EVALUATION Sécurité Système / Réseau Les documents sont autorisés. NB : Il est recommandé aux étudiants de bien lire les consignes du Contrôle Ecrit. Les réponses « copier/coller » ne seront pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions près). Q1) Analyse de risques opérationnels : [4pts] Dans une entreprise française de recherche de ressources naturelles enfouies (pétrole et gaz), face aux coûts exorbitants nécessaires pour répondre au besoin métier de stockage de données, un DSI se pose la question du « cloud ». Il sollicite alors un avant-vente d’une entreprise réputée sur ce secteur : Amaz’in. Ce fournisseur américain de services axe ses arguments sur la facilité de la migration, le faible coût, et parle de SLA. Dérouler la méthodologie DICP pour identifier les risques éventuels de ce service. Attention, il est possible que cette analyse ne couvre pas un autre risque, autant fonctionnel qu'opérationnel… Q2) Capture réseau : [1pt] En réalisant une capture avec Wireshark, réalisez-vous une écoute passive ou active du réseau, et pourquoi ? Lors de la capture, des mots de passe transitant dans des protocoles en clair sont récupérés. Avez-vous le droit de conserver ces captures en l’état ? Q3) LAN [2pts] Une entreprise a gagné en renommée il y a peu via sa « page Facebook officielle » (ie. marketing viral). Elle fait appel à vous pour divers points SI concernant un gros projet. Vous découvrez que les employés en interne sont adeptes des ordiphones et tablettes tactiles, et qu’ils utilisent l’URL http://m.facebook.com (réelle) pour gérer la page officielle (URL retournée par Google depuis par exemple un téléphone). Ils se disent assurés qu’il n’y a aucun risque vu qu’ils sont connectés au LAN de l’entreprise. Selon votre devoir de conseil, que devriez-vous faire ? Fondez votre explication technique sur la répartition sur les couches (protocoles) réseau. Quels impacts à craindre ? Q4) Téléchargement en entreprise : [2pts] Un collègue télécharge les logiciels dont il dit avoir besoin sur un moteur de recherche bien connu, et prend les premiers résultats du moteur de recherche en disant « qu'ils sont forcément les mieux ». Quels sont les risques inhérents à cette pratique ? Proposez : - des solutions techniques permettant de protéger le SI des risques encourus dans ce cas de figure (pensez à une gestion centralisée…) - une politique de sécurité cadrant cette situation et les outils techniques.
EFREI M1 RS 2011
page 1
CE Sécurité
Q5) Besoin urgent de machine : [1pt] Lors de son arrivée en poste, un collègue prestataire n'a pas encore la machine qui lui a été attribuée par l'entreprise. Il faut pourtant absolument qu'il se mette rapidement au travail. Il envisage donc d'amener le PC que sa propre société lui fournit, convaincu qu’il s’agit d’une machine professionnelle et que cela ne posera pas de problème. Est-ce autorisé par défaut, et si non, indiquez quel type de règlement l'interdit. Q6) Audit [1pt] Expliquez pourquoi la phase dite de prise d’empreinte est primordiale lors d’une démarche d’analyse sécurité (audit légitime, ou même attaque). Q7) Confiance électronique [1pt] Expliquez de façon générique comment vérifier électroniquement l’intégrité d’un fichier ainsi que son réel auteur/émetteur. Q8) Architecture : [3pt] Expliquez les notions de cloisonnement réseau et rupture de flux : quel est le gain à chaque fois au niveau sécurité ? Des schémas seraient un plus, notamment pour : - le cas du frontal web ouvert sur Internet, - celui d’une application fonctionnant sur un système obsolète (impossible à migrer en l’état). Q9) Principe « du moindre privilège » : [2pts] Appliquez le principe du moindre privilège, et faites des recommandations, pour une architecture composée de : - client léger, avec module additionnel pour application riche (ex : Flash) - serveur http avec couche applicative PHP - base de données déportée sur un autre serveur Q10) Sources d'informations : [1pt] Citez une source gouvernementale (France) de veille sécurité, et une source tierce type éditeur. Selon vous, laquelle pourrait être considérée comme la plus complète, pourquoi ? Q11) Culture générale, mais nécessaire en sécurité : [2pts] Donnez port et protocole de transport (selon le « standard » IANA) pour : – SMTP – SSH – telnet – DNS – HTTPS – SMB D'un point de vue sécurité, que pourriez-vous dire globalement pour ces ports par rapport aux autres (notamment au-dessus de 1024) ? Bonne chance à tous ! Et souvenez-vous : quand tout va bien, on dit que la Sécurité ne sert à rien. Et quand il y a des alertes (attaques, intrusions, etc), alors on dit que la Sécurité est incompétente...
EFREI M1 RS 2011
page 2
CE Sécurité
