MEMOIRE DE STAGE DE FIN D ETUDE. Audit de Sécurité du Système Informatique de MTIC

Transcription

1 MEMIRE DE STAGE DE FI D ETUDE Pour l obtention du MASTERE PRFESSIEL «ouvelles Technologies des Télécommunications et Réseaux» Présenté par : Ayari Amani Audit de Sécurité du Système Informatique de MTIC Soutenu le : 05/02/2014 Devant le jury : Mr : Khaled Ghorbel Mme : Emna Souissi Mme : Chiraz Houaidia 0

2 A ma mère pour toute l affection qu elle me procure. A mon père pour ses innombrables et précieux conseils. A mes frères et leurs conjointes pour leur soutien. Aux petites, Lina et Fatouma pour la joie qu ils me font vivre. A mon fiancé Ahmed L homme que j aime tant et avec qui je construirai ma vie A ma tante Mtira Pour son soutien moral A toute ma famille, mes oncles, mes tantes, mes cousins et mes cousines A tous mes amis Amani 1

3 Le travail présenté dans ce rapport a été effectué dans le cadre de ce projet de fin d études pour l obtention du diplôme de mastère professionnel en ouvelles Technologies de Télécommunications et Réseaux à l Université Virtuelle de Tunis (UVT) Ce travail réalisé au sein des locaux du Ministère des Technologies de l Information et de Communication(MTIC) a pu être mené à terme grâce à la collaboration de certaines personnes qu il nous plaît de remercier. Je remercie également Mr Khaled Sammoud mon encadreur pour ses conseils lucides et pertinents. Je tiens à remercier vivement, Monsieur Marouan Ladjimi et Monsieur Radhi Mosly pour la confiance qu ils ont su me témoigner au cours de toute la durée de l étude de mon projet, pour leur disponibilité et leur patience. Je rends ici hommage à leurs qualités d expert auditeur, par lesquelles ils ont su guider mes travaux de recherches en sécurité des réseaux. Mes remerciements vont aussi aux membres du jury, qui donneront à mon travail une valeur ajoutée à travers leurs recommandations et leurs remarques si importantes, dont je serai très reconnaissant. Je remercie particulièrement aux responsables et à l équipement informatique au ministère pour leur aide, leur patience et leur disponibilité. Je remercie enfin tous ceux qui, d une manière ou d une autre, ont contribué à la réussite de ce travail. Amani 2

4 Table des matières Introduction Générale...7 Chapitre I : Généralités et Etude de l Art Introduction Généralité sur la sécurité informatique ormes et standards relatives à la sécurité IS/IEC IS/IEC IS/IEC Rôle et objectifs d audit Cycle de vie d un audit de sécurité des systèmes d information Démarche de réalisation d une mission d audit de sécurité des systèmes d information Préparation de l audit Audit organisationnel et physique Audit technique Audit intrusif Rapport d audit Lois relative à la sécurité informatique en Tunisie Conclusion Chapitre II : Présentation de l organisme d accueil et étude de l existant Introduction Présentation de l organisme d accueil Présentation générale Rôles et attributions rganigramme : Le bureau des systèmes d information Description du système informatique

5 3.1- Inventaire des micro-ordinateurs et serveurs Inventaire des logiciels et système d exploitation Inventaire des équipements réseaux Architecture et topologie du réseau Plan d adressage Description de l architecture réseau Aspects de sécurité existante Sécurité physique Sécurité logique Sécurité réseau Sécurité des systèmes Conclusion Chapitre III : Taxonomies des failles organisationnelles et physiques basées sur la orme Introduction Approche adopté Déroulement de la taxonomie organisationnel et physique Présentation des interviews Présentation et interprétation des résultats Conclusion Chapitre IV: Taxonomies des failles techniques Introduction Analyse de l architecture réseau et système Reconnaissance du réseau et du plan d adressage Sondage système et des services réseaux Analyse des vulnérabilités Serveur Backup Mail Serveur SyGec Serveur de messagerie Lotus otes Analyse de l architecture de sécurité existante Analyse du Firewall

6 4.2- Analyse du Routeur Cisco Analyse du Switch HP Procurve Analyse de la politique d usage de mots de passe Conclusion Chapitre V : Recommandations organisationnelles et physiques Introduction Politique de sécurité rganisation de la sécurité de l information Gestion des biens Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion des communications et de l exploitation Contrôle d accès Développement et maintenance des systèmes Gestion des incidents Gestion de la continuité d activité Conformité Conclusion Chapitre VI : Recommandations techniques Introduction Recommandations Solution proposée Déploiement complet d Active directory (Annexe 4) Windows Server Update Services Deuxième Switch HP Procurve ouvelle architecture Conclusion Conclusion Générale Bibliographie Annexes

7 TABLE DES FIGURES Figure 1:Cycle de vie d'audit sécurité Figure 2:Processus d'audit Figure 3:Site du ministère(mtic) Figure 4:rganigramme de MTIC Figure 5:Stuctures de cabinet Figure 6:Topologie du réseau du ministère(mtic) Figure 7:Interface d'administration des onduleurs Figure 8:Interface client-endpoint Security V Figure 9:Résultat de la taxonomie organisationnelle Figure 10:Réseau local Figure 11:Configuration réseau au niveau du poste Figure 12:Sondage des systèmes d exploitation avec GFI LAguard Figure 14:Sondage des services en activité du serveur Backup Mail Figure 15:Sondage des services avec Zenmap Figure 16:Sondage des ports ouverts Figure 17:Ports ouverts du secondaire messagerie Figure 18:Capture des flux avec wireshark Figure 19:Partages réseau avec GFI LAguard Figure 20:Vulnérabilités (GFI LAguard) Figure 21:Capture du serveur Backup Mail Figure 22:Capture du serveur Backup Mail(2) Figure 23:Serveur SyGec Figure 24:Serveur primaire messagerie Figure 25:Capture PuTTy Figure 26:Capture PuTTy(2) Figure 27:Capture de la version du Switch Figure 28:Capture des adresses IP autorisées Figure 29:ouvelle architecture sécurisée TABLE DES TABLEAUX Tableau 1:liste des serveurs du MTIC Tableau 2:liste des applications du MTIC Tableau 3:liste des équipements réseaux de MTIC Tableau 4:liste des plans d'adressage

8 Introduction Générale 7

9 Le présent rapport entre dans le cadre de réalisation d une mémoire du mastère professionnel «ouvelles Technologies des Télécommunications et Réseaux» à l Université Virtuelle de Tunis pour l obtention d une mission d audit de sécurité de système informatique de Ministère des Technologies de l Information et de Communication. Les systèmes informatiques sont devenus des outils indispensables au fonctionnement des entreprises. Ils sont aujourd hui déployés dans tous les secteurs professionnels, à s avoir, le secteur bancaire, les assurances, la médecine voire dans le domaine aéronautique. Cette évolution a assouvi par conséquent les besoins de nombreux utilisateurs qui ne sont pas forcément de bonne foi. Ils peuvent exploiter les vulnérabilités des réseaux et des systèmes dans le but d accéder à des informations confidentielles et de les utiliser dans leurs propre intérêt. Il en découle que ces réseaux sont devenus ciblés par ce genre de menaces et leurs sécurisation recèle une préoccupation de plus en plus importante. La mise en place d une politique de sécurité autour de ces systèmes est donc primordiale. Dès lors, la sécurité revêt une importance qui grandit avec le développement des réseaux IP, les entreprises y voient aujourd hui un avantage concurrentiel et un nouveau défi à battre. La complexité des technologies utilisée, la croissance exponentielle des terminaux à protéger ainsi que la prolifération de nouvelles menaces démontrent que la sécurité est très importante, et nécessaire. Les opérations informatiques offrent de nouvelles perspectives de rentabilité pour les pirates et les malveillants. Elles constituent un moyen d attaque qui peut être mené à des milliers de kilomètres de la cible visée. Ces risques ont gagné du terrain depuis la naissance du réseau mondial Internet. Par conséquent, toute organisation qui a des ordinateurs relies à internet (ou à tout autre réseau externe) doit élaborer une politique pour assurer la sécurité de chaque système. 8

10 Ici interviennent les méthodes d audit de sécurité des systèmes d information qui sont à la base même d une politique permettant à l entreprise de mettre en œuvre une démarche de gestion de ses risques. Dans ce contexte il nous a été confié de réaliser une mission d audit de sécurité du système d information du ministère des technologies de l information et de communication. Le présent rapport sera structuré en six parties : La première partie présente des généralités sur la sécurité informatique et sur une mission d audit ainsi qu un aperçu sur les normes de sécurité de l information. La deuxième partie présente l organisme d accueil et l étude de l existant et l identification de système cible. La troisième partie est consacrée aux taxonomies des failles organisationnelles et physiques basés sur la norme et ses résultats. La quatrième partie sera consacrée aux taxonomies des failles techniques qui permettent, à travers des outils de détection des vulnérabilités, d évaluer la sécurité mise en place pour la protection du système d information. Enfin, les deux dernières parties de ce rapport comporteront des recommandations et des conseils suggérés pour remédier à ces problèmes de sécurité. 9

11 Chapitre I : Généralités et Etude de l Art 10

12 1- Introduction L'informatique est l'un des éléments clefs de la compétitivité d'une entreprise. C'est pourquoi, chaque entreprise doit avoir un parc rationnel et optimisé. Cependant, rare sont celles qui mettent en place une stratégie au fil des évolutions de leurs besoins. C'est pourquoi réaliser un audit permet, par une vision claire et globale, d'entreprendre la rationalisation du parc et par la même d'en augmenter la productivité, d'anticiper les problèmes et de diminuer les coûts de maintenance. (1) 2- Généralité sur la sécurité informatique Le système d information, considéré comme le cœur de l entreprise, est l ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour la gestion de l information. Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l information qui y circule, du point de vue de la confidentialité, de l intégrité ou de la disponibilité. Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système d information de l entreprise. Parallèlement, étant donné la complexité de la mise en œuvre de ces normes, plusieurs méthodes d analyse des risques ont été mises au point afin de faciliter et d encadrer leur utilisation. Cependant, la plupart de ces méthodes en sont que partiellement compatibles, ne tenant compte que d une partie des règles énoncées dans ces normes. 3- ormes et standards relatives à la sécurité Les normes sont des accords documentés contenant des spécifications techniques ou autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes directrices ou définitions de caractéristiques pour assurer que des processus, services, produits et matériaux sont aptes à leur emploi.(2) 11

13 3.1- IS/IEC La norme IS/IEC a été publiée en octobre 2005, intitulé «Exigences de SMSI», elle est la norme centrale de la famille IS 2700x, c'est la norme d'exigences qui définit les conditions pour mettre en œuvre et documenter un SMSI (Système de Management de la Sécurité de l'information) IS/IEC Cette norme est issue de la BS (datant de 1995) qui a évolué en IS 17799:V2000, puis en IS 17799:V2005. Enfin en 2007, la norme IS/IEC 17799:2005 a été rebaptisée en IS pour s'intégrer dans la suite IS 2700x, intitulé «Code de bonnes pratiques pour la gestion de la sécurité de l'information». IS couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations. Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composés de 39 rubriques et 133 mesures dites «best practices» qui couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre). chapitres définissant le cadre de la norme: Chapitre n 1: Champ d'application Chapitre n 2: Termes et définitions Chapitre n 3: Structure de la présente norme Chapitre n 4: Évaluation des risques et de traitement Les chapitres définissant les objectifs de sécurité et les mesures à prendre Chapitre n 5: Politique de sécurité de l'information Chapitre n 6: rganisation de la sécurité de l'information Chapitre n 7: Gestion des actifs Chapitre n 8: Sécurité liée aux ressources humaines 12

14 Chapitre n 9: Sécurités physiques et environnementales Chapitre n 10: Exploitation et gestion des communications Chapitre n 11: Contrôle d'accès Chapitre n 12: Acquisition, développement et maintenance des systèmes d'informations Chapitre n 13: Gestion des incidents Chapitre n 14: Gestion de la continuité d'activité Chapitre n 15: Conformité IS/IEC La norme IS/IEC 27005, intitulé «Gestion du risque en sécurité de l'information», est une évolution de la norme IS 13335, définissant les techniques à mettre en œuvre dans le cadre d une démarche de gestion des risques. 4- Rôle et objectifs d audit L audit sécurité est une mission d évaluation de conformité par rapport à une politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité. Principe : auditer rationnellement et expliciter les finalités de l audit, puis en déduire les moyens d investigations jugés nécessaires et suffisants. L objectif principal d une mission d audit sécurité c est de répondre aux préoccupations concrètes de l entreprise, notamment de ses besoins en sécurité, en : Déterminant les déviations par rapport aux bonnes pratiques. Proposant des actions d améliorations de niveau de sécurité de l infrastructure informatique. Cependant, l audit de sécurité peut présenter un aspect préventif. C'est-à-dire qu il est effectué de façons périodiques afin que l organisme puisse prévenir les failles de sécurité. Egalement, l audit peut s imposer suite à des incidents de sécurité. 13

15 5- Cycle de vie d un audit de sécurité des systèmes d information Le processus d audit de sécurité est un processus répétitif et perpétuel. Il décrit un cycle de vie qui est schématisé à l aide de la figure suivante (3) Figure 1:Cycle de vie d'audit sécurité L audit de sécurité informatique se présente essentiellement suivant deux parties comme le présente le précédent schéma : L audit organisationnel et physique. L audit technique. Une troisième partie optionnelle peut être également considérée. Il s agit de l audit intrusif. Enfin un rapport d audit est établi à l issue de ces étapes. Ce rapport présente une synthèse de l audit. Il présente également les recommandations à mettre en place pour corriger les défaillances organisationnelles et techniques constatées. Une présentation plus détaillée de ces étapes d audit sera effectuée dans le paragraphe suivant qui présente le déroulement de l audit.(3) 14

16 6- Démarche de réalisation d une mission d audit de sécurité des systèmes d information Tel que précédemment évoqué, l audit de sécurité des systèmes d information se déroule généralement suivant deux principales étapes. Cependant il existe une phase tout aussi importante qui est une phase de préparation. ous schématisons l ensemble du processus d audit à travers la figure suivante : Figure 2:Processus d'audit 6.1- Préparation de l audit Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante pour la réalisation de l audit sur terrain. En synthèse on peut dire que cette étape permet de : Définir un référentiel de sécurité (dépend des exigence et attentes des responsables du site audité, type d audit). 15

17 Elaboration d un questionnaire d audit sécurité à partir du référentiel et des objectifs de la mission. Planification des entretiens et informations de personnes impliquées Audit organisationnel et physique a- bjectif Dans cette étape, il s agit de s intéresser à l aspect physique et organisationnel de l organisme cible, à auditer. ous nous intéressons donc aux aspects de gestion et d organisation de la sécurité, sur les plans organisationnels, humains et physiques. Les objectifs visés par cette étape sont donc : D avoir une vue globale de l état de sécurité du système d information, D identifier les risques potentiels sur le plan organisationnel. b- Déroulement Afin de réaliser cette étape de l audit, ce volet doit suivre une approche méthodologique qui s appuie sur un ensemble de questions. Ce questionnaire préétabli devra tenir compte et s adapter aux réalités de l organisme à auditer. A l issu de ce questionnaire, et suivant une métrique, l auditeur est en mesure d évaluer les failles et d apprécier le niveau de maturité en termes de sécurité de l organisme, ainsi que la conformité de cet organisme par rapport à la norme référentielle de l audit. Dans notre contexte, cet audit prendra comme référentiel la norme IS/27002 : Audit technique a- bjectif Cette étape de l audit sur terrain vient en seconde position après celle de l audit organisationnel. L audit technique est réalisé suivant une approche méthodique allant de la découverte et la reconnaissance du réseau audité jusqu au sondage des services réseaux actifs et vulnérables. Cette analyse devra faire apparaître les failles et les risques, les conséquences d intrusions ou de manipulations illicites de données. 16

18 Au cours de cette phase, l auditeur pourra également apprécier l écart avec les réponses obtenues lors des entretiens. Il sera à même de tester la robustesse de la sécurité du système d information et sa capacité à confidentialité, d intégrité, de disponibilité et d autorisation. préserver les aspects de b- Déroulement L audit technique sera réalisé selon une succession de phases respectant une approche méthodique. L audit technique permet la détection des types de vulnérabilités suivante, à savoir : Les erreurs de programmation et erreurs d architecture. Les erreurs de configurations des composants logiques installés tels que les services (ports) ouverts sur les machines, la présence de fichiers de configuration installés par défaut, l utilisation des comptes utilisateurs par défaut. Les problèmes au niveau de trafic réseau (flux ou trafic non répertorié, écoute réseau,...). Les problèmes de configuration des équipements d interconnexion et de contrôle d accès réseau. Les principales phases : Phase 1 : Audit de l architecture du système Reconnaissance du réseau et de plan d adressage, Sondage des systèmes, Sondage réseau, Audit des applications. Phase 2 : Analyse des vulnérabilités Analyse des vulnérabilités des serveurs en exploitation, Analyse des vulnérabilités des postes de travail. Phase 3 : Audit de l architecture de sécurité existante Cette phase couvre entièrement/partiellement la liste ci après : 17

19 Audit des firewalls et des règles de filtrage, Audit des routeurs et des ACLs (Liste de contrôle d accès), Audit des sondes et des passerelles antivirales, Audit des stations proxy, Audit des serveurs DS, d authentification, Audit des commutateurs, Audit de la politique d usage de mots de passe Audit intrusif Cet audit permet d apprécier le comportement des installations techniques face à des attaques. Egalement, il permet de sensibiliser les acteurs (management, équipes sur site, les utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été effectués (scénarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifiées Rapport d audit A la fin des précédentes phases d audit sur terrain, l auditeur est invité à rédiger un rapport de synthèse sur sa mission d audit. Cette synthèse doit être révélatrice des défaillances enregistrées. Autant est-il important de déceler un mal, autant il est également important d y proposer des solutions. Ainsi, l auditeur est également invité à proposer des solutions (recommandations), détaillées, pour pallier aux défauts qu il aura constatés. Les recommandations devront inclure au minimum : Une étude de la situation existante en termes de sécurité au niveau du site audité, qui tiendra compte de l audit organisationnel et physique, ainsi que les éventuelles vulnérabilités de gestion des composantes du système (réseau, systèmes, applications, outils de sécurité) et les recommandations correspondantes. 18

20 Les actions détaillées (organisationnelles et techniques) urgentes à mettre en œuvre dans l immédiat, pour parer aux défaillances les plus graves, ainsi que la proposition de la mise à jour ou de l élaboration de la politique de sécurité à instaurer. 7- Lois relative à la sécurité informatique en Tunisie Loi n du 3 février 2004, relative a la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux.(6) Décret n du 25 mai 2004, fixant les systèmes informatiques et les réseaux des organismes soumis a l'audit obligatoire périodique de la sécurité informatique et les critères relatifs a la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.(6) 8- Conclusion L audit est une démarche collaborative visant l exhaustivité. Elle est moins réaliste qu un test mais permet en contrepartie de passer méthodiquement en revue tout le réseau et chacun de ses composants en détail. Dans le chapitre suivant nous mettons l accent sur l étude de l existant et l identification de système cible. 19

21 Chapitre II : Présentation de l organisme d accueil et étude de l existant 20

22 1- Introduction otre mémoire de mastère s est déroulé au sein du Ministère des Technologies de l information et de la Communication (MTIC) qui est chargé principalement du pilotage, de la planification, de la réglementation et l organisation du secteur des technologies de la communication en Tunisie. Ce chapitre présente une étude exhaustive sur le système informatique et les composants qui le constituent. Toutes les informations ont été rassemblées suite à des visites sur place et des entretiens avec les membres de l équipe informatique. 2- Présentation de l organisme d accueil 2.1- Présentation générale Dénomination Ministre Secteur d activités Moyens humains (fin 2012) Adresse Ministère des Technologies de l'information et de la communication Mr Mongi Marzouk Informatique et télécommunication 230 employés 3, bis rue d Angleterre, 1000 Tunis info@infocom.tn Site web Téléphone : (+216) Rôles et attributions Le ministère a pour mission la mise en place d'un cadre réglementaire qui organise le secteur, la planification, le contrôle et la tutelle en vue de permettre au pays d'acquérir les nouvelles technologies. Il assure de même le soutien du développement, 21

23 attire l'investissement et encourage les efforts d'exportation et la compétitivité des entreprises tunisiennes. L adresse officielle du site du ministère est : Figure 3:Site du ministère(mtic) A cet effet, le ministère est chargé notamment de : Coordonner entre les structures chargées des études stratégiques dans le domaine de la Poste, des Télécommunications et de la technologie de l'information ; élaborer des normes techniques ; et encadrer les programmes de la recherche et les activités industrielles en vue de leur adaptation aux besoins du secteur, Elaborer des plans et des études stratégiques dans les domaines des télécommunications et Postal, Elaborer les études de rentabilité tarifaires et les modalités de fixation des tarifs des Télécommunications et des tarifs postaux, Fixer les conditions et les modalités relatives à la mise en place et à l'exploitation des services à valeur ajoutée des télécommunications, Suivre l'activité des Entreprises sous tutelle du ministère du point de vue technique et financier. 22

24 Collecter et analyser des statistiques relatives au secteur et proposer des programmes à insérer dans les plans de développement et en évaluer les résultats : Collecter et analyser et diffuser des statistiques relatives aux activités du ministère, Participer à l'élaboration des études stratégiques et des plans de développement dans le domaine des communications, Evaluer les résultats des plans de développement relatifs aux domaines afférents aux attributions du ministère, 2.3- rganigramme : Figure 4:rganigramme de MTIC L organigramme du ministère comprend principalement : L'inspection générale des communications Les directions générales tel que : 23

25 -Direction générale des technologies de l information -Direction générale des technologies de la communication -Direction générale de l économie umérique, de l investissement et des statistiques -Direction générale des entreprises et établissements publics -Direction générale des services communs Le cabinet comprend les structures suivantes : Figure 5:Stuctures de cabinet -Le bureau d'ordre central -Le bureau de l information et de la communication -Le bureau des systèmes d information -Le bureau des relations avec les associations et les organisations -Le bureau de suivi des décisions du conseil des ministres, des conseils ministériels restreints et des conseils interministériels -Le bureau des affaires générales, de la sécurité et de la permanence -Le bureau des relations avec le citoyen 24

26 -Le bureau de supervision des projets statistiques -Le bureau de la réforme administrative et de la bonne gouvernance -Le bureau de la coopération internationale, des relations extérieures 2.4- Le bureau des systèmes d information Le bureau des systèmes d information est chargé de : L exécution du chemin directeur de l information et sa mise à jour, de même le développement de l utilisation de l informatique au niveau de différents services du ministère. L exploitation et la maintenance des équipements et des programmes informatiques. La fixation de besoins en matière informatique et participation à l élaboration des cahiers des charges des appels d offres pour l acquisition d équipements informatiques. La participation à l élaboration des programmes de formation et de recyclage. Le développement des programmes informatiques concernant les produits financiers. Le suivi et l application des programmes de maintenance des équipements informatiques au niveau régional à travers les pôles régionaux. 3- Description du système informatique Dans cette partie nous allons identifier tous les éléments et les entités qui participent au fonctionnement du Système informatique. D après les visites effectuées et les documents qui nous ont été fournis, nous répartissons l inventaire des équipements informatiques comme suit : 3.1- Inventaire des micro-ordinateurs et serveurs ombre des postes de travail : 220 Tous les ordinateurs sont de type PC 25

27 ombre des serveurs en exploitation est 07 Serveurs : Serveur en Exploitation Serveur SyGec Serveur primaire messagerie Lotus Domino/otes Serveur Secondaire messagerie Lotus Domino/otes Type d Application Plates formes Hébergée S/ SGBD Gestion et suivi des Windows 2008 courriers Server/ SQL serveur 2005 Messagerie Intranet Windows 2003 SP3 Messagerie Intranet Windows 2003 SP3 Adresse réseau / / /24 Serveur Backup Mail Sauvegarde des mails Windows XP /24 SP2 Serveur Antivirus Système Antiviral Windows 2008 Server /24 réseau Koss 9.0 Serveur Mangement Console Windows 2008 Server /24 FW d administration du FireWall/IDS R2 Serveur Fax Gestion électronique des Fax Windows 2008 Server /24 Tableau 1:liste des serveurs du MTIC 3.2- Inventaire des logiciels et système d exploitation Les postes de travail sont équipés du système Windows XP (SP2/SP3) et Windows7 (SP1). Les Serveurs sont équipés du système Windows 2003 Server et Windows 2008 Server Une suite de bureautique (office 2003 et 2007) est installée sur tous les postes. Il y a des applications qui sont exploitées sur un réseau physiquement séparé du réseau Intranet du ministère et dont les serveurs sont hébergés au Centre ational de l informatique, ils sont comme suit : Les applications Description Développement Externe/Interne ISAF Application permet la gestion intégrée des ressources humaines et de la paie du personnel de Externe 26

28 RACHED ADAB Gestion des biens mobiliers de l Etat «MAKULET» Gestion des stocks de l Administration «MAKHZU» l Etat Application pour l automatisation des procédures relatives aux missions effectuées a l étranger par les agents de l administration Application d aide a la décision Budgétaire Application permettant le suivi des différentes étapes de gestion des biens mobiliers du ministère, depuis leur acquisition jusqu'à la fin de leur utilisation Application de gestion des stocks des produits tenus en stock dans les magasins du ministère Tableau 2:liste des applications du MTIC 3.3- Inventaire des équipements réseaux Externe Externe Externe Externe Le site compte les équipements réseaux et sécurité suivantes: Marque et Modèle ombre d interfaces Plusieurs Switch de marque Dlink et de modèle DGS ports Rj45, 4 ports F Plusieurs Switch de marque Dlink et de modèle DGS 1216T Un Routeur CISC 2850 Un double de FW de marque StoneGate et de modèle FW1050e Un commutateur iv3 de marque HP Procurve de modèle 5406zl 16 ports Rj45, 2 ports F 2 interfaces fast Ethernet et 8 interfaces séries possèdent 8 interfaces fast Ethernet. Possède 08 interfaces F et 24 Interfaces RJ45 Tableau 3:liste des équipements réseaux de MTIC 27