audit securite et risques informatiques

Transcription

AUDIT SECURITE ET
RISQUES INFORMATIQUES
XXX
V1.0
Avril 08
VOTRE CONTACT
COMMERCIAL
FLORENCE LAPREVOTE
LIGNE DIRECTE : 01 34 93 35 30 EMAIL : [email protected]
VOTRE CONTACT
TECHNIQUE
JEAN-P HILIPPE SENCKEISEN EMAIL : JPSENCKEISEN @ORSENNA.FR
Ce document contient des informations confidentielles qui sont la propriété de la société ORSENNA. Il ne peut être diffusé ou
transféré en dehors de votre organisation sans l’autorisation écrite d’une personne habilitée par ORSENNA. Il ne peut être copié
ou reproduit sous quelque forme que ce soit. ORSENNA se réserve le droit de modifier, sans préavis, certaines conditions prévues
dans la présente offre, compte tenu de l’évolution des services ORSENNA (services, équipements, programmes, documents, tarifs).
Les renseignements contenus dans le présent document peuvent donc faire l’objet de modifications. ORSENNA est un nom déposé.
Cette proposition n’est valable qu’accompagnée du Visa technique.
TABLE DES MATIERES
1
PRESENTATION DE LA SOCIETE..................................................................................................................... 3
1.1
1.2
2
ORSENNA ................................................................................................................................................................3
NOTRE METIER, SPECIALISTE AUDIT RESEAU ....................................................................................................3
AUDIT............................................................................................................................................................................. 4
2.1
2.2
2.3
2.4
2.5
2.6
2.6.1
2.6.2
2.6.3
2.6.4
2.6.5
3
PLAN DE REPRISE..................................................................................................................................................10
3.1
3.2
3.3
3.4
3.5
4
RESTAURATION....................................................................................................................................................12
PC S ET PORTABLES .............................................................................................................................................12
SERVEURS .............................................................................................................................................................12
LAN.......................................................................................................................................................................12
WAN.....................................................................................................................................................................13
DEMARCHE ET PLAN DE L’AUDIT ...............................................................................................................14
5.1
5.2
5.3
5.4
5.5
6
ETUDE D’IMPACT .................................................................................................................................................10
M ETHODES PREVENTIVES...................................................................................................................................10
STRATEGIES DE SAUVEGARDE ET DE RESTAURATION ....................................................................................10
REMPLACEMENT DES EQUIPEMENTS ET SERVICES..........................................................................................11
TEST , FORMATION ET MAINTENANCE DU PLAN...............................................................................................11
RECOMMANDATIONS POUR UN PRA ..........................................................................................................12
4.1
4.2
4.3
4.4
4.5
5
A UDIT SYSTEME .....................................................................................................................................................4
A UDIT RÉSEAU.......................................................................................................................................................4
A UDIT DES FLUX....................................................................................................................................................5
A UDIT DE DÉTECTION D’INCIDENT ......................................................................................................................5
A UDIT DE SÉCURITÉ ..............................................................................................................................................5
OUTILS ENVISAGÉS................................................................................................................................................6
Nessus............................................................................................................................................................... 6
MBSA................................................................................................................................................................ 6
Allot................................................................................................................................................................... 7
Observer........................................................................................................................................................... 8
Whatsup............................................................................................................................................................ 9
PERIMETRE TECHNIQUE......................................................................................................................................14
DOCUMENTATION EXISTANTE...........................................................................................................................15
OBJECTIFS.............................................................................................................................................................16
A NALYSE ET LIVRABLES.....................................................................................................................................16
DEMARCHES TECHNIQUES..................................................................................................................................18
RETRO-PLANNING PAR ETAPES ET PRE-REQUIS ................................................................................19
6.1
6.2
6.3
6.4
CHARGES....................................................................................................................................................................19
PLANNING DETAILLE ...........................................................................................................................................20
CALENDRIER.........................................................................................................................................................20
PRE -REQUIS TECHNIQUES...................................................................................................................................20
7
REFERENCES CLIENTS DE MISSIONS SIMILAIRES .............................................................................21
8
EQUIPE PROJET......................................................................................................................................................22
9
COUTS ..........................................................................................................................................................................23
Offre Audit sécurité et risques informatiques– Orsenna
Page 2 /23
1 PRESENTATION DE LA SOCIETE
1.1 ORSENNA
Identité :
Orsenna
14 Rue Gambetta
78600 Le Mesnil le roi
Capital de 96 042 €
Créée en 1989
Orsenna est présent depuis 2000 sur le marché de l’audit et de la supervision avec plus de 300 missions d’audit
et de supervision et réalise actuellement une cinquantaine de missions annuelle ment.
1.2 NOTRE METIER, SPECIALISTE AUDIT RESEAU
Spécialiste des infrastructures réseaux, Orsenna apporte une réponse aux problèmes complexes posés par l’audit
et la supervision des réseaux au travers une maîtrise de différents outils du marché.
A ce titre Orsenna intervient sur les projets auprès de grands comptes dans différents secteurs d’activité tels :
Transport
Banques, Assurances
Distribution
Industries
Administration
Ecoles, Universités
Mairies, Conseil
Opérateur
COFIROUTE; SERVAIR, APPR
FIDEURAM BANK ; BANQUE POPULAIRE, GIE Carte Bancaire, GMF, Caisse
des Dépôts , Société Générale
BRICORAMA; RELAY, NICOLAS, AELIA, HISTOIRE D’OR, LANVIN, MAC
DONALDS, MIDAS
SCHLUMBERGER; ALCAN, ARCELOR, DANONE, EADS, IMAJE, STRYKER
ADEME, OPERA DE PARIS, MINISTERE DEFENSE
ENSAE, ENSTA,
Ville TROYES, CG16, CR PACA
CORIOLIS, B3G
Page 3 /23
2 AUDIT
2.1 AUDIT SYSTEME
Nous réalisons des Audits de parcs informatique (équipements réseaux, matériels et logiciels système) dans le
but de vous aider à redéfinir les axes de leurs évolutions, optimiser vos ressources et parvenir à une meilleure
maîtrise des coûts.
Nous participons à cette phase préalable dans le cadre de Missions de conseil qui consistent alternativement à :
? Analyser l’existant puis préconiser des correctifs aux processus en place (organisation, méthodes,
déroulement des tâches,….).
? Valider une architecture technique avant de proposer un contrat de maintenance système (décrire les
faiblesses constatées et proposer les étapes d’amélioration).
? Accompagner le changement dans le cadre d’une migration du système informatique (planifier les
tâches réalis ées en tenant compte des contraintes de l’entreprise).
2.2 AUDIT RÉSEAU
Notre maîtrise des outils de capture et de debugging des trafics sur les réseaux LAN, nous permet de vous
proposer:
? La liste des équipements connectés sur votre LAN (station travail, imprimantes, éléments réseaux,
etc….). avec leur description précise en termes de MAC adresses, de nom NetBios et d’adresse IP.
? La liste des sessions de connexion entre machine comprenant aussi le protocole de dialogue (TCP,
UDP, etc.)
? La liste des ouvertures d’application par connexion machine.
? Les niveaux de distribution de protocole sous forme de graphique (IP, IPX, NetBios, FTP, SNMP, http,
etc….)
? La liste des fautes réseaux détectés données par niveau d’importance (mineur, critique, etc…)
? La liste des diagnostiques proposée consécutive à des problèmes détectés.
? Le taux d’utilisation du réseau sous forme de graphique.
? Le taux d’erreur détecté sur le réseau sous forme graphique.
? La visualisation des trames pas par pas.
Page 4 /23
2.3 AUDIT DES FLUX
Les audits de flux répondent classiquement aux problématiques suivantes :
?
?
?
?
Besoin de contrôle sur un système d'informations trop opaque.
Besoin de justification de dimensionnement ou de migration du réseau.
Contrôle avant ou après un déploiement applicatif.
Régulation des ressources partagées (internet, email).
A l'aide d'outils de type Allot sur le Wan ou d’analyseurs LAN, le consultant réalisera les graphes de charge des
plus gros utilisateurs des protocoles transitant sur le réseau.
2.4 AUDIT DE DÉTECTION D ’INCIDENT
Les audits de détection d’incident répondent classiquement aux problématiques suivantes :
? Un temps de réponse trop long imputé au réseau.
? Des problèmes de déconnexion.
Le consultant réunira les informations des utilisateurs concernés, puis proposera un plan d'action à la direction
informatique basé sur des outils d'analyse réseau.
Ces éléments permettront de trouver l'origine de dysfonctionnement.
2.5 AUDIT DE SÉCURITÉ
Les audits de sécurité répondent classiquement aux problématiques suivantes :
?
?
?
?
Confidentialité des informations.
Détecter les vulnérabilités des composants réseau
Sécurité d’intégrité des informations qui circulent sur le réseau
Authentification sécurisée
Page 5 /23
2.6 OUTILS ENVISAGÉS
Les outils utilisés par Orsenna, restent la propriété d’Orsenna et ne sont pas fournis dans le cadre de la prestation
d’audit.
2.6.1
Nessus
Pour les audits de vulnérabilité, nous nous appuyons sur l’outil Nessus :
Figure 1 : Plate forme Nessus
2.6.2
MBSA
Pour la recherche de failles dans la configuration de sécurité Windows 2000, Windows XP, Windows Server
2003, Internet Information Server (IIS) 5.0 et 6.0, SQL Server 7.0 et 2000, Internet Explorer 5.01 et versions
ultérieures, ainsi qu'Office 2000, 2002 et 2003. , nous nous appuyons sur l’outil Microsoft « Microsoft Baseline
Security Analyzer (MBSA)”
MBSA recherche également les mises à jour de sécurité, correctifs cumulatifs et Service Packs publiés par
Microsoft Update qui ne sont pas installés.
Figure 2 : MBSA
Page 6 /23
2.6.3
Allot
Pour permettre d’analyser et d’agir sur les flux en temps réel, Orsenna a choisi la famille des NetEnforcer™,
(hardware) qui s’insère à la frontière entre le LAN et le WAN du réseau d’une entreprise.
Le mode de classification du NetEnforcer™ possède 2 niveaux hiérarchiques, ce qui permet d’ordonner les
flux selon des «Pipe » (c’est le premier niveau), correspondant par exemple aux interfaces WAN physiques
d’agences géographique ou aux Circuits virtuels (FR/ATM …) puis de classifier dans chaque « Pipe» les flux
applicatifs dans des canaux virtuels ; c’est le deuxième niveau.
Une fois cette classification établie, on peut définir des règles de qualité de service associées. Ces règles
s’appuient sur des mécanismes performants de gestion des priorités, d’allocation, de réservation et de limitation
de la bande passante.
? Les responsables réseaux peuvent ainsi contr ôler l'ensemble des flux transitant entre les sites distants
et le site central, ceci afin de garantir une bande passante aux applications les plus critiques pour
l'entreprise.
Figure 3 : Allot Netenforcer
Page 7 /23
2.6.4
Observer
Afin d’analyser les performances et les incidents réseaux, Orsenna a choisit la gamme Observer de Network
Instruments .Une des particularités des produits réside dans les fonctions de décodage avancé permettant
d’identifier et de localiser les problèmes rapidement
Figure 4 : Analyse du temps de réponse
Page 8 /23
2.6.5
Whatsup
Orsenna utilise le logiciel WhatsUp, solution conviviale de cartographie, de surveillance, de notification,
afin d'évaluer la performance des réseaux.
Sa caractéristique importante réside dans les possibilités de customisation du monitoring ( SNMP, WMI, Script
TCP, Script Java ou VB) et la cartographie.
Figure 5 : Console WhatsUp
Page 9 /23
3 PLAN DE REPRISE
Cette partie décrit le développement et la gestion d’un plan lié au système d’information.
Les processus à développer sont indépendants de la structure du système d’information :
? Etude d’impact
? Méthode préventives
? Stratégies de sauvegarde et de restauration
? Remplacements des équipements
? Test Formation et Maintenance du plan
3.1 ETUDE D ’IMPACT
L’étude d’impact s’attache à définir les éléments suivants :
? Identification des ressources critiques
? Identification des conséquences d’une interruption
? Temps maximum d’interruption
3.2 METHODES PREVENTIVES
L’application de méthodes de prévention permet de minimiser le coût et les conséquences d’une interruption.
Les éléments mis en œuvre communément sont :
? UPS
? Stockage sécurisé des bandes
? Stockage sur un site secondaire
? Site miroir
3.3 STRATEGIES DE SAUVEGARDE ET DE RESTAURATION
Les stratégies de sauvegarde doivent prendre en compte les différentes alternatives :
? Sauvegarde sur site
? Sauvegarde externe
? Serveurs miroirs
? Infrastructure redondante
Page 10 /23
En ce qui concerne les sites externes, les caractéristiques d’accès, de disponibilité et de coût doivent être étudiés.
L’ensemble des éléments liés à la restauration doivent faire l’objet d’une sauvegarde :
? Plan de reprise
? Contrats fournisseurs
? Licences logiciels
? Manuels et procédures
3.4 REMPLACEMENT DES EQUIPEMENTS ET SERVICES
Dans le cas ou le système d’information est détruit ou endommagé, les composants matériels et logiciels devront
être fournis sur un nouveau site.
Les éléments à prendre en compte sont :
? Inventaire des matériels et logiciels
? Inventaire des éléments liés à la connectivité Lan et Wan
? Inventaire des fournisseurs (coordonnées, numéros d’urgence,..)
? Liste des matériels et logiciels retirés de la vente
? Liste des services supports contractés
? Logiciels et Matériels de secours stockés sur un autre site
? Contrats de service pour la mise à disposition de nouveaux équipements
3.5 TEST , FORMATION ET MAINTENANCE DU PLAN
Le test d’un plan de reprise constitue un élément critique et doit permettre de valider les éléments suivants :
? Restauration des médias sur une plate forme de secours
? Validation connectivité interne et externe
? Procédures associées
La maintenance du plan doit être effectuée au moins une fois par an
Page 11 /23
4 RECOMMANDATIONS POUR UN PRA
Les recommandations permettent d’enrichir le développement du Plan de reprise.
4.1 RESTAURATION
Les procédures de restauration doivent être décrites en mode pas à pas avec tous les éléments nécessaires à la
mise en place :
-
Autorisations d’accès au site
-
Composants matériels et logiciels
Connectivité Lan et Wan
Licences logicielles
-
Médias de sauvegarde
Ordre de restauration des équipements
4.2 PCS ET PORTABLES
Les préconisations pouvant être prises en compte sont :
-
Sauvegarde des données utilisateurs spécifiques sur des répertoires réseaux
Standardisation des équipements
Documentation sur les configurations systèmes
-
Cryptage des données sur les portables
Stockage d’images disques des PCs et Portables
4.3 SERVEURS
-
Technologie Raid 5
Sauvegarde régulière sur bandes ou disques
Stockage externe
-
Labellisation des médias
Standardisation des équipements
Documentation sur les configurations systèmes
Documentation sur la restauration
4.4 LAN
Liens critiques redondants
-
Documentation physique du LAN
Page 12 /23
-
Documentation Plan d’adressage
Documentations Hub et Switch
4.5 WAN
-
Liste des liens utilisés et caractéristiques
Liens critiques redondants
Page 13 /23
5 DEMARCHE ET PLAN DE L’AUDIT
5.1 PERIMETRE TECHNIQUE
Le périmètre est constitué par :
?
?
?
?
?
?
?
3 sites reliés avec un lien Transfix 2M et un lien fibre
9 serveurs applicatifs
92 postes clients sous 2K et XP
Switches Cisco Catalyst 2950&2970
Bornes Wifi CXR et Netgear
Switch Netgear
Routeurs Cisco 2610 &2612
Figure 6 : Environnement Technique
Page 14 /23
5.2 DOCUMENTATION EXISTANTE
Les documents disponibles pour l’audit sont les suivants :
? LISTE DES SERVEURS et SWITCHS 3 SITES
o Table des adresses Ip
o Liste des serveurs
o Liste des switchs et routeurs
? LISTE DES MATERIELS CLIENTS PAR SITE
o Liste des Pc
o Liste des Pc et imprimantes
? LISTES DES GARANTIES MATERIELS
? FIREWALL
o Firebox Configuration Report
o Mode emploi stats du firewall.doc
o Liste des demandes de modification du paramétrage du Firewall
? LOGICIEL ANTI-VIRUS
o Viruscan de MCAFEE
? CONFIGURATION SWITCHS et ROUTEURS
o Documentation installation par site
o Sauvegardes des configurations
? SAUVEGA RDES DES SERVEURS
o Descriptif de l’organisation des sauvegardes serveurs
o Liste des bandes coffre Corum
o Liste des bandes coffre Parc -expo
Page 15 /23
5.3 OBJECTIFS
La société XXX XXX souhaite établir une cartographie des risques et des vulnérabilités de son système
d’information.
Dans ce cadre, une mission sur l’état des lieux de l’infrastructure réseau et sécurité de son système
d’informations doit être effectuée. Des recommandations concernant trois projets doivent aussi être apportées. Il
s’agit du renouvellement du contrat d’infogérance du firewall, le renouvellement du contrat de maintenance des
switchs et routeurs et une proposition d’audit de la liaison inter site Parc des expositions-Corum. Des
recommandations pour la mise en place d’un plan de reprise d’activité sont également souhaitées
5.4 ANALYSE ET LIVRABLES
Les différentes étapes de l’audit sont les suivantes:
? Analyse de l’existant
L’analyse de l’existant a pour but de constituer une matrice de référence des composants de l’infrastructure.
o
o
o
o
Analyse Architecture
? Description de l’architecture existante
? Descriptif des paramètres de sécurité mis en place
Analyse des flux
? Analyse des flux sur les liens Transfix (Allot)
? Analyse des flux Internet (Allot)
Analyse de sécurité
? Analyse des vulnérabilités des postes du réseau (Nessus)
? Analyse des failles de sécurité des postes Windows (MBSA)
? Analyse des journaux liés à la sécurité :
? Composant antiviraux
? Journaux d’évènements
? Si accessible, Firewall WatchGuard
Analyse de disponibilité
? Identification des ressources critiques
? Mesure de SLA sur une période d’1 semaine (WhatsUp)
? Identification des éléments présents pour un PRA
?
Architecture redondé,
?
UPS, Sauvegarde,
?
Caractéristiques des contrats de service,
?
Gestion Astreinte,
?
Matériel de secours,..
L’ensemble des items s eront fournis sous la forme d’un livrable avec différents chapitres (Architecture, Flux,
Sécurité, Disponibilité).
? Rapport Global
o Cartographie des risques et vulnérabilités
Ce rapport global s’appuie sur les livrables d’analyse (Architecture, Flux, Sécurité, Disponibilité) et identifie les
points critiques pour l’infrastructure d’XXX XXX.
Page 16 /23
? Recommandations
o Architecture technique cible
? Priorités de déploiement
? Conséquences en cas de non-déploiement
o Recommandations pour un PRA
o Recommandations sur le firewall
o Recommandations sur les switches et routeurs
o Recommandations sur l’audit de flux.
Un document unique de recommandations sera fourni et inclura les différents thèmes cités.
Page 17 /23
5.5 DEMARCHES TECHNIQUES
La démarche d’audit consiste à enchainer les étapes comme suit :
?
?
?
?
Analyse de l’existant
Pose d’outils de mesure
Elaboration des rapports
Recommandations
Page 18 /23
6 RETRO-PLANNING PAR ETAPES ET PRE-REQUIS
6.1
CHARGES
Description
Analyse Architecture
Analyse Sécurité
Analyse Disponibilité
Analyse des flux
Analyse Sécurité
Analyse des flux
Livrables
Pré-étude – Analyse de la documentation
existante, validation du cahier des charges,
interview des exploitants et prestataires.
Installation des composants d’audits de
vulnérabilité (Nessus) et d’analyse des
failles de sécurité (MBSA) et lancement
des analyses
Mise en place d’une mesure de SLA (taux
de disponibilité des équipements).sur une
semaine (rapport email)
Mise en place d’une analyse des flux sur
le lien Transfix .
Mise en place d’une analyse des journaux
accessibles ( Evts Windows, Antivirus,
Firewall ).
Mise en place d’une analyse des flux sur
le lien Internet .
Récupération des données et mise en
forme des livrables d’analyse:
Ressources
Estimation
1 Jour
0,5 Jour
0,5 Jour
0,5 jour
0,5 jour
0,5 jour
2 jours
Livrables
Rapport Global et recommandations
2 jours
Livrables
Présentation des résultats en réunion
0,5 jour
TOTAL
8 Jours
Les prestations s’effectuent en fonction des besoins dans les locaux d’XXX XXX ou dans les locaux d’Orsenna.
Les prestations de documentation s’effectuent systématiquement dans les locaux d’Orsenna.
Lors de la validation de l’accessibilité des équipements, il est probable que des points techniques restent à
résoudre. Pour minimiser les temps de résolutions de ces points il est impératif de pouvoir travailler à distance
sur le sujet (temps de réponse des prestataires, tests internes,…) .
Page 19 /23
6.2 PLANNING DETAILLE
La mission peut s’effectuer sur les bases suivantes :
T0 : 1ère date d’intervention
T0 + 1 semaine : Phase d’analyse
T0 + 2 semaines : Documentation et Récupération des données
T0 + 3 semaines : Présentation des livrables
6.3 CALENDRIER
Le calendrier proposé s’étale sur 3 semaines et comprend ::
? Phase d’analyse
? Phase de documentation/livrables
? Phase de Présentation
6.4 PRE-REQUIS TECHNIQUES
Les pré-requis techniques sont les suivants :
Mise à disposition d’un poste client pour installer le composant de mesure de SLA et les outils d’analyses (
Nessus et MBSA). Si possible accès à distance de ce poste (VPN).
Eventuellement, mise en place de l’export des logs du firewall
Possibilité de contacts techniques avec le prestataire firewall ou bien accès à la configuration Watchguard.
Page 20 /23
7 REFERENCES CLIENTS DE MISSIONS SIMILAIRES
Comme indiqué en 1.2, Orsenna a réalisé plus de 300 missions d’audit et de supervision.
Quelques références intéressantes
- GMF ( Garantie Mutuelle des Fonctionnaires) – ( 450 Serveurs, 300 équipements Réseaux)
- Coriolis ( 150 Serveurs, 50 Switches , 40 Routeurs )
- Mac Donalds – ( 50 Serveurs, 40 Switchs, 15 AP, 300 Routeurs )
- Relay ( 900 Routeurs , 3 appliances , 1 5 Serveurs)
- Aelia (64 routeurs, 178 switches, 344 serveurs)
Page 21 /23
8 EQUIPE PROJET
L’équipe projet est constituée de 2 intervenants :
- Un ingénieur Systèmes et sécurité
- Un consultant expert Audit
Les CVS sont joints à cette proposition
Page 22 /23
9 COUTS
Le coût de la mission est forfaitaire :
Produits
Mission Audit & Conseil - Homme/jour à 850 Euro HT
Forfaits déplacements
Quant
8
1
TOTAL HT
La présente proposition est valable un mois à compter du 29/04/08.
Prix Euro HT
€ 6 800,00
€ 460,00
€ 7 260,00
Les matériels et logiciels utilisés lors de la mission ne font pas l’objet d’une facturation.
Page 23 /23

audit securite et risques informatiques

Transcription

Documents pareils

Erik ORSENNA - CNR

L`avenir de l`eau - Encyclopedie du Changement Climatique

HOTEL RAS EL AIN TOZEUR a été auditée par BUREAU VERITAS

cp lauréat Kessel 2009

CMC - Conseil en Marketing et Communication

Management et communication interne

Fiche métier Auditeur

Expert en Qualité dans l`Agroalimentaire depuis plus

Audit en RH - Recto - Chambre de Métiers et de l`Artisanat de la