ISO 27001 : Elle spécifie les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). Dans le cahier de charge, il est demandé d’auditer le SI de GameLuck. L’audit est basé sur ISO 27001
ISO 27005 : Référentiel d’analyse de risque. Vu l’expansion
de l’entreprise, l’ouverture de nouveaux bureaux et la situation de télétravail, il est nécessaire d’analyser le risque de chaque événement afin de dégager les actions utiles pour minimiser le risque.
ISO 27035 : Une norme qui fournit les bonnes pratiques en
termes de gestion des incidents. Selon l’énoncé, un incident de sécurité a eu lieu qui n’a pas été proprement documenté.
ISO 27002 : Une norme qui fournit des lignes directrices et
des normes organisationnelles en matière de bonnes pratiques de sécurité.
1 La norme qui ne convient pas est la norme ISO 27004
A2. Les mesures de nature organisationnelle suite à l’audit de
sécurité : Sensibilisation & formation des personnes à la sécurité de l’information : Tenant compte de l’expansion de secteur d’activité de GameLuck ainsi que la population cible, les risques d’exposition aux attaques de sécurité pour des raisons malveillants (interruption de services, etc) ne cessent d’accroitre. Les cybercriminels vont essayer toujours de s’infiltrer au réseau ou au système d’information de l’entreprise en exploitant une vulnérabilité de système, soit en exploitant une faute humaine (téléchargement d’un fichier suspect, ouverture d’un lien malveillant, etc.)
Mise à jour PSSI : Les évolutions indiquées dans le cahier de
charge sont des évolutions majeures de l’entreprise. De plus, l’incident de sécurité subis par l’entreprise et sa mauvaise gestion (manque de documentation) nécessite que la politique de sécurité soit mise à jour pour couvrir ses modifications et anomalies.
A3: ISMS
A3-1 : Le SMSI permet de mettre en œuvre et gouverner la
sécurité de l’information au sein de l’organisation et protéger les actifs. A3-2 : Tenant compte que l’entreprise GameLuck possède ses propres actifs et son patrimoine informatique qui doit être bien 2 sécurisé et protégé pour répondre aux exigences informatiques (confidentialité, disponibilité, intégrité), le déploiement d’un ISMS dans ce cas est un atout essentiel pour garantir ses prérequis.
A3.3 : Des articles de ISO 27001 et ISO 27005 justifient le besoin
de déployer un ISMS au sein de la société GameLuck Article 4.4 de ISO 27001 :
Article 5 ISO 27005 :
A4 : SIEM A4-1 : SIEM permet de collecter les données en temps réel pour corréler et analyser des événements appartenant à des machines, des systèmes et des applications. Il facilite le suivi et la résolution des problèmes de votre infrastructure informatique en temps réel.
3 Les solutions SIEM permettent à un appareil de réagir rapidement et précisément en cas de menace ou de données La technologie SIEM peut aider les organisations à reconnaître les menaces que les systèmes de sécurité ne peuvent pas découvrir, exécuter une intervention en cas d’incident et préparer des rapports à des fins de supervision A4-2 Pour bien gérer les incidents de sécurité et avoir une vision précise et suffisante des événements et données correspondants, il fallait adopter un SIEM A4-3 : L’article 13 de ISO 27001 justifie le déploiement d’un SIEM. Le mot SIEM n’est pas explicitement mentionné dans l’article de l’annexe. Cependant, la norme recommande d’appliquer les mécanismes de sécurité nécessaire pour protéger l’information contenue dans les systèmes.
A5 : SOC A5-1 : Un SOC est un ensemble de technologies, de personnel et de processus qui assurent la sécurité de l’informa-
4 systèmes informatiques. En utilisant des outils de collecte de données, la SOC permet de surveiller, d’analyser et de réagir aux incidents de sécurité de l’information. Les propriétés de SOC lui permettent de gérer traffic sur les réseaux, différents types de serveurs, terminaux, bases de données, etc... A5-2 : L’expansion de l’architecture et l’infrastructure de l’entreprise et les accès de plusieurs clients induisent la génération de plusieurs logs et d’événements. La croissance de volumétrie de données a pour résultat une probabilité de croitre le taux d’événement suspect qui requirent leurs investigations et réponses si nécessaire. Ainsi le SOC et ses composants permettent de satisfaire ces prérequis. A5-3 Le SIEM est une technologie qui fait partie de l’ensemble des composants du SOC Le SOC fait appel au SIEM pour corrélation des événements. Des intervenants analysent les logs au niveau du SIEM et suivent des processus précis lors de l’investigation et réponse aux incidents.
Question B : B1 : Le premier événement décrit des attaques subis par des éditeurs de logiciels. Les types d’attaques mentionnées sont :
o Attaque via ransomware : ce type d’attaque qui atteint à la
disponibilité des données et des services offerts par l’entreprise cible de l’attaque. Le virus sert à crypter tous les données …… o Attaque de vol d’identité : les cybercriminels servent à voler les identifiants des clients d’une plateforme d’éditeur
5 de logiciels pour utiliser leurs crédits et profiter de leurs accès. o Attaque DDOS : ces attaques qui font atteinte à la disponibilité des services offerts par un éditeur de jeux. Le cybercriminel alloue des ressources suffisantes pour bombarder les serveurs cibles par un flux important en temps limité. Les serveurs seront ainsi saturés par les requêtes reçus et devient non réactives
B2 : La menace GameLuck
Essentiellement, les réseaux Wifi sont concernés le plus par
des attaques par mot de passe ou par MITM. Un cybercriminel peut configurer une rogue borne de Wifi qui semble à une borne légitime. Cette borne intervient entre le point d’accès de l’entreprise et un terminal pour sniffer le trafic et récupérer des données.
Question C : C1- Les phases à suivre pour rédiger la PSSI est
Phases 0 : Préalables qui se base sur le référentiel de
l’organisme Tache 1 : organisation projet Tache 2 : constitution de référentiel
Phases 1 : Elaboration des éléments stratégiques.
Tache 1 : Définition de périmètre de la PSSI Tache 2 : Détermination des enjeux et orientations stratégiques 6 Tache 3 : prise en compte des taches légaux et réglementaires Tache 4 : élaboration d’une échelle de besoins Tache 5 : expression des besoins de sécurité Tache 6 : identification des origines de menaces.
Phase 2 : Sélection des principes et rédaction des règles
Tache 1 : Choix des principes de sécurité Tache 2 : Elaboration des règles de sécurité Tache 3 : Elaboration des notes de synthèse
Phase 3 : Finalisation Tache 1 : finalisation et validation de la PSSI Tache 2 : élaboration et validation de plan d’action
C2- l’évènement redouté choisi à traiter concernant la sécurité du
Wifi est « l’attaque par prise de mot de passe »
C3- Phase 1 « Connaitre » : Au cours de cette phase, le cybercriminel essayera de collecter des informations primaires (type et modèle de la borne wifi, SSID du wifi) Phase 2 « Rentrer » : Le cybercriminel identifie et collecte des informations plus détaillés du réseau wifi à craquer (algorithme de chiffrement, politique de sécurité des mots de passes wifi,etc) Phase 3 « Trouver » : Dans cette étape, le cybercriminel essaye de bruteforcer le mot de passe et l’identifier et gagner l’accés au système. Il essaye de cacher ses traces et garder une connexion persistante.
7 Phase 4 « Exploiter » : L’attaquant bénéficie de sa connexion au réseau pour introduire des actions malveillantes au système.
C4- Le périmètre de la PSSI se limite aux
Bornes Wifi installés au sein de l’entreprise Technologies wifi déployés Méthode de connexion et contrôle d’accès Politique et profils d’administration des points d’accès
C5- Les biens essentiels
Les mots de passe des points d’accès Les données de l’entreprise C6- Les biens supports : Siège de l’entreprise Les filiales dans chaque pays Les postes de travail Les réseaux locaux Les points d’accès Les équipements réseau et sécurité Les serveurs applicatifs
C7- L’objectif de contrôle d’accès est la protection des informations confidentielles et la propriété intellectuelle. Trois mesures adaptés à GameLuck à partir de la norme ISO 27002 sont
8 Article 9.4.2 : Sécuriser les procédures de connexion Mesure Lorsque la politique de contrôle d’accès l’exige, il convient que l’accès aux systèmes et aux applications soit contrôlé par une procédure de connexion sécurisée. 9.4.3 - Système de gestion des mots de passe Mesure Il convient que les systèmes qui gèrent les mots de passe soient interactifs et fournissent des mots de passe de qualité. Préconisations de mise en œuvre 9.4.5 - Contrôle d’accès au code source des programmes Mesure Il convient de restreindre l’accès au code source des programmes.
C8- L’incident de sécurité n’a pas pu être documenté
correctement car, comme indiqué, il y’a eu un manque de journalisation des événements. Cette anomalie n’a pas pu permettre de loger les détails des actions exécutés et la machine cible. Si un SIEM était employé avec les modules correspondants de gestion des logs, on aura pu accéder et observer les événements correspondants. C9- On n’a pas pu déceler quelles actions malveillantes ont été effectuées vu :
9 Manque de configuration de rétention des logs et événements Il se peut que le cybercriminel a supprimé les traces de ses actions Une fermeture de session sur un PC ou redémarrage risquerait de perdre les traces des actions et des services en cours d’exécution. GameLuck pourrait ainsi : Assurer une rétention des données et événements Sensibiliser les utilisateurs des actions et bonne pratiques à suivre suite à un événement redouté
Question D : Indicateur D1- Objet de mesure : Processus de revue droit d’accès Wifi/AD
D2- Attestation de réalisation de revue des accès Wifi/AD
D3- Mesures élémentaires : exigence d’une attestation de
réalisation de revue des droits d’accès par Point d’accès Wifi AD
