Evaluation Cybersécurité (SYSTEM SECURITE INFORMATIQUE)

# Evaluation Cybersécurité (SYSTEM SECURITE INFORMATIQUE) ##### Travail réalisé par : HANGAMALONGO MAPAGA Marlyse ## Réponses aux questions ### Périmètres de l'infrastructure * Le réseau actuel ne possède qu’un Firewall non supporté. * Les Routers série 888 sont connectés en VPN IP SEC site à site (fonction firewall de base) * Le contrôleur de domaine est en version Windows 2012 R2. * Le server de messagerie est en version Exchange 2016. * Le server d’application « GED » est sous Windows 2012 R2 non à jour. * Le server web est sous Windows 7 sous Apache. * Les clients sont à 10 % sous XP Pro, 50% sous Windows 7, 40% Windows 10. * 60 pourcents des PC clients ont l’anti-virus Avast Gratuit. * Le WIFI ne fonctionne que de temps en temps suite aux diverses attaques. * La flotte mobile des 200 utilisateurs n’est pas sécurisé. * Les utilisateurs ont tous les privilèges et droits admins sur les postes de travail ### Scénario 1 Votre mission consiste à intégrer sur chaque périmètre ci-dessus la sécurité maximal et nécessaire de Cyberdéfense du SI MicroInfoServices. Avant de toucher à l'infrastructure réseau de MicroInfoservices nous préconisons que le DSI se fasse former sur les bonnes pratiques de sécurité réseau mais aussi qu'il se fasse aider en recrutant des consultants sécurité réseau. Car pour une structure de 250 personnes, il est inadmissible qu'une seule personne soit en charge de tout ça. Pour répondre aux besoins de l'entreprise MicroInfoServices nous avons fait le choix de faire évoluer l'infrastructure. C'est la raison pour laquelle nous allons mettre en place sur chaque périmètre une sécurité maximale : * Le réseau actuel ne possède qu’un Firewall non supporté. Face à ce problème nous décidons d'acheter 2 pare-feu de nouvelle génération compatible avec les équipements de la société. Nous choisissons ce type de Firewall car il applique à la fois le filtrage de paquets dynamique et statique ainsi que la prise en charge VPN dans le but de sécuriser toutes les connexions entrantes entre le réseau, Internet et le pare-feu. Entre autre je preconise que le déploiement se fasse en évitant les erreurs que je vais citer en dessous : 1- Oublier de planifier : Planifier, pour ne rien oublier, mais aussi faciliter la gestion à plus long terme du firewall ». Concrètement, cartographier le trafic réseau à l'aide d'une matrice de flux est le point de départ pour penser les futures règles du firewall. 2- Laisser la configuration par défaut : L’une des erreurs les plus communes reste de ne pas configurer entièrement son firewall dès l’installation. L’étape incontournable est de passer en revue les services configurés par défaut – ou désactiver ceux qui sont inutiles – et opter pour de nouveaux mots de passe les plus sécurisés possibles. Une attention toute particulière doit être portée aux comptes administrateurs par défaut. 3- Négliger le nommage : le nommage des réseaux et périphériques raccordés au firewall. C’est une problématique qui revient très souvent. Mon conseil est toujours de coller aux règles déjà existantes. Si vous avez fait le travail de nommer vos serveurs avec un serveur DNS, utilisez le même nommage pour éviter les problèmes. 4-Négliger le suivi des règles de filtrage : Consigner, tout consigner. Il faut avoir un historique clair des règles et de l’évolution de l'infrastructure, pour ne pas se retrouver dans la situation d’un grand nombre de règles déployées sans aucun commentaire et donc sans qu’on sache à quoi elles servent . * Les switches sont obsoletes en versions Cisco Catalystes Je préconise de mettre à niveau les Switches et opter pour des swicthes cisco dernières génération. Nous prendrons les switches Catalyste 9000.Grâce à ces switches de nouvelles générations, on pourra scindé le réseau en plusieurs segments en créeant des VLANS, VXLAN et des VLANS secondaires selon les besoins des différents services de l'entreprise MicroInfoservices. * Les Routers série 888 sont connectés en VPN IP SEC site à site (fonction firewall de base) Connecter les routeurs serie 888 en mutli site grace aux DMVPN . En effet, les Dynamic Multipoint IPsec VPN (DMVPN) permettent de déployer rapidement un grand nombre de sites de manière sécurisée et scalable. Le nom DMVPN désigne en fait un ensemble de technologies (IPsec, mGRE et NHRP) qui, combinées, facilitent le déploiement de réseaux privés virtuels IPsec. Mettre à jour IOS vers une version récente et gerer les certificats site to site. * Le contrôleur de domaine est en version Windows 2012 R2. Etant donnée qu'on a deux sites, il serait judicieux de configurer 2 controlleurs de domaine de manière à ce que chaque site en possède un. Ainsi en cas de d'accident, l'accès au domaine restera disponible sur le second controlleur. * Le server de messagerie est en version Exchange 2016. L'idéal c'est d'avoir un serveur de messagerie secondaire qui permettra de relayer le principal en cas de panne de serveur.Aussi il faut tenir à jour les 2 serveurs de messagerie : Pour éviter les temps d’arrêt, vous devrez vous assurer que votre serveur de messagerie et votre copie d’Exchange sont tous deux maintenus et mis à jour., vous aurez besoin d’une personne capable de surveiller et de faire fonctionner votre serveur. Cela peut impliquer d’engager un spécialiste interne. Une sensibilisation des agents sur le phishing et l'hameçonnage. * Le server d’application « GED » est sous Windows 2012 R2 non à jour. Mettre à jour le server d’application « GED » sous windows. Et dans la même logique que le serveur de messagerie penser à avoir un serveur relais qui fonctionnera en cas de panne du premier serveur. * Le server web est sous Windows 7 sous Apache. On pourra maintenir à jour ce serveur. Mais penser à avoir un serveur web secours sur linux car il est plus sécurisé et customisable. Il consomme très peu de ressource par rapport au serveur windows. * Les clients sont à 10 % sous XP Pro, 50% sous Windows 7, 40% Windows 10. Migrer tous les postes vers windows 10 Pro. En effet, cela permettra une maintenance plus rapide et evitera les erreurs systèmes, failles rencontrées dans les anciennes versions. * 60 pourcents des PC clients ont l’anti-virus Avast Gratuit. Utiliser un antivirus payant pour tous les clients en prenant un abonnement entreprise chez avast. Bien qu'Avast Gratuit offre des options de sécurité intéressante, il est évident que se munir de la version premium garantit une sécurité plus efficace notamment en embarquant des options de protection contre les ransomewares, l'hameçonnage.Avast Payant intègre un pare-feu puissant et prend en charge plusieurs accessoires. * Le WIFI ne fonctionne que de temps en temps suite aux diverses attaques. Séparer les WIFI en créeant un WIFI pour les visiteurs et un WIFI pour les employés. * La flotte mobile des 200 utilisateurs n’est pas sécurisé. Pour sécuriser la flotte mobile des utilsateur on peut : Automatiser les mises à jour : C’est la base même de la sécurité : les terminaux de l’entreprise doivent disposer d’une version à jour Limiter les téléchargements d’application : Un MDM permet d’empêcher l’installation des applications non essentielles à l’accomplissement des missions des collaborateurs. Compartimenter données professionnelles et fichiers personnels: Pour éviter de compromettre le système d’informations de l’entreprise quand on confie un mobile à un salarié, il est essentiel de séparer les usages professionnel et personnel en définissant des environnements distincts sur un même téléphone. Forcer le renouvellement des mots de passe : Le MDM offre l’opportunité d’imposer aux salariés des règles pour la création des mots de passe sur leur mobile et l’obligation de les renouveler régulièrement (tous les mois ou tous les deux mois par exemple). Crypter les données sensibles : Certaines données revêtent un haut degré de confidentialité et doivent faire l’objet de mesures de protection particulières. Un MDM autorise le chiffrement global ou ciblé du contenu des mobiles de la flotte. Cette précaution garantit l’intégrité des informations clés de l’entreprise en cas de perte ou de vol d’un terminal. Enfin, il est très important de sensibiliser les collaborateurs aux risques encourus en cas d’usages inappropriés. Des ateliers pilotés par la DSI permettront d’identifier les comportements à risques et de définir une charte IT mobile efficace et acceptée de tous. * Les utilisateurs ont tous les privilèges et droits admins sur les postes de travail Pour plus de sécurité et d'authencité, il est préférable que chaque utilisateur ai un compte dédié avec des droits correspondants à son profil. Ainsi, les utilisateurs accederont aux postes non pas avec le compte administrateur ùais avec leur compte utilisateur. Cela évitera qu'un utilisateur mal intentionné ou peu avisé ne fasse des manipulations critiques sur le système. Et lorsqu'un utilisateur sera nouveau il aura droit à un compte invité. ## Scénario 2 On travaillera par segments, pour se faire nous allons : 1. Se déconnecter d'internet c'est à dire débrancher tous les câbles qui sont relier à internet. 2. Débrancher tous les switchs car ils nous permettent de communiquer de PC à PC et de serveurs à serveurs. 3. Aller sur les organes de production(controleurs de domaines) : Récuperer tous les serveurs qui n'ont jamais été connecté au réseau. 4. Démarrer chaque VM et les scanner tour à tour. Et déconnecter la carte réseau de chaque VM. 5. Se faire aider par le personnel pour scanner les machines 6. Proceder à un Backup grâce à Vim et aux fichier flat. ## Scénario 3 Pouvez-vous livrer un « PRA sécurité » ? Pour remettre le système en marche on peut mettre en place un système de prevention d'intrusion et un système de détection d'intrusion. Aussi nous pouvons notamment : Lister les vulnérabilités de l'organisation et effectuer une analyse des risques : Le plan de reprise d’activité après sinistre se doit de protéger vos actifs autant que possible. Il sera peut-être nécessaire d’établir des secteurs prioritaires nécessitant une attention particulière. Définir les stratégies de récupération des données : cette étape consiste à vous assurer que vous disposez d’une stratégie de récupération et restauration de données efficace. En effet, il ne suffit pas de sauvegarder puis d’attendre un éventuel sinistre. Créez une version papier du plan de reprise d’activité : Le PRA ne doit pas rester au stade de post-its disséminés aux quatre coins de votre service informatique. Il est nécessaire de rassembler toutes vos procédures dans un guide complet et compréhensible par les employés concernés. Ce guide doit être conservé dans un endroit accessible facilement, et de préférence en copie papier. Assurez une formation à vos employés : Afin de comprendre tout ce que comporte le plan de reprise après sinistre, vos employés devront bénéficier d’une formation qui permettra d’éclaircir l’ensemble des éléments clés. Testez le plan : Un monde sépare la théorie de la pratique. Définir et rassembler l’ensemble des mesures du PRA est une première étape essentielle, qu’il faut ensuite compléter par une mise en situation. Réviser les procédures et les mettre à jour si nécessaire : L’évolution technologique est constante, les logiciels nécessitent des mises à jour régulières et il est important de vous tenir informé. Le plan de reprise d’activité devra également suivre cette logique, avec des révisions régulières si nécessaires.