité d3établie une autorisation écrite si4né et daté
1
2. Clas Classi!i si!ication cation des des in!ormation in!ormationss But arantir un ni=eau de protection approprié au$ in#ormations.
2.1 ignes directrices pour la classi!ication -on#ormité : +on &is)ue : haute -onstatation "mpact +ous a=ons constaté )u3il n38 a aucun document de as d3estimation de la =aleur des biens et classi#ication des in#ormations donc ris)ue de perte de biens 2.2 (arquage et manipulation de l’in!ormation -on#ormité : +on &is)ue : haute -onstatation "mpact +ous a=ons constaté )u3il n3e$iste aucun mar)ua4e &is)ue de perte des biens
&ecommandation Etablir un document de classi#ication des biens
&ecommandation Etablir un mar)ua4e de tous les biens
de l3in#ormation
1>
2. Clas Classi!i si!ication cation des des in!ormation in!ormationss But arantir un ni=eau de protection approprié au$ in#ormations.
2.1 ignes directrices pour la classi!ication -on#ormité : +on &is)ue : haute -onstatation "mpact +ous a=ons constaté )u3il n38 a aucun document de as d3estimation de la =aleur des biens et classi#ication des in#ormations donc ris)ue de perte de biens 2.2 (arquage et manipulation de l’in!ormation -on#ormité : +on &is)ue : haute -onstatation "mpact +ous a=ons constaté )u3il n3e$iste aucun mar)ua4e &is)ue de perte des biens
&ecommandation Etablir un document de classi#ication des biens
&ecommandation Etablir un mar)ua4e de tous les biens
de l3in#ormation
1>
Chapitre + : ,écurité liée au0 ressources humaines 1. A# A#ant ant le le recrute recrutement ment But
Assurer la sécurité liée au$ ressources humaines : a=iser personnel les bonnes prati)ues @ utiliser pour proté4er les rensei4nements con#identiels et nominati#s #aire un bon usa4e de leur é)uipement in#ormati)ue selon les normes et les r54les.
1.1 'les et respon responsa*il sa*ilités ités Con!ormité : &on
'isque : éle#é -onstatation
"mpact
&ecommandation
+ous a=ons constaté constaté l3abse l3absence nce d3un docume document nt "mposs "mpossibi ibilit litéé d3é=al d3é=aluer uer la respon responsab sabili ilité té &éda &édact ctio ion n
un
docum documen entt
préc précis isan antt
la
spéci#ions les responsabilités en terme de sécurité pour un salarié : ce dernier peut nier cette responsabilité et les procédures @ appli)uer pour les salariés.
responsabilité
pour cha)ue salarié.et leur sensibilisation @ l3im l3impo port rtan ance ce
de
l3ap l3appl plic icat atio ion n
des des
procédures mentionnés dans le document.
1;
Chapitre + : ,écurité liée au0 ressources humaines 1. A# A#ant ant le le recrute recrutement ment But
Assurer la sécurité liée au$ ressources humaines : a=iser personnel les bonnes prati)ues @ utiliser pour proté4er les rensei4nements con#identiels et nominati#s #aire un bon usa4e de leur é)uipement in#ormati)ue selon les normes et les r54les.
1.1 'les et respon responsa*il sa*ilités ités Con!ormité : &on
'isque : éle#é -onstatation
"mpact
&ecommandation
+ous a=ons constaté constaté l3abse l3absence nce d3un docume document nt "mposs "mpossibi ibilit litéé d3é=al d3é=aluer uer la respon responsab sabili ilité té &éda &édact ctio ion n
un
docum documen entt
préc précis isan antt
la
spéci#ions les responsabilités en terme de sécurité pour un salarié : ce dernier peut nier cette responsabilité et les procédures @ appli)uer pour les salariés.
responsabilité
pour cha)ue salarié.et leur sensibilisation @ l3im l3impo port rtan ance ce
de
l3ap l3appl plic icat atio ion n
des des
procédures mentionnés dans le document.
1;
+ous a=ons constaté l3absence des #iches de ,e salarié salarié n3assume n3assume pas sa responsabil responsabilité ité &édi &édi4e 4err des des #ich #iches es de #onc #oncti tion onss pour pour #onction pour plusieurs #onctions.
dans sa #onction.
cha)ue #onction et les approu=er =ue et si4néeF par les salariés concernés
1.2 ,élection Con!ormité : ui
'isque : null -onstatation
"mpact
,a sélection est #aite con#ormément @ la lé4islation
-ha)ue #onction est occupée par la personne
tunisienne tous les recrutements sont #aits par =oie
a8a a8ant
de concours nationau$F d3apr5s le che# unité radio
intellectuelles ph8si)ues et pro#essionnelles
de la di=ision réseau$ et " 1.) Conditions Conditions d’em*auche d’em*auche
adé)uates
Con!ormité : ui
les les
aptit ptitud udees
&ecommandation
scie scient nti# i#i) i)ue ues s
'isque : null -onstatation
"mpact
&ecommandation
+ous a=ons constaté sur un e$emple de titre de ,a relation entre salarié et entreprise entreprise est nomination )ue les recrutements sont #aits selon la clairement dé#ini loi de tra=ail et )ue la durée de sta4e est bien dé#inie ainsi )ue les conditions de rémunération
20
+ous a=ons constaté l3absence des #iches de ,e salarié salarié n3assume n3assume pas sa responsabil responsabilité ité &édi &édi4e 4err des des #ich #iches es de #onc #oncti tion onss pour pour #onction pour plusieurs #onctions.
dans sa #onction.
cha)ue #onction et les approu=er =ue et si4néeF par les salariés concernés
1.2 ,élection Con!ormité : ui
'isque : null -onstatation
"mpact
,a sélection est #aite con#ormément @ la lé4islation
-ha)ue #onction est occupée par la personne
tunisienne tous les recrutements sont #aits par =oie
a8a a8ant
de concours nationau$F d3apr5s le che# unité radio
intellectuelles ph8si)ues et pro#essionnelles
de la di=ision réseau$ et " 1.) Conditions Conditions d’em*auche d’em*auche
adé)uates
Con!ormité : ui
les les
aptit ptitud udees
&ecommandation
scie scient nti# i#i) i)ue ues s
'isque : null -onstatation
"mpact
&ecommandation
+ous a=ons constaté sur un e$emple de titre de ,a relation entre salarié et entreprise entreprise est nomination )ue les recrutements sont #aits selon la clairement dé#ini loi de tra=ail et )ue la durée de sta4e est bien dé#inie ainsi )ue les conditions de rémunération
20
2. Pend Pendant ant la durée du du contrat contrat But Veiller Veiller @ ce )ue salariés salariés soient conscients conscients des menaces pesant sur la sécurité de l3in#ormat l3in#ormation ion de leurs responsabili responsabilités tés et de la nécessité nécessité de disposer des éléments re)uis pour prendre en char4e la politi)ue de sécurité de l3or4anisme dans le cadre de leur acti=ité normale et de réduire le ris)ue d3erreur humaine.
21
2. Pend Pendant ant la durée du du contrat contrat But Veiller Veiller @ ce )ue salariés salariés soient conscients conscients des menaces pesant sur la sécurité de l3in#ormat l3in#ormation ion de leurs responsabili responsabilités tés et de la nécessité nécessité de disposer des éléments re)uis pour prendre en char4e la politi)ue de sécurité de l3or4anisme dans le cadre de leur acti=ité normale et de réduire le ris)ue d3erreur humaine.
21
1.1 'esponsa*i 'esponsa*ilités lités de la la direction direction Con!ormité : &on
'isque : éle#é -onstatation
"mpact
&ecommandation
+ous a=ons constaté )u3aucun document o##iciel ne ,es ,es sala salari riés és ne sont sont pas pas corr correc ecte teme ment nt ,a direction doit s(assurer )ue cha)ue mentionne l3obli4ation de respecter des chartes ou
in#ormés
sur
leurs
#onctions
des r54les de sécurité
responsabilités en mati5re de sécurité.
et utilisateur soit in#ormé des procédures de sécurité )ui le concerne et )u(il doit e$ercer ses #onctions dans leur respect. Elle Elle doit doit é4al é4alem emen entt
l(in l(in#o #orm rmer er des des
sanctions relati=es au nonrespect de ces procédures. 1.2 ,ensi*ilisation3 quali!ication et !ormation en matière de sécurité de l’in!ormation Con!ormité : &on
'isque : éle#é -onstatation
"mpact
&ecommandation
+ous a=ons constaté selon les plannin4s de ,3inté 3intérSt rSt porté porté @ la sécuri sécurité té diminu diminuee par ,3admin ,3administra istration tion doit sensibilise sensibiliserr les #ormation #ormation )ue les #ormations #ormations de sensibilisa sensibilisation tion @ la l3ensemble des salariés =ue )ue ces salariés
salariés @ l3importance des #ormations et
sécuri sécurité té e$iste e$istent nt mais mais )ue la sensib sensibili ilisat sation ion par n3ont pas les mSmes obecti#s et la mSme
surtout @ l3impact de la prise @ la lé45re
l3administr l3administration ation @ l3importan l3importance ce de ces actions est mentalité en termes de sécurité
de ces #ormat #ormation ionss : l3assi l3assista stance nce au$
insu##isante 1.) Processus Processus disciplina disciplinaire ire
#ormations est obli4atoire
Con!ormité : &on
'isque : éle#é -onstatation
"mpact
&ecommandation
D3apr5s notre inter=ieP a=ec le -he# *nité &adio
,es salariés sousestiment la 4ra=ité de la +écessité de mettre en place et de 22 Mobi Mobile le de la Di=i Di=isi sion on des des &ése &éseau au$ $ et " " le prise @ la lé45re de la sécurité. sécurité. publier un document o##iciel de processus disciplinaire e$iste : blCmes
pour la
politi)ue de sécurité : il #aut a=iser les
1.1 'esponsa*i 'esponsa*ilités lités de la la direction direction Con!ormité : &on
'isque : éle#é -onstatation
"mpact
&ecommandation
+ous a=ons constaté )u3aucun document o##iciel ne ,es ,es sala salari riés és ne sont sont pas pas corr correc ecte teme ment nt ,a direction doit s(assurer )ue cha)ue mentionne l3obli4ation de respecter des chartes ou
in#ormés
sur
leurs
#onctions
des r54les de sécurité
responsabilités en mati5re de sécurité.
et utilisateur soit in#ormé des procédures de sécurité )ui le concerne et )u(il doit e$ercer ses #onctions dans leur respect. Elle Elle doit doit é4al é4alem emen entt
l(in l(in#o #orm rmer er des des
sanctions relati=es au nonrespect de ces procédures. 1.2 ,ensi*ilisation3 quali!ication et !ormation en matière de sécurité de l’in!ormation Con!ormité : &on
'isque : éle#é -onstatation
"mpact
&ecommandation
+ous a=ons constaté selon les plannin4s de ,3inté 3intérSt rSt porté porté @ la sécuri sécurité té diminu diminuee par ,3admin ,3administra istration tion doit sensibilise sensibiliserr les #ormation #ormation )ue les #ormations #ormations de sensibilisa sensibilisation tion @ la l3ensemble des salariés =ue )ue ces salariés
salariés @ l3importance des #ormations et
sécuri sécurité té e$iste e$istent nt mais mais )ue la sensib sensibili ilisat sation ion par n3ont pas les mSmes obecti#s et la mSme
surtout @ l3impact de la prise @ la lé45re
l3administr l3administration ation @ l3importan l3importance ce de ces actions est mentalité en termes de sécurité
de ces #ormat #ormation ionss : l3assi l3assista stance nce au$
insu##isante 1.) Processus Processus disciplina disciplinaire ire
#ormations est obli4atoire
Con!ormité : &on
'isque : éle#é -onstatation
"mpact
&ecommandation
D3apr5s notre inter=ieP a=ec le -he# *nité &adio
,es salariés sousestiment la 4ra=ité de la +écessité de mettre en place et de 22 Mobi Mobile le de la Di=i Di=isi sion on des des &ése &éseau au$ $ et " " le prise @ la lé45re de la sécurité. sécurité. publier un document o##iciel de processus disciplinaire e$iste : blCmes
pour la
politi)ue de sécurité : il #aut a=iser les
premi5re #aute et sanctions plus sé=5res en cas de
salariés les sensibiliser et par la suite
). 4in ou modi!i modi!icatio cation n du contrat contrat But Veiller @ ce )ue les salariés contractants et utilisateurs tiers )uittent un or4anisme ou chan4ent de poste selon une procédure dé#inie.
2<
). 4in ou modi!i modi!icatio cation n du contrat contrat But Veiller @ ce )ue les salariés contractants et utilisateurs tiers )uittent un or4anisme ou chan4ent de poste selon une procédure dé#inie.
2<
1.+ 'esponsa*i 'esponsa*ilités lités en en !in du contrat contrat Con!ormité : ui
'isque : null -onstatation
"mpact
,a ré4lementation et le cadre uridi)ue de la société
réser=er la sécurité de l3or4anisme et les
&ecommandation
précisent les responsabilités et les de=oirs de tout droits des salariés salarié salarié désirant désirant )uitter )uitter l3or4anis l3or4anisme me ou chan4er chan4er de poste
1.5 'estitution 'estitution des *iens Con!ormité : ui
'isque : null -onstatation
"mpact
6’après notre inter#ie7 a#ec le Che! nité 'adio
réser=er les biens de l3or4anisme et assurer
&ecommandation
(o*i (o*ile le de la 6i#i 6i#isi sion on des des 'ése 'éseau au0 0 et ,I3 ,I3 le la continuité du ser=ice. proces processus sus de resti restitut tution ion de *iens *iens e0iste e0iste et que
tous les salariés restituent la totalité des biens de l’organis l’organisme me qu’ils ont en leur posses possessio sion n à la fn de leur période d’emploi ou contrat. 1.8 'etrait 'etrait des des droits droits d’accès d’accès Con!ormité : ui
'isque : null -onstatation
"mpact
D3apr5s notre inter=ieP a=ec le -he# *nité &adio
réser=er la con#identialité de l3in#ormation
Mobile de la Di=ision des &éseau$ et " l3acc5s
et les biens de l3or4anisme
&ecommandation 26
1.+ 'esponsa*i 'esponsa*ilités lités en en !in du contrat contrat Con!ormité : ui
'isque : null -onstatation
"mpact
,a ré4lementation et le cadre uridi)ue de la société
réser=er la sécurité de l3or4anisme et les
&ecommandation
précisent les responsabilités et les de=oirs de tout droits des salariés salarié salarié désirant désirant )uitter )uitter l3or4anis l3or4anisme me ou chan4er chan4er de poste
1.5 'estitution 'estitution des *iens Con!ormité : ui
'isque : null -onstatation
"mpact
6’après notre inter#ie7 a#ec le Che! nité 'adio
réser=er les biens de l3or4anisme et assurer
&ecommandation
(o*i (o*ile le de la 6i#i 6i#isi sion on des des 'ése 'éseau au0 0 et ,I3 ,I3 le la continuité du ser=ice. proces processus sus de resti restitut tution ion de *iens *iens e0iste e0iste et que
tous les salariés restituent la totalité des biens de l’organis l’organisme me qu’ils ont en leur posses possessio sion n à la fn de leur période d’emploi ou contrat. 1.8 'etrait 'etrait des des droits droits d’accès d’accès Con!ormité : ui
'isque : null -onstatation
"mpact
D3apr5s notre inter=ieP a=ec le -he# *nité &adio
réser=er la con#identialité de l3in#ormation
Mobile de la Di=ision des &éseau$ et " l3acc5s
et les biens de l3or4anisme
&ecommandation 26
h si ue et lo i ue de tout tout sala salari riéé dési désira rant nt uitt uitter er ou
Chapitre 5 : ,écurité physique et en#ironnementale 1. 9o 9ones nes sécuri sécurisée séess But ré=enir l(acc5s ph8si)ue non autorisé ou inutile @ l(in#ormation
27
Chapitre 5 : ,écurité physique et en#ironnementale 1. 9o 9ones nes sécuri sécurisée séess But ré=enir l(acc5s ph8si)ue non autorisé ou inutile @ l(in#ormation
27
1.1 Périmètre de sécurité physique Con!ormité : ui
'isque : null -onstatation
+ous
constatons
télé téléco comm mmun unic icat atio ion n
"mpact
)ue
,es
é)uipements
ains ainsii
)ue
les les
&ecommandation
de ,e péri périm5 m5tr tree de sécu sécuri rité té ph8si) ph8si)ue ue est est
é)ui é)uipe peme ment ntss proté4é par l3ensemble des précautions ,3utilisation ,3utilisation des caméras de sur=eillance
inter=enant dans le s8st5me d3in#ormation sont située dans des locau$ #ermés @ clé.
établies par la société
peut ren#orcer le périm5tre de sécurité ph8si)ue
+ous constatons )ue toutes personnes étran45re doit laisser sa -"+ dans le bureau d3accueil situé @ la porte d3entrée. ,a =isite des Tones sensible par ces personnes est touours accompa4née par un a4ent de la société. D3apr5s le che# unité radio mobile les inter=enants e$ternes sur les é)uipements doi=ent inscrire leurs identités la date l3heure d3entrée/sortie et la raison d3inter=ention dans un cahier d3inter=ention. +ous constatons é4alement la présence d3un s 8st5me de détect détection ion/e$ /e$tin tincti ction on d3ince d3incendi ndiee dans dans tous tous les locau$ locau$ d3é)uipeme d3é)uipement. nt. ,es bureau$ bureau$ et les couloirs sont é)uipés d3e$tincteurs manuels. D3apr5s le che# unité radio mobile les sites éloi4nés sont é)uipés d3un s8st5me de détection détection d3intrusio d3intrusion: n: l3acc5s au site doit se #aire mo8ennant l3introduction d3un code secret dans les 20s )ui suit l3ou=erture de la porte d3entrée si non déclanchement d3une sir5ne d3al d3alar arme me et en=o en=oie ie d3un d3un sms sms d3intrusion au responsable concerné.
de noti noti#i #ica cati tion on
29
1.1 Périmètre de sécurité physique Con!ormité : ui
'isque : null -onstatation
+ous
constatons
télé téléco comm mmun unic icat atio ion n
"mpact
)ue
,es
é)uipements
ains ainsii
)ue
les les
&ecommandation
de ,e péri périm5 m5tr tree de sécu sécuri rité té ph8si) ph8si)ue ue est est
é)ui é)uipe peme ment ntss proté4é par l3ensemble des précautions ,3utilisation ,3utilisation des caméras de sur=eillance
inter=enant dans le s8st5me d3in#ormation sont située dans des locau$ #ermés @ clé.
établies par la société
peut ren#orcer le périm5tre de sécurité ph8si)ue
+ous constatons )ue toutes personnes étran45re doit laisser sa -"+ dans le bureau d3accueil situé @ la porte d3entrée. ,a =isite des Tones sensible par ces personnes est touours accompa4née par un a4ent de la société. D3apr5s le che# unité radio mobile les inter=enants e$ternes sur les é)uipements doi=ent inscrire leurs identités la date l3heure d3entrée/sortie et la raison d3inter=ention dans un cahier d3inter=ention. +ous constatons é4alement la présence d3un s 8st5me de détect détection ion/e$ /e$tin tincti ction on d3ince d3incendi ndiee dans dans tous tous les locau$ locau$ d3é)uipeme d3é)uipement. nt. ,es bureau$ bureau$ et les couloirs sont é)uipés d3e$tincteurs manuels. D3apr5s le che# unité radio mobile les sites éloi4nés sont é)uipés d3un s8st5me de détection détection d3intrusio d3intrusion: n: l3acc5s au site doit se #aire mo8ennant l3introduction d3un code secret dans les 20s )ui suit l3ou=erture de la porte d3entrée si non déclanchement d3une sir5ne d3al d3alar arme me et en=o en=oie ie d3un d3un sms sms
de noti noti#i #ica cati tion on
29
d3intrusion au responsable concerné. 3
1 ,é ,écu curi rité té du du maté matéri riel el But EmpScher la perte l3endomma4ement le =ol ou la compromission des biens et l3interruption des acti=ités de l3or4anisme.
2
1 ,é ,écu curi rité té du du maté matéri riel el But EmpScher la perte l3endomma4ement le =ol ou la compromission des biens et l3interruption des acti=ités de l3or4anisme.
2
1.8 Choi0 de l’emplacement l’emplacement et protection du du matériel Con!ormité : ui
'isque : null
-onstatation
"mpact
&ecommandation
"mpact
&ecommandation
+ous a=ons constaté )ue les mesures =isant @ réduire les menaces ph8si)ues sont prises : 4ardienna4e et contrUle d3acc5s au locau$ détection / e$tinction incendie manuelle et automati)ue les é)uipements sont situés @ l3éta4e. ,es sondes de détection de température sont présentes dans les locau$ d3é)uipements. 1. ,er#ices ,er#ices générau0 générau0 -on#ormité : ui
&is)ue : null
-onstatation D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile l3alim l3aliment entati ation on en éner4 éner4ie ie est sécuri sécurisée sée par l3ut l3util ilis isaation tion
des des
bat batter teries ies
con contr trUl Uléé
périodi)uementF et l3utilisation des 4roupes électro45nes super=isés @ distance et testé une #ois #ois par semain semaineF. eF. ,3utilis utilisati ation on de couran courantt ondulé et de redresseurs permet de détecter les anom anomal alie iess
éner éner4i 4iee
et de décl déclen ench cher er des des
alarmes. 1.; ,écurité ,écurité de c<*lage c<*lage 2> -on#ormité : ui
&is)ue : null
1.8 Choi0 de l’emplacement l’emplacement et protection du du matériel Con!ormité : ui
'isque : null
-onstatation
"mpact
&ecommandation
"mpact
&ecommandation
+ous a=ons constaté )ue les mesures =isant @ réduire les menaces ph8si)ues sont prises : 4ardienna4e et contrUle d3acc5s au locau$ détection / e$tinction incendie manuelle et automati)ue les é)uipements sont situés @ l3éta4e. ,es sondes de détection de température sont présentes dans les locau$ d3é)uipements. 1. ,er#ices ,er#ices générau0 générau0 -on#ormité : ui
&is)ue : null
-onstatation D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile l3alim l3aliment entati ation on en éner4 éner4ie ie est sécuri sécurisée sée par l3ut l3util ilis isaation tion
des des
bat batter teries ies
con contr trUl Uléé
périodi)uementF et l3utilisation des 4roupes électro45nes super=isés @ distance et testé une #ois #ois par semain semaineF. eF. ,3utilis utilisati ation on de couran courantt ondulé et de redresseurs permet de détecter les anom anomal alie iess
éner éner4i 4iee
et de décl déclen ench cher er des des
alarmes. 1.; ,écurité ,écurité de c<*lage c<*lage 2> -on#ormité : ui
&is)ue : null
Chapitre 8 : /estion de l’e0ploitation et des télécommunications 1. Procédure Procéduress et responsa*ilité responsa*ilitéss liées % l’e0ploitation l’e0ploitation But Assurer l3e$ploitation correcte et sécurisée des mo8ens de traitement de l3in#ormation
2;
Chapitre 8 : /estion de l’e0ploitation et des télécommunications 1. Procédure Procéduress et responsa*ilité responsa*ilitéss liées % l’e0ploitation l’e0ploitation But Assurer l3e$ploitation correcte et sécurisée des mo8ens de traitement de l3in#ormation
2;
1.1 Procédures d’e0ploitation documentées documentées Con!ormité : ui
'isque : null -onstatation
+ous
a=ons
constaté
"mpact
)ue
les
&ecommandation
procédures
d3e$pl d3e$ploit oitati ation on sont sont docume documenté ntées es sous sous #orme #orme élec électr tron oni) i)ue ue
supe super= r=is isio ion n
des des
s8st s8st5m 5mes es
de
télécommunications sau=e4arde redémarra4e et récupération suite crashF 1.2 /estion /estion des modi!ications modi!ications -on#ormité : ui
&is)ue : null
-onstatation
"mpact
&ecommandation
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile les modi#i modi#icat cation ionss sont soumise soumisess @ une demand demandee d3in d3inte ter= r=en enti tion on
pro4 pro4ra ramm mmée ée..
l3int l3inter er=e =ent ntio ion n
de
A
modi modi#i #ica cati tion on
,a un
#in #in
de
ema email il
décri=ant les opérations doit Stre en=o8é @ toute personne concerné. 1.) ,éparation ,éparation des t
&is)ue : null
-onstatation
"mpact
&ecommandation
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile les #iches de #onctions précisent les tCches de cha)ue a4ent
<0 1.+ ,éparation des équipements de dé#eloppement3 dé#eloppement3 de test et d’e0ploitation
-on#ormité : ui
&is)ue : null
1.1 Procédures d’e0ploitation documentées documentées Con!ormité : ui
'isque : null -onstatation
+ous
a=ons
constaté
"mpact
)ue
les
&ecommandation
procédures
d3e$pl d3e$ploit oitati ation on sont sont docume documenté ntées es sous sous #orme #orme élec électr tron oni) i)ue ue
supe super= r=is isio ion n
des des
s8st s8st5m 5mes es
de
télécommunications sau=e4arde redémarra4e et récupération suite crashF 1.2 /estion /estion des modi!ications modi!ications -on#ormité : ui
&is)ue : null
-onstatation
"mpact
&ecommandation
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile les modi#i modi#icat cation ionss sont soumise soumisess @ une demand demandee d3in d3inte ter= r=en enti tion on
pro4 pro4ra ramm mmée ée..
l3int l3inter er=e =ent ntio ion n
de
A
modi modi#i #ica cati tion on
,a un
#in #in
de
ema email il
décri=ant les opérations doit Stre en=o8é @ toute personne concerné. 1.) ,éparation ,éparation des t
&is)ue : null
-onstatation
"mpact
&ecommandation
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile les #iches de #onctions précisent les tCches de cha)ue a4ent
<0 1.+ ,éparation des équipements de dé#eloppement3 dé#eloppement3 de test et d’e0ploitation
-on#ormité : ui
&is)ue : null
1 /esti /estion on de la pres prestati tation on de ser#ice ser#ice par un un tiers But Mettre en Nu=re et maintenir un ni=eau de sécurité de l3in#ormation et de ser=ice adé)uat et con#orme au$ accords de prestation de ser=ice par un tiers
<1
1 /esti /estion on de la pres prestati tation on de ser#ice ser#ice par un un tiers But Mettre en Nu=re et maintenir un ni=eau de sécurité de l3in#ormation et de ser=ice adé)uat et con#orme au$ accords de prestation de ser=ice par un tiers
<1
1.5 Prestation Prestation de ser#ice ser#ice Con!ormité : ui
'isque : null -onstatation
"mpact
&ecommandation
D3ap D3apr5 r5ss le -he# -he# de l3*n l3*nit itéé &adi &adio o Mobi Mobile le l3inter=ention des tiers est soumise @ des contrats )ui dé#ini dé#inisse ssent nt les ser=ic ser=ices es et les ni=eau ni=eau$ $ de prestation 1.8 ,ur#eillance et rée0amen rée0amen des ser#ices ser#ices tiers -on#ormité : ui
&is)ue : null
-onstatation
"mpact
&ecommandation
D3ap D3apr5 r5ss le -he# -he# de l3*n l3*nit itéé &adi &adio o Mobi Mobile le l3inter=ention des tiers est couronnée par l3en=oi d3un d3un ema email il )ui )ui perm permet ettr traa de sur= sur=ei eill ller er les les ni=eau$ de per#ormance du ser=ice 1. /estion des modi!ications dans dans les ser#ices tiers tiers -on#ormité : ui
&is)ue : null
-onstatation
"mpact
&ecommandation
D3apr D3apr5s 5s le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile les chan4ement chan4ementss dans la prestation prestation de ser=ice ser=ice #ont l3obet d3un contrat établis entre les deu$ parties
<2
1.5 Prestation Prestation de ser#ice ser#ice Con!ormité : ui
'isque : null -onstatation
"mpact
&ecommandation
D3ap D3apr5 r5ss le -he# -he# de l3*n l3*nit itéé &adi &adio o Mobi Mobile le l3inter=ention des tiers est soumise @ des contrats )ui dé#ini dé#inisse ssent nt les ser=ic ser=ices es et les ni=eau ni=eau$ $ de prestation 1.8 ,ur#eillance et rée0amen rée0amen des ser#ices ser#ices tiers -on#ormité : ui
&is)ue : null
-onstatation
"mpact
&ecommandation
D3ap D3apr5 r5ss le -he# -he# de l3*n l3*nit itéé &adi &adio o Mobi Mobile le l3inter=ention des tiers est couronnée par l3en=oi d3un d3un ema email il )ui )ui perm permet ettr traa de sur= sur=ei eill ller er les les ni=eau$ de per#ormance du ser=ice 1. /estion des modi!ications dans dans les ser#ices tiers tiers -on#ormité : ui
&is)ue : null
-onstatation
"mpact
&ecommandation
D3apr D3apr5s 5s le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile les chan4ement chan4ementss dans la prestation prestation de ser=ice ser=ice #ont l3obet d3un contrat établis entre les deu$ parties
<2
2 Plani Plani!icat !ication ion et et acceptat acceptation ion du du système système But &éduire le plus possible le ris)ue de pannes du s8st5me @ tra=ers une plani#ication pour assurer la disponibilité des ressources et o##rir les per#ormances re)uises.
<<
2 Plani Plani!icat !ication ion et et acceptat acceptation ion du du système système But &éduire le plus possible le ris)ue de pannes du s8st5me @ tra=ers une plani#ication pour assurer la disponibilité des ressources et o##rir les per#ormances re)uises.
<<
)
P
1.; 6imension 6imensionneme nement nt Con!ormité : ui
'isque : null -onstatation
r "mpact
&ecommandation
o
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile des
t
mesures de la )ualité de ser=ice &adio +etPork
e
ptimiTer ptimiTerFF permetten permettentt d3établir d3établir des statisti)ue statisti)ues. s.
c
-es statisti)ues #ont la base pour dimensionner les
t
s8st5mes et appli)uer les ré4la4es 1.= Acceptation Acceptation du système système -on#ormité : ui
i &is)ue : null
-onstatation
"mpact
o &ecommandation
n
D3apr5s le -he# de l3*nité &adio Mobile toute ac)uisition de nou=eau s8st5me doit #aire l3obet d3un d3unee acce accept ptat atio ion n
muni muniee de tous tous les les test testss
nécessaires. ,e document d3acceptation doit Stre approu=é et si4né
contre les codes mal#eillants et mo*iles But roté4er l3inté4rité des lo4iciels et de l3in#ormation <6
)
P
1.; 6imension 6imensionneme nement nt Con!ormité : ui
'isque : null -onstatation
r "mpact
&ecommandation
o
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile des
t
mesures de la )ualité de ser=ice &adio +etPork
e
ptimiTer ptimiTerFF permetten permettentt d3établir d3établir des statisti)ue statisti)ues. s.
c
-es statisti)ues #ont la base pour dimensionner les
t
s8st5mes et appli)uer les ré4la4es 1.= Acceptation Acceptation du système système
i
-on#ormité : ui
&is)ue : null
-onstatation
"mpact
o &ecommandation
n
D3apr5s le -he# de l3*nité &adio Mobile toute ac)uisition de nou=eau s8st5me doit #aire l3obet d3un d3unee acce accept ptat atio ion n
muni muniee de tous tous les les test testss
nécessaires. ,e document d3acceptation doit Stre approu=é et si4né
contre les codes mal#eillants et mo*iles But roté4er l3inté4rité des lo4iciels et de l3in#ormation <6
1.1> 1.1>
+
(esure (esuress contre contre les les codes codes mal# mal#eil eillan lants ts
Con!ormité : ui
'isque : null -onstatation
, "mpact
&ecommandation
a
+ous a=ons constaté )ue cha)ue acc5s au$
u
ordinateur ordinateurss se #ait mo8ennant mo8ennant des sessions sessions par
#
lo4in et mot de passe : l3administrateur s8st5me
e
inter interdit dit toute toute instal installat lation ion de tout tout lo4ici lo4iciel el ou suit suitee
g
inter=entio inter=ention n de l3administr l3administrateur ateur.. De mSme les
a
appli applica cati tion on..
,es ,es
inst instal alla lati tions ons se
#ont #ont
mises mises @ ours ours sont sont #ait #ait automa automati) ti)uem uement ent =ia
r
l3inta l3intarne rnet. t. ,3anti 3anti=ir =irus us mis @ our our permet permet de
d
détecter et réparer le code mail =eillant. 1.11 1.11 (esure (esuress cont contre re le code code mo*i mo*ile le Con!ormité : ui
e
'isque : null -onstatation
"mpact
&ecommandation
D3apr5s le -he# de l3*nité &adio Mobile toute utilis utilisati ation on de code code mobile mobile se #ait #ait sur des portables isolés de l3"ntranet. l3"ntranet.
But Maintenir l3inté4rité et la disponibilité des in#ormations et des mo8ens de traitement de l3in#ormation <7
1.1> 1.1>
+
(esure (esuress contre contre les les codes codes mal# mal#eil eillan lants ts
Con!ormité : ui
'isque : null -onstatation
, "mpact
&ecommandation
a
+ous a=ons constaté )ue cha)ue acc5s au$
u
ordinateur ordinateurss se #ait mo8ennant mo8ennant des sessions sessions par
#
lo4in et mot de passe : l3administrateur s8st5me
e
inter interdit dit toute toute instal installat lation ion de tout tout lo4ici lo4iciel el ou suit suitee
g
inter=entio inter=ention n de l3administr l3administrateur ateur.. De mSme les
a
appli applica cati tion on..
,es ,es
inst instal alla lati tions ons se
#ont #ont
mises mises @ ours ours sont sont #ait #ait automa automati) ti)uem uement ent =ia
r
l3inta l3intarne rnet. t. ,3anti 3anti=ir =irus us mis @ our our permet permet de
d
détecter et réparer le code mail =eillant. 1.11 1.11 (esure (esuress cont contre re le code code mo*i mo*ile le Con!ormité : ui
e
'isque : null -onstatation
"mpact
&ecommandation
D3apr5s le -he# de l3*nité &adio Mobile toute utilis utilisati ation on de code code mobile mobile se #ait #ait sur des portables isolés de l3"ntranet. l3"ntranet.
But Maintenir l3inté4rité et la disponibilité des in#ormations et des mo8ens de traitement de l3in#ormation <7
5
1.12 1.12
/
,au# ,au#eg egar arde de des des in!orm in!ormat atio ions ns
Con!ormité : ui
'isque : null -onstatation
e "mpact
&ecommandation
s
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile des
t
sau=e4ardes sont e##ectués périodi)uement : une
i
copie e##ectuée est stockée en local #a$F et une autre copie e##ectuée automati)uement est stocké @ 'unis 'unis.. ,es sau=e4 sau=e4ard ardes es sont de deu$ deu$ t8pes t8pes :
o n
sau=e4arde s8st5me et sau=e4arde de données.
de la sécurité des réseau0 But Assurer la protection des in#ormations sur les réseau$ et la protection de l3in#rastructure sur la)uelle ils s3appuient.
<9
5
1.12 1.12
/
,au# ,au#eg egar arde de des des in!orm in!ormat atio ions ns
Con!ormité : ui
'isque : null -onstatation
e "mpact
&ecommandation
s
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile des
t
sau=e4ardes sont e##ectués périodi)uement : une
i
copie e##ectuée est stockée en local #a$F et une
o
autre copie e##ectuée automati)uement est stocké
n
@ 'unis 'unis.. ,es sau=e4 sau=e4ard ardes es sont de deu$ deu$ t8pes t8pes : sau=e4arde s8st5me et sau=e4arde de données.
de la sécurité des réseau0 But Assurer la protection des in#ormations sur les réseau$ et la protection de l3in#rastructure sur la)uelle ils s3appuient.
<9
8
1.1) 1.1)
(
(esu (esure ress sur sur les les rés résea eau0 u0
Con!ormité : ui
'isque : null -onstatation
a "mpact
&ecommandation
n
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile la
i
protection des réseau$ publics et sans #ils est
p
assuré assuréee par cr8pta4 cr8pta4ee et par mise en place place de
u
mécanismes d3authenti#ication 1.1+ ,écuri ,écurité té des ser#ic ser#ices es réseau réseau0 0 Con!ormité : ui
l
'isque : null -onstatation
a "mpact
&ecommandation
ti
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile la
o
sécurité sécurité des ser=ices ser=ices réseau$ est assurée assurée par une
n
limit imitaation tion
au$
ser ser=ic =ices
néce nécess ssai aire ress
au
#onctionnem #onctionnement ent : les ser=ices ser=ices non utilisés utilisés sont désacti=és par l3administrateur
des supports But EmpScher la di=ul4ation la modi#ication le retrait ou la destruction non autorisé de biens et l3interruption des acti=ités de l3or4anisme
<
8
1.1) 1.1)
(
(esu (esure ress sur sur les les rés résea eau0 u0
Con!ormité : ui
'isque : null
a
-onstatation
"mpact
&ecommandation
n
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile la
i
protection des réseau$ publics et sans #ils est
p
assuré assuréee par cr8pta4 cr8pta4ee et par mise en place place de
u
mécanismes d3authenti#ication 1.1+ ,écuri ,écurité té des ser#ic ser#ices es réseau réseau0 0 Con!ormité : ui
l
'isque : null
a
-onstatation
"mpact
&ecommandation
ti
D3apr5 D3apr5ss le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile la
o
sécurité sécurité des ser=ices ser=ices réseau$ est assurée assurée par une
n
limit imitaation tion
au$
ser ser=ic =ices
néce nécess ssai aire ress
au
#onctionnem #onctionnement ent : les ser=ices ser=ices non utilisés utilisés sont désacti=és par l3administrateur
des supports But EmpScher la di=ul4ation la modi#ication le retrait ou la destruction non autorisé de biens et l3interruption des acti=ités de l3or4anisme
<
1.15 1.15
/estion /estion des suppor supports ts amo#i* amo#i*les les
Con!ormité : ui
'isque : null
-onstatation
"mpact
&ecommandation
"mpact
&ecommandation
D3apr5s le -he# de l3*nité &adio Mobile les supports amo=ibles sont stockés et un re4istre est mis @ our pour conser=er l3histori)ue des supports de stocka4e 1.18 1.18 (ise (ise au au re*u re*utt des des supp suppor orts ts Con!ormité : ui
'isque : null
-onstatation D3apr5s le -he# de l3*nité &adio Mobile les suppor supports ts mis au rebut rebut sont sont récupé récupérés rés par la Di=ision &éseau et " )ui prend en char4e leur destruction 1.1 1.1
Procé Procédur dures es de manipu manipulat lation ion des des in!ormati in!ormations ons
Con!ormité : ui
'isque : null
-onstatation
"mpact
&ecommandation
D3apr D3apr5s 5s le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile le stoc stocka ka4e 4e des des
in#o in#orm rmat atio ions ns est est
con# con#ié ié au$ au$
personnes habilitées et tout acc5s au$ supports archi=és doit Stre inscrit dans un re4istre préparé @ cet e##et. 1.1; 1.1;
,écuri ,écurité té de la docum document entatio ation n systè système me
Con!ormité : ui -onstatation
<>
'isque : null "mpact
&ecommandation
1.15 1.15
/estion /estion des suppor supports ts amo#i* amo#i*les les
Con!ormité : ui
'isque : null
-onstatation
"mpact
&ecommandation
"mpact
&ecommandation
D3apr5s le -he# de l3*nité &adio Mobile les supports amo=ibles sont stockés et un re4istre est mis @ our pour conser=er l3histori)ue des supports de stocka4e 1.18 1.18 (ise (ise au au re*u re*utt des des supp suppor orts ts Con!ormité : ui
'isque : null
-onstatation D3apr5s le -he# de l3*nité &adio Mobile les suppor supports ts mis au rebut rebut sont sont récupé récupérés rés par la Di=ision &éseau et " )ui prend en char4e leur destruction 1.1 1.1
Procé Procédur dures es de manipu manipulat lation ion des des in!ormati in!ormations ons
Con!ormité : ui
'isque : null
-onstatation
"mpact
&ecommandation
D3apr D3apr5s 5s le -he# -he# de l3*nit l3*nitéé &adio &adio Mobile Mobile le stoc stocka ka4e 4e des des
in#o in#orm rmat atio ions ns est est
con# con#ié ié au$ au$
personnes habilitées et tout acc5s au$ supports archi=és doit Stre inscrit dans un re4istre préparé @ cet e##et. 1.1; 1.1;
,écuri ,écurité té de la docum document entatio ation n systè système me
Con!ormité : ui
<>
'isque : null
-onstatation
"mpact
&ecommandation
Chapitre : Audit technique Introduction Apr5s Apr5s a=oir abordé l3audit or4anisationne or4anisationnell et ph8si)ue ph8si)ue nous nous intéresser intéresserons ons @ l3audit l3audit techni)ue. techni)ue. Dans cette étape nous e$amineron e$amineronss l3architecture du réseau les con#i4urations matérielles et lo4icielles le #lu$ circulant sur le réseau les é)uipements d3interconne$ion et les é)uipements de sécurité e$istants. ,3obect ,3obecti# i# étant étant d3essa8er d3essa8er de détecter détecter les anomalies anomalies et les #ailles #ailles )ui peu=ent peu=ent constituer constituer une menace menace pour l3e$ploitation l3e$ploitation des di##érent di##érentes es composantes du s8st5me d3in#ormation.
1. 6éro 6érouleme ulement nt de l’audit l’audit technique technique ,(audit techni)ue s(e##ectue en trois phases :
<;
Chapitre : Audit technique Introduction Apr5s Apr5s a=oir abordé l3audit or4anisationne or4anisationnell et ph8si)ue ph8si)ue nous nous intéresser intéresserons ons @ l3audit l3audit techni)ue. techni)ue. Dans cette étape nous e$amineron e$amineronss l3architecture du réseau les con#i4urations matérielles et lo4icielles le #lu$ circulant sur le réseau les é)uipements d3interconne$ion et les é)uipements de sécurité e$istants. ,3obect ,3obecti# i# étant étant d3essa8er d3essa8er de détecter détecter les anomalies anomalies et les #ailles #ailles )ui peu=ent peu=ent constituer constituer une menace menace pour l3e$ploitation l3e$ploitation des di##érent di##érentes es composantes du s8st5me d3in#ormation.
1. 6éro 6érouleme ulement nt de l’audit l’audit technique technique ,(audit techni)ue s(e##ectue en trois phases :
<;
1.1 Phases de l’audit 1.1.1 Ph Phas ase e 1: Au Audi ditt de l’ l’ar arch chit ite ect ctu ure du sy syst stè ème et de des s équipements réseau : our é=aluer le ni=eau de sécurité d(un réseau il #aut d(abord le connaHtre. Au cours de cette phase l3auditeur e##ectue un in=entaire du matériel lo4iciels et é)uipements réseau. "l e##ectue des tests de sonda4e réseau et s8st5me pour déterminer les ser=ices réseau et les t8pes d(applications utilisées.
1.1. 1. 1.2 2 Ph Phas ase e 2 : Au Audi ditt de des s se serv rveu eurs rs et de des s po post stes es de tr trav avai ail l sensibles Au cour courss de cette cette phase phase l(aud l(audite iteur ur déter détermi mine ne @ l(aid l(aidee des des résu résult ltats ats obten obtenus us @ l(éta l(étape pe précédente les =ulnérabilités des ser=eurs et des postes de tra=ail. Ainsi l(auditeur teste la résistance du s8st5me #ace au$ #ailles connues
1.1.3 Phase 3: Test intrusi
1.1 Phases de l’audit 1.1.1 Ph Phas ase e 1: Au Audi ditt de l’ l’ar arch chit ite ect ctu ure du sy syst stè ème et de des s équipements réseau : our é=aluer le ni=eau de sécurité d(un réseau il #aut d(abord le connaHtre. Au cours de cette phase l3auditeur e##ectue un in=entaire du matériel lo4iciels et é)uipements réseau. "l e##ectue des tests de sonda4e réseau et s8st5me pour déterminer les ser=ices réseau et les t8pes d(applications utilisées.
1.1. 1. 1.2 2 Ph Phas ase e 2 : Au Audi ditt de des s se serv rveu eurs rs et de des s po post stes es de tr trav avai ail l sensibles Au cour courss de cette cette phase phase l(aud l(audite iteur ur déter détermi mine ne @ l(aid l(aidee des des résu résult ltats ats obten obtenus us @ l(éta l(étape pe précédente les =ulnérabilités des ser=eurs et des postes de tra=ail. Ainsi l(auditeur teste la résistance du s8st5me #ace au$ #ailles connues
1.1.3 Phase 3: Test intrusi ,(obecti# des tests intrusi#s est de mesurer la con#ormité des con#i4urations é)uipements réseau$ #irePall commutateurs sondes etc. a=ec la politi)ue de sécurité dé#inie. ,es tests d(intrusion sont réalisés apr5s autorisation du client et reposent sur un ensemble de scénarios d(atta)ues e$pertes mis en Nu=re pour compromettre un s8st5me d(in#ormation.
1.2 1. 2 Aud Audit it de l’a l’arch rchite itectu cture re du ss sstèm tème e et des équ équipe ipemen ments ts de réseau "l s3a4it de déterminer l3architecture la topolo4ie ainsi )ue les é)uipements réseau.
1.2.1 Architecture
60
+ous a=ons constaté )ue le irePall irePa ll et le &outeurD&'#a$ &outeurD&'#a$ sont situés dans le mSme local salle ser=eur de la di=ision "F. ,es di##érents sites de la Di=ision des &éseau$ sont reliés soit par des liaisons QD, modem W&'-F W&'-F soit des liaisons #ibres opti)ues. ,e réseau est se4menté en cin) sousréseau$ attribués @ :
,a Di=ision des &éseau$ ,a D&' #a$ ,es é)uipements Voi$ sur " D&' #a$ V"F ,es in=ités e$perts désirant inter=enir sur le routeur ,e terminal de Mana4ement permettant d3administrer le #irePall et le routeur
,3acc5s @ internet et "ntranet se #ait =ia une liaison haut débit 20 Mbits/s.
1.2.2 Topolo!i Topolo!ie e ,3architectu 3architecture re montre une topolo4ie topolo4ie h8bride. En e##et tous les sous réseau$ et é)uipements é)uipements sont connectés @ un nNud concentri)ue le routeurF. D3autre part la topolo4ie au sein de la D&' et de la di=ision des réseau$ est e st en anneau.
61
1.! "ondage des sstèmes et des équipements # 1.3.1 "onda!e des systèmes : ,e sonda4e des s8st5mes consiste @ identi#ier les s8st5mes d3e$ploitation des di##érents é)uipe é)uipemen ments ts du réseau réseau les ressourc ressources es parta4ée parta4éess ainsi ainsi )ue les droits droits d3acc5s d3acc5s )ui )ui 8 sont sont appli)ués et en#in le ni=eau de mises @ our our et des patches appli)ués.
+ous a=ons constaté )ue le s8st5me d3e$ploitation le plus utilisé est : RindoPs RindoPs $p. D3apr5s le che# unité radio toutes les copies de RindoPs utilisées sont des copies ori4inales et a=ec licences.
D3apr5s le che# unité radio tous les lo4iciels utilisés sont des lo4iciels a=ec licences et a=ec la possibilité de mise @ our automati)ue.
1.3.2 "onda!e des ports : "l s3a4it d3utiliser l3outil " pour détecter les ports ou=erts sur les é)uipements acti#s du réseau local.
62
+ous a=ons constaté )ue les ports ou=erts sont sou=ent des ports '-. '-.
1.3.3 "onda!e du #u$ et des services : "l s3a4it d3utiliser l3outil J Pireshark K pour #aire un sonda4e du #lu$ )ui circule dans le réseau. J Pireshark K est un outil )ui permet de d3anal8ser le tra#ic circulant dans le réseau.
6<
,a répartition de l3utilisation des protocoles montre )ue '- est le plus utilisé et en second lieu *D.
66
,3anal8se du tra#ic montre )ue le réseau est #iable : pas d3erreur de transmission.
1.3.% "onda!e des applications : -onsiste @ énumérer les applications les plus importantes leurs =ersion et @ anal8ser les contrUles d3acc5s et les méthodes d3authenti#ication. +ous a=ons constaté l3utilisation de : les produits bureauti)ues de Microso#t 67
les applications propriétaires : o " spéci#i)ue @ la 4estion d3abonnés tel )ue l3enre4istrement d3un nou=el o o
abonnée la suspension d3abonnéX E& spéci#i)ue @ la 4estion de la client5le telle )ue la #acturation Rork#loP spéci#i)ue @ la 4estion des ordres de tra=au$ tels )ue la maintenance
,3acc5s @ tous ces applications se #ait mo8ennant une authenti#ication par lo4in et mot de passe.
1.$ Audit des ser%eurs et des postes de tra%ail sensibles 1.%.1 &étection des ailles de sécurité ,a phase Détection des #ailles est scindée en deu$ étapes:
*ne *ne prem premi5r i5ree étap étapee consi consist stee @ un bala8 bala8a4 a4ee 4lob 4lobal al pour pour la déte détecti ction on des des #aill #ailles es
présentes sur tous les é)uipements )ui constituent le s8st5me d3in#ormation ,a deu$i5me étape consiste @ détecter et @ identi#ier les machines les plus =ulnérables et réaliser par la suite un scan ciblé et appro#ondi de ces é)uipements.
1.%.2 Première Première étape: Audit !lobal du réseau " ,anuard permet de détecter les =ulnérabilités du s8st5me. 'rois t8pes de =ulnérabilités sont détectés : =ulnérabilité haute =ulnérabilité mo8enne et =ulnérabilité basse.
69
,a plupart des =ulnérabilités sont basses. -eci est dY au #ait )ue les ports non utilisés sont #ermés de mSme les protocoles non utilisés sont désacti=és.
1.%.3 "econde étape: Audit détaillé par ressource Trouvé Trouvé
Conformité
1 Service Packs 1.1 1.1 serv servic ice e pack packs s et corr correc ecti tifs fs majeurs requis 1.1.1 Service Service Pack installé installé actuellement
er=ice ack <
-on#orme
in installés
con#orme
1.2 correcti&s mineurs requis 1.2.1 correcti cti&s sécurité critiques
de
2 stratégies des comptes 2.1 longue longueur ur minima minimale le du Au moins alphaWnum mot de passé
>
caract5re
-on#orme
6
2.2 durée de vie maximale du mot de passe
;0 ours Ma$
d3acc5s 3.1 Paramtre de sécurité as majeur ! "estrictions permission e$plicite additionnelles pour l es connexions anon#mes !.2 Paramètres de sécu currité mineures 3.2.1 $orcer $orcer la fermetur fermeture e de Acti=é session quand les %oraires de connexion expirent $ "écurité Additionnelle
-on#orme sans
-on#orme
-on#orme
&.1 'roits des utilisateurs &.1.1 Sauvegarder des (c%iers et des répertoires
Administrateurs
-on#orme
$.1.2 'odifer sstème
l’heure
Administrateurs
-on#orme
&.1.3 C%arger et déc%arger les pilotes de périp%ériques
Administrateurs
-on#orme
$.2 autres sstème #
e(igences
'outes les partitions util tilisen sent le s8st s8st5m 5mee de #ichier +'
-on#orme
1.) Tests d’intrusion # ,es ,es test testss d(in d(intr trus usio ion n cons consis iste tent nt @ épro éprou= u=er er les les mo8en o8enss de prot protec ecti tion on d(un d(un s8st s8st5m 5mee d(in#ormation en essa8ant de s(introduire dans le s8st5me en situation réelle. *n test d3intrusion ne peut pas constituer une assurance )ue le s8st5me d3in#ormation est tout @ #ait sécurisé sécurisé ni aboutir aboutir @ la déli=rance d3une liste e$hausti=e des =ulnérabilités =ulnérabilités du s8st5me s8st5me d3in#ormation.
Plan d’action
&édi4er un document clair de politi)ue de sécurité @ =alider par l3administration et @ transmettre au$ a4ents pour approbation
6>
ensibiliser les a4ents @ la nécessité et l3importance de l3adoption de la politi)ue de
sécurité et de la #ormation en termes de sécurité de l3in#ormation aramétrer les ser=eurs de messa4erie pour acti=er un seul protocole de messa4erie a#in d3é=iter les =ulnérabilités liées @ ces protocoles.
Conclusion ,a #in de notre mission d3audit nous permet de conclure sur deu$ =olets. ,e premier =olet concerne l3or4anisme audité et le deu$i5me =olet concerne notre sa=oir #aire. ,a D&' de #a$ ne man)ue ni de mo8ens ni de compétences pour mener @ bien la sécurité sécur ité de son s8st5me d3"n#ormation et ac)uérir la norme " 2002. -ependant le man)ue de l3intérSt porté @ certains documents de sécurité in#lue sur l3acti=ité et la sécurisation du s8st5me d3in#o d3in#orma rmatio tion. n. De mSme mSme la sensib sensibili ilisati sation on de certain certaines es caté4o caté4ories ries d3a4en d3a4ents ts @ la sécurité sécurité in#ormati)ue est un #acteur @ ren#orcer. D3un autre cUté la centralisation des ser=eurs et de l3administration @ 'unis est un #acteur mar)uant pour la bonne 4estion de la sécurité du s8st5me d3in#ormation. -ett -ettee centra centrali lisat satio ion n ne nous nous a pas pas perm permis is de tester tester certai certains ns outi outils ls d3au d3audi ditt tech techni ni)u )uee con=enablement. -eci ne nous a pas empSchés d3élar4ir notre sa=oir#aire en termes de prise de contact a=ec les pro#essionnels la prise de l3in#ormation et l3application des di##érentes étapes de la nome de sécurité in#ormati)ue.
6;