Université Cheikh Anta DIOP de Dakar Laboratoire d’Algèbre de Cryptologie de

Faculté des Sciences et Techniques Géométrie Algébrique et Applications

Département Mathématiques et Informatique LACGAA

Master Transmission de Données et Sécurité de l’Information

Thème :

Implémentation des contrôles de

sécurité dans les systèmes existants
EEEEXISTANTS
Présenté et soutenu par : Sous la direction de :
Mlle Ndèye Tening NDIAYE Dr. Ousmane NDIAYE

Jury :
Président : Pr Cheikh Thiécoumba GUEYE UCAD
Membres : Dr Ousmane NDIAYE UCAD
Dr Jean Klamti BELO UCAD

Année Académique 2017 – 2018

 DEDICACES

Je dédie cet humble travail à :

Mes très chers et respectueux parents ;

Ce travail témoigne mon affection, mon éternel attachement et qu’il appelle sur nous votre
continuelle bénédiction.

Ma petite sœur et mes petits frères ;

Tous les membres de ma famille (oncles, tantes, cousins, cousines) ;
Tous mes amis et promotionnaires à la formation de ce Master Professionnel en
Transmission de Données et Sécurité de l’Information 2016-2018.

Page 2
 REMERCIEMENTS

 Tout d’abord je remercie le Bon Dieu, le Tout-Puissant et Miséricordieux qui m’a

comblé par sa grâce et qui m’a aidé à achever cette formation dans de meilleures
conditions.
Il m’est agréable de réserver cette page comme un gage de reconnaissance à toutes les
personnes qui m’ont soutenue et encadré pour réaliser ce travail.

 Je tiens à remercier vivement mon encadreur Dr Ousmane NDIAYE, qui m’a formé et
accompagné tout au long de cette expérience avec beaucoup de patience et de
pédagogie.
Grâce aussi à sa confiance nous avons pu nous accomplir totalement dans nos missions
avec son aide précieuse dans les moments les plus délicats.

 Tout le personnel de l’Université Cheikh Anta Diop de Dakar, spécialement la Faculté

des Sciences et Techniques ainsi que le corps professoral, particulièrement à M. Oumar
DIANKHA responsable du Master Professionnel pour nous avoir accompagné et guidé
tout au long de ce cursus académique, M. Youssef KHLIL, M. Demba SOW ainsi que
tout le corps professoral à la formation de ce Master Professionnel en TDSI pour leur
disponibilité, leur aide, leur dévouement, leurs conseils, leur collaboration et leur
précision dans le travail.

 Nos amis et camarades avec qui nous avons partagé les meilleurs moments à
l’Université Cheikh Anta DIOP de Dakar.

 Tous ceux qui de près ou de loin ont contribué à notre réussite et qui nous ont aidées à
la rédaction de ce mémoire.

Page 3
 AVANT PROPOS

Le présent mémoire entre dans le cadre du projet de fin d’années en Master2 Transmission de
Données et Sécurité de l’Information du Laboratoire d’Algèbre, de Cryptographie, de
Géométrie Algébrique et Applications (LACGAA).

En effet depuis 2004, le laboratoire LACGAA est le seul de la sous-région spécialisée sur la
formation et la recherche en Cryptographie et dans les domaines de la sécurité de l’information.

Fort d’une expérience de 14 ans, le LACGAA a déjà ouvert 1 Licence, 1 Master et 1 formation
doctorale :

Licence Transmission de Données et Sécurité de l’Information

Master Transmission de Données et Sécurité de l’Information

Le laboratoire LACGAA a déjà formé en Master, plus de 200 titulaires du Master 2 (niveau
ingénieur) qui travaillent dans les entreprises en France, aux USA, au Sénégal et dans la sous-
région ; et en licence plus de 80 techniciens.

En thèse, le laboratoire est entrain de former plus de 15 Thèses en Codage et Cryptologie à

Dakar et en France dont certains sont terminées et d’autres en cours.

Page 4
 LISTE DES FIGURES

Figure 1 : Relations entre la politique, les normes et les procédures ................................ 27

Figure 2 : Références ISO 27002 ........................................................................................... 39
Figure 3 : Schéma synthétique de la méthode ..................................................................... 56
Figure 4 : Architecture de la maquette ................................................................................ 63
Figure 5 : Protocole AAA ...................................................................................................... 66
Figure 6 : Architecture LemonLDAP................................................................................... 70
Figure 7 : accès à une application protégée par LemonLDAP:NG ................................... 71
Figure 8 : Architecture de base de données à sécurité maximale d’Oracle ...................... 92
Figure 9 : Filtrage des paquets .............................................................................................. 93
Figure 10 : Système de Détection d’Intrusion ..................................................................... 99
Figure 11 : VPN site à site.................................................................................................... 100
Figure 12 : VPN Nomade ..................................................................................................... 100

Page 5
 LISTE DES CAPTURES

Capture 1 : Installation des paquets PostgreSQL ............................................................... 73

Capture 2 : Fin de l’installation de Postgres ........................................................................ 73
Capture 3 : Connection en tant que root.............................................................................. 73
Capture 4 : Changement du mot de passe par défaut de l’utilisateur postgres ............... 73
Capture 5 : Création de l’utilisateur lemonldap ................................................................. 74
Capture 6 : Changement du mot de passe de l’utilisateur lemonldap .............................. 74
Capture 7 : Création de la base de données LemonLDAP ................................................. 74
Capture 8 : Attribution des droits au nouvel utilisateur .................................................... 74
Capture 9 : Quittons l’utilisateur postgres .......................................................................... 74
Capture 10 : Modification du fichier /etc/postgresql/9.3/main/postgresql.conf ............... 75
Capture 11 : Modification du fichier /etc/postgresql/9.6/main/pg_hba.conf .................... 75
Capture 12 : Ajout de la ligne sous # IPv4 local connections et remplacement de l’IP par
celui de la machine LemonLDAP:NG : ................................................................................ 76
Capture 13 : Redémarrage du service postgres ................................................................... 76
Capture 14 : Installation de LemonLDAP ........................................................................... 77
Capture 15 : Création du fichier lemonldap-ng.list ............................................................ 77
Capture 16 : Ajout des lignes suivantes dans le fichier créé .............................................. 77
Capture 17 : Récupération de la clé ..................................................................................... 78
Capture 18 : Mise à jour du cache ........................................................................................ 78
Capture 19 : Installation d’apache2 et des dépendances nécessaires ................................ 79
Capture 20 : Installation des packages en cours ................................................................. 79
Capture 21 : Suite de l’installation ....................................................................................... 80
Capture 22 : Poursuite de l’installation d’apache 2 ............................................................ 80
Capture 23 : Fin de l’installation .......................................................................................... 81
Capture 24 : Remplacement de la valeur dans les fichiers nécessaires ............................. 82
Capture 25 : Autorisation du manager à recharger la configuration du LemonLDAP .. 82
Capture 26 : Création des enregistrements DNS ................................................................ 82
Capture 27 : Activation des modules d’Apache 2 ............................................................... 83
Capture 28 : Activation des configurations Apache ........................................................... 83
Capture 29 : Activation du module SSL d’apache .............................................................. 83
Capture 30 : Création du fichier ssl.conf ............................................................................. 84
Capture 31 : Ajout des lignes suivantes dans le fichier créé .............................................. 84
Capture 32 : Modification du fichier /etc/lemonldap-ng/portal-apache2.conf ................. 84
Capture 33 : Ajout du fichier ssl.conf .................................................................................. 85
Capture 34 : Modification du fichier /etc/lemonldap-ng/manager-apache2.conf ............ 85
Capture 35 : Fichier /etc/lemonldap-ng/manager-apache2.conf ........................................ 86
Capture 36 : Remplacement de HTPP par HTTPS ............................................................ 87
Capture 37 : Redémarrage d’Apache................................................................................... 87
Capture 38 : Activation de HTTPS dans la configuration de LL ...................................... 87
Capture 39 : Interface manager ............................................................................................ 88
Capture 40 : Confirmation du certificat .............................................................................. 89
Capture 41 : Page d’authentification ................................................................................... 90
Capture 42 : Authentifions-nous ........................................................................................... 90

Page 6
Capture 43 : Page d’administration ..................................................................................... 91
Capture 44 : Installation de SquidGuard ............................................................................ 93
Capture 45 : Installation de SquidGuard ............................................................................ 94
Capture 46 : Vérification des packages installés ................................................................. 94
Capture 47 : Configuration de SquidGuard ........................................................................ 95
Capture 48 : Chargement de la Blacklist ............................................................................. 95
Capture 49 : Mise à jour de la liste noire ............................................................................. 95
Capture 50 : Définition des permissions .............................................................................. 96
Capture 51 : Création des ACL ............................................................................................ 97
Capture 52 : Filtrage du site facebook.com ......................................................................... 97
Capture 53 : Interface d’administration ............................................................................ 101
Capture 54 : Page d’authentification ................................................................................. 101
Capture 55 : Création d’une autorité de certificat ............................................................ 102
Capture 56 : Autorité de certificat M2TDSI créé ............................................................. 102
Capture 57 : Création d’un serveur de certificat .............................................................. 103
Capture 58 : Création d’un certificat client ....................................................................... 103
Capture 59 : Certificats client et serveur crées ................................................................. 104
Capture 60 : Création d’un groupe .................................................................................... 105
Capture 61 : Utilisateur tening ajouté dans le groupe ...................................................... 105
Capture 62 : Configuration du serveur OpenVPN ........................................................... 106
Capture 63 : Création des règles WAN .............................................................................. 107
Capture 64 : Installation du client OpenVPN ................................................................... 107
Capture 65 : Fin de l’installation de OPEN VPN .............................................................. 108

Page 7
 GLOSSAIRE

Acronyme Signification
AAA Authentication Authorization Accounting
ACL Access Control List
ANSSI Agence Nationale de la Sécurité des Systèmes d’Information
BD Base de Données
BS British Standards
BSI British Standards Institution
CAS Central Authentication Service
CEI Commission Electrotechnique Internationale
CERT Computer emergency Response Team
CLUSIF Club de la Sécurité de l'Information Français
CLUSIQ Club de la Sécurité de l'Information Au Québec
CNIL Commission Nationale de l'Informatique et des Libertés
COBIT Control Objectives for Business Information and related Technology
DAC Contrôle d'Accès Discrétionnaire
DBA Data Base Administrator
DCSSI Direction Centrale de la Sécurité des Systèmes d'Information
DDA Déclaration d'Applicabilité
DMZ Demilitarized Zone
DNS Domain Name System
DPO Data Protection Officer
EBIOS Expression des Besoins et Identification des Objectifs de Sécurité
GDPR General Data Protection Regulation
GPG GNU Privacy Guard
HLS High Level Structure
HTPP HyperText Transfer Protocol
HTPPS HyperText Transfer Protocol Secure
ID Identifiant
IP Internet Protocol
ISO International Standard Organisation
ITIL Information Technology Infrastructure Library
LACGAA Laboratoire d’Algèbre, de Cryptologie, de Géométrie Algébrique et
Application
LDAP Lightweight Directory Access Protocol
MAC Mandatory access control
MEHARI Méthode Harmonisée d’Analyse de Risque
OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation
ONG Organisation Non Gouvernementale
PCA Plan de Continuité d’Activité
PDCA Plan, Do, Check, Act du cycle de Deming
PIA Privacy Impact Assessment
PIN Personal Identification Number
PRA Plan de Reprise d’Activité
RBAC Role-Based Access Control

Page 8
RGPD Règlement Général sur la Protection des Données
SAML Security Assertion Markup Language
SGBD Système de Gestion des Bases de Données
SI Système d’Information
SMSI Système de Management de la Sécurité de l'Information
SQL Structured Query Language
SSL Secure Socket Layer
SSO Single Sign-On
TIC Technologies de l'information et de la Communication
UE Union Européenne
URL Uniform Ressource Locator
VPN Virtual Private Network

Page 9
 SOMMAIRE

Table des matières

DEDICACES ............................................................................................................................. 2
REMERCIEMENTS .................................................................................................................. 3
AVANT PROPOS ...................................................................................................................... 4
LISTE DES FIGURES ............................................................................................................... 5
LISTE DES CAPTURES ........................................................................................................... 6
GLOSSAIRE .............................................................................................................................. 8
SOMMAIRE ............................................................................................................................ 10
INTRODUCTION .................................................................................................................... 13
CHAPITRE 1 : CADRE THEORIQUE ET ............................................................................. 15
METHODOLOGIQUE ............................................................................................................ 15
1.1. Problématique ............................................................................................................ 15
1.2. Objectifs..................................................................................................................... 16
1.3. Délimitation du champ de l’étude ............................................................................. 17
1.4. Pertinence du sujet ..................................................................................................... 17
1.5. Approche méthodologique ........................................................................................ 17
CHAPITRE 2 : GENERALITES ............................................................................................. 19
2.1. Rappels sur la sécurité informatique ......................................................................... 19
2.1.1. Définition de la sécurité informatique ................................................................ 19
2.1.2. Objectifs de la sécurité ....................................................................................... 19
2.2. Sécurité des Systèmes d’Information ............................................................................ 20
2.2.1. Définition des SI................................................................................................. 20
2.2.2. Fonctions du SI................................................................................................... 20
2.2.4. Domaine d’application de la Sécurité ................................................................ 21
2.2.5. Les menaces ....................................................................................................... 23
2.3. La politique de sécurité .............................................................................................. 26
2.3.1. Définition de la politique de sécurité ................................................................. 26
2.3.2. Positionnement de la politique de l’Information ................................................ 26
2.3.4. Facteur clé d’une politique réussie ..................................................................... 27
2.3.5. Etapes de la mise en place d’une politique de sécurité ...................................... 28
2.3.6. Structure de la politique de sécurité ................................................................... 28
CHAPITRE 3 : LES METHODES D’AUDITS ET LES NORMES DE SECURITE ............ 32
3.1. Exigences Iso 27001 .................................................................................................. 32

Page 10
 3.1.1. Objectifs ............................................................................................................. 32
3.1.2. Structure de la norme ............................................................................................. 33
3.1.3. Processus de certification ....................................................................................... 36
3.1.4. Critique du standard ............................................................................................... 37
3.2. Références ISO 27002 ............................................................................................... 39
3.2.1. Contenu de la norme ......................................................................................... 40
3.2.2. Les avantages ..................................................................................................... 46
3.3. Exigences GDPR ................................................................................................... 47
3.3.1. Les objectifs et les enjeux du GDPR ...................................................................... 48
3.3.2. Qui est concerné par le RGPD ? ............................................................................. 48
3.3.3. Qu’est-ce qu’une donnée à caractère personnel ? .................................................. 49
3.3.4. Les principales exigences de la GDPR................................................................... 51
3.3.5. Les conséquences de la non-conformité au RGPD ................................................ 54
3.4. Les méthodes et typologies d’audit ........................................................................ 55
3.4.1. Les méthodes d’audit ............................................................................................. 55
3.4.1.a. EBIOS.................................................................................................................. 55
3.4.1.b. MEHARI ............................................................................................................. 56
3.4.2. Les typologies d’audit ............................................................................................ 60
3.5. Méthode de gestion des risques ..................................................................................... 61
CHAPITRE 4 : Contrôles de sécurité dans les systèmes existants .......................................... 63
4.1. Architecture de la maquette ....................................................................................... 63
4.2. Prérequis de l’installation .......................................................................................... 64
CHAPITRE 5 : IMPLEMENTATION DES SOLUTIONS TECHNIQUES POUR LA MISE
EN ŒUVRE DES CONTROLES DE ISO 27002 ................................................................... 65
5.1. Sécurité des accès................................................................................................... 65
5.1.1. Protocole AAA ................................................................................................... 65
5.1.2. Implémentation de LemonLDAP ....................................................................... 69
5.2. Sécurité des Bases de Données .................................................................................. 91
5.3. Sécurité d’Architecture .............................................................................................. 92
5.3.1. Filtrage des paquets sortants avec Squid et SquidGuard ........................................ 93
5.3.2. Filtrage des paquets entrants avec un IDS.......................................................... 98
5.4. Sécurité des communications .................................................................................... 99
5.4.1. Mise en œuvre d’un VPN site to site.................................................................. 99
5.4.2. Mise en œuvre d’un Remote VPN ................................................................... 100
CONCLUSION GENERALE ................................................................................................ 109

Page 11
WEBOGRAPHIE ................................................................................................................... 109

Page 12
 INTRODUCTION

Le développement de la nouvelle technologie de l’information, la convergence

des réseaux et l’adaptabilité de nos différentes vies à l’évolution technologique des
dernières décennies ont conduit à la numérisation de toutes nos données privées. La
sécurisation de ces données devient donc une nécessité primordiale à laquelle toute
entité qui est chargée de les gérer doit impérativement satisfaire pour éviter la fuite des
informations sensibles.

En effet, il est fréquent d’entendre que telle ou telle société a été victime de
piratage informatique.

Existe-il des méthodes et procédures à mettre en place pour empêcher que cela
n’arrive ou du moins à contrecarrer les différentes techniques d’intrusion ? Étant
donné qu’une sécurité parfaite n’existe pas, quels sont les différents moyens à
implémenter afin d’atteindre le maximum d’une sécurité optimale ?

Toute entreprise qui traite des données doit être en conformité avec les normes et les exigences
internationales en matière de sécurisation des données dans tout le Système Informatique.

Ce mémoire sera divisé en 5 principaux chapitres :

Dans le premier Chapitre, nous allons présenter le cadre théorique et méthodologique.

Dans le deuxième chapitre, nous allons faire un rappel sur la sécurité informatique et la politique
de sécurité.

Dans le troisième chapitre, nous ferons une présentation sur les différentes méthodes d’audit et
les normes de sécurité auquel nous ferons appel.

Dans le quatrième chapitre, nous parlerons des contrôles de sécurité dans les systèmes existants
en mettant en place l’architecture de la maquette et les prérequis de l’installation.

Dans le cinquième chapitre, nous ferons l’implémentation des solutions techniques retenues
pour la mise en œuvre des contrôles d’ISO 27002.

Enfin dans le sixième chapitre, nous ferons le monitoring ou audit de la solution.

Page 13
 PARTIE 1 : CADRE

THEORIQUE ET

METHODOLOGIQUE

Page 14
 CHAPITRE 1 : CADRE THEORIQUE ET

METHODOLOGIQUE

Dans ce chapitre, nous allons aborder les points suivants : la problématique, les objectifs et
hypothèses de recherche, la pertinence du sujet et la méthodologie utilisée pour l’élaboration
de ce mémoire.

1.1. Problématique

Le monde est de plus en plus interconnecté et les nouvelles technologies sont devenues une
partie intégrante de nos vies et notre façon de vivre avec la révolution de l'internet et les objets
connectés comme les portables, les smartphones et les tablettes.

Les institutions financières ont suivi la tendance qui est de tout interconnecter (e-Commerce, e-
Banking, etc..) pour mieux servir la clientèle.

Mais l’utilisation des moyens connectés par les institutions financières a augmenté les risques
de compromission des données privées des utilisateurs. Ce qui nous pousse à demander :

 Quelle approche les entreprises doivent prendre pour l’utilisation d’internet sans
prendre trop de risques ?
 Quelles sont les méthodes et procédures à mettre en place pour la sécurisation des
données privées des clients ?
 Quelle politique doit-on adopter pour la haute disponibilité et la tolérance de panne ?

Avec la prolifération des outils (gratuits ou payants) qui sont accessibles sur internet, les
vulnérabilités de sécurité sont devenues facilement exploitable par un public qui n’a pas
forcément une expertise dans le domaine de la sécurité informatique.

L’attaque peut venir donc de l’extérieur comme de l’intérieur de l’entreprise.

Dans ce cas :

 Existe-t-il des normes de sécurité pour mettre en place une bonne politique de sécurité
pour les entreprises en vue de situer les responsabilités ?
 Étant donné qu’une sécurité maximale n’existe pas quelle stratégie devons-nous adopter
en cas d’attaque ?

Page 15
Tous ces points énumérés font partie de la problématique de notre sujet de mémoire.

1.2. Objectifs

 Objectif général

L’objectif général de ce travail est d’élaborer et de mettre en place une politique de sécurité
selon les normes ISO 27001 et GDPR et de proposer des solutions techniques face aux
exigences de la norme ISO 27002 pour contrôler l’accès sur les services les plus utilisés en
entreprise tels que les VPN, le Proxy, le stockage, les bases de données, les réseaux, les
applications utilisées en entreprise, etc....

 Objectifs spécifiques
Les objectifs spécifiques sont :

 Faire une étude sur les normes de sécurité ISO 27001, ISO 27002, GDPR ;
 Présenter les méthodes d’audit ;
 Présenter la norme ISO 27001 et ses exigences ;
 Présenter la norme GDPR et ses exigences ;
 Présenter les exigences de la norme ISO 27002 qui donne les contrôles pour les atteindre
et notre proposition pour nous y aligner ;
 Faire l’implémentation des contrôles d’accès dans les systèmes existants et proposer
l’audit de la solution ;

Les hypothèses de recherche

Comme hypothèses de recherches, nous proposons les différents points suivants :

 La politique de sécurité définit les objectifs en matière de sécurité et les moyens mis en
œuvre pour les atteindre.
 Une architecture réseau d’entreprise doit tenir compte de la haute disponibilité des
services et de la tolérance de panne pour une sécurité optimale.

Page 16
 1.3. Délimitation du champ de l’étude

Ce présent travail n’a pas été traité en entreprise dans le cadre d’un stage, où nous aurions eu
l’occasion d’accéder aux équipements physiques.

Nous nous sommes basés sur un cas virtuel pour représenter une entreprise en activité avec des
machines virtuelles.

Mais nous tenons à préciser que c’est une solution qui pourra être implémenté dans n’importe
quelle entreprise.

1.4. Pertinence du sujet

À l’aube du XXIe siècle, avec la numérisation de toutes nos données sensibles, force est de constater
que la sécurité informatique est devenue une préoccupation qui n’est pas à négliger pour toute
entreprise ayant en charge de traiter, stocker ou transmettre les données personnelles de ses clients.
Par exemple, pour une institution financière qui utilise des transactions électroniques, il est
important d’assurer la sécurité de ses transactions pour que les données privées des clients ne
tombent pas dans des mauvaises mains ou pirater par des entités de cybercriminalité d’où la
nécessité de non seulement avoir une bonne politique de sécurité mais surtout de l’implémenter en
respectant les normes internationales de sécurité.

1.5. Approche méthodologique

Pour l’élaboration de ce projet de mémoire, nous sommes basés sur la recherche documentaire.
Cette technique d’investigation nous a permis de consulter un certains nombres de documents
en rapport avec notre sujet de mémoire tels que : des ouvrages, des mémoires et des sites internet
et divers autres documents ayant rapport avec la sécurité l’audit informatique.

Ce chapitre nous a permis de présenter en bref notre sujet de mémoire en :

 Enumérant les questions auxquelles nous nous sommes posées dans notre
problématique ;
 Mettant en exergue l’objectif que nous voulons atteindre ;
 Proposant les hypothèses de recherche par rapport aux questions posées,
 Justifiant le choix du sujet
 Expliquant l’approche méthodologique à utiliser.

Page 17
Après avoir présenté le cadre théorique et méthodologique, dans le prochain chapitre nous
allons poser les bases pour une bonne compréhension de notre sujet de mémoire en faisant une
présentation des généralités sur la sécurité informatique, la sécurité des systèmes
d’informations et la politique de sécurité.

Page 18
 CHAPITRE 2 : GENERALITES

2.1. Rappels sur la sécurité informatique

2.1.1. Définition de la sécurité informatique

La sécurité informatique est l’ensemble des moyens (techniques, organisationnels, juridiques

et humains) mis en œuvre pour réduire la vulnérabilité d’un système informatique contre les
menaces accidentelles ou intentionnelles auxquelles il peut être confronté.

En d’autres termes, c’est l'ensemble des techniques qui assurent que les ressources du système
d'information (matérielles ou logicielles) d'une organisation sont utilisées uniquement dans le
cadre où il est prévu qu'elles le soient.

Nous pouvons déduire de ces constats que la démarche de sécurité informatique est une activité
managériale des systèmes d’information et qu’il convient aussi d’établir un tableau de bord de
pilotage associé à une politique de sécurité comprenant les organes vitaux constituant une
entreprise.

2.1.2. Objectifs de la sécurité

De nos jours, plusieurs entreprises se sont ouvertes au monde avec l’utilisation et le

développement accru de l’Internet.
Ce dernier présentant des risques quant à l’échange des données, il est donc essentiel de veiller
à la protection de ces données confidentielles pour la plupart des entreprises, d’où la notion de
sécurité informatique.
La sécurité informatique est un processus consistant à veiller à ce que les ressources, aussi bien
logicielles que matérielles, composant le système d’information de l’entreprise, soient utilisées
dans un but bien défini.
Ainsi, la sécurité informatique a cinq (5) principaux objectifs :
 L’intégrité : elle permet de garantir la conformité des données entre celles qui ont été
transmises et celles qui sont reçues ;

Page 19
  La confidentialité : elle consiste à assurer l’utilisation des ressources de l’entreprise
par des personnes habilitées à le faire ;

 L’authentification : elle permet d’identifier un utilisateur lors d’un échange

d’informations ou pour contrôler l’accès à un réseau ou à des ressources ;

 La non répudiation : elle concerne principalement les informations échangées.

Elle ne garantit qu’aucun des correspondants ne peut nier la transaction ;

 La disponibilité : elle assure l’accès aux services ou aux ressources.

Afin de répondre à ces besoins, la cryptographie, le hachage et la signature seront des éléments
primordiaux dans le processus de sécurisation d’un système d’information.

2.2. Sécurité des Systèmes d’Information

2.2.1. Définition des SI

Un système d’information (SI) est un ensemble organisé de ressources qui permet de collecter,
stocker, traiter et diffuser de l’information.
Le SI peut être défini comme étant l’ensemble des flux d’information circulant dans
l’organisation associé aux moyens mis en œuvre pour les gérer :
 Infrastructure matérielle et logicielle :

Réseau, Serveurs, Postes individuels, …

Logiciels, SGBD, Applications de gestion, Applications métier…

 Moyens humains :

Procédures internes, ISO 9001, ….

2.2.2. Fonctions du SI

Le Système d’Information représente l'ensemble des ressources (humaines, matérielles,

logicielles) organisées pour :

Page 20
  Collecter l’information : enregistrer une information (support papier, informatique…)
avant son traitement ;
 Mémoriser l’information (stockage) : conserver, archiver (utilisation ultérieure ou
obligation légale) ;
 Traiter l’information : effectuer des opérations (calcul, tri, classement, résumé, …) ;
 Diffuser : transmettre à la bonne personne (éditer, imprimer, afficher, … une
information après traitement).

2.2.3. Qualité d’un SI

Un système d’information doit avoir comme qualité :
 La rapidité et la facilité d’accès à l’information ;
 La fiabilité, l’intégrité et la pertinence des informations ;
 La sécurité de l’information ;
 La confidentialité de l’information.

2.2.4. Domaine d’application de la Sécurité

Tous les domaines de l'informatique sont concernés par la sécurité d'un système d'information.
En fonction de son domaine d'application, la sécurité informatique se décline en Sécurité
physique, Sécurité de l'exploitation, Sécurité logique, Sécurité applicative, et Sécurité des
télécommunications.

La sécurité physique

La sécurité physique concerne tous les aspects liés à l'environnement dans lequel les systèmes
se trouvent. La sécurité physique passe donc par :
 Des normes de sécurité, la protection de l'environnement (incendie, température,
humidité, ...) ;
 Protection des accès ;
 Redondance physique ;
 Plan de maintenance préventive et corrective.

Page 21
La sécurité de l’exploitation

Elle est en rapport avec tout ce qui touche au bon fonctionnement des systèmes. Cela comprend
la mise en place d'outils et de procédures relatifs aux méthodologies d'exploitation, de
maintenance, de test, de diagnostic et de mise à jour. On peut citer comme point clé de cette
sécurité :
 Plan de sauvegarde, de secours, de continuité, de tests ;
 Inventaires réguliers et si possible dynamique ;
 Gestion du parc informatique, des configurations et des mises à jour ;
 Contrôle et suivi de l'exploitation, etc.

La sécurité logique

La sécurité logique fait référence à la réalisation de mécanisme de sécurité par logiciel.

Elle repose sur la mise en œuvre d'un système de contrôle d'accès logique s'appuyant sur un
service d'authentification, d'identification et d'autorisation.
Elle repose également sur :
 Les dispositifs mis en place pour garantir la confidentialité dont la cryptographie ;

 Une gestion efficace des mots de passe et des procédures d'authentification ;

 Des mesures antivirus et de sauvegarde des informations sensibles.

La sécurité applicative
Elle consiste à faire un développement pertinent et l'intégrer harmonieusement dans les
applications existantes.
Cette sécurité repose essentiellement sur :

 Une méthodologie de développement,

 La robustesse des applications,

 Des contrôles programmés,

 Des jeux de tests,

Page 22
  Un plan de migration des applications critiques,

 La validation et l'audit des programmes,

 Un plan d'assurance sécurité.

La sécurité des télécommunications

Elle consiste à offrir à l'utilisateur final une connectivité fiable et de qualité de « bout en bout
». Il faut donc mettre un canal de communication fiable entre les correspondants, quels que
soient le nombre et la nature des éléments intermédiaires. Cela implique la réalisation d'une
infrastructure réseau sécurisée au niveau des accès, des protocoles de communication, des
systèmes d'exploitation et des équipements.

2.2.5. Les menaces

L’environnement lié aux technologies de l’information et de la communication est la cible de
nombreuses menaces. L’ouverture des réseaux et leur complexité croissante associant des
acteurs aux multiples profils, ont renforcé la vulnérabilité des systèmes d’information. La
connaissance de l’existence de ces vulnérabilités peut permettre à un acteur malveillant de
conduire une attaque et ainsi porter atteinte à la confidentialité, à l'intégrité ou à la disponibilité
du système d’information.

Les types d’attaques

Les attaques peuvent être classées en deux catégories à savoir les attaques passives (une simple
lecture des données sans modification) et Les attaques actives (altérations des données). Ces
différentes catégories se subdivisent en quatre sous-groupes qui sont :

 Les attaques de reconnaissance

L’attaquant va déployer tous les procédés à sa portée pour regrouper une quantité d’information
sur le système ou réseau ciblé. Il pourra le sonder et le cartographier (ce que l’on appelle un «
scan »), et dans certains cas capturer du trafic légitime pour en tirer des éléments pertinents, ou
encore exploiter la gigantesque base de connaissances que sont les moteurs de recherche sur
Internet.

Page 23
  L’intrusion
En utilisant une vulnérabilité identifiée du système ciblé, l’attaquant va tenter d’obtenir un accès
sur celui-ci, ou des privilèges accrus. Pour cela, il pourra usurper l’identité d’un utilisateur
légitime, exploiter une faille du système d’exploitation ou un trou de sécurité applicatif,
introduire un cheval de Troie, utiliser une porte dérobée.
 Les attaques de modification
Il peut s’agir d’altérer ou de détruire des données stockées sur le système, ou bien détruire le
système lui-même, avec des finalités diverses. Au-delà des implications financières et
industrielles évidentes, le but poursuivi peut être la dégradation des mécanismes de protection
en vue d’attaques ultérieures. Cela peut être atténué par des mécanismes de sauvegarde et des
plans de continuité.
 Les attaques de saturation
Plus connue sous la dénomination de déni de service, l’attaque consiste à provoquer la
saturation d’une des ressources du système d’information : bande passante, puissance de calcul,
capacité de stockage, dans l’intention de rendre l’ensemble inutilisable. De nos jours, cette
activité est très répandue sur Internet.

Le profil des attaquants et motivations

Un attaquant peut être défini comme toute personne physique ou morale (État, organisation,
service, groupe de pensée, etc.) portant atteinte ou cherchant à porter atteinte à un Système
d’Information, de façon délibérée et quelles que soient ses motivations.
Les attaquants sont souvent de profils hétérogènes et obéissent à des motivations très
différentes. Les motivations peuvent être l’espionnage industriel, la vengeance d’un ancien
employé ou frustré, le besoin de reconnaissance et d’admiration, la curiosité, le pouvoir, ou
encore le gain financier.
Pour ce qui est des profils, parmi les plus connus, on a les « hackers » qui interviennent
individuellement ou via des organisations. Différentes catégories de hackers existent en
fonction de leur champ d'implication (légal ou illégal) ou de leur impact sur les réseaux
informatiques :
 Les chapeaux blancs (White Hats en anglais) :
Certains consultants en sécurité, administrateurs réseaux ou cyber-policiers, qui ont un sens de
l'éthique et de la déontologie. Ils ont comme ambition d’aider à la sécurisation du système, sans
en tirer profit de manière illicite. Ils bricolent et testent les systèmes d’informations pour

Page 24
découvrir les vulnérabilités pas encore connues ou non publiques (0 Day). Après découverte,
ils rendent publique les vulnérabilités ;

 Les chapeaux gris (Grey Hats en anglais) :

Le hacker au chapeau gris est un peu un hybride du chapeau blanc et du chapeau noir. Il s’agit
d’un pirate compétent, qui agit parfois avec l’esprit d’un chapeau blanc, parfois avec celui d’un
chapeau noir. Son intention n’est pas forcément mauvaise mais il commet cependant
occasionnellement un délit. Beaucoup de hackers qui se disent White Hats s’apparentent en
réalité plus à des Grey Hats, dans le sens où ils ne révèlent pas toujours leurs découvertes et en
profitent à des fins personnelles.

 Les chapeaux noirs (Black Hats en anglais) :

Généralement, ces hackers ne respectent pas la loi, ils pénètrent par effraction dans les systèmes
dans un intérêt qui n’est pas celui des propriétaires du réseau. L’intérêt dans ce cas de figure est
personnel, généralement financier, dont le but est nuisible à la personne (physique ou morale)
visée. Ces pirates ayant une nette attirance pour le côté obscure sont par exemple les créateurs
de virus, de chevaux de Troie ou de logiciels espions.
 Les « scripts kiddies »
Un script kiddy est généralement un débutant ou un adolescent pénétrant par effraction dans un
système après avoir étudié/lu dans des livres ou sur internet quelques documentations de base
sur la sécurité informatique. Ils récupèrent aussi les exploits laissés par les chapeaux blanc ou
noirs sur les outils publics et les exécutent sur des machines, sans aucune connaissance, dans le
but de provoquer des pannes volontaires.
Définition de quelques menaces

 Un ver est un logiciel malveillant indépendant qui se transmet d’ordinateur à ordinateur

par l’Internet ou tout autre réseau en utilisant les failles existantes et perturbe le
fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.
Contrairement au virus, le ver ne s’implante pas au sein d’un autre programme.

 Un virus est un logiciel malveillant, généralement de petite taille, qui se transmet par
les réseaux ou les supports d’information amovibles. Il s’implante au sein des
programmes en les parasitant, se duplique à l’insu des utilisateurs et produit ses effets
dommageables quand le programme infecté est exécuté ou quand survient un événement
donné.

Page 25
  Le Phishing consiste à duper l’internaute (page factice d’un site bancaire ou d’e-
commerce) pour qu’il communique des informations confidentielles (nom, mot de
passe, numéro PIN, …). Ces données sont utilisées pour obtenir de l’argent. Cette
menace est un frein au développement de la banque et de l’administration en ligne.

 Les réseaux de bots (botnet en anglais) visent à donner la possibilité à un pirate de

contrôler des machines, en vue d’une exploitation malveillante. Ils peuvent provoquer
des redémarrages intempestifs ou empêcher le téléchargement de correctifs tout en
bloquant l'accès à certains sites Internet.
 Un Spam est un courrier électronique d’exemplaires identiques, envoyé en nombre, de
façon automatique et non sollicité.

 Un spyware est un code qui permet de transmettre les habitudes d’un internaute, que
l’on peut qualifier de logiciel espion avec des objectifs de commerce et de
renseignement (études marketing, …). Il peut intégrer des programmes malveillants de
toutes sortes mais également affecter la confidentialité des données de l’internaute.

 Un ransomware est un logiciel malveillant qui prend en otage des données personnelles
en les chiffrant puis demande à leur propriétaire d’envoyer de l’argent en échange de la
clé qui permettra de les déchiffrer.

2.3. La politique de sécurité

2.3.1. Définition de la politique de sécurité

Une politique de sécurité est un document qui établit comment une organisation entend protéger
ses actifs et atteindre les objectifs qu’elle s’est donnée.
La politique de sécurité est aussi le document de référence définissant les objectifs poursuivis
en matière de sécurité et les moyens mis en œuvre pour les assurer.
Donc la politique de sécurité définit un certain nombre de règles, de procédures et de bonnes
pratiques permettant d’assurer un niveau de sécurité conforme aux besoins de l’organisation.

2.3.2. Positionnement de la politique de l’Information

Il existe des différences fondamentales dans les termes « Politiques », « Normes » et «
Procédures », et il est important de bien comprendre la portée de chacun de ces concepts.

Page 26
La politique de sécurité adresse la volonté et la vision de la direction en termes de sécurité. Elle
présente les principes directeurs sur la vision et les objectifs de la haute hiérarchie en matière
de sécurité de l’information ainsi que les moyens qui doivent être mis en place pour les
atteindre. Ce qui fait d’elle la pierre angulaire des normes et directives de sécurité qui
constituent le second niveau de documentation.
Les normes et directives de sécurité sont des énoncés permettant d’indiquer quels sont les
standards organisationnels de sécurité pour chacun des domaines importants identifiés par
l’organisation. Les normes et directives peuvent s’adresser à des domaines, tels que la gestion
des codes utilisateur, l’utilisation du courrier électronique, la navigation sur Internet, les mots
de passe, la classification des informations, la gestion des changements, le suivi des activités,
l’utilisation de la micro-informatique, etc. Par exemple, on ne devrait pas parler de « Politique
d’utilisation de l’Internet » mais plutôt de la « Norme d’utilisation de l’Internet ». Les normes
et directives sont multiplateformes et s’adressent donc à l’ensemble de l’information et des
systèmes d’information de l’organisme.
Finalement, les procédures de sécurité permettent de définir spécifiquement, pour chaque
plateforme, comment appliquer les normes et directives de sécurité.

Figure 1 : Relations entre la politique, les normes et les procédures

2.3.4. Facteur clé d’une politique réussie

Les meilleures pratiques en matière de politique de sécurité de l’information prescrivent un style

clair, concis et direct. La politique doit avant tout être compréhensible et conviviale pour le lecteur.

Page 27
L’élaboration d’une politique de sécurité informatique doit se faire au niveau de la direction de
l’entreprise. La sécurité informatique concernant tous les utilisateurs du système, les responsables
hiérarchiques et les administrateurs informatiques héritent donc de la définition des droits d’accès
au système.
Lors de la mise en place de la politique de sécurité, le rôle de l’administrateur informatique est très
important ; il sera à la source de la communication destinée aux utilisateurs et concernant les
problèmes et recommandations en termes de sécurité. Il aura également en charge de s’assurer que
les ressources informatiques et les droits d’accès correspondent à la politique de sécurité définie par
l’entreprise.
Le succès de la politique et son respect nécessitent une compréhension des enjeux et des risques de
la part des utilisateurs qui y seront assujettis. Cette compréhension devra être inculquée aux
utilisateurs par des efforts continuels de sensibilisation et de formation qui nécessiteront
l'implication d’un ensemble de collaborateurs tout particulièrement la direction des ressources
humaines.
Enfin, il est à noter que sans les ressources nécessaires à la diffusion, à l’implantation, à la
sensibilisation et à la formation, la politique ne pourra atteindre ses objectifs.

2.3.5. Etapes de la mise en place d’une politique de sécurité

Une bonne politique de sécurité se définit en suivant quatre étapes principales qui sont :
 L’identification des besoins en termes de sécurité, les risques informatiques pesant sur
l’entreprise et leurs éventuelles conséquences ;
 L’élaboration des règles et des procédures à mettre en œuvre dans les différents services de
l’entreprise pour les risques identifiés ;
 La surveillance et la détection des vulnérabilités du système d’information et se tenir
informé sur les applications et matériels utilisés ;
 Définir les actions à entreprendre et les personnes à contacter en cas de détection d’une
menace.

2.3.6. Structure de la politique de sécurité

Les politiques de sécurité s’articulent généralement autour des six grandes sections suivantes :
 Contexte;

Page 28
L’objectif de cette première section est de positionner le contexte de la politique. La section, que
l’on présente parfois sous l’appellation « préambule», vise à identifier les éléments de haut niveau
ayant donné naissance au besoin d’élaborer une politique.

 Objectifs;

La section « Objectifs» a pour but d’exprimer les objectifs de l’établissement en matière de sécurité
de l’information. Les objectifs de la politique doivent permettre au lecteur de rapidement saisir les
intentions de l’établissement en matière de sécurité de l’information.

 Respect de la politique;

L’objet de cette section est de préciser qui est responsable de l’application de la politique. La
section indique aussi le processus disciplinaire en cas de non-respect de la politique.

 Domaines d’application;

Cette section est très importante puisqu’elle définit le champ d’application de la politique.
La portée comporte généralement trois dimensions, soit :
 les personnes visées par la politique;

 les actifs visés par la politique;

 les activités encadrées par la politique.

 Principes directeurs;

La section « Principes directeurs » est le cœur de la politique. L’objectif de cette section est
d’énoncer les grands principes que l’établissement se donne en matière de gestion de la sécurité de
l’information. Les principes directeurs sont des orientations de haut niveau qui permettront
d’assurer les grands objectifs de la sécurité de l’information.

 Rôles et responsabilités.

C'est dans cette section de la politique que les rôles et responsabilités de chacun des intervenants
concernés sont définis.

Page 29
NB : Il est à noter que le vocabulaire utilisé pourrait être différent, par exemple, dans certains
ouvrages on parle de « raison d’être » plutôt que d’« objectifs », de «portée» plutôt que de
«domaines d’application».
À cet égard, les meilleures pratiques recommandent de s’arrimer à la culture de l’organisation et
d’utiliser le vocable qui est le plus susceptible d’interpeller les utilisateurs qui sont soumis à la
politique.

Après avoir présenté les rappels sur la Sécurité Informatique, les systèmes d’information et la
politique de sécurité, dans le prochain chapitre, nous présenterons les méthodes d’audit et les
normes de sécurité.

Page 30
 PARTIE II : ETUDE

DETAILLEE DU SUJET

Page 31
CHAPITRE 3 : LES METHODES D’AUDITS ET LES NORMES
DE SECURITE
Ce chapitre est consacré à l’étude détaillée des différentes méthodes d’audit (ou méthodes
d’analyse de risque) et des normes de sécurité les plus utilisées au niveau international pour la
sécurisation des systèmes d’information.

3.1. Exigences Iso 27001

L’ISO 27001 est une norme internationale de Sécurité des systèmes d’information de l’ISO et
de la CEI.

Elle fait partie de la suite ISO/CEI/27000 et permet de certifier des organisations.

La norme ISO 27001, publiée en 2005, pose le cadre du Management de la Sécurité de

l'Information au sein d'une entreprise.

Elle intègre les principes du management de l'ISO 9001 ainsi que le PDCA (Plan, Do, Check,
Act du cycle de Deming) de l'amélioration continue.

La norme ISO 27001 est le cadre de référence pour la certification pour la sécurité des
informations. L'ISO 17799 est un guide de Bonnes Pratiques pour la sécurité des informations
et l'ISO 27001 sera le cadre de son management.

Cette norme reprend les bases de la BS 7799-2 avec en particulier son schéma de certification
mature et éprouvé.

3.1.1. Objectifs

La norme ISO/CEI 27001, publiée en octobre 2005 et révisée en 2013, succède à la norme BS
7799-2 de BSI (British Standards Institution).

Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG,

administrations…) et définit les exigences pour la mise en place d'un système de management
de la sécurité de l'information (SMSI).

Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection
des actifs de l'organisme.

Page 32
L’objectif est de protéger les fonctions et informations de toute perte, vol ou altération, et les
systèmes informatiques de toute intrusion et sinistre informatique. Cela apportera la confiance
des parties prenantes.

La norme précise que les exigences en matière de mesures de sécurité doivent être adéquates et
proportionnées aux risques encourus et donc ne pas être ni trop laxistes ni trop sévères.

L'ISO/CEI 27001 énumère un ensemble de points de contrôles à respecter pour s'assurer de la

pertinence du SMSI, permettre de l'exploiter et de le faire évoluer. Plus précisément, l'annexe
A de la norme est composée des 114 mesures de sécurité de la norme ISO/CEI
27002 (anciennement ISO/CEI 17799), classées dans 14 sections. Comme pour les normes ISO
9001 et ISO 14001, il est possible de faire certifier un organisme ISO/CEI 27001.

Un point a disparu par rapport à la norme BS 7799-2, l’ISO 27001 n’incorpore plus
l’amélioration de la compétitivité, des cash-flows, de la profitabilité, le respect de la
réglementation et l’image de marque.

3.1.2. Structure de la norme

Dans sa version 2013, la norme est conforme à la nouvelle structure commune des normes de
management de l'ISO, l'HLS (HLS : High Level Structure). Elle ne fait plus explicitement
allusion au PDCA ou roue de Deming mais utilise à la place la formulation « établir,
implémenter, maintenir, améliorer ».

La norme 27001 comporte 10 chapitres et une annexe ; les exigences qu'ils contiennent doivent
être respectées pour obtenir une certification.

3.1.2.a. Phase d’établissement (PLAN)

On y détermine les objectifs du SMSI. Cette phase d'établissement du SMSI comprend 4
étapes :

 Etape 1 : Définir la politique et le périmètre du SMSI

Périmètre : domaine d’application du SMSI. Son choix est libre, mais il est essentiel, car il
figure ensuite le périmètre de certification. Il doit comprendre tous les actifs métiers (actifs
primordiaux au sens de la norme ISO/CEI 27005) et les actifs supports à ces activités qui sont
impliquées dans le SMSI.

Page 33
Politique : niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui sera
pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité à
atteindre dans le SMSI. Son niveau devant être proportionné aux risques évalués.

Le choix du périmètre et de la politique étant libre, ces deux éléments sont des « leviers de
souveraineté » pour l’entreprise. Ainsi, une entreprise peut être certifiée ISO 27001 tout en
définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux
exigences de ses clients en matière de sécurité.

 Etape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique

de sécurité

La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à
adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier des
charges ou en choisir une parmi les plus courantes notamment la méthode EBIOS (Expression
des Besoins et Identification des Objectifs de Sécurité) mise en place en France par
l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des charges
relatif à l’appréciation des risques se développe en 7 points :

1. Identifier les actifs ;

2. Identifier les personnes responsables ;
3. Identifier les vulnérabilités ;
4. Identifier les menaces ;
5. Identifier leurs impacts sur les actifs à défendre ;
6. Évaluer la vraisemblance ou potentialité du risque ;
7. Estimer les niveaux de risque, fonction de leur potentialité et de leur impact.

 Etape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion

Il existe quatre traitements possibles de chacun des risques identifiés, présentés par ordre
décroissant d'intérêt pour l'organisme :

1. L’évitement : politique mise en place si l’incident est jugé inacceptable ou si les

mesures sont aisément accessibles. Il s'agit de réorganiser le système d'information à
protéger de façon à éliminer totalement la potentialité du risque.

Page 34
 2. La réduction : on ramène la potentialité et/ou l'impact du risque à un niveau acceptable
par la mise en œuvre de mesures techniques et organisationnelles. C'est la solution la
plus utilisée.
3. Le transfert (ou partage) : la part de risque qui ne peut pas être évitée ou réduite est
dénommée risque résiduel. L'organisme peut transférer la responsabilité technique de
tout ou partie de ce risque résiduel en recourant à une solution d'externalisation de
sécurité. Il peut aussi souscrire une assurance pour diminuer l'impact financier du
risque.
4. L’acceptation (ou maintien) : ne mettre en place aucune mesure de sécurité
supplémentaire car les conséquences du risque résiduel non transférable sont
acceptables. Par exemple, le vol d’un ordinateur portable ne comportant pas de données
primordiales pour l’entreprise est sans grand impact. Cette solution peut n'être que
ponctuelle.

5. Lorsque la décision de traitement du risque est prise, l’entreprise doit identifier les
risques résiduels c’est-à-dire ceux qui persistent après la mise en place des mesures de
sécurité. S'ils sont jugés inacceptables, il faut définir des mesures de sécurité
supplémentaires. Cette phase d'acceptation formelle des risques résiduels s'inscrit
souvent dans un processus d'homologation. Le système étant homologué en tenant
compte de ces risques résiduels.

 Etape 4 : Choisir les mesures de sécurité à mettre en place

La norme ISO 27001 contient une annexe A qui propose 114 mesures de sécurité
classées en 14 catégories (politique de sécurité, sécurité du personnel, contrôle des
accès…) Cette annexe normative, aussi appelée Déclaration d'Applicabilité (DDA),
n'est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.
Les mesures sont présentées dans la norme ISO 27002.

3.1.2.b. Phase d’Implémentation (DO)

Elle met en place les objectifs. Elle comporte plusieurs étapes :

1. Établir un plan de traitement des risques

Page 35
 2. Déployer les mesures de sécurité
3. Générer des indicateurs
 De performance pour savoir si les mesures de sécurité sont efficaces
 De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications
4. Former et sensibiliser le personnel

3.1.2.c. Phase de maintien (CHECK)

Elle consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y
réagir rapidement. Trois outils peuvent être mis en place pour détecter ces incidents :

 Le contrôle interne qui consiste à s’assurer en permanence que les processus

fonctionnent normalement.
 Les audits internes qui vérifient la conformité et l’efficacité du système de management.
Ces audits sont ponctuels et planifiés.
 Les revues (ou réexamens) qui garantissent périodiquement l’adéquation du SMSI avec
son environnement.

3.1.2.d. Phase d’amélioration (ACT)

Elle permet de mettre en place des actions correctives, préventives ou d’amélioration pour les
incidents et écarts constatés lors de la phase Check

 Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour
éviter que les incidents ne se reproduisent
 Actions préventives : agir sur les causes avant que l’incident ne se produise
 Actions d’amélioration : améliorer la performance d’un processus du SMSI.

3.1.3. Processus de certification

La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en
place un SMSI en suivant les exigences de l’ISO/CEI 27001, n’a pas pour obligation de se faire
certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les
parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.

Page 36
La certification ISO/CEI 27001 se déroule sur un cycle de trois ans jalonnés par l’audit initial,
les audits de surveillance et l’audit de renouvellement.

L’audit initial porte sur l’ensemble du SMSI. Sa durée est déterminée dans l’annexe C de la
norme ISO/CEI 27006. L’auditeur ne donne pas la certification, il donne juste un avis qui sera
étudié par un comité de validation technique, puis par un comité de certification. Ce n’est
qu’après cela que le certificat initial est délivré pour une durée de trois ans. Dans le cas
contraire, il y a un audit complémentaire dans le délai maximum de trois mois. L’organisme
devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour obtenir le
certificat.

L’audit de surveillance, annuel, a lieu pendant la période de validité du certificat (3 ans) afin de
s’assurer que le SMSI est toujours valable. L’audit porte notamment sur les écarts ou non-
conformités relevés lors de l’audit initial ainsi que sur d’autres points :

 Le traitement des plaintes ;

 L’état d’avancement des activités planifiées ;
 La viabilité du SMSI ;
 L’utilisation de la marque de l’organisation certificatrice ;
 Différentes clauses choisies par l’auditeur.

Si l’auditeur relève des non-conformités, le certificat sera suspendu, voire annulé. L’organisme
doit donc être perpétuellement mobilisé.

L’audit de renouvellement se déroule à l’échéance du certificat. Il porte sur les non-conformités

du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance
précédents et la revue des performances du SMSI sur la période.

3.1.4. Critique du standard

3.1.4.a. Avantages

 Une description pratique et détaillée de la mise en œuvre des objectifs et mesures de

sécurité.
 Un audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures
prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises.
 Sécurité :

Page 37
 1. Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt
tendance à croître.
2. Meilleure maîtrise des risques
3. Diminution de l'usage des mesures de sécurité qui ne servent pas.

 Une certification qui améliore la confiance avec les parties prenantes.

 Homogénéisation : c’est un référentiel international. Cela facilite les échanges, surtout pour
les entreprises qui possèdent plusieurs sites.
 Processus simple et peu coûteux : réduction des coûts grâce à la diminution d'usage de
mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée
des audits quand on obtient la certification).
 La norme fournit des indicateurs clairs et fiables ainsi que des éléments de pilotage financier
aux directions générales.
 La norme permet d'identifier plus efficacement les risques et les coûts associés.

3.1.4.b. Limites

 Parfois, faible expérience des organismes d'accréditation par rapport aux spécificités des
enjeux en sécurité des systèmes d'information. La norme ISO/CEI 27006 permet de
certifier ces organismes certificateurs.
 Relations commerciales prépondérantes (achat de certification, de conseil, de produits,
de services), ce qui conduit à une dévalorisation du processus de certification.
 Durée courte pour les audits.
 La définition et la mise en place d'une méthodologie sont des tâches lourdes.
 L'application de cette norme ne réduit pas forcément de manière notable le risque en
matière de piratage et de vols d'informations confidentielles. Les intervenants,
notamment internes, connaissent les règles et peuvent ainsi plus aisément les
contourner. Les normes sont inopérantes dans ce domaine.

Page 38
3.2. Références ISO 27002

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information,
publiée en 2005 par l'ISO, révisée en 2013, dont le titre en français est Code de bonnes pratiques
pour le contrôle de la sécurité de l'information.
L'ISO/CEI 27002 est un ensemble de 114 mesures dites « best practices » (bonnes pratiques en
français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou
du maintien d'un Système de Management de la Sécurité de l'Information (SMSI).
La sécurité de l'information est définie au sein de la norme comme la « préservation de la
confidentialité, de l'intégrité et de la disponibilité de l'information ».

Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité
de l'information et appliquer les contrôles appropriés, en utilisant la norme pour orienter
l’entreprise. La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, elle
n’est pas une norme de nature technique, technologique ou orientée produit, ou une
méthodologie d'évaluation d'équipement. Elle n’a pas de caractère d'obligation et n’amène pas
de certification car ce domaine étant couvert par la norme ISO/CEI 27001.

Figure 2 : Références ISO 27002

Page 39
 3.2.1. Contenu de la norme

La norme ISO/CEI 27002 est composée de 18 chapitres dont les 4 premiers introduisent la
norme et les 14 chapitres suivants couvrent le management de la sécurité aussi bien dans ses
aspects stratégiques que dans ses aspects opérationnels.

Chapitre 1 : Champ d’application

La norme donne des recommandations pour la gestion de la sécurité des informations pour ceux
qui sont chargés de concevoir, mettre en œuvre ou maintenir la sécurité.

Chapitre 2 : Termes et définitions

« Sécurité de l'information » est explicitement définie comme la « préservation de la

confidentialité, l'intégrité et la disponibilité de l'information ». Ceux-ci et d'autres termes
connexes sont définis plus loin.

Chapitre 3 : Structure de la présente norme

Cette page explique que la norme contient des objectifs de contrôle.

Chapitre 4 : Evaluation des risques et de traitement

ISO/CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales
sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité
des informations ; elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être
appropriée selon le contexte.

Chapitre 5 : Politiques de sécurité de l’information

Il existe deux mesures de sécurité. Elles concernent la composition des politiques de sécurité et
leurs revues périodiques.

Il s’agit de résumer les points des articles quatre et cinq de la norme ISO 27001.

Ensuite l’ISO 27002 conseille d’aborder chaque domaine relatif à la sécurité. Évoquer chaque
chapitre de la norme.

Chapitre 6 : Organisation de la sécurité de l’information

Il n’existe aucun lien particulier entre les différentes mesures de sécurité abordées dans ce
chapitre. Elles sont toutes organisationnelles.

Page 40
 Répartition des rôles et responsabilités : une mesure conseille de répartir clairement les
rôles et responsabilités en matière de sécurité. Il est également possible, selon la norme,
d’identifier les responsables pour les principaux actifs.
 Séparation des tâches : la norme recommande la séparation des tâches dans le but de
prévenir les risques de fraude et/ou de modifications illicites. Cette recommandation est très
répandue dans le domaine financier.
 Relations avec les autorités : un grand nombre d’organismes sont tenus d’avoir des relations
avec les autorités. Ces relations doivent être formalisées et entretenues. Les autorités avec
lesquelles il faut être en contact varient en fonction de l’activité de l’organisme.
 Relations avec les groupes de travail spécialisés : il est conseillé de participer à des forums
professionnels abordant les questions de sécurité. Cela permet d’échanger les expériences
et d’améliorer le niveau général de sécurité.
 Gestion de projet : il est recommandé par la norme d’intégrer la sécurité dans la gestion de
projet. Le conseil donné est d’apprécier les risques puis d’intégrer des points sécurité à tous.
 Mobilité et télétravail : cette mesure aborde les questions de la mobilité malgré son aspect
technique. Cette mesure a pris de l’importance avec le développement des parcs mobiles
(smartphones, tablettes).

Chapitre 7 : La sécurité des ressources humaines

Il existe un certain nombre de mesures de sécurité à prendre auprès du personnel avant son
embauche, pendant sa présence dans l’organisme, puis à son départ :

 Avant l’embauche : il est souhaitable de préciser des critères de sélection avant l’embauche
en matière de compétence générales et compétences en sécurité nécessaire pour chaque
poste. La norme conseille, de plus, de formaliser dans les contrats de travail les
engagements du futur salarié en matière de sécurité.
 Pendant la durée du contrat : la direction doit faire en sorte que tout le monde adopte un
comportement adéquat par rapport à la sécurité de l’information.
 Publication d’une charte destinée aux utilisateurs,
 Concevoir et formaliser un processus disciplinaire afin de recadrer le personnel.
 Au départ du personnel : la norme conseille de clarifier autant que possible les règles de
sécurité qui seront applicables au salarié, même quand il aura quitté l’entreprise.

Page 41
Chapitre 8 : Gestion des actifs

Ce chapitre aborde les actifs d’information au sens large du terme comme les supports
physiques.

 Responsabilités relatives aux actifs : la norme recommande de dresser un inventaire des

actifs d’information (éléments importants en matière d’information). Elle conseille ensuite
de préciser, pour chaque actif, quelle est son utilisation nominale.
 Classification de l’information : cette partie recommande de classifier l’information. Cela
met en évidence les actifs les plus sensibles, dans le but de mieux les protéger.
 Manipulation des supports : cette mesure rappelle qu’il est prudent de bien penser les
procédures de manipulation des supports amovibles. La norme rappelle qu’il convient de
prévoir une procédure de destruction ou d’effacement des données lorsque les supports
amovibles sont en fin de vie.

Chapitre 9 : Contrôle d’accès

L’objectif de cette catégorie est de contrôler l’accès aux informations des installations de
traitement, d’information et des processus commerciaux.

Chapitre 10 : Cryptographie

Il existe deux mesures de sécurité :

 Politique de chiffrement : cette mesure conseille de chiffrer les informations en fonction de

leur sensibilité et chiffrer les échanges lorsque les liaisons ne sont pas considérées comme
sûres.
 Gestion des clés : les conséquences liées à la divulgation des clés ou à la perte de celles-ci
sont telles qu’il convient de les protéger de façon adéquate. Les procédures doivent être
correctement formalisées.

Chapitre 11 : Sécurité physique et environnementale

Mesure de sécurité des salles machines et des autres locaux de l’organisme :

 Les salles machine doivent être conçues dans les règles de l’art,
 Contrôle d’accès physique doit interdire l’accès à toute personnes non habilitées,

Page 42
  Protections contre les désastres naturels, contre les attaques malveillantes ainsi que
contre les accidents.

Sécurité des équipements :

 Les services généraux doivent être exploités conformément aux spécifications du

fabricant. Le câblage réseau doit être posé de telle sorte qu’il soit difficile d’intercepter
les flux,
 Le matériel doit être maintenu régulièrement afin de prévenir des pannes et de prévoir
des procédures appropriées en vue de la mise au rebut, en fin de vie,
 Les équipements laissés sans surveillance doivent être protégés et les postes de
travail doivent être automatiquement verrouillés.

Chapitre 12 : Sécurité liée à l’exploitation

Ce chapitre aborde de très nombreux domaine : voici les plus importants :

 Documentation des procédures d’exploitation : la norme recommande de documenter les

procédures d’exploitation ainsi que les conduites à tenir en cas d’erreur.
 Gestion des changements : cette mesure consiste à planifier les changements, à en apprécier
les risques et à prévoir les procédures de mise en œuvre. Elles consistent aussi à prévoir des
retours en arrière en cas de problème, de vérifier que tous les acteurs impliqués sont
informés et que les différents responsables ont donné leur accord pour le changement.
 Dimensionnement du système : des mesures doivent être prises pour garantir la capacité de
traitement du SI. Il faut également vérifier que les nouveaux dispositifs ne vont pas
consommer trop de ressources et surveiller la charge du système et de supprimer les
équipements et les données devenues inutiles.
 Séparation des environnements : cette mesure consiste à séparer clairement les
environnements de production et ceux de développement. Cette norme recommande de ne
pas placer d’informations sensibles dans les bases de tests.
 Protection contre les codes malveillants : la norme recommande vivement le déploiement
d’antivirus, afin de prévenir les attaques par code malveillant.
 Sauvegardes : la norme donne des conseils sur les sauvegardes et insiste sur le fait que des
tests de restauration doivent être réalisés périodiquement pour s’assurer de l’efficacité des
processus de sauvegarde.

Page 43
 Journalisation : la norme recommande de journaliser les événements jugés les plus
pertinents. Elle conseille aussi de protéger les journaux administrateurs. Surveillance de
l’activité des administrateurs.
 Gestion des vulnérabilités techniques : cette mesure consiste à mettre en place une veille en
vulnérabilités et à appliquer dans un délai approprié tout correctif qui serait nécessaire.

Chapitre 13 : Sécurité des communications

Ce chapitre traite des mesures relatives à la sécurité des réseaux.

 Sécurité des services : Cette mesure recommande de spécifier avec l’entité qui fournit le
service réseau les propriétés du service rendu. Cela concerne entre autres la capacité des
réseaux, leur dispositif de continuité de service, mais également les services
supplémentaires comme le filtrage, le chiffrement…
 Cloisonnement des réseaux : Le cloisonnement des différents domaines de réseau est
recommandé (poste de travail, serveurs, DMZ…).
 Transferts d’information : Il est recommandé de prendre des dispositions techniques et
organisationnelles pour sécuriser les échanges d’information. Une des mesures
recommande au personnel de ne pas tenir de conversations confidentielles dans les lieux
publics. Une autre mesure évoque les précautions à prendre dans la messagerie
électronique.
 Engagement de confidentialité : Il est conseillé de disposer d’engagement de
confidentialité.

Chapitre 14 : Acquisition, développement et maintenance des systèmes d’information

Il est convenu de mettre en place des mesures pour assurer la sécurité des services réseaux. Les
mesures de sécurité recommandent de protéger les transactions contre les erreurs et les
traitements incomplets. Concernant les changements applicatifs, la norme rappelle les mesures
élémentaires (exemple : le fait d’effectuer des revues techniques après les changements).

Chapitre 15 : Relations avec les fournisseurs

Il s’agit d’un des points le plus important de la norme.

Page 44
 Relations avec les fournisseurs : Il est conseillé de rédiger une politique de sécurité destinée
aux fournisseurs, d’insérer des articles relatifs à la sécurité des SI dans les contrats pour que
les fournisseurs s’engagent dans le domaine.
 Gestion de la prestation de service : Le fournisseur doit être en mesure d’apporter la preuve
qu’il respecte ses engagements en matière de sécurité.

Chapitre 16 : Gestion des incidents liés à la sécurité de l’information

Ce chapitre évoque toutes les mesures liées à la gestion des incidents de sécurité de
l’information.

 Signalement des incidents : La norme a pour but d’inciter les utilisateurs du SI à signaler
tout incident.
 Signalement des failles liées à la sécurité : Il est conseillé de signaler sans délai toute
vulnérabilité qui serait détectée.
 Appréciation des événements et prise de décision : La norme recommande d’établir des
critères pour évaluer la gravité et par conséquent prendre les mesures adaptées.
 Tirer les enseignements des incidents : Afin d’améliorer le processus de gestion des
incidents il est recommandé d’organiser des retours d’expérience pour comprendre les
causes des incidents.
 Recueil des preuves : Il est très important de collecter des preuves de façon fiable en cas de
poursuites judiciaires.

Chapitre 17 : Aspects de la sécurité de l’information dans la gestion de la continuité de

l’activité

Il est recommandé de réaliser un plan de continuité (PCA) ou de reprise (PRA), qui doit être
testé et mis à jour. De plus ce chapitre mentionne qu’une catastrophe ne justifie pas de faire
l’impasse sur la sécurité (contrôle d’accès, chiffrement des données sensibles, protection des
données à caractère personnel).

Chapitre 18 : Conformité

Il est conseillé d’identifier les législations applicables dans le pays où se situe l’organisme. Des
textes peuvent formuler des exigences concernant la sécurité des systèmes d’information que
Page 45
l’organisme se doit de respecter sous peine de poursuites judiciaires ou de pénalités
contractuelles. La norme invite aussi les organismes à mettre en place un processus de gestion
des licences ainsi que des dispositifs pour éviter l’installation illicite de logiciels. De plus la
norme aborde la protection des données à caractère personnel et la cryptographie, qui doit être
utilisée conformément aux réglementations locales. La seconde partie du chapitre présente les
mesures de sécurité conseillant de faire auditer de façon régulière le Si tant du point de vue
technique qu’organisationnel.

3.2.2. Les avantages

 Organisation : cette norme apporte une image positive auprès des actionnaires lorsque
l'entreprise tend à maîtriser ses risques pour maximiser ses profits.
 Conformité : la norme insiste sur la nécessité d'identifier toutes les lois et réglementations
s'appliquant à l'entreprise et la mise en œuvre de processus adaptés pour identifier et suivre
les obligations permet de prouver au moins la volonté de conformité, ce qui tend à diminuer
les amendes en cas de non-conformité.
 Gestion des risques : la norme insiste dans ses chapitres d’introduction sur la nécessité de
réaliser une analyse de risques périodiquement et définit dans les domaines « politique de
sécurité » et « organisation de la sécurité » les pratiques à mettre en œuvre pour gérer les
risques mis en lumière par l’analyse de risque. Ceci permet une meilleure connaissance des
risques et donc une meilleure allocation des ressources permettant d’améliorer la fiabilité
du système.
 Finances : associant une meilleure maîtrise des risques, une meilleure gestion des incidents
et une meilleure allocation des ressources, la mise en place d’un SMSSI s’appuyant sur les
normes ISO 27001 et 27002 permet une meilleure maîtrise des coûts de la sécurité des
systèmes d’information.
 Crédibilité et confiance : la mise en place d'une politique de sécurité et des moyens
associés donne une image rassurante pour les partenaires et les clients, notamment sur la
protection des données personnelles (sujet très médiatique, avec le syndrome du « Big
Brother »).
 Ressources humaines : s'appuyer sur une norme permet de mieux faire passer les messages
de sensibilisation, notamment auprès des populations techniques.
 Guide de référence en sécurité des SI : présenter un panorama complet des mesures de
sécurité pouvant être déployées pour sécuriser un SI (fonction 1re).

Page 46
 Aide à l’implémentation de mesures de sécurité : détails de chaque mesure de sécurité.
Nombreuses suggestions pour faciliter l’implémentation des mesures.
 Appels d’offres : très utilisée pour rédiger les clauses de sécurité dans les appels d’offres.
 Politiques de sécurité : de nombreuses politiques de sécurité suivent le plan de l’ISO
27002. Elle permet d’être sûr de ne rien avoir oublié dans la politique.
 Référentiel d’audit : la norme est très utilisée pour vérifier les pratiques de sécurité. Lors
des audits, ils passent en revue les mesures de sécurité et vérifient, mesure par mesure,
comment elles sont implémentées chez l’audité.
 Comparaisons : ce référentiel est très utilisé pour comparer le niveau de sécurité de
différentes entités. Audit des filiales par rapport au référentiel (vue d’ensemble de la
sécurité).
 Aide à l’implantation de l’ISO 27001 : la norme ISO 27002 est le complément de la norme
ISO 27001. Elle sert à décliner concrètement les mesures de sécurité dans le système.

3.3. Exigences GDPR

Le RGPD, Règlement Général sur la Protection des Données ou GDPR en Anglais (General
Data Protection Regulation) est un règlement normatif à portée générale sur la protection des
données.

L’objectif du RGPD (GDPR) est de mieux protéger les données nominatives des personnes.

Jusqu’à présent, au niveau européen, la directive 95/46/CE existait mais n’imposait rien.

En effet, en tant que directive, elle n’avait pas de connotation obligatoire. Chaque pays
interprétait et mettait plus ou moins en œuvre la protection des données personnelles. Il n’y
avait donc pas d’harmonisation européenne dans ce domaine.

Maintenant avec le RGPD, toutes les organisations collectant des données de résidents
européens doivent se conformer aux exigences de ce règlement.

L’application de ce règlement est obligatoire et toutes les organisations qui ne se conforment

pas au RGPD après la date d’application fixée au 25 mai 2018 encourent des sanctions.

Page 47
 3.3.1. Les objectifs et les enjeux du GDPR
 Améliorer la protection des données personnelles des personnes physiques en imposant
aux organisations le Privacy by design et le Security by default :

Privacy by design : Il s’agit du concept de la “protection de la vie privée dès la conception”.

Chaque nouveau traitement des données personnelles doit garantir dès sa conception, un
niveau de sécurité des données personnelles le plus haut possible.

Security by default : Le RGPD impose d’avoir un système d’information sécurisé. Des

politiques de sécurité doivent être en place afin de sécuriser le système d’information dans
son ensemble.

 Répondre à toutes réclamations faites par la personne concernée par la collecte

d’informations (modification, suppression, portabilité…)
 Accountability : Responsabiliser les organisations qui collectent et traitent des données
personnelles. Elles doivent prendre toutes les mesures pour garantir la sécurité des
données et prouver leur conformité au RGPD.
 Uniformiser et harmoniser au niveau européen la réglementation sur la protection des
données à caractère personnel.

L’organisation a obligation de savoir à tout moment :

 Le type de données qu’elle collecte

 Où sont stockées ces données
 La finalité de la collecte, c’est à dire pour qu’elle raison elle a collecté ces données
 La gestion des données
 La gestion des réclamations (modifications, effacements demandés par la personne
à qui appartient ces données)

3.3.2. Qui est concerné par le RGPD ?

Toutes les organisations qui mettent en œuvre un traitement de données à caractère personnel
appartenant à un résident de l’UE. Seules les activités dans le cadre personnel ne sont pas
concernées sauf s’il y a des objectifs pécuniaires.

Page 48
 3.3.3. Qu’est-ce qu’une donnée à caractère personnel ?
Toute information qui peut être relative à une personne physique directement ou indirectement
identifiée. Cela peut être son nom, adresse, numéro de téléphone, numéro de compte bancaire,
adresses email et IP etc...

Cependant, les données dites sensibles sont à prendre en compte avec encore plus de “sérieux”.

Ces données sont par exemple :

 Origines raciales ou ethnique

 Opinion politique, religieuse
 Appartenance syndicale
 Orientation sexuelle
 Information sur la santé et les données infractions ou condamnations pénales

Cadre de la collecte de données

La collecte de données doit se faire de manière loyale et limitées à la finalité du traitement.

C’est à dire que la collecte ne doit pas concerner des données qui ne sont pas nécessaire au
traitement. De plus les données collectées doivent être exactes, pertinentes et adéquates. Elles
doivent être aussi mises à jour lorsque cela est nécessaire. RGPD introduit aussi un principe de
limitation de la conservation des données. Les données ne doivent pas être conservées au-delà
du délai utile aux finalités du traitement. Les principes de Privacy by design et Security by
default sont essentiels pour la protection des données.

Le respect des droits de la personne concernée par la collecte et le traitement

des données

La personne concernée par le traitement doit être informée que ses données vont être collectées,
de quelle façon, par qui et pour quelles raisons. Elle est aussi informée du type de données
collectées ainsi que de la finalité du ou des traitements.

Elle doit donner son accord explicite pour que ses données soient collectées et traitées.

Le RGPD assure à la personne concernée par le traitement de données à caractères personnel

les droits suivants :

 Le droit d’accès

Page 49
  Le droit de rectification de données inexactes
 Le droit d’obtenir l’effacement de ses données
 Le droit à la limitation du traitement des données
 Le droit à la portabilité
 Le droit d’opposition au traitement des données

Le DPO

Le DPO pour Data Protection Officer ou Délégué à la protection des données est le chef
d’orchestre de la conformité en matière de protection des données au sein de l’organisation.

Son Rôle est :

 D’informer l’organisation et ses employés sur leurs obligations relatives à la protection

des données personnelles.
 De veiller au respect du RGPD
 De conseiller l’organisation sur la réalisation de l’étude d’impact (PIA – Privacy Impact
Assessment)
 D’être le point de contact de la CNIL

Le DPO est obligatoire pour les organisations publiques ou privées qui collectent des données
à grande échelle et/ou sont amenées à traiter des données sensibles.

L’étude d’impact – PIA

Lorsqu’il existe un risque élevé induit par un traitement pour les droits et libertés des personnes,
il convient de réaliser une étude d’impact. Cette étude d’impact doit être menée avant la mise
en œuvre du ou des traitements susceptibles d’engendrer des risques élevés.

Le contenu de l’étude d’impact doit faire apparaître :

 Une description du traitement (et de ses finalités)

 Une évaluation de la nécessité
 Une appréciation des risques
 Les mesures pour traiter les risques

Page 50
 3.3.4. Les principales exigences de la GDPR

Avant d’aborder comment nous y prendre, examinons un peu plus en détail les exigences de la
réglementation.

1. Même si votre entreprise n’est pas dans l’UE, la réglementation s’applique

Les organisations non situées dans un état européen mais qui font des affaires avec l’UE et
utilisent les données personnelles des ressortissants de l’UE doivent se préparer à se conformer
à la réglementation. Ceux qui fournissent des produits ou des services à des clients dans l’UE
ou qui traitent ou manipulent leurs données peuvent avoir à faire face à des poursuites de l’UE
si un incident de sécurité est signalé.

C’est notamment le cas de toute banque Africaine qui reçoit de l’argent depuis un compte situé
en Europe. C’est la même chose si elle effectue un transfert vers un compte bancaire Européen.
Cette banque Africaine aura alors en sa possession les données bancaires du citoyen ou de
l’Entreprise européenne avec laquelle s’effectue la transaction. Ces informations doivent donc
être protégées en respectant les exigences de la GDPR. Toute transaction commerciale
impliquant une organisation Africaine et un Organisation Européenne est donc concernée.

2. La définition des données personnelles est élargie

La confidentialité des données concerne désormais d’autres facteurs susceptibles d’être utilisés
pour identifier un individu. Il s’agit par exemple de son identité génétique, psychique,
économique, culturelle ou sociale. Les entreprises sont incitées à prendre des mesures afin
de réduire la quantité d’informations personnelles qu’ils stockent, et à veiller à ce qu’elles ne
stockent pas les informations plus longtemps que strictement nécessaire.

3. Un consentement est requis pour traiter les données relatives aux enfants

Le consentement des parents sera nécessaire pour le traitement des données personnelles des
enfants de moins de 16 ans. Chaque État membre de l’UE peut abaisser à 13 ans l’âge
nécessitant le consentement parental. Bien entendu des traces doivent permettre la vérification
au travers d’audits.

4. Les modifications apportées aux règles d’obtention du consentement valide

Page 51
Un document de consentement au traitement des données personnelles doit être exprimé en
termes simples et non ambigus. Le consentement ne se présume pas. Le silence ou l’absence de
réponse ne constitue pas un consentement. Un consentement clair et positif au traitement des
données privées doit être fourni, de façon formelle et auditable.

« Imaginons que vous utilisez le mailing internet pour contacter vos clients. Chacun d’eux doit
avoir fourni un consentement clair et positif à être présent dans votre liste d’adresses. Cela
signifie que le citoyen d’un état Européen qui recevrait un email provenant d’une société, en
Afrique par exemple, et qui n’aurait pas donné explicitement son consentement pour être
contacté par mail serait en droit de poursuivre ladite Société, laquelle serait du coup passible
d’une lourde amende pour non-respect de la GDPR. »

5. La nomination d’un Directeur de la Protection des Données (DPO) est obligatoire pour
certaines entreprises

L’article 35 de la GDPR stipule que des Directeurs de la Protection des Données (DPO –
Data Protection Officer) doivent être nommés dans toutes les administrations. En outre, un DPO
sera nécessaire lorsque les activités de base de l’Organisation impliquent « un suivi régulier et
systématique de grandes quantités de données personnelles » ou lorsque l’entité effectue le
traitement à grande échelle de « catégories particulières de données à caractère personnel ».
Cela fait donc référence aux sociétés de service informatique qui opèrent le système
d’information de leurs clients.

Les entreprises dont l’activité principale n’est pas le traitement de données sont exemptées de
cette obligation.

La GDPR ne précise pas les diplômes et certifications professionnelles requis pour les
Directeurs de la Protection des Données, mais stipulent néanmoins qu’ils doivent avoir « une
connaissance approfondie du droit et des pratiques de protection des données. »

6. Evaluations obligatoires d’impacts des risques sur la protection des données

Une approche basée sur les risques doit être adoptée avant d’entreprendre des activités de
traitement de données sensibles. Des rôles de vérificateurs de données seront nécessaires pour
effectuer des évaluations d’impact, analyser et minimiser ces risques pour les personnes
concernées dès lors que des risques de violation de la vie privée sont élevés.

Page 52
« Ce sera notamment le cas lorsqu’une Entreprise Européenne entrera en relation d’affaires
avec une Entreprise d’un pays dont la législation est plus tolérante. »

7. Exigences nouvelles en matière de notification de violations des données

Les vérificateurs de données seront tenus de signaler les violations de confidentialité constatées
à leur autorité de protection des données, à moins que celles-ci ne représentent qu’un risque
faible pour les droits et libertés des personnes concernées. L’information doit être
transmise dans les 72 heures suivant la constatation de la violation de confidentialité par les
vérificateurs. Des dérogations pourront exister en cas de circonstances exceptionnelles, qui
devront être justifiées.

Lorsque le risque pour les individus est élevé, les personnes concernées doivent être informées.
Toutefois, aucun délai n’est spécifié par la règlementation.

Des audits réguliers de la chaîne d’information et des vérifications seront requis pour assurer
que le nouveau régime de sécurité est bien adapté à l’usage.

8. Le droit à l’oubli

Tout individu a le « droit à l’oubli ». La GDPR prévoit des lignes directrices claires sur les
circonstances dans lesquelles le droit peut être exercé.

9. Le transfert international de données

Étant donné que la règlementation est également applicable aux Entreprises qui utilisent et
transforment les données, les organisations doivent être conscientes du risque de transfert de
données vers des pays ne faisant pas partie de l’UE.

10. Responsabilités en matière de traitement de données

Les Entreprise exploitant des données auront des obligations et des responsabilités juridiques
directes. Cela signifie que les exploitants peuvent être tenus responsables des violations de
données. Les arrangements contractuels devront donc être mis à jour en précisant les
responsabilités et les obligations de chacune des parties. Il s’agit là d’une exigence impérative
dans les futurs accords.

Page 53
« Les Parties devront documenter leurs responsabilités sur les données encore plus clairement,
et les niveaux de risque accrus peuvent clairement influer sur le coût des services. »

11. La portabilité des données

La portabilité des données permettra à un utilisateur de demander une copie de ses données
personnelles dans un format utilisable et par voie électronique transmissible à un autre système
de traitement.

12. Protection par la conception

La GDPR exige que les systèmes et les processus prennent en compte le respect des principes
de protection des données. L’essence de la protection par la conception est que la vie privée
dans un service ou un produit est pris en compte non seulement au moment de la livraison, mais
aussi dès l’origine de la création du concept de produit.

Il y a aussi une exigence que les vérificateurs ne doivent recueillir que les données strictement
nécessaires à la réalisation de leurs objectifs spécifiques et les détruire dès qu’elles ne sont plus
nécessaires.

13. Un guichet unique

Un nouveau guichet unique Européen est créé pour les entreprises. Cela signifie que les
entreprises ne devront faire face à une autorité de surveillance unique pour l’ensemble de
l’Europe et non pas au sein de chaque état. Ceci rend plus simple et moins coûteux pour les
entreprises de faire des affaires dans l’UE. Cela aura également un impact positif pour les
fournisseurs de services Internet ayant des bureaux dans plusieurs pays de l’UE.

3.3.5. Les conséquences de la non-conformité au RGPD

Pour la France, l’autorité de contrôle qui a pour mission de contrôler l’application du règlement
général sur la protection des données (RGPD ou GDPR) est la CNIL. La CNIL peut enquêter
de sa propre initiative ou à la suite d’une réclamation d’une personne concernée par un
traitement de données personnelles.

Si la CNIL constate une violation du règlement elle peut, en plus d’exiger la conformité
effective, prononcer des amendes administratives en fonction du type de non-conformité :

Page 54
2% du CA mondial ou 10 millions d’euros pour par exemple l’absence de notification d’incident
de sécurité concernant les données personnelles auprès de la CNIL, absence d’un registre de
traitements ou encore nomination d’un DPO lorsque cela est nécessaire.

4% du CA mondial ou 20 millions d’euros pour les violations les plus graves comme par
exemple le non-respect d’une injonction de la CNIL, le non-respect des droits des personnes
concernées etc…

3.4. Les méthodes et typologies d’audit

3.4.1. Les méthodes d’audit

L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à
la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à
des normes.
Ces derniers sont des référentiels regroupant un ensemble de règles et méthodes de bonne
pratique en matière de sécurisation d’un système d’information.
Parmi ces méthodes d’audit, nous allons faire une présentation des méthodes suivantes :

 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité),

 MEHARI (Méthode Harmonisée d’Analyse de Risque),

 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation),

 COBIT (Control Objectives for Business Information and related Technology).

3.4.1.a. EBIOS

La méthode EBIOS est une méthode d'évaluation des risques en informatique, développée en
1995 par la Direction centrale de la sécurité des systèmes d'information (DCSSI) et maintenue
par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qui lui a succédé en
2009.

Elle permet d'apprécier les risques Sécurité des systèmes d'information (entités et
vulnérabilités, méthodes d’attaques et éléments menaçants, éléments essentiels et besoins de

Page 55
sécurité...), de contribuer à leur traitement en spécifiant les exigences de sécurité à mettre en
place, de préparer l'ensemble du dossier de sécurité nécessaire à l'acceptation des risques et de
fournir les éléments utiles à la communication relative aux risques.

Figure 3 : Schéma synthétique de la méthode

3.4.1.b. MEHARI

La méthode harmonisée d'analyse des risques (MEHARI) est une méthode complète,
outillée de gestion de risque associée à la sécurité de l'information d'une entreprise ou d'un
organisme.

Elle a été développée initialement (depuis 1996) par le CLUSIF en France puis le CLUSIQ au
Canada.

L'outil MEHARI le plus diffusé est MEHARI EXPERT, dont la dernière révision date de 2016.

MEHARI répond pleinement aux lignes directrices édictées par la norme ISO 27005 : 2011,
donc ISO 31000.

Plusieurs instanciations basées sur le même modèle de risque sont diffusées gratuitement, sous
licence Creative Commons,

Page 56
Depuis le site www.meharipedia.org, sous forme de bases de connaissance : qui sont des
"applications" de haut niveau sous Excel :

 MEHARI EXPERT (2010) s'applique à tout type d'organisme et dans sa révision actuelle
s'intègre et facilite aussi la réalisation d'un SMSI (Système de Management de la Sécurité
de l'Information) aligné sur ISO 27001 et 27002 : 2013. Plus de 50 000 chargements de
cette base de connaissance vers plus de 175 pays, depuis 2010 et de nombreuses traductions
assurent de la notoriété de la méthode.

 MEHARI PRO dont la base de connaissance simplifie et facilite l'évaluation et le traitement

des risques pour les petites et moyennes entités. Cette instance est diffusée depuis 2014.

 MEHARI Manager permet de comprendre rapidement les principes de la méthode pour tout
responsable métier ou opérationnel mais aussi de préparer la réalisation de la gestion de
risque pour de nouveaux projets ou clients.

Les principaux objectifs de MEHARI

 Mieux connaître les activités et les processus mis en place par l'organisme afin d'en évaluer
les risques en cas de dysfonctionnements, bien délimiter les actifs contribuant aux
traitements de l'information,
 Connaître les menaces pouvant les atteindre,
 Auditer les modes de mise en œuvre des services de sécurité (destinés à réduire les
vulnérabilités) ;
 Déterminer les situations de risque à partir de scénarios intégrant les éléments précédents ;
 Évaluer les niveaux de risque ainsi que les options de traitement et les moyens d'en diminuer
le niveau ;
 Préparer des plans de réduction des risques et s'assurer de leur mise en place dans le temps
;
 Limiter le volume de travail à fournir pour l'étude.

Découpage en objectifs :

 Base étendue d'appréciation de la sécurité ;

 Délégation des décisions ;

Page 57
 Equilibre des moyens et cohérence des contrôles.

3.4.1.c. COBIT

COBIT ( Control Objectives for Information and related Technology , ou « objectifs de

contrôle de l'information et des technologies associées » en français) est référentiel de bonnes
pratiques d’audit informatique et de gouvernance des systèmes d’information d’origine
américaine.
Au fil des versions successives, il tend à devenir un outil fédérateur de gouvernance des
systèmes d'information en intégrant progressivement les apports d'autres référentiels tels
que ISO 9000, ITIL, etc.

COBIT 5 peut être adapté pour tous les types de modèles business, d'environnements
technologiques, toutes les industries, les lieux géographiques et les cultures d'entreprise. Il peut
s'appliquer à :

 La sécurité de l'information ;
 La gestion des risques ;
 La gouvernance et la gestion du système d'information de l'entreprise ;
 Les activités d'audit ;
 La conformité avec la législation et la réglementation ;
 Les opérations financières ou les rapports sur la responsabilité sociale de l'entreprise.

COBIT fournit aux gestionnaires, auditeurs et utilisateurs de TIC (Technologies de

l'information et de la communication), des indicateurs, des processus et des bonnes
pratiques pour les aider à maximiser les avantages issus du recours à des techniques
informatiques et à l'élaboration de la gouvernance et du contrôle d'une entreprise. Il les aide à
comprendre leurs systèmes informatiques et à déterminer le niveau de sécurité et de contrôle
qui est nécessaire pour protéger leur entreprise, et ceci par le biais du développement d'un
modèle de gouvernance des systèmes d'information tel que COBIT. Ainsi, COBIT fournit des
indicateurs clés d'objectif, des indicateurs clés de performance et des facteurs clés de succès
pour chacun de ses processus. Le modèle COBIT se focalise sur ce que l'entreprise a besoin de
faire et non sur la façon dont elle doit le faire.

Page 58
Le référentiel COBIT constitue une structure de relations et de processus (cadre de référence
ou Framework) visant à un pilotage et un contrôle des techniques informatiques par le
management de l'entreprise pour atteindre ses objectifs, en utilisant ces techniques comme
moyen pour améliorer l'activité et répondre aux besoins métiers, besoins consolidés dans le plan
stratégique de l'entreprise. Il est basé sur 5 clés principales de la gouvernance et gestion IT :

 Répondre aux besoins des parties prenantes ;

 Couvrir l'entreprise de bout en bout ;
 Appliquer un seul cadre de référence ;
 Séparer la gouvernance et la gestion ;
 Favoriser une approche globale.

3.4.1.d. OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) est une méthode
d’évaluation et de gestion des risques pour assurer la sécurité du système d’information.

Les concepteurs d'OCTAVE sont issus de Carnegie Mellon, université américaine très réputée
dans la sécurité des systèmes d'information et à l'origine du premier CERT, centre de veille et
d'assistance spécialisé contre les intrusions informatiques.

OCTAVE est composé de 3 phases :

Phase 1 : Vision organisationnelle

 Actifs
 Menaces
 Vulnérabilités organisationnelles
 Exigences de sécurité
 Règles existantes

Phase 2 : Vision technologique

 Composants clefs
 Vulnérabilités techniques

Page 59
Phase 3 : Planification des mesures et réduction des risques

 Evaluation des risques

 Pondération des risques
 Stratégie de protection
 Plan de réduction des risques

3.4.2. Les typologies d’audit

 Audit organisationnel: vise à assurer que les politiques et procédures de sécurité

définies par l'audité sont conformes.
 Audit d’architecture: consiste à vérifier la conformité des pratiques de sécurité relative
 Audit de configuration : repose sur une évaluation technique de la configuration des
composants du système d'information
 Audit de sécurité physique

 Audit de code source : l’analyse de tout ou partie du code source d’une application
dans le but d’y découvrir des vulnérabilités, liées à de mauvaises pratiques de
programmation ou des erreurs de logique, qui pourraient avoir un impact en terme de
sécurité.

 Tests d'intrusion

Le principe du test d’intrusion est de vérifier l’exploitabilité et l’impact des vulnérabilités

découvertes sur le système d’information audité, dans les conditions réelles d’une attaque
sur le système d’information, à la place d’un utilisateur malveillant potentiel.

Cette activité d’audit peut être réalisée soit depuis l’extérieur du système d’information
audité

 Soit depuis l’intérieur. Un test d’intrusion seul n’a pas vocation à être exhaustif.
En revanche, il s’agit d’une activité qui peut être effectuée en complément des
activités

 Afin d’en améliorer l’efficacité ou de démontrer la faisabilité de l’exploitation des

failles et vulnérabilités découvertes à des fins de sensibilisation.

 Tests d'ingénierie sociale : elle vise à s’assurer que les dispositions techniques et
organisationnelles prises pour assurer la sécurité et la sûreté des locaux et de

Page 60
 l’environnement correspondent aux meilleures pratiques d’actualité et permettent
raisonnablement de prévenir, détecter ou contenir les agressions physiques
accidentelles ou malveillantes sur le patrimoine de l’organisation auditée.
 Audit de certification

3.5. Méthode de gestion des risques

Déterminer les éléments critiques d'une entreprise est une tâche délicate, qui prête souvent à
discussion, chaque service ou département se considérant comme un secteur clé.
• Un bon moyen de parvenir à déterminer ces éléments critiques consiste à mener avec les
responsables de l'entreprise une analyse de risque.
• Une telle analyse consiste tout d'abord à identifier les ressources ou les biens vitaux à
l'entreprise.
• Ces derniers peuvent être de plusieurs ordres :
▫ Matériel ou physique: Incendies, explosion, effondrement, défaillance matérielle,
événements naturels
Données: Logiciels:
▫ Personnes.

Il convient pour chacune de ces ressources vitales, d'associer les trois éléments suivants :
• Conséquence : il s'agit de l'impact sur l'entreprise de l'exploitation d'une faiblesse de sécurité.
Estimer une conséquence d'une faiblesse de sécurité nécessite généralement une connaissance
approfondie de l'entreprise et requiert l'ensemble des experts de cette dernière.
• Menace : la menace désigne l'exploitation d'une faiblesse de sécurité par un attaquant, qu'il
soit interne ou externe à l'entreprise. La probabilité qu'un événement exploite une faiblesse de
sécurité est généralement évaluée par des études statistiques, même si ces derniers sont difficiles
à réaliser.
• Vulnérabilité : il s'agit d'une faiblesse de sécurité qui peut être de nature logique, physique,
etc. Une vulnérabilité peut découler d'une erreur d'implémentation dans le développement d'une
application, erreur susceptible d'être exploitée pour nuire à l'application. Elle peut également
provenir d'une mauvaise configuration. Elle peut enfin avoir pour origine une insuffisance de
moyens de protection des biens critiques, comme l'utilisation de flux non chiffrés, l'absence
d'une protection par filtrage de paquets etc.
La connaissance de ces faiblesses de sécurité n'est possible que par des audits réguliers de

Page 61
Sécurité effectués soit par l'équipe sécurité, soit par des consultants externes.

Après fait une présentation sur les exigences de ISO 27002, les références de ISO 27001 et les
exigences de la norme GDPR et enfin les différentes méthodes et typologies d’audit, nous
présenterons dans le chapitre suivant les contrôles de sécurité dans les systèmes existants.

Page 62
 CHAPITRE 4 : Contrôles de sécurité dans les systèmes existants

4.1. Architecture de la maquette

Tunnel VPN

Serveur proxy Utilisateur nomade Tening

Serveur d applications Serveur de messagerie Serveur de BD

Figure 4 : Architecture de la maquette

Page 63
 4.2. Prérequis de l’installation

Pour l’installation, nous aurons besoin de :

 2 routeurs pare-feu pour créer notre tunnel VPN site à site

Sur l’un des routeurs, nous aurons besoin de mettre en œuvre un Remote VPN pour les
utilisateurs nomades

 Un serveur de Base de Données PostgreSQL

 Un serveur d’authentification LemonLDAP pour gérer l’authentification centralisé et le
contrôle des accès.
 Un serveur Proxy pour activer le filtrage
 Un serveur d’application
 2 switchs
 Un client Windows

Après avoir mis en œuvre l’architecture et les prérequis de l’installation, dans le chapitre
suivant, nous allons faire l’implémentation des solutions techniques retenues pour la mise en
œuvre des contrôles de ISO 27002.

Page 64
 CHAPITRE 5 : IMPLEMENTATION DES SOLUTIONS
TECHNIQUES POUR LA MISE EN ŒUVRE DES
CONTROLES DE ISO 27002

Dans ce chapitre, nous allons mettre en œuvre quelques solutions retenues pour nous rapprocher
le maximum possible à la norme d’ISO 27002,

Parmi les multiples chapitres de la norme ISO 27002, nous allons juste mettre en œuvre
quelques une des solutions techniques retenues mais le principe reste le même.

5.1. Sécurité des accès

Les entreprises traitent des données confidentielles au sein de leurs entités. Ces données sont
stockées dans des bases de données informatiques ou physiquement dans des locaux. Cela
suppose que tout le monde ne peut pas avoir accès à toutes ces données. Pour cela les entreprises
mettent en place des contrôles d’accès logiques. La création de comptes utilisateurs avec des
mots de passe, ou par l’attribution de badges électroniques ou encore par un contrôle
biométrique sont utilisés dans les entreprises.

L’administrateur du système d’information configure l'accès ou non aux utilisateurs aux

différents logiciels et bases de données du système d’information. C’est donc l’administrateur
qui définit les autorisations selon les utilisateurs.

La fonction d'un employé au sein d'une organisation peut justifier son accès partiel ou total au
système d'information de l'entreprise.

Le dirigeant d’une entreprise n'a pas nécessairement accès à toutes les données et services du
système d’information.

Pour toutes ces raisons il peut être nécessaire d’établir un contrôle d’accès logique.

5.1.1. Protocole AAA

En matière de système d’information, le contrôle d’accès est un système de sécurité visant à

vérifier le droit nécessaire d’accès d’une personne ou d’une machine à une ou plusieurs
données.

Page 65
Le contrôle d’accès logique se subdivise en trois éléments : l’authentification, l’autorisation et
la traçabilité. Ce sont des étapes décrites par le protocole AAA (Authentication
Authorization Accounting).

Le premier élément (Authentication) consiste à s’assurer que l’identité de l’entité demandant

l’accès est connu de la base de données et qu’il le prouve (par un mot de passe que lui seul
connaît par exemple).

Le second (Autorisation) suit le premier et contrôle si l’entité est autorisée à l’exploitation des
données. Le dernier permet la collecte d’informations sur l’utilisation des données (durée de
connexion, adresse IP de l’utilisateur…).

Figure 5 : Protocole AAA

Page 66
 5.1.1.a. Authentification
L’authentification désigne le fait de prouver qu’on est bien la personne que l’on prétend être.
L’authentification vient en complément de l’identification.

Pour s’authentifier, on ajoute une preuve à l’identification. Ce sont ces preuves qu’on appelle
facteurs d’authentification.

Cette phase ne doit pas être confondue avec la notion d’identification même si elles sont liées.
En effet la notion d’identification permet de s’assurer si l’identité du demandeur d’accès est
dans la base de données (avec un ID par exemple).

L’authentification consiste à vérifier que l’entité correspond à l’identité qui cherche à se

connecter, c’est-à-dire le lien entre l’identité et la preuve de l’identité. La forme
d’authentification la plus répandue est celle de l’identifiant/mot de passe.

Des systèmes d’authentification plus ou moins élaborés limitant les risques d’intrusion sont
utilisés en fonction de l’importance des données pour ceux qui en limitent l’accès.

 Politique de mot de passe

Un mot de passe est associé à un identifiant permettant l’accès au système.

Cette méthode n’offre pas un niveau de sécurité élevé. Il peut être extrêmement aisé pour un
individu malveillant de dérober un mot de passe (physiquement ou par le biais d’un piratage).

 Politique RBAC

Le contrôle d'accès basé sur les rôles (« Role-Based Access Control » (RBAC) en anglais)
est un modèle de contrôle d'accès à un système d'information dans lequel chaque décision
d'accès est basée sur le rôle auquel l'utilisateur est associé. Un rôle découle généralement de la
structure d'une entreprise. Les utilisateurs exerçant des fonctions similaires peuvent être
regroupés sous le même rôle. Un rôle, déterminé par une autorité centrale, associe à un sujet
des autorisations d'accès sur un ensemble d'objets.

La modification des contrôles d'accès n'est pas nécessaire chaque fois qu'une personne se joint
à une organisation ou la quitte. Par cette caractéristique, RBAC est considéré comme un
système « idéal » pour les entreprises dont la fréquence de changement du personnel est élevée.

Ce modèle est également appelé contrôle d'accès non discrétionnaire (« nondiscretionary

access control » en anglais) et constitue une nouvelle possibilité de choix entre les systèmes
à contrôle d'accès obligatoire (MAC) et contrôle d'accès discrétionnaire (DAC).

Page 67
 5.1.1.b. Authorization
Cette phase consiste à filtrer l’accès des entités s’authentifiant pour l’accès au système ou une
ressource définie. L’utilisateur authentifié n’est pas systématiquement autorisé à accéder à une
ressource, il doit y être habilité. Dans un hôtel, le service financier n’aura pas d’accès
informatique aux données relatives au service réception et vice-versa.

Un administrateur détermine celui qui est habilité ou non à utiliser une ressource.

Dans une optique de protection de l’information, certains utilisateurs peuvent tout à fait être
authentifié et autorisé à accéder à un système mais pour garantir la sécurité de ce dernier le
dispositif de l’utilisateur doit être conforme aux exigences de sécurité définies par
l’administrateur.

L’autorisation est la deuxième phase de la triade AAA. Elle agit une fois que l’utilisateur s’est
authentifié. C’est dans cette phase qu’on donne ou non accès à la ressource demandée, en
fonction de la politique de contrôle d’accès. Peu importe la politique utilisée, elle reste basée
sur trois principes :

 Classification des informations : Chaque information nécessite un certain niveau

d’accès pour les consulter.
 Niveau d’accès des utilisateurs : Détermine le niveau d’accès de chaque utilisateur.
 Permissions de l’utilisateur : Détermine quels droits l’utilisateur aura sur les fichiers,
lecture, écriture, lecture et écriture.
Grâce à ses trois principes, une fois l’utilisateur authentifié il lui sera attribué certains droits sur
certains fichiers. Bien sûr, cela peut aussi être des droits plus simples, mais pas moins
importants, comme accéder au serveur mail ou autoriser le sujet à accéder à un secteur physique
de l’entreprise.

5.1.1.c. Accounting

La dernière des trois phases de la triade AAA est désignée par le terme Accounting qui peut
être traduit par traçabilité dans ce contexte. Les utilisateurs se sont authentifiés, puis ont obtenu
une autorisation d’accès. Maintenant on garde une trace de toutes les actions effectuées par
l’utilisateur. On dit que les actions de l’utilisateur sont loguées. Un administrateur réseaux

Page 68
pourra ainsi, consulter les logs afin de vérifier les actions d’un utilisateur, ou bien retrouver
l’auteur de telle ou telle action.

La traçabilité est très importante pour assurer une bonne sécurité et une intervention rapide en
cas de problèmes.
Elle agit tout d’abord de manière préventive, les utilisateurs se sachant surveillés, ils font
attention à leurs agissements.
Ensuite, grâce à la traçabilité on peut détecter des actions suspectes voir interdites et mieux
cibler la source d’un problème pour intervenir, ou corriger celui-ci.
Enfin, elle permet d’avoir une trace légale des actions effectuées sur le système d’information
de l’entreprise.
En cas de piratage, les informations collectées seront utiles afin de déterminer les actions
entreprises dans un but malveillant. Cela peut être la date de réalisation des actions, les La
traçabilité permet également de retrouver l’adresse IP, pour pouvoir déterminer quel utilisateur
a entrepris des actions malveillantes.

5.1.2. Implémentation de LemonLDAP

Dans cette partie, nous allons découvrir et installer la solution de SSO LemonLDAP:NG pour
obtenir une connexion automatique au portail.

Voici les points qui seront abordés :

 Installation de LemonLDAP:NG 1.9 sous Debian 9 avec Apache2

 Installation d’une base PostgreSQL 9.6 pour stocker la configuration et les sessions du
SSO

Prérequis :

 2 hôtes Ubuntu à jour et connectés à Internet : 1 pour le SSO, 1 pour la base

PostgreSQL
 1 hôte Windows comme poste utilisateur

Page 69
Présentation de LemonLDAP

LemonLDAP:NG est une infrastructure d’authentification unique distribuée avec gestion

centralisée des droits. Il peut fonctionner avec le serveur web Apache et Nginx.

Il implémente à la fois :

 les services de fournisseur d’identité et de service SAML, CAS et OpenID Connect

 l’authentification basée sur LDAP, Kerberos, SQL, et d’autres protocoles
 Stockage de la configuration et des sessions en base de donnée (MySQL, PostgreSQL,
LDAP, MongoDB, Redis…)
 un système d’authentification unique basé sur des cookies sécurisés
 un menu dynamique des applications
 un module de réinitialisation de mots de passe
 un module d’autocréation de compte
 un dispositif de notification
 un explorateur de sessions

Figure 6 : Architecture LemonLDAP

Page 70
L’architecture de LemonLDAP:NG est découpée comme ceci :

 Manager : dédié aux administrateurs, permet de configurer LemonLDAP:NG et

d’explorer les sessions en mode graphique
 Portal : utilisé pour l’authentification des utilisateurs, fournit les services de
fournisseurs d’identité SAML, OpenID Connect et CAS, affiche les applications
protégées
 Handlers / Reverse Proxies : Modules apache utilisés pour protéger les applications

Voici comment se déroule en détail l’accès à une application protégée par LemonLDAP:NG :

Figure 7 : accès à une application protégée par LemonLDAP:NG

1. Lorsqu’un utilisateur essaye d’accéder à une application protégée, sa requête est

interceptée par le Handler
2. Si le cookie SSO n’est pas détecté, le Handler redirige l’utilisateur vers le portail
3. L’utilisateur s’authentifie sur le portail
4. Le portail vérifie son authentification
5. Si c’est validé, le portail récupère les informations de l’utilisateur

Page 71
 6. Le portail crée une session où il va stocker les informations de l’utilisateur
7. Le portail récupère une clé de session
8. Le portail créée un cookie SSO portant la valeur de la clé de session
9. L’utilisateur est redirigé sur une application protégée avec son nouveau cookie
10. Le Handler récupère le cookie et la session
11. Le Handler enregistre les données utilisateur dans son cache
12. Le Handler vérifie les droits d’accès et envoie les en-têtes aux applications protégées
13. Les applications protégées envoient une réponse au Handler
14. Le Handler envoie une réponse à l’utilisateur

1.5.2.a. Installation et préparation de PostgreSQL

Par défaut, la configuration et les sessions de LL:NG sont stockées dans des fichiers plats sur
le serveur, ce mode de fonctionnement peut convenir pour les petites installations, mais pour
pouvoir utiliser plusieurs serveurs LL:NG dans le cadre d’une installation haute-disponibilité
ou pour gagner en performances, il est possible d’utiliser une base de donnés PostgreSQL pour
stocker la configuration et les sessions. D’autres back ends sont également compatibles
(MySQL, LDAP…)

Sur la machine PostgreSQL, procédons à l’installation des paquets PostgreSQL et sudo :

Page 72
 Capture 1 : Installation des paquets PostgreSQL

Capture 2 : Fin de l’installation de Postgres

Nous allons commencer par nous connecter en tant que root

Capture 3 : Connection en tant que root

Changeons le mot de passe par défaut de l’utilisateur postgres avec cette commande :

Capture 4 : Changement du mot de passe par défaut de l’utilisateur postgres

Page 73
Créons un nouvel utilisateur LemonLDAP

Capture 5 : Création de l’utilisateur lemonldap

Changeons le mot de passe par défaut de l’utilisateur postgres avec cette commande :

Capture 6 : Changement du mot de passe de l’utilisateur lemonldap

Créons une base de données LemonLDAP

Capture 7 : Création de la base de données LemonLDAP

Donnons les droits au nouvel utilisateur LemonLDAP:

Capture 8 : Attribution des droits au nouvel utilisateur

Enfin quittons

Capture 9 : Quittons l’utilisateur postgres

Page 74
Par défaut, PostgreSQL n’écoute que sur l’IP de Loopback (127.0.0.1), il y a également des
ACL empêchant la connexion depuis l’extérieur.

Modifions le fichier /etc/postgresql/9.3/main/postgresql.conf, dé-commentons la ligne

“listen_addresses” et mettre “*” pour écouter sur toutes les interfaces :

Capture 10 : Modification du fichier /etc/postgresql/9.3/main/postgresql.conf

Modifions le fichier /etc/postgresql/9.6/main/pg_hba.conf,

Capture 11 : Modification du fichier /etc/postgresql/9.6/main/pg_hba.conf

Page 75
Ajoutons la ligne suivante sous # IPv4 local connections, en remplaçant l’IP par l’IP de la
machine LemonLDAP:NG :

Il est également possible d’autoriser tout un réseau :

Capture 12 : Ajout de la ligne sous # IPv4 local connections et remplacement de l’IP

par celui de la machine LemonLDAP:NG :

Redémarrons le service postgresql :

Capture 13 : Redémarrage du service postgres

La machine PostgreSQL est prête pour la suite !

Page 76
 5.1.2.b. Installation de LemonLDAP:NG

Sur la machine LL:NG, nous ajoutons les dépôts lemonldap-ng, spécifier la version 1.9 pour
éviter la mise à jour automatique vers la version 2.0 lors de sa disponibilité. Il est possible
d’indiquer “stable” pour obtenir le résultat inverse.

Installons d’abord le paquet apt-transport-https

Capture 14 : Installation de LemonLDAP

Créons le fichier lemonldap-ng.list pour apt :

Capture 15 : Création du fichier lemonldap-ng.list

On ajoute les lignes suivantes dans le fichier

Capture 16 : Ajout des lignes suivantes dans le fichier créé

Page 77
Récupérons la clé GPG :

Capture 17 : Récupération de la clé

Mettons à jour le cache apt :

Capture 18 : Mise à jour du cache

Installons apache2 et les dépendances nécessaires à LL:NG :

Page 78
 Capture 19 : Installation d’apache2 et des dépendances nécessaires

L’installation des packages est en cours

Capture 20 : Installation des packages en cours

On poursuit avec l’installation

Page 79
 Capture 21 : Suite de l’installation

Cliquons sur OK pour poursuivre

Capture 22 : Poursuite de l’installation d’apache 2

Renseignons le nom puis cliquons sur OK

Page 80
L’installation est à présent terminée.

Capture 23 : Fin de l’installation

5.1.2.c. Configuration initiale de LemonLDAP: NG

Page 81
Par défaut, LL:NG est configuré sur le domaine example.com, dans cet exemple nous
utiliserons le domaine demo.local.

Utilisons la commande suivante pour remplacer la valeur dans les fichiers nécessaires :

Capture 24 : Remplacement de la valeur dans les fichiers nécessaires

Pour autoriser le manager à recharger la configuration de LemonLDAP:NG, ajoutons le Virtual

host “reload” dans le fichier /etc/hosts du serveur :

Capture 25 : Autorisation du manager à recharger la configuration du LemonLDAP

Créons les enregistrements DNS suivants :

 auth.demo.local
 manager.demo.local
 test1.demo.local
 test2.demo.local
 reload.demo.local

Il s’agira d’entrées A qui pointent vers l’IP du serveur LemonLDAP:NG. Pour un

environnement de test les ajouter dans /etc/hosts est suffisant, il est possible de le faire sur le
serveur LemonLDAP:NG directement avec cette commande :

Capture 26 : Création des enregistrements DNS

Page 82
Activons les modules d’Apache nécessaires à LL:NG :

Capture 27 : Activation des modules d’Apache 2

Activons les configurations Apache :

Capture 28 : Activation des configurations Apache

5.1.2.d. Activation de SSL

Nous allons activer SSL en utilisant le certificat auto-signé fourni avec l’installation de Debian.

Activons le module SSL d’apache :

Capture 29 : Activation du module SSL d’apache

Page 83
Créons un fichier ssl.conf :

Capture 30 : Création du fichier ssl.conf

Ajoutons les lignes suivantes dans le fichier créé

Capture 31 : Ajout des lignes suivantes dans le fichier créé

Pour les fichiers suivants, changeons “*:80” en “*:443” pour écouter sur le port 443 et ajoutons
une ligne “Include ssl.conf”.

 /etc/lemonldap-ng/portal-apache2.conf

Capture 32 : Modification du fichier /etc/lemonldap-ng/portal-apache2.conf

Page 84
 Capture 33 : Ajout du fichier ssl.conf

 /etc/lemonldap-ng/manager-apache2.conf

Capture 34 : Modification du fichier /etc/lemonldap-ng/manager-apache2.conf

Page 85
 Capture 35 : Fichier /etc/lemonldap-ng/manager-apache2.conf

 /etc/lemonldap-ng/test-apache2.conf

Page 86
Remplaçons HTTP par HTTPS pour les pages d’erreur :

Capture 36 : Remplacement de HTPP par HTTPS

Redémarrons apache :

Capture 37 : Redémarrage d’Apache

Activons HTTPS dans la configuration de LL:NG :

Capture 38 : Activation de HTTPS dans la configuration de LL

Il faudra ensuite modifier les URL des applications du portail (https://lemonldap-

ng.org/documentation/latest/portalmenu).

Pour cela, se rendre sur le manager (https://manager.demo.local).

On clique sur I understand the risks puis sur I Add exception.

Page 87
 Capture 39 : Interface manager

Cliquons sur « Confirm Security Exception »

Page 88
Capture 40 : Confirmation du certificat
A présent, nous avons accès à l’interface d’administration

Page 89
 Capture 41 : Page d’authentification
Se connecter avec l’utilisateur “dwho” et le mot de passe “dwho” (https://lemonldap-
ng.org/documentation/latest/authdemo).

Capture 42 : Authentifions-nous

Aller dans Paramètres Généraux > Portail > Menu > Catégories et applications et remplacer
“http” par “https” dans chacune des applications “samples applications” et “Administration”

Page 90
 Capture 43 : Page d’administration

C’est terminé pour la configuration de SSL.

5.2. Sécurité des Bases de Données

La base de données constitue souvent un applicatif critique pour l'entreprise.

Sa sécurité, et le respect de bonnes pratiques, s'avèrent d'autant plus indispensables que
l'ouverture du système d'information sur Internet a accru les risques.
Le risque majeur pour les entreprises en termes d'attaque est l'injection de code SQL.
Ce peut aussi être un moyen, en maitrisant le SGBD, de prendre la main sur le système
d'exploitation et de créer des comptes avec des droits administrateur afin de se connecter ensuite
directement. Les vulnérabilités ne sont pas seulement au niveau de l'applicatif, mais aussi de
l'Operating System".
 Connaître son besoin
 Une sécurité en amont

Page 91
 Supervision
 Sensibiliser les DBA
 Durcir le socle système
 Renforcer la couche BD
 Gestion des comptes
 Méthodes d'accès
 Chiffrer les flux de données

Figure 8 : Architecture de base de données à sécurité maximale d’Oracle

5.3. Sécurité d’Architecture

 Le filtrage d'internet est un ensemble de techniques visant à limiter l'accès à certains

sites normalement accessibles sur le réseau Internet. Cette limitation d'accès peut avoir
différents buts:
Contrôle parental protéger les enfants contre des contenus inappropriés ;
 Sécurisation d’un accès Internet public : borne Internet, ou appareil de démonstration
en accès public ;
 Restrictions d’un accès professionnel à un usage scolaire ;
 Restrictions d’un accès scolaire à un usage scolaire ;
 Filtrage gouvernemental ;
 Protection juridique pour le titulaire de l'accès ;
 Etc…

Page 92
 Firewall avec Firewall avec
filtrage dynamique filtrage applicatif

Réseau Privé

Internet

DMZ

Figure 9 : Filtrage des paquets

5.3.1. Filtrage des paquets sortants avec Squid et SquidGuard

Ainsi, nous allons passer à leur implémentation.

Il faut aller dans « System » ensuite « Package » dans l’onglet « Available Package », chercher
Squid et SquidGuard pour les installer cliquer sur le + à droite.

Installation de Squid

Capture 44 : Installation de SquidGuard

Page 93
 Capture 45 : Installation de SquidGuard

Pour être certain que les packages ont été installés aller sur l’onglet « Installed Packages ».

Capture 46 : Vérification des packages installés

Configuration de Squid et de SquidGuard

Après l’installation, il faudra passer ensuite à leur configuration pour établir nos règles de
filtrage, et le téléchargement des sites noires (Blacklists en anglais).
Pour le démarrage du service, aller dans « Services » puis dans « Proxy Filter » activer
SquidGuard.

Page 94
 Capture 47 : Configuration de SquidGuard

Démarrage du service SquiGuard il faut ensuite activer la Blacklist et au niveau de Blacklist

URL copier l’adresse :
‘’Ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/warez.tar.gz’’,

afin de télécharger sa dernière version puis cliquer sur « save »

Capture 48 : Chargement de la Blacklist

Se rendre sur l’onglet « Blacklist » pour en coller cette adresse et appuyer sur « DOWNLOAD
».

Capture 49 : Mise à jour de la liste noire

Page 95
Pour nos règles de filtrage on dira qu’au préalable tous les utilisateurs du réseau auront accès à
tous les sites.

Capture 50 : Définition des permissions

Une ACL (Access Control List) permet de définir des règles d’accès pour certaines adresses IP.
Sélectionnons Services -> Proxy filter -> ACL puis cliquer sur +.
 Name : donner un nom à votre ACL.

 Source IP adresses and domains : Entrer une plage d’adresses IP

 Destination : cliquer sur le triangle vert et sélectionnons les domaines à bloquer.

Not to allow IP addresses in URL : cochons si nous souhaitons interdire les adresses IP tapées
directement dans l’URL.
 Redirect mode : laissons l’option par défaut int error page

 Redirect info : entrons un message d’erreur personnalise, par exemple ≪ Acces interdit,
contacter votre administrateur ≫

 Enable log : cochons la case pour enregistrer l’activité du service

Page 96
 Capture 51 : Création des ACL

Ensuite nous allons interdire une catégorie d’url notamment les réseaux sociaux (Facebook twitter,
etc.).

Capture 52 : Filtrage du site facebook.com

Page 97
5.3.2. Filtrage des paquets entrants avec un IDS

Un système de détection d'intrusion (ou IDS: Intrusion Détection System) est un mécanisme
destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un
hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des
intrusions.

Il existe trois grandes familles distinctes d’IDS :

 Les NIDS (Network-Based Intrusion Detection System), qui surveillent l'état de la
sécurité au niveau du réseau.
 Les HIDS (Host-Based Intrusion Detection System), qui surveillent l'état de la sécurité
au niveau des hôtes.
 Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes.
Choix de l’outil Snort
Snort est un système de détection d'intrusion (ou NIDS) libre publié sous licence GNU GPL.
Snort est un des plus actifs NIDS Open Source et possède une communauté importante
contribuant à son succès.

Snort est capable d'effectuer aussi en temps réel des analyses de trafic et de logger les paquets
sur un réseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de
contenu et peut être utilisé pour détecter une grande variété d'attaques et de sondes comme
des dépassements de buffers, scans, attaques, essai d'OS fingerprintings et bien plus.

Snort pour effectuer ces analyses se fonde sur des règles. Celles-ci sont écrites par Sourcefire
ou bien fournies par la communauté. Snort est fourni avec certaines règles de base mais
cependant, comme tout logiciel, Snort n'est pas infaillible et demande donc une mise à jour
régulière.

Page 98
 Figure 10 : Système de Détection d’Intrusion

5.4. Sécurité des communications

5.4.1. Mise en œuvre d’un VPN site to site

Un VPN (Virtual Private Network) Site-to-Site est un VPN qui permet de joindre deux
réseaux de type LAN distants de manière à faire en sorte qu’ils puiss ent communiquer
comme s’ils étaient sur le même réseau. Ce type de VPN permet à une entreprise qui est
implémentée dans deux villes différentes de partager ces ressources via internet de
manière sécurisée. Il existe plusieurs outils permettant de faire du VPN mais dans notre
cas, nous allons travailler avec IPSEC qui permet de garantir la confidentialité,
l’intégrité et l’authentification au sein du réseau.

Page 99
 Figure 11 : VPN site à site

5.4.2. Mise en œuvre d’un Remote VPN

Il est de plus en plus souvent nécessaire de pouvoir offrir des solutions d’accès distants à ses
utilisateurs nomades.
Ces accès doivent être sécurisés et fiables.
Le but est d'offrir une solution de VPN pour les utilisateurs nomades leur permettant de disposer
d'un accès sécurisé au réseau local de l'entreprise.
Ces utilisateurs peuvent utiliser un ordinateur ou un smartphone pour se connecter.
Dans tous les cas, ils utiliseront un client OpenVPN.

Figure 12 : VPN Nomade

Page
100
Après l’installation de Pfsense, nous avons cette page d’accueil ou nous devons nous
authentifier pour accéder à l’interface d’administration.

Par défaut, le nom d’utilisateur est admin et le mot de passe pfsense.

Capture 53 : Interface d’administration

Après authentification, nous avons accès à cette interface.

Capture 54 : Page d’authentification

Page
101
Nous nous rendons dans le menu System > Cert Manager> Add a Certificated’
Nous renseignons les champs suivants :

Capture 55 : Création d’une autorité de certificat

Nous cliquons sur Save pour enregistrer notre certificat

Capture 56 : Autorité de certificat M2TDSI créé

Page
102
Allons dans l’onglet Certificates puis cliquons sur Add pour ajouter le certificat serveur.

Nous renseignerons les champs suivants :

Capture 57 : Création d’un serveur de certificat

Nous ferons le même procédé pour créer notre 2ème certificat qui est le certificat Client.
Renseignons les champs suivants.

Capture 58 : Création d’un certificat client

Page
103
A présent nos 2 certificats client et serveur ont bien été créés.

Capture 59 : Certificats client et serveur crées

Nous allons ensuite créer un utilisateur nomade

Créons le groupe OpenVPN-User puis ajoutons l’utilisateur dans ce groupe.

Page
104
 Capture 60 : Création d’un groupe

L’utilisateur a bien été ajouté dans le groupe créé.

Capture 61 : Utilisateur tening ajouté dans le groupe

Page
105
A présent, nous allons créer notre serveur OpenVPN

Capture 62 : Configuration du serveur OpenVPN

Sélectionnons le certificat créé récemment puis remplissons les autres champs.

Enfin, nous créons les règles sur l'interface sur laquelle le serveur OpenVPN est en écoute
("WAN", très sûrement), créer une règle autorisant le trafic à atteindre l'adresse IP et le port du
serveur OpenVPN.

Page
106
 Capture 63 : Création des règles WAN

Il ne reste plus qu'à mettre en route OpenVPN client sur les postes nomades.

Les clients Windows, Mac, Android ou iOS sont téléchargeables directement sur le site
d'OpenVPN ou sur les stores associés : iPhone et Android.

3 fichiers nous serons nécessaires :

 la clé publique et la clé privée du certificat client créé précédemment

 un fichier de configuration d'OpenVPN à créer manuellement

Installation du client OpenVPN

Capture 64 : Installation du client OpenVPN

Page
107
Fin de l’installation du client OPENVPN

Capture 65 : Fin de l’installation de OPEN VPN

Pfsense propose également un outil d’export (ce qui évite de devoir créer un fichier .ovpn
manuellement). Cet outil est accessible en installant le package "OpenVPN Client Export
Utility".

Nous avons fini l’installation de quelques solutions retenues afin de nous approcher le
maximum possible des exigences de la norme ISO 27002.

Page
108
 CONCLUSION GENERALE

Pour résumer, comprenons l’importance d’avoir une bonne protection, des firewalls bien
configurés, pour des sites gouvernementaux, des sites de partis politiques qui est primordial.

Ce projet nous a permis de connaitre comment mettre en place une politique de sécurité, les
paramètres y intervenant à savoir l’implémentation des contrôles de sécurité dans les systèmes
existants.

En dehors de cela, nous avons rencontré quelques difficultés. Nous avons pu récolter un grand
nombre d'informations et espérons que notre étude pourra servir à des fins de réalisation de
projets d'implémentation dans une entreprise quelconque.

Comme perspective de ce travail, nous souhaitons que le déploiement de cette solution prenne
une autre tournure : celle d’une réalisation future à savoir la possibilité de réaliser ce travail sur
des équipements physiques et de mettre en place l’ensemble des solutions techniques pour
répondre aux exigences de la norme ISO 27002, aux références ISO 27001 mais aussi de
répondre à la norme GDPR afin de l’appliquer dans notre pays.

WEBOGRAPHIE

Page
109
https://www.worteks.com/fr/2018/04/30/lemonldapng-installation-et-configuration-
authentification-ad-et-kerberos/ consulté le 10 Juillet 2018

https://eclipsys.ca/fr/ce-que-nous-faisons/services-technologiques-oracle/bases-de-donnees-
oracle/services-relatifs-a-la-securite-des-bases-de-donnees/ consulté le 20 Aout 2018

https://fr.wikipedia.org/wiki/Contr%C3%B4le_d'acc%C3%A8s_%C3%A0_base_de_r%C3%
B4les consulté le 05 Janvier 2019

https://www.provya.net/?d=2016/04/18/11/00/31-pfsense-securisez-lacces-distant-de-vos-
collaborateurs-nomades-avec-openvpn consulté le 20 septembre 2018

https://fr.wikipedia.org/wiki/ISO/CEI_27002 consulté le 13 Janvier 2019

https://www.supinfo.com/articles/single/7616-mise-place-tunnel-vpn-ipsec-avec-pfsense
consulté le 03 Ocotobre 2018

https://www.supinfo.com/articles/single/921--vpn-site-to-site consulté 07 Janvier 2019

https://www.supinfo.com/articles/single/7616-mise-place-tunnel-vpn-ipsec-avec-pfsense
consulté le 09 Septembre 2018

https://openvpn.net/vpn-server-resources/connecting-to-access-server-with-windows/ consulté
le 10 Septembre 2018

Page
110