# Evaluations ## Scénario 1 : > Votre mission consiste à intégrer sur chaque périmètre ci-dessus la sécurité maximal et nécessaire de Cyberdéfense du SI MicroInfoServices. ### Recommandations * Au lieu d’utiliser 20 serveurs physiques nous vous recommandons d’aller vers une solution virtualisations(Comme Vware ou même d’utiliser Hyper V) cela vous permettra de diminuer le coût de l’entretien et la facilité de faire des sauvegarde. * Faire des sauvegardes régulièrement et les testées * Fournir un espace de stockage aux utilisateurs * Penser à classifier les informations en fonction de leurs confidentialité. * Avoir toujours de liens redondantes et disponibilité des données. * Restreindre l’accès aux fichiers et répertoires. * Supprimer les droits administrateur des utilisateurs sur leurs postes de travail: Seules les admin doivent pourvoir installer un logiciel sur un poste. * Utilisation des GPO * Sensibiliser les utilisateurs * Sécuriser les mots de passe et l’authentification(multi-facteur) * Mettre à jour vos logiciels, systèmes d’exploitation et matériel informatique * Instaurer une charte de sécurité, notamment pour les téléchargements ou l’utilisation de supports amovibles de stockage ### Coté matériel : * **Les switchs** : vous devez les changer par des cisco meraki car les switchs catalyste sont obsolètes aucune mises à jour n’est disponible cela peut facilité à un attaque d’utiliser une faille existant sur ces type de switchs. * **VPN** : de préférence : Les VPNs IPsec multipoints dynamiques (Dynamic Multipoint VPN, DMVPN) permettent de déployer rapidement un grand nombre de sites de manière sécurisée et qui consomme moins de bande passante par rapport au vpn ip SEC site to site. * Vous pouvez utiliser les firewall pour filtrage et ajouter un IDS et IPS . * **PS: la plupart des FIREWALL d’aujourd’hui ont ses 3 fonctionnalités réunies** * Un IDS est un dispositif passif qui surveille et analyse des paquets entiers, en-tête et charge utile, traversant le réseau et les compare aux modèles de signatures connues. Il déclenche une alarme lorsqu’il détecte une activité suspecte( tentatives d’intrusion, une attaques virales, un débit trop important, un trafic suspect) alors qu’un IPS applique une politique de blocage précise en fonction de la lecture des logs. * **Le contrôleur de domaine** : vous devez changer votre serveur Windows 2012 R2 pour une version soit de windows serveur 2016 ou plus, car celui que vous utilisez en ce moment compte moins de fonctionnalités pour assurer la sécurité de l’infra. * Nous vous recommandons aussi d’utiliser azure active directory : est un service de gestion des identités utilisateurs externalisé sur le cloud public Microsoft Azure. * vous avez la possibilité : * Assurer la gestion des identités, * Mettre en place l’authentification multi-facteur, * Gérer plus facilement les mots de passe utilisateur, * Contrôler les accès automatiquement * De le synchronisé avec votre AD local. * **Pour le serveur Exhange 2016** : Nous vous recommandons de migrer vers une solution Office365 cela vous permettra d’avoir la suite office pour la production. * **Serveur WEB** : Si vraiment vous avez besoin qu’il soit en local, vous pouvez utiliser une solution open source linux, tout en veillant à respecter les bonnes pratique : * Mettre en place une DMZ * S’assurer qu’il est en https. * Lors du développement du code pas des possible d’injection sql, se protéger d’une faille upload, la faille XSS (Cross-site scripting). * Le mettre à jour régulièrement * Possibilité d’utiliser des solutions cloud comme Aws lightsail * **Pour les pc clients** : * Pour des raisons de sécurité vous devez bannir les postes Windows XP, pensez à les changer immédiatement car aucune mise à jour ou correction des failles de sécurité n’est disponible. * Pour une conformité des postes de travail, vous devez migrer vers windows 10 cela facilitera aussi la gestion des mise à jour et la correction de faille de sécurité. * P**our l’antivirus**, vous pouvez utiliser Windows defender de Microsoft. * **En ce qui concerne le WIFI** : nous allons partir avec des bonnes wifi comportant une solution 802.1x/RADIUS (Remote Authentication Dial-In User Service) ainsi les utilisateurs seront authentifié grâces à leurs certificats à jour. * **Pour gérer la flotte mobile** nous vous recommandons d’utiliser vmware workspace one uem grâce cette solutions vous avez la possibilité : * Inventorié la flotte mobile. * Déployer des correctifs et mise à jour. * Assurer la gestion de la flotte mobile. ## Scénario 2 : > 6 mois après la refonte sécuritaire du réseau de l’entreprise une vulnérabilité a bloquée tout le SI de l’entreprise (Ransomware sur les Servers, Clients et Mobiles) 1. La première de chose à faire est de s’isoler : déconnecter l’infrastructure de l’internet. 1. Faire une évaluation des dommages La bonne gestion d’une cyberattaque passe aussi par une évaluation précise des dommages causés : * Déterminer le degré d’atteinte et de corruption du système informatique d’une entreprise ; * la provenance de l’attaque : vient-elle d’une clé USB infectée, d’une faille du système informatique ou d’une pièce jointe piégée ? Pour trouver la meilleure réponse à la cyberattaque dont vous êtes victime, il est indispensable de l’analyser pour déterminer sa nature : déni de service, hameçonnage, etc. 1. Faire sortir une machine qui n’a jamais servi. 3. Commencer à réinitialiser les Serveurs infectés. 4. Utiliser les backups **Le plan d'action SSI** | Num | Actions | |:------------:|:-------------------------------------------------:| | 1 | Gestion des serveurs, poste de travail et Mobiles | | 2 | Gestion des comptes utilisateurs | | 3 | Gestion des réseaux | | 4 | Gestion des sauvegardes | | 5 | Gestion des ressources humaines | | 6 | Organisation | ## Scénario 3 : > Pouvez-vous livrer un « PRA sécurité » ? **Plan de Reprise d'Activité (PRA Sécurité)** Pour mettre en place il faut: * Le coût d’une perte d’exploitation * Déterminer les services stratégiques * Infra * ApplicationS * Services * Les dependances * Mise en place d'un plan de sauvegarder * Choisir notre politique de sauvegarde * Yype de sauvegarde * Automatisation des sauvegarde * Mise en place d'un plan de restauration * Stratègie de restauration * L'ordre de restauration des services. * Externaliser une partie son infra dans le cloud * ou Dépoyer une séconde infra. * Auditer notre PPRA-sécurité