Rapport de stage, Eitiaconsulting

...

Chapitre 4 : PRESENTATION D’EITIACONSULTING 40

4.1. Présentation générale d’EITIACONSULTING 40

4.1.1. Missions 40

4.1.2. Activités 40

4.2. Structure organisationnelle d’EITIACONSULTING 41

Chapitre 5 : DESCRIPTION DU SITE WEB D’EITIACONSULTING ET DES MESURES DE SECURITÉ LIEES 42

5.1 Présentation générale du site web 42

5.1.1 Objectifs du site 42

5.1.2 La navigation 42

5.1.3 La structure du site 43

5.1.4. La technologie utilisée pour créer le site web 44

5.1.5. L’hébergeur 44

5.1.6. L’audience 44

5.2 Les dispositifs de la sécurité du site web d’EITIACONSULTING 45

5.2.1 La gestion et l’évaluation des risques 45

5.2.2 La sécurité du système 45

Chapitre 6 : LES TRAVAUX ET RESULTATS DE L’AUDIT DE LA SECURITE DU SITE WEB D’EITIACONSULTING 47

6.1. La phase de planification de la mission d’audit 47

6.1.1. Programme d’audit du site web d’EITIACONSULTING 47

6.1.2. Programme de vérification 48

6.2. La phase de réalisation de la mission d’audit 49

6.2.1. Exécution des tests de contrôle d’audit du site web d’EITIACONSULTING 49

6.1.2. Identification des risques liés à la sécurité du site web d’EITIACONSULTING 52

6.3. Synthèse de l’audit de la sécurité du site web d’EITIACONSULTING 54

6.3.1. Les forces et faiblesses de l’audit du site web 54

6.3.2. Les Feuilles de révélation et d’analyse des problèmes 55

6.4. Synthèse des recommandations 56

CONCLUSION GENERALE 58

---------------------------------------------------------------

INTRODUCTION GÉNÉRALE

Autre fois réservée à des privilégiés et à des utilisateurs avertis, l’internet est devenu aujourd’hui un moyen de communication incontournable de la société moderne. La démocratisation de l’usage de l’internet a entrainé une prolifération des sites web parmi lesquels des sites web professionnels, propriétés des entreprises.

Un site web constitue généralement une véritable plateforme d’accès à l’information. Mais force est de constater que c’est sans réelle planification que de nombreuses entreprises ont été amenées à concevoir et à mettre en œuvre des sites web, les attributions de ces derniers étant :

- un rôle de vitrine informative, présentation de produits et services ;

- une fonction de communication et d’information, mise à disposition d’informations utiles.

- une plate-forme d’échange commerciale, commerce en ligne et vente par correspondance.

Au regard de ces différentes fonctions qui leurs sont attribuées, les sites web deviennent l’épine dorsale du système d’information, vital au bon fonctionnement de l’entreprise.

Ainsi les sites web sont par nature des éléments très exposés du système d’information. Leur sécurisation revêt une grande importance, et ce à plusieurs titres.

Les menaces les plus connues pesant sur les sites web sont les défigurations et les dénis de service. Une défiguration est une attaque par laquelle une personne malveillante modifie le site pour remplacer le contenu légitime par un contenu qu’il choisit, par exemple pour relayer un message politique, pour dénigrer le propriétaire du site ou simplement, pour revendiquer son attaque comme preuve d’un savoir-faire. L’actualité du 15 août 2013 fait état de l’attaque du site web du célèbre quotidien américain Washington Post. Le site aurai été détourné et redirigé vers la page d'une organisation revendiquant son soutien au président syrien Bachar al Assad, selon Yahoo actualité.

Cette attaque n’est pas en marge des nombreuses autres visant des sites web d’entreprises aux secteurs d’activité variés : Commerce électronique, grande distribution, banque etc. Même les géants de l’informatique ne sont pas épargnés comme en témoigne la récente attaque du 18 juillet 2013 contre le site de la société Apple.

Un déni de service a quant à lui pour objet de rendre le site attaqué indisponible pour ses utilisateurs légitimes. Dans les deux cas, l’impact sur le propriétaire du site est évidemment un déficit d’image et, pour le cas d’un site servant de support à une activité lucrative, un manque à gagner.

Il ne faut toutefois pas négliger les scénarios d’attaques plus insidieux. Il est possible qu’un individu malveillant se serve d’un site web comme une porte d’entrée vers le système d’information de l’hébergeur ou, plus généralement, de l’entité à qui appartient le site. Par ailleurs, un site peut être utilisé comme relai dans une attaque élaborée vers un système tiers ou comme dépôt de contenus illégaux, ces situations étant susceptibles de mettre l’exploitant légitime du site en difficulté. Enfin, une attaque sur un site peut aussi viser à tendre un piège aux clients habituels de ce site, qui sont souvent les employés du propriétaire du site ou de ses partenaires. Ainsi, l’externalisation de l’hébergement d’un site ne permet pas de transférer l’ensemble des risques d’intrusion au système d’information de l’hébergeur.

Toutes ces attaques ont en commun de rechercher, contrairement à celles évoquées plus haut, une certaine discrétion et peuvent par conséquent rester insoupçonnées pendant de longues périodes.

La protection contre ces menaces passe à la fois par des mesures préventives et par des mécanismes permettant