AUDIT SECURITE ET RISQUES INFORMATIQUES XXX V1.0 Avril 08 VOTRE CONTACT COMMERCIAL FLORENCE LAPREVOTE LIGNE DIRECTE : 01 34 93 35 30 EMAIL : FLAPREVOTE@ORSENNA.FR VOTRE CONTACT TECHNIQUE JEAN-PHILIPPE SENCKEISEN EMAIL : JPSENCKEISEN@ORSENNA.FR Ce document contient des informations confidentielles qui sont la propriété de la société ORSENNA. Il ne peut être diffusé ou transféré en dehors de votre organisation sans l autorisation écrite d une personne habilitée par ORSENNA. Il ne peut être copié ou reproduit sous quelque forme que ce soit. ORSENNA se réserve le droit de modifier, sans préavis, certaines conditions prévues dans la présente offre, compte tenu de l évolution des services ORSENNA (services, équipements, programmes, documents, tarifs). Les renseignements contenus dans le présent document peuvent donc faire l objet de modifications. ORSENNA est un nom déposé. Cette proposition n est valable qu accompagnée du Visa technique.
TABLE DES MATIERES 1 PRESENTATION DE LA SOCIETE... 3 1.1 ORSENNA...3 1.2 NOTRE METIER, SPECIALISTE AUDIT RESEAU...3 2 AUDIT... 4 2.1 AUDIT SYSTEME...4 2.2 AUDIT RÉSEAU...4 2.3 AUDIT DES FLUX...5 2.4 AUDIT DE DÉTECTION D INCIDENT...5 2.5 AUDIT DE SÉCURITÉ...5 2.6 OUTILS ENVISAGÉS...6 2.6.1 Nessus... 6 2.6.2 MBSA... 6 2.6.3 Allot... 7 2.6.4 Observer... 8 2.6.5 Whatsup... 9 3 PLAN DE REPRISE...10 3.1 ETUDE D IMPACT...10 3.2 METHODES PREVENTIVES...10 3.3 STRATEGIES DE SAUVEGARDE ET DE RESTAURATION...10 3.4 REMPLACEMENT DES EQUIPEMENTS ET SERVICES...11 3.5 TEST, FORMATION ET MAINTENANCE DU PLAN...11 4 RECOMMANDATIONS POUR UN PRA...12 4.1 RESTAURATION...12 4.2 PCS ET PORTABLES...12 4.3 SERVEURS...12 4.4 LAN...12 4.5 WAN...13 5 DEMARCHE ET PLAN DE L AUDIT...14 5.1 PERIMETRE TECHNIQUE...14 5.2 DOCUMENTATION EXISTANTE...15 5.3 OBJECTIFS...16 5.4 ANALYSE ET LIVRABLES...16 5.5 DEMARCHES TECHNIQUES...18 6 RETRO-PLANNING PAR ETAPES ET PRE-REQUIS...19 6.1 CHARGES...19 6.2 PLANNING DETAILLE...20 6.3 CALENDRIER...20 6.4 PRE-REQUIS TECHNIQUES...20 7 REFERENCES CLIENTS DE MISSIONS SIMILAIRES...21 8 EQUIPE PROJET...22 9 COUTS...23 Offre Audit sécurité et risques informatiques Orsenna Page 2 /23
1 PRESENTATION DE LA SOCIETE 1.1 ORSENNA Identité : Orsenna 14 Rue Gambetta 78600 Le Mesnil le roi Capital de 96 042 Créée en 1989 Orsenna est présent depuis 2000 sur le marché de l audit et de la supervision avec plus de 300 missions d audit et de supervision et réalise actuellement une cinquantaine de missions annuelle ment. 1.2 NOTRE METIER, SPECIALISTE AUDIT RESEAU Spécialiste des infrastructures réseaux, Orsenna apporte une réponse aux problèmes complexes posés par l audit et la supervision des réseaux au travers une maîtrise de différents outils du marché. A ce titre Orsenna intervient sur les projets auprès de grands comptes dans différents secteurs d activité tels : Transport Banques, Assurances Distribution Industries Administration Ecoles, Universités Mairies, Conseil Opérateur COFIROUTE; SERVAIR, APPR FIDEURAM BANK ; BANQUE POPULAIRE, GIE Carte Bancaire, GMF, Caisse des Dépôts, Société Générale BRICORAMA; RELAY, NICOLAS, AELIA, HISTOIRE D OR, LANVIN, MAC DONALDS, MIDAS SCHLUMBERGER; ALCAN, ARCELOR, DANONE, EADS, IMAJE, STRYKER ADEME, OPERA DE PARIS, MINISTERE DEFENSE ENSAE, ENSTA, Ville TROYES, CG16, CR PACA CORIOLIS, B3G Offre Audit sécurité et risques informatiques Orsenna Page 3 /23
2 AUDIT 2.1 AUDIT SYSTEME Nous réalisons des Audits de parcs informatique (équipements réseaux, matériels et logiciels système) dans le but de vous aider à redéfinir les axes de leurs évolutions, optimiser vos ressources et parvenir à une meilleure maîtrise des coûts. Nous participons à cette phase préalable dans le cadre de Missions de conseil qui consistent alternativement à : Analyser l existant puis préconiser des correctifs aux processus en place (organisation, méthodes, déroulement des tâches,.). Valider une architecture technique avant de proposer un contrat de maintenance système (décrire les faiblesses constatées et proposer les étapes d amélioration). Accompagner le changement dans le cadre d une migration du système informatique (planifier les tâches réalis ées en tenant compte des contraintes de l entreprise). 2.2 AUDIT RÉSEAU Notre maîtrise des outils de capture et de debugging des trafics sur les réseaux LAN, nous permet de vous proposer: La liste des équipements connectés sur votre LAN (station travail, imprimantes, éléments réseaux, etc.). avec leur description précise en termes de MAC adresses, de nom NetBios et d adresse IP. La liste des sessions de connexion entre machine comprenant aussi le protocole de dialogue (TCP, UDP, etc.) La liste des ouvertures d application par connexion machine. Les niveaux de distribution de protocole sous forme de graphique (IP, IPX, NetBios, FTP, SNMP, http, etc.) La liste des fautes réseaux détectés données par niveau d importance (mineur, critique, etc ) La liste des diagnostiques proposée consécutive à des problèmes détectés. Le taux d utilisation du réseau sous forme de graphique. Le taux d erreur détecté sur le réseau sous forme graphique. La visualisation des trames pas par pas. Offre Audit sécurité et risques informatiques Orsenna Page 4 /23
2.3 AUDIT DES FLUX Les audits de flux répondent classiquement aux problématiques suivantes : Besoin de contrôle sur un système d'informations trop opaque. Besoin de justification de dimensionnement ou de migration du réseau. Contrôle avant ou après un déploiement applicatif. Régulation des ressources partagées (internet, email). A l'aide d'outils de type Allot sur le Wan ou d analyseurs LAN, le consultant réalisera les graphes de charge des plus gros utilisateurs des protocoles transitant sur le réseau. 2.4 AUDIT DE DÉTECTION D INCIDENT Les audits de détection d incident répondent classiquement aux problématiques suivantes : Un temps de réponse trop long imputé au réseau. Des problèmes de déconnexion. Le consultant réunira les informations des utilisateurs concernés, puis proposera un plan d'action à la direction informatique basé sur des outils d'analyse réseau. Ces éléments permettront de trouver l'origine de dysfonctionnement. 2.5 AUDIT DE SÉCURITÉ Les audits de sécurité répondent classiquement aux problématiques suivantes : Confidentialité des informations. Détecter les vulnérabilités des composants réseau Sécurité d intégrité des informations qui circulent sur le réseau Authentification sécurisée Offre Audit sécurité et risques informatiques Orsenna Page 5 /23
2.6 OUTILS ENVISAGÉS Les outils utilisés par Orsenna, restent la propriété d Orsenna et ne sont pas fournis dans le cadre de la prestation d audit. 2.6.1 Nessus Pour les audits de vulnérabilité, nous nous appuyons sur l outil Nessus : Figure 1 : Plate forme Nessus 2.6.2 MBSA Pour la recherche de failles dans la configuration de sécurité Windows 2000, Windows XP, Windows Server 2003, Internet Information Server (IIS) 5.0 et 6.0, SQL Server 7.0 et 2000, Internet Explorer 5.01 et versions ultérieures, ainsi qu'office 2000, 2002 et 2003., nous nous appuyons sur l outil Microsoft «Microsoft Baseline Security Analyzer (MBSA) MBSA recherche également les mises à jour de sécurité, correctifs cumulatifs et Service Packs publiés par Microsoft Update qui ne sont pas installés. Figure 2 : MBSA Offre Audit sécurité et risques informatiques Orsenna Page 6 /23
2.6.3 Allot Pour permettre d analyser et d agir sur les flux en temps réel, Orsenna a choisi la famille des NetEnforcer, (hardware) qui s insère à la frontière entre le LAN et le WAN du réseau d une entreprise. Le mode de classification du NetEnforcer possède 2 niveaux hiérarchiques, ce qui permet d ordonner les flux selon des «Pipe» (c est le premier niveau), correspondant par exemple aux interfaces WAN physiques d agences géographique ou aux Circuits virtuels (FR/ATM ) puis de classifier dans chaque «Pipe» les flux applicatifs dans des canaux virtuels ; c est le deuxième niveau. Une fois cette classification établie, on peut définir des règles de qualité de service associées. Ces règles s appuient sur des mécanismes performants de gestion des priorités, d allocation, de réservation et de limitation de la bande passante. Les responsables réseaux peuvent ainsi contr ôler l'ensemble des flux transitant entre les sites distants et le site central, ceci afin de garantir une bande passante aux applications les plus critiques pour l'entreprise. Figure 3 : Allot Netenforcer Offre Audit sécurité et risques informatiques Orsenna Page 7 /23
2.6.4 Observer Afin d analyser les performances et les incidents réseaux, Orsenna a choisit la gamme Observer de Network Instruments.Une des particularités des produits réside dans les fonctions de décodage avancé permettant d identifier et de localiser les problèmes rapidement Figure 4 : Analyse du temps de réponse Offre Audit sécurité et risques informatiques Orsenna Page 8 /23
2.6.5 Whatsup Orsenna utilise le logiciel WhatsUp, solution conviviale de cartographie, de surveillance, de notification, afin d'évaluer la performance des réseaux. Sa caractéristique importante réside dans les possibilités de customisation du monitoring ( SNMP, WMI, Script TCP, Script Java ou VB) et la cartographie. Figure 5 : Console WhatsUp Offre Audit sécurité et risques informatiques Orsenna Page 9 /23
3 PLAN DE REPRISE Cette partie décrit le développement et la gestion d un plan lié au système d information. Les processus à développer sont indépendants de la structure du système d information : Etude d impact Méthode préventives Stratégies de sauvegarde et de restauration Remplacements des équipements Test Formation et Maintenance du plan 3.1 ETUDE D IMPACT L étude d impact s attache à définir les éléments suivants : Identification des ressources critiques Identification des conséquences d une interruption Temps maximum d interruption 3.2 METHODES PREVENTIVES L application de méthodes de prévention permet de minimiser le coût et les conséquences d une interruption. Les éléments mis en œuvre communément sont : UPS Stockage sécurisé des bandes Stockage sur un site secondaire Site miroir 3.3 STRATEGIES DE SAUVEGARDE ET DE RESTAURATION Les stratégies de sauvegarde doivent prendre en compte les différentes alternatives : Sauvegarde sur site Sauvegarde externe Serveurs miroirs Infrastructure redondante Offre Audit sécurité et risques informatiques Orsenna Page 10 /23
En ce qui concerne les sites externes, les caractéristiques d accès, de disponibilité et de coût doivent être étudiés. L ensemble des éléments liés à la restauration doivent faire l objet d une sauvegarde : Plan de reprise Contrats fournisseurs Licences logiciels Manuels et procédures 3.4 REMPLACEMENT DES EQUIPEMENTS ET SERVICES Dans le cas ou le système d information est détruit ou endommagé, les composants matériels et logiciels devront être fournis sur un nouveau site. Les éléments à prendre en compte sont : Inventaire des matériels et logiciels Inventaire des éléments liés à la connectivité Lan et Wan Inventaire des fournisseurs (coordonnées, numéros d urgence,..) Liste des matériels et logiciels retirés de la vente Liste des services supports contractés Logiciels et Matériels de secours stockés sur un autre site Contrats de service pour la mise à disposition de nouveaux équipements 3.5 TEST, FORMATION ET MAINTENANCE DU PLAN Le test d un plan de reprise constitue un élément critique et doit permettre de valider les éléments suivants : Restauration des médias sur une plate forme de secours Validation connectivité interne et externe Procédures associées La maintenance du plan doit être effectuée au moins une fois par an Offre Audit sécurité et risques informatiques Orsenna Page 11 /23
4 RECOMMANDATIONS POUR UN PRA Les recommandations permettent d enrichir le développement du Plan de reprise. 4.1 RESTAURATION Les procédures de restauration doivent être décrites en mode pas à pas avec tous les éléments nécessaires à la mise en place : - Autorisations d accès au site - Composants matériels et logiciels - Connectivité Lan et Wan - Licences logicielles - Médias de sauvegarde - Ordre de restauration des équipements 4.2 PCS ET PORTABLES Les préconisations pouvant être prises en compte sont : - Sauvegarde des données utilisateurs spécifiques sur des répertoires réseaux - Standardisation des équipements - Documentation sur les configurations systèmes - Cryptage des données sur les portables - Stockage d images disques des PCs et Portables 4.3 SERVEURS Les préconisations pouvant être prises en compte sont : - Technologie Raid 5 - Sauvegarde régulière sur bandes ou disques - Stockage externe - Labellisation des médias - Standardisation des équipements - Documentation sur les configurations systèmes - Documentation sur la restauration 4.4 LAN Les préconisations pouvant être prises en compte sont : - Liens critiques redondants - Documentation physique du LAN Offre Audit sécurité et risques informatiques Orsenna Page 12 /23
- Documentation Plan d adressage - Documentations Hub et Switch 4.5 WAN Les préconisations pouvant être prises en compte sont : - Liste des liens utilisés et caractéristiques - Liens critiques redondants Offre Audit sécurité et risques informatiques Orsenna Page 13 /23
5 DEMARCHE ET PLAN DE L AUDIT 5.1 PERIMETRE TECHNIQUE Le périmètre est constitué par : 3 sites reliés avec un lien Transfix 2M et un lien fibre 9 serveurs applicatifs 92 postes clients sous 2K et XP Switches Cisco Catalyst 2950&2970 Bornes Wifi CXR et Netgear Switch Netgear Routeurs Cisco 2610 &2612 Figure 6 : Environnement Technique Offre Audit sécurité et risques informatiques Orsenna Page 14 /23
5.2 DOCUMENTATION EXISTANTE Les documents disponibles pour l audit sont les suivants : LISTE DES SERVEURS et SWITCHS 3 SITES o Table des adresses Ip o Liste des serveurs o Liste des switchs et routeurs LISTE DES MATERIELS CLIENTS PAR SITE o Liste des Pc o Liste des Pc et imprimantes LISTES DES GARANTIES MATERIELS FIREWALL o Firebox Configuration Report o Mode emploi stats du firewall.doc o Liste des demandes de modification du paramétrage du Firewall LOGICIEL ANTI-VIRUS o Viruscan de MCAFEE CONFIGURATION SWITCHS et ROUTEURS o Documentation installation par site o Sauvegardes des configurations SAUVEGA RDES DES SERVEURS o Descriptif de l organisation des sauvegardes serveurs o Liste des bandes coffre Corum o Liste des bandes coffre Parc -expo Offre Audit sécurité et risques informatiques Orsenna Page 15 /23
5.3 OBJECTIFS La société XXX XXX souhaite établir une cartographie des risques et des vulnérabilités de son système d information. Dans ce cadre, une mission sur l état des lieux de l infrastructure réseau et sécurité de son système d informations doit être effectuée. Des recommandations concernant trois projets doivent aussi être apportées. Il s agit du renouvellement du contrat d infogérance du firewall, le renouvellement du contrat de maintenance des switchs et routeurs et une proposition d audit de la liaison inter site Parc des expositions-corum. Des recommandations pour la mise en place d un plan de reprise d activité sont également souhaitées 5.4 ANALYSE ET LIVRABLES Les différentes étapes de l audit sont les suivantes: Analyse de l existant L analyse de l existant a pour but de constituer une matrice de référence des composants de l infrastructure. o o o o Analyse Architecture Description de l architecture existante Descriptif des paramètres de sécurité mis en place Analyse des flux Analyse des flux sur les liens Transfix (Allot) Analyse des flux Internet (Allot) Analyse de sécurité Analyse des vulnérabilités des postes du réseau (Nessus) Analyse des failles de sécurité des postes Windows (MBSA) Analyse des journaux liés à la sécurité :? Composant antiviraux? Journaux d évènements? Si accessible, Firewall WatchGuard Analyse de disponibilité Identification des ressources critiques Mesure de SLA sur une période d 1 semaine (WhatsUp) Identification des éléments présents pour un PRA? Architecture redondé,? UPS, Sauvegarde,? Caractéristiques des contrats de service,? Gestion Astreinte,? Matériel de secours,.. L ensemble des items seront fournis sous la forme d un livrable avec différents chapitres (Architecture, Flux, Sécurité, Disponibilité). Rapport Global o Cartographie des risques et vulnérabilités Ce rapport global s appuie sur les livrables d analyse (Architecture, Flux, Sécurité, Disponibilité) et identifie les points critiques pour l infrastructure d XXX XXX. Offre Audit sécurité et risques informatiques Orsenna Page 16 /23
Recommandations o Architecture technique cible Priorités de déploiement Conséquences en cas de non-déploiement o Recommandations pour un PRA o Recommandations sur le firewall o Recommandations sur les switches et routeurs o Recommandations sur l audit de flux. Un document unique de recommandations sera fourni et inclura les différents thèmes cités. Offre Audit sécurité et risques informatiques Orsenna Page 17 /23
5.5 DEMARCHES TECHNIQUES La démarche d audit consiste à enchainer les étapes comme suit : Analyse de l existant Pose d outils de mesure Elaboration des rapports Recommandations Offre Audit sécurité et risques informatiques Orsenna Page 18 /23
6 RETRO-PLANNING PAR ETAPES ET PRE-REQUIS 6.1 CHARGES Analyse Architecture Analyse Sécurité Analyse Disponibilité Analyse des flux Analyse Sécurité Analyse des flux Livrables Description Pré-étude Analyse de la documentation existante, validation du cahier des charges, interview des exploitants et prestataires. Installation des composants d audits de vulnérabilité (Nessus) et d analyse des failles de sécurité (MBSA) et lancement des analyses Mise en place d une mesure de SLA (taux de disponibilité des équipements).sur une semaine (rapport email) Mise en place d une analyse des flux sur le lien Transfix. Mise en place d une analyse des journaux accessibles ( Evts Windows, Antivirus, Firewall ). Mise en place d une analyse des flux sur le lien Internet. Récupération des données et mise en forme des livrables d analyse: Ressources Estimation 1 Jour 0,5 Jour 0,5 Jour 0,5 jour 0,5 jour 0,5 jour 2 jours Livrables Rapport Global et recommandations 2 jours Livrables Présentation des résultats en réunion 0,5 jour TOTAL 8 Jours Les prestations s effectuent en fonction des besoins dans les locaux d XXX XXX ou dans les locaux d Orsenna. Les prestations de documentation s effectuent systématiquement dans les locaux d Orsenna. Lors de la validation de l accessibilité des équipements, il est probable que des points techniques restent à résoudre. Pour minimiser les temps de résolutions de ces points il est impératif de pouvoir travailler à distance sur le sujet (temps de réponse des prestataires, tests internes, ). Offre Audit sécurité et risques informatiques Orsenna Page 19 /23
6.2 PLANNING DETAILLE La mission peut s effectuer sur les bases suivantes : - T0 : 1 ère date d intervention - T0 + 1 semaine : Phase d analyse - T0 + 2 semaines : Documentation et Récupération des données - T0 + 3 semaines : Présentation des livrables 6.3 CALENDRIER Le calendrier proposé s étale sur 3 semaines et comprend :: Phase d analyse Phase de documentation/livrables Phase de Présentation 6.4 PRE-REQUIS TECHNIQUES Les pré-requis techniques sont les suivants : Mise à disposition d un poste client pour installer le composant de mesure de SLA et les outils d analyses ( Nessus et MBSA). Si possible accès à distance de ce poste (VPN). Eventuellement, mise en place de l export des logs du firewall Possibilité de contacts techniques avec le prestataire firewall ou bien accès à la configuration Watchguard. Offre Audit sécurité et risques informatiques Orsenna Page 20 /23
7 REFERENCES CLIENTS DE MISSIONS SIMILAIRES Comme indiqué en 1.2, Orsenna a réalisé plus de 300 missions d audit et de supervision. Quelques références intéressantes - GMF ( Garantie Mutuelle des Fonctionnaires) ( 450 Serveurs, 300 équipements Réseaux) - Coriolis ( 150 Serveurs, 50 Switches, 40 Routeurs ) - Mac Donalds ( 50 Serveurs, 40 Switchs, 15 AP, 300 Routeurs ) - Relay ( 900 Routeurs, 3 appliances, 1 5 Serveurs) - Aelia (64 routeurs, 178 switches, 344 serveurs) Offre Audit sécurité et risques informatiques Orsenna Page 21 /23
8 EQUIPE PROJET L équipe projet est constituée de 2 intervenants : - Un ingénieur Systèmes et sécurité - Un consultant expert Audit Les CVS sont joints à cette proposition Offre Audit sécurité et risques informatiques Orsenna Page 22 /23
9 COUTS Le coût de la mission est forfaitaire : Produits Quant Prix Euro HT Mission Audit & Conseil - Homme/jour à 850 Euro HT 8 6 800,00 Forfaits déplacements 1 460,00 TOTAL HT La présente proposition est valable un mois à compter du 29/04/08. 7 260,00 Les matériels et logiciels utilisés lors de la mission ne font pas l objet d une facturation. Offre Audit sécurité et risques informatiques Orsenna Page 23 /23