Retour aux projets

RAPPORT D'AUDIT DE SÉCURITÉ INFORMATIQUE

[EXEMPLE FICTIF] - Évaluation de la posture de sécurité d'une infrastructure PME

Client EXEMPLE Corp. (Entreprise Fictive)
Auditeur Julien PINOT
Date d'audit XX-XX XXXX (Exemple)
Niveau de confidentialité Confidentiel

Résumé Exécutif

Ce rapport présente les résultats de l'audit de sécurité informatique réalisé sur l'infrastructure de EXEMPLE Corp. (entreprise fictive), une PME de 45 employés spécialisée dans le développement logiciel. L'audit a été conduit dans le cadre d'un exercice pédagogique avec l'objectif d'identifier les vulnérabilités critiques et de fournir des recommandations pratiques pour améliorer la posture de sécurité de l'entreprise.

8 Vulnérabilités détectées
2 Élevées
3 Moyennes
3 Faibles

Constat principal : L'infrastructure présente plusieurs failles de sécurité majeures, notamment l'absence de segmentation réseau, des mots de passe faibles, et des services non patchés. Une intervention rapide est recommandée pour les vulnérabilités critiques identifiées.

Périmètre et Méthodologie

Périmètre de l'audit

  • Infrastructure réseau (routeur, switch, pare-feu)
  • Configuration DMZ et segmentation réseau
  • Serveur web Linux en DMZ (1 serveur Apache)
  • Serveur SSH d'administration
  • Site web interne de l'entreprise
  • Postes de travail utilisateurs (échantillon de 5 postes)

Méthodologie appliquée

L'audit a été réalisé dans le cadre d'un exercice pédagogique de BTS SIO, en s'appuyant sur les recommandations de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Les tests incluent l'analyse de configuration réseau, l'audit des services exposés, et la vérification de la conformité aux bonnes pratiques de sécurité françaises.

Nmap Wireshark Nikto DirBuster Nessus Essentials John the Ripper
  1. Phase de reconnaissance : Cartographie du réseau et inventaire des actifs
  2. Scan de vulnérabilités : Identification automatisée des failles connues
  3. Tests d'intrusion : Exploitation manuelle des vulnérabilités critiques
  4. Audit de configuration : Revue des paramètres de sécurité
  5. Analyse documentaire : Évaluation des politiques de sécurité

Vulnérabilités Identifiées

1. Mots de passe faibles sur les comptes utilisateurs Élevée

Description : Lors de l'audit, plusieurs comptes utilisateurs utilisent des mots de passe très simples et faciles à deviner (ex: "password", "123456", "admin"). Ces mots de passe peuvent être trouvés rapidement avec un simple dictionnaire.

Impact : Un attaquant peut facilement deviner ces mots de passe et accéder aux comptes utilisateurs, ce qui compromet la sécurité des données de l'entreprise.

Recommandations :

  • Forcer l'utilisation de mots de passe d'au moins 10 caractères
  • Exiger une combinaison de lettres, chiffres et caractères spéciaux
  • Changer tous les mots de passe faibles identifiés
  • Former les utilisateurs aux bonnes pratiques de mots de passe
2. Configuration SSH non sécurisée Élevée

Description : Le service SSH (port 22) accepte l'authentification par mot de passe et autorise la connexion en tant que root. Le protocole SSHv1 obsolète n'est pas explicitement désactivé. Aucune limitation du nombre de tentatives de connexion n'est configurée.

Impact : Un attaquant peut tenter des attaques par force brute pour deviner les mots de passe. L'accès root direct représente un risque majeur de compromission totale du serveur.

Recommandations ANSSI :

  • Désactiver l'authentification par mot de passe (PasswordAuthentication no)
  • Utiliser uniquement l'authentification par clé publique/privée
  • Interdire la connexion root directe (PermitRootLogin no)
  • Forcer l'utilisation de SSHv2 uniquement (Protocol 2)
  • Modifier le fichier /etc/ssh/sshd_config selon les recommandations ANSSI
3. Absence de DMZ et règles pare-feu insuffisantes Moyenne

Description : Le serveur web est situé sur le même réseau que les postes utilisateurs (192.168.1.0/24). Aucune zone démilitarisée (DMZ) n'est configurée. Le pare-feu utilise une politique par défaut "ACCEPT" au lieu de "DROP" selon les recommandations ANSSI.

Impact : Si le serveur web est compromis, l'attaquant peut facilement accéder au réseau interne. L'absence de DMZ ne permet pas d'isoler les services exposés à Internet.

Recommandations ANSSI :

  • Créer une zone DMZ séparée pour les serveurs publics (ex: 10.0.10.0/24)
  • Configurer le pare-feu avec une politique par défaut "DROP" (tout refuser)
  • Autoriser uniquement les flux nécessaires (HTTP/HTTPS vers DMZ)
  • Bloquer tout trafic direct entre DMZ et réseau interne
  • Implémenter des règles iptables strictes selon le guide ANSSI
4. Serveur Apache avec configuration par défaut Moyenne

Description : Le serveur Apache utilise la configuration par défaut sans durcissement. Les en-têtes de sécurité recommandés par l'ANSSI ne sont pas activés (X-Frame-Options, X-Content-Type-Options, Content-Security-Policy). La version du serveur est exposée dans les en-têtes HTTP.

Impact : Facilite la reconnaissance pour un attaquant et expose le serveur à des attaques comme le clickjacking, XSS, et l'injection de contenu malveillant.

Recommandations ANSSI :

  • Masquer la version du serveur (ServerTokens Prod, ServerSignature Off)
  • Ajouter les en-têtes de sécurité dans apache2.conf ou .htaccess
  • Implémenter X-Frame-Options: DENY
  • Configurer Content-Security-Policy selon les besoins de l'application
  • Désactiver les modules Apache inutilisés
5. Absence de sauvegardes régulières Moyenne

Description : Aucune sauvegarde automatique n'est configurée sur le serveur. La dernière sauvegarde manuelle date de plus de 6 mois. Les fichiers importants ne sont sauvegardés nulle part.

Impact : En cas de panne matérielle, d'erreur humaine ou de ransomware, toutes les données de l'entreprise seraient perdues définitivement.

Recommandations :

  • Mettre en place une sauvegarde automatique hebdomadaire
  • Utiliser un disque dur externe pour stocker les sauvegardes
  • Conserver au moins 3 versions de sauvegarde
  • Tester la restauration une fois par mois
6. Antivirus non installé sur certains postes Faible

Description : 2 postes de travail sur les 5 vérifiés n'ont pas d'antivirus installé. Les autres postes utilisent Windows Defender mais les définitions ne sont pas à jour.

Impact : Ces postes sont vulnérables aux virus, malwares et ransomwares. Un simple email malveillant pourrait infecter l'ordinateur.

Recommandations :

  • Installer un antivirus sur tous les postes (Windows Defender suffit)
  • Activer les mises à jour automatiques des définitions antivirus
  • Programmer un scan complet hebdomadaire
  • Former les utilisateurs à ne pas ouvrir les pièces jointes suspectes
7. Partage de fichiers sans restriction Faible

Description : Un dossier partagé "Documents" est accessible en lecture et écriture par tous les employés. N'importe qui peut modifier ou supprimer les fichiers des autres.

Impact : Risque de suppression accidentelle de fichiers importants ou de modification non autorisée de documents sensibles.

Recommandations :

  • Définir des permissions d'accès par service ou par projet
  • Appliquer le principe du "besoin d'accès" (qui a besoin de quoi)
  • Créer un dossier "Lecture seule" pour les documents communs
  • Former les utilisateurs aux bonnes pratiques de partage de fichiers
8. Absence de verrouillage automatique des postes Faible

Description : Les postes de travail ne se verrouillent pas automatiquement après une période d'inactivité. Plusieurs postes sont restés déverrouillés pendant la pause déjeuner.

Impact : N'importe qui peut accéder à un poste non verrouillé et consulter ou modifier des fichiers sensibles.

Recommandations :

  • Configurer le verrouillage automatique après 5 minutes d'inactivité
  • Former les employés au raccourci Windows + L pour verrouiller rapidement
  • Afficher des rappels près des postes de travail
  • Inclure cette règle dans la charte informatique de l'entreprise

Recommandations Prioritaires

Actions immédiates (< 1 semaine)

  1. Sécuriser SSH : désactiver root login et authentification par mot de passe
  2. Configurer la politique pare-feu par défaut en "DROP"
  3. Changer tous les mots de passe faibles identifiés
  4. Ajouter les en-têtes de sécurité sur Apache

Actions à court terme (< 1 mois)

  1. Créer une DMZ pour isoler le serveur web du réseau interne
  2. Implémenter des règles iptables strictes selon ANSSI
  3. Mettre en place des sauvegardes automatiques hebdomadaires
  4. Configurer le verrouillage automatique des postes (5 minutes)

Actions à moyen terme (< 3 mois)

  1. Documenter l'architecture réseau et les règles de filtrage
  2. Former les administrateurs aux bonnes pratiques ANSSI
  3. Créer une charte de sécurité informatique
  4. Planifier des audits de sécurité réguliers (tous les 6 mois)
  5. Mettre en place une procédure de gestion des incidents de sécurité

Conclusion

L'audit de sécurité de EXEMPLE Corp. (entreprise fictive) a révélé plusieurs failles de sécurité importantes concernant principalement la configuration réseau et l'exposition des services. Les deux vulnérabilités prioritaires identifiées sont la configuration SSH non sécurisée et l'absence de DMZ.

Les recommandations proposées s'appuient sur les bonnes pratiques de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). La mise en conformité avec ces standards permettra d'atteindre un niveau de sécurité satisfaisant pour une PME. La plupart des corrections peuvent être réalisées avec les outils natifs de Linux (iptables, ssh, apache2).

Niveau de risque global : MOYEN → FAIBLE (après application des recommandations)

Cet audit pédagogique démontre l'importance de la sécurisation réseau (segmentation, DMZ, pare-feu) et du durcissement des services exposés (SSH, Apache). Le respect des recommandations ANSSI est essentiel pour garantir une posture de sécurité robuste, même dans une petite structure.

Annexes

  • Annexe A : Résultats complets du scan Nmap (ports et services)
  • Annexe B : Configuration actuelle du pare-feu (iptables -L)
  • Annexe C : Schéma réseau proposé avec DMZ
  • Annexe D : Fichier sshd_config durci selon recommandations ANSSI
  • Annexe E : En-têtes HTTP de sécurité pour Apache
  • Annexe F : Guide de référence ANSSI (liens de documentation)

Auditeur

Julien PINOT

Étudiant BTS SIO Option SISR

Date: [EXEMPLE - Document Fictif]

Client (Fictif)

EXEMPLE Corp.

Représenté par M. Jean EXEMPLE

DSI (Personnage Fictif)