EVALUATION Sécurité / Réseau NB : Il est recommandé aux étudiants de bien lire les consignes du Contrôle Ecrit. Les réponses « copier/coller » ne seront pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions près). Q1) Analyse de risques opérationnels : [4 pts] Suite au passage d'un Avant-Vente Microsoft, un DSI se rend compte qu'il lui reviendrait moins cher d'externaliser sa messagerie (Exchange). Microsoft assure de la facilité de la migration, mais reste assez vague sur le fait qu'il est fortement probable que les données de messagerie ne seront pas hébergées sur le sol français. Dérouler la méthodologie DICP pour identifier les risques éventuels. Attention, il est possible que cette analyse ne couvre pas un autre risque, autant fonctionnel qu'opérationnel... Q2) Capture réseau : [1.5 pt] En réalisant une capture avec Wireshark, réalisez-vous une écoute passive ou active du réseau, et pourquoi ? Avez-vous le droit de réaliser une capture de trafic sur un réseau où circule de la ToIP (téléphonie sur IP) ? Q3) Scan [1.5pt] Pour retrouver une machine « égarée » sur un gros réseau (plus de 1000 machines), un collègue est prêt à lancer un scan avec un logiciel type Nmap. Afin d'être sûr de ne pas se tromper de machine, il prévoit également de scanner tous les ports ouverts pour tous les hôtes trouvés. Devriez-vous l'avertir d'un danger potentiel lié à cette opération, et si oui, lequel ou pourquoi ? Q4) Téléchargement en entreprise : [2pts] Un collègue télécharge les logiciels dont il dit avoir besoin sur un moteur de recherche bien connu, et prend les premiers résultats du moteur de recherche en disant « qu'ils sont forcément les mieux ». Ne devriez-vous pas l'alerter, et si oui, proposez des arguments explicites. Proposez des « bonnes pratiques » dans tous les cas, pour le téléchargement de logiciels en entreprise. Q5) Besoin urgent de machine : [1pt] Lors de son arrivée en poste, un collègue n'a pas encore la machine qui lui a été attribuée par l'entreprise. Il faut pourtant absolument qu'il se mette rapidement au travail. Il envisage donc d'amener son PC « de la maison ». Est-ce autorisé par défaut et si non, indiquez quel type de règlement l'interdit. Q6) Audit [2pt] Une entreprise vous mandate pour auditer ses services sur Internet. Vous n'avez pas la ou les URL de ces services ; vous disposez juste de la marque de cette entreprise. Expliquez une méthodologie d'audit (donc « attaque »), avec les résultats (synthétiques) attendus à EFREI TR 2010 - PV
page 1 /2
CE Sécurité / Réseau
chaque étape. Q7) Signature [1pt] Expliquez de façon générique comment signer électroniquement un fichier. Q8) Extranet [1pt] Une entreprise met en place son nouvel extranet (ouvert donc sur Internet). La contrainte de disponibilité est faible, mais celles d'intégrité et confidentialité fortes. Proposez une architecture en frontal devant le serveur HTTP, pour lui rajouter une couche de sécurisation. Un petit schéma serait apprécié. Q9) Filtrage Internet, vu niveau opérationnel : [1pt] Soit un proxy filtrant (liste noire d'URL, antivirus), avec gestion d'identité (ie : les personnes non habilitées n'ont pas accès à Internet). On suppose évidemment que l'habilitation est à vérifier à chaque requête adressée au proxy et destinée à Internet. Donnez de déroulement opérationnel de sa politique de filtrage, pour un accès à www.warez.com (en liste noire) par un employé. Q10) Principe « du moindre privilège » : [1pt] Appliquez le principe du moindre privilège à un Windows Seven fraichement installé, avec « toutes options par défaut ». Q11) Sources d'informations : [1pt] Entre un forum de passionnés et le site de Kaspersky, lequel vous semble être le plus fiable et pourquoi ? Entre 01Net et BugTtrack, lequel vous semble être le plus fiable pour annoncer des vulnérabilités et pourquoi ? Q12) Culture générale, mais nécessaire en sécurité (et servant aussi à départager les meilleures copies) : [3pts] Donnez port et protocole (« standard » IANA) pour : – SMTP – SSH – telnet – DNS – HTTPS – SMB D'un point de vue sécurité, que pourriez-vous dire globalement pour ces ports par rapport aux autres (notamment au-dessus de 1024) ? Bonne chance à tous ! Et souvenez-vous : quand tout va bien, on dit que la Sécurité ne sert à rien. Et quand il y a des alertes (attaques, intrusions, etc), alors on dit que la Sécurité est incompétente... EFREI TR 2010 - PV
page 2 /2
CE Sécurité / Réseau
