PROJET FIN ETUDE

Audit et securite d'information du centre de formation

Med ben Grira Oueslati Slim

Présentation

La criminalité sur Internet est apparue le jour où l’ordinateur a pris le relais du stylo et du papier.

Son essor a été foudroyant, dans le contexte de la globalisation des réseaux d’information. Or cette menace bien réelle n’est pas perçue comme elle le devrait. Au contraire, elle continue encore parfois de donner l’image inoffensive d’un phénomène virtuel, qui relèverait de la fiction.

Le Conseil fédéral a néanmoins pris conscience de la gravité de la situation et agi à deux reprises pour faire face aux vastes besoins présents dans ce secteur. Il a créé d’abord le Service national de coordination de la lutte contre la criminalité sur Internet (SCOCI) 1, ensuite la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) 2. Ces structures adaptées et efficaces visent à protéger dûment la société suisse des menaces susmentionnées. Il Manquait néanmoins encore une analyse approfondie du niveau de protection en place et de la menace encourue par l’économie nationale. D’autres pays procèdent depuis longtemps à de telles études. Aux Etats-Unis par exemple, le CSI/FBI publie un rapport annuel intitulé Computer Crime and Security Survey3. La dernière édition de ce rapport révèle notamment, documents à l’appui, que plus de la moitié des entreprises américaines interrogées ont subi une attaque informatique en 2005, et même que 95 % d’entre elles ont été victimes de défiguration de site.

Plus révélateur encore, les coûts par attaque informatique ont explosé entre 2004 et 2005, passant de 51 000 à près de 300 000 US dollars en moyenne.

De telles données n’ont pas pour seule fonction de sensibiliser la population. Elles permettent de surcroît aux entreprises sondées d’établir des comparaisons, de resituer les incidents dans leur contexte, de mieux juger de l’efficacité des mesures déjà adoptées et en dernier lieu d’identifier leurs propres besoins d’agir. La réalisation de l’étude suisse a été confiée au Centre de recherche sur la politique de sécurité de l’EPF de Zurich4.


S’ils confirment les tendances déjà connues, les résultats obtenus ont également livré des faits insoupçonnés auparavant. Les experts apprécieront sans aucun doute le rapport qui suit. Et comme il est conçu dans un langage accessible, il intéressera quiconque s’occupe de sécurité de l’information – un paramètre auquel nul ne pourra plus se soustraire à long terme.

Les normes utlisés

Historique des normes en matière de sécurité de l’information

Au cours des vingt dernières années les normes liées à la sécurité de l’information ont évolué ou ont été remplacées. Ces changements rendent difficile une bonne compréhension du sujet. Un rappel historique de l’évolution de ces normes permet de clarifier la situation normative en matière de sécurité de l’information. Au début des années 90, de grandes entreprises britanniques se concertent pour établir des mesures visant à sécuriser leurs échanges commerciaux en ligne. Le résultat de cette collaboration servit de référence en la matière pour d’autres entreprises qui souhaitaient mettre en œuvre ces mesures. Cette initiative privée fut appuyée par le Département des Transports et de l’Industrie britannique qui supervisa la rédaction au format du BSI, d’une première version de projet de norme de gestion de la sécurité de l’information. En 1991, un projet de «best practices» code de bonnes pratiques, préconise la formalisation d’une politique de sécurité de l’information. Cette politique de sécurité doit intégrer au minimum huit points «stratégique et opérationnel» ainsi qu’une mise à jour régulière de la politique. En 1995, le BSI publie la norme BS7799 qui intègre dix chapitres réunissant plus de 100 mesures détaillées de sécurité de l’information, potentiellement applicables selon l’organisme concerné. En 1998, la norme BS7799 change de numérotation et devient la norme BS7799-1. Elle est complétée par la norme BS7799-2 qui précise les exigences auxquelles doit répondre un organisme pour mettre en place une politique de sécurité de l’information. Cette nouvelle norme est fondée sur une approche de la maîtrise des risques et sur le principe du management de la sécurité de l’information. En 2000, la norme BS7799-1, devient la norme de référence internationale pour les organismes souhaitant renforcer leur sécurité de l’information. Après avoir suivi un processus de concertation au niveau international et quelques ajouts, l’ISO lui attribue un nouveau nom, ISO/IEC 17799: 2000. En 2002, le BSI fait évoluer la norme BS7799-2 en s’inspirant des normes ISO 9001 :2000 et ISO 14001: 1996. La norme adopte définitivement une approche de management de la sécurité de l’information. En 2005, l’ISO/CEI adopte la norme BS7799-2 sous la référence ISO/CEI 27001: 2005 en y apportant quelques modifications pour se rapprocher le plus possible du principe de «système de management » développé par les normes ISO 9001 et ISO14001. L’ISO/IEC 27001: 2005 spécifie les exigences pour la mise en place d’un SMSI (Système de Management de la Sécurité de l’Information). En 2007, dans un souci de clarification, l’ISO renomme la norme ISO/IEC 17799 :2005 en changeant sa numérotation pour ISO/IEC 27002. La norme se greffe à la famille des normes ISO/IEC 2700x toujours en développement. Aujourd’hui les organismes disposent de deux normes qui se sont imposées comme référence des SMSI, l’ISO/CEI 27001 :2005 qui décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l’Information et l’ISO/CEI 27002 qui regroupe un ensemble de bonnes pratiques «best practices» pour la gestion de la sécurité de l'information. Le tableau ci-après reprend cet historique

ISO/CEI 27001

Systèmes de management de la sécurité de l'information – Exigences...

Lire La Suite

ISO/CEI 27002

code de bonne pratique pour le management de la sécurité...

Lire La Suite

ISO/CEI 27005

Gestion des risques liés à l'audit et la sécurité de l'information...

Lire La Suite

ISO/CEI 27006

Exigences pour les organismes procédant à l'audit et sécurité...

Lire la Suite

L’ISO (Organisation Internationale de Normalisation)

L’ISO est le fruit d’une collaboration entre différents organismes de normalisation nationaux. Au début du 20ème siècle, L’American Institute of Electrical Engineer (Aujourd’hui appelé Institute of Electrical and Electronics Engineers ou IEEE) invite quatre autres instituts professionnels pour constituer une première organisation nationale, l’AESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom d’ASA (American Standards Association) et d’établir des procédures standardisées pour la production militaire pendant la seconde guerre mondiale. En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO). A ce jour, l’ISO regroupe 157 pays membres, et coopère avec les autres organismes de normalisation comme le CEN (Comité européen de normalisation) ou la Commission Electronique Internationale (CEI). En 1987, l’ISO et le CEI créent le Joint Technical Committee (JTC1) pour la normalisation des Technologies de l’Information (TI). Le JTC1 allie les compétences de l’ISO en matière de langage de programmation et codage de l’information avec celles du CEI qui traitent du matériel tel que les microprocesseurs. Le JTC1 est composé de plusieurs comités techniques (SC) qui traitent de sujets tels que la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les techniques de sécurité de l’information relatives aux normes de la série ISO/CEI 2700x

.

Présentation de la Société

C’est une Institut Pilote des Sciences économiques et de Technologie, Un centre de formation agréé par l’état sous le N 09-996-11 IPSET il offre l’opportunité d’avoir des formations diplômâtes dans des divers spécialités et d’avoir une diplôme reconnue et homologué par l’état. BTS/BTP/CAP. Les Nouveautés chez IPSET : Une solution fiable pour tous les jeunes qui désirent acquérir des formations diplomates. Une offre valable pour tous les désireux venants de tout le territoire tunisien. Une facilité de réservation des logements pour les apprenants au sein des foyers privés les plus proche de l’Institut. L’ouverture des inscriptions pour Toutes les sessions de formations du mois de Septembre : Des sessions de formation: préparation aux Certifications Des sessions de formation linguistiques adaptées à notre besoins : Anglais /français/Allemand/Italien /espagnole La durée de la session de la formation linguistique varie entre un mois à 6 mois pour consolider les compétences linguistiques. Constamment à notre écoute, nous répondons rapidement à nos demandes en proposant des solutions adaptées et efficaces. Ils mettent à nos dispositions une approche personnalisée, une flexibilité et une convivialité garantissent la motivation.

Description de l’architecture réseau

Toute les équipements est reliée à un réseau de type Ethernet, C’est un réseau local moderne, 100% commuté, avec de débits (20 Mb/s). La topologie du site est en étoile étendue, le réseau interne est segmenté physiquement en 5 sous réseaux, et chaque segment sous réseau est relié Switch Le réseau interne est relié au réseau Internet à travers une liaison de type Ethernet avec un débit de 20 Mb/s. Cette architecture utilise seulement les Firewall logique par défaut des équipements et n’utilise aucun des applications de supervision ou Contrôle des flux de données ou les surfaces d’authentification et tous qui permet d’accès a un pc dans le réseau peut réagir un danger.

Notre Projet

Sur cette partie de site, je mets ensemble toutes les types de rapport de notre projet(.doc,.ppt et .pdf), et l'architecture de réseau Ce que j'examiné sous forme de pka (packet tracer) pour qui veut les télécharger et qu'il peut concerner. :)

Conclusion

L’objectif de lancement de notre mission d’audit était d’évaluer le niveau de maturité du SI dans le centre de formation et de dégager les déviations par rapport aux normes de sécurité surtout la norme ISO 27002. A travers cet audit, nous étions en contact direct avec les responsables du centre et nous avons essayé de communiquer avec eux et d’échanger les connaissances pour réussir l'étape de l'audit organisationnel et physique et nous avons pu travailler avec différents outils destinés au recensement des failles et des vulnérabilités du système audité afin d'expertiser l'étape de l'audit technique. Nous avons essayé de couvrir le maximum d’aspects pendant la période de cette mission, nous avons évalué le niveau de maturité des différentes clauses qui définissent la sécurité organisationnelle et physique, puis l’audit s’est concentré sur les aspects techniques. Pour l’audit technique nous avons étudié l’architecture du réseau informatique ainsi que les différents équipements critiques. Nous avons aussi consacré une bonne partie de cet audit pour étudier les différents systèmes applicatifs, L’effort qu’exige le sujet de la sécurité n’a jamais été périodique ou temporaire, mais c’est un effort continu qui doit dépasser le fait de prendre des mesures pendant une période limitée pour devenir une approche à long terme et une vraie culture inculquée dans les bonnes habitudes des individus et des organismes concernés.

CONTACT ME

Address: ISET SILIANA
E-Mail: Griramed@hotmail.com, Oueslatislim@homail.com 
Tél: +216 97 865 231, +216 96 744 393

CONTACT

Si vous voulez faire des commentaires sur ce que vous voyez ci-dessus et si vous voulez nous envoyer une note, vous pouvez mettre ici et nous vous répondrons le plus rapidement possible. Votre avis nous concerne merci de votre attention

Projet fin d'etude [ISET SILIANA 2016].... Grira Mohamed et Oueslati Slim .... Audit et sécurité d'infrmation du centre de formation.. merci pour votre attention