Scribd
Importer
193 vues8 pages

Audit de Sécurité ISO 27001: Méthodologie

Le document décrit une mission d'audit selon les normes ISO 27001. Il présente des preuves d'audit et des clauses à vérifier pour l'audit organisationnel et de conformité. Des questions sont posées pour l'audit de configuration de services SSH, FTP et HTTP. Finalement, un test de pénétration d'une machine virtuelle vulnérable est décrit.

Transféré par

Ala Eddine LarGat
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
193 vues8 pages

Audit de Sécurité ISO 27001: Méthodologie

Le document décrit une mission d'audit selon les normes ISO 27001. Il présente des preuves d'audit et des clauses à vérifier pour l'audit organisationnel et de conformité. Des questions sont posées pour l'audit de configuration de services SSH, FTP et HTTP. Finalement, un test de pénétration d'une machine virtuelle vulnérable est décrit.

Transféré par

Ala Eddine LarGat
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

L3-SR Atelier Audit de Sécurité

Noussayr Derbel TP Final

Enoncé
Vous êtes demandé au cours d’une mission d’audit d’assurer une partie de la
mission tout en travaillant sur les parties suivantes :

- Audit organisationnelle
- Audit de conformité
- Audit de configuration
- Audit technique

La première étape consiste à faire des vérifications sur quelques clauses de la


norme ISO 27001. Vous êtes demandé de vérifier si la mesure est implémentée et
documentée en se basant des 2 Annexes fournisses qui contiennent des preuves et la
Politique Globale de la Sécurité de l’Information de l’entreprise. Puis vous êtes
demandé de remplir la fiche de vulnérabilité correspondante à chaque clause. Selon
votre constat, vous êtes demandé de juger au niveau de la case de conformité si la
mesure est implémentée et documentée (D), si la mesure est implémentée seulement ou
documenté seulement (RD), si la mesure n’est pas implémentée ni Documenté (PNP).

Vous êtes demandé en deuxième lieux de répondre à un QCM pour la partie de


l’audit de Configuration pour les services SSH, FTP et HTTP.

Finalement, la mission d’audit sera clôturée par un test de pénétration d’une


machine virtuelle vulnérable vous êtes demandé d’avoir un accès non autorisé.

Audit organisationnelle et Audit de Conformité


Preuve d’audit Document Shredder
Disque dur sur table
Pc Poubelle
Clause ISO 27001 A.8.3.2 : Les supports qui ne sont plus nécessaires doivent être
mis au rebut de manière sécurisée en suivant des procédures
formelles.

Constat/Recommendation Ajouter la clause dans la politique

Documentation Oui
Conformité RD

1
L3-SR Atelier Audit de Sécurité

Noussayr Derbel TP Final

Preuve d’audit Logiciel de Gestion des Mots de passes


Restriction d’installation d’un logiciel
Clause ISO 27001 A.9.4.3 : Les systèmes qui gèrent les mots de passe doivent être
interactifs et doivent garantir la qualité des mots de passes.

Constat/Recommandation Politique appliqué

Documentation Oui

Conformité D

Preuve d’audit Pas de preuve

Clause ISO 27001 A.12.6.2 : Des règles régissant l'installation de logiciels par les
utilisateurs doivent être établies et mises en œuvre.

Constat/Recommendation Ajouter la clause dans la politique

Documentation Oui

Conformité D

Audit de configuration
Quel est le nom de la norme utilisé pour l’audit de configuration ?

 ISO 27001
 ISO 27005
 CIS

Quel est le nombre de tentatives de connexion recommandé pour le service SSH

 10
 3
 6

Le login de l’utilisateur anonyme pour le service FTP est recommandé

 Vrai
 Faux

2
L3-SR Atelier Audit de Sécurité

Noussayr Derbel TP Final

Comment peut un attaquant ne pas savoir la version du service HTTP

 Fermer le service
 Désactiver ServerSignature
 Activer ServerSignature

Audit technique : QCM


Quel est la première étape doit être faite par un attaquant après avoir cherché les
informations de la cible ?

 Scan des services


 Recherche des informations de la cible
 Enumération du système d’exploitation
 Exploitation d’une vulnérabilité

Quel est l’outil qui permet de faire la première étape

 NMAP
 WPSCAN
 GOBUSTER
 WFUZZ

Nous avons trouvé un site web au niveau du serveur, comment peut-on avoir une
idée sur les dossiers du site web ? (2 choix)

 Manuellement
 Par l’outil GOBUSTER
 Par l’outil DIRBUSTER
 Par l’outil WPSCAN

Quel est le code HTTP qui fait la redirection d’une autre page web ?

 200
 301
 403
 404

3
L3-SR Atelier Audit de Sécurité

Noussayr Derbel TP Final

Expliquer le concept de l’attaque Reverse Shell (2 Points)

Reverse shell is obtaining the connection of the victim or the target from the attacker’s computer. Once the
connection is established, it allows attacker to send over commands to execute on the victim’s computer and
to get results back. The attacker can execute any command/program on the victim’s computer at the same
privilege as the current login user who initiated the connection

4
L3-SR Atelier Audit de Sécurité

Noussayr Derbel TP Final

Audit Technique
Vous êtes demandé au niveau de l’audit technique de faire un test de pénétration
d’une machine virtuelle vulnérable qui possède plusieurs vulnérabilités. La première
étape consiste à faire le scan des services de la cible par l’outil NMAP puis d’identifier
une vulnérabilité et de l’exploiter pour avoir un accès non autorisé.
1. Trouver la commande qui permet de nous donner la version des services de la machine.

Pour plus de détails :

5
L3-SR Atelier Audit de Sécurité

Noussayr Derbel TP Final

2. Quel est la version du service SMB ?


Samba smbd 3.X-4.X
3. Quel est le CVE de la vulnérabilité ?
6
L3-SR Atelier Audit de Sécurité

Noussayr Derbel TP Final

CVE-2007-2447

4. Quel est l’outil qui nous permet d’exploiter cette vulnérabilité


Metasploit
5. Exploiter la machine victime

7
L3-SR Atelier Audit de Sécurité

Noussayr Derbel TP Final

Quel est l’utilisateur que vous avez exploité ?


root

Vous aimerez peut-être aussi