Audits et contrôle de la sécurité d'un S.

I
Sommaire

Terminologie
Définition et Objectifs
Classifications
Référentiels relatifs à la sécurité des SI
Les domaines d’audit de la sécurité SI
Audit Organisationnel et Physique
Audit Technique de sécurité
Audit des vulnérabilités infrastructure et système
Audits d’architecture réseau
Audits de configuration
Tests d’intrusion
Audits applicatifs
Démarche
Phase de déclenchement
Phase d’exécution
Clôture de l’audit
Les exigences
Les Compétences
 Terminologies

Commanditaire de l’audit : Organisme ou personne demandant un audit.

Audité : L’organisme qui est audité.

Auditeur : Personne possédant la compétence nécessaire pour réaliser un audit.

Prestataire d’audit : Organisme réalisant des prestations d’audits.

Convention d’audit : Accord écrit entre un commanditaire et un prestataire d’audit pour la réalisation
d’un audit.

Plan d’assurance qualité : L’engagement du prestataire quant à la politique d’assurance qualité

applicable aux prestations.

Note de cadrage : Document de synthèse issu de la réunion du commanditaire d’audit, l’organisme

audité et le prestataire d’audit.
 Terminologies

Périmètre d’audit : Environnement physique, logique et organisationnel dans lequel se trouve le

système d’information sur lequel l’audit est effectué.

Critères d’audit : Ensemble de politiques, procédures ou exigences déterminées.

Preuves d’audit : Enregistrements, énoncés de faits ou autres informations, qui se rapportent aux
critères d’audit.

Constats d’audit : Résultats de l’évaluation des preuves d’audit recueillies, par rapport aux critères
d’audit.

Plan de charge : Le plan de charge couvre les objectifs de l’audit, le périmètre, les critères d’audit, la
démarche à suivre pour l’exécution de la mission, les activités à effectuer, ainsi que le planning
prévisionnel de l’audit.

Conclusions d’audit : Résultat d’un audit fourni par l’équipe d’audit après avoir pris en considération les
objectifs de l’audit et tous les constats d’audit.
 Définition

Un audit de sécurité informatique est une démarche qui permet de connaître le niveau de sécurité
global de son système d’information, mais aussi de mettre à plat la politique d’accès aux données
de l’entreprise et aux différentes configurations réseau.

L’audit de sécurité informatique garantit la disponibilité du système d’information, l’intégrité de ses

données, la confidentialité des accès et fournit des preuves qui permettent de savoir qui accède, à
quel moment, à telle ou telle donnée ou application.

L’audit permet de mettre en évidence les faiblesses et les vulnérabilités organisationnelles et/ou
techniques du système d’information et de déterminer des axes d’amélioration visant à augmenter
le niveau de sécurité
 Objectifs

Un audit de sécurité SI peut être réalisé pour répondre à des besoins différents, notamment :

Evaluer le niveau de maturité du SI en terme de sécurité suite à la demande du commanditaire

d’audit ;

Vérifier l’efficacité de la politique de sécurité du SI mise en place ;

Tester l’installation d’un nouvel élément dans le SI ;

Analyser et réagir suite à une attaque ;

Tester la résistance du SI par la simulation des attaques dans des conditions réelles ;

Se certifier (par exemple ISO 27001) ;

etc.
 Classifications

Les audits peuvent être classifiés en trois catégories :

Les audits internes sont réalisés pour les organismes souhaitant que leur système d’information
soit examiné par rapport à des exigences de sécurité de système d’information.
Ces audits sont établis par des auditeurs internes ou externes à l’organisme.

Les audits externes sont commandités par des entités ayant un intérêt à l’égard de l’organisme
audité, dans le but d’évaluer le niveau de sécurité du système d’information de ce dernier.
Ces audits sont établis par des organismes d’audit externes.

Les audits de certification sont réalisés pour les organismes qui souhaitent faire reconnaître que la
sécurité de leur système d’information est conforme aux exigences comme celles de
l’ISO/CEI 27001. Ces audits sont établis par des organismes externes généralement accrédités.
Référentiels relatifs à la sécurité des SI
 Référentiels relatifs à la sécurité des SI

Cette famille se décline en un ensemble de documents, que vous pouvez acheter :

ISO/CEI 27000 – Introduction, glossaire des termes communs, vue globale de la suite des normes
(mai 2009).

ISO/CEI 27001 – Norme d’exigences des systèmes de management de la sécurité de l’information.

C’est sur la base de cette norme que sont certifiées les organisations.(Publiée en 2005, révisée en
2013.)

ISO/CEI 27002 – Guide des bonnes pratiques en SMSI. Autant la 27001 dit quoi faire, autant la
27002 apporte des réponses sur le comment faire. (Précédemment connue sous le nom de ISO/CEI
17799, renumérotée en ISO/CEI 27002:2005 en juillet 2007, dernière révision en 2013.)

ISO/CEI 27003 – Guide d’implémentation d’un SMSI : lignes directrices pour la mise en œuvre du
système de management de la sécurité de l’information. (Publiée en février 2010.)
 Référentiels relatifs à la sécurité des SI

ISO/CEI 27004 – Norme de mesures de management de la sécurité de l’information

ISO/CEI 27005 – Norme de gestion de risques liés à la sécurité de l’information.

Il existe ensuite de nombreuses autres normes complémentaires au sein de la série ISO 27000. Par
exemple, la norme ISO/CEI 27010 – Gestion de la sécurité de l’information des communications
intersectorielles et inter organisationnelles.

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)

Cette méthode permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes
d’information conformément à la norme ISO 27005.
Elle permet également de construire une politique de sécurité en fonction d’une analyse des
risques qui repose sur le contexte de l’organisme et des vulnérabilités liées à son SI.
MEHARI (Méthode Harmonisée d’Analyse de Risques) :
C’est une méthode d’évaluation et de management des risques liés aux systèmes d’information.
Elle est conforme aux exigences de la norme ISO 27005.
 Référentiels relatifs à la sécurité des SI
Top 10 de l’OWASP
L’OWASP Top 10 est un document listant les 10 types de vulnérabilités applicatives les plus critiques et les plus souvent
rencontrées.
La liste se base sur des statistiques de centaines de milliers de vulnérabilités effectivement constatées.
Ce document, qui est essentiellement un outil de sensibilisation, est destiné aux développeurs, aux architectes de solution,
aux décideurs, aux auditeurs…
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
https://owasp.org/Top10/fr/
A01:2021-Ruptures de contrôles d'accès
A02:2021-Défaillances cryptographiques
A03:2021-Injection
A04:2021-Conception non sécurisée
A05:2021-Mauvaise configuration de sécurité
A06:2021-Composants vulnérables et obsolètes
A07:2021-Identification et authentification de mauvaise qualité
A08:2021-Manque d'intégrité des données et du logiciel
A09:2021-Carence des systèmes de contrôle et de journalisation
A10:2021-Falsification de requête côté serveur
 Référentiels relatifs à la sécurité des SI
CVE(Common Vulnerability And Exposure)
L'acronyme CVE, pour Common Vulnerabilities and Exposures en anglais, désigne une liste publique de failles de sécurité
informatique. Lorsque l'on parle d'une CVE, on fait généralement référence à l'identifiant d'une faille de sécurité répertoriée
dans cette liste.
Les CVE aident les professionnels à coordonner leurs efforts visant à hiérarchiser et résoudre les vulnérabilités, et ainsi
renforcer la sécurité des systèmes informatiques.
La liste CVE est supervisée par l'organisme MITRE et subventionnée par la CISA (Cybersecurity and Infrastructure Security
Agency), qui fait partie du Département de la Sécurité intérieure des États-Unis.
Lien: https://www.cvedetails.com/
Audit Organisationnel et Physique

L’audit organisationnel et physique permet de faire un état des lieux complet

de la sécurité du SI et d’en identifier les dysfonctionnements et les risques potentiels.

Il permet ainsi de couvrir l’ensemble du SI de l’organisme et de détecter les carences liées aux
différents processus de gestion et d’organisation de la sécurité.

L’audit organisationnel et physique permet de procéder à la vérification de la conformité et de la

pertinence des mesures déployées par rapport à la politique de sécurité de l’organisme, à un
référentiel, à une norme ou à des procédures.
 Audit Organisationnel et Physique

En effet, cette phase repose sur l’utilisation de questionnaires adaptés au contexte de l’organisme
audité, des interviews, ainsi que sur l’analyse des ressources et des documents fournis

Pendant cet audit les éléments suivants peuvent être abordés :

Politiques de sécurité de l’information :

Cette section met l’accent sur la nécessité de la mise en place, et révision régulière d’une
politique de sécurité de l’information.

Organisation de la sécurité de l’information :

Cette section définit un cadre de gestion et d’approbation de la politique de sécurité, et
traite les aspects contractuels liés à la sécurisation des accès au système d’information
par les tiers.
 Audit Organisationnel et Physique

Sécurité des ressources humaines :

Cette section donne des recommandations pour réduire le risque d’erreur ou de fraude favorisant
la formation et la sensibilisation des utilisateurs sur les menaces affectant la sécurité de
l’information, ainsi que les comportements à adopter pour protéger l’information.

Gestion des actifs :

Cette section décrit la nécessité d’inventorier et de classifier les actifs informationnels
de l’organisme, dans le but d’identifier les besoins et le niveau de protection adapté à ces actifs.

Contrôle d’accès :
Cette section définit les mesures pour gérer et contrôler les accès à l’information afin d’assurer la
protection des systèmes en réseau. Elle couvre également la sécurité de l’information lors de
l’utilisation d’appareils mobiles.

Cryptographie :
Cette section traite les mesures visant à protéger la confidentialité et l’intégrité de l’information
par des moyens cryptographiques.
 Audit Organisationnel et Physique

Sécurité physique et environnementale :

Cette section définit les mesures pour protéger les lieux et les locaux de l’organisme contre les
accès non autorisés, et pour minimiser les dommages causés par les menaces environnementales.
Elle traite également la sécurité des matériels afin de réduire les menaces liés aux risques de vol,
et de fuites d’information

Sécurité liée à l’exploitation :

Cette section définit les mesures permettant d’assurer une exploitation correcte et sécurisée des
moyens de traitement de l’information (protection contre les logiciels malveillants, maitrise des
logiciels en exploitation, et gestion des vulnérabilités techniques).

Sécurité des communications :

Cette section définit les mesures d’une part, pour assurer la protection des informations sur les
réseaux et la protection de l’infrastructure sur laquelle ils s’appuient, et d’autre part, pour
maintenir la sécurité des informations et des logiciels échangés au sein de l’organisme et avec une
entité extérieure.
Audit Organisationnel et Physique

Acquisition, développement et maintenance des systèmes d’information :

Cette section traite les spécifications requises pour assurer la sécurité des systèmes d’information
tout au long de leur cycle de vie.

Relations avec les fournisseurs :

Cette section définit les mesures permettant de gérer les prestations de service assurées par des
tiers.

Gestion des incidents liés à la sécurité de l’information :

Cette section met l’accent sur la nécessité de la mise en place des procédures pour la détection
et le traitement des incidents de sécurité.
 Audit Organisationnel et Physique

Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité :

Cette section décrit les mesures pour mettre en œuvre un plan de continuité de l’activité qui vise à
minimiser les impacts causés par les catastrophes naturelles et les pannes matérielles sur
l’organisme, afin d’assurer une reprise dans les meilleurs délais.

Conformité :
Cette section traite le respect des réglementations et des obligations légales, ainsi que la
Conformité des procédures et des mesures de sécurité mises en place avec la politique et les
normes de sécurité.
 Audit Technique de sécurité

L’audit technique de sécurité est une évaluation permettant d’analyser en profondeur le système
d’information (systèmes, applications, composants et équipements actifs de l’infrastructure
réseau, réseaux d’accès interne, réseaux d’interconnexion, etc.) pour identifier les vulnérabilités
techniques éventuelles.

Les différents types d’audits :

Audit des vulnérabilités infrastructure et système

Audit d’architecture réseau

Audit de configuration

Tests d’intrusion

Audit applicatif
 Audit des vulnérabilités infrastructure et système

L’objectif de l’audit des vulnérabilités infrastructure et système est de réaliser

les tests permettant de ressortir les faiblesses et les failles techniques sur les systèmes,
les applications et les équipements réseaux. Il permet ainsi de proposer un plan de
remédiation avec des actions correctives.

L’audit des vulnérabilités se déroule en deux phases :

Phase de découverte des vulnérabilités :

cette phase consiste à effectuer des tests automatisés à l’aide d’outils spécifiques qui
s’appuient en général sur une base de failles connues (scanners des vulnérabilités
systèmes, scanners des vulnérabilités applicatives et web, etc.) pour détecter les
éventuelles vulnérabilités du système d’information.

Phase d’analyse des vulnérabilités :

cette phase consiste à analyser les vulnérabilités identifiées lors de la première phase
afin de proposer les actions de remédiation en cohérence avec les pratiques et les
exigences de sécurité adoptées au sein de l’organisme audité.
 Audit des vulnérabilités infrastructure et système

L’audit des vulnérabilités se déroule en deux phases :

Phase de découverte des vulnérabilités :

cette phase consiste à effectuer des tests automatisés à l’aide d’outils spécifiques qui
s’appuient en général sur une base de failles connues (scanners des vulnérabilités systèmes,
scanners des vulnérabilités applicatives et web, etc.) pour détecter les éventuelles
vulnérabilités du système d’information.

Phase d’analyse des vulnérabilités :

cette phase consiste à analyser les vulnérabilités identifiées lors de la première phase afin de
proposer les actions de remédiation en cohérence avec les pratiques et les exigences de
sécurité adoptées au sein de l’organisme audité.
 Audits d’architecture réseau

Cette activité d’audit a pour vocation d’analyser l’architecture réseau existante afin de déterminer
les éléments pouvant nuire à la sécurité. Elle consiste à étudier la topologie du réseau, ainsi que
les hôtes et les équipements d’interconnexion.

L’audit d’architecture repose sur l’analyse de la documentation du réseau et la réalisation des

sondages en utilisant des outils de traçage et de découverte.
 Audits de configuration

L’audit de configuration repose sur une évaluation technique de la configuration des composants
du système d’information afin de s’assurer que les mesures de sécurité déployées respectent les
bonnes pratiques en matière de sécurité.
 Tests d’intrusion

Cette activité d’audit a pour vocation d’analyser l’architecture réseau existante afin de déterminer
les éléments pouvant nuire à la sécurité. Elle consiste à étudier la topologie du réseau, ainsi que
les hôtes et les équipements d’interconnexion.

L’audit d’architecture repose sur l’analyse de la documentation du réseau et la réalisation des

sondages en utilisant des outils de traçage et de découverte.

L’objectif est de tester la résistance du système d’information aux attaques informatiques

provenant de l’intérieur ou de l’extérieur du réseau de l’organisme
 Tests d’intrusion

Les différentes types

Les tests d’intrusion externes :
Ils permettent d’évaluer la capacité d’un attaquant externe à pénétrer le réseau interne de
l’organisme audité ;

Les tests d’intrusion internes :

Ils permettent d’évaluer l’impact d’un acte malveillant mené de l’intérieur du réseau de
l’organisme audité
 Tests d’intrusion

Les différentes étapes

En généralement, ces tests s’effectuent selon les étapes suivantes :

Reconnaissance du périmètre à auditer ;

Recherche des vulnérabilités ;

Mise en œuvre des attaques (exploits) ;

Mesure de l’impact ;

Proposition de recommandations et correctifs.

 Tests d’intrusion

Les différentes approches

Les tests d’intrusion peuvent être conduits selon plusieurs approches :

Approche en boite noir :

Le testeur ne dispose d’aucune connaissance préalable de l’environnement avant
l’attaque ;

Approche en boite grise :

le testeur dispose de connaissances partielles de l’environnement à auditer ;

Approche en boite blanche :

le testeur dispose de toutes les informations qui lui permettent d’examiner l’architecture
complète et non pas juste la surface
 Audits applicatifs

L’audit applicatif permet d’évaluer le niveau de sécurité des applications déployées au niveau du
système d’information de l’organisme audité.

Cet audit peut se faire selon plusieurs approches dont l’audit du code applicatif qui consiste à
examiner les vulnérabilités liées au code source d’une application.
 Démarche

Une mission d’audit se déroule généralement selon les phases suivantes:

Phase de déclenchement

Phase d’exécution
Réunion d’ouverture
Exécution de l’audit
Enregistrements de la phase d’exécution

Clôture de l’audit
 Phase de déclenchement

Une mission d’audit Sécurité SI débute, sur demande du commanditaire au profit de l’organisme audité,
par l’établissement d’une lettre de mission rédigée et signée par le demandeur.

Le prestataire d’audit doit nommer un responsable d’audit qui sera en mesure de communiquer avec
l’organisme audité.

L’organisme audité doit fournir au prestataire d’audit la documentation nécessaire pour appréhender le
périmètre de l’audit.

Une convention d’audit doit être établie entre le commanditaire d’audit et le prestataire d’audit au
début de la mission et doit être validée et signée par les deux parties prenantes.
 Phase de déclenchement

Cette convention doit :

Contenir les informations relatives à chaque partie prenante dans la mission d’audit :
Noms, Responsabilités et Rôles ;

Présenter les objectifs de l’audit ;

Arrêter le périmètre de l’audit et ses modalités (livrables, objectifs, jalons,portée, durée etc.) ;

Arrêter les critères d’audit (politique de sécurité, normes, référentiels, etc.) ;

Fixer les dates et les lieux de la mission d’audit ;

 Phase de déclenchement

Préciser l’engagement de l’organisme audité à présenter les documents susceptibles d’aider l’équipe de
l’audit à accomplir sa mission ;

Déterminer des moyens de communication (moyens de contacts, interlocuteurs, etc.) ;

Déterminer les moyens et la logistique nécessaires à l’exécution et à la réussite de l’audit (dispositions

logistiques, ressources matérielles, ressources humaines, etc.) ;

Inclure des clauses de confidentialité nécessaires pour la conduite du projet d’audit.

 Phase de déclenchement

Les membres de l’équipe d’audit doivent préparer la stratégie de tests selon le point de contrôle à
auditer, à savoir :

Revue documentaire ;

Questionnaires/checklists : Basés sur les critères prédéfinis en plus des checklists des contrôles
techniques;

Entretiens : Planifier des entretiens qui seront menés avec les interlocuteurs de l’organisme audité ;

Immersions sur site : visite sur site afin d’auditer le comportement professionnel face aux situations de
quotidien ;

Scénarios de tests techniques.

 Phase d’exécution
Réunion d’ouverture

L’exécution de l’audit commence par une réunion d’ouverture tenue entre le commanditaire d’audit,
l’organisme audité et le prestataire.

Son but est de :

valider le plan de charge d’audit préétablit,
exposer le planning prévisionnel de l’audit,
présenter les activités d’audit qui seront menées,
confirmer les circuits de communication,
et fournir des clarifications sur les éventuelles ambiguïtés existantes.

Les livrables de cette phase :

Plan d’assurance qualité ;
Note de cadrage ;
Planning prévisionnel.
 Phase d’exécution
Exécution de l’audit

Cette phase consiste à exécuter les différents tests planifiés lors de la phase de préparation,
notamment :

L’équipe d’audit effectue des entretiens avec les interlocuteurs de l’organisme audité.

L’auditeur procède à une analyse d’écart entre les preuves fournies et les critères d’audit afin de
générer ses constats. Ces constats sont soit une conformité soit une non-conformité aux critères
d’audit.

Le responsable d’audit doit immédiatement tenir au courant l’audité de tout élément constituant un
risque majeur et lui proposer des solutions urgentes pour y remédier
 Phase d’exécution
Exécution de l’audit

Suite à chaque entretien ou immersion, un compte rendu doit être soumis au commanditaire
d’audit et son contenu doit être validé avec l’organisme audité.

Les constats d’audit doivent être documentés et tracés par le prestataire d’audit.

Le commanditaire d’audit doit effectuer régulièrement le point avec le prestataire d’audit et

l’organisme audité afin de s’informer de l’état d’avancement de l’audit et des différents obstacles
rencontrés.
 Phase d’exécution
Enregistrements de la phase d’exécution

Les documents résultant de la phase d’exécution doivent être archivés.

Ces documents se déclinent comme suit :

Les comptes rendus validés et signés par les interlocuteurs de l’organisme audité ;

Les fiches d’écart dûment remplies.

Une fiche d’écart comporte essentiellement:
Les constats des auditeurs ;
Les recommandations ;
Les engagements et/ou actions proposés par l’organisme audité ;
Les commentaires des auditeurs relatifs au point précédent.

Une grille d’évaluation des niveaux de maturité par rapport aux objectifs de sécurité initialement
définis doit être remplie ;
 Phase d’exécution
Enregistrements de la phase d’exécution

Les relevés techniques, à savoir :

Les fichiers contenant les résultats des scans de sécurité ;
Le rapport d’analyse des vulnérabilités ;
Les échantillons du trafic capturé.

Les résultats des tests techniques d’audit sont composés principalement de :

La liste des vulnérabilités (réseaux, systèmes, applicatives, etc.) ;

La liste des anomalies de configuration des équipements (configuration des firewalls et des équipements
réseaux
 Clôture
Le prestataire d’audit doit rédiger le rapport d’audit et doit être responsable de son contenu.

Une réunion de clôture de l’audit est prévue pour présenter le rapport d’audit à la Direction de
l’organisme audité et pour répondre aux éventuelles questions qui peuvent se poser.

Il convient que l’audité et le commanditaire d’audit y prennent part.

Les constats et les conclusions d’audit présentés doivent être bien compris et acceptés par l’audité.
 Les exigences
Le prestataire d’audit doit être une personne morale dotée d’une personnalité juridique,
il sera tenu responsable de ses activités d’audit ;

Le prestataire d’audit doit avoir des références connues sur le marché relatives à des prestations
d’audit similaires ;

Le prestataire d’audit doit avoir un contrat de travail avec ses auditeurs ;

Le prestataire doit réaliser les activités d’audit dans le cadre d’une convention d’audit préalablement
approuvée par le commanditaire.

Le prestataire assume la responsabilité de l’audit notamment concernant les éventuels dommages qui
pourraient subvenir au cours de l’audit. Ceci doit être clairement décrit dans la convention d’audit ;

Les méthodes et outils techniques utilisés dans le cadre de l’audit doivent impérativement être validés
entre le commanditaire et le prestataire.

Il est de la responsabilité du prestataire d’informer l’audité sur les risques liés à ces outils ;
 Les exigences

Le prestataire d’audit s’assure de la sécurité et la confidentialité de ses interactions avec le

commanditaire de l’audit.

Le prestataire doit présenter son engagement de confidentialité à l’organisme audité ;

Le prestataire d’audit doit mettre en place un système sécurisé pour le partage des livrables avec
l’organisme audité
 Les Compétences
La palette de compétences à couvrir pour un audit de sécurité de système d’information, en fonction du
périmètre de l’audit, porte globalement sur les aspects suivants:

Réseaux et protocoles de communication (infrastructure réseaux, configuration et sécurisation des

principaux équipements réseau du marché, réseaux sans fil, Etc.) ;
Systèmes d’exploitation (UNIX/LINUX, WINDOWS, solutions de virtualisation);
Bases de données et couches applicatives (guides et principes de développement sécurisé, langages de
programmation, systèmes de gestion de bases de données, mécanismes cryptographiques Etc.) ;
Equipements et logiciels de sécurité (pare-feu, antivirus, logiciels de sauvegarde,Etc.) ;
Outils utilisés dans le cadre des tests d’intrusions ;
Reverse engineering ;
Gestion des risque liés à la SSI.
 Travaux pratiques

Etude de cas : Contexte

La société ATK spécialisée dans la vente de produit de beauté dont le capital est de 100000 euros.
Crée en 2020 , elle souhaite valider le niveau de sécurité de certaines de ses infrastructures.
Pour se faire, elle sollicite la société audit.com dont vous faite partie.
Suite à la réunion de lancement, ci-dessous ce qui est convenu
 Travaux pratiques

Contexte de l’audit
Test d’intrusion
Suite à la demande de la société ATK qui souhaite valider le niveau de sécurité de certaines de ses
infrastructures, il est nécessaire de réaliser des tests d’intrusion
audit.com propose de tester la possibilité de compromettre ces services par l’intermédiaire d’un audit
de type boîte noire (et par extension, sur demande et validation expresse de audit.com en boite grise
sur certains lots)
Le planning des tests sera commun à l’ensemble des lots et livré en début de campagne
Des livrables seront fournis pour chaque lot : synthèse des vulnérabilités trouvées et un rapport
d’audit. Un rapport global sera réalisé en fin de campagne
En cas de détection d’une vulnérabilité critique durant l’audit, l’auditeur pourra contacter un
responsable technique afin de l’informer des risques associés et laisser à l’appréciation du client si une
remédiation doit être rapidement appliquée
 Travaux pratiques

Contexte de l’audit
Audit Organisationnel
L’objectif est de réaliser un état des lieux général concernant la sécurité de cette application afin de
relever d’éventuels écarts entre les besoins de sécurité exprimés par le métier et le niveau réel de
l’application. Le respect des bonnes pratiques sera également analysé sur les principales thématiques :
la gestion des habilitations et des comptes (attribution, revue, suppression)
les mécanismes d’authentification
les caractéristiques des mots de passe
la segmentation des droits des utilisateurs
les mécanismes de sécurité implémentés pour répondre aux enjeux de confidentialité et traçabilité
le durcissement des composants
les procédures d’exploitation (désactivation des comptes par défaut, protection des interfaces …)
 Travaux pratiques

Contexte de l’audit
Audit de configuration
L’audit de configuration a pour but d’évaluer le niveau de sécurité des systèmes et d’analyser le
durcissement des composants.
La réalisation de cette partie de l’audit passe par la vérification de :
La robustesse du système vis-à-vis d’une attaque (verbosité, obsolescence des composants, facilité de
rebond, etc.)
La gestion des comptes administrateur et des comptes de services,
Gestion des logs, stockage des mots de passe, etc.
 Travaux pratiques

Périmètre de l’audit
Rappel du périmètre de l’audit
Un serveur dont l’os est Ubuntu
Une application « testphp.vulnweb.com » hébergé sur un serveur distant accessible via
http://testphp.vulnweb.com/
Les audits seront réalisés principalement dans les locaux parisiens de la DSI de la société ATK
 Travaux pratiques

Périmètre de l’audit

Serveur Distant
http://testphp.vulnweb.com/
Cloud

Pare-Feu

Serveurs + routeurs Internet

Auditeur
 Travaux pratiques

Déroulement de l’audit
L’audit est articulé en cinq étapes
 Travaux pratiques

Déroulement de l’audit
Outils utilisés (liste générale)
nmap
nikto
Lynis
kali
Commandes administrateur Linux
netstat
systemctl list-unit-files --state=running
Scripts
…
 Travaux pratiques

Attendu
Mise en place du serveur de la société ATK:
Télécharger Ubuntu(système d’exploitation open source basé sur la distribution Linux Debian) Site
: https://www.ubuntu-fr.org/telechargement
Télécharger Virtualbox(logiciel de virtualisation de systèmes d'exploitation) Site :
https://www.virtualbox.org/
Installation de Virtualbox
Création d’une VM et le nommer serveur_atk
Installer Ubuntu
 Travaux pratiques

Attendu
Consignes
Les travaux pratiques seront réalisés par groupes de 2 à 4 personnes maximum
Rendu format .pdf
sous chaque commande ou action, associer la capture d’écran
Une fois terminé envoyer par mail à [email protected] puis le rendre via l’interface dédiée
Vous pouvez ajouter des outils pour réaliser l’audit technique
Audit Technique
Lot1:
Identifier les vulnérabilités sur le serveur ATK et serveur distant
synthèse des vulnérabilités trouvées et un rapport d’audit
Lot2
Identifier les vulnérabilités du site externalise
synthèse des vulnérabilités trouvées et un rapport d’audit
 Travaux pratiques

Exemple de synthèse
 Travaux pratiques

Prise en main des outils

Utilisation de l'outil Lynis
Installer l’application Lynis
sudo apt install lynis
Lister les commands
lynis show commands
Auditer le system avec la commande audit
lynis audit system –pentest
 Travaux pratiques
Prise en main des outils
Utilisation de l'outil nmap
Nmap est un scanner de ports libre créé par Fyodor Vaskovich et distribué par Insecure.org.
Il est conçu pour détecter les ports ouverts,
identifier les services hébergés
et obtenir des informations sur le système d'exploitation d'un ordinateur distant.
Installation de nmap
sudo apt-get update
sudo apt-get install nmap
Vérification que l'installation s'est bien déroulée
nmap –version
Les commandes de bases
Savoir quels ports sont ouverts sur une machine : nmap « adresse ip de la machine cible »
Déterminer quel logiciel est derrière quel port : nmap -sV -p « numero du port » « adresse ip
de la machine cible »
Déterminer quel OS est installé sur une machine : nmap -O « adresse ip de la machine cible »
Lien pour l'aide : https://nmap.org/man/fr/man-briefoptions.html
 Travaux pratiques

Prise en main des outils

Utilisation de l'outil nikto
Nikto est un scanner de sécurité pour les serveurs web, et est programmé en
langage P.E.R.L.
Ses fonctionnalités sont :
d'auditer vos serveurs web à la recherche de failles diverses,
de tester potentiellement près de 6000 vulnérabilités CGI et fichiers
dangereux, de vérifier l'obsolescence du serveur et ses composants
logiciels,
de rechercher les dossiers pouvant contenir des informations
sensibles
Installation de Nikto
sudo apt-get update
sudo apt-get install nikto
nikto -update
Les commandes de bases
nikto –h testphp.vulnweb.com
 Travaux pratiques

Prise en main des outils

Utilisation de commandes systèmes
Lister l’ensembles des services sur le systèmes en utilisant systemD
systemctl list-units –type=service
Lister l’ensembles des services sur le systèmes dont l’état est
« running » en utilisant systemD
systemctl list-units –type=service –state=running
 Travaux pratiques

Prise en main des outils

Point de contrôle
Boot and services
Users, Groups and Authentication
Ports and packages
Networking
Software: firewalls
Software: webserver,SSH , Malware
Logging and files
Insecure services
Banners and identification
Cryptography
File Permissions
 Travaux pratiques

Prise en main des outils

Pluggable Authentication Modules (modules d'authentification enfichables, en abrégé PAM)
Pluggable Authentication Modules (modules d'authentification enfichables, en abrégé PAM) est un mécanisme
permettant d'intégrer différents schémas d'authentification de bas niveau dans une API de haut niveau, permettant de
ce fait de rendre indépendants du schéma les logiciels réclamant une authentification.
Les modules PAM sont des bibliothèques dynamiques (par ex. pam_unix.so) fournissant les six primitives
d’authentification définies dans la norme, regroupées dans quatre types :
auth : Vérification de l'identité d'un utilisateur et mise en place des accréditations associées.
account : Vérification du compte d'un utilisateur (expiration, plannings, etc.).
password : Vérification de la validité des mots de passes lorsqu'ils sont assignés à un utilisateur.
session : Vérification de la session d'un utilisateur, de son dossier de travail, etc.
 Travaux pratiques

Prise en main des outils

Stratégies
Un module est une librairie exécutable (.so) qui est chargé de vérifier un aspect de l'authentification dans le
contexte du groupe de gestion dans lequel il est exécuté.
Chaque module va ainsi renvoyer un succès ou un échec. La manière dont ce retour est géré par PAM dans
le déroulement du reste de la pile est fonction du contrôle porté par la règle.
required :Tous les modules utilisant ce contrôle doivent passer avec succès pour que la vérification
soit accordée. Le cas échéant l'utilisateur n'est averti qu'à la fin du traitement de la pile.
requisite : La même chose que required sauf que l'utilisateur est averti tout de suite.
optionnal : L'échec ou le succès de ce module importe peu et ne peut faire échouer la vérification.
sufficient : S'il réussi et qu'il n'y a pas de required en échec, le traitement s'arrête là. Le reste de la pile
n'est alors pas traité.
 Travaux pratiques

Prise en main des outils

Fichiers de configuration des applications PAM
Les fichiers de configuration des différentes applications peuvent être observés
ls -l /etc/pam.d/
/etc/pam.d/login
/etc/pam.d/passwd
/etc/pam.d/system-auth
 Travaux pratiques

Prise en main des outils

Explications de la ligne pam_cracklib.so:
retry=3 indique le nombre d'essai avant de devoir relancer passwd (n'entraîne pas de blocage!)
minlen=8 nombre minimum de caractères du mot de passe
difok=3 nombre minimum de caractères différents lors qu'un changement de mot passe
lcredit pour obliger à utiliser des minuscules (lower)
ucredit pour obliger à utiliser des majuscules (upper)
dcredit pour obliger à utiliser des chiffres (digital)
ocredit pour obliger à utiliser d'autres caractères non-alphanumériques (others)
exemple pour imposer un mot de passe d'au moins 8 caractères dont au moins une minuscule, une majuscule, trois
chiffres et un caractère spécial :
/etc/pam.d/common-password
password required pam_cracklib.so retry=3 minlen=8 difok=3 lcredit=1 ucredit=1 dcredit=3 ocredit=1
La durée de vie des mots de passe doit être définie via la variable PASS_MAX_DAYS dans le fichier /etc/login.defs
 Travaux pratiques

Prise en main des outils

Installation du module
sudo apt install libpam-cracklib
Vérification post installation
vi /etc/pam.d/common-password
 Travaux pratiques

Prise en main des outils

Détection de malware
rkhunter (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et
exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash
connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'utilisateur
lorsqu'il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le
kernel etc
La configuration de rkhunter se trouve dans les fichiers /etc/rkhunter.conf et /etc/default/rkhunter
Utilisation de rkhunter
Installer l’application rkhunter
apt install rkhunter -y
Lancer les commandes
sudo rkhunter --checkall
sudo rkhunter --check --rwo
 Travaux pratiques

Prise en main des outils

Détection de malware
Chkrootkit est un logiciel libre sous licence GNU GPL permettant de détecter si un système UNIX n'a pas
été compromis par un rootkit.
Il permet de détecter les traces d'une attaque et de rechercher la présence d'un rootkit sur un système
Unix/Linux en vérifiant les quelques points suivants :
Si des fichiers exécutables du système ont été modifiés ;
Si la carte réseau est en mode « promiscuous » ;
Si un ou des vers LKM (Loadable Kernel Module) sont présents.
Utilisation de chkrootkit
Installer l’application chkrootkit
apt install chkrootkit -y
Lancer les commandes
sudo chkrootkit
sudo chkrootkit –q
 Travaux pratiques

Prise en main des outils

Le firewall peut se géré avec ufw ou iptables
UFW, ou Uncomplicated Firewall, est une interface de gestion de pare-feu simplifiée qui masque la complexité des
technologies de filtrage de paquets de niveau inférieur telles que iptables et nftables.
Vérifier l’état de UFW.
UFW n’est pas activé par défaut, il faut donc l’activer avec la commande ufw
ufw [--dry-run] enable|disable|reload
Activer UFW. Le pare-feu sera actif et lancé automatiquement au démarrage du système.
Vérifier maintenant l’état de UFW. Quelle est la politique de filtrage par défaut ?
systemctl status ufw
sudo ufw status verbose
 Travaux pratiques

Prise en main des outils

Les profils d’applications
Différentes applications peuvent enregistrer leurs profils auprès de UFW lors de leur installation. Ces profils
permettent à UFW de gérer ces applications par leur nom. Par exemple, OpenSSH a un profil enregistré auprès
de UFW. Il est possible de lister ces applications
sudo ufw app list
Autoriser les connexions SSH. Vérifier l’état de UFW. Tester.
sudo ufw allow OpenSSH
Les règles par défaut
Il est possible d’utiliser les règles par défaut :
ufw default allow|deny|reject [incoming|outgoing]
 Travaux pratiques

Prise en main des outils

De manière générale, on distingue deux types de politique de sécurité :
politique permissive (open config) : Cette politique repose sur le principe que par défaut on laisse tout
passer puis on va restreindre pas à pas les accès et les services mais la sécurité risque d’avoir des failles.
sudo ufw default allow incoming
sudo ufw default allow outgoing
sudo ufw status verbose

politique stricte (close config) : Cette politique repose sur le principe inverse. On commence par tout
interdire, puis on décide de laisser seulement passer les services ou adresses désirés ou indispensables. La
sécurité sera meilleure mais le travail sera plus difficile et cela peut même bloquer plus longtemps que prévu
les utilisateurs.
 Travaux pratiques

Prise en main des outils

C’est évidemment la politique conseillée pour un pare-feu.
sudo ufw default deny incoming
sudo ufw default deny outgoing
sudo ufw status verbose
La journalisation
Activer la journalisation
sudo ufw logging on
Désactiver la journalisation
sudo ufw logging off
Visualisation des règles et de leurs numéros
sudo ufw status numbered