# **Evaluation Cybersécurité** *DJIONGO KENFACK Cedrigue Boris, E4-CCSN* --- Il est demandé dans cet exercice de renforcer la sécurité de chaque périmètres du réseau du SI de la société MicroInfoservices. # Scénario 1 : Intégration des techniques de cyberdefense pour la sécurisation du SI Je vais proposer des techniques de cyberdefencse pour chaque périmètre. Il faut d'abord augmenter les effectifs et leur qualité au niveau de la DSI. En effet l'entreprise à 2 sites et 01 collaborateur pour le DSI. ELle ne possède pas de responsable sécurité et ne propose pas de formation sur les thèmes de sécurités à son personnel ## 1- Le réseau actuel ne possède qu’un Firewall non supporté * Utiliser parmi les équipements certifié et qualifié par l'ANSSI, celle qui les meilleurs performances au regard de l'état de l'art. Cela permettra de disposer d'équipements de qualités capable de mieux resister aux cyberattaques * Cloissoner physiquement le réseau : * Sur chaque site, mettre une DMZ avec deux Firewall qualifiés Stormshield Network Security UTM / NG-Firewall. Les pare-feux internes et externes seront dédié aux fonctions de filtrage réseau, D'autres équipements/solutions seront utlisé pour les détections des attaques * Mettre dans la DMZ un serveur de rebond afin d'authenfier le flux entrant à destination du reseau interne ou de la DMZ * Remplacer le Firewal non supporté par des Firewal qualifié et certifié par l'ANSSI afin de bénéficier des qualités d'un bon équipement * Mettre en place un cloisonnement du SI afin de prévenir la compromission de tout le SI ou la propagation d'une attaque réussi. On aura ainsi une zone interne propore à l'entrepriser et une zone externe pour les interactions avec les clients venant de l'internet * Déployer un serveur web dédié pour les interactions avec les clients via l'internet et un serveur web dédié pour les interactions internes. * Déployer aux points d'entrée de chaque site physique de l'entreprise une DMZ avec un serveur de rebond permettant aux flux venant de l'internet et approuvés d'accéder aux services dans le reseau internes de l'entreprise * Cloisonner logique du réseau interne en deux sous-réseaux dont l'un est dédié aux usages bureautiques et l'autre pour les serveurs et l'hébergement des services * Déployer un chiffreur réseau comme le CNSeries Encryptor dans chaque site afin de chiffrer toutes les communications réseaux entre les hôtes du réseau ## 2- Les switches sont obsolètes en version Cisco Catalyste * Remplacer les switches par des switches qualifié et certifié ANSSI si possible * Utiliser des switches intelligents afin de cloisonner les ressources critiques de l'entreprise * Définir la configuration de reference du contrôleur de domaine et suivre les ecart pour la version en production * Faire un backup régulier des données du controleur de domaine et de sa configuration ## 3- Les Routers série 888 sont connectés en VPN IP SEC site à site (fonction firewall de base) * Mettre en place un VPN Multi-site avec du SD-WAN qui est le successeur du MPLS. Le SD-WAN permet de sécuriser les flux, offre une resilience de la connectivité et optimise le temps réel de la bande passante. Il est moins complexe à mettre en place que le MPLS * Définir la configuration de reference du contrôleur de domaine et suivre les ecart pour la version en production * Faire un backup régulier des données du controleur de domaine et de sa configuration ## 4- Le contrôleur de domaine est en version Windows 2012 R2 * On fera évoluer le controleur de domaine vers la version plus recente de Windows Server. On pourra par exemple installer la version de Windows Server 2022 * Définir la configuration de reference du contrôleur de domaine et suivre les ecart pour la version en production * Faire un backup régulier des données du controleur de domaine et de sa configuration * Faire un backup du setup installé afin de pourvoir le re-installé en cas d'incident * Faire un suivi des mise à jour et le sauvegarder afin de pouvoir retracer le patching ## 5- Le server de messagerie est en version Exchange 2016 * Modifier la configuration par défaut (changement de port, mot de passe admin) * Modifier les éléments du compte administrateur par défaut * Restreindre les fonctionnalités accessibles à celles qui correspondent au besoin actuelle de l'entreprise. Il faudra alors désactiver toutes les fonctionnalités non utilisé et les activer en fonction des cas d'usages * Définir une configuration de reférence et suivre les écarts entre la configuration en production et la configuration de reférence ## 6- Le server d’application « GED » est sous Windows 2012 R2 non à jour * Déployer la version de l'application GED pour Windows Server le plus recent installé * Rechercher et appliquer tous les correctifs depuis la publication de cette version de GED pour le Windows Server choisi * Définir la configuration de reference du contrôleur de domaine et suivre les ecart pour la version en production * Faire un backup régulier des données du controleur de domaine et de sa configuration ## 7- Le server web est sous Windows 7 sous Apache * Installer 02 serveurs web: un pour les services destinés aux clients de l'entreprise et l'autre pour les services destinées à une utilisation interne. un serveur de rebond permettra de rediriger le flux vers le bon serveur pour une connexion venant de l'extérieur ## 8- Les clients sont à 10 % sous XP Pro, 50% sous Windows 7, 40% Windows 10 * Etablir un inventaire technique des éléments et des accès au SI. Ceci permet de refuser l'accès au réseau de l'entreprise de tout équipement non reconnu et de limiter les vecteurs d'attaque * XP Pro n'a plus de support offert par microsoft et Windows 7 étant une ancienne version, il est recommandé d'uniformiser les systèmes d'exploitations des PCs en passant à la version windows la plus recente qui est Windows 10. Je recommande aussi d'acheter les licences pour entreprises, d'appliquer les mises à jour régulièrement et dès leur publications par Microsoft afin de réduire la surface des attaques du SI. * Déployer sur les postes clients la solution ZoneCentral certifié par l'ANSSI. Cette solition permet de préserver la confidentialité des documents manipulés par les utilisateurs que ce soit sur des postes isolés, des ordinateurs portables, ou des postes de travail connectés à un réseau d’un organisme. * Déployer la solution Zed! certifié par l'ANSSI afin de compresser et chiffrer les pièces jointes envoyer par les collaborateurs. cela permet aussi de garantir l'intégrité des documents et eliminer les attaques du type Man-In-Middle qui pourrait infecter une pièce jointe lors de sa transmission sur le réseau internet ## 9- 60% des PC clients ont l’anti-virus Avast Gratuit * Installer la version la plus recente de Windows sur tous les PC clients. * Appliquer tous les correctifs disponibles depuis la production de cette version de Windows * Définir la configuration de réference des postes clients et garder une sauvegarde pour les re-installations en cas d'incidents * Installer une solution XDR sur les postes clients afin centraliser les mises à jour des sécurités anti-virus ainsi la base de données virale. Cela permettra d'avoir une base virale homogène sur tous les postes clients. * Appliquer la mise à jour de la base virale et les propager vers les postes client * Déployer la solution Palo Alto Network pour le XDR ## 10- Le WIFI ne fonctionne que de temps en temps suite aux diverses attaques * Remplacer le point d'accès wifi du réseau par une des solutions les plus performante du marché comme le Point d'accès WiFi 6 AX1800 PoE bibande Multi-Gigabit qui offre un surveillance et une gestion dans le cloud * Définir la configuration de réference des postes clients et garder une sauvegarde pour les re-installations en cas d'incidents * Définir la configuration de reference du contrôleur de domaine et suivre les ecart pour la version en production ## 11- La flotte mobile des 200 utilisateurs n’est pas sécurisé * Activer le mécanisme de configuration à distances des flottes d'équipements * Déployer une solution EMM permettant de gérer et de sécuriser les appareils mobiles * On peut prendre la solution Device Management Express de Orange Business Service qui permet au le gestionnaire de flotte d'administrer sa flotte (inventaire du parc, diagnostique de l’état des terminaux, gestion des groupes d’utilisateurs, envoi de messages aux utilisateurs…), de configurer ses terminaux (restriction d’utilisation, choix des applications, VPN…) et de les piloter en appliquant une politique de sécurité (limite de certaines fonctionnalités, politique renforcée de mots de passe, blocage d’un terminal suite à une perte, un vol ou un départ, réinitialisation d’un terminal…). * ## 12- Les utilisateurs ont tous les privilèges et droits admins sur les postes de travail * Changer tous les mots de passes des utilisateurs et des comptes administrateurs * Définir une politique pour le cycle de vie des mots de passe utilisateurs * Mettre en place une gestion des accès aux postes clients et aux ressources de l'entreprise par un annuaire. Active Directory dans la version cloud sera utilisé pour centraliser les accès * Faire un backup de l'annuaire et de sa configuration de reference. * Suivre les ecarts entre les configurations de reference et celle en production --- # Scénario 2 : Plan d'action SSI pour une remise en production minimisant l'impact de d'indisponibilité En cas d'attaque par Ransonware, voici les actions à suivre : 1. **Remettre en état de fonctionnement l'infrastructure de l'entreprise** * Déconnecter toute les entrées réseaux des routeurs sur chaque site * Déconnecter tout les équipements reliés aux switches * Aller dans le magasin des équipements de l'entreprise et prendre de nouveaux routeurs, switches, Pare-feu, point d'accès wifi et serveurs * Recreer un nouveau réseau avec les nouveaux équipements ( reseau interne et reseaux externe) * Analyser les configurations de references des serveurs, routeurs et switchs et appliquer les patchs eventuekes tout en corrigeants les eventuelles failles de sécurité * Installer les versions recentes et stables des serveurs Windows, les configurer avec les configurations de references et appliquer les derniers correctifs disponibles * Mettre à jour les autres équipements réseaux et installer leur configuration de base * Modifier les politiques de sécurités des flux en ouvrant progressivement les flux vers les ports et machines necessaires * Refuser l'accès à tout équipements mobiles qui était opérationelle avant et pendant l'attaque. * Faire un scan pour s'assurer que les systèmes déployer au sein des équipements ne sont pas compromis et appliquer les patchs necessaire 2. **Remettre en état de fonctionnement les applications et systèmes de l'entreprise** * Déterminer l'ordre de re-demarrage des services et systèmes applicatifs de l'entreprise * Scanner tout logiciel devant être installer sur le nouveau réseau construit à l'étape précendente et rechercher les derniers patchs disponible * Installer les versions patchés des solutions et appliquer les configurations de base * Relancer une à une les VMs eventuelles sur les serveurs après un scan rigoureux afin d'éliminer les failles et appliquer les patchs le cas écheant * Utiliser les versions provenant d'une sauvegarde non compromise par l'attaque ( version gravée sur DVD, disponible dans le cloud, disponible dans un coffre-fort, etc) --- # Scénario 3 : Livraison du PRA Sécurité ## Définition Un Plan de Reprise d’Activité (PRA) est une procédure qui permet d’assurer la reprise des activités, en mode dégradé ou à plein régime, d'une entreprise en cas de sinistre comme une cyberattaque. Son objectif principal est d’anticiper et d’atténuer les effets dévastateurs du sinistre sur la pérennité des activités de l'entreprise. C’est un document qui répertorie les démarches à entreprendre pour reconstruire son système informatique en cas de crise importante et la remise en route des applications nécessaires aux activités d’une entreprise. Dans le cadre de cet exercice, je mettrais un accent sur la reconstruction du système informatique et de son infrastructure sécuritaire. ## PRA Sécurité Je me suis appuyé sur les recommandations Geoffrey H. Wold qui décrit le processus entier de développement d'un PRA 9 étapes. ### Étape 1 : Obtenir l'engagement de la haute direction Je sollicite de la part de la Direction de l'entreprise une implication et l'inscription de la mise en place d'une PRA Sécurité dans la stratégie de l'entreprise. Le RSSI ou le DSI et un Responsable de la sécurité doivent siéger au comité de direction de l'entreprise. Un comité de pilotage nommé par la comité de direction devra alors être mis en place ### Étape 2 : L'établissement d'un comité de planification Je met en place un comité de planification pour surveiller le développement et la mise en œuvre du PRA Sécurité. Il inclut des représentants de tous les services fonctionnels de l'organisation, un expert sécurité réseau, un expert Cybersécurité et le DSI/RSSI. ### Étape 3 : Procéder à une évaluation des risques Le comité de planification prépare une analyse de risque et une analyse d'impact sur l’activité qui inclut une gamme d’incidents possibles, y compris des menaces naturelles, technologiques et humaines. Chaque service de l'organisation est analysé pour déterminer la conséquence potentielle et l'impact associé à plusieurs scénarios de désastre. Le processus d'évaluation des risques évalue aussi la sécurité des documents importants. L'accent sera mis sur les risques de cyberattaques pour l'infrastructure et les services de l'entreprise. ### Étape 4 : Établir des priorités pour traiter l’incident À ce point, les besoins critiques de chaque service/département de l'entreprise sont évalués pour établir un ordre de priorités. ### Étape 5 : Déterminer les stratégies de récupération * On définit la stratégie de récupération en cas de cyberattaque. * On devra définit et contrôler le niveau de stock des ressources à utiliser en cas d'incidenet de manière à avoir une infrastructure fonctionnel meme en mode dégradé. * Une stratégie pour la sauvergarde des configurations de references des équipements, pour la sécurisation des flux, pour les authentifications, pour les autorisations, pour les mises à jour des correctifs, pour la sauvegarde des données devra être définie. * On definit les procédures de notifications en cas de changement de systèmes. * On met en place la stratégie pou le déploiment et le suivi des solutions XDR pour la sécurisation des hotes du réseaux, des détecteurs d'intrusions et des collecteur et analyseurs des logs systèmes. * on definit le plan de sensibilisation des utilisateurs aux techniques de cyberattaques et on planifie les campagnes de sensibilisation ### Étape 6 : Organiser et documenter un plan écrit On redige par écrit le PRA, on le fait valider par le comité de planification, les responsables d'applications, et les responsables des équipements de l'infrastructure ou de leur périmétre ### Étape 7 : Le développement de critères et procédures d'essai On definit les stratégies pour tester et definit la réussite du PRA car il me permettra de : * Déterminer la faisabilité et la compatibilité des installations de secours et des procédures ; * Identifier les zones du plan qui doivent être modifiées ; * Former les managers et les membres des équipes ; * Montrer la capacité de l’organisation à reprendre l’activité ; * Fournir une motivation pour maintenir et mettre à jour le PRA. ### Étape 8 : Tester le plan Une fois la stratégie de test definit, on passe au test proprement dit en simulant des incidents avec niveau de gravité croissant. On augmente ainsi progressivement les difficultés, on évalue la réactivité des collaborateur et on ajuste les procédures de façon à obtenir le PRA le plus performant et optimal possible. ### Étape 9 : Obtention de l'approbation du plan Une fois que le PRA a été écrit et testé, le plan est alors soumis à la direction pour approbation. Celle-ci doit donner son accord pour la mise en place d’un PRA. # References Ci-dessous les documents que nous avons consulté pour proposer notre PRA Sécurité [1] https://blog.foliateam.com/securite-cybersecurite/pra-pca-comment-choisir-et-quels-avantages/ [2] https://fr.wikipedia.org/wiki/Plan_de_reprise_d%27activit%C3%A9_(informatique)#:~:text=Un%20plan%20de%20reprise%20d,important%20ou%20d'incident%20critique [3] https://www.ssi.gouv.fr/uploads/2020/12/guide_protection_des_systemes_essentiels.pdf [4] https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf [5] https://www.ssi.gouv.fr/entreprise/produits-certifies/cc/produits-certifies-cc/produits-reseau/