Les composantes et les services du système informatique

L’infrastructure du système informatique de la SONAPOST est bâtie sur la technologie Windows. Elle est composée de quatre Domain Windows, tous indépendants sans approbation de forêt (Iaposte.bf ; sonapost.com ; sona-ips.lan et laposte.lan) et d’un ensemble de systèmes d’application, de sauvegarde, de base de données et de fichiers. L’ensemble de ces entités sont installées sur des serveurs qui leurs sont dédiés et qui sont hébergés à la direction générale, au sein d’un VLAN spécifique, accessible sur tous les sites géographiques de la SONAPOST.

Pour accéder aux ressources et aux services fournis par les différentes applications et les serveurs de fichiers, l’utilisateur passe sous le contrôle des contrôleurs de domaine qui les abritent. Chaque domaine offre aux utilisateurs (authentifiés) un accès direct (autorisation) à des ressources telles que les fichiers partagés et les applications. L’utilisateur pour s’authentifier, se logue sur sa machine (Iogin + mot de passe) en local. Il utilise les navigateurs Web et les clients lourds pour l’exploitation des applications. Cependant, l’exploitation des applications reste conditionnée par un login et un mot de passe de l’utilisateur, stockés dans la base de données de l’application, servant à l’authentification de l’utilisateur. Les machines sont  connectées au réseau, sur des VLAN de niveau trois(3) permettant d’accéder aux applications, aux serveurs de fichiers.

Les serveurs applicatifs

Nous appelons serveurs applicatifs ceux qui sont directement liés à la gestion automatisée des activités de la SONAPOST. Ce sont:

– Le serveur IFS (International Financial System) hébergeant l’application IFS utilisée dans les transactions électroniques.
– Le serveur CCP (Centre de Chèques Postaux) hébergeant l’application de comptabilité CCP.
– Le serveur BP (Boite Postale) : Gère les payements et les résiliations des clients de Boîte Postale;
– Le serveur BD Orale: Hébergement de la base de données du service Boîte Postale
– Le serveur RAS WU : Gère les transferts Western Union;
– Le serveur de Développement Oracle (Serveur test) : Permet d’interpréter des scripts et de les traduire en requêtes SQL afin d’interroger le serveur de base de données Oracle.
– Le logiciel CNE (Caisse Nationale d’Epargne) : Gère les comptes CNE.
– Le logiciel Teliman de transfert d’argent national.
– Le logiciel MEl (Mandat express international) de transfert d’argent à international.
– Le logiciel Choice money logiciel de transfert d’argent à international et national.
– Le logiciel Orion de gestion des postes.
– Le logiciel CCM de gestion des comptes.
– Le logiciellPS light
– Le logiciel CCB de gestion des comptes.
– Le logiciel Sage de comptabilité.
– Le logiciel Cyber café pro 3.5 et 5 de gestion du cyber café.

Les différents OS et logiciels utilisés

L’ensemble des ressources informatiques de la société sont répartis, comme suit:

– Chaque direction dispose d’un dossier partagé des applications spécifiques et/ou non du service internet, auquel accède tout membre de la direction.
– Chaque division dans une direction dispose d’un dossier partagé où peut accéder tout membre de la division et auquel les membres des autres divisions de la direction ne peuvent pas accéder.
– Chaque section dans une division dispose d’un dossier partagé où peut accéder tout membre de la section et auquel les membres des autres sections de la division ne peuvent pas accéder.
– Chaque secrétariat de direction dispose d’un dossier partagé où peut accèder tout membre du secrétariat et le directeur. En plus, le secrétariat de la direction peut lire les rapports de chaque division, mais aucun des membres de la division n’accède au dossier du secrétariat.
– L’ensemble des directeurs de la SONAPOST et le Secrétaire Général disposent d’un dossier partagé où on peut accéder.
– Chaque membre d’une équipe (projet, section, division, direction, secrétariat) dispose de dossiers personnels, auquel aucune autre personne ne peut accéder.
– Les équipes de projet et les groupes de projet sont considérés respectivement comme des sections et des divisions.
– Les directions DFC et DSF n’ont pas droit au service internet.

MEHARI demeure l’une des méthodes d’analyse des risques les plus utilisées actuellement. Elle est dérivée de deux autres méthodes d’analyse des risques (MARION et MELlSA). MEHARI est maintenue en France par le CLUSIF (Club de la Sécurité des Systèmes d’Information Français), via notamment le Groupe de Travail dédié à cette méthode.

MEHARI se présente comme une véritable boîte à outils de la sécurité des systèmes d’information. Elle permet d’appréhender le risque de différentes manières au sein d’une organisation et est composée de plusieurs modules qui, indépendamment de la démarche de sécurité choisie, permettent:

– d’analyser les enjeux de la sécurité (en décrivant les types de dysfonctionnements redoutés) et, corrélativement, de classifier les ressources et informations selon les trois critères de sécurité de base (Confidentialité, Intégrité, Disponibilité) ;
– d’auditer les services de sécurité de manière à prendre en compte l’efficacité de son contrôle et de synthétiser les vulnérabilités;
– d’analyser les situations de risques permettant d’évaluer les potentialités et les impacts intrinsèques, ainsi que les facteurs d’atténuation de risque, puis, enfin, de déduire un indicateur de gravité de risque.

Description

Les utilisateurs pour avoir accès aux salles serveurs passent sous la surveillance d’un gardien et des caméras de vidéosurveillance. Les autres salles sont sous la surveillance des agents de la société et des policiers dans certains centres à certaines heures.

La gestion du contrôle d’accès

La gestion du contrôle des accès physique est assurée par un gardien. Il est muni d’une autorité et décide des accès sur les directives du directeur de la Direction du Système d’Information. Au gardien s’ajoute le système de vidéosurveillance. Celui-ci permet de suivre les personnes ayant eu accès aux salles serveurs durant une période donnée.

Analyse critique

La gestion du contrôle d’accès physique assure la confidentialité, l’authenticité et la non-répudiation de l’usage des ressources par les utilisateurs. Cela constitue L1ne force de grande importance dans le contrôle des accès aux ressources du système. En effet les accès aux salles n’étant autorisés qu’à un nombre limité de personnes et placés sous la vidéosurveillance, cela constitue une barrière solide.

Description
Les utilisateurs ont un accès direct aux ports de connexion du réseau. Ils peuvent ainsi se connecter au réseau avec n’importe quelle machine. Les machines sont connectées au réseau par configuration manuelle et accèdent au service réseau sans restriction d’accès.

La gestion du contrôle d’accès au réseau

Il n’existe pas de gestion de contrôle sur les accès de l’infrastructure réseau, sauf la connexion inter-sites VPN. Cette dernière est gérée par les serveurs VPN, qui offrent un contrôle sur les accès au système informatique de façon sécurisée. Les machines sont libres d’accès sur les réseaux sans contrôle d’accès quelconque, pourvu que leur configuration en IP leur permette une insertion dans un sous-réseau. Les entités sur le réseau ne sont pas identifiées lors de leur connection au système informatique.

Analyse critique

Force: suivant les prescriptions du contrôle d’accès en sécurité du système informatique, ce système offre une facilité d’accès rapide et une haute disponibilité à l’accès réseau. Faiblesse: fort est de reconnaitre, une absence totale d’un contrôle d’accès (confidentialité, authenticité, intégrité et non répudiation). Cela constitue une faiblesse (un trou) de sécurité et expose le système à des attaques diverses. Un pirate peut accéder à l’infrastructure réseau en interne. Les attaques de tous les types pourraient s’en suivre, de sorte à paralyser le système et le rendre non fonctionnel. Comme attaque on pourrait citer:
– L’injection des vers et/ou des virus sur le réseau où certaines machines du réseau n’ayant pas d’anti-virus sont exposées à toutes sortes d’infections virales, surtout celles en provenance des vers et de cheval de Troie. En guise d’attention, 90% des travaux du service de Division Support et Systèmes (DSS), concernent la désinfection virale des machines conduisant, parfois à la réinstallation totale du système d’exploitation.
– Le vol d’information est rendu possible sur certaines machines fonctionnant sur du système Windows XP. En effet le compte Administrateur étant activé sans mot de passe et ‘fréquemment utilisé comme compte utilisateur, les utilisateurs n’ayant aucune connaissance en sécurité informatique exposent ainsi les données du service sur le réseau.
– Les ouvertures extérieures dans certains services rendus possibles par l’usage de l’internet grâce aux clés de connexion des services de téléphonie mobile, alors que la politique de sécurité qui leur est assignée interdit l’usage de l’internet sur les postes.
– Les ouvertures logiques correspondant à des ports stratégiques restes ouverts sur certaines machines et des serveurs alors que pour des raisons de sécurité du système, ils devaient être fermés.
– L’absence d’une gestion centralisée des postes de service, ainsi que celle de la mise à jour des systèmes d’exploitation, des anti-virus et des logiciels fonctionnels est une véritable source de menaces aux systèmes d’information. En effet, les systèmes d’exploitation et les logiciels comportent des failles de sécurité dues à des erreurs de programmation ou de la non-prise en charge de certains paramètres de sécurité lors de l’implémentation. Ces failles sont exploitables par les pirates. Les mises à jour servent à « boucher» ces trous de sécurité et d’avertir le système sur les nouvelles formes de menace. L’absence de ces mises à jour est une véritable source d’insécurité pour le système d’information et pour l’utilisateur en particulier. En somme, toute absence de mise à jour du système d’exploitation et de l’anti-virus expose les ressources du système et celles des utilisateurs (données personnelles) à la vue de la communauté des internautes. De plus, de nombreux virus et autres malwares profitent des failles de sécurité. Ces failles sont pour la plupart corrigées et le correctif est généralement proposé pour téléchargement sur le site web du producteur du système ou des anti-virus.

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela chatpfe.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

REMERCIEMENTS
AVANT-PROPOS
Introduction générale
Chapitre 1 Etude préalable
1. Phase de lancement
II. Présentation de l’Ecole Supérieure d’Informatique
III. Présentation de la SONAPOST
3.1 Objectifs et missions
3.2 Les domaines d’activités
3.2.1 Le domaine du courrier
3.2.2 Le domaine des finances
3.2.3 Le domaine des nouvelles technologies
3.3 Organisation et fonctionnement
3.3.1 L’administration centrale
3.3.2 Les directions régionales
3.3.3 Les centres spécialisés
3.3.4 Les bureaux de poste
IV. Présentation de la problématique et résultats attendus
4.1 Présentation de la problématique
4.1.1 Description
4.1.2 Analyse de risque
4.2 Résultats attendus
4.2.1 Description
4.2.2 Exigences globales du futur système
V. Approches de résolution
5.1 Objectifs techniques du système
5.2 Description de la résolution
5.2.1 Gestion des identités et des habilitations
5.2.2 Contrôle d’accès au réseau et service
VI. Gestion du projet
5.1 Les acteurs du projet
6.2 Le planning prévisionnel
Chapitre 2 Etude de l’existant
1. Infrastructure matériel et réseau
1.1 Présentation géographique du réseau
1.2 Interconnexion des différents sites
II. Infrastructure système et logicielle
2.1 Les composantes et les services du système informatique
2.1.1 Les serveurs applicatifs
2.1.2 Les différents OS et logiciels utilisés
2.2 La répartition des ressources au sein des directions
III. L’analyse du système du contrôle d’accès du système d’information de la SONAPOST
3.1 Méthodes d’analyse des risques: (MEHARI: Méthode Harmonisée d’Analyse de Risques)
3.2 Le contrôle d’accès physique
3.2.1 Description
3.2.2 La gestion du contrôle d’accès
3.2.3 Analyse critique
3.3 Le contrôle d’accès réseau
3.3.1 Description
3.3.2 La gestion du contrôle d’accès au réseau
3.3.3 Analyse critique
3.4 Le contrôle d’accès logique
3.4.1 Description
3.4.2 Gestion du contrôle d’accès
3.4.3 Analyse critique
3.5 Le contrôle des droits d’accès aux ressources
3.5.1 Description
3.5.2 La gestion du contrôle d’accès
3.5.1 Analyse critique
3.6 Spécification des besoins
Chapitre 3 : Etat de l’art sur les systèmes de contrôle d’accès
1. Présentation de quelques concepts
1.1 Définition et objectif
1.1.1 Définition
1.1.2 Objectif
1.2 Principe de fonctionnement du contrôle d’accès
1.2.1 Politique de contrôle d’accès
1.2.2 Types de contrôle d’accès
II. Présentation de quelques systèmes de contrôle d’accès
2.1 Le système de contrôle d’accès par filtrage (Firewall)
2.2 Le système de contrôle d’accès par authentification et autorisation
2.3 Le système de contrôle d’accès par le cryptage ou chiffrage
2.4 Etude comparative et choix d’un système de contrôle d’accès
Chapitre 4 : Conception et réalisation du futur système
1. Architecture du futur système
1.1 L’architecture physique du système
1.2 L’architecture fonctionnelle
II. Choix technologiques de la solution retenue
2.1 Choix de la technologie d’authentification des machines
2.1.1 Les technologies d’authentification
2.1.2 Choix de la technologie d’authentification
2.2 Le serveur d’authentification et d’autorisation (Serveur de contrôle d’accès)
2.2.1 Les serveurs d’authentification
2.2.2 Choix du serveur d’authentification et d’autorisation
III. Déploiement de la solution retenue
3.1 La gestion des identités et des habilitations
3.1.1 Concept de groupe d’objets
3.1.2 Méthode d’autorisation
3.1.3 Le gestionnaire des identités et des habilitations
3.2 Le système authentificateur du 802.1 x
3.2.1 Instances
3.2.2 Conception des méthodes d’authentification
3.2.3 Illustration du concept et de la solution choisie
3.2.4 Types d’interfaces
3.3 Le serveur d’authentification NPS
3.3.1 Conception des méthodes et les stratégies de connexion
3.3.2 Conception des méthodes de contrôle d’accès
3.4 Modèle fonctionnel
3.4.1 Description
3.4.2 Exigence fonctionnelle
Conclusion générale

Rapport PFE, mémoire et thèse PDFTélécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *