M1 Majeure Sécurité
EVALUATION
Les documents sont autorisés (notamment cours, TD, TP). Les réponses « copier/coller » ne seront par défaut pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions près). De préférence, répondre aux questions dans l'ordre. NB : Il est recommandé recommandé aux étudiants de bien bien lire les consignes de de l'évaluation. Un malus malus de 1 point sera donné en cas de grand nombre de fautes d’orthographe et/ou de grammaire sur la copie.
Q1) Analyse de risques opérationnels [4 pts] Dans une entreprise, un consultant en systèmes d’information indique au DSI la chose suivante : « Aujourd’hui, les choses ont évolué. Plutôt que de chercher à maintenir le niveau de sécurité du parc, à grand renfort de SCCM, pour déployer en centralisé les applications (et les réglages) dont les utilisateurs ont besoin, ainsi que leurs mises à jour, il est bien plus simple et moins cher de laisser les utilisateurs choisir quelles applications ils veulent utiliser. Cela peut se faire notamment avec des suites d’applications, dites portables, comme LiberKey sur clé USB. » Déroulez une méthodologie d’analyse d’anal yse de risques (type DICP) dans le cas où le DSI met en application le mode de fonctionnement conseillé ci-dessus pour le parc. N’oubliez pas les risques non techniques. NB : ne cherchez pas trop à compliquer, ni à faire trop long.
Q2) AD et authentification utilisateur [2pts] Dans une entreprise, les protocoles LM et NTLM v1 ont été désactivés au niveau de la configuration de l'Active Directory, car NTLM v2 est réputé plus sécurisé. Est-ce suffisant selon vous ? Justifiez précisément.
Q3) Architecture [1pt] Donnez un exemple d'optimisation du nombre maximum de connexions TCP applicatives ouvertes sur un serveur web (NB : l’optimisation suppose l’utilisation d’un équipement permettant cette optimisation).
Q4) Dev applicatif [2pts] Quel est le lien entre l’utilisation de strncpy et le risque de buffer overflow ? ? Donnez 2 solutions techniques (1 niveau développement, 1 niveau exécution) pour limiter le risque d’exploitation réussie de faille de type débordement de tampon.
Q5) La menace pas fantôme [1pt] Donnez une méthode d'attaque qui n'utilise aucun code malveillant, ni aucun code d'exploitation, et qui a été utilisée déjà à diverses reprises (y compris contre des entreprises françaises…).
Q6) Efficace ? [1pt] Soit un parc avec plusieurs antivirus différents le DSI se pense « à l’abri » car il considère que plusieurs moteurs différents augmentent les chances de détection d’une attaque donnée, même si certains moteurs ne sont pas du tout à jour sur le parc. Cette affirmation est-elle entièrement exacte ? Répondez en vous appuyant sur un cas vu dans la veille SSI.
EFREI M1 Sécurité - PhV
page 1 /2
décembre 2017
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
M1 Majeure Sécurité
EVALUATION
Q7) Sensibilisation sécurité [2pts] Dans une entreprise, un administrateur se connecte à une console d'administration de divers équipements, depuis son poste d'administration. Il ouvre sa messagerie et consulte un courriel qui contient du HTML. Pour lui, il n'y a pas de risque pour que son accès à sa console d'administration soit piraté puisqu'il y est authentifié, et qu’il ne manipule pas son navigateur où sa session est ouverte. Donnez un exemple de vulnérabilité (pour applicatifs web) qui contredit exactement son raisonnement. Rappelez le fonctionnement de l’attaque, dans le contexte de cet administrateur.
Q8) Modélisation [1pt] Faites le lien, en expliquant brièvement, entre : technical impacts, attack vectors, security weaknesses, threat threat agents, security controls, business impacts. impacts .
Q9) Filtrage ? [1pt] Vrai ou faux : une architecture S.I. métier est sécurisée parce qu'il y a un pare-feu entre elle et le reste du SI ? (justifier brièvement)
Q10) Déploiement [1pt] Dans une entreprise, un DSI vous dit : "mon architecture est sécurisée car j'ai une sonde réseau NIDS en coupure". Que répondez-vous ? (pensez à justifier !).
Q11) L’effaceur [1pt] Citez 2 méthodes réputées très fiables (donc recommandées de façon officielle) de destruction de données sur disque dur, afin d’empêcher la récupération des données à posteriori.
Q12) Culture générale, mais nécessaire en sécurité [3pts] Donnez (selon les « standard » IANA) IANA) : - Protocole de transport de DNS (pour une requête venant d’un client), et port ; - Protocole de transport (et port, si pertinent) pour ICMP echo request ? ?
Donnez la ligne de commande sous Windows, et celle sous Linux, affichant en 1 seule fois la configuration réseau IPV4 et IPV6 de la machine. Quelle est la commande comm ande Windows qui est la plus plu s proche du linux « grep » en termes term es de cas d’utilisation d’utilisation ? Quelle est la différence entre HKCU et HKLM ?