Audits Sécurité. Des architectures complexes



Documents pareils
Indicateur et tableau de bord

Projet Sécurité des SI

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Gestion des Incidents SSI

Panorama général des normes et outils d audit. François VERGEZ AFAI

INTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

PACK SKeeper Multi = 1 SKeeper et des SKubes

Vers un nouveau modèle de sécurité

TUNIS LE : 20, 21, 22 JUIN 2006

Retour d expérience sur Prelude

Catalogue «Intégration de solutions»

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

La sécurité IT - Une précaution vitale pour votre entreprise

COTISATIONS VSNET 2015

dans un contexte d infogérance J-François MAHE Gie GIPS

Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

Fiche descriptive de module

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

«ASSISTANT SECURITE RESEAU ET HELP DESK»

escan Entreprise Edititon Specialist Computer Distribution

Mise en place d une politique de sécurité

1 La visualisation des logs au CNES

Sécurité. Tendance technologique

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID,

Sécurité des réseaux Les attaques

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

SECURIDAY 2013 Cyber War

Xavier Masse PDG IDEP France

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

CAHIER DES CLAUSES TECHNIQUES

FAIRE FACE A UN SINISTRE INFORMATIQUE

Projet de sécurité d un SI Groupe défense

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

MSP Center Plus. Vue du Produit

Atelier Sécurité / OSSIR

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e)

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

DNS : Domaine Name System

TEST D INTRUISION. Document Technique

LAB : Schéma. Compagnie C / /24 NETASQ

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014

Formations. «Produits & Applications»

Concilier mobilité et sécurité pour les postes nomades

Installation d un serveur virtuel : DSL_G624M

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Outils d administration

SECURISEZ ANTIVIRUS LISTE BLANCHE FIREWALL PROTECTION USB LECTEUR BADGES RFID SIEM DATADIODE VOS SYSTÈMES DE CONTRÔLE INDUSTRIELS (ICS)

Technicien Supérieur de Support en Informatique

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Master d'informatique 1ère année Réseaux et protocoles

Janus Consulting. 24 Janvier Janus Consulting 8, Rue de la Chapelle Vienne en Arthies

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Catalogue Audit «Test Intrusion»

CATALOGUE DES FORMATIONS SECURITE INFORMATIQUE

Gestion des incidents de sécurité. Une approche MSSP

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Les formations. ENI Ecole Informatique

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Solutions de Cybersécurité Industrielle

Sécurité et Firewall

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

DOSSIER DE PRESSE. Octobre 2011

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Présenté par : Mlle A.DIB

Vers un nouveau modèle de sécurisation

1 LE L S S ERV R EURS Si 5

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE

Sécurité des réseaux sans fil

Sécurisation du réseau

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Critères d évaluation pour les pare-feu nouvelle génération

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

International Master of Science System and Networks Architect

Dr.Web Les Fonctionnalités

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Spécialiste Systèmes et Réseaux

TP 6 : Wifi Sécurité

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Transcription:

Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs systèmes à leurs clients, partenaires et collaborateurs. Cette nécessité d ouverture a conduit à l exposition croissante des systèmes et données internes aux accès malveillants, tant depuis l extérieur que depuis l intérieur de l entreprise. Les risques inhérents à ces communications ont nécessité l intégration d éléments de sécurité spécifiques et complémentaires donnant naissance à des architectures de plus en plus complexes.

Nécessité d une approche globale Les différents éléments physiques et logiques impliqués dans la sécurisation des accès, systèmes et données, tout comme les méthodes de travail utilisées au sein de l entreprise, impactent l ensemble du système d information. Ainsi, bien que celle-ci constitue un premier niveau de protection, la sécurité effective d un système ne résulte pas seulement de sa protection périmétrique (FireWall, VPN, Content Management, CRM), mais de l interaction des éléments suivants: Sécurité physique : Méthodes et protections d accès physique aux locaux et systèmes, Redondance de disques, de serveurs Sécurité logique : Configuration des systèmes d exploitation (clients et serveurs), configuration des applications mises à disposition, niveau d authentification requis, procédures d exploitation, supervision Sécurité des données : Configuration des systèmes anti-virus, chiffrement, intégrité, sauvegarde Sécurité périmétrique : FireWall, VPN, Authentification d accès au réseau, détection d intrusion, gestion de contenu (filtrage) Le maillon le plus faible détermine le niveau de sécurité global. Aussi, de par la complexité des interactions possibles et pour une efficacité maximum, Janus Consulting adopte une approche globale, méthodique et transversale, en quatre phases. Un audit en quatre phases Afin de fournir un état exhaustif de la sécurité globale du système à auditer, Janus Consulting applique la méthodologie suivante : Phase d interview et de recensement technique, Phase d analyse, constitution du diagramme d interaction des systèmes, Phase de tests techniques, scans de ports, identification et classement des vulnérabilités découvertes, Phase de formalisation, Rédaction d un rapport exhaustif.

Interviews La première phase de l audit consiste à interviewer le Responsable de la Sécurité des Systèmes d Information, le ou les techniciens chargés de la maintenance et de l exploitation du système, des utilisateurs représentatifs. Ces entretiens ont pour but d obtenir une vision objective sur: La politique de sécurité de l entreprise, La sécurité des procédures d exploitation du ou des systèmes, Le niveau de décalage entre la réalité d exploitation et le niveau de sécurité auquel prétend l entreprise. Collecte et Analyse des configurations Lors de cette phase, Janus Consulting établit un recensement complet des éléments participants à la sécurité physique, logique, données, périmétrique, et collecte l ensemble des configurations systèmes et matériels impliqués dans la sécurité à l aide d outils adaptés. Une analyse est ensuite réalisée afin de : Déterminer la cohérence des configurations collectées, politique anti-virale, serveur Web, FTP, Règles de FireWall etc. Déterminer les niveaux de correctifs appliqués et les besoins de mise à jour, Etablir un diagramme d interaction des différents éléments impliqués, Extraire les éléments les plus exposés afin d en tester la vulnérabilité à l aide d outils spécifiques. Scans de vulnérabilité Dans le cas d un audit de sécurité, la simple analyse de l information collectée peut s avérer insuffisante. Aussi, afin de corroborer les informations relevées, Janus Consulting procède à deux scans réseaux (non intrusifs), réalisés par les deux outils les plus performants, l un du marché, l autre «underground». Ces deux outils combinés permettent de détecter plus de 2000 types de vulnérabilités sur plus de 300 applications et 20 systèmes d exploitation. Les méthodes employées permettent également de fournir une représentation graphique exhaustive de ce qui est visible de l extérieur. Les méthodes employées sont : AXFR : Détermination du Start of Authority du domaine DNS scanné (SOA), et obtention de l ensemble des enregistrements Name Server (NS) du domaine.

FQDN brute force : Utilisation d un dictionnaire de plus de 100 noms hosts communs (www, mail ) puis concaténation avec le nom de domaine afin de découvrir l ensemble des systèmes déclarés sur la zone publique. IP brute force : Utilisation de l adresse IP trouvée afin de déterminer le netblock correspondant, ce qui permet de vérifier l appartenance de la machine au domaine. Scan IP TCP UDP : 65534 ports RFC 1700 IANA, ce qui permet d identifier chaque type de service actif sur la machine cible et d en tester la vulnérabilité, Scan des ports «Dead Host» : Ce qui permet de détecter l existence de machines qui ne répondraient pas, un firewall par exemple, Scan des adresses privées RFC 1918 : Ceci permet d établir le NAT (translation d adresse) utilisé, et permet d avancer plus loin dans l investigation du réseau interne à partir de l extérieur, Classification des résultats en 5 niveaux : Niveau 1 : Des informations peuvent être obtenues, Niveau 2 : Des informations précises peuvent être collectées comme la version d OS du système cible, Niveau 3 : Présence de vulnérabilités directement exploitables comme la lecture partielle de certains fichiers ou arborescences, la sensibilité à certaines attaques de type «Buffer Overflow» ou «Denial of Service» Niveau 4 : Modification possible de fichiers, présence de listes utilisateurs lisibles ou «Backdoors» exploitables. Niveau 5 : Accès en modification au système troyen détecté, prise de contrôle à distance possible. Formalisation des résultats Une fois la phase d analyse terminée, un rapport complet vous est remis. Ce rapport contient : Une présentation du contexte de notre audit, Une expression écrite de vos besoins, Un descriptif des méthodes et outils d analyse utilisés, Une formalisation précise de l état de la sécurité du système analysé, reprenant les comptes rendus d interviews, le diagramme d accès et le rapport de scan, Un classement exhaustif des vulnérabilités découvertes sur 5 niveaux, La liste des correctifs, mises à jour d OS, et modifications de procédures à apporter classées selon 5 niveaux d urgence, Des préconisations de modification d architecture ou/et d intégration de nouveaux services susceptibles d accroître sensiblement la sécurité. Ainsi, vous disposez d un document complet vous fournissant un bilan précis de l état de votre sécurité et vous permettant d engager immédiatement les actions correctives nécessaires. Options

L expérience de Janus Consulting acquise au fil de nombreuses missions et la formation permanente de nos collaborateurs aux nouvelles technologies, nous permettent de vous accompagner dans la suite logique de cet audit en vous proposant : La mise en place des correctifs, Le pilotage ou/et réalisation des modifications d architecture, Des tests intrusifs et, le cas échéant, exploitations des vulnérabilités pour évaluation de risques, L aide à la mise en place d une nouvelle politique de sécurité, Une formation complémentaire de vos équipes.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back