---
title: SECUP - 5
description: nature des enquetes techniques que l on peut faire, comment construire un rappot de restitution, un petit zoom sur les boite qui recrutent
author: Moemoea Fiérin
tags: SECUP, Hista, moemoea.fierin
---
# Partiel
- ++3 parties:++
- 1 QCM
- Fournir des éléments de réponse (Exemple: Que veut dire le DICT)
- Formaliser l'equivalent d'un referentiel d'audit sur un équipement. Quelles sont elements qu'on va voir pour auditer (gestion des droits correctement faite, antivirus à jour) => en gros c'est les contrôles qu'on ferait nous.
# <span style="color:red">Contrôle de sécurité des SI.</span>
## Les investigations et résultats
Il n'y a pas de normes dans les investigations.
On a des investigations de l'ordre de la conformite
Par exemple: jugé la robustesse (soliditidé)
Exemple:
- Controler les infrastrucures
- analyse des architectures
- controle de config
- tests d'intrustion
- Controles les applications
- analyse de code
- tests de fonctions de securite
- tests de vulnerabilité
- controle les process
- controle environnements
- controles des procedures
- controles des methodes
:::info
quand y'a pas de methodes y'a des trous dans la raquette. On est plus sur la facon dont la securité a ete integrer dans les sys
:::
## Types et natures d'investigation
Comment on va realiser ses investigations:
- observation visuelle (cablage pourrie)
- relevé techniques (revue de configuration: on regarde comment notre sys est parametré)
- des entretients
- releve de paramètre
- des analyse doc
- des tests techniques
:::info
L'auditeur doit etre en capacité de maitrisé 90% de ces investigations
:::
## Le CS1: analyse d'architecture
Quelles sont les briques qui sont prévu
En générale il y'a un schéma réseau. (Exemple: Une archi qui n'aura pas de firewall aura des risques)
C'est de l'analyse documentaire et si necessaire des entretients.
Ce qu'on va regarder:
- comment est fait le cloissonement entre les réseau
- le bon routage
- le filtrage
- la surveillance avec sondes
:::info
Si on n'y a pas penser a la conception ce ne sera pas realiser a la realisation.
:::
Exemple de preuves recherchées:
- absence d'identification d'objectifs de securite
- absence de module de securite
:::warning
Guide de durcicement: ens des parametrages qu'il faut faire pour qu'un equipement soit robuste. Par ex: pas de possibilité de se connecter avec une clé USB. Ce sera une série d'exigence.
:::
On regarde sur chaque equipement si on est en ecart par rapport au guide de durcicement:
- par ex: est ce que l'os est à jour.
## LE CS1&2 Tests d'intrusions/vulnérabilité
**Contrôle du contenu:**
- tests d'intrustions su rles infra
- tests de vuln des applications
**Méthode:**
- Boite noire
- Boite Blanche: l'auditeur dispose sur d'informations
- Interne: à partir du reseau interne
- Externe: à partir d'internet
**Démarche et outils:**
-> Schémas
- installation des tests
- collection passive
- collecte active
- qualification
- intrusions
**Outils libres pour mener des tests d'intrusions**
- Kali Linux
- nmap scanner de port
- metasloit = framework de test d'intrusion le plus utili
- wireshark
- hydra = craquer de mdp
- john the ripper = crackeur de mdp
- Zed Attck Proxy = se positionne entre le navigateur et le site web que l'on veut tesrer
- aircracl-nq = permet de casser le wifi
- Sqlmap
## CS2 Analyse de code
Aujourd'hui les analyses de codes sont fait avec des outils:
- static
- dynamic
**Principe OWASP**
Recommandation de points a tester
**Analyse static:**
- revues a la mains de
- debordement de memoires tampons
- l'utilisation de fonction sts incontrolee
- les outils d'analyse statique auj propose de corriger
**Analyse Dynamic:**
- va faire un peu comme du debugage
- il va compiler, injecter des trucs dedans et voir comment il réagit.
**Les outils qui permettent de faire de la revues de code:**
- icast
- ...
**Objectifs:**
verifier la robustesse des fonctions de secu
**Méthode:**
Ces investifations s'appuient essentiellement sur des analysesdoc, des tests fonctionnels, ...
**Méthode et outils**
- fonctions necessaire a la securite
- faire des tests
## CS3 - Controles des environnements
- contenu du controle
- Methode: aalyse doc, tests fonctionnels/Technique
**Demarche et outils**
Entretient avec les catégories suivantes:
- maitrise d'ouvrage
- resonsable secu
- exploitant
- admin
- utilisateur
- ...
**exemple de preuves recherchees**
- procedure ecrites
**Controle du contenue**
Le controles des ùetjod
**Méthode**
Pour eviter d'avoir chacun ses avis il faut normé tout ca
**Demarche et outils**
**Exemple de preuves recherchees**
**Qql recommandation pr evalue le niveau de secu des SI**
- S'assure que l'entretient a bien lieu avec les personnes adequated
- mener l'entretient dans l'env. de travail de l'interlocuteur
- mettre à l'aise
- rappeller le contexte et les objs
- permettre a l'interlocuteur de se presenter
- reformuler et vaider les elements recueillis lors de l'entretient
- ne pas juger au cours de l'entretient
- remercier à l'issue de l'entretient
- diffuser un compte-rendu
## La gestion de preuve
Il faut que la preuve soit:
- vérifié
- reproductible: probleme reproductible sur un echantillon representatif, pas sur une seule machine
- etre clairement identifiéepouvoir etre fournis a la demande
- pouvoir etre fournis a la demande
- etre proteges en confidentialité et en intégrite
- avoir ete obtenus dans me cadre du mandat 'honnetement'
- repondre au exigences legale de conservations (infractions quand ca contient des données personnelle et que la preuve est garder longtemps)
Il n'y a pas de:
- j'ai le sentiment que, la proba que, on m'a dit, ...
Si l'auditeur a conviction qu'un situation +tive ou -tive existe, il ne peut en faire etat que si il peut fournir une preuve.
---
## Mise en pratique
## Le Rapport
Faire un rapport de tout ce qui va et ce qui va pas
Sign in with Wallet
Connect another wallet