Evaluation Cybersécurité (SYSTEM SECURITE INFORMATIQUE)

# Evaluation Cybersécurité (SYSTEM SECURITE INFORMATIQUE) ##### Ben-Jamin MAMFOUMBI KOUELY ## Réponses aux questions ### Périmètres de l'infrastructure * Le réseau actuel ne possède qu’un Firewall non supporté. * Les Routers série 888 sont connectés en VPN IP SEC site à site (fonction firewall de base) * Le contrôleur de domaine est en version Windows 2012 R2. * Le server de messagerie est en version Exchange 2016. * Le server d’application « GED » est sous Windows 2012 R2 non à jour. * Le server web est sous Windows 7 sous Apache. * Les clients sont à 10 % sous XP Pro, 50% sous Windows 7, 40% Windows 10. * 60 pourcents des PC clients ont l’anti-virus Avast Gratuit. * Le WIFI ne fonctionne que de temps en temps suite aux diverses attaques. * La flotte mobile des 200 utilisateurs n’est pas sécurisé. * Les utilisateurs ont tous les privilèges et droits admins sur les postes de travail ### Scénario 1 Votre mission consiste à intégrer sur chaque périmètre ci-dessus la sécurité maximal et nécessaire de Cyberdéfense du SI MicroInfoServices. #### a- Le réseau actuel ne possède qu’un Firewall non supporté. Il faut migrer vers un firewall de nouvelle génération. En effet les firewalls de nouvelle génération (NGFW) combinent les capacités des pare-feu standards avec un système de révention des intrusions (IPS) et une meilleure reconnaissance des applications. Les NGFW proposent donc tous les avantages des firewalls traditionnels (NAT, blocage d’URL, VPN) et comblent leurs inconvénients.De plus, ces pare-feu modernes offrent des fonctionnalités de qualité de service, de détection des logiciels malveillants basée sur la réputation et d’inspection approfondie de paquets (DPI). Les NGFW prennent également en charge la mise en réseau basée sur l’intention qui exploite l’IA pour automatiser l’administration du réseau. #### b- Les switches sont obsoletes en versions Cisco Catalystes Il est plus que nécéssaire de s'équiper de switch performants. On peut aller sur des switch modulaires de la série Catalyst 9400. On pourra alors créer des VLAN; des VLAN secondaires, des VXLAN, etc. #### c- Les Routers série 888 sont connectés en VPN IP SEC site à site (fonction firewall de base) On peut faire du VPN multisite car le VPN site à site est obsolete et présente un problème d’évolutivité, de maintenance et de création des tunnels, puisqu’il est nécessaire d’établir manuellement les VPN pour chacune des connexions Matrix-Branch existantes. On peut alors implémenter une VPN Multipoint Dynamique (DMVPN), qui utilise une méthode pour découvrir dynamiquement les destinations des tunnels créés par GRE (mGRE - multipoint GRE) et appris par NHRP, protocole de résolution du prochain bond (Next-Hop Resolution Protocol), sans négliger la sécurité comme axe transversal de la communications via IPsec. Avec tout cela, IPsec peut très bien évoluer dans les environnements en étoile hub-and-spoke, ainsi que prendre en charge la segmentation du trafic via les VPNs et les VRFs. Cela permet en effet d'avoir un trafique très sécurisé. Il faut aussi penser à tout ce qui est certificats site à site. #### d- Le contrôleur de domaine est en version Windows 2012 R2. Il est plus qu'urgent d'avoir non pas un mais 2 controleurs de domaines. Donc on aura un controleur de domaine par site. cela repondra au probleme d'indisponibilité de l'un puisqu'on créé comme ca un point de relai. #### e- Le server de messagerie est en version Exchange 2016. Le plus important dans ce cas est d'avoir un serveur relais et de maintenir à jour ces serveurs de messagerie. On aurra donc 2 serveurs plutot qu'un seul. En effet de cette manière on palie aux problèmes récurents de lenteur et de temps d'arrêt. Il serait aussi dans l'intérêt de la boite de former de manière régulière, les utilisateur sur les bonnes pratiques en matière de sécurité des mails. Cela permettra d'éviter l'ingénieurie social, l'hameçonnage. #### f- Le server d’application « GED » est sous Windows 2012 R2 non à jour. Pareil ici, il faut mettre à jour le server d’application GED et implémenter un second serveur d'application pour permettre la continuité en cas de panne. #### g- Le server d’application « GED » est sous Windows 2012 R2 non à jour. Pareil ici, il faut mettre à jour le server d’application GED et implémenter un second serveur d'application pour permettre la continuité en cas de panne. #### h- Le server web est sous Windows 7 sous Apache. Je préconise de passer sur Linux. En effet linux présente plus d'avantage sécuritaire et en terme de scalabilité et de stabilité, voir en terme d'économie. Linux et les logiciels open source utilisent généralement moins de ressources, ce qui rend le système plus efficace De plus, comme les serveurs Linux sont open source, un administrateur système compétent pourra modifier le logiciel et son environnement pour optimiser davantage les performances et l'efficacité. Avec une excellente accessibilité backend, Linux offre à un administrateur proactif la possibilité de montrer sa valeur en optimisant le système sans presque aucune limitation. Les serveurs et logiciels Linux peuvent être modifiés à la volée. Les modifications apportées aux produits Windows nécessitent généralement d'attendre la sortie d'une nouvelle version du serveur. Cela peut être un avantage considérable lorsque des failles de sécurité sont détectées ou lorsque des vulnérabilités sont découvertes dans la configuration du serveur existant. #### i- Les clients sont à 10 % sous XP Pro, 50% sous Windows 7, 40% Windows 10. Je préconise de migrer au maximum vers Windows 11, car en effet Avec Windows 11, on peut créer un compte Microsoft qui n'a pas de mot de passe et qui utilise le visage ou la biométrie à la place. En terme de sécurité c'est quelque chose qui peut garantir l'authenticité. #### j- 60 pourcents des PC clients ont l’anti-virus Avast Gratuit. Avast gratuit n'est pas la meilleurs option lorsqu'on veut sécuriser son ordinateurs face aux gros risques. Avast Premium Security comprend toutes les fonctionnalités de la formule gratuite, plus un pare-feu, une prise en charge de 10 appareils, et une protection contre les ransomwares, le phishing, le DNS hijacking et l'accès à distance. #### k- Le WIFI ne fonctionne que de temps en temps suite aux diverses attaques. #### l- La flotte mobile des 200 utilisateurs n’est pas sécurisé. On peut combiner plusieurs éléments pour renforcer la sécurité de la flotte: * Sensibiliser les employés aux risques. En effet, beaucoup d’employés ne se rendent pas compte des lourdes conséquences pour l’entreprise que peut avoir la perte ou le vol de leur smartphone. * Mettre en œuvre une bonne gestion des mots de passe. Que ce soit pour accéder au réseau de l’entreprise, à sa messagerie électronique ou à ses divers comptes — en particulier pour les applications mobiles — il est essentiel de mettre en œuvre une bonne gestion des mots de passe. * Limiter les téléchargements d’applications mobiles. À l’heure où les cybercriminels et les le cybersquatting usent et abusent d’applications malveillantes pour infecter des smartphones et espionner leur contenu, il est essentiel que les employés ne téléchargent que les applications mobiles essentielles à leur travail. * Utiliser un antivirus pour smartphones. Parce que le smartphone est devenu la cible n° 1 des hackers, il peut s’avérer judicieux d’installer un antivirus sur votre smartphone. * Automatiser les mises à jour afin de sécuriser la flotte mobile d’une entreprise (aller plus loin en découvrant comment choisir une offre de téléphonie d’entreprise), l’automatisation des mises à jour est une excellente initiative. * Crypter les données critiques. Parce qu’aucun dispositif de sécurité n’est infaillible, il peut s’avérer pertinent de crypter les données les plus critiques contenues sur les smartphones de votre flotte mobile. #### m- Les utilisateurs ont tous les privilèges et droits admins sur les postes de travail Créer des comptes utilisateurs avec des roles spécifiques.Enlever les privilèges et droits admins aux utilisateurs non concernés. ### Scénario 2 6 mois après la refonte sécuritaire du réseau de l’entreprise une vulnérabilité a bloquée tout le SI de l’entreprise (Ransomware sur les Servers, Clients et Mobiles) Pouvez-vous livrer un « Plans d’action SSI » le plus abouti pour une remise en production qui minimise l’impact d’indisponibilité ? Le plan d'acction SSI peut être décrit suivant les étapes ci-après : 1. Couper internet (déconnecter le cable source d'internet). On peut aussi déconnecter tous les périphériques connectés à internet par cable ou par wifi, et travailler par segment. 2. Débrancher les switch de manière à couper toute communication entre les ordinateurs, et toute jonction avec les serveurs. 3. On crée une céllule de crise, on contacte le DSI, et la hierarchie concernée. 4. Traiter les organes de production: les serveurs, les controlleurs de domaines. Isoler les serveurs et disques jamais utilisés (connectés au réseau) en les sortant du placard. 5. Démarer puis scanner VM par VM, et penser à déconnecter les cartes réseaux des VM. 6. Mobiliser le maximum de personne pour apporter de l'aide 7. Faire un backup grace à des solution comme Veam. Le plus important c'est de retrouver le VMDK c'est à dire les données. Tout ceci peut se faire à l'aide du fichier VMWare flat. ### Scénario 3 Pouvez-vous livrer un « PRA sécurité » ? Pour relancer l'activité, on peut : 1. Sensibiliser les employés sur les bonnes pratiques sécuritaires. 2. Sensibiliser le RSSI à faire des sauvegarde des VM dans le Cloud. 3. Une fois les données restaurées on peut s'attaquer à l'infrasctructure en mettant en place des IDS et IPS c'est à dire des Intrusion detection systems (IDS) and intrusion prevention systems (IPS). 4. On remonte ainsi le réseau en reconnectant les appareils déconnectés. On refait un scan antimalware en profondeur avant d'ouvrir la connection internet.