# Evaluation ## Scenario 1 - Au vu de cette architecture il vaudrait clairement avoir plus qu'un seul firewall afin de sécuriser au maximum le réseau local et de ce fait pouvoir détecter les tentatives d’intrusion et de les stopper. Ceci aboutira a une sécurité en plus qui rend le réseau ouvert sur Internet beaucoup plus protégé.Cela peut permettre aussi de limiter l’accès interne vers l’extérieur . - Les VPN IP SEC site à site qui sont utilisés par ce SI construisent un réseau virtuel qui unit des réseaux provenant de localisations variées afin de les connecter à Internet et ainsi garder des communications sécurisées et privées entre ces derniers.C'est une bonne chose pour le SI. - On constate qu'il n'y a plus de support depuis l'année 2020 sur la version windows 2012 R2 donc pour ceci il faut absolument utiliser la dernière version windows en date. - Le serveur de messagerie de la societe est en version Exchange 2016 , cette version est consacrée aux petites entreprises. Pour améliorer cela il faut installer la derniere version du server de messagerie afin de se conformer avec le volume de la societe - Il est obligatoir de toujours mettre à jour le serveur d'application afin de contourner les attaques suceptibles de survenir - Il faudrait passer a un autre serveur web , je conseille windows server 2019.Si la societe possede deja un site héberger sur le server web apache, il faudra procéder a la migration ver le nouveau server web via ORACLE WEB LOGISTIC par exemple. - Les clients de la societe qui n'ont pas la version windows 10 doivent imperativement s'y mettre car les version XP et 7 n'ont plus de support. - Avast est antivirus correct mais pour une entreprise de cette envergure c'est pas efficace, je propose Kapersky par exemple. - Pour sécuriser le Wifi il faut : utiliser un mot de passe a difficulté élevé,chiffrement WPA/WPA2, création de sous réseaux déstinés aux invités. - La sécurité informatique des flottes est trés importante de ce fait il faut sensibiliser les 200 employés aux différents risques qui pourraient survenir; il faudraut limiter les téléchargements d’applications mobiles par exemple; aussi mettre en place une bonne gestion des mots de passe; et aussi chiffré les données sensibles. - Certes les utilisateurs ont régulierement besoin de droits Admin pour remplir leur rôle, mais il est impératif que seul l'admin doit etre possession des droits afin de restreindre l'étendue possible des differentes attaques. ## Scenario 2 - Le plan d'action que je propose consiste en 2 parties tout d'abord comment réduire les risque d'attaque et ensuite comment réagir suite a une attaque.Commencons par les bonne méthode pour réduire les risque d'attaques: - SAUVEGARDER LES DONNÉES : Des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructure et d’applications métier critiques doivent être réalisées. Il s’agit de garder à l’esprit que ces sauvegardes peuvent aussi être affectées par un rançongiciel. En effet, de plus en plus de cybercriminels cherchent à s’en prendre aux sauvegardes pour limiter les possibilités pour la victime de retrouver ses données et ainsi maximiser les chances qu’elle paie la rançon.Ces sauvegardes, au moins pour les plus critiques, doivent être déconnectées du système d’information pour prévenir leur chiffrement, à l’instar des autres fichiers. L’usage de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permettent de protéger les sauvegardes d’une infection des systèmes de conserver les données critiques à la reprise d’activité. À cet égard, il est important de noter que les architectures « backup-less 2 » protègent efficacement contre la destruction de données isolées, lorsqu’elle est due à une panne matérielle. En revanche, elles ne protègent pas contre les attaques ciblées par rançongiciel car les attaquants s’emploient à chiffrer les données de l’ensemble des serveurs. - MAINTENIR À JOUR LES LOGICIELS ET LES SYSTÈMES: Les vulnérabilités non corrigées des systèmes d’exploitation ou des logiciels présents sur le système d’information peuvent être utilisées pour infecter le système ou favoriser la propagation de l’infection. Des mises à jour incluant des correctifs de sécurité sont régulièrement publiées par les éditeurs de ces solutions. Il est crucial de les installer dans un délai court et selon un processus maîtrisé. En cas d’impossibilité avérée, pour des raisons métier par exemple, il s’agira de mettre en œuvre des mesures d’isolement pour les systèmes concernés.Les logiciels installés sur les postes utilisateur (navigateurs web,suites bureautiques, lecteurs PDF, lecteurs multimédias, etc.) doivent faire l’objet d’une attention particulière. Il est donc important d’anticiper les échéances du cycle de vie des matériels et des logiciels présents sur votre système d’information afin de de les maintenir à jour. De la même manière, les ressources exposées sur Internet non mises à jour (services de messagerie électronique, hébergement web, extranet, etc.) sont régulièrement exploitées par les attaquants. Il est donc essentiel de porter une attention toute particulière à l’application de correctifs de sécurité dans les plus brefs délais. - UTILISER ET MAINTENIR À JOUR LES LOGICIELS ANTIVIRUS: L’utilisation d’antivirus pour se protéger contre les rançongicielsreste aujourd’hui nécessaire sur les ressources exposées (exemple : postes de travail, serveurs de fichier, etc.). Ces outils ne garantissent pas de protéger votre entité de rançongiciels encore inconnus mais peuvent, dans la majorité des cas, empêcher une compromission et éviter le chiffrement de vos fichiers. Toutefois, pour que ces outils soient efficaces, il est important d’effectuer une mise à jour fréquente des signatures et du moteur du logiciel et de s’assurer régulièrement de l’absence de logiciel malveillant connu sur les espaces de stockage des fichiers de l’entité. - CLOISONNER LE SYSTÈME D’INFORMATION: Sans mesure de protection et à partir d’une seule machine infectée,le rançongiciel peut se propager sur l’ensemble de votre système d’information et infecter la plupart des machines accessibles. Sur un réseau informatique qui n’est pas cloisonné, un attaquant est susceptible de prendre le contrôle d’un grand nombre de ressources et ainsi amplifier les conséquences de l’attaque. Il pourrait par exemple accéder aux fonctions d’administration ou aux équipements réservés aux administrateurs. Pour limiter le risque de propagation, il convient de mettre en place un ou plusieurs dispositifs de filtrage permettant un cloisonnement entre les différentes zones réseaux plus ou moins critiques du système d’information (exemple : zone des serveurs internes, zone des serveurs exposés sur Internet, zone des postes de travail utilisateurs,zone d’administration, etc.).Un cloisonnement des niveaux d’administration peut également être mis en place afin de s’assurer que les niveaux d’administration les plus hauts soient difficilement atteignables par les attaquants.Par ailleurs, les connexions entre les postes des utilisateurs doivent être interdites par défaut. Configurer de façon ad hoc le pare-feu logiciel des postes de travail empêchera les flux de données entre ces postes et permettra de réduire le risque de propagation du rançongiciel. - LIMITER LES DROITS DES UTILISATEURS ET LES AUTORISATIONS DES APPLICATIONS: Une première bonne pratique consiste à vérifier que les utilisateurs ne sont pas administrateurs de leur poste de travail. Ainsi, l’installation de logiciels et l’exécution involontaire de codes malveillants seront impossibles par défaut. Une autre bonne pratique consiste à dédier et à limiter les comptes d’administration sur les ressources du système d’information et à mettre en place des postes de travail dédiés à l’administration, sans accès à Internet. En effet, lors d’une compromission, on constate que les attaquants s’emploient souvent à accéder à ces comptes privilégiés. Les actions de propagation du rançongiciel au sein du système d’information sont généralement réalisées à l’aide de comptes d’administration,notamment lors des attaques de type « Big Game Hunting ». Il est donc nécessaire de limiter le nombre de ces comptes au strict nécessaire et de porter une attention particulière à l’utilisation qui en est faite. Ces restrictions empêcheront le rançongiciel de s’exécuter ou limiteront sa capacité à chiffrer les fichiers.Afin de réduire d’avantage le risque d’une attaque par rançongiciel,il est recommandé de procéder au durcissement 3 de la configuration des équipements suivants : postes de travail, serveurs et applications les plus courantes, en particulier celles exposées sur Internet ou traitant des données en provenance d’Internet. Parmi les règles de sécurité supplémentaires applicables, les stratégies de restriction d’exécution logicielle (Windows Defender ATP et Applocker sous Windows) permettent de limiter l’exécution de logiciels malveillants. - MAÎTRISER LES ACCÈS INTERNET: Les rançongiciels utilisent souvent les accès Internet des entités pour communiquer avec une infrastructure hébergée en ligne par les cybercriminels. Par ailleurs, en naviguant sur un site web compromis, uncollaborateur pourra sans le savoir télécharger et provoquer l’installation automatique du programme malveillant sur son poste de travail. Aussi, la mise en œuvre d’une passerelle Internet sécuriséepermettant de bloquer les flux illégitimes avec des relais applicatifs incontournables implémentant des fonctions de sécurité (exemple : serveur mandataire pour les accès web, résolveur DNS pour les requêtes de noms de domaine publics) réduira les risques relatifs aux rançongiciels. Ce relai pourra notamment permettre de filtrer les tentatives de connexion en fonction de la catégorisation ou de la réputation des sites que vos collaborateurs tentent de visiter et identifier les activités anormales (exemple : transmission d’un volume de données important depuis le système d’information vers un serveur étranger à la structure et à ses prestataires de service). - Réagir suite a une attaque: - ADOPTER LES BONS RÉFLEXES: Le premier réflexe est d’ouvrir une main courante permettant de tracer les actions et les évènements liés à l’incident: l’heure et la date de l’action ou de l’évènement ;le nom de la personne à l’origine de cette action ou ayant informé sur l’évènement ,la description de l’action ou de l’évènement.Ce document doit permettre à tout moment de renseigner les décideurs sur l’état d’avancement des actions entreprises.Afin d’éviter une propagation du rançongiciel sur les autres équipements informatiques de l’entité, il est important de déconnecter au plus tôt vos supports de sauvegardes après vous être assurés qu’ils ne sont pas infectés et d’isoler les équipements infectés du SI en les déconnectant du réseau. Il peut être utile de vérifier la présence ou non d’une éventuelle connexion sans fil sur ces équipements et, le cas échéant, de la désactiver. Afin de couper l’accès de votre système d’information à un attaquant agissant depuis Internet, il est important d’isoler votre système d’information en bloquant toutes les communications vers et depuis Internet. Ainsi, l’attaquant ne sera plus en mesure de piloter son rançongiciel ni de déclencher une nouvelle vague de chiffrement. Cela évitera également l’exfiltration éventuelle de données. - PILOTER LA GESTION DE LA CRISE CYBER Les enjeux induits par une telle attaque vont bien au-delà de la perte de données ou du paiement d’une rançon. En effet, les organisations victimes doivent faire face à de nombreuses autres conséquences, c’est pourquoi il est recommandé de mettre en place une cellule de crise au plus haut niveau de l’organisation, indépendante des groupes de travail opérationnels qui auront des responsabilités de pilotage et d’exécution. - TROUVER DE L’ASSISTANCE TECHNIQUE: Certaines entités ne disposent ni des ressources ni de l’expertise nécessaires pour traiter un incident de sécurité. En ces circonstances,elles pourront faire appel à des prestataires spécialisés dans la réponse aux incidents de sécurité. Pour les particuliers et les petites entreprises, le Gouvernement a mis en place la plateforme cybermalveillance.gouv.fr qui permet d’entrer en contact avec des prestataires de proximité. - RESTAURER LES SYSTÈMES DEPUIS DES SOURCES SAINES: Concernant les équipements infectés, il est préférable de réinstaller le système sur un support connu et de restaurer les données depuis les sauvegardes effectuées, de préférence, antérieures à la date de compromission du système. Il s’agit de vérifier que les données restaurées ne sont pas infectées par le rançongiciel.