Académique Documents
Professionnel Documents
Culture Documents
PARIS
___________________
MEMOIRE
par
René THIEL
___________________
_________________
JURY
Remerciements ................................................................................................................. 2
Table des matières ............................................................................................................ 3
Introduction ...................................................................................................................... 6
1 Présentation de l’entreprise .............................................................................................. 6
1.1 Choix de l’entreprise ......................................................................................................................... 6
1.2 Présentation de mes missions ......................................................................................................... 11
Problématique générale.................................................................................................. 14
3 Contexte général ............................................................................................................. 14
3.1 Le système d’information ................................................................................................................ 14
3.2 La sécurité de l’information ............................................................................................................ 14
17 Exemple de mise en œuvre d’une mesure de sécurité dans le cadre de notre étude de cas
110
Conclusion .....................................................................................................................116
Bibliographie .................................................................................................................119
Glossaire........................................................................................................................122
Liste des abréviations.....................................................................................................131
Table de annexes ...........................................................................................................134
Annexe 1 - Recommandations de sécurité pour la mise en œuvre d’un système de journalisation
N°DAT-NT-012/ANSSI/SDE/NP ...............................................................................................134
Annexe 2 - Menaces standards EBIOS:2010 ............................................................................136
1.1.1.1 Histoire
Sopra Steria Group est né de la fusion fin 2014 de deux des plus anciennes Entreprises de Services du
Numérique (ESN) françaises, Sopra et Steria, fondées respectivement en 1968 et 1969 et marquées
toutes deux par un fort esprit entrepreneurial ainsi qu’un grand sens de l’engagement collectif au
service de ses clients.
Aujourd’hui, le Groupe Sopra Steria s’affirme comme un des leaders européens de la transformation
numérique. En 2015, coté au SBF 120, il réalise un chiffre d’affaires de 3,6 milliards d’euros et
rassemble plus de 38 000 salariés dans plus de 20 pays.
NIVEAU 2 : LES FILIALES OU PAYS - Ce sont les grandes entités opérationnelles. Leur
périmètre correspond soit :
o au métier (conseil et intégration de systèmes, édition de solutions métier, gestion
d’infrastructures, cyber sécurité et exécution des processus métier (BPS : Business
Process Services)) ;
o à la géographie (pays).
NIVEAU 3 : LA DIVISION - Chaque pays ou filiale est constitué de divisions suivant deux
critères possibles :
o le secteur économique ;
o la géographie (régions).
NIVEAU 4 : LES AGENCES - Chaque division regroupe des agences qui constituent les unités
économiques de base de l’organisation. Elles fonctionnent en centres de profit et disposent
d’une réelle autonomie. Le pilotage commercial et Ressources Humaines se fait de façon
hebdomadaire et le pilotage économique (compte d’exploitation et budget) est suivi
mensuellement.
Sopra Steria propose l’un des portefeuilles d’offres les plus complets du marché : conseil et
intégration de systèmes, édition de solutions métiers et technologiques, gestion d’infrastructures,
cyber sécurité et exécution de processus métier. La figure ci-dessous met en évidence la part de
chaque offre dans le chiffre d’affaires.
1.1.2.1 Activités
L’entreprise Sopra Steria a donc quatre principaux types d’activités qui sont décrits ci-dessous.
En complément, la figure ci-dessous montre la répartition des activités du groupe dans les différents
domaines du marché des Entreprises de Services Numériques (ESN).
Figure 2 : Répartition des activités du groupe dans les différents domaines du marché des ESN
Comprenant plusieurs agences (dont l’agence 194 dans laquelle je travaille), la Division défense et
sécurité est en charge des projets pour le compte du Ministère de la Défense et du Ministère de
l’Intérieur.
Les projets concernent par exemple le système de paie de l’armée, les systèmes d’information (SI)
des approvisionnements des produits de santé ou les SI des permis de conduire.
Le projet Système d’Information des Armées (SIA), sur lequel je travaille également, est attribué à
une agence dédiée au sein de Sopra Steria : l’agence 194 - SIA - SIOC. C’est un projet majeur et
important sur le long terme, le contrat initial étant prévu sur une dizaine d’années.
2 Construction de ce mémoire
Ce mémoire est partagé en 6 grands chapitres, le premier est l’introduction, qui comprend la
présentation de l’entreprise et qui présente la construction de se mémoire. Le second présente la
problématique générale et les objectifs de la mission. Le troisième chapitre est l’analyse des besoins,
il est lié aux enjeux généraux et aux objectifs de sécurité. Le quatrième chapitre détaille la réalisation
de la mission alors que le cinquième chapitre présente le bilan de la mission. Le dernier chapitre
quant à lui propose une conclusion à ce mémoire.
Afin de traiter la problématique nous partagerons donc ce mémoire selon le modèle ci-dessous en
suivant le fil conducteur qui nous est imposé par la nature de la mission :
1 – Introduction
2 – Problématique générale
4 – Réalisation de la mission
5 – Bilan de la mission
6 - Conclusion
3 Contexte général
3.1 Le système d’information
Dans ce mémoire, nous évoquerons le « système d’information » comme un moyen dont le
fonctionnement fait appel d’une façon ou d’une autre à l’électricité et qui est destiné à élaborer,
traiter, stocker, acheminer, présenter ou détruire des informations.
À l’issue de l’étude le livrable attendu est un Dossier de Sécurité sur l’application comprenant :
le contexte de l’étude ;
la liste des biens essentiels et supports relatifs au périmètre de l’étude avec leurs relations ;
la liste des sources de menaces considérées pour l’étude ;
la liste des vulnérabilités identifiées sur les biens supports et des mesures de sécurité
contribuant à les diminuer ;
les scénarios de menaces ;
la description des risques non acceptables ;
les objectifs de sécurité (au sens EBIOS:2010) ;
les exigences de couvertures préconisées pour les risques non acceptables.
Les sources d’information qui ont été utilisées à l’initialisation de l’étude sont :
les CCTP ;
le mémoire Technique de réponse à appel d’offre de Sopra Steria ;
les processus et procédures de sécurité du client ;
la politique de sécurité du client ;
Les enjeux de la mise en place de l’application se structurent autour de cinq directions principales :
Dans le cadre de ma mission, l’application repose sur une architecture Web, cette dernière doit donc
disposer de garanties afin de pouvoir assurer de sa Disponibilité, son Intégrité, sa Confidentialité et
de pouvoir administrer une Preuve. On notera que pour avoir une réelle identification, il faut qu’il y
À tout moment de ce mémoire on pourra se situer et dire si ce que l’on entreprend participe à la
Prévention, à la Détection ou à la Réaction face aux risques.
La sécurité est un voyage pas une destination [10].
La mission qui m’a été confiée consiste en une analyse de risques. Il s’agit donc d’étudier et de
Prévenir l’occurrence de risques que l’on arrivera à identifier, ou du moins à en réduire la portée et
l’impact sur le système à protéger.
Lorsque l’on parle de lutte informatique défensive il s’agit d’un travail en profondeur dans le sens ou
une succession de mesures doivent être prévues afin de lutter de manière plus ou moins active à la
défense du système d’information. Ainsi ce qui est prévu sera détecté et l’on saura comment réagir
ou comment réagira le système face à cet événement.
La sécurité du système d’information doit être, une réponse adaptée. Elle doit permettre de protéger
les ressources sensibles des menaces redoutées et ceci dans la limite des moyens disponibles. Sa
prise en compte dès la phase de faisabilité du système d’information est primordiale (Prévention).
La sécurité du SI doit être un élément de la Politique générale de la Sécurité Informatique (PSI) de
l’entreprise (Prévention).
La sécurité du système d’intervention, nécessite une documentation organisationnelle et technique
et doit évoluer continuellement en fonction d’une veille technologique permanente (Prévention).
supports/mesures de sécurité
métiers/utilisateurs
Responsables biens
Activités EBIOS
Le Commanditaire
Représentants
Le Réalisateur
À l’issue de l’étude le livrable attendu est un Dossier de Sécurité sur l’application comprenant :
le contexte de l’étude ;
la liste des biens essentiels et supports relatifs au périmètre de l’étude avec leurs relations ;
la liste des sources de menaces considérées pour l’étude ;
la liste des vulnérabilités identifiées sur les biens supports et des mesures de sécurité
contribuant à les diminuer ;
les scénarios de menaces ;
la description des risques non acceptables ;
les objectifs de sécurité (au sens EBIOS:2010) ;
les exigences de couvertures préconisées pour les risques non acceptables.
La collecte du renseignement
Scripts, outils La construction d'accès pour des
Compétences variables
Peut employer des pirates informatique à louer actions postérieures
Terroristes Possibilité de formation / d'exploitation, Beaucoup de temps, très patient
Peut employer d'anciens / ou d'actuels employés Chaos
expérience sur le système
Ingénierie sociale Vengeance
Opinion publique d'impact (crainte)
Externe, malveillante, avec Hackers, utilisateurs avec des droits élevés (ex : valideurs, …), concurrent
5 Oui
des capacités importantes d'un autre client du data centre.
Interne, sans intention de Personnels du data centre non affectés à l'environnement L’application
7 nuire, avec de faibles Oui
(intervention sur clim/courant secouru/arrivées télécom/…).
capacités
Externe, sans intention de Utilisateur de l’application avec des droits élevés, auditeurs tiers
11 nuire, avec des capacités Oui commandité, l'hébergeur (ex : entreprise réalisant des travaux dans la
importantes zone du data centre…).
Externe, sans intention de Non exposé à ce type de menace (activité industrielles susceptibles de
12 nuire, avec des capacités Non
provoquer des sinistres majeurs, explosions dans le voisinage…)
illimitées
Non humaines 15 Catastrophe naturelle ou Oui Le data centre de Vauban est situé dans une zone inondable
sanitaire
N’oublions pas avant toute chose de penser à la sécurité physique car la sécurité informatique n’a pas
toujours été la réponse par excellence face aux risques encourus. Un ordinateur connecté sans surveillance
est une porte ouverte sur des données confidentielles dont le vol ou la perte pourraient être critique. Lors
de la disparition de matériel, il ne suffit pas de prendre en compte la simple valeur matérielle des éléments
à remplacer, mais également le coût de reconstitution des données qui ont été perdues. Cette notion
représente un impact financier beaucoup plus élevé, tant par la non disponibilité de l’information que par
le temps nécessaire à sa restauration.
Qu’ils soient dus à des actes malveillants ou des accidents, les risques physiques encourus pourraient être
classifiés en trois grandes catégories :
les destructions ;
les pannes ;
les vols.
Les équipements informatiques restent fragiles et sensibles à leur environnement. Les destructions
peuvent être liées à des risques accidentels, tels que les incendies, une explosion, inondation ou la foudre,
de même que certains dysfonctionnements et pannes. L’erreur humaine peut également entraîner de
graves conséquences (chocs, introduction de corps étrangers…) tout comme une mauvaise utilisation (oubli
de sauvegarde, écrasement de fichiers ou erreur d'utilisation…). Des actes de sabotage doivent aussi être
envisagés, dans le cas de destruction volontaire de ressources informatiques, mais l’acte malveillant le plus
courant envers le matériel informatique reste le vol d’équipement ou de données. La disparition
d’informations contenues sur un disque dur peut avoir des conséquences désastreuses pour une
entreprise, les ordinateurs portables étant particulièrement vulnérables face à cette menace, car ils
peuvent facilement être volés.
La connexion d’une entreprise à internet représente l’ouverture de son système d’information sur
l’extérieur, ouvrant la porte à toutes les formes d’agressions. Mais la menace peut également venir de
l’intérieur, par les informations que les utilisateurs vont divulguer. Fournir des informations personnelles
sur un site internet par l’intermédiaire d’un formulaire (nom, adresse, numéro de carte de crédit, numéro
9.1.3 La divulgation
La divulgation d’informations internes à l’entreprise peut être malveillante mais elle peut également être
involontaire de la part des utilisateurs. Les pirates peuvent utiliser ce moyen pour se procurer des
renseignements précieux, on parle de « social engineering ». Cette méthode repose sur les points faibles
des personnes en relation avec le système informatique. Le but est de les piéger afin de leur faire révéler
leur mot de passe, non pas directement, mais via des informations qui pourraient s’avérer intéressantes
afin de découvrir ce mot de passe.
Une attaque directe pourrait consister à se faire faire passer pour un technicien, mentionnant qu’il a besoin
urgemment du mot de passe de l’utilisateur pour l’administration du système. Couplée à cette situation
d’urgence, cette technique ne laisse pas à l’utilisateur le temps de la réflexion (Technique de la contrainte
de temps). Une autre forme de « social engineering » consiste à deviner le mot de passe utilisateur à partir
des informations qu’il sème. Les pirates cherchent alors à obtenir le maximum de renseignements sur le
possesseur de la machine, d’où l’importance de ne pas choisir de mots de passe en rapport avec soi-même.
Ces méfaits sont commis par téléphone, mais ils peuvent également être menés par lettre, par contact
direct ou par courrier électronique. Pour cette solution, le pirate peut alors maquiller l’adresse source afin
de se faire passer pour l’interlocuteur qu’il désire.
Les infections informatiques concernent les menaces engendrées par l’exécution d’un programme ou
l’ouverture d’un fichier corrompu sur une machine. Cette exécution entraîne alors l’installation d’un
programme malveillant. La plupart des infections est transmise par internet, généralement par les pièces
jointes du courrier électronique ou par des téléchargements. Ces programmes malveillants peuvent
appartenir à une des trois catégories suivantes :
les virus ;
les chevaux de Troie ;
Posséder un mot de passe valide constitue le moyen le plus simple d’accéder à une machine.
Aucun mot de passe n’est infaillible, et le temps passé pour le casser dépend uniquement de sa complexité.
Pour obtenir un mot de passe, le pirate possède plusieurs méthodes :
le dictionnaire, l’utilisation d’un dictionnaire consiste à essayer le plus grand nombre de mots de
passe possible. Pour cela, le pirate utilise un programme nécessitant un fichier de mots qui va
essayer chacun de ces termes jusqu’à obtenir une autorisation d’accès sur la machine visée ;
la force brute, la force brute est généralement utilisée lorsque l’attaque par dictionnaire a échoué.
Elle se déroule comme la précédente, mais les mots de passe utilisés ici n’ont pas de sens. Ils sont
générés par le programme au fur et à mesure de la tentative de connexion ;
le programme espion, plus subtile que les précédentes, cette technique nécessite la présence d’un
programme sur la machine cible. Celui-ci va capter les entrées clavier et ainsi permettre de
récupérer des mots de passe de manière indirecte (simulation d’écrans de connexion, faux
formulaires…) ;
le renifleur ou « sniffer », les renifleurs sont des programmes permettant la capture d’information
transitant sur la machine sur laquelle ils se trouvent. Le pirate peut ainsi récupérer de précieuses
données, dont les mots de passe circulant en clair sur le réseau.
Le but principal de l'usurpation d'adresse, ou « spoofing », est de profiter d'une relation de confiance entre
deux machines. En effet, certaines applications se fient à l'adresse émettrice d'un message pour autoriser
ou non une connexion, il est alors possible d’exécuter des commandes à distance. Mais cette technique
peut également servir à priver une machine de communication, lui renvoyer de fausses données ou
masquer l’identité du pirate. Pour profiter de cette caractéristique, le pirate doit créer ses propres paquets
dans lesquels il aura modifié l'adresse source. Il ne pourra cependant pas avoir de réponse à ses paquets,
son adresse ne correspondant pas à celle de retour des messages.
Cette technique comprend :
L’ARP spoofing, l’ARP spoofing est spécifique aux réseaux locaux et repose sur la falsification
d'adresses MAC. La trame modifiée contient l’adresse IP de la machine cible et une fausse adresse
MAC. La machine visée ne pourra plus recevoir de messages, les autres machines du réseau
envoyant des données à une fausse adresse MAC ;
L’IP spoofing, cette technique consiste à forger des paquets IP contenant une fausse adresse
source afin d’établir une relation de confiance avec les machines du réseau visé.
l’email spoofing, le spoofing consiste à usurper l'adresse d'origine d'un courrier électronique. Cette
technique est particulièrement utile au pirate afin de cacher son identité lors d'une attaque de
type inondation ;
le DNS spoofing, cette attaque consiste à altérer les tables de correspondance nom/adresse d'un
serveur DNS ;
le Web spoofing, il s'agit d'une attaque du type homme du milieu (Man In The middle). Les
requêtes HTTP de la victime sont détournées et des informations erronées lui sont renvoyées.
Celle-ci navigue alors sur un faux site internet.
9.2.3 L’inondation
L’inondation, ou « flooding », consiste à envoyer très rapidement de gros paquets d'information à une
machine ou un réseau afin de saturer ses ressources et de le rendre indisponible. La forme la plus
commune de cette attaque est la consommation de la bande passante du réseau cible. Disposant de plus
de bande passante que la victime par regroupement ou détournement de machines, les pirates
parviennent à inonder sa connexion réseau. Le « smurf », par exemple, consiste à envoyer un PING
contenant l’adresse source de la cible vers une adresse de diffusion. Le PING sera transmis à toutes les
machines du réseau, qui répondront alors en direction de la cible. Un flot continu de PING vers cette
adresse de diffusion aura alors pour conséquence la congestion du réseau due à l’importance du trafic.
L’autre forme de l’attaque par inondation est l’épuisement des ressources. Elle se distingue de la
précédente dans la mesure où elle est axée sur un système et non sur un réseau. Un serveur ainsi attaqué
ne sera plus capable d’accepter de connexions et pourra même se bloquer.
Le « SYN flooding », par exemple, repose sur l'établissement de connexions TCP. Il consiste en l’envoi d’une
rafale de connexions TCP non finies, empêchant ainsi les connexions normales sur le serveur visé.
Une attaque de refus de service, ou déni de service, provoque un dérangement ou interrompt totalement
la fourniture de service à des utilisateurs ou des systèmes. Le refus de service peut être utile au pirate dans
le cas où il lui est nécessaire de redémarrer la machine sur laquelle il évolue. En effet Certaines
modifications ne sont appliquées qu’après un redémarrage, ce qui explique l’utilité de planter un système
pour forcer son utilisateur à le remettre en route. Malmener un système étant plus facile que d’en obtenir
l’accès, le pirate peut également utiliser le refus de service par dépit, repoussé par une politique de sécurité
efficace. De plus, l’objet d’une telle attaque ne nécessite en général que peu de compétences techniques,
les outils requis étant largement disponibles sur internet.
De nombreuses méthodes permettent d’aboutir à un refus de service. Parmi celles-ci on peut citer les
attaques par inondation citées précédemment, soit par consommation de bande passante, soit par
épuisement des ressources. Mais les attaques de refus de service peuvent également être menées par
l’intermédiaire de défauts de programmation. Liés à un système d’exploitation, ce sont les incapacités à
gérer des conditions exceptionnelles. L’envoi de longues chaînes de données peut provoquer un
débordement de tampon et bloquer l’application, ou pire, provoquer l’exécution de commandes
malveillantes.
Soit un flux normal, d’une source A vers une destination B. Cinq catégories d’attaques sur une
communication sont possibles.
Si l’attaquant intercepte la clé publique que A voulait envoyer à B et y substitue la sienne : il peut lire tous
les messages émis par B et se faire passer pour A auprès de B.
Remède : Pour qu'une clé publique soit fiable, elle doit être validée et protégée.
Possible avec les algorithmes utilisant des clés trop petites, à partir d'un échantillon en clair et de sa valeur
chiffrée, l’attaquant tente toutes les clés possibles.
Remède : respecter les référentiels de sécurité, tels que le RGS, pour choisir les éléments secrets.
Si L’attaquant peut produire un condensé équivalent à celui émis par Alice, il peut substituer le message
original.
Remède : d'où l'utilisation de codes MAC plutôt que MIC…
L’attaquant insère des blocs de texte chiffré frauduleux en profitant des blocs de remplissage ajoutés par
les algorithmes de chiffrement.
Remède : Ajouter un résumé.
Si L’attaquant suppose le contenu d'un message chiffré émis de A vers B et connait la clé publique de B, il
va tenter de reproduire le texte clair supposé, de le crypter avec la clé publique pour retrouver le message
chiffré.
Remède : Ajouter des caractères de remplissage pour ajouter du bruit.
Daniel Bleichenbacher, un cryptographe Suisse [19], a montré que l'algorithme de remplissage de PKCS#1
était attaquable. Un message pouvait être déchiffré si A répondait à 1.000.000 de messages tests émis par
L’attaquant (possible avec les automates). (Voir le journal Misc n°4)
Ainsi que les attaques "par effet de bord" (utilisation des messages d'erreur retournés en cas de padding
erroné).
Imaginons que B dispose d'un automate qui émette un reçu pour chaque message chiffré, authentifié et
réceptionné.
Si L’attaquant émet à B le message chiffré et signé que A a déjà émis à B :
B le déchiffre avec sa clé privée
B le vérifie avec la clé publique de L’attaquant : le résultat n'annule pas la signature de A mais l'automate
retournera l'accusé de réception, chiffré avec la clé privée de B et la clé publique de L’attaquant
Utilisez une méthode pour la confidentialité et une autre méthode pour signer.
Rôles et places des langages Java, JavaScript et PHP
Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec
une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre
sa sécurité [23].
Une personne malveillante cherche à récupérer des fonds illégalement acquis par phishing
(Hameçonnage [25]), Cheval de Troie [26], keylogger (Enregistreur de frappe [27], etc. et va
recruter un internaute crédule en lui faisant miroiter un gain substantiel. Il servira alors
d’intermédiaire local pour transférer les fonds et sera le premier incriminé dans cette arnaque.
Un automate lance des appels en grand nombre sur des numéros de téléphones GSM mais
interrompt la communication dès la première sonnerie. Il n’y a donc aucune facturation pour
l’émetteur des appels. La victime, voyant qu’elle a reçu un appel qui n’a pas abouti risque de
rappeler et le numéro rappelé est surtaxé.
L’attaquant parvient à convaincre un nombre important de personnes à acheter des actions de telle
ou telle entreprise après en avoir lui-même acheté une grande quantité à un cours en bourse bien
inférieur. Son but est de faire monter le cours de ces actions. Il les achète à prix bas et les revends à
prix forts.
Escroquerie aux placements financiers sur Internet. Un lycéen américain de 17 ans a organisé une
escroquerie aux placements financiers. L’escroquerie lui a rapporté plus d’un million d’euros. En un
mois et demi (entre le 1er novembre et le 15 décembre 2001), le jeune homme avait créé une
société d'investissements ("Invest Better 2001") avec pour vitrine, un site Web et un bulletin
9.4.5 Le chantage
Août 2002 –JAPON. L’entreprise japonaise Fujitsu reconnaît avoir été victime d’un chantage. Des
Informations confidentielles liées au système informatique de la Défense ont été obtenues par un
programmeur sous-traitant pour Fujitsu. Preuve a été apportée par le maître-chanteur dans un
document imprimé de 10 pages : informations sur la manière dont sont reliés les ordinateurs de la
« Ground Self Defence Force » plus d’autres informations sur le système de Défense aérienne
comme les adresses IP des ordinateurs et des informations relatives au réseau les reliant. La
menace était de diffuser toutes ces informations à la Corée du Nord si Fujitsu ne versait pas une
certaine somme, ce qu’elle a refusé de faire.
Rapport du 18 février 2014 par la société américaine Mandiant. Spécialisée dans le conseil en
sécurité informatique. Spécialistes des attaques dites APT ("Advanced Persistent Threat"), les
experts en sécurité ont concentré leurs efforts sur l'analyse d'attaques émanant de groupes chinois.
Au fil de l'enquête il est apparu qu'un groupe, nommé APT1, concentrait à lui seul, pratiquement
150 victimes d'intrusion durant les 7 dernières années. Le rapport de la société Mandiant avance
même l'hypothèse d'un lien quasi-direct entre cette unité de cyber-espions et l'armée chinoise PLA
(People’s Liberation Army), précisant qu'un tel groupe ne peut se vanter de campagnes d'intrusions
aussi larges et longues sans que l'État Chinois n'en soit au courant, voire même sans qu'il n'y
apporte son soutien. 2014 [30, p. 1]
Les révélations d'Edward Snowden commencent avec un important volume de documents (d'abord
estimé entre 15 et 20 000, chiffre ensuite constamment réévalué à la hausse pour atteindre 1,7
million en décembre 2013) transmis par Edward Snowden à deux journalistes, Glenn Greenwald et
Laura Poitras, et progressivement rendus publics à partir du 6 juin 2013 à travers plusieurs titres de
presse. Elles concernent la surveillance mondiale d'internet, mais aussi des téléphones portables et
autres moyens de communications, principalement par la National Security Agency américaine
(NSA). [31]
Une méthode simple mais très efficace quand elle est bien ciblée. Piéger un site web visité par les
cibles puis, compromettre le site web, y déposer des pages et/ou du code malveillant, puis attendre
les visites et les infections des postes pour au final exploiter les données collectées. [33]
Afin de mener une étude la plus pertinente possible il est nécessaire de cadrer le plus possible cette étude
et les méthodes d’analyses de risque sont là pour nous y aider. À ce stade afin d’éviter toute ambiguïté il
faut définir finement des attendus.
À gauche un niveau, au milieu une description détaillée de l’échelle plutôt générale est proposée et
contextualisée vis-à-vis du contexte client à droite. Les métriques ont été validées par le pôle de
compétence sécurité du client puis durant mes nombreux entretiens j’ai systématiquement représenté les
métriques utilisées à mes interlocuteurs.
Disponibilité
Niveaux de
Description détaillée de l'échelle Description orientée Entreprise/organisme utilisateur
l'échelle
Le service fournit dispose d'un délai maximal
Le bien essentiel a un délai
Aucun ou d’interruption tolérable pouvant aller d'une semaine à
maximal d’interruption autorisée
Faible (D1) un mois avant d'impacter plus ou moins faiblement un
entre une semaine et un mois.
service, une direction ou un organisme utilisateur.
Le service fournit dispose d'un délai maximal
d’interruption tolérable pouvant aller de 3 à 5 jours
Le bien essentiel a un délai
consécutifs ouvrés avant d'impacter plus ou moins
Moyen (D2) maximal d’interruption autorisée
modérément un service, une direction ou un organisme
de 3 à 5 jours consécutifs ouvrés.
utilisateur avec a minima 1 type d'impact de gravité
"modérée".
Le service fournit dispose d'un délai maximal
d’interruption tolérable pouvant aller de 1 à 2 jours
Le bien essentiel a un délai
consécutifs ouvrés avant d'impacter plus ou moins
Critique (D3) maximal d’interruption autorisée
significativement un service, une direction ou un
de 1 à 2 jours consécutifs ouvrés.
organisme utilisateur avec a minima 1 type d'impact de
gravité "significative".
Le service fournit dispose d'un délai maximal
d’interruption tolérable pouvant aller jusqu'à une
Le bien essentiel a un délai
journée (8 heures) avant d'impacter plus ou moins
Majeur (D4) maximal d’interruption autorisée
gravement un service, une direction ou un organisme
d’une journée (8 heures).
utilisateur avec a minima 1 type d'impact de gravité
"grave".
Tableau 6 : Échelle de disponibilité retenue pour l’étude
Intégrité
Niveaux de Description orientée Entreprise/organisme
Description détaillée de l'échelle
l'échelle utilisateur
Une perte ou modification non prévue, Une perte ou modification non prévue, volontaire
Aucun ou volontaire ou non volontaire, n’affecte ou involontaire, n’affecte en rien ou faiblement les
Faible (I1) en rien les activités d’un service, d’une activités d’un service, d’une direction ou d’un
direction ou d’un organisme utilisateur. organisme utilisateur.
Confidentialité
Niveaux de Description détaillée de Description orientée Entreprise/organisme
l'échelle l'échelle utilisateur
La diffusion d’une
information dans le domaine La diffusion d’une information dans le domaine
public n’affecte en rien les public n’affecte en rien ou faiblement les activités
Aucun (C1)
activités d’un service, d’une d’un service, d’une direction ou d’un organisme
direction ou d’un organisme utilisateur.
utilisateur.
Ce niveau traduit que la Ce niveau traduit que la diffusion est seulement
diffusion est seulement possible en interne et au sein des organismes
possible en interne et au sein utilisateurs, ainsi qu’à l’ensemble de l’Administration
Non publique
des organismes utilisateurs, et de ses prestataires. Une divulgation non autorisée
(C2)
ainsi qu’à l’ensemble de va impacter plus ou moins modérément un service,
l’Administration et de ses une direction ou un organisme utilisateur avec un ou
prestataires. plusieurs types d'impacts de gravité "modérée".
Ce niveau restreint la diffusion d’information au
Ce niveau restreint la niveau d’une direction, d’un service, d’un projet
diffusion d’information au métier ou transverse. Une divulgation non autorisée
Confidentiel
niveau d’une direction, d’un va impacter plus ou moins significativement un
(C3)
service, d’un projet métier ou service, une direction ou un organisme utilisateur
transverse. avec un ou plusieurs types d'impact de gravité
"significative".
Ce niveau restreint la diffusion d’information à
Ce niveau restreint la
quelques agents, ou externes, nommément identifiés
Très diffusion d’information à
pour un sujet donné. Une divulgation non autorisée
confidentiel quelques agents, ou externes,
va impacter plus ou moins gravement un service, une
(C4) nommément identifiés pour
direction ou un organisme utilisateur avec un ou
un sujet donné.
plusieurs types d'impact de gravité "grave".
Tableau 8 : Échelle de confidentialité retenue pour l’étude
L’échelle de gravité est très intéressante, il s’agit de faire exprimer aux responsables métier sur un
ensemble de thèmes retenus quel serait l’impact pressenti. Ainsi ce qui m’a étonné c’est que dans le
cadre de cette mission à propos de l’impact financier il n’y a pas de chiffre associé. En effet, on
pourrait associer un impact financier grave à une somme, par exemple 1 million d’euros, mais j’ai fait
le constat qu’il est très difficile de faire exprimer ce genre d’informations.
Impacts par type
Exemples d'événements
Description Financier Juridique Activité Image
redoutés
Indisponibilité limitée d'une
activité non critique (supportée
L'entreprise et par l'application étudiée) pour
Détérioration
l'ensemble un ou plusieurs organismes
modérée de
des utilisateurs.
la relation Mention
utilisateurs de Perte
avec un tiers négative
ses financière Altération partielle d'une base
1 – Faible Avertissement et/ou ponctuelle
applications faible ou de données non sensible pour
perturbation dans un
surmonteront nulle une application.
limitée de média
les impacts
l'activité de
sans aucune Consultation d'information non
l'organisme
difficulté. publiques mais non sensibles
par une personne hors de la
sphère prévue.
Exemples d'événements
Description Financier Juridique Activité Image
redoutés
Indisponibilité prolongée d'une
Perte de la
activité critique (supportée par
gestion de
L'entreprise l'application étudiée) pour
l'ensemble Mention
ou certains plusieurs organismes
des SI sous négative
des utilisateurs.
Responsabilité responsabilité dans les
utilisateurs de
pénale du pour médias
ses Perte Bases de données d'une
Directeur / du l'entreprise / avec
applications financière application critique altérées et
4 – Grave Responsable incapacité à atteinte à
ne jugée inutilisables.
de réaliser ses la
surmonteront inacceptable
l'organisme activités réputation
pas les Fraude à l'impact très
utilisateur majeures de l'entité
impacts (leur important.
pour un ou de façon
survie est
plusieurs irréversible
menacée). Fuite d'informations classifiées
organismes
pouvant nuire aux intérêts de
utilisateurs
l’entreprise.
L’échelle de vraisemblance générale est à destination de la réflexion générale autour des scénarios de
menaces.
Niveau
Intérêt à réaliser le
d'exposition de
scénario de
Niveau de la vulnérabilité
Niveau de menace pour la Moyens
compétence (corrélé
Description Score source de menace nécessaires
vraisemblance nécessaire inversement aux
malveillante (malveillance)
(malveillance) moyens
(théorique &
nécessaires pour
historique)
l'exploiter)
1. Faiblement probable
ou nécessite des moyens
très importants et/ou des Cela ne devrait pas se
1 Expert Très limité Importants Très limité
connaissances très (re)produire.
élevées dans le domaine
considéré
2. Moyennement
probable (Modéré) ou
Cela pourrait se Solide
nécessite un certain 2 Moyen Conséquents Moyen
(re)produire. compétence
niveau d'expertise et/ou
du matériel spécifique
3. Probable ou réalisable
Cela devrait se Niveau
avec des moyens
(re)produire un jour ou 3 élémentaire Important Faibles Important
standards et/ou avec des l'autre. informatique
connaissances de base
Cela va certainement
4. Très probable (Presque Sans
se
certain) ou réalisable par 4 compétence Très Fort Aucun Très Fort
(re)produire
tout public spécifique
prochainement.
Violation
2. Moyennement probable majeure de la
(Modéré) ou nécessite un S'est déjà produit charte
Chantage, cyber attaque
certain niveau d'expertise 2 au moins une fois d'utilisation 1x par an
massive.
et/ou du matériel dans l’entreprise entrainant une
mesure
spécifique disciplinaire
Ces critères de gestion explicitent la démarche proposée au client. Ainsi la méthode mise en œuvre afin de
réaliser l’analyse de risque est totalement traçable, étapes par étapes, via la colonne de droite.
Action Critère de gestion des risques (règle choisie pour réaliser l'action)
Les besoins de sécurité des biens essentiels sont exprimés à l'aide des
Expression des besoins de sécurité (module 2)
échelles correspondantes, selon le critère de sécurité étudié.
Évaluation des événements redoutés (module 2) Les événements redoutés sont classés par ordre décroissant de gravité.
Le traitement des risques ne peut être validé que s'il est démontré que les
Homologation de sécurité (module 5)
risques résiduels sont acceptables.
Lorsque l’on fait se rejoindre vraisemblance et impact cela nous donne la criticité du risque qui a été
analysé.
Vraisemblance
1 2 3 4
4 4 8 12 16
3 3 6 9 12
Impact
2 2 4 6 8
1 1 2 3 4
Tableau 12 : Matrice de criticité des risques
Il est nécessaire de définir avec le client une stratégie de gestion du risque. Le tableau ci-dessous présente
une stratégie mais c’est au client de valider cette dernière l’ingénieur est là pour l’accompagner et le
conseiller.
valeur du
Niveau du risque Stratégie de gestion du risque
risque
Risque mineur peut être accepté R<4
Risque moyen doit être réduit à un niveau acceptable 4≤R<7
Risque important doit être réduit à un niveau acceptable 8 ≤ R < 10
Risque majeur doit être réduit à un niveau acceptable R ≥ 12
Tableau 13 : Stratégie de gestion du risque
Les risques mineurs (verts) sont acceptables. Pour chacun des autres risques, au moins une solution de
traitement qui amène le risque à un niveau mineur doit être proposée par l’ingénieur. Dans le cas où la
solution proposée est complexe (durée ou coût important, ressources complexes à trouver…) des solutions
alternatives et moins complexes doivent être proposées pour le court terme (dans ce cas il peut être
acceptable que le niveau du risque résiduel après leur mise en place ne soit pas forcement mineur). Dans le
cas d’un choix multiple de solutions de traitement, ce sont la Direction de l’entreprise et éventuellement
des organismes comme la commission d’homologation RGS pour l’État qui arbitreront la décision finale.
Des pièces jointes de type PDF sont Les utilisateurs pourront stocker
BE_D4 Pièces jointes 3 4
employés des pièces jointes.
LOC : Locaux
Ce type de biens supports est constitué des infrastructures immobilières hébergeant, et nécessaires au bon
fonctionnement, des systèmes informatiques (SYS) et des organisations (ORG), dans lesquels sont utilisés
tout ou partie des biens essentiels.
Les biens supports intervenant dans les sous-processus considérés dans l’étude sont identifiés à partir
d’entretiens réalisés avec les membres de l’équipe SSI et des différents responsables de biens supports au
sein de l’entreprise ou de l’organisme commanditaire de l’étude et également à partir des dossiers de
sécurité initiaux et des documents d’architecture technique qui ont été collectés dans le cadre de
l’initialisation du référentiel documentaire de l’étude.
Ainsi, pour les biens supports de la présente étude, six catégories ont été retenues parmi celles définies
dans EBIOS:2010 :
MAT : matériel ;
LOG : logiciel ;
RSX : réseaux ;
LOC : locaux ;
PAP ; Papier ;
ORG : organisation.
Évènement Besoin
Réf Bien essentiel Type Sources de menaces Impact Gravité
redouté sécurité
Juridique : 3 (recours de la
Compromissi
CNIL, des partenaires)
Données à on de Interne / externe
Image de marque : 3
ER_C1 caractère données à C 4 Accidentelle / délibérée
(perte de crédibilité pour 3
personnel caractère Code malveillant
l’Entreprise)
personnel
Impact pour l'utilisateur : 2
Juridique : 3 (recours de la
CNIL, des partenaires)
Compromissi Interne / externe
Contrats (PAB, Image de marque : 3
ER_C2
CDU, TO…)
on de C 4 Accidentelle / délibérée
(perte de crédibilité pour 3
Contrats Code malveillant
l’Entreprise)
Impact pour l'utilisateur : 2
Juridique : 3 (recours de la
CNIL, des partenaires)
Compromissi Interne / externe
Image de marque : 3
ER_C3 Pièces jointes on de pièces C 4 Accidentelle / délibérée
(perte de crédibilité pour 3
jointes Code malveillant
l’Entreprise)
Impact pour l'utilisateur : 2
Juridique : 3 (recours de la
Compromissi
Structures CNIL, des partenaires)
on des Interne / externe
organisationne Image de marque : 3
ER_C6
lles et
structures C 4 Accidentelle / délibérée
(perte de crédibilité pour 3
organisation Code malveillant
habilitations l’Entreprise)
nelles
Impact pour l'utilisateur : 2
Juridique : 3 (recours de la
Compromissi CNIL, des partenaires)
Interne / externe
Données des on des Image de marque : 3
ER_C7
interfaces données des
C 4 Accidentelle / délibérée
(perte de crédibilité pour 3
Code malveillant
interfaces l’Entreprise)
Impact pour l'utilisateur : 2
Juridique : 3 (recours de la
CNIL, des partenaires)
Compromissi Interne / externe
Image de marque : 3
ER_C8 Factures on de C 4 Accidentelle / délibérée
(perte de crédibilité pour 3
factures Code malveillant
l’Entreprise)
Impact pour l'utilisateur : 2
Juridique : 3 (incapacité de
Altération de Interne / externe construire une piste
Traces
ER_I8
applicatives
traces I 3 Accidentelle / délibérée d'audit) 3
applicatives Code malveillant Image de marque
Financier
Activité : 2 (retards de
paiement)
Juridique
Altération de Interne / externe Image de marque : 2
ER_I1 Données des
0 interfaces
données des I 2 Accidentelle / délibérée (perte de crédibilité pour 2
interfaces Code malveillant l'Entreprise)
Financier : 2 (retards de
paiement)
Impact pour l'utilisateur
Activité : 2 (retards de
paiement)
Juridique
Altération
Interne / externe Image de marque : 2
ER_I1 Suivi des des données
1 incidents liées aux
I 2 Accidentelle / délibérée (perte de crédibilité pour 2
Code malveillant l'Entreprise)
incidents
Financier : 2 (retards de
paiement)
Impact pour l'utilisateur
Juridique : 3 (incapacité à
répondre à une
investigation)
Répudiation
Interne / externe Activité : 3 (possibilité de
Gestion des sur la gestion
ER_T1
utilisateurs des
T 4 Accidentelle / délibérée fraude) 3
Code malveillant Image de marque
utilisateurs
Financier : 3 (possibilité de
fraude)
Impact pour l'utilisateur
Activité : 3 (possibilité de
fraude)
Répudiation Juridique : 2 (incapacité à
sur le Interne / externe répondre à une
Passation du
ER_T2
contrat
processus de T 3 Accidentelle / délibérée investigation) 3
passation du Code malveillant Image de marque
contrat Financier : 2 (possibilité de
fraude)
Impact pour l'utilisateur
Activité : 3 (possibilité de
fraude)
Répudiation
Juridique : 2 (incapacité à
sur le
Gestion et Interne / externe répondre à une
processus de
ER_T3 suivi du
gestion et
T 3 Accidentelle / délibérée investigation) 3
contrat Code malveillant Image de marque
suivi du
Financier : 2 (possibilité de
contrat
fraude)
Impact pour l'utilisateur
Financier : 4 (possibilité de
fraude)
Répudiation Activité : 3 (possibilité de
sur le Interne / externe fraude)
Calcul et
ER_T4
facturation
processus de T 3 Accidentelle / délibérée Juridique : 2 (incapacité à 3
calcul et Code malveillant répondre à une
facturation investigation)
Image de marque
Impact pour l'utilisateur
Sources
Bien support Réf Critère Menace Vulnérabilités Mesures de sécurité de Vraisemblance Commentaire
menaces
Les mauvaises pratiques ont la
vie dure, malgré les
sensibilisations et les
politiques en place (clés USB
laissées sans surveillance,
Supervision Nagios et vCenter absence de chiffrement,
MAT_FW : Non-respect du processus WAF partage de mots de passe,
d'ajout/modification des règles Charte d'utilisation utilisation de comptes
Détournement
ORG_Entreprise : Mauvaises pratiques (utilisation Sessions de sensibilisation bi génériques, internet sur
MAT- de l'usage 1-11 Moyennement
MAT_FW D/I/C de comptes d'administration génériques, annuelles 2 postes admin…). Des mesures
USG prévu d'un 13 probable
échange de fichier…) Administration avec de sécurité sont mises en
matériel
RSX : Communication non sécurisée pour le authentification forte place par l’Entreprise pour
déploiement des fichiers d'installation (FTP) Durcissement des limiter l’apparition de ce type
configurations de scénarios de menaces, mais
comme elles ont souvent pour
cause racine des négligences
humaines leur niveau de
vraisemblance est non
négligeable.
La vraisemblance de ce
scénario reste mitigée du fait
ORG : Authentification simple pour les
PER- Usurpation de Moyennement que le service n'est pas exposé
ORG_FC C utilisateurs Accès par l'intranet 1-11 2
MOD droits probable sur internet. Cependant, celui-
ORG : Politique de mot de passe non respectée
ci reste hors de contrôle de
l’application
Clause de confidentialité
PER- Départ d'une Faiblement Faiblement probable en vue
ORG_PER D/C ORG_PER : Faible loyauté Redondance des postes 1-11 1
PTE personne probable des mesures en place
critiques
La valeur du risque est obtenue en multipliant la valeur qualitative de la gravité retenue (cf. échelle de gravité), par la valeur qualitative de la vraisemblance
retenue (cf. échelle de vraisemblance).
Expression de la demande
Passation du contrat * Risque de d'indisponibilité suite à une attaque
Gestion et suivi du contrat virale
Paiement et recouvrement Gravité 3 : Des hackers ayant de grandes capacités et
ER_D1/ER_D9
Fin du contrat connaissances, exploitent des failles des composants
RD1 D Bureautique
LOG-VIR
logiciels pour rendre indisponible l'application. La 3 3 Important
Gravité 2 :
Gestion des utilisateurs ER_D10/ER_D12 probabilité de l'attaque augmente avec les failles des
Administration fonctionnelle composants, l'intérêt de l'attaque et la possibilité de
l'effectuer à l'aide de social engineering.
Activités de support
Archivage
Expression de la demande
Passation du contrat
Gestion et suivi du contrat * Risque d'altération des journaux constituant la
Paiement et recouvrement Gravité 3 : piste d'audit
LOG-USG-PER
ER_T1/ER_T11
Fin du contrat PER-INF Un attaquant interne profite d'une vulnérabilité
RI2 I Bureautique RSX-MITM logicielle ou applicative pour effacer ou modifier des 3 2 Moyen
Gravité 2 :
LOG-MOD traces à valeur probante dans la base de données
Gestion des utilisateurs ER_T12
Administration fonctionnelle dédiée. La piste d'audit est compromise.
Activités de support
Archivage
Expression de la demande
Passation du contrat
Gestion et suivi du contrat * Risque de d'indisponibilité suite à un upload
Paiement et recouvrement Gravité 3 : malicieux
ER_D1/ER_D9 Un attaquant upload un fichier exécutable malicieux,
Fin du contrat
RD2 D Bureautique
LOG-VIR en l'absence de restriction sur les extensions de 3 2 Moyen
Gravité 2 : fichier, la surface d'attaque est augmentée malgré les
Gestion des utilisateurs ER_D10/ER_D12 contrôles antiviraux en place. Ce type d'attaque peut
Administration fonctionnelle aboutir à une indisponibilité du système.
Activités de support
Archivage
Tableau 20 : Risques
celui du moindre privilège : tout ce qui n’est pas explicitement autorisé doit être interdit, on aura
remarqué que dans le cadre de notre étude ce principe fait partis des mesures de sécurité en
place comme plusieurs des mesures suivantes ;
la défense par couche ou défense en profondeur, qui est une protection successive à tous les
niveaux ou il est possibles d’agir. Si une couche est corrompue, d’autres protections de nature
différentes se présenteront à l’attaquant ;
la mise en place de tableau de bord et journalisation : contrôles de l’état du SI ;
la mise en place de moyen de détection (Alerte) et de réaction.
La sécurité absolue n’existe pas, les règles de sécurité doivent donc évoluer en permanence ;
la sécurité d’une application doit être prise en compte au plus tôt dans son cycle de vie, dès la
rédaction du cahier des charges et des besoins non fonctionnels puis durant la conception, le
développement et doit se concrétiser par une surveillance régulière quand l’application est en
production ;
la sécurité dès la conception c’est du bon sens, faire simple, éviter de faire de la sécurité par
l’obscurité et privilégier une stratégie de défense en profondeur.
la sécurité durant le développement, c’est filtrer les données entrantes, faire attention aux
possibilités d’injection, les pièges des jeux de caractères, suivre les données, protéger les sorties et
auditer son code ;
la sécurité d’une application au quotidien, c’est modérer son contenu, analyser régulièrement les
fichiers de « logs ». Se tenir continuellement informé. Tenir le socle physique et logique de ses SI à
jour. Un navigateur sur un poste client qui n’est pas à jour n’est pas sans risque ;
prendre en compte les aspects légaux, même si ceux-ci demandent de plus en plus
d’investissement aux entreprises et même si l’entreprise n’arrive déjà pas à gouverner son
système d’information car elle n’arrivera pas à faire respecter les exigences légales qui lui
incombent.
« La force d’une chaine n’est égale qu’à celle de son plus faible maillon »
Il faut toujours garder à l'esprit que la sécurité à 100% n'existe pas et qu'il y a nécessairement un
compromis entre la valeur qui est protégée et son coût de protection. Une entreprise ou un organisme
possédant des ressources informatiques doit donc déterminer les biens à protéger et les moyens
raisonnables de protection à mettre en place il s’agit de la première mesure de prévention à prendre. Il
n'existe pas de solution générale adaptable pour tous les cas de figure. Chaque entreprise comporte un
scénario de risques particuliers et ne peut pas se voir attribuer une solution typique. C’est pour cette raison
qu’une importante étude doit être réalisée afin de définir les besoins en matière de sécurité.
Il convient au préalable d'identifier les ressources et les causes de vulnérabilité en fonctionnement normal,
c'est à dire de définir les points faibles du système. Une fois l'état des lieux réalisé, il faut effectuer un choix
des mesures à mettre en place, en tenant compte du coût de la menace si celle-ci se produit et de
l'évaluation du coût du système de protection c’est ce que j’ai tenté de réaliser jusque-là.
Ainsi, l'analyse plus générale et pas seulement orientée « analyse de risque » peut se résumer comme suit :
Nous avons dressé une liste de risques potentiels et ainsi de spécifier le « quoi » de notre réflexion. Nous
avons commencé à apporter quelques éléments de réponse concernant le « comment » en proposant
différentes mesures et dans le chapitre précédant des moyens de défense. Intéressons-nous à présent de
manière plus précise aux moyens de sécurisation qu’il m’a été possible de proposer.
Un principe, est aujourd’hui systématiquement évoqué, celui de la Défense en profondeur.
Dans une architecture interconnectée, quels sont les besoins courants ?
connexion de l’entreprise à l’internet ;
a) La confidentialité
De la même manière que les serveurs ne doivent être accessibles que par les administrateurs systèmes, les
postes de travail ne doivent pas être accessibles par tous les utilisateurs. Les bureaux doivent pouvoir être
fermés à clé et les postes de travail doivent comporter des mots de passe valides. Pour être efficaces, ceux-
ci doivent être choisis avec soin et respecter quelques règles de base :
Ne jamais choisir un mot de passe du langage courant. Comme nous l’avons vu dans la partie
précédente, les pirates utilisent des dictionnaires pour venir à bout des mots de passe. S’il est
choisi parmi des termes usuels, ce type de protection à toutes les chances de ne pas résister
longtemps.
Ne jamais choisir un mot proche de soi, tel que son nom, le prénom de ses enfants, sa date de
naissance, le nom du chien, le numéro de sa plaque d’immatriculation, son passe-temps favori…
N’importe qui connaissant suffisamment la personne aura tôt fait de trouver le mot de passe
choisi.
Choisir un mot de passe long. Les logiciels de force brute arrivent aisément à décrypter les mots
comportant moins de 6 caractères dans un laps de temps raisonnable.
Les bureaux en libre-service avec le mot de passe de la machine inscrit sur un papier collé à l’écran
sont évidemment à proscrire. N’importe quel pirate se faisant passer pour un technicien ou un
client extérieur à la société pourrait ainsi se procurer facilement des informations confidentielles.
Le mieux est de prendre un mot de passe constitué de chiffres et de lettres, de majuscules et de
minuscules. Il est prudent d’y ajouter des caractères de ponctuation ou des caractères peu souvent
utilisés, ceci afin de compliquer le travail de décryptage.
De nombreux procédés mnémotechniques permettent de se rappeler comment générer et surtout
retrouver ce type de mots de passe. Une fois un de ces procédés choisi, il est aisé de posséder un
mot de passe différent pour chaque application et d’en changer régulièrement.
b) Audits et conformité
Les audits, inspections, diagnostics flash et autre appellations participent dans un cycle itératif
d’amélioration continu à l’amélioration générale de la sécurité de nos environnements. Les normes de
sécurité tel que l’ISO 27001 ont prises une grande place dans le domaine de la sécurité et les certifications
associés sont un bienfait pour toute la communauté. Les audits et la conformité dans son ensemble sont
des outils puissants et essentiels.
c) Supervision sécurité
Comment évoquer les moyens de supervision de sécurité sans parler de la gestion et de la corrélation des
logs. Très à la mode, les SIEM se multiplient mais très peu apportent une réelle différence. En effet, le
mode de fonctionnement ne change pas foncièrement d’un outil à un autre, pour mettre en œuvre ces
systèmes il faut administrer les logs du périmètre à auditer, les sélectionner ce qui est rarement fait et les
stocker. Des sources d’événements claires permettent une stratégie de lutte informatique défensive claire,
on parlera également de stratégie de surveillance. Dans ce mémoire, afin d’illustrer ces propos, un des
risques issus de notre cas de test est couvert par une mesure de traçabilité. Nous irons jusqu’à vérifier la
pertinence de la mesure dans un chapitre précédant nos conclusions.
d) La visibilité du système
Il faut être en mesure de pouvoir à tout moment identifier l’état de sécurisation du système.
les machines sont-elles en lieu sûr et inaccessibles par des personnes non autorisées ;
certaines machines restent-elles connectées inutilement sans surveillance ;
des sauvegardes de données sont-elles effectuées régulièrement ;
les utilisateurs sont-ils des gens de confiance.
a) Les locaux
Il est indispensable de protéger physiquement les éléments critiques du système contre les risques
naturels, tels que la foudre, les coupures de courant, ou même les dégâts des eaux et les incendies.
Pour cela, il faut respecter quelques règles :
protéger le matériel vital, comme les serveurs, par des onduleurs qui prennent le relais en cas de
défaillance du secteur, et qui offrent une protection vis à vis des surtensions ;
placer ces systèmes dans des locaux protégés. Il faut leur réserver une pièce à l’abri des
inondations (éviter les sous-sols), exempte de poussière et climatisée. Le local doit être fermé à
clé, et pourra être couplé à des systèmes d’alarme ;
les administrateurs systèmes devront au moins être deux, l’absence de la seule personne capable
de remettre le système en état (maladie, congé…) pouvant être aussi dramatique qu’un système
mal protégé ;
les composants des ordinateurs et les supports de stockages sont sensibles aux effets
magnétiques. Il faut donc les tenir écartés des appareils source de magnétisme.
Quelles que soient les précautions prises pour garantir son bon fonctionnement, le matériel informatique
n’est pas à l’abri d’une panne. Tout matériel doit donc disposer d’une garantie solide, nécessitant le moins
d’immobilisation possible de la ressource, tant pour son remplacement que pour sa réparation.
b) La redondance
Certaines données conservées sur le système d'information d'une entreprise sont nécessaires à son
fonctionnement, elles ne doivent donc en aucun cas être perdues ou indisponibles. La redondance consiste
à introduire dans le système des éléments capables de prendre le relais, dans le cas où des organes vitaux
viendraient à être défaillants. Les disques durs peuvent être protégés physiquement à l’aide de la
technologie RAID (Redundant Array of Inexpensive Disks). Ce système offre une double utilité : accélérer les
accès disques et éviter les pertes de données. La technologie RAID 0 ne permet qu’une accélération,
écrivant les données entrelacées sur plusieurs disques à la fois. La technologie RAID 1, ou « mirroring »,
permet quant à elle l’écriture simultanée sur plusieurs unités. Les technologies suivantes combinent ces
deux systèmes : les ensembles sont composés de plusieurs disques, l’un d’entre eux contenant des données
de parité constituées à partir de chacun des autres. Il est ainsi possible de reconstruire un disque défaillant
à partir des autres disques du système. La dernière technologie RAID permet la dispersion des données de
parité sur chacun des disques. Un système de sécurité comme le RAID ne protège pas d'un effacement de
la sauvegarde complète est longue mais facile à réaliser. De plus, l'utilisateur est certain que des
fichiers importants n'ont pas été oubliés ;
la sauvegarde incrémentale consiste à réaliser une copie des fichiers qui ont été modifiés depuis la
dernière sauvegarde. La sauvegarde est plus rapide mais la restauration des fichiers s'en trouve
alourdie.
Des outils de sauvegarde automatique permettent de définir les paramètres d'archivage des fichiers à
sauvegarder. La relecture de certaines données peut nécessiter le programme spécifique qui a servi à les
créer, celui-ci devra donc également être sauvegardé. Il existe de nombreux périphériques et unités de
stockage permettant de réaliser ces copies. Leur choix s'effectue en fonction du budget, de l'importance
des copies et de leur nombre. Parmi ceux-ci, on peut citer, les disques comme les CD/DVD, les lecteurs de
bandes, les disques durs quel que soit leurs types et leur configuration y compris les supports SSD dit flash
et bien sûr les services du cloud, pour les plus couramment rencontrés.
L'utilisation de plusieurs supports est importante, pour éviter l'usure de ceux-ci, et ne pas courir le risque
de perdre toute la sauvegarde en cas de détérioration.
Il est également prudent de placer ces sauvegardes dans un endroit différent du système à sécuriser, ceci
afin d’éviter leur destruction simultanée dans le cas d’un incendie par exemple.
De plus, le lieu de stockage doit répondre à des critères de sécurité stricts : problèmes de confidentialité,
conditions de température et d’hygrométrie…
La sécurité physique fait appel à la notion de zonage d'un système d'information et une salle serveur devra
posséder ainsi à minima :
Les réseaux privés virtuels (VPN, Virtual Private Network) permettent de réaliser une liaison sécurisée entre
deux réseaux distants à travers un réseau public. Ils sont généralement utilisés pour le télétravail,
permettant à des employés de se connecter à leur entreprise par l'intermédiaire d'internet via un chemin
virtuel sécurisé. Ils peuvent aussi permettre de relier deux sites d'une entreprise sans recourir à des lignes
spécialisées. Il existe donc deux utilisations principales de VPN :
un réseau privé virtuel client-serveur, où un utilisateur distant se connecte au réseau local de son
entreprise ;
un réseau privé virtuel de serveur à serveur, lorsque deux réseaux locaux sont connectés entre
eux.
Bien que les VPN nécessitent l'acquisition de produits matériels et logiciels supplémentaires, le coût des
communications est moindre, l'entreprise ne s'acquittant que d'un accès internet.
Un VPN nécessite :
e) Les pare-feu
Un pare-feu est un matériel ou un logiciel qui permet de protéger un réseau des attaques extérieures,
effectuant un filtrage sur les communications entrantes et sortantes. Il empêche ainsi toute personne
d'accéder, de détruire ou de dérober des données du système informatique.
Le pare-feu :
crée un fichier journal du trafic sur le réseau ;
filtre les paquets entrants et sortants du réseau. C'est à dire qu'il les accepte ou les rejette suivant
une stratégie d'accès prédéfinie. (Adresse IP, protocole…) ;
ferme l'accès aux ports ouverts par les ordinateurs du réseau ou les cache (ports furtifs)
traduit les adresses IP utilisées sur internet en adresses différentes dans le réseau interne. La
machine sur laquelle le pare-feu est installé sera alors la seule machine du réseau accessible
b) Routeur
Ils permettent de séparer deux réseaux sur un même site de relier deux sites distants. Il possède un « acces
list » qu'il convient de paramétrer correctement pour sécuriser le système d'information et économiser de
la bande passante.
15.1.2.8 Cryptographie
Elle permet essentiellement de protéger des données. Elle permet également avec la signature
électronique d'assurer l'authentification d'une source. Elle est utilisée dans des protocoles tels qu’IPSEC,
HTTPS, SSH, par exemple pour sécuriser les échanges.
Alice crée un résumé, elle expédie le bulletin et le résumé non signé à Bob ;
Bob extrait le bulletin d’Alice et calcule indépendamment un résumé de message ;
Bob extrait le résumé de message qu’Alice lui a envoyé ;
Si les deux résumés correspondent alors Bob sait que le bulletin n’a pas été modifié depuis qu’Alice a créé
le résumé de son message.
Cas d’un résumé de message non signé.
Ève veut convaincre bob qu’il vient de recevoir le message d’Alice alors qu’il n’en est rien. Ève fait un faux
message et crée un résumé à partir de ce faux. Il intercepte le message d’Alice et le résumé associé puis
substitue son faux message avec son faux résumé ;
Je ne ferai pas dans ce mémoire la genèse de la cryptographie, de même que je ne balaierai pas tous les
moyens de chiffrement il s’agit comme expliqué de balayer les notions fondamentales qu’il est nécessaire
de développer dans une démarche orientée sur la sécurité.
c) Le chiffrement
Le chiffrement permet de transmettre un message ou de stocker une information dont le contenu n'est pas
lisible par quiconque tenterait de l'intercepter ou d’y accéder. Il répond ainsi à deux des problèmes
identifiés précédemment, c’est à dire la confidentialité et l’intégrité des données. Le chiffrement comprend
la présence de deux entités : un émetteur et un récepteur. Le premier va remplacer le message en clair par
un cryptogramme, à l’aide d’un algorithme et d’une clé, puis le transmettre au second qui devra le
déchiffrer. La sécurité d'un système de chiffrement repose donc sur la complexité des algorithmes définis,
la taille de la clé et la puissance de calcul disponible pour une attaque.
De nombreux algorithmes de chiffrement sont disponibles, regroupés sous deux grands principes :
La cryptographie à clé secrète ;
La cryptographie à clé publique.
Le système de chiffrement par clé symétrique, ou secrète, n'utilise qu'une seule clé. L’algorithme DES (Data
Encryption Standard) a été largement utilisé notamment dans les puces des cartes bleues et les téléphones
GSM, cet algorithme est obsolète depuis 2001. Utilisant une clé de 56 bits, son principe repose sur une
série de permutations et de tables de correspondances. Le DES a été remplacé par le triple DES puis l’AES
(Advanced Encryption Standard) qui sont plus sûr et ou la taille de clé évolue régulièrement depuis.
Le système de chiffrement par clé asymétrique utilise une clé publique et une clé privée. La clé publique est
connue de tout le monde, elle servira aux expéditeurs pour chiffrer le message que l'utilisateur recevra.
a) L’antivirus
Loin d’être passés de mode, ils protègent le système d’information des virus, vers, et trojans. On peut les
classer en deux grandes catégories : les antivirus de passerelle, ils protègent le système d’information sur
les flux entrants (FTP, HTTP, IMAP, POP3, SMTP) et les antivirus qui protègent les serveurs, les postes des
utilisateurs et les serveurs de messagerie. Il est inutile de protéger le flux entrant et les postes
informatiques avec le même antivirus. De même, un antivirus qui n’est pas à jour ne protège plus grand-
chose. On recommande une administration centralisée de ces systèmes, meilleur moyen de s’assurer qu’ils
sont à jour et actifs.
Les virus constituent une grande menace envers les systèmes. Le risque encouru est d’autant plus grand
que la quantité d’information échangée est importante. La meilleure protection contre les infections reste
l'antivirus, bien que le nombre de virus augmente chaque jour et que les antivirus ne soient pas capables de
tous les détecter. Les antivirus doivent donc être mis à jour régulièrement afin de contenir le plus de
définitions de virus possible, ce qui peut s'effectuer de manière automatique.
La détection d’un virus s’effectue par la recherche de fragments de code malicieux, correspondant à sa
signature. Il se pose ici le problème des virus polymorphes, capables de modifier leur signature durant leur
réplication. C’est pour cela que les logiciels antivirus sont également capables de détecter des
comportements anormaux, mais cette détection difficile ne peut en aucun cas dispenser des mises à jour
fréquentes.
Deux techniques de protection sont offertes. La première est l'analyse automatique de tout fichier accédé
de la machine. La seconde consiste à lancer une analyse complète du système. Cette analyse nécessitant
beaucoup de ressources est donc réalisée ponctuellement.
Une conscience d'utilisation de la part des utilisateurs est également nécessaire. Ils doivent avoir
connaissance des menaces potentielles lorsqu'ils utilisent l'outil informatique. Les quelques mesures de
précaution suivantes permettent d'assurer une bonne sécurité vis à vis du code malveillant :
b) L’authentification
Il existe plusieurs façons d'identifier : login, mot de passe, biométrie, certificats, carte à puce. Utilisateurs
connus et associés à une matrice des droits d'accès aux ressources de l'entreprise. Tous les accès au réseau
(intranet) son authentifiés. Tous les accès distants au réseau sont fortement authentifiés. Aucune
connexion directe au réseau Internet n'est autorisée.
Protocole d'authentification. Il en existe plusieurs :
OTP (One Time Password), un mot de passe différent est exigé à chaque nouvelle connexion ;
Kerberos ;
SRP (Secure Remote Passwords) ;
Radius (Remote Authentication Dial-In User Service) ;
LDAP (Lightweight Directory Access Protocol SSO) ;
EAP (Extensible Authentification Protocol).
L’authentification est donc un aspect à ne pas négliger lors de la réalisation d’échanges et l’authentification
des correspondants, c’est à dire la vérification de l’identité des parties.
Dans un environnement à clé publique, il est essentiel de s’assurer que la clé utilisée appartient bien à la
personne à laquelle on destine les données. Cette fonction est assurée par les certificats numériques.
Un certificat est un document électronique qui atteste de l'identité de son détenteur, pour prévenir la
contrefaçon. Il contient des informations sur la clé publique d’une personne, afin de garantir son
authenticité.
Le certificat est constitué des champs suivants :
la version ;
l'algorithme de signature ;
la clé publique ;
la signature de la clé par une autorité de certification ;
l’identité de l’autorité de certification ;
un numéro de série ;
le domaine d’application ;
la période de validité.
Le certificat doit être généré par un tiers de confiance, c'est à dire un organisme indépendant qui contrôle
la véracité de ces informations. La mise en place d’une PKI nécessite une étude préalable. Elle permet une
sécurisation lors d’échanges de type e-commerce, notamment pour :
Il est préférable de ne pas multiplier les services sur un même serveur, un service devrait être égal
à un serveur ou à une machine virtuelle ;
le BIOS devra être protégé par mot de passe et ne jamais permettre de booter sur un support
extérieur ;
les postes de travail doivent être inventoriés ;
le strict nécessaire des logiciels doit être installé ;
l’uniformité des logiciels est un atout dans la gestion des failles et de l’obsolescence.
e) Anti spyware
Les spywares sont devenus courant sur les ordinateurs naviguant sur internet. Il est recommandé de
posséder des logiciels antispyware afin de nettoyer les ordinateurs.
Non retenue : exemple, la proposition est interdite par la PSSI de l’entreprise, ou l’entreprise à un
mauvais RETEX vis-à-vis de cette solution ;
État
réf Vulnérabilité Risque
Titre de la mesure Description Responsable
mesure couverte impacté Non En En
Proposée
retenu étude place
* Vulnérabilités
logicielles (failles
Planifier des tests
XSS, injection de
d'intrusion avant et
code…)
après mise en
* Versions
production de RC1
logicielles obsolètes
MS_1 Tests d'intrusion l'applicatif et RD1 X Prestataire
* Absence de
proposer une RI2
durcissement des
trajectoire de
configurations
résolution des
(paramétrages par
anomalies
défaut, ports
ouverts…)
Mettre en place
des audits de code
(axés sur la
* Vulnérabilités
sécurité du code) RC1
logicielles (failles
MS_2 Audit de code itératifs et RD1 X Prestataire
XSS, injection de
proposer une RI2
code…)
trajectoire de
résolution des
anomalies
Utiliser un
* Communication
protocole sécurisé
non chiffrée entre le
(HTTPS) entre le
Netscaler/Serveur
Chiffrement de la Netscaler et le
web/ Application
MS_3 liaison Netscaler - serveur application RC5 X Prestataire
Web (en front end),
application web WEB, afin de
utilisée pour le
sécuriser l'échange
transport des jetons
du jeton
d'authentification
d'authentification.
S'assurer que la
gestion des actifs
et des
Intégration de la RC1
vulnérabilités sont * Versions
MS_4 gestion des actifs et RD1 X Prestataire
bien intégrés dans logicielles obsolètes
des vulnérabilités RI2
les processus mis
en place par le
groupement
En particulier, les
versions
applicatives des
serveurs web en
Montée de version zone frontale RC1
* Versions
MS_5 sur les serveurs (Apache) et les RD1 X Prestataire
logicielles obsolètes
web et applicatifs serveurs applicatifs RI2
(Tomcat) doivent
être exemptes de
vulnérabilités
connues.
Utiliser un
protocole sécurisé
* Communications
(SFTP) pour
SFTP pour le non chiffrées lors du
déployer les RC1
déploiement des déploiement des
MS_6 fichiers RD1 X Prestataire
fichiers fichiers
d'installation, afin RI2
d'installation d'installation
de garantir
(protocole FTP)
l'intégrité des
applicatifs installés.
Restreindre
l'utilisation de
l'outil d'extraction RC1
Restriction sur le de données aux RC2
MS_7 X Prestataire
requêteur SQL seuls RC3
administrateurs RC4
fonctionnels de la
solution
Analyser les
fichiers uploadés
par un antivirus * Pas de contrôle
Analyse antivirale
MS_8 avant tout des uploads des RD2 X Prestataire
des uploads
traitement, dans utilisateurs
un sas de
décontamination
S'assurer qu'un
mécanisme permet
Contrôle des de restreindre * Pas de contrôle
MS_9 extensions des l'upload de fichiers des uploads des RD2 X Prestataire
fichiers uploadés uniquement aux utilisateurs
formats prévus par
l'utilisation.
Les données de
production, en
particulier pendant * Manque de
Encadrer la phase de reprise sensibilisation,
l'utilisation des des données, mauvaises pratiques
Prestataire /
MS_10 données de doivent être * Manipulation de RC6 X
Entreprise
production par les manipulées dans le données de
équipes projet respect de la production par les
politique de équipes projet
protection des
données sensibles.
S'assurer de la
Respect des * Non-respect du RD1
MS_11 procédures bonne prise en X Prestataire
processus RD2
compte des
d'ajout/suppression d'ajout/modification
procédures d'ajout
l’application
Lors de la création
de compte
utilisateur ou lors
de changement de
mot de passe,
Respect de la * Politique de mot
l'utilisateur ne doit
politique de mot de de passe de
MS_16 pouvoir saisir RI4 X Prestataire
passe de l’entreprise non
qu'un mot de
l'entreprise respectée
passe conforme à
la politique de mot
de passe en
vigueur à
l'Entreprise
Chiffrer les flux
Chiffrement des * Communications RC4
internes à
MS_17 flux internes de non chiffrées sur RC5 X
l’application (TLS)
l’application l'infrastructure RI3
jusqu'à l'archivage.
Chiffrer les
informations
sensibles (champs
en base ou pièces
jointes) en base. RC1
Chiffrement des Chiffrer les * Données sensibles RC2
MS_18 données sensibles données suivantes non chiffrées en RC3 X Prestataire
en base : base RC4
- les informations à RI3
caractère
personnel
- les pièces
justificatives
Intégrer les
composants de
Plan de continuité
MS_19 l’application dans RD3 X Prestataire
d'activité
le PCA/PRA de
l’entreprise.
Les journaux
techniques et
applicatifs sont
remontés à la
solution de gestion
des logs de
l’entreprise (ELK).
* Surveillance
En particulier,
Gestion des traces administrateur : pas RI2
toutes les actions
MS_20 applicatives et de vue globale des RC3 X Prestataire
administrateurs,
techniques actions RC4
les accès aux bases
administrateurs
de données, les
authentifications
(succès + échec),
changements de
droits utilisateurs
doivent être
journalisés.
Former les
administrateurs
aux tâches et
nouvelles
Procédures
technologies
d'exploitation et * Erreurs de
MS_21 employées. RI1 X Prestataire
formation des manipulation
S'assurer que des
administrateurs
procédures
d'exploitation
existent pour ces
actions.
J’ai évalué les risques résiduels dans le tableau ci-dessous dans l’hypothèse où l’ensemble des mesures de sécurité que j’ai présenté dans la partie
précédente seraient retenues et correctement appliquées.
On identifiera en rouge les mesures qui ne sont pas retenues, la vraisemblance résiduelle en tiendra compte. Dans le cadre de ma mission deux mesures de
sécurité proposées n’ont pas été retenues. Cette décision a été prise par la direction de mon client en concertation avec ses équipes de sécurité pour une
question notamment de retour sur investissement face à l’effort requis. Dans le tableau ci-dessous les mesures non retenues ne sont pas mises en rouge et
présentées comme si elles avaient été retenues.
Vraisembl
Réf Critère Gravit Vraisem Risque
Exemple Scénarios de risque (SM X ER) Risque initial Mesure complémentaire ance
risque sécurité é blance résiduel
résiduelle
* Tests d'intrusion
* Audit de code
* Risque de compromission suite à une attaque
* Intégration de la gestion des actifs et des
virale
vulnérabilités
Des hackers ayant de grandes capacités et
* Montée de version sur les serveurs web et
connaissances, exploitent des failles des
applicatifs
RC1 C composants logiciels pour accéder à des données 3 3 Important * SFTP pour le déploiement des fichiers 1 Mineur
sensibles. La probabilité de l'attaque augmente avec
d'installation
les failles des composants, l'intérêt de l'attaque et
* Restriction sur le requêteur SQL
la possibilité de l'effectuer à l'aide de social
* Sensibilisation des développeurs à la sécurité
engineering.
* Durcissement des configurations
* Chiffrement des données sensibles en base
* Tests d'intrusion
* Audit de code
* Risque de d'indisponibilité suite à une attaque
* Intégration de la gestion des actifs et des
virale
vulnérabilités
Des hackers ayant de grandes capacités et
* Montée de version sur les serveurs web et
connaissances, exploitent des failles des
applicatifs
RD1 D composants logiciels pour rendre indisponible 3 3 Important * SFTP pour le déploiement des fichiers 1 Mineur
l'application. La probabilité de l'attaque augmente
d'installation
avec les failles des composants, l'intérêt de
* Sensibilisation des développeurs à la sécurité
l'attaque et la possibilité de l'effectuer à l'aide de
* Durcissement des configurations
social engineering.
* Respect des procédures d'ajout/suppression de
règles firewall
Outil indispensable à plusieurs titres, la matrice de risque est le meilleur moyen de présenter à une
audience de manière synthétique les résultats obtenus.
On retiendra la matrice des risques bruts qui présente les résultats de l’analyse de risque avant leur
traitement. La matrice de risques résiduels qui présente les risques résiduels post traitement du
risque et la matrice de risque nette qui présente un état du risque accepté par le client c'est-à-dire
qui n’a plus vocation à évoluer et qui représente la réalité.
D3 C2 C3 C4 C5 C1 D1
D2 I4 I3 C6
I1 I2
C1 C2 C3 C4
C5 D1 D2 D3
I1 I2 I3 I4
C6
À présent, il s’agit de s’assurer que l’on dispose bien des évènements que l’on a identifiés comme
pertinents. Tracer les activités des comptes locaux peut notamment aider à détecter les PtH (Pass the
Hash activity) ainsi que d’autres activités illicites. Des informations additionnelles tel que les accès
distants, les ajouts de droits à des utilisateurs et les blocages de comptes peuvent être tracés. Les
élévations de privilèges devraient être tout particulièrement tracées afin de s’assurer du coté licite
de l’opération. L’élévation de droits d’un compte utilisateur normal pour un groupe à privilège peut
en effet, refléter une activité malicieuse. La liste d’événements Windows présentée ci-dessous est
donc proposée à la supervision, elle permet de concrétiser la mesure de sécurité si ce n’est dans son
ensemble du moins en partie.
ID Level Event Log Event Source
Account Lockouts 4740 Informational Security Microsoft-Windows-Security-Auditing
User Added to 4728, 4732,
Informational Security Microsoft-Windows-Security-Auditing
Privileged 4756
Group
Security-Enabled group
4735 Informational Security Microsoft-Windows-Security-Auditing
Modification
Successful
4624 Informational Security Microsoft-Windows-Security-Auditing
User Account
Login User
Failed
4625 Informational Security Microsoft-Windows-Security-Auditing
Account Login
Account Login
4648 Informational Security Microsoft-Windows-Security-Auditing
with Explicit
Credentials Tableau 24 : Évènements Windows relatifs à l’usage des comptes
Note : si l’on bloque un compte connecté au domaine une trace sera générée sur le contrôleur de
domaine, pour un compte local, une trace sera générée en local.
On procédera donc de la même manière afin de superviser tous les événements que l’on aura
sélectionnés et retenus et cela sur tous les biens support du périmètre concerné par les risques
identifiés durant l’analyse de risques. À l’issue, cette mesure peut être considérée comme
implémentée et elle suit alors son cycle de vie au même titre que le système d’information qui
l’héberge.
C1 C6 C2
C5 D1 D2 D3 C3
C4
I1 I2 I4
I3
[1] « Direction des ressources humaines de l’Armée de terre — Wikipédia ». [En ligne]. Disponible
sur:
https://fr.wikipedia.org/wiki/Direction_des_ressources_humaines_de_l%27Arm%C3%A9e_de_
terre. [Consulté le: 26-déc-2016].
[2] « Infrastructure as a service — Wikipédia ». [En ligne]. Disponible sur:
https://fr.wikipedia.org/wiki/Infrastructure_as_a_service. [Consulté le: 26-déc-2016].
[3] « Platform as a service - Wikipedia ». [En ligne]. Disponible sur:
https://en.wikipedia.org/wiki/Platform_as_a_service. [Consulté le: 26-déc-2016].
[4] « Logiciel en tant que service — Wikipédia ». [En ligne]. Disponible sur:
https://fr.wikipedia.org/wiki/Logiciel_en_tant_que_service. [Consulté le: 26-déc-2016].
[5] ANSSI, « EBIOS — Expression des Besoins et Identification des Objectifs de Sécurité | Agence
nationale de la sécurité des systèmes d’information ». [En ligne]. Disponible sur:
http://www.ssi.gouv.fr/uploads/2011/10/EBIOS-1-GuideMethodologique-2010-01-25.pdf.
[Consulté le: 14-sept-2016].
[6] ANSSI, « Référentiel Général de Sécurité version 2.0 ». .
[7] ISO, « ISO/CEI 27002:2013(fr), Technologies de l’information — Techniques de sécurité — Code
de bonne pratique pour le management de la sécurité de l’information », Wikipédia. .
[8] Wikipédia, « Information Technology Infrastructure Library (ITIL) », Wikipédia. 06-sept-2016.
[9] CyberEdu, « Sensibilisation et initiation à la cybersécurité ».
[10] J. LaPiedra, « The Information Security Process Prevention, Detection and Response ». SANS
Institute, 2002-2000.
[11] Wikipédia, « Roue de Deming », Wikipédia. 07-sept-2016.
[12] ISO, « ISO 9001 », Wikipédia. 08-août-2016.
[13] ISO, « ISO/CEI 27001:2013(fr), Technologies de l’information — Techniques de sécurité —
Systèmes de management de la sécurité de l’information — Exigences », Wikipédia. .
[14] ISO, « ISO/CEI 20000 », Wikipédia. 12-août-2015.
[15] « Méthode harmonisée d’analyse des risques », Wikipédia. 10-sept-2014.
[16] ISO, « ISO/IEC 27005:2011 - Technologies de l’information -- Techniques de sécurité -- Gestion
des risques liés à la sécurité de l’information ». [En ligne]. Disponible sur:
http://www.iso.org/iso/fr/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=56742.
[Consulté le: 14-sept-2016].
[17] International Atomic Energy Agency, Computer security at nuclear facilities: reference manual.
Vienna: International Atomic Energy Agency, 2011.
[18] ISO, « ISO 19011:2011(fr), Lignes directrices pour l’audit des systèmes de management »,
Wikipédia. .
[19] « Daniel Bleichenbacher - Wikipedia ». [En ligne]. Disponible sur:
https://en.wikipedia.org/wiki/Daniel_Bleichenbacher. [Consulté le: 26-déc-2016].
[20] A. Nitaj, « CRYPTANALYSE DE RSA ». Laboratoire de Mathematiques Nicolas Oresme, 28-juin-
2009.
[21] « CSS - CSRF : Cross-Site Request Forgery », Wikipédia. 15-nov-2014.
[22] « CSS - XSS : Cross-site scripting », Wikipédia. 16-nov-2014.
[23] « Injection SQL », Wikipédia. 15-nov-2014.
[24] « Risque naturel », Wikipédia. 31-oct-2014.
[25] « Hameçonnage », Wikipédia. 31-oct-2014.
[26] « Cheval de Troie (informatique) », Wikipédia. 31-oct-2014.
[27] « keylogger : Enregistreur de frappe », Wikipédia. 23-oct-2014.
[28] « SPIT (informatique) : SPam over Internet Telephony », Wikipédia. 17-sept-2014.
Bien (asset) : Toute ressource qui a de la valeur pour l'organisme et qui est nécessaire à la
réalisation de ses objectifs. On distingue notamment les biens essentiels et les biens
supports. (d'après [ISO 27001] : tout élément représentant de la valeur pour l’organisme)
o Exemples :
liste de noms ;
requête de certification ;
gestion de la facturation ;
algorithme de chiffrement ;
micro-ordinateur portable ;
ethernet ;
système d'exploitation ;
…
Bien essentiel (primary asset) : Information ou processus jugé comme important pour
l'organisme. On appréciera ses besoins de sécurité mais pas ses vulnérabilités.
o Exemples :
une liste de noms ;
passer une commande client ;
gérer la facturation ;
un algorithme de chiffrement ;
…
Événement redouté (feared event) : Scénario générique représentant une situation crainte
par l'organisme. Il s'exprime par la combinaison des sources de menaces susceptibles d'en
être à l'origine, d'un bien essentiel, d'un critère de sécurité, du besoin de sécurité concerné
et des impacts potentiels.
o Exemples :
une personne mal intentionnée (un journaliste, un concurrent…) parvient à obtenir le
budget prévisionnel de l'organisme, jugé confidentiel, et publie l'information dans les
médias ;
…
Gestion des risques (risk management) : Processus itératif de pilotage, visant à maintenir les
risques à un niveau acceptable pour l'organisme. La gestion des risques inclut typiquement
l'appréciation, le traitement, la validation du traitement et la communication relative aux
risques. (d'après [ISO Guide 73] – Processus de management du risque : application
systématique de politiques, procédures et pratiques de management aux activités de
communication, de concertation, d'établissement du contexte, ainsi qu'aux activités
d'identification, d'analyse, d'évaluation, de traitement, de surveillance et de revue des
risques)
…
deux antivirus différents et compatibles doivent être mis en place et leurs bases de signatures
mises à jour toutes les deux semaines ;
…
Processus de l'organisme (business process) : Ensemble organisé d’activités qui utilisent des
ressources pour transformer des entrées en sorties. [ISO 9000]
Refus de risques (risk avoidance) : Choix de traitement consistant à éviter les situations à
risque. (d'après [ISO Guide 73] – Refus du risque : décision argumentée de ne pas s'engager
dans une activité, ou de s'en retirer, afin de ne pas être exposé à un risque particulier)
o Exemples :
changement de lieu d'implantation des locaux ;
réduction des ambitions d'un projet ;
arrêt d'un service ;
…
Risque résiduel (residual risk) : Risque subsistant après le traitement du risque. [ISO Guide
73]
Scénario de menace (vector) : Scénario, avec un niveau donné, décrivant des modes
opératoires. Il combine les sources de menaces susceptibles d'en être à l'origine, un bien
support, un critère de sécurité, des menaces et les vulnérabilités exploitables pour qu'elles
se réalisent. Son niveau correspond à l'estimation de sa vraisemblance.
o Exemples :
vol de supports ou de documents du fait de la facilité de pénétrer dans les locaux ;
piégeage du logiciel du fait de la naïveté des utilisateurs ;
inondation due au fait que les bâtiments sont inondables ;
…
Source de menace (threat source) : Chose ou personne à l'origine de menaces. Elle peut être
caractérisée par son type (humain ou environnemental), par sa cause (aCCIdentelle ou
délibérée) et selon le cas par ses ressources disponibles, son expertise, sa motivation…
(d'après [ISO Guide 73] – Source de risque : tout élément qui, seul ou combiné à d'autres,
présente un potentiel intrinsèque d'engendrer un risque)
o Exemples :
ancien membre du personnel ayant peu de compétences techniques et de temps
mais susceptible d'avoir une forte motivation ;
pirate avec de fortes compétences techniques, bien équipé et une forte motivation
liée à l'argent qu'il peut gagner ;
climat très fortement pluvieux pendant trois mois par an ;
virus ;
utilisateurs ;
…
Transfert de risques (risk transfer) : Choix de traitement consistant à partager les pertes
consécutives à la réalisation de risques. (d'après [ISO Guide 73] – Partage du risque : forme
de traitement du risque impliquant la répartition consentie du risque avec d'autres parties)
o Exemples :
recours à une assurance ;
emploi de produits certifiés ;
…
Vulnérabilité (vulnerability) : Caractéristique d'un bien support qui peut constituer une
faiblesse ou une faille au regard de la sécurité des systèmes d'information. (d'après [ISO
Guide 73] : propriétés intrinsèques de quelque chose entraînant une sensibilité à une source
de risque pouvant induire une conséquence)
o Exemples :
crédulité du personnel ;
facilité de pénétrer sur un site ;
possibilité de créer ou modifier des commandes systèmes ;
…
Si le parc d’équipements qui génère des journaux est important, le serveur central devra être
R7
redondé afin d’accroitre la disponibilité du service de collecte de journaux.
Si la taille ou la typologie du système d’information le nécessite, une approche hiérarchique
R8
pour l’organisation des serveurs de collecte doit être retenue.
Si le contexte le permet, un transfert en temps réel des journaux sur les serveurs centraux soit
R9
être privilégié.
R10 Il est recommandé de ne pas effectuer de traitement sur les journaux avant leur transfert.
Il est recommandé d’utiliser des protocoles d’envoi de journaux basés sur TCP pour fiabiliser le
R11
transfert de données entre les machines émettrices et les serveurs centraux.
Il est recommandé d’utiliser des protocoles de transfert de journaux qui s’appuient sur des
R12 mécanismes cryptographiques robustes en particulier lorsque les données transitent sur des
réseaux non maitrisés.
Il est recommandé de bien contrôler la bande passante des flux réseau utilisée pour transférer
R13
les journaux d’événements.
Lorsque le besoin de sécurité pour le transfert des journaux est important, il doit se faire sur
R14
un réseau d’administration dédié.
S’il n’existe pas de réseaux d’administration dans l’architecture pour accueillir les serveurs de
R15 journalisation, ils doivent être placés dans une zone interne non exposée directement à des
réseaux qui ne sont pas de confiance (par exemple internet).
Une partition disque doit être dédiée au stockage des journaux d’évènements sur les
R16
équipements qui les génèrent ou qui les centralisent.
R17 Il est recommandé d’adopter une arborescence pour le stockage des journaux d’événements.
Une politique de rotation des journaux d’événements doit être formalisée et mise en œuvre
R18
sur l’ensemble des équipements du système de journalisation.
La durée de conservation des fichiers de journaux étant soumises à des contraintes légales et
R19 réglementaires, il convient d’en prendre connaissance pour définir les moyens techniques
nécessaire à l’archivage des journaux.
L’accès aux journaux doit être limité en écriture à un nombre restreint de comptes ayant le
R20
besoin d’en connaitre.
Les processus de journalisation et de collecte doivent être exécutés par des comptes
R21
disposant de peu de privilèges.
Un outil spécifique doit être utilisé pour une meilleure exploration des journaux présents sur
R22
les serveurs centraux, la détection d’évènements anormaux en sera facilitée.
Les comptes ayant accès à l’outil de consultation centralisée des journaux doivent être
R23
associés à des rôles prédéterminés.
R24 L’espace disque des équipements qui génèrent et stockent les journaux doit être supervisé.
Modification (intentionnelle
Câble de catégorie insuffisante pour la
M17 RSX-MOD ou non) de l'infrastructure
distance et/ou le débit utilisés / …
physique du réseau
_________________________________________________________________
RESUME
L’objectif de la mission est de réaliser l’analyse de risques d’un projet d’application de gestion de
Contrats Immobiliers, commandé par l’état français. Les informations sensibles ont été soit
modifiées, soit supprimées afin que le mémoire puisse être publié à la connaissance de tous.
L’objectif premier de l’étude est de donner une vision globale des risques de sécurité pesant sur
l’application et de proposer des mesures de couvertures pour les principaux risques identifiés.
L’analyse de risques a été réalisée en s’inspirant de la méthode d’analyse de risque de l’ANSSI
EBIOS:2010. Le second objectif de l’analyse de risque est de contribuer à l’homologation de
l’application suivant le RGS (Référentiel Général de Sécurité).
_________________________________________________________________
SUMMARY
The objective of the mission is to carry out the risk analysis of a property management application
project commissioned by the French State. Sensitive information has been cleaned so it can be
published to everyone. The primary objective of the study is to provide a global view of the security
risks who threat the application and to propose hedging measures for the main identified risks. The
risk analysis was carried out on the basis of ANSSI's risk analysis methodology EBIOS: 2010. The
second objective of the risk analysis is to contribute to the registration of the application compliancy
to the French RGS (General Security Repository).
Key words : Security, risks analysis, threats, cybersecurity, cyberdefence, vulnerabilities, risk
management, information security management system.