Exemple Réponse Appel Offre V10 - · PDF file... avec plus de 300 missions...

AUDIT SECURITE ET

RISQUES INFORMATIQUES XXX

V1.0

Avril 08 VOTRE CONTACT

COMMERCIAL

FLORENCE LAPREVOTE LIGNE DIRECTE : 01 34 93 35 30 EMAIL : [email protected] VOTRE CONTACT

TECHNIQUE

JEAN-PHILIPPE SENCKEISEN EMAIL : [email protected]

Ce document contient des informations confidentielles qui sont la propriété de la société ORSENNA. Il ne peut être diffusé ou transféré en dehors de votre organisation sans l’autorisation écrite d’une personne habilitée par ORSENNA. Il ne peut être copié ou reproduit sous quelque forme que ce soit. ORSENNA se réserve le droit de modifier, sans préavis, certaines conditions prévues dans la présente offre, compte tenu de l’évolution des services ORSENNA (services, équipements, programmes, documents, tarifs). Les renseignements contenus dans le présent document peuvent donc faire l’objet de modifications. ORSENNA est un nom déposé. Cette proposition n’est valable qu’accompagnée du Visa technique.

Offre Audit sécurité et risques informatiques– Orsenna /23

TABLE DES MATIERES

1 PRESENTATION DE LA SOCIETE..................................................................................................................... 3

1.1 ORSENNA ................................................................................................................................................................3 1.2 NOTRE METIER, SPECIALISTE AUDIT RESEAU....................................................................................................3

2 AUDIT............................................................................................................................................................................. 4 2.1 AUDIT SYSTEME.....................................................................................................................................................4 2.2 AUDIT RÉSEAU.......................................................................................................................................................4 2.3 AUDIT DES FLUX....................................................................................................................................................5 2.4 AUDIT DE DÉTECTION D’INCIDENT......................................................................................................................5 2.5 AUDIT DE SÉCURITÉ..............................................................................................................................................5 2.6 OUTILS ENVISAGÉS................................................................................................................................................6

2.6.1 Nessus............................................................................................................................................................... 6 2.6.2 MBSA................................................................................................................................................................ 6 2.6.3 Allot................................................................................................................................................................... 7 2.6.4 Observer........................................................................................................................................................... 8 2.6.5 Whatsup............................................................................................................................................................ 9

3 PLAN DE REPRISE..................................................................................................................................................10 3.1 ETUDE D’IMPACT .................................................................................................................................................10 3.2 METHODES PREVENTIVES...................................................................................................................................10 3.3 STRATEGIES DE SAUVEGARDE ET DE RESTAURATION ....................................................................................10 3.4 REMPLACEMENT DES EQUIPEMENTS ET SERVICES..........................................................................................11 3.5 TEST , FORMATION ET MAINTENANCE DU PLAN...............................................................................................11

4 RECOMMANDATIONS POUR UN PRA ..........................................................................................................12 4.1 RESTAURATION....................................................................................................................................................12 4.2 PCS ET PORTABLES.............................................................................................................................................12 4.3 SERVEURS.............................................................................................................................................................12 4.4 LAN.......................................................................................................................................................................12 4.5 WAN.....................................................................................................................................................................13

5 DEMARCHE ET PLAN DE L’AUDIT ...............................................................................................................14 5.1 PERIMETRE TECHNIQUE......................................................................................................................................14 5.2 DOCUMENTATION EXISTANTE...........................................................................................................................15 5.3 OBJECTIFS.............................................................................................................................................................16 5.4 ANALYSE ET LIVRABLES.....................................................................................................................................16 5.5 DEMARCHES TECHNIQUES..................................................................................................................................18

6 RETRO-PLANNING PAR ETAPES ET PRE-REQUIS ................................................................................19 6.1 CHARGES....................................................................................................................................................................19 6.2 PLANNING DETAILLE...........................................................................................................................................20 6.3 CALENDRIER.........................................................................................................................................................20 6.4 PRE-REQUIS TECHNIQUES...................................................................................................................................20

7 REFERENCES CLIENTS DE MISSIONS SIMILAIRES .............................................................................21 8 EQUIPE PROJET......................................................................................................................................................22 9 COUTS ..........................................................................................................................................................................23


1 PRESENTATION DE LA SOCIETE

1.1 ORSENNA

Identité : Orsenna 14 Rue Gambetta 78600 Le Mesnil le roi Capital de 96 042 € Créée en 1989

Orsenna est présent depuis 2000 sur le marché de l’audit et de la supervision avec plus de 300 missions d’audit et de supervision et réalise actuellement une cinquantaine de missions annuelle ment.

1.2 NOTRE METIER, SPECIALISTE AUDIT RESEAU

Spécialiste des infrastructures réseaux, Orsenna apporte une réponse aux problèmes complexes posés par l’audit et la supervision des réseaux au travers une maîtrise de différents outils du marché. A ce titre Orsenna intervient sur les projets auprès de grands comptes dans différents secteurs d’activité tels : Transport COFIROUTE; SERVAIR, APPR Banques, Assurances FIDEURAM BANK ; BANQUE POPULAIRE, GIE Carte Bancaire, GMF, Caisse

des Dépôts , Société Générale Distribution BRICORAMA; RELAY, NICOLAS, AELIA, HISTOIRE D’OR, LANVIN, MAC

DONALDS, MIDAS Industries SCHLUMBERGER; ALCAN, ARCELOR, DANONE, EADS, IMAJE, STRYKER Administration ADEME, OPERA DE PARIS, MINISTERE DEFENSE Ecoles, Universités ENSAE, ENSTA, Mairies, Conseil Ville TROYES, CG16, CR PACA Opérateur CORIOLIS, B3G


2 AUDIT

2.1 AUDIT SYSTEME

Nous réalisons des Audits de parcs informatique (équipements réseaux, matériels et logiciels système) dans le but de vous aider à redéfinir les axes de leurs évolutions, optimiser vos ressources et parvenir à une meilleure maîtrise des coûts. Nous participons à cette phase préalable dans le cadre de Missions de conseil qui consistent alternativement à :

? Analyser l’existant puis préconiser des correctifs aux processus en place (organisation, méthodes, déroulement des tâches,….).

? Valider une architecture technique avant de proposer un contrat de maintenance système (décrire les faiblesses constatées et proposer les étapes d’amélioration).

? Accompagner le changement dans le cadre d’une migration du système informatique (planifier les tâches réalis ées en tenant compte des contraintes de l’entreprise).

2.2 AUDIT RÉSEAU

Notre maîtrise des outils de capture et de debugging des trafics sur les réseaux LAN, nous permet de vous proposer:

? La liste des équipements connectés sur votre LAN (station travail, imprimantes, éléments réseaux, etc….). avec leur description précise en termes de MAC adresses, de nom NetBios et d’adresse IP.

? La liste des sessions de connexion entre machine comprenant aussi le protocole de dialogue (TCP, UDP, etc.)

? La liste des ouvertures d’application par connexion machine. ? Les niveaux de distribution de protocole sous forme de graphique (IP, IPX, NetBios, FTP, SNMP, http,

etc….) ? La liste des fautes réseaux détectés données par niveau d’importance (mineur, critique, etc…) ? La liste des diagnostiques proposée consécutive à des problèmes détectés. ? Le taux d’utilisation du réseau sous forme de graphique. ? Le taux d’erreur détecté sur le réseau sous forme graphique. ? La visualisation des trames pas par pas.


2.3 AUDIT DES FLUX

Les audits de flux répondent classiquement aux problématiques suivantes : ? Besoin de contrôle sur un système d'informations trop opaque. ? Besoin de justification de dimensionnement ou de migration du réseau. ? Contrôle avant ou après un déploiement applicatif. ? Régulation des ressources partagées (internet, email).

A l'aide d'outils de type Allot sur le Wan ou d’analyseurs LAN, le consultant réalisera les graphes de charge des plus gros utilisateurs des protocoles transitant sur le réseau.

2.4 AUDIT DE DÉTECTION D’INCIDENT

Les audits de détection d’incident répondent classiquement aux problématiques suivantes : ? Un temps de réponse trop long imputé au réseau. ? Des problèmes de déconnexion.

Le consultant réunira les informations des utilisateurs concernés, puis proposera un plan d'action à la direction informatique basé sur des outils d'analyse réseau.

Ces éléments permettront de trouver l'origine de dysfonctionnement.

2.5 AUDIT DE SÉCURITÉ

Les audits de sécurité répondent classiquement aux problématiques suivantes : ? Confidentialité des informations. ? Détecter les vulnérabilités des composants réseau ? Sécurité d’intégrité des informations qui circulent sur le réseau ? Authentification sécurisée


2.6 OUTILS ENVISAGÉS

Les outils utilisés par Orsenna, restent la propriété d’Orsenna et ne sont pas fournis dans le cadre de la prestation d’audit. 2.6.1 Nessus

Pour les audits de vulnérabilité, nous nous appuyons sur l’outil Nessus :

Figure 1 : Plate forme Nessus

2.6.2 MBSA

Pour la recherche de failles dans la configuration de sécurité Windows 2000, Windows XP, Windows Server 2003, Internet Information Server (IIS) 5.0 et 6.0, SQL Server 7.0 et 2000, Internet Explorer 5.01 et versions ultérieures, ainsi qu'Office 2000, 2002 et 2003. , nous nous appuyons sur l’outil Microsoft « Microsoft Baseline Security Analyzer (MBSA)” MBSA recherche également les mises à jour de sécurité, correctifs cumulatifs et Service Packs publiés par

Microsoft Update qui ne sont pas installés.

Figure 2 : MBSA


2.6.3 Allot

Pour permettre d’analyser et d’agir sur les flux en temps réel, Orsenna a choisi la famille des NetEnforcer™, (hardware) qui s’insère à la frontière entre le LAN et le WAN du réseau d’une entreprise. Le mode de classification du NetEnforcer™ possède 2 niveaux hiérarchiques , ce qui permet d’ordonner les flux selon des «Pipe » (c’est le premier niveau), correspondant par exemple aux interfaces WAN physiques d’agences géographique ou aux Circuits virtuels (FR/ATM …) puis de classifier dans chaque « Pipe» les flux applicatifs dans des canaux virtuels ; c’est le deuxième niveau. Une fois cette classification établie, on peut définir des règles de qualité de service associées. Ces règles s’appuient sur des mécanismes performants de gestion des priorités, d’allocation, de réservation et de limitation de la bande passante.

? Les responsables réseaux peuvent ainsi contr ôler l'ensemble des flux transitant entre les sites distants et le site central, ceci afin de garantir une bande passante aux applications les plus critiques pour l'entreprise.

Figure 3 : Allot Netenforcer


2.6.4 Observer

Afin d’analyser les performances et les incidents réseaux, Orsenna a choisit la gamme Observer de Network Instruments .Une des particularités des produits réside dans les fonctions de décodage avancé permettant d’identifier et de localiser les problèmes rapidement

Figure 4 : Analyse du temps de réponse


2.6.5 Whatsup

Orsenna utilise le logiciel WhatsUp, solution conviviale de cartographie, de surveillance, de notification, afin d'évaluer la performance des réseaux.

Sa caractéristique importante réside dans les possibilités de customisation du monitoring ( SNMP, WMI, Script TCP, Script Java ou VB) et la cartographie.

Figure 5 : Console WhatsUp


3 PLAN DE REPRISE

Cette partie décrit le développement et la gestion d’un plan lié au système d’information. Les processus à développer sont indépendants de la structure du système d’information : ? Etude d’impact ? Méthode préventives

? Stratégies de sauvegarde et de restauration ? Remplacements des équipements ? Test Formation et Maintenance du plan

3.1 ETUDE D’IMPACT

L’étude d’impact s’attache à définir les éléments suivants :

? Identification des ressources critiques ? Identification des conséquences d’une interruption ? Temps maximum d’interruption

3.2 METHODES PREVENTIVES

L’application de méthodes de prévention permet de minimiser le coût et les conséquences d’une interruption. Les éléments mis en œuvre communément sont :

? UPS ? Stockage sécurisé des bandes ? Stockage sur un site secondaire

? Site miroir

3.3 STRATEGIES DE SAUVEGARDE ET DE RESTAURATION

Les stratégies de sauvegarde doivent prendre en compte les différentes alternatives : ? Sauvegarde sur site

? Sauvegarde externe ? Serveurs miroirs ? Infrastructure redondante


En ce qui concerne les sites externes, les caractéristiques d’accès, de disponibilité et de coût doivent être étudiés. L’ensemble des éléments liés à la restauration doivent faire l’objet d’une sauvegarde :

? Plan de reprise ? Contrats fournisseurs ? Licences logiciels

? Manuels et procédures

3.4 REMPLACEMENT DES EQUIPEMENTS ET SERVICES

Dans le cas ou le système d’information est détruit ou endommagé, les composants matériels et logiciels devront être fournis sur un nouveau site. Les éléments à prendre en compte sont : ? Inventaire des matériels et logiciels

? Inventaire des éléments liés à la connectivité Lan et Wan ? Inventaire des fournisseurs (coordonnées, numéros d’urgence,..) ? Liste des matériels et logiciels retirés de la vente

? Liste des services supports contractés ? Logiciels et Matériels de secours stockés sur un autre site ? Contrats de service pour la mise à disposition de nouveaux équipements

3.5 TEST, FORMATION ET MAINTENANCE DU PLAN

Le test d’un plan de reprise constitue un élément critique et doit permettre de valider les éléments suivants :

? Restauration des médias sur une plate forme de secours ? Validation connectivité interne et externe ? Procédures associées

La maintenance du plan doit être effectuée au moins une fois par an


4 RECOMMANDATIONS POUR UN PRA

Les recommandations permettent d’enrichir le développement du Plan de reprise.

4.1 RESTAURATION

Les procédures de restauration doivent être décrites en mode pas à pas avec tous les éléments nécessaires à la mise en place :

- Autorisations d’accès au site

- Composants matériels et logiciels - Connectivité Lan et Wan - Licences logicielles

- Médias de sauvegarde - Ordre de restauration des équipements

4.2 PCS ET PORTABLES

Les préconisations pouvant être prises en compte sont :

- Sauvegarde des données utilisateurs spécifiques sur des répertoires réseaux - Standardisation des équipements - Documentation sur les configurations systèmes

- Cryptage des données sur les portables - Stockage d’images disques des PCs et Portables

4.3 SERVEURS


- Technologie Raid 5 - Sauvegarde régulière sur bandes ou disques - Stockage externe

- Labellisation des médias - Standardisation des équipements - Documentation sur les configurations systèmes - Documentation sur la restauration

4.4 LAN


- Liens critiques redondants

- Documentation physique du LAN


- Documentation Plan d’adressage - Documentations Hub et Switch

4.5 WAN


- Liste des liens utilisés et caractéristiques - Liens critiques redondants


5 DEMARCHE ET PLAN DE L’AUDIT

5.1 PERIMETRE TECHNIQUE

Le périmètre est constitué par : ? 3 sites reliés avec un lien Transfix 2M et un lien fibre ? 9 serveurs applicatifs ? 92 postes clients sous 2K et XP ? Switches Cisco Catalyst 2950&2970 ? Bornes Wifi CXR et Netgear ? Switch Netgear ? Routeurs Cisco 2610 &2612

Figure 6 : Environnement Technique


5.2 DOCUMENTATION EXISTANTE

Les documents disponibles pour l’audit sont les suivants : ? LISTE DES SERVEURS et SWITCHS 3 SITES

o Table des adresses Ip o Liste des serveurs o Liste des switchs et routeurs

? LISTE DES MATERIELS CLIENTS PAR SITE o Liste des Pc o Liste des Pc et imprimantes

? LISTES DES GARANTIES MATERIELS ? FIREWALL

o Firebox Configuration Report o Mode emploi stats du firewall.doc o Liste des demandes de modification du paramétrage du Firewall

? LOGICIEL ANTI-VIRUS o Viruscan de MCAFEE

? CONFIGURATION SWITCHS et ROUTEURS o Documentation installation par site o Sauvegardes des configurations

? SAUVEGA RDES DES SERVEURS o Descriptif de l’organisation des sauvegardes serveurs o Liste des bandes coffre Corum o Liste des bandes coffre Parc -expo


5.3 OBJECTIFS

La société XXX XXX souhaite établir une cartographie des risques et des vulnérabilités de son système d’information. Dans ce cadre, une mission sur l’état des lieux de l’infrastructure réseau et sécurité de son système d’informations doit être effectuée. Des recommandations concernant trois projets doivent aussi être apportées. Il s’agit du renouvellement du contrat d’infogérance du firewall, le renouvellement du contrat de maintenance des switchs et routeurs et une proposition d’audit de la liaison inter site Parc des expositions-Corum. Des recommandations pour la mise en place d’un plan de reprise d’activité sont également souhaitées

5.4 ANALYSE ET LIVRABLES

Les différentes étapes de l’audit sont les suivantes: ? Analyse de l’existant

L’analyse de l’existant a pour but de constituer une matrice de référence des composants de l’infrastructure.

o Analyse Architecture ? Description de l’architecture existante ? Descriptif des paramètres de sécurité mis en place

o Analyse des flux ? Analyse des flux sur les liens Transfix (Allot) ? Analyse des flux Internet (Allot)

o Analyse de sécurité ? Analyse des vulnérabilités des postes du réseau (Nessus) ? Analyse des failles de sécurité des postes Windows (MBSA) ? Analyse des journaux liés à la sécurité :

? Composant antiviraux ? Journaux d’évènements ? Si accessible, Firewall WatchGuard

o Analyse de disponibilité ? Identification des ressources critiques ? Mesure de SLA sur une période d’1 semaine (WhatsUp)

? Identification des éléments présents pour un PRA

? Architecture redondé,

? UPS, Sauvegarde,

? Caractéristiques des contrats de service,

? Gestion Astreinte,

? Matériel de secours,..

L’ensemble des items seront fournis sous la forme d’un livrable avec différents chapitres (Architecture, Flux, Sécurité, Disponibilité). ? Rapport Global

o Cartographie des risques et vulnérabilités Ce rapport global s’appuie sur les livrables d’analyse (Architecture, Flux, Sécurité, Disponibilité) et identifie les points critiques pour l’infrastructure d’XXX XXX.


? Recommandations

o Architecture technique cible ? Priorités de déploiement ? Conséquences en cas de non-déploiement

o Recommandations pour un PRA o Recommandations sur le firewall o Recommandations sur les switches et routeurs o Recommandations sur l’audit de flux.

Un document unique de recommandations sera fourni et inclura les différents thèmes cités.


5.5 DEMARCHES TECHNIQUES

La démarche d’audit consiste à enchainer les étapes comme suit : ? Analyse de l’existant ? Pose d’outils de mesure ? Elaboration des rapports ? Recommandations


6 RETRO-PLANNING PAR ETAPES ET PRE-REQUIS

6.1 CHARGES

Description Ressources Estimation

Analyse Architecture Pré-étude – Analyse de la documentation existante, validation du cahier des charges, interview des exploitants et prestataires.

1 Jour

Analyse Sécurité Installation des composants d’audits de vulnérabilité (Nessus) et d’analyse des failles de sécurité (MBSA) et lancement des analyses

0,5 Jour

Analyse Disponibilité Mise en place d’une mesure de SLA (taux de disponibilité des équipements).sur une semaine (rapport email)

0,5 Jour

Analyse des flux Mise en place d’une analyse des flux sur le lien Transfix .

0,5 jour

Analyse Sécurité Mise en place d’une analyse des journaux accessibles ( Evts Windows, Antivirus, Firewall ).

0,5 jour

Analyse des flux Mise en place d’une analyse des flux sur le lien Internet .

0,5 jour

Livrables Récupération des données et mise en forme des livrables d’analyse:

2 jours

Livrables Rapport Global et recommandations 2 jours

Livrables Présentation des résultats en réunion 0,5 jour

TOTAL 8 Jours Les prestations s’effectuent en fonction des besoins dans les locaux d’XXX XXX ou dans les locaux d’Orsenna. Les prestations de documentation s’effectuent systématiquement dans les locaux d’Orsenna. Lors de la validation de l’accessibilité des équipements, il est probable que des points techniques restent à résoudre. Pour minimiser les temps de résolutions de ces points il est impératif de pouvoir travailler à distance sur le sujet (temps de réponse des prestataires, tests internes,…) .


6.2 PLANNING DETAILLE

La mission peut s’effectuer sur les bases suivantes :

- T0 : 1ère date d’intervention - T0 + 1 semaine : Phase d’analyse - T0 + 2 semaines : Documentation et Récupération des données - T0 + 3 semaines : Présentation des livrables

6.3 CALENDRIER

Le calendrier proposé s’étale sur 3 semaines et comprend :: ? Phase d’analyse ? Phase de documentation/livrables ? Phase de Présentation

6.4 PRE-REQUIS TECHNIQUES

Les pré-requis techniques sont les suivants : Mise à disposition d’un poste client pour installer le composant de mesure de SLA et les outils d’analyses ( Nessus et MBSA). Si possible accès à distance de ce poste (VPN). Eventuellement, mise en place de l’export des logs du firewall Possibilité de contacts techniques avec le prestataire firewall ou bien accès à la configuration Watchguard.


7 REFERENCES CLIENTS DE MISSIONS SIMILAIRES

Comme indiqué en 1.2, Orsenna a réalisé plus de 300 missions d’audit et de supervision. Quelques références intéressantes - GMF ( Garantie Mutuelle des Fonctionnaires) – ( 450 Serveurs, 300 équipements Réseaux) - Coriolis ( 150 Serveurs, 50 Switches , 40 Routeurs ) - Mac Donalds – ( 50 Serveurs, 40 Switchs, 15 AP, 300 Routeurs ) - Relay ( 900 Routeurs , 3 appliances , 1 5 Serveurs) - Aelia (64 routeurs, 178 switches, 344 serveurs)


8 EQUIPE PROJET

L’équipe projet est constituée de 2 intervenants : - Un ingénieur Systèmes et sécurité - Un consultant expert Audit Les CVS sont joints à cette proposition


9 COUTS

Le coût de la mission est forfaitaire : Produits Quant Prix Euro HTMission Audit & Conseil - Homme/jour à 850 Euro HT 8 € 6 800,00Forfaits déplacements 1 € 460,00

TOTAL HT € 7 260,00 La présente proposition est valable un mois à compter du 29/04/08. Les matériels et logiciels utilisés lors de la mission ne font pas l’objet d’une facturation.

Exemple Réponse Appel Offre V10 - · PDF file... avec plus de 300 missions...

Documents

Transcript of Exemple Réponse Appel Offre V10 - · PDF file... avec plus de 300 missions...