Vous êtes sur la page 1sur 2

M2 Majeure Sécurité EVALUATION

Les documents sont autorisés (notamment cours, TD, TP). Les réponses « copier/coller » ne
seront par défaut pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions
près). Un malus de 1 point sera attribué en cas de grand nombre de fautes d’orthographe et/ou de
grammaire. De préférence, répondre aux questions dans l'ordre.
NB : Il est recommandé aux étudiants de bien lire les énoncés de l'évaluation.

Q1) Discours commercial versus réalité des risques SSI opérationnels [4pts]
Avec le temps, les bases de signature des antivirus grossissent, et les impacts de performance sur les
machines sont problématiques. Lors de la rencontre entre le DSI de votre entreprise et un représentant
commercial d’un éditeur antivirus, ce dernier a dit au DSI : « l’avenir, c’est le cloud. Aujourd’hui, la
puissance de calcul nécessaire à l’antivirus est déportée dans le cloud, pour soulager les machines.
Nous avons un mécanisme de vérification de réputation, pour chaque fichier scanné sur les machines :
une empreinte du fichier est envoyée à nos serveurs sur Internet, pour analyse. Ce système fonctionne
par le protocole DNS, lui-même très léger comparé à HTTP, donc pas d’impact réseau pour vous. ».
Or, vous savez que dans votre entreprise, il y a un Active Directory, que l’accès à Internet est filtré
par des proxies web, que l’accès direct à Internet sans passer par les proxies est bloqué par pare-feu.
A partir de ces éléments, déroulez une méthodologie d’analyse de risque de type DICP pour le S.I.,
pour le cas où le DSI décide d’acheter cette solution antivirus et de la généraliser sur le parc.
NB : ne cherchez pas trop à compliquer, mais soyez précis. Bravo, vous aurez analysé un cas réel…

Q2) Vision sécurité [2pts]


Lors d’une discussion entre un DSI et un RSSI de la même société, le DSI déclare : « D’après mes
inventaires, tous les postes Windows et les serveurs Windows sont à jour de correctifs sécurité, et les
serveurs Linux c’est en cours. Donc tout va bien pour moi sur le plan cyber. ».
Aidez le RSSI à répondre à cette affirmation, en vous appuyant sur les bonnes pratiques, les retours
d’expérience (vécus ou appris), et la veille SSI.

Q3) Croyances et réalité [2pts]


Dans une entreprise, les administrateurs Linux utilisent SSH et les comptes root pour administrer les
serveurs Linux, ainsi que les équipements réseau. Ils estiment que cette façon de faire ne pose pas de
problème, car le protocole SSH lui-même est sécurisé.
Que répondez-vous à cette affirmation ? (pensez à bien justifier). Que conseillez-vous ?

Q4) Architecture système [1.5pts]


Pourquoi le fait de pouvoir « hooker » (crocheter), ou non, des routines noyau référencées dans la
SSDT, est-il critique d’un point de vue sécurité système ? Faites le lien avec un des gains de sécurité
amené par les versions 64 bits de Windows, depuis Vista.

Q5) Modélisation d’attaques [1pt]


A partir du modèle « kill chain » de Lockheed Martin, comment documentez-vous (sur le schéma) de
façon générique le déplacement latéral que peut faire un attaquant sur le S.I. de sa victime ?

Q6) Réponse face à attaque à jour 0 [2pts]


Des attaques en cours utilisant un « 0Day » sur Apache sont annoncées par les services de veille

EFREI M2 Sécurité 2017 page 1/2 Ph Vialle - DE Sécurité


M2 Majeure Sécurité EVALUATION

sécurité. Dans votre entreprise, le site internet est considéré critique, et fonctionne avec Apache.
Proposez un ensemble de solutions (et principes) permettant de réduire les risques d'une exploitation
réussie de la faille de sécurité sur Apache, mais avec une démarche adéquate par rapport à la
production.

Q7) Opérationnel [2pts]


Dans une entreprise, vous entendez un responsable métier dire : "Le SI a des passerelles de sécurité
(navigation, messagerie, pare-feu) en périmétrie, il est donc protégé contre les attaques. Mon S.I.
métier, en interne, est par conséquent de facto protégé".
Etes-vous d'accord ? Justifiez avec au moins un scénario d'attaque pour expliquer, et un cas réel vu
dans la presse (ou en cours).

Q8) Architecture AD [1pt]


Lors d'un audit de sécurité, il apparaît qu'une entreprise a 2 domaines Active Directory, 1 pour le
LAN et 1 pour la DMZ, regroupés sous la forêt par défaut (forêt créée à l’installation). Suite à un
audit, l’isolation réseau par pare-feu entre DMZ et LAN a été confirmée efficace.
Pour autant, l’isolation sécurité pour l’AD est-elle satisfaisante ? Pourquoi précisément ?

Q9) Durcissement Linux [1pt]


Donnez un équivalent d’AppLocker sous Linux, avec les grands principes de son paramétrage.

Q10) Lien entre matériel, système d’exploitation, et sécurité [1,5pts]


Citez une grande avancée en sécurité permise par la virtualisation, sous Windows 10, notamment face
aux attaques de type « pass the hash », et expliquez succinctement pourquoi il a été nécessaire de
faire appel au matériel pour mettre en place ce mécanisme de sécurité.

Q11) Culture générale, mais nécessaire en sécurité [2pts]


Est-ce conseillé d’utiliser les DNS des serveurs Windows Active Directory, pour résoudre les requêtes
DNS venant des proxies pour l’accès internet ? Pourquoi ?

Sous Linux, comment faire l’équivalent de la console « services.msc » sous Windows ?


Quelle est sous Windows la commande équivalente (en termes d’usage) de la commande Linux grep ?

Bonne chance à tous !


Et souvenez-vous : le retour d'investissement sécurité est très difficilement calculable. Pourtant, sans
budget sécurité, le prochain gros incident de sécurité se transforme souvent en catastrophe...

EFREI M2 Sécurité 2017 page 2/2 Ph Vialle - DE Sécurité