Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Chapitre 1 : contexte du sujet et étude préalable: Introduction Dans ce premier

Chapitre 1 : contexte du sujet et étude préalable: Introduction Dans ce premier chapitre, nous allons présenter brièvement la société d’accueil qui est la société Tunisie Télécom, ainsi que et le service informatique ai sein de la quel a été réalisé le projet et finalement l’étude de l’existant pour la partie contexte de projet. Pour la partie état de l’art nous allons commencer par présenter les normes sur laquelle elle peut se baser une mission d’audit, ensuit nous évoquerons ce que représente l’audit de sécurité des systèmes d’informations et finalement nous allons détailler les étapes nécessaires pour le déroulement de cette mission d’audit. I. Contexte du projet : 1. Organisme d’accueil : L’office national des télécommunications est créé suite à la promulgation de la loi N°36 du 17 avril 1995. L’office a ensuite changé de statut juridique, en vertu de décret N°30 du 5 avril 2004, pour devenir une société anonyme dénommée « Tunisie Telecom ». En juillet 2006, il été procédé à l’ouverture du capital de Tunisie Telecom à hauteur de 35% en faveur du consortium émirati Telecom DIG. Cette opération vise à améliorer la rentabilité de Tunisie Telecom et à lui permettre de se hisser parmi les grands opérateurs internationaux. Depuis sa création, Tunisie Telecom œuvre à consolider l’infrastructure des télécoms en Tunisie, à améliorer le taux de couverture à renforcer sa compétitivité. Elle contribue également activement à la promotion de l’usage de TIC et au développement de sociétés innovantes dans le domaine des télécoms. Pionnière du secteur des télécoms en Tunisie, Tunisie Telecom a établi un ensemble de valeurs définitoires qui place le client au centre de ses priorités. L’adoption de ces valeurs se traduit en particulier par une amélioration continue des standards de l’entreprise et de la qualité des services. [1] 2. Description de projet : L'audit sécurité d'un réseau informatique est un état des lieux de la sécurité du réseau informatique actuel avec des propositions permettant de résoudre les problèmes potentiels une fois l'audit sécurité effectue et les conclusions présentées par la partie effectuant cet audit le présent projet d'audit à pour but d'évaluer les failles de sécurité du système d'information d'entreprise et proposer des solutions aptes à corriger les vulnérabilités afin que le hacker ne puisse s'en servir. Nous commencerons tout d’abord par une présentation des menaces auxquelles l’entreprise fait face. Ensuite nous effectuerons les tests de vulnérabilités et d’intrusions sur le réseau et nous terminerons par la recommandation portant sur d’éventuelles améliorations à apporter au système d’information. • Description des Normes d’audit : L’organisation international de normalisation (ISO) a réservé la série ISO/IEC 27000 pour une plage de normes dédiée au pilotage de sécurité de l’information, tout en s’accordant avec les normes de gestion de la qualité et de gestion des questions relatives à l’environnement que sont les normes ISO 9000 et ISO 14000.[2] Elle porte essentiellement sur les questions de sécurité de l’information, Chaque norme porte sur les aspects précis suivants de la sécurité de l’information : ISO 27001 : Modèle d’établissement, de mise en œuvre, d’exploitation, de suivi, d’examen, de maintien et d’amélioration de systèmes de gestion de la sécurité de l’information. ISO 27002 : Liste de centaines de mesures et mécanismes de contrôle susceptibles d’être adoptés suivant les lignes directrices de la norme ISO 27001. ISO 27003 : Conseils et lignes directrices quant à la mise en œuvre de système de sécurité de l’information, particulièrement en ce qui concerne la boucle d’amélioration continue. ISO 27004 : Instruments de mesure et indicateurs d’évaluation de la gestion de la sécurité de l’information (publication de la norme à venir). ISO 27005 : Instrument de définition du processus de gestion des risques du système de gestion de la sécurité de l’information, notamment le relevé des actifs, des menaces et des vulnérabilités (publication de la norme à venir). ISO 27006 : Lignes directrices à suivre pour accréditer les entités qui offrent le service de certification et d’inscription relativement à un système de gestion de la sécurité de l’information. Les lignes directrices précisent les éléments à observer en plus des exigences stipulées dans la norme ISO 17021. ISO 27007 : Rentrée très récemment en période d’étude, cette norme va être un guide spécifique pour les audits d’ISMS, notamment en support à l’ISO 27006. L'ensemble de ces normes constitue des standards internationaux. Elles sont donc destinées à tout type de société, quelle que soit sa taille, son secteur d'activité ou son pays d’origine. Elles ont donc pour but de décrire un objectif à atteindre et non la manière concrète d'y arriver, cette dernière étant généralement dépendante du contexte de l'organisation • Audit de sécurité de système d’information : • Audit de sécurité de système d’information en Tunisie : L’ANSI est l’organe accrédité pour les missions d’audit en Tunisie conformément au décret N° 2004-5 du 3 février 2004 relatif à la sécurité informatique. Cet organisme définit l’audit de sécurité tel une « intervention de spécialistes, utilisant des techniques et des méthodes adéquates, pour évaluer la situation de la sécurité d’un système d’information et les risques potentiels. En Tunisie, la réalisation d’un audit de sécurité informatique possède un caractère obligatoire. En effet depuis le décret N°2004-1250, du 25 Mai 2004, l’audit de sécurité informatique est imposé aux organismes suivants : Les opérateurs de réseaux publics de télécommunications et fournisseur des services de télécommunication et d’Internet, Les entreprises dont les réseaux informatiques sont interconnectées à travers des réseaux externes de télécommunication, Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients dans le cadre de la fourniture de leurs services à travers les réseaux de télécommunications. De ce point de vu, l’audit de sécurité se présente comme une nécessité, pour répondre à une obligation règlementaire. Cependant, l’audit de sécurité peu présenter un aspect préventif. C'est-à-dire qu’il est effectué de façons périodiques afin que l’organisme puisse prévenir les failles de sécurité. [3] • Objectifs d’audit de sécurité : L’audit de sécurité vérifier le niveau de sécurité, une mission d’audit vise différents objectifs : • Réagir à une attaque • Se faire une idée précise du niveau de sécurité et de maturité de système d’information • Tester la mise en place effective de la politique de sécurité du système d’information Egalement, une mission d’audit de sécurité d’un système d’information se présente l’évolution de la sécurité sur la durée grâce a des audits menés de façon périodique. • Cycle de vie d’un audit de sécurité des systèmes d’information : La mission d’audit de sécurité informatique est un processus répétitif et perpétuel. Il décrit un cycle de vie qui est schématisé à l’aide de la figure suivante : Ce processus permet d’étudie le niveau de sécurité du système d’information d’un point de vue : Organisationnel (étude des procédures de définition, de mise en place et de suivi de la politique de sécurité, etc...). Technique (les points d’entrées sur le réseau, les équipements de sécurité, les protocoles mis en œuvre, etc…). Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce rapport présente une synthèse de l’audit. Il présente également les recommandations à mettre en place pour corriger les défaillances organisationnelles ou techniques constatées. • Démarche de réalisation de mission d’audit : D’après précédemment évoqué, l’audit de sécurité des systèmes d’information se déroule sur deux principales étapes. Cependant il existe une phase tout aussi importante qui est une phase de préparation. Nous schématisons les phases d’audit dans la figure suivante. • Préparation de l’audit : Cette phase est aussi appelée phase de pré audit elle constitue une phase importante pour la réalisation de l’audit sur terrain. En effet c’est au cours de cette phase que se dessinent les grands axes qui devront être suivis lors de l’audit sur terrain elle manifeste par des rencontres entre auditeurs et responsables de l’organisme à auditeur. Au cours de ces entretiens les espérances des responsables vis-à-vis de l’audit devront être exprime. Aussi le planning de réalisation de la mission de l’audit. Les personnes qui seront amenées à répondre au questionnaire concernant l’audit organisationnel doivent être également identifiées. L’auditeur pourrait également solliciter les résultats des précédents audits. Cette phase sera suivie par l’audit organisationnel et physique. • Audit organisationnel et physique : Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de l’organisme cible, à auditer. Nous nous intéressons donc aux aspects de gestion et d’organisation de la sécurité, sur les plans organisationnels, humains et physiques. L’objectif visé par cette étape est donc d’avoir une vue globale de l’état de sécurité du système d’information et d’identifier les risque potentiels sue le plan organisationnel. Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche méthodologique qui s’appuie sur « une batterie de questions ». Ce questionnaire préétabli devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la conformité de cet organisme par rapport à la norme référentielle de uploads/Management/ rapport 26 .pdf