# LOT F : PAUL
## Audit de sécurité d'ECP multiservice
### Périmetre internet
Suite à la demande d'ECP multiservice, nous avons pendant 5 jours effectué un audit de sécurité qui a révélé certains manquements. Voilà sous la forme d'un tableau récapitulatif, l'ensemble des points vérifiés et les conclusions associées.
| Question | Réponse |
| -------- | -------- |
| Le réseau informatique dispose-t-il d'un équipement capable de filtrer les URL visitées (proxy ou firewall) ? | OUI |
| Dispose-t-il de catégories à risques bloquées comme Phishing, Command and Control, Malware, Hacking, Proxy, Adulte, etc. ? | OUI |
| Est-il capable d'authentifier les utilisateurs (couplage AD, Kerberos, portail captif, etc.) ? | OUI |
| Y a-t-il des logs des URL visitées qui sont conservées et analysables (rapport sur l'usage, etc.) ? | NON |
| L'équipement de filtrage est-il capable de faire de la détection applicative ? | OUI |
| Le réseau dispose-t-il d'un équipement capable de faire de la détection antimalware ? | OUI |
| La détection est-elle active sur les principaux vecteurs de propagation (http, smtp, imap, pop, ftp, smb, etc.) ? | OUI |
| L'analyse supporte-t-elle différents formats de fichiers (exe, doc, excel, pdf, apk, jar, archives, flash, etc.) ? | OUI |
| L'équipement est-il capable de faire du decrypt SSL et celui-ci est-il activé ? | NON |
| La solution est-elle capable de faire une analyse dynamique du fichier et non statique basée sur un hash ? | NON |
| Le réseau dispose-t-il d'un équipement capable de faire de la détection contre les intrusions ? | OUI |
Conclusion :
Le niveau de sécurité basique du périmetre internet est atteint. Cependant le traffic internet ne génère pas de logs, cela affecte la capacité d'analyse de situation post-incident. Impossible de faire du decrypt SSL, cela empeche la lecture de trames chiffrées. L'analyse dynamique n'est pas possible, cela empeche de reunir certaines informations sur un eventuel malware et force le recours à une aide exterieur.
### Périmètre DMZ
| Question | Réponse |
| -------- | -------- |
| Une zone cloisonnée appelée DMZ est-elle en place pour isoler les serveurs publiés sur internet du LAN ? | OUI (uniquement au siège) |
| Les ports ouverts sur internet sont-ils identifiés, limités et nécessaires ? | OUI |
| Un filtre IPS strict est-il en place sur le trafic entrant ? Voire un Web Application Firewall dans le cadre d'une application web ? | OUI |
| Les équipements de type Pare-feu et Load-Balancer sont ils redondés ? | NON |
Conclusion : La DMZ est bien en place et sa configuration suffit à maintenir un bon niveau de sécurité pour les services qu'elle heberge. En revanche nous constatons un manque de redondance des équipements qui pourrait s'averer problèmatique en cas d'attaque DDOS.
### Cloisonement LAN
| Question | Réponse |
| -------- | -------- |
| Y a-t-il un cloisonnement strict entre les serveurs support de l'infrastructure et les autres serveurs et utilisateurs ? | NON |
| Y a-t-il un cloisonnement ou bien des règles de filtrage fines, voire un IPS entre différents groupes d'utilisateurs (standard, VIP), entre les utilisateurs et les serveurs métiers, entre les groupes de serveurs métiers ou encore entre les sites ? | NON |
Conclusion : L'analyse révèle un manque de cloisonement de l'infrastructure d'ECP Multiservice. Il est aisé pour un utilisateur averti d'acceder aux serveurs des applications metiers auquel il ne devrait normalement pas devoir accès. Cela pose un problème particulièrement en cas d'attaque, où la diffusion d'un malware serait grandement facilité.
### Authentification
| Question | Réponse |
| -------- | -------- |
| Les utilisateurs arrivent-ils facilement à retenir leurs mots de passe sans l'écrire et à accéder aux différents services ? | NON |
| Les authentifications sont-elles centralisées ? | NON |
| Le nombre de mots de passe à connaître est-il raisonnable ? | OUI |
| Les utilisateurs qui ont la nécessité d'avoir beaucoup d'identifiants différents (services externes non maitrisés par la DSI) ont-ils un gestionnaire de mot de passe robuste ? | NON |
| Les services critiques et les accès externes disposent-ils d'une authentification forte ? | INSUFFISANTE |
| Les anciens utilisateurs sont-ils désactivés ? | PAS SYSTEMATIQUEMENT |
Conclusion : La politique d'authentification ne prend pas suffisement en compte l'importance de la gestion des mots de passe. Certains salariés les notent sur des post-it, d'autres utilisent le même mot de passe partout, d'autre encore utilisent des mots de passes personnels. Il n'y a pas de gestionnaire de mot de passe par défaut sur les postes de chaque utilisateurs. La gestion des comptes comporte egalement des failles, notemment le fait qu'il y a un délai de parfois plusieurs semaines avant la suppression du compte d'un utilisateur parti.
### Mise à jour
| Question | Réponse |
| -------- | -------- |
| Y a-t-il une stratégie de mise à jour des systèmes d'exploitation (clients et serveurs) ? | OUI |
| Tous les logiciels d'un système sont-ils maîtrisés ? | NON |
| Y a-t-il une stratégie de mise à jour des logiciels ? | INCOMPLETE |
| Les logiciels ne pouvant pas être mis à jour et comportant des vulnérabilités sont-ils connus et y a-t-il une stratégie de minimisation du risque ? | NON |
Conclusion : Certains logiciels sont peu utilisés et nous constatons un manque de documentation. La stratégie de mise à jour ne couvre pas efficacement tous les logiciels, certains sont donc encore sous d'anciennes version. Coté OS, certains postes sont sous des versions non supportés de Windows pour des raison budgetaires, il s'agit d'une faille de securité majeure.
### Anti-virus et plus
| Question | Réponse |
| -------- | -------- |
| Les postes de travail et les serveurs sont-ils protégés contre les codes malveillants connus ? | OUI |
| La solution déployée dispose-t-elle d'une suite d'outils de sécurité renforçant son efficacité au-delà de la base de signatures connues ? | OUI |
| Une console de gestion centralisée permet-elle le déploiement de stratégie de sécurité et autres fonctions avancées (audit, monitoring, déploiement de mise à jour, etc.) ? | OUI |
Conclusion : Une solution Anti-virus (kaspersky) complète est déjà en place, cependant cette solution n'est pas la plus efficace. Un anti-spam est également de rigueur pour completer la protection du réseau.
### Chiffrement
| Question | Réponse |
| -------- | -------- |
| Tous les périphériques nomades embarquant potentiellement des données ou identifiants de l'entreprise sont-ils chiffrés ? | NON |
| Les accès distants sont-ils chiffrés ? | OUI |
| Les accès métiers de l'entreprise sont-ils chiffrés ? | OUI |
Conclusion : Certains PC portables et telephones de fonction ne sont pas chiffrés correctement, cependant ils n'embarquent pas tous des données sensibles. Il n'y a pas de système de double authentification obligatoire pour tous les accés (serveurs et sessions utilisateurs).
### Sauvegarde / PRA
| Question | Réponse |
| -------- | -------- |
| Les données les plus importantes sont-elles biens incluses dans les jeux de sauvegarde ? | OUI |
| La sauvegarde est-elle supervisée ? | OUI |
| La sauvegarde fonctionne-t-elle ? | OUI |
| Arrive-t-on à restaurer les différents types de données ? | PAS SUFFISAMENT TESTE |
| La sauvegarde est-elle externalisée ? | PARTIELLEMENT |
| Y a-t-il un Plan de Reprise d'Activité (PRA) pour tous les scénarios probables ? | PARTIELLEMENT |
Conclusion : La sauvegarde n'est pas suffisement testée, il y a des incertitudes quand au temps nécessaire pour reprendre l'activitée suite à une perte massive de données. Le PRA n'est pas complet
### BYOD
| Question | Réponse |
| -------- | -------- |
| Si l'usage BYOD est autorisé, est-il encadré ? | PAS AUTORISE |
| L'usage non maitrisé ou non autorisé du BYOD est-il impossible ? | OUI |
Conclusion : Le BYOD est interdis, cela evite de rammener du contenu potentiellement dangeureux ou infectés au sein du réseau de l'entreprise.
### Securité informatique
| Question | Réponse |
| -------- | -------- |
| Disposez-vous d'une politique de sécurité ? | OUI |
| Couvre-t-elle tous les sujets importants ? | NON |
| Est-elle applicable en condition réelle ? | PAS SUFFISEMENT TESTE |
| Les personnes concernées sont-elles informées de son existence ? | OUI |
Conclusion : La politique de sécurité ne couvre pas suffisement le risque d'attaque de phishing. Les utilisateurs n'ont pas d'outil permettant de signaler un mail suspect au administrateurs malgrès une connaissance suffisante des bonnes pratiques. L'ensemble des politiques de securité n'est que rarement testé, et jamais au cours d'exercices impliquant la totalité des services. Par conséquent son fonctionnement en situation d'urgence n'est pas garanti.
### Sensibilisation
| Question | Réponse |
| -------- | -------- |
| Les utilisateurs sont-ils sensibilisés au risque informatique (phishing, malware, vol de données, etc.) ? | OUI |
| Des actions de sensibilisation et des rappels réguliers sont-ils effectués ? | PAS SUFFISEMENT |
| Les nouveaux arrivants sont-ils informés du risque ? | PAS SUFFISEMENT |
Conclusion : Les utilisateurs sont pour la plupart formés aux risques principaux mais on note un manque de suivi et de sensibilisation au quotidien. Les nouveaux arrivant doivent parfois attendre plusieurs semaines avant leur première session liée à la sécurité.
### Sécurité Physique
| Question | Réponse |
| -------- | -------- |
| Y a t'il suffisement de caméras de sécurité à l'entrée du batiment, dans les couloirs et près des zones sensibles (salles serveurs, dépot de matériel informatique ?) | NON |
| L 'entrée du batiment est elle sécurisée par un portique d'accés ? | OUI |
Conclusion : Il faut rajouter des caméras 360° à l'entrée des salles serveurs car nous constatons plusieurs angles morts exploitables avec les caméras actuellement en place.
## Pentest de l'infrastructure réseau
Afin de completer cet audit, nous proposons à ECP Multiservice d'effectuer avec leur accord un pentest de leur infrastructure réseau afin de déceler de potentielles failles à corriger pour améliorer la sécurité globale.
Ce Pentest sera effectué par une entreprise prestataire que nous choisirons après consultation. Le prestataire va mettre en oeuvre une batterie de tests visant à penetrer l'infrastructure, puis si il y parvient, essaiera de chercher au sein même du réseau des vulnérabilités qui permettrai à un vrai malfaiteur de s'étendre pour par exemple executer un ransomware.
A l'issus de l'opération, le prestataire rendra compte des résultats et pourra en fonction de l'offre choisie, proposer des solutions pour améliorer l'infrastructure existante.
Voilà une liste non exhaustive de ce qui pourrait être fait lors du pentest :
- Pentest de l'infrastructure réseau externe :
.Analyse des services ouverts sur différents serveurs
.Recherche de vulnérabilités liées à la configuration des services présents
.Identification de failles liées à l’architecture logicielle des systèmes d’exploitation présents sur les serveurs
- Pentest de l'infrastructure réseau interne :
.Identifier des services vulnérables
.Trouver un manque de chiffrement des données
.Détecter de mauvaises gestion de droits
.Evaluer la sécurité du réseau par du sniffing et de la manipulation de paquets
.Détecter les mauvaises configuration du réseau ou des applications web internes
Sign in with Wallet
Connect another wallet