BRT501804-SEC101

Question A : les référentiels

A1 : REFERENTIELS POUR GAMELUCK
Quel(s) référentiels des bonnes pratiques de la sécurité informatique vous semble(nt)
adapté(s) à la situation de la société GameLuck tel qu’elle est décrite dans le cahier des
charges et l’énoncé ? Précisez quels référentiels ne vous semblent pas convenir ?
Justifiez vos choix.

Je recommande d'adapter la référence ISO 27002 et NIST 800-53 La conformité à la norme ISO 27002
aide Gameluch à s'aligner sur les meilleures pratiques qui augmenteront la productivité globale. Il
fournit une implémentation définie, une gestion, une maintenance et une évaluation définies des
systèmes de gestion de la sécurité de l'information.

Et pour le NIST 800-53, il aide les organisations de tous types à concevoir et à gérer correctement
leurs systèmes de sécurité de l'information, et fournit également une liste de contrôles qui prennent
en charge le développement de systèmes d'information fédéraux sécurisés et résilients. Ces
contrôles sont les normes et directives opérationnelles, techniques et de gestion utilisées par les
systèmes d'information pour maintenir la confidentialité, l'intégrité et la disponibilité. De
nombreuses références ne semblent pas adaptées à ce cas d'utilisation, telles que : ISO 15408, iso
33001, PCI DSS (lié à la carte de paiement)

A2 : MESURES ORGANISATIONNELLES
L’audit a préconisé la mise en place de deux mesures de nature organisationnelle.
Quelles sont ces mesures et expliquez-en quoi elles sont importantes pour GameLuck ?

Mettre à jour sa Politique de sécurité WIFI : Suit un détournement de connexion WIFI, la société a été
victime d’un incident de sécurité ayant impliqué le poste de travail d’un ingénieur.

En cette période de confinement, les entreprises recourent massivement au télétravail. Mais en

dispersant les équipes, on multiplie aussi les risques de cyberattaque et de fuite de données.

La mobilité et le télétravail multiplient les échanges et les portes d'accès aux données sensibles de
l'entreprise. Une opportunité en or pour les pirates informatiques : le nombre de cyberattaques
augmente mathématiquement dès qu'une crise (grève, coronavirus...) se déclenche. D'une part, on a
tendance à être moins vigilant lorsqu'on travaille depuis chez soi, où notre pratique personnelle est
moins stricte. Deuxièmement, on est plus exposé à des tentatives d'hameçonnage ou de mails
frauduleux. Troisièmement, les réseaux personnels sont moins bien protégés face aux cyberattaques
que les réseaux privés d'entreprise. Il est donc indispensable de limiter au maximum les risques en
mettant en place les bons outils et en instaurant des pratiques sécurisées.

Ce que peut faire l’équipe IT de l’entreprise :

 Fournir un ordinateur et un téléphone dédié au travail aux employés.
 Sensibiliser les télétravailleurs aux risques informatiques.
 Fournir une liste de contacts directs et fiables à joindre pour chaque question relative à
la sécurité.
 Ouvrir un VPN sécurisé pour chaque salarié (Virtual Private Network, réseau
informatique virtuel).
 Mettre en place une authentification à deux facteurs pour accéder aux espaces de
travail (par exemple envoi d'un code par SMS pour se connecter).
 Travailler avec des messageries téléphoniques sécurisées.
 Favoriser les outils de collaboration en ligne (par exemple Slack pour la messagerie,
Dropbox pour les fichiers, Etherpad pour les documents partagés...).
  Restreindre l'accès aux données sensibles au minimum de personnes possible.
 Fournir une feuille de route à suivre en cas de cyberattaque (qui contacter, procédures
d'urgence, etc.).
 Faire appel à un prestataire de surveillance d'infrastructure informatique (Nagios,
Coservit...).

Les règles à suivre par l’employé :

 Ne pas se connecter à un réseau Wi-Fi public.
 Sécuriser son réseau Wi-Fi, au besoin en renforçant son mot de passe.
 Vérifier que son antivirus est à jour, ainsi que tous les modules de sécurité (extensions
de navigateurs, correctifs...).
 Si on travaille sur son ordinateur personnel, sauvegarder les données relatives à
l'entreprise dans une partition dédiée de son disque dur.
 Utiliser des mots de passe différents pour chaque service, et surtout entre sites
professionnels et sites privés.
 Se méfier des courriers électroniques demandant de vérifier ou de renouveler son mot
de passe ou identifiant de connexion, même s'ils semblent provenir d'une source fiable
(au besoin vérifier directement la demande par téléphone auprès de l'employeur).
 Ne pas cliquer sur un lien à la hâte sans avoir vérifié la nature du site et l'identité de
l'expéditeur.
 Se méfier des demandes inhabituelles, même provenant de sources connues.
 Effectuer des sauvegardes régulières dans le cas où vos données seraient siphonnées
par un hacker ou ransomware.
 Verrouillez votre écran dès que vous vous absentez.

A3 : ISMS
A3-1 : Expliquez ce qu’est un ISMS

Un système de management de la sécurité de l'information (en anglais : Information security

management system, ou ISMS) est, comme son nom le suggère, un système de management
concernant la sécurité de l'information. L'expression système de management de la sécurité de
l'information (SMSI) est désormais utilisée en français. Cette expression désigne un ensemble de
politiques concernant la gestion de la sécurité de l’information.

Le plus connu des SMSI est ISO/CEI 27001, publié par l'ISO en complément de ISO/CEI 27002
(anciennement référencé ISO/CEI 17799).

A3-2 : Pensez-vous qu’un ISMS doit être déployé au sein de la société GameLuck ?

Oui, je pense qu’un ISMS doit être déployé au sein de la société GameLuck:

 Les administrateurs de sécurité de la technologie de l’information doivent consacrer un tiers

de leur temps à aborder les aspects techniques. Le temps restant doit être consacré
notamment : au développement de politiques et de processus, à faire le point sur la sécurité,
à analyser les risques associés, à élaborer des plans d’urgence, à la sensibilisation aux
problèmes liés à la sécurité.
  La sécurité dépend plus des personnes que de la technologie.
 Les employés sont des menaces plus importantes que les personnes extérieures à
l’entreprise.
 La sécurité peut être comparée à une chaîne. Elle est aussi résistante que le maillon le plus
faible.
 Le degré de sécurité dépend de trois facteurs : le risque que vous êtes prêts à prendre, la
fonctionnalité du système et le prix que vous êtes prêts à payer.
 La sécurité n’est pas un statut ou une image mais un processus continu.

Ces faits mènent inévitablement à la conclusion suivante : la gestion de la sécurité n’est pas
seulement un problème technique.

L’établissement et le maintien des mises à jour continuelles d’un système de gestion de la

sécurité de l’information indiquent qu’une entreprise utilise une approche systématique afin
d’identifier, d’évaluer et de gérer les risques. Les facteurs critiques d’un SMSI :

 La confidentialité : protéger l’information des parties non concernées.

 L’intégrité : empêcher la modification de l’information par les personnes qui n’y ont pas
accès.
 La disponibilité : rendre l’information disponible aux personnes autorisées à y accéder.

Ces facteurs auront des implications par la suite pour :

 La continuité de l’activité
 Minimiser les pertes et les dégâts
 Une meilleure compétitivité
 Une meilleure rentabilité et une rentrée des cash-flows
 Une image respectée par autrui  
 Une conformité légale 

L’objectif premier de la gestion de la sécurité de l’information est de mettre en œuvre les

mesures adéquates afin de réduire voire éliminer l’impact que les menaces pourraient avoir
sur l’organisation. Ainsi, la gestion de la sécurité de l’information permettra la mise en
avant des caractéristiques qualitatives des services proposés par l’organisation (la
confidentialité, l’intégrité). En minimisant l’impact des incidents, le SMSI assure la continuité
de l’activité, la confiance du client, la protection des investissements et des opportunités ou
encore la réduction des dégâts auxquels l’entreprise est confrontée.

Les entreprises de taille importante, les banques et les instituts financiers, les opérateurs
téléphoniques, les hôpitaux et les instituts publics ou gouvernementaux ont diverses
motivations pour prendre au sérieux la question de la sécurité de l’information. En effet, les
exigences légales qui visent la protection des informations personnelles ou sensibles ainsi que
les exigences en matière de la protection des citoyens poussent les entreprises à faire de la
sécurité de l’information leur priorité.

A3-3 : Justifiez votre réponse en citant quelle(s) mesure(s) des référentiels des bonnes
pratiques de la sécurité informatique - ISO 27 et RGS – impose(nt) cela.

Compte tenu des circonstances, le développement et la mise en œuvre d’un processus de

gestion indépendant est la seule solution. Le développement d’un SMSI basé sur l’ISO/IEC
27001:2005 entraîne les six étapes suivantes :
 1. Définition de la politique de sécurité
2. Définition du périmètre du SMSI
3. Évaluation des risques 
4. Gestion des risques
5. Sélection des méthodes de vérification appropriées 
6. Application 

A4 : SIEM
A4-1 : Expliquez ce qu’est un SIEM

Les acronymes SEM, SIM et SIEM ont parfois été utilisés de manière interchangeable. SEM,
gestion des évènements de sécurité, s’occupe de la surveillance en temps réél, de la
corrélation des événements, des notifications et des vues de la console. SIM, gestion des
informations de sécurité, assure le stockage à long terme ainsi que l'analyse, la manipulation
et la communication des données des logs et des enregistrements de sécurité du type
rassemblé par le logiciel SEM.

Les entreprises se tournent vers les grandes plates-formes de données, comme Apache
Hadoop, pour compléter les capacités SIEM en étendant la capacité de stockage de données et
la flexibilité analytique. La nécessité d'une visibilité centrée sur la voix ou vSIEM
(information de sécurité vocale et gestion d'événements) fournit un exemple récent de cette
évolution.

Depuis l’invention du terme SIEM en 2005 par Mark Nicolett et Amrit Williams de Gartner,
il désigne :

 les capacités de collecte, d'analyse et de présentation de l'information provenant du réseau

et des dispositifs de sécurité.
 les applications de gestion des identités et des accès
 les outils de gestion des vulnérabilités et de conformité aux politiques
 le système d'exploitation, la base de données et les journaux d'application
 les données sur les menaces externes

Les fournisseurs vendent du SIEM sous forme de logiciels, d'appareils ou de services gérés ;
ces produits sont également utilisés pour consigner les données de sécurité et générer des
rapports à des fins de conformité. Aujourd’hui, les fournisseurs de logiciels de gestion des
informations de sécurité et des événements (SIEM) introduisent l'apprentissage machine,
l'analyse statistique avancée et d'autres méthodes d'analyse dans leurs produits.

A4-2 : Pensez-vous qu’un SIEM doit être déployé au sein de la société GameLuck ?

Un SIEM doit être déployé au sein de la société GameLuck :

Les missions du SIEM sont le contrôle, la supervision et l’archivage (les logs bruts sont
signés et conservés 10 ans)

Il s’agit ainsi d’assurer l’intégrité des actions et d’identifier les actions interdites, qu’elles
soient volontaires ou non. Plus en détails, ce sont notamment les actions des administrateurs
systèmes et applicatifs qui sont tracées: créations, modifications et suppressions sur des
fichiers sont enregistrées. C’est tout le cheminement d’un virement qui est de cette manière
suivi.

Les actions sur les systèmes et applications associés aux paiements génèrent des logs
(consolidés dans des tableaux de bord destinés notamment aux managers) et déclenchent des
alertes en temps réel lorsque des comportements anormaux sont détectés. En cas par exemple
d’injection de fichiers depuis le firewall, une alerte est lancée, un fichier de virement devant
impérativement provenir d'une source déterminée.

Mais un SIEM, ce n’est pas seulement de la technique. Ce sont aussi des moyens humains
(deux équivalents temps plein chaque mois) pour traiter les données temps réel. « Mais le
temps réel partout ne présente pas d’intérêt. Il faut donc bien prendre le temps de regarder,
d’étudier l’architecture afin de s’assurer de mettre le temps réel là où c’est nécessaire »
prévient Gwénaël Rouillec.

A4-3 : Justifiez votre réponse en citant quelle(s) mesure(s) des référentiels des bonnes
pratiques de la sécurité informatique - ISO 27 et RGS – impose(nt) cela.

Au-delà de l’utilisation principale du SIEM pour la journalisation et la gestion des journaux,

les entreprises utilisent leur SIEM à d’autres fins. Un autre cas d’utilisation consiste ainsi à
démontrer la conformité à des réglementations telles que HIPAA, PCI, SOX, et RGPD.

Les outils de SIEM agrègent aussi des données que vous pouvez utiliser pour des projets de
gestion des capacités. Dans une perspective de croissance et de budgétisation, vous pourrez
ainsi suivre l’accroissement dans le temps de la bande passante et des données. Dans le
monde de la planification des capacités, les données sont essentielles et le fait de comprendre
l’utilisation que vous en faites actuellement et les tendances dans le temps vous permet de
gérer la croissance et d’éviter les importantes dépenses en capital liées à des mesures de
réaction plutôt que de prévention.

A5 : SOC
A5-1 : Expliquez ce qu’est un SOC

Le Security Operations center, SOC, désigne dans une entreprise l’équipe en charge
d’assurer la sécurité de l’information.

Le SOC est une plateforme permettant la supervision et l’administration de la sécurité du

système d'information au travers d’outils de collecte, de corrélation d'événements et
d'intervention à distance. Le SIEM (Security Information Event Management) est l'outil
principal du SOC puisqu'il permet de gérer les évènements d'un SI.

L’objectif d’un SOC est de détecter, analyser et remédier aux incidents de cybersécurité à
l’aide de solutions technologiques et d’un ensemble de démarches. Ils surveillent et analysent
l'activité sur les réseaux, les serveurs, les terminaux, les bases de données, les applications, les
sites Web et autres systèmes, à la recherche de signaux faibles ou de comportements
anormaux qui pourraient être le signe d'un incident ou d'un compromis en matière de sécurité.
Le SOC doit veiller à ce que les incidents de sécurité potentiels soient correctement identifiés,
analysés, défendus, enquêtés et signalés. Les SOC sont composés, en général, d’analystes et
d’ingénieurs en sécurité, ainsi que de managers supervisant les opérations de sécurité. Les
capacités supplémentaires de certains SOC peuvent inclure l'analyse avancée, la cryptanalyse
et l'ingénierie inverse des logiciels malveillants pour analyser les incidents. Les équipes SOC
travaillent étroitement avec les équipes d’intervention afin de s’assurer que le problème de
sécurité soit bien réglé une fois qu’il a été découvert.

A5-2 : Pensez-vous qu’un SOC doit être déployé au sein de la société GameLuck ?

L'avantage clé d'avoir un centre des opérations de sécurité au sein de la société GameLuck est
l'amélioration de la détection des incidents de sécurité par la surveillance continue et l'analyse
de l'activité des données. Cependant, mettre en place un SOC et l’exploiter est compliqué et
coûteux. Les entreprises en établissent pour plusieurs raisons, comme :

 protéger des données sensibles

 se conformer aux règles de l’industrie telles que PCI DSS
 se conformer aux règles gouvernementales comme la SCEE GPG53

La surveillance 24h/24 et 7j/7 fournie par un SOC sur l’activité des données sur les réseaux,
les points finaux, les serveurs et les bases de données d'une organisation donne aux
entreprises un avantage pour se défendre contre les incidents et les intrusions,
indépendamment de la source, de l'heure de la journée ou du type d'attaque. Avoir un centre
des opérations de sécurité aide les entreprises à combler l'écart entre le temps que prend le
hackeur pour compromettre le système et le temps de détection de la menace, ainsi qu’à rester
au fait des menaces qui pèsent sur leur environnement.

A6 : A VOTRE AVIS, QUELLE DIFFERENCE ENTRE UN SOC ET UN SIEM ?

SIEM Security Incident Event Management est différent de SOC, il s'agit d'un système qui collecte et
analyse des données/ journaux des ressources d’une infrastructure IT. SOC Security Operations
Center et ne se compose de personnes, de processus et de technologies conçus pour traiter les
événements de sécurité récupérés à partir de l'analyse des journaux SIEM.

Question B
L’audit a également mentionné plusieurs craintes, qui mettent à mal à priori la PSSI en
cours :
Évènement redouté 1 :
https://blog.materiel.net/cyberattaques-les-editeurs-de-jeux-video-dans-le-viseurdes-
pirates/ la recrudescences d’attaques de type WIFI comme le décrit cet article d’actualités
du 14/12/2020 : https://www.servicesmobiles.fr/les-attaquants-deransomware- ont-change-
de-modele-economique-67932,
Évènement redouté 2 :
https://www.boursorama.com/boursoramag/actualites/cyberattaquesransomwares- le-
virus-de-demain-ne-sera-pas-medical-
49aa225dd8324bf64c6dbd7a2f9d2044
B1 : Évènement redouté 1
Décrivez ce qui s’est passé pour l’évènement redouté 1.
À mesure que les entreprises deviennent aptes à déchiffrer les données, les créateurs de
ransomwares doivent être plus créatifs. L'activité des ransomwares évolue, les ransomwares eux-
mêmes devenant l'article de base, soit en tant que service, soit sous la forme d'un kit de bricolage qui
peut être personnalisé pour répondre aux besoins de l'attaquant. Les pirates comprennent qu'il s'agit
d'une grande opportunité commerciale.

La possibilité d'acheter des ransomwares à des prix incroyablement bas signifie que presque tout le
monde, même ceux qui ont peu ou pas d'expérience en informatique, peut demander une rançon
aux entreprises. Il est clair que les développeurs de ransomwares ont vu les avantages commerciaux
importants offerts par les modèles de franchise.

Cela leur permet d'atteindre une échelle beaucoup plus grande avec moins de risques pour eux-
mêmes et, tant qu'ils équilibrent la récompense par rapport au pourcentage retenu par leur
franchisé, ils obtiendront des rendements nettement plus importants.

Prédire où les ransomwares frapperont ensuite et comment les techniques changeront n'est pas une
science exacte ; nous ne pouvons que regarder les modèles du passé et spéculer sur ce qui pourrait
arriver à l'avenir.

Par exemple, un an ou deux après avoir atteint un pic, les cybercriminels se concentrent
généralement sur une autre variante de malware. Cependant, avec la prévalence des appareils
intelligents et connectés, il n'est pas surprenant que ceux-ci soient mis en évidence comme une cible
potentielle.

Les ransomwares sont là pour rester, fournissant un modèle commercial rentable pour les
cybercriminels. Mais cela ne veut pas dire que nous devons tous devenir des victimes - il existe des
moyens par lesquels une organisation peut se protéger.

Utilisez un produit qui offre une garantie pour sa technologie de protection.

Allez au-delà de la détection basée sur les signatures. Les créateurs de logiciels malveillants savent
que leur code est le plus souvent identifié en fonction de sa structure et ajusteront leur « produit
final » en conséquence. Investissez plutôt dans la détection comportementale, qui identifiera le
chemin et les actions du malware avant de prendre des mesures de protection.

Mettre en place un processus de sauvegarde régulier. L'utilisation de sauvegardes fréquentes –

définies à des intervalles appropriés aux mécanismes utilisés – peut fournir une assurance en cas
d'attaque.

Éduquez les utilisateurs sur le modèle commercial des ransomwares, en particulier le RaaS. Les
entreprises et les particuliers continueront de subir des attaques de ransomware tout au long de
2021 et la première ligne de défense est une main-d'œuvre bien informée.

Les ransomwares sont un problème mondial et ne font pas de discrimination dans le choix de leurs
victimes. Et jusqu'à ce que ce modèle éprouvé soit perturbé, les organisations continueront d'être
prises en otage.

B2 : La menace GameLuck
Dans quelle mesure ces craintes pourraient concerner le réseau WIFI de la société
GameLuck (vraisemblance, présence d’éléments tangibles) ?
Le Wi-Fi public de GameLuck est vulnérable pour différentes raisons. L'une des raisons est liée au
protocole de cryptage utilisé par certains réseaux sans fil. Un autre concerne la possibilité de
rejoindre un hotspot Wi-Fi faux ou malveillant.

Certains réseaux sans fil peuvent utiliser des normes de cryptage plus anciennes, ce qui peut
augmenter les risques de sécurité. Le protocole de cryptage sans fil (WEP), l'une des premières
conventions de cryptage pour les périphériques de réseau sans fil, est considéré comme faible et
facilement susceptible d'être piraté.

L'accès protégé Wi-Fi (WPA) était destiné à remplacer le WEP en tant que norme pour les
périphériques de réseau sans fil, mais il s'est également avéré présenter des faiblesses.

Les employés de GAMELUCK sont particulièrement à risque lorsqu'ils sont connectés à un réseau
sans fil qui utilise ces protocoles de cryptage obsolètes.

En cas de succès, les cybervoleurs peuvent intercepter la communication entre les collaborateurs et
les serveurs des sites Web qu’ils visitent, cela leur permettant de lire, d'insérer et de modifier des
messages et des données.

Avec des kits prédéfinis les cybervoleurs sont capables d’utiliser des ransomware, et aussi les
pirates informatiques les moins qualifiés peuvent espionner et surveiller le trafic en ligne des
collaborateurs pour capturer des informations précieuses, telles que les identifiants de connexion,
les numéros de carte de crédit et les numéros de sécurité sociale.

Question C
Le dirigeant de la société Gameluck vous mandate pour rédiger la politique de sécurité
du WIFI (PSSI WIFI).
À partir de l’une ou l’autre de ces menaces, afin de rédiger la PSSI, voici les différentes
étapes et questions auxquelles vous aurez à répondre.
C1 - Quelles sont les phases et tâches principales que vous allez suivre pour rédiger la
PSSI sur le WIFI ?

La démarche d'élaboration de PSSI se déroule en 4 phases successives :

Phase 0 : préalables
 Tâche 1 : organisation projet
 Tâche 2 : constitution du référentiel
Phase 1 : élaboration des éléments stratégiques
 Tâche 1 : définition du périmètre de la PSSI
 Tâche 2 : détermination des enjeux et orientations stratégiques
 Tâche 3 : prise en compte des aspects légaux et réglementaires
 Tâche 4 : élaboration d'une échelle de besoins
 Tâche 5 : expression des besoins de sécurité
 Tâche 6 : identification des origines des menaces
Phase 2 : sélection des principes et rédaction des règles
 Tâche 1 : choix des principes de sécurité
  Tâche 2 : élaboration des règles de sécurité
 Tâche 3 : élaboration des notes de synthèse
Phase 3 : finalisation
 Tâche 1 : finalisation et validation de la PSSI
 Tâche 2 : élaboration et validation du plan d’action

(vous pouvez expliquer chaque étape à l’aide d’une phase en vous servant d’un tableau)
C2 - Quel évènement redouté avez-vous choisi de traiter parmi les propositions de la
question B concernant la sécurité du WIFI de Gameluck ?
Décrivez-le en vous aidant par exemple des phases : « connaître, rentrer, trouver,
maitriser » de la méthode eBios (en commençant par l’atelier 4 figure 4 puis la suivante)
C4 - Décrivez le périmètre que vous prendrez en compte pour la PSSI du WIFI et
l’évènement redouté choisi ?
C5 - Quelles sont les valeurs métiers ou biens essentiels concernés ?
C6 - Quels sont les biens supports ?
C7 - Citez un objectif de contrôle d’accès et 3 mesures adaptés à Gameluck à partir de la
norme ISO 27002 en précisant les numéros de clauses/articles/objectifs et mesures ?

L'objectif du contrôle d'accès est de minimiser le risque de sécurité d'un accès non autorisé aux
systèmes physiques et logiques

Les 3 clauses/mesures adaptés à Gameluck à partir de la norme ISO 27002 :

Clause Article Objectif

Clause 7 Human resource Pour s'assurer que les employés et les sous-traitants
security comprennent leurs responsabilités et connaissent et
remplissent leurs responsabilités en matière de sécurité
de l'information.
Clause 9 Access control   Limiter l'accès à l'information et aux installations
de traitement de l'information.
 Pour garantir l'accès des utilisateurs autorisés et
empêcher l'accès non autorisé aux systèmes et
services.
 Rendre les utilisateurs responsables de la
protection de leurs informations
d'authentification
 Pour empêcher l'accès non autorisé aux
systèmes et applications
Clause 13 Communications Assurer la protection des informations dans les réseaux
security  et ses installations de traitement de l'information sous-
jacentes et également maintenir la sécurité des
informations transférées au sein d'une organisation et
avec toute entité externe

C8- L’incident de sécurité impliquant le poste de travail d’un ingénieur développement

n’apas pu être documenté correctement.
Expliquez pourquoi et quelle mesure aurait permis à Gameluck d’identifier le poste de
travail de l’ingénieur ?

L'incident n'a pas été bien documenté parce que gameluck n'a pas déployé de SMSI disposant d'une
procédure claire de réponse aux incidents. Cette mesure organisationnelle définit la procédure à
suivre pour alerter les incidents où tous les types d'incidents de sécurité doivent être documentés et
retransmis afin d'enquêter, d'analyser les risques et les actions appropriées.

C9 - L’incident de sécurité impliquant le poste de travail d’un ingénieur développement

n’a pas pu permettre de déceler quelles actions malveillantes ont été effectuées.
Expliquez pourquoi et quelle mesure aurait permis à Gameluck d’identifier le poste de
travail de l’ingénieur ?

Les actions malveillantes ne peuvent pas être identifiées car Gameluck ne dispose pas de bonnes
mesures techniques qui aideraient l'équipe de sécurité à analyser et à enquêter davantage sur cet
incident.
Si Gameluck a une équipe SOC avec un SIEM robuste, ils pourraient facilement détecter cet incident
et analyser rapidement l'impact/le risque et initier l'action de sécurité appropriée

Question D : Indicateur
Mettez en place le processus de mesure d’un brute force dans l’AD de Gameluck depuis
le
WIFI. En vous appuyant sur la procédure proposée en annexe 1 tirée de l’ISO 27004 et
de la note du Clusif.
Conseil : commencez par étudier l’objet de la mesure (par exemple pour la mesure d’un
accès en lecture à un disque dure, le processus de lecture d’un disque) et identifiez les
parties ou attributs de cet objet qui peuvent être mesurés (par exemple « accès en lecture
», ensuite vous déciderez de la mesure).
D1 - Quel est l’objet de la mesure

l’objet de la mesure :La première défense consiste à renforcer le mot de passe en évitant les écueils
qu'exploitent les attaques par force brute optimisée. Renforcer la force brute du mot de passe
consiste à :

 allonger le mot de passe ou la clé si cela est possible ;

 utiliser la plus grande gamme de symboles possibles (minuscules, majuscules, ponctuations,
chiffres) ; l'introduction de caractères nationaux (Â, ÿ…) rend plus difficile le travail des
pirates (mais parfois aussi l'entrée de son mot de passe quand on se trouve à l'étranger).

D2 – Quels sont les attributs

Attestation de réalisation de revue des droits d'accès des utilisateurs

D3 - Mesures élémentaires / Valeurs/Méthode

 Mesures élémentaires :existence d’une attestation de réalisation de revu des droits des
utilisateurs par chacun des managers
 Méthodes : Tous les trimestres les managers enverront un email standardisé au
Département Sécurité des SI attestant que les accès des utilisateurs ont été revus pour leur
périmètre.
D4 - Mesures composées/Valeurs/Fonctions
 Fonction : Taux d'attestations retournées par les managers sur le trimestre étudié = (nombre
d'attestations retournées par les managers / Total d'attestations attendues dans le trimestre)
* 100

D5 - Indicateur/modèle analytique/critères de décision

 Description d'indicateur et exemple : Courbe montrant l’indicateur sur plusieurs périodes de
restitution.
 Modèle analytique :
Satisfaisant si : % >= 90%
Globalement satisfaisant si : 80% < % < 90% Moyennement satisfaisant si : 70% <= % <= 80%
Insatisfaisant si : % < 70%

 Critère de décision : Seuil min 80%

D6 - Analyse des causes d’écarts

Causes d’écart : Les réorganisations fonctionnelles de l’entreprise.