M2 Majeure Majeure Sécur ité
EVALUATION
Les documents sont autorisés (notamment cours, TD, TP). Les réponses « copier/coller » ne seront par défaut pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions près). Un malus de 1 point sera attribué en cas de grand nombre de fautes d’orthographe et/ou de grammaire. De préférence, répondre aux questions dans l'ordre. NB : Il est recommandé aux étudiants de bien lire les énoncés de l'évaluation. l' évaluation.
Q1) Discours commercial versus réalité des risques SSI opérationnels [4pts] Avec le temps, les bases de signature des antivirus grossissent, et les impacts de performance sur les machines sont problématiques. Lors de la rencontre entre le DSI de votre entreprise et un représentant commercial d ’un éditeur antivirus, ce dernier a dit au DSI : « l’ l ’avenir, c’ c’est le cloud . Aujourd ’hui, la puissance de calcul nécessaire né cessaire à l’ l’antivirus est déportée dans le cloud , pour soulager les machines. Nous avons un mécanisme de vérification de réputation, pour pour chaque chaque fichier scanné sur les machines : une empreinte du fichier est envoyée à nos serveurs sur Internet, pour analyse. Ce système fonctionne par le protocole DNS, lui-même très léger comparé à HTTP, HTTP, donc pas d ’impact réseau pour vous. ». Or, vous savez que dans votre entreprise, il y a un Active Directory, que l ’accès à Internet est filtré par des proxies web, que l’ l ’accès direct à Internet sans passer par les proxies est bloqué par pare-feu. A partir de ces éléments, déroulez une méthodologie d ’analyse de risque de type DICP pour le S.I., pour le cas où le DSI décide d ’acheter cette solution antivirus et de la généraliser sur le parc. NB : ne cherchez pas trop à compliquer, compliquer, mais soyez précis. Bravo, vous aurez analysé un cas réel… réel…
Q2) Vision sécurité [2pts] Lors d ’une discussion entre un DSI et un RSSI de la même société, le DSI déclare : « D ’après mes inventaires, tous les postes Windows Windows et les serveurs Windows sont sont à jour de correctifs sécurité, et les serveurs Linux c’ c’est en cours. Donc tout va bien pour moi sur l e plan cyber. ». Aidez le RSSI à répondre à cette affirmation, en vous appuyant sur les bonnes pratiques, les retours d ’expérience (vécus ou appris), et la veille SSI.
Q3) Croyances et réalité [2pts] Dans une entreprise, les administrateurs Linux utilisent SSH et l es comptes root pour pour administrer les serveurs Linux, ainsi que les équipements réseau. Ils estiment que cette façon de faire ne pose pas de problème, car le protocole SSH lui-même est sécurisé. Que répondez-vous à cette affirmation ? (pensez à bien justifier). Que conseillez-vous ?
Q4) Architecture Architecture système [1.5pts] Pourquoi le fait de pouvoir « hooker » (crocheter), ou non, des routines noyau référencées dans la SSDT, SSDT, est-il critique d ’un point de vue sécurité système ? Faites le lien avec un des gains de sécurité sé curité amené par les versions 64 bits de Windows, depuis Vista.
Q5) Modélisation d attaques [1pt] A partir du modèle « kill chain » de Lockheed Martin, comment documentez-vous (sur le schéma) de façon générique le déplacement latéral que peut faire un attaquant sur le S.I. de sa victime ? ’
Q6) Réponse face à attaque à jour 0 [2pts] Des attaques en cours utilisant un « 0Day » sur Apache sont annoncées par les services de veille EFREI M2 Sécurité 2017
page 1/2
Ph Vialle - DE Sécurité
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
M2 Majeure Majeure Sécur ité
EVALUATION
sécurité. Dans votre entreprise, le site internet est considéré critique, et fonctionne avec Apache. Proposez un ensemble de solutions (et principes) permettant de réduire les risques d'une exploitation réussie de la faille de sécurité sur Apache, mais avec une démarche adéquate par rapport à la production.
Q7) Opérationnel [2pts] Dans une entreprise, vous entendez un responsable métier dire : "Le SI a des passerelles de sécurité (navigation, messagerie, pare-feu) en périmétrie, il est donc protégé contre les attaques. Mon S.I. métier, en interne, est par conséquent de facto protégé". Etes-vous d'accord ? Justifiez avec au moins un scénario d'attaque pour expliquer, et un cas réel vu dans la presse (ou en cours).
Q8) Architecture Architecture AD [1pt] Lors d'un audit de sécurité, il apparaît qu'une entreprise a 2 domaines Active Directory, 1 pour le LAN et 1 pour la DMZ, regroupés sou s la forêt par défaut (forêt créée à l’installation). Suite à un par pare-feu entre DMZ et LAN a été confirmée efficace. audit, l’isolation l’isolation réseau par pare-feu Pour autant, l’isolation sécurité l’isolation sécurité pour pour l’AD est-elle est-elle satisfaisante ? Pourquoi précisément ?
Q9) Durcissement Linux [1pt] Donnez un équivalent d ’AppLocker sous Linux, avec les grands principes de son paramétrage.
Q10) Lien entre matériel, système d exploitation, et sécurité [1,5pts] Citez une grande avancée en sécurité permise par la virtualisation, virtualis ation, sous Windows 10, notamment face aux attaques de type « pass the hash », et expliquez succinctement pourquoi il a été nécessaire de faire appel au matériel pour mettre en place ce mécanisme de sécurité. ’
Q11) Culture générale, mais nécessaire en sécurité [2pts] Est-ce conseillé d ’utiliser les DNS des serveurs Windows Active Directory, pour pour résoudre les requêtes DNS venant des proxies pour l’ l’accès internet ? Pourquoi ? Sous Linux, comment faire l’ l’équivalent de la console « services.msc » sous Windows Windows ? Quelle est sous Windows la commande équivalente (en termes d ’usage) de la commande Linux grep ?
Bonne chance à tous ! Et souvenez-vous : le retour d'investissement sécurité est très difficilement calculable. Pourtant, sans budget sécurité, le prochain gros incident de sécurité se transforme souvent en catastrophe...