EVALUATION M2 TR – Sécurité SI
Les documents sont autorisés (notamment cours, TD, TP). Les réponses « copier/coller » ne seront par défaut pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions près). De préférence, répondre aux questions dans l'ordre. NB : Il est recommandé aux étudiants de bien lire les consignes du Contrôle Ecrit. Q1) Analyse de risques opérationnels : [4 pts] Face à des besoins de nomadisme (mais aussi de «technophilie » des VIP), un DSI lance un gros projet de déploiement de tablettes. Le but est de faire de ces environnements un remplacement du PC informatique classique, maîtrisé et sécurisé. Des différences avec la gestion du parc de PC apparaissent : pas de chiffrement des disques des tablettes (performances obligent), le mot de passe classique de session Windows est réduit à 4 chiffres car sinon trop long à taper à chaque activation de la tablette, pas d'antivirus proposé (« car il est connu que l'OS n'est pas vulnérable aux codes malveillants »), déploiement des correctifs impossible par les ondes (obligation que l'utilisateur rattache manuellement à une station d'accueil, procédure technique). Dérouler une méthodologie type DICP pour identifier les risques éventuels, proposer des solutions. Q2) Scan : [1pt] Un administrateur a-t-il le droit de réaliser un scan de vulnérabilités (type Nessus) sur une machine métier, sans prendre de précaution particulière au préalable ? Pourquoi ? Q3) Contextes entreprise et personnel : [2pts] Un employé utilise un dossier nomme « personnel », dans son dossier « Mes Documents » (attribué et sauvegardé par l'entreprise). Il est convaincu que les fichiers qu'il stocke dans ce dossier « personnel » sont inaccessibles (fonctionnellement parlant) par les administrateurs de l'entreprise. Est-ce exact ? Sachant que son dossier « personnel » fait 50 Go, qu'il contient une bibliothèque multimédia personnelle, alors que son disque « données » (incluant le « Mes Documents ») fait 70 Go, proposez une solution technique (simple) pour inventorier cet espace, tout en restant dans les règles ? Q4) Filtrage Internet, vu niveau opérationnel : [1pt] Soit un proxy filtrant (types de fichiers interdits par contraintes sécurité ou télécom, antivirus), avec génération de traces. Donnez le déroulement opérationnel succinct de sa politique de filtrage, pour un accès à www.xxx.com (avec donc vidéos) par un employé. Q5) Architecture : [2pts] Soit une application métier obsolète mais critique, avec un serveur HTTP, une couche applicative Servlet Java (Tomcat 6.0), et des postes clients avec Java 1.5. Oracle ayant annoncé la fin de support de Java 1.5 en octobre 2009, les services de veille alertent sur l'existence de codes d'exploitation ciblant cette architecture ; sachant que la migration de version Java a de fortes contraintes applicatives. Proposez un plan d'action, technique, afin de réduire les risques pour le SI : – niveau poste de travail EFREI M2 TR 2011 - PV
page 1 /2
CE Sécurité SI
–
niveau réseau
Q6) Crypto [3pts] Expliquez l'intérêt de la PKI par rapport au transit des mots de passe (par exemple sur le réseau) ? Sur quel élément principal repose la « robustesse » des clés asymétriques ? Qui, par exemple, fournit des recommandations ? Expliquez l'importance du magasin de certificats d'un système d'exploitation, et par conséquent le « problème » posé par l'affaire Diginotar. Q7) Veille SSI : [3pts] Expliquez succinctement ce qu'est un « 0day », du point de une vue d'une entreprise, et pourquoi il peut être une menace particulière pour un SI. En supposant qu'il s'agisse d'un 0day MS Word, donnez : – au moins 2 équipements de sécurité pouvant protéger le SI contre l'attaque (reposant sur l'exploitation de la faille de sécurité). – Au moins une bonne pratique permettant de réduire la criticité (impact) du 0day sur le parc Q8) Technophilie « BYOD » : [1pt] Dans l'entreprise où vous travaillez, un groupe de collègues très technophiles se plaint que les ordiphones proposés par le service informatique sont « obsolètes ». Ils prennent comme exemples d'autres entreprises où les employés ont utilisé leur propre téléphone, plus récent et puissant. L'un des collègues affirme qu'en mettant la carte SIM fournie par l'Entreprise dans le téléphone qu'il va ramener, tout ira bien puisque la SIM reste sous contrôle de l'entreprise et donc l'employé est correctement identifié par l'opérateur. Avant qu'il ne convainque tout le service, quel avis émettriezvous (et pourquoi) ? Q9) Trop de sécurité... [1pt] Une jeune pousse (« start-up ») monte un projet à toute vitesse pour être à l'heure sur le marché (« time to market »). Elle pense, heureusement, à la sécurité, notamment pour son portail web, puisqu'il héberge des profils authentifiés d'utilisateurs. Au niveau architecture, il y a un serveur global hébergé chez un prestataire français, avec un pare-feu frontal pour le cloisonnement réseau. Au lancement du service, le serveur s'écroule, 100% de CPU étant utilisés. Une investigation montre que c'est l'appel à la librairie OpenSSL qui prend toutes les ressources CPU. Expliquez la cause probable du problème et proposez une modification d'architecture pour y remédier. Q10) Culture générale, mais nécessaire en sécurité : [2pts] Donnez port et protocole de transport (selon les « standard » IANA) pour : – Proxy Squid (en configuration « standard » ou par défaut) – DNS – telnet – reverse proxy NginX (en configuration « standard » ou par défaut), port accédé par le client. D'un point de vue sécurité, que pourriez-vous dire globalement pour ces ports par rapport aux autres (notamment au-dessus de 1024) ? Bonne chance à tous ! EFREI M2 TR 2011 - PV
page 2 /2
CE Sécurité SI
