docudoo

Mémoire portant sur l’étude des techniques d’audit pouvant aboutir à la définition d’une politique de sécurité des réseaux informatiques

Etude des techniques d’audit pouvant aboutir à la définition d’une politique de sécurité des réseaux informatiques

Introduction

L’audit de sécurité est un service qui est généralement offert par une société spécialisée dans la sécurisation des systèmes d’informations. Son principal objectif est la validation des moyens de protection des systèmes d’informations afin que l’intégrité du réseau informatique soit garantie[1]. La notion d’audit de sécurité informatique mène inévitablement donc à la mise en place d’une politique de sécurité des réseaux informatiques existants.

L’audit ne constitue pas seulement un moyen d’identification des risques d’une entreprise concernant son système d’information, mais constitue aussi une obligation pour l’entreprise. L’audit permet de rendre plus clair l’organisation et la structure de la fonction de sécurité du réseau informatique de l’entreprise. Il permet entre autre de constater le mode de gestion des procédures de sécurité ainsi que la disponibilité et l’accessibilité des outils de sécurisation du système informatique, et l’utilisation de ces derniers. Cette pratique a aussi comme objectif d’identifier les risques qui peuvent constituer un artéfact issu de l’audit même. Toutes ces étapes sont réalisées pour connaître le niveau de sécurité réel de l’entreprise par rapport à une référence[2].

La réalisation d’un audit implique la définition d’un référentiel, d’un ensemble de règles régissant l’organisation, la procédure ou les moyens techniques de référence. L’audit devrait donc comporter un descriptif de matériels, logiciels et documentation utilisés, l’appréciation générale de l’adéquation du système d’information existant aux besoins de l’entreprise, un examen de l’organisation, du contrôle et de planification des services informatiques. A la fin de l’audit, la formation, la qualification et l’aptitude du personnel sont notées. La qualité, l’accès, la disponibilité et la facilité de compréhension du document sont également considérés[3].

Les efforts menés pour réaliser un audit au sein de l’entreprise devraient conduire à la détermination d’une politique de sécurité. Il s’agit d’un document générique qui mentionne les règles à suivre pour les accès au réseau d’informations et pour les flux autorisés ou non[4]. La politique de sécurité vise à donner une option de direction à la sécurité de l’information. La politique de sécurité vise non seulement à protéger le réseau informatique de toute forme d’attaque, mais aussi à contrôler l’accès à l’information et l’acquisition, le développement et la maintenance des systèmes. Cette politique implique également que les incidents n’aient plus de mauvaises répercussions sur le système d’information du réseau de l’entreprise. Entre autre, elle assure la gestion de la suite des activités en tenant compte des interruptions qui peuvent survenir à cause des risques éventuels[5].

Bien que les audits menés auprès des entreprises aient la même organisation, ils présentent des fonctionnements très différents les uns des autres. Quel audit choisir alors devant telle ou telle situation ? Et quels résultats pourraient en découler ? Cette étude a pour objectif d’exposer les différents types d’audits qui sont susceptibles de conduire à l’établissement d’une politique de sécurité. Pour ce faire, nous allons analyser une à une les différentes techniques d’audit qui permettent de cerner les vulnérabilités du réseau de système d’information.

  • Test d’intrusion

Le piratage fait partie des menaces d’un réseau informatique donné. Il peut s’agir de hackers qui s’infiltrent à l’intérieur du réseau informatique sans toutefois détruire les données[6]. A part les hackers, il existe aussi les crachers qui sont des pirates informatiques ayant pour but de voler des informations à l’intérieur du réseau, ou de détruire ce dernier[7].

Quelquefois, des programmes peuvent s’introduire à l’intérieur du système d’information, et se cacher dans un programme net comme les boîtes aux lettres ou les téléchargements faits par l’utilisateur. Une fois arrivé à l’intérieur du système, le pirate informatique peut introduire des virus, des bombes ou des vers. Dans d’autre cas, il modifie les données initiales, ce qui implique une vérification de l’authenticité des informations reçues à l’intérieur du réseau informatique.  Les pirates peuvent aussi installer des sniffers, des programmes espions qui décèlent toutes les informations de l’utilisateur[8].

L’intrusion informatique peut se manifester par les manipulations des données qui permettent d’entrer à l’intérieur du système ou des programmes existants. L’intrusion informatique peut également consister en une manipulation des commandes du terminal, des données à la sortie ou en une utilisation de services informatiques sur place ou à distance. Toutes ces manipulations se font de manière illégale[9].

L’intrusion informatique peut se manifester par ailleurs, par l’espionnage assisté par ordinateur. Dans cette forme d’intrusion, le pirate informatique vole des logiciels, des données ou l’utilise à ses propres fins. Dans d’autre cas, il peut s’agir d’un sabotage de l’ordinateur. Ce dernier se présente sous forme d’une destruction ou de modification des données ou des actes de vandalisme. D’autres formes d’intrusion informatique existent mais sont moins courants comme le vol de temps ordinateur ou les délits économiques. Ce dernier cas touche surtout les entreprises qui se consacrent au commerce. Le délit économique consiste en un détournement de fonds assisté par ordinateur[10].

Il a été remarqué que malgré la mise en place de dispositifs juridiques et de systèmes de sécurisation des systèmes d’informations, l’intrusion informatique gagne de plus en plus de terrain. C’est la raison pour laquelle de nombreuses entreprises optent pour un audit d’intrusion pour vérifier l’imperméabilité de leur système face à des menaces extérieures.

  1. Principes

Le test d’intrusion consiste en une simulation des comportements intrusifs externes ou internes[11]. Ils peuvent être effectués sur l’infrastructure réseau ou sur le système d’exploitation. Quelquefois, il est effectué sur une application ou sur l’ensemble du système d’information, englobant le réseau et l’applicatif[12].

L’audit d’intrusion consiste à faire des tentatives d’intrusion dans le réseau informatique pour voir si ce dernier laissait passer des communications qui doivent rester confidentielles[13]. Cette pratique vise à évaluer le niveau d’imperméabilité du réseau de système d’information aux diverses intrusions[14].

En général, les tests d’intrusion se réalisent en six phases. La première phase consiste à recueillir les informations sur la cible. Ensuite, l’auditeur analyse les systèmes et les services et en établit la cartographie. La troisième phase consiste à rechercher et à exploiter les vulnérabilités du réseau et après, celles du système. Dans la cinquième phase, l’auditeur recherche et analyse les vulnérabilités applicatives et analyse en dernier lieu la progression[15].

Les tests d’intrusions sont englobés dans le groupe des audits techniques. Ils comprennent trois catégories de tests principaux. Il s’agit notamment du test boîte blanche, boîte grise et boîte noire[16].

Le test boîte noire consiste à se mettre dans des conditions réelles d’intrusion. L’auditeur se met alors à la place d’un pirate qui veut s’introduire dans le système. Aucune information ne lui est communiquée[17]. Il recherche donc tous les points faibles du système, les failles de sécurité d’un site Internet et/ ou d’un serveur Web[18]. C’est donc un test qui effectué à l’extérieur du réseau. Toutefois, il exige la connaissance de certaines informations.

Au cours du test boîte noire, l’auditeur collecte des informations publiques qu’il cherche à l’intérieur des pages web, des renseignements concernant les employés, les partenaires de l’entreprise auditée. L’auditeur observe aussi les points de présence sur Internet et d’écoute du réseau[19].

Le test boîte grise consiste à collecter quelques informations sur le réseau informatique audité. Un compte utilisateur est donné à l’auditeur afin qu’il puisse observer le travail d’un

[1] Audits de sécurité, http://www.commentcamarche.net/contents/secu/audit-securite.php3

[2] Abdelli R. 2011. Audit et sécurité informatique d’un réseau local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

[3] Abdelli R. 2011. Audit et sécurité informatique d’un réseau local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

[4] Koualoroh G. 2008. Audit et définition de la politique de sécurité du réseau informatique de la First Bank. Master I professionnel en réseaux &applications multimédia. Catégorie : Informatique et Télécommunications. Université de Yaoundé, http://www.memoireonline.com/12/09/3035/m_Audit-et-definition-de-la-politique-de-securite-du-reseau-informatique-de-la-fi15.html

 

[5] Abdelli R. 2011. Audit et sécurité informatique d’un réseau local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

[6] L’intrusion dans un système informatique et ses conséquences juridiques, http://www.abc-netmarketing.com/L-intrusion-dans-un-systeme.html

[7] Intrusion dans un système informatique, http://www.murielle-cahen.com/publications/p_intrusions.asp

[8] L’intrusion dans un système informatique et ses conséquences juridiques, http://www.abc-netmarketing.com/L-intrusion-dans-un-systeme.html

[9] Jaber A. 2009. Les infractions commises sur Internet. Editions L’Harmattan. 314p.

[10] Jaber A. 2009. Les infractions commises sur Internet. Editions L’Harmattan. 314p.

 

[11] http://www.ice-innov.com/audit.php

[12] Test d’intrusion réseaux & applicatifs, http://www.oppida.fr/prestations/test-d-intrusion-reseaux—applicatifs/

[13] Royer JM. 2004. Sécuriser l’informatique de l’entreprise : Enjeux, menaces, prévention et parades. Editions ENI. 422p.

[14] Pourquoi faire un audit informatique ? http://www.youscribe.com/catalogue/etudes-et-statistiques/savoirs/autres/pourquoi-faire-faire-un-audit-informatique-217294

[15] Chambet P. les tests d’intrusion externes. Tests d’intrusion réseau, système, applicatifs, http://www.chambet.com

[16] Les tests d’intrusion, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[17] Test d’intrusion réseaux & applicatifs, http://www.oppida.fr/prestations/test-d-intrusion-reseaux—applicatifs/

[18] Audit de sécurité boîte noire, http://www.securi-toile.com/audit-securite-boite-noire

[19] Les tests d’intrusion, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

Mémoire de fin d’étude de 29 pages

24.90

Retour en haut