EVALUATION M2 alternance SIE – Sécurité SI Les documents sont autorisés (notamment cours, TD, TP). NB : Il est recommandé aux étudiants de bien lire les consignes du Contrôle Ecrit. Les réponses « copier/coller » ne seront par défaut pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions près). Q1) Analyse de risques opérationnels : [4 pts] Suite à la visite d'un avant-vente PeopleSoft, un DSI se rend compte qu'il lui reviendrait moins cher d'externaliser l'ERP de l'entreprise, en mode SaaS. Oracle-PeopleSoft assure de la facilité de la migration, mais reste assez vague sur le fait qu'il est fortement probable que les données de gestion ne seront pas hébergées sur le sol français. Dérouler la méthodologie DICP pour identifier les risques éventuels, et proposer des solutions. Attention, il est possible que cette analyse ne couvre pas certains autres risques, autant fonctionnels qu'opérationnels... Q2) Capture réseau : [1pt] Avez-vous le droit de réaliser une capture de trafic sur un réseau où circule de la ToIP (téléphonie sur IP) ? Citez un logiciel pour faire une capture réseau. Q3) Scan [1,5pt] Vous découvrez une machine hébergeant une application. Pour différentes raisons, vous craignez que la machine souffre de défauts de sécurisation. Un collègue est prêt à lancer un scan de vulnérabilités avec Nessus. Est-ce acceptable en l'état, selon vous ? Que pourriez-vous lui dire ? Q4) Téléchargement en entreprise : [2pts] Un collègue télécharge les logiciels dont il dit avoir besoin sur un moteur de recherche bien connu, et prend les premiers résultats du moteur de recherche en disant « qu'ils sont forcément les mieux ». Ne devriez-vous pas l'alerter, et si oui, proposez des arguments explicites. Proposez des solutions pour gérer ce type de situation à grande échelle, en entreprise. Q5) Besoin urgent de machine : [1,5pt] Lors de son arrivée en mission, un collègue prestataire n'a pas encore la machine qui lui a été attribuée par l'entreprise (cliente). Il faut pourtant absolument qu'il se mette rapidement au travail. Il envisage donc d'amener son PC (fourni en fait par la société qui l'emploie, et qui l'envoie en mission). Est-ce autorisé par défaut et si non, indiquez quel type de règlement l'interdit. Y a-t-il des risques pour le SI de l'entreprise cliente, et si oui, lesquels ? Q6) Audit [2pt] Une entreprise vous mandate pour auditer sa visibilité et ses infrastructures visibles sur Internet. Vous n'avez pas la ou les URL de ces services ; vous disposez juste de la marque de cette entreprise. Expliquez une méthodologie d'audit (donc « attaque »), avec les résultats (synthétiques) attendus à chaque étape. EFREI SIE 2011 - PV
page 1 /2
CE Sécurité SI
Q7) Signature [1pt] Expliquez de façon générique comment signer électroniquement un fichier. Un petit schéma serait apprécié. Q8) Veille SSI [1pt] Expliquez succinctement ce qu'est un « 0day » et pourquoi il peut être une menace particulière pour un SI. En supposant qu'il s'agisse d'un 0day Flash Player, donnez au moins 2 équipements de sécurité pouvant protéger le SI contre l'attaque (reposant sur l'exploitation de la faille de sécurité). Q9) Filtrage Internet, vu niveau opérationnel : [1,5pt] Soit un proxy filtrant (catégories d'URL interdites, antivirus), avec gestion d'identité (ie : les personnes non habilitées n'ont pas accès à Internet). Donnez le déroulement opérationnel de sa politique de filtrage, pour un accès à www.warez.com (catégorie « illegal ») par un employé habilité à Internet. Q10) Gestion des permissions : [1pt] Vous découvrez une architecture où le serveur HTTP et le moteur de base de données fonctionnent avec le compte root. Cela respecte-t-il les bonnes pratiques de sécurité ? Si non, quel est le risque ? Q11) Communication sur Internet : [1,5pt] Vous êtes dans une entreprise qui malheureusement est victime d'une intrusion. Des données sont exfiltrées : en fait, il s'agit de l'annuaire de messagerie et de vieilles données comptable (l'intrusion ayant été identifiée et stoppée assez vite). La presse apprend l'affaire, et publie des articles un peu cinglants. Le DSI est prêt à faire un communiqué de presse laconique et vague, espérant que la tempête passera d'elle-même. Que lui conseilleriez-vous pour gérer au mieux la situation ? Q12) Culture générale, mais nécessaire en sécurité (et servant aussi à départager les meilleures copies) : [2pts] Donnez port et protocole de transport (selon les « standard » IANA) pour : – FTP Data – SSH – telnet – SMB D'un point de vue sécurité, que pourriez-vous dire globalement pour ces ports par rapport aux autres (notamment au-dessus de 1024) ? Bonne chance à tous ! Et souvenez-vous : quand tout va bien, on dit que la Sécurité ne sert à rien. Et quand il y a des alertes (attaques, intrusions, etc), alors on dit que la Sécurité est incompétente...
EFREI SIE 2011 - PV
page 2 /2
CE Sécurité SI