Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Date : 12/12/2012 Version : 1.0 Elaboré par Baklouti Ahlem Baklouti Mariem Enca

Date : 12/12/2012 Version : 1.0 Elaboré par Baklouti Ahlem Baklouti Mariem Encadré par M. Sahbi Moalla – ISIMS Sfax M. Jallali Riadh – DRT Sfax Rapport d'audit de sécurité informatique TUNISIE TELECOM DIRECTION REGIONALE DE SFAX Table des matières Introduction.................................................................................................................................1 Présentation de la mission...........................................................................................................1 Présentation de l’organisme........................................................................................................2 Périmètre de l’étude....................................................................................................................4 Architecture du réseau................................................................................................................5 Planning de réalisation................................................................................................................5 Audit organisationnel et physique...............................................................................................6 Chapitre1 : politique de sécurité.................................................................................................6 1. But....................................................................................................................................6 2. Politique de sécurité.........................................................................................................6 Chapitre 2 : Organisation de la sécurité d’information...............................................................7 1. Organisation interne.........................................................................................................7 But...........................................................................................................................................7 2. Tiers.................................................................................................................................9 But...........................................................................................................................................9 Chapitre 3 : Gestion des biens...................................................................................................11 1. Responsabilités relatives aux biens................................................................................11 But.....................................................................................................................................11 2. Classification des informations......................................................................................13 But.....................................................................................................................................13 Chapitre 4 : Sécurité liée aux ressources humaines..................................................................14 1. Avant le recrutement......................................................................................................14 But.....................................................................................................................................14 2. Pendant la durée du contrat............................................................................................16 But.....................................................................................................................................16 3. Fin ou modification du contrat.......................................................................................18 But.....................................................................................................................................18 Chapitre 5 : Sécurité physique et environnementale.................................................................20 1. Zones sécurisées.............................................................................................................20 But.....................................................................................................................................20 2 Sécurité du matériel.......................................................................................................24 But.....................................................................................................................................24 Chapitre 6 : Gestion de l’exploitation et des télécommunications...........................................28 1. Procédures et responsabilités liées à l’exploitation.......................................................28 But.....................................................................................................................................28 2 Gestion de la prestation de service par un tiers..............................................................30 But.....................................................................................................................................30 3 Planification et acceptation du système.........................................................................31 But.....................................................................................................................................31 4 Protection contre les codes malveillants et mobiles......................................................33 But.....................................................................................................................................33 5 Sauvegarde.....................................................................................................................34 But.....................................................................................................................................34 6 Gestion de la sécurité des réseaux.................................................................................35 But.....................................................................................................................................35 7 Manipulation des supports.............................................................................................36 But.....................................................................................................................................36 Chapitre 7 : Audit technique.....................................................................................................38 Introduction...........................................................................................................................38 1. Déroulement de l’audit technique..................................................................................38 1.1 Phases de l’audit.........................................................................................................39 1.2 Audit de l’architecture du système et des équipements de réseau..............................39 1.3 Sondage des systèmes et des équipements :...............................................................41 1.4 Audit des serveurs et des postes de travail sensibles..................................................45 1.5 Tests d’intrusion :........................................................................................................47 Plan d’action.............................................................................................................................47 Conclusion................................................................................................................................48 5 Introduction L’information présente un des biens vitaux pour la vie, le fonctionnement, la progression et l’évolution de l’entreprise. Cette information juste, exacte et pertinente permet à l’entreprise d’accomplir ses tâches, répondre aux besoins des clients et fonctionner selon les besoins des dirigeants. A cet effet, l’entreprise doit protéger son information ainsi que le système d’information assurant le traitement de cette information. Pour protéger son système d’information, l’entreprise doit pouvoir évaluer les risques pour mettre en place une politique de sécurité informatique du système d’information. Ceci dans le but d’assurer l’intégrité, la confidentialité, la traçabilité et la disponibilité de l’information. L’audit informatique évalue les risques d’un environnement informatique. Il implique tous les intervenants d’un tel environnement. Il concerne la sécurité physique, logique et organisationnelle. Ce travail présente le rapport d’audit de la sécurité informatique de la Direction Régionale des Télécommunications de Sfax (Tunisie Telecom). Nous décrirons notre mission, puis nous présenterons la société, ensuite nous définissons le périmètre de l’audit. Présentation de la mission Notre mission consiste à auditer la sécurité informatique de la Direction Régionale des télécommunications de Sfax (DRT Sfax). L’objectif étant de donner une évaluation de la sécurité physique, la sécurité logique et la sécurité du réseau. Nous devons mettre en évidence les faiblesses, le niveau de risque et nous devons proposer les mesures correctives. Pour ce faire, nous procéderons en deux étapes : Audit physique et organisationnel : Il s’agit de s’intéresser aux aspects de gestion et d’organisation de la sécurité, sur les plans organisationnels, humains et physiques. L’objectif visé par cette étape est d’avoir une vue globale de l´état de sécurité du système d´information et d´identifier les risques potentiels sur le plan organisationnel. Audit technique : 6 Il s’agit d’effectuer une découverte et reconnaissance du réseau audité et des services réseaux vulnérables. Cette étape devra faire apparaître les failles et les risques, les conséquences d’intrusions ou de manipulations illicites de données. Présentation de l’organisme L’office national des télécommunications est créé suite à la promulgation de la loi N°36 du 17 avril 1995. L’office a ensuite changé de statut juridique, en vertu du décret N°30 du 5 avril 2004, pour devenir une société anonyme dénommée « Tunisie Telecom ». En juillet 2006, il a été procédé à l’ouverture du capital de Tunisie Telecom à hauteur de 35% en faveur du consortium émirati TeCom-DIG. Cette opération vise à améliorer la rentabilité de Tunisie Telecom et à lui permettre de se hisser parmi les grands opérateurs internationaux. Depuis sa création, Tunisie Telecom œuvre à : consolider l’infrastructure des télécoms en Tunisie ; améliorer le taux de couverture dans la téléphonie fixe, mobile et transmission de données ; contribuer activement à la promotion de l’usage des TIC (Tehnologies de l’information et de Communications) ; contribuer au développement des sociétés innovantes dans le domaine des télécoms ; Pionnière du secteur des télécoms en Tunisie, Tunisie Telecom a établi un ensemble de valeurs définitoires qui place le client au centre de ses priorités. L’adoption de ces valeurs se traduit en particulier par une amélioration continue des standards de l’entreprise et de la qualité des services. Tunisie Telecom compte dans ses rangs plus de 6 millions abonnés dans la téléphonie fixe et mobile. Tunisie Telecom se compose de 24 directions régionales, de 80 Actels et points de vente et de plus de 13 mille points de vente privés. Elle emploie plus de 8000 agents. L’organigramme général de l’entreprise est illustré dans la figure ci-dessous : 7 Dans notre cas, nous nous intéresserons à la Direction Régionale des Télécommunications de Sfax (DRT). Ainsi, l’organigramme de la DRT se présente comme suit : 8 Périmètre de l’étude Le but de l’audit informatique est d’analyser la sécurité de l’ensemble du système informatique, de le critiquer et de le renforcer en tenant compte des contraintes techniques et organisationnelles. Nous nous sommes adressés au responsable de la subdivision « Support SI » faisant partie de la division « Réseaux et SI », pour obtenir les informations nécessaires à l’élaboration de notre audit. Nous sommes aussi appelés à interviewer des représentants de chaque Division : Commerciale Service clientèle Affaires financières Ressources Humaines Et également la subdivision « Affaires régionales ». Ainsi, un recensement des équipements de la DRT nous a permis de dresser le tableau suivant : Equipement Nombre Fonctionnalités Matériels Ordinateur de bureau 70 Manipuler les logiciels de gestion et de bureautique Ordinateur portable 5 Manipuler les logiciels de gestion et de bureautique Imprimante réseau 17 Imprimer les états Imprimante locale 22 Imprimer les états Scanner 2 Numériser des documents Routeur 1 Router le trafic vers le réseau externe à la DRT Switch 5 Interconnecter les équipements Firewall 1 Respecter les politiques de sécurité réseau Logiciels Gis Gestion d’abonnés Workflow Ordre de travaux fixe, mobile, data Erp Gestion de la clientèle 9 Architecture du réseau Planning de réalisation Etape Date Réunion de sensibilisation à la sécurité Consultation du réseau, routeur, firewall, switch Consultation des politiques de sécurité Consultation des applications Livraison version 0 du rapport Livraison rapport final 10 Audit organisationnel et physique Chapitre1 : politique de sécurité 1. But La politique de sécurité informatique fixe les principes visant à garantir la protection des ressources informatiques et de télécommunications en tenant compte des intérêts de l'organisation et de la protection des utilisateurs. Les ressources informatiques et de télécommunications doivent être protégées afin de garantir confidentialité, intégrité et disponibilité des informations qu'elles traitent, dans le respect de la législation en vigueur. 2. Politique de sécurité 1. Document de politique de sécurité Conformité : Non Risque : Elevé Constatation Impact recommandation Pas de document pour la politique de sécurité selon monsieur walid chakroun ingénieur à l’unité radio mobile appartenant à la division des réseaux. Information non protégé et risque de divulgation Nécessité de rédiger un document de politique de sécurité à valider par la direction 2. Réexamen de politique de sécurité Conformité : Non Risque : Elevé Constatation Impact recommandation Puisqu’il n’existe pas de document de politique de sécurité, le réexamen ne s’applique pas. Information non protégé et risque de divulgation Nécessité de rédiger un document de politique de sécurité à valider par la 11 Aggravation des incidents de sécurité. direction et de réviser et adapter périodiquement ce document suivant l’évolution des failles dans le SI de l’entreprise. Chapitre 2 : Organisation de la sécurité d’information 1. Organisation interne But L’organisation interne a pour but de Gérer la sécurité de l’information au sein de l’organisme. Pour atteindre ce but, nous devons :  Créer un comité pour définir la politique de sécurité.  Ce comité doit coordiner entre les différents acteurs de la société (divisions et subdivisions) pour analyser et définir les besoins en sécurité informatique.  Dans le cas échéant, prendre avis de spécialiste et d’expert dans le domaine (ayant une expérience dans la sécurité informatique des sociétés de télécommunication). 1.1 Engagement de la direction vis-à-vis de la sécurité de l’information Conformité : Non Risque : Elevé Constatation Impact Recommandation Nous avons constaté que la société manque de directives claires à respecter et à appliquer pour la Divulgation possible et facile de l’information Il convient de définir une politique de sécurité pour la société confirmé par le 12 sécurité directeur de la société et appliquer par tous les employées. 1.2 Coordination de la sécurité de l’information Conformité : Non Risque : Moyen Constatation Impact Recommandation Nous avons constaté la présence d’un RSSI mais le manque de sensibilisation des employés à la sécurité Un intervenant peut faire des actions qui ne uploads/Management/ rapport-audit-final.pdf