1.

L’absence de cloisonnement peut en être une raison ainsi que l’emploi de

services/protocoles non sécurisés : TFTP, HTTP, Telnet, SNMP v1 ou v2

Solution: Utilisez des protocoles sécurisés tels que HTTPS, SSH, SNMPv3. Il

est également important d'utiliser des technologies de cloisonnement pour

séparer les différentes fonctionnalités et limiter la propagation d'éventuelles

vulnérabilités.

2. Quelques postes, ne bénéficiant pas des correctifs de sécurité du lecteur PDF

Solution : Installez les correctifs de sécurité les plus récents sur tous les

postes de travail pour minimiser les risques de vulnérabilité.

3. Absence d’inventaire du parc du SI, pas d’inventaire des équipements

Solution : Établissez un inventaire exhaustif de tous les équipements et

systèmes informatiques de l'entreprise. Cela permettra d'avoir une vue

d'ensemble du parc et d'identifier les équipements qui nécessitent des mises à

jour ou des correctifs.

4. Absence de sauvegarde des données, du code source, et de la configuration

des équipements

Solution : Mettre en place une stratégie de sauvegarde adéquate pour les

données, le code source et la configuration des équipements. Utilisez des

technologies de sauvegarde en ligne pour minimiser les risques de perte de

données.

5. Absence de politique de gestion des médias amovibles (Ex. : blocage des

ports USB) alors que les clés USB non maîtrisées sont autorisées.
 Solution : Établissez une politique de gestion des médias amovibles pour

contrôler l'utilisation des clés USB et d'autres périphériques amovibles.

Bloquez les ports USB pour minimiser les risques d'introduction de logiciels

malveillants.

L'absence de cloisonnement et l'utilisation de services / protocoles non sécurisés:

Solution: Implémenter un système de segmentation réseau en utilisant des

techniques telles que les VLAN, les pare-feu, les routeurs, etc. pour limiter les accès

non autorisés entre les différents réseaux. Utilisez des protocoles sécurisés tels que

SSH, HTTPS et SFTP pour les connexions à distance.

Certains postes ne bénéficiant pas de correctifs de sécurité pour les lecteurs PDF:
Solution: Mettre en place un système de gestion des correctifs de sécurité pour les

applications et les systèmes d'exploitation qui sont critiques pour les opérations de

l'entreprise. Planifiez des mises à jour régulières pour les lecteurs PDF afin de

minimiser les risques de vulnérabilité.

Absence d'inventaire du parc du système d'information:

Solution: Créez un inventaire détaillé de tous les équipements informatiques de

l'entreprise, y compris les serveurs, les ordinateurs de bureau, les périphériques de

stockage, les réseaux, etc. Cela permettra de suivre les mises à jour et les correctifs

de sécurité pour chacun des équipements.

Absence de sauvegarde des données, du code source et de la configuration des

équipements:

Solution: Mettre en place un système de sauvegarde de données régulier pour tous

les équipements critiques de l'entreprise. Les sauvegardes peuvent être stockées sur

un périphérique de stockage externe ou dans le cloud. Il est également important de

tester régulièrement la restauration des sauvegardes pour s'assurer de leur fiabilité.

Absence de politique de gestion des médias amovibles:

Solution: Établissez une politique de gestion des médias amovibles qui définit les

règles pour l'utilisation de dispositifs tels que les clés USB, les disques

Faiblesse de gestion des accès utilisateurs :

Solution : Il est important de configurer correctement les systèmes d'authentification

et de gestion des autorisations, et de surveiller régulièrement les comptes utilisateurs

pour détecter les anomalies.

Exemple : Mettre en place un système de contrôle d'accès basé sur des rôles qui

définit les autorisations pour chaque compte utilisateur, et configurez des règles pour

désactiver les comptes inactifs ou abandonnés.

Emploi de comptes avec des profils « administrateur » dans les applications, alors

que des droits « utilisateurs » suffisent.

Solution : Il est préférable d'utiliser des comptes avec des autorisations minimales

pour exécuter des tâches spécifiques, et de privilégier l'utilisation de comptes

administrateur uniquement pour les tâches d'administration.

Exemple : Créez des profils d'utilisateur pour chaque type de tâche à effectuer sur

l'application, attribuez les autorisations nécessaires pour chaque profil, et assignez

les comptes utilisateurs aux profils appropriés.

Absence de mécanisme de signature des firmwares

Solution : Il est important de vérifier l'authenticité des mises à jour logicielles avant de

les installer, afin de minimiser le risque d'installer des mises à jour piégées.
Exemple : Mettez en place un mécanisme de signature numérique pour les mises à

jour logicielles, vérifiez la signature numérique avant d'installer la mise à jour, et

n'installer que les mises à jour provenant de sources fiables.

Logiciel de modélisation de voiture accessible depuis l'extérieur avec authentification

simple

Solution : Il est important de sécuriser les systèmes accessibles depuis l'extérieur en

utilisant des méthodes d'authentification fortes et en restreignant les accès non

autorisés.

Exemple : Imposez des règles d'authentification fortes pour les accès à distance,

telles que l'utilisation de mots de passe uniques et complexes, et restreignez les

accès en utilisant des technologies telles que les réseaux privés virtuels (VPN).

Clé WEP utilisée pour le Wi-Fi

Solution : Il est important de sécuriser les réseaux sans fil en utilisant des protocoles

de sécurité fiables.

Exemple : Remplacez la clé WEP par un protocole de sécurité plus sûr, tel que

WPA2, et configurez des mécanismes de sécurité supplémentaires tels que les

réseaux privés virtuels (VPN) pour les connexions à distance.

Faiblesse de gestion des accès utilisateurs :

Solution 1: Mettre en place un système de gestion des identités et des accès

(Identity and Access Management ou IAM). Ce système permet de gérer les comptes

d'utilisateurs, les rôles et les autorisations, et de surveiller les activités des

utilisateurs pour détecter les éventuelles violations de sécurité.

Solution 2: Mettre en place un processus de désactivation automatique des comptes

des employés qui quittent l'entreprise. Cela peut être accompli en utilisant une

stratégie de temporisation des comptes, par exemple, les comptes sont

automatiquement désactivés après 30 jours sans utilisation.

Solution 3: Imposer des règles de sécurité strictes pour les mots de passe, telles que

la longueur minimale, l'utilisation de caractères spéciaux, de chiffres et de

majuscules, et la nécessité de changer les mots de passe régulièrement.

Solution 4: Éviter l'utilisation de comptes génériques en obligeant chaque employé à

utiliser un compte personnel pour accéder aux ressources informatiques de

l'entreprise.

Emploi de comptes avec des profils « administrateur » dans les applications, alors

que des droits « utilisateurs » suffisent.

Solution 1: Assigner des rôles et des autorisations spécifiques à chaque utilisateur,

en fonction de leur fonction au sein de l'entreprise. Cela peut être accompli en

utilisant un système de gestion des identités et des accès (IAM).

Solution 2: Former les employés sur les bonnes pratiques de sécurité pour minimiser

les erreurs de configuration ou les autorisations excessives.

Solution 3: Surveiller régulièrement les activités des utilisateurs pour détecter les

erreurs ou les violations de sécurité potentielles.

Solution 4: Évaluer régulièrement les autorisations des utilisateurs pour s'assurer

qu'ils n'ont accès qu'aux informations et aux fonctionnalités nécessaires à leur travail.

Certains emails ne sont traités que 10 jours après la demande du client.

Solution 1: Mettre en place un système de gestion des tickets pour les demandes de

support. Cela permettra de suivre les demandes des clients et de les traiter de

manière efficace.

Solution 2: Former les employés sur les bonnes pratiques de gestion des demandes

de support pour améliorer la qualité et la rapidité du service.

Solution 3: Évaluer régulièrement les délais de traitement des demandes pour

s'assurer

Certains emails ne sont traités que 10 jours après la demande du client:

Pour résoudre ce problème, l'entreprise peut mettre en place une stratégie de

gestion de la boîte de réception qui inclut la priorisation des e-mails en fonction de

leur importance, l'attribution de responsabilités pour la gestion des e-mails à des

employés désignés, et la mise en place de délais plus courts pour le traitement des

e-mails critiques.

Elle peut également considérer l'utilisation de logiciels de gestion de la messagerie

pour améliorer l'efficacité et la rapidité de traitement des e-mails, tels que Microsoft

Exchange ou Google Workspace.

L'architecture IT est composée d'un ESX comportant la grande majorité de

l'infrastructure:

Pour renforcer la sécurité de l'architecture IT, il est recommandé de séparer les

différentes fonctionnalités sur des serveurs distincts et de les sécuriser de manière

indépendante. Cela peut inclure la mise en place de firewalls pour sécuriser les

accès à distance, la mise en place de VPN pour protéger les communications

sensibles et la mise en place de politiques de contrôle d'accès strictes pour les

utilisateurs nomades.

Il est également important de mettre à jour régulièrement les logiciels et les systèmes

d'exploitation pour corriger les vulnérabilités de sécurité.

Il serait judicieux d'utiliser un système de virtualisation plus moderne et plus sécurisé,

comme VMware vSphere ou Hyper-V.

Il est recommandé de configurer des stratégies de sauvegarde régulières pour

protéger les données importantes en cas de panne de système ou de sinistre.

L'utilisation de logiciels de gestion de la sécurité, tels que des outils de détection et

de prévention des intrusions (IDS/IPS) et des systèmes de gestion des anomalies

(SIEM), peut également aider à renforcer la sécurité de l'architecture IT.

Enfin, il est important de former les employés à la sécurité informatique et de

sensibiliser les utilisateurs à la nécessité de protéger les informations sensibles et les

systèmes critiques.

Serveur de stockage centralisé: Il est important de séparer les différents services et

données de l'entreprise pour minimiser les risques en cas de fuite ou de violation de

données. Une solution consiste à déployer plusieurs serveurs de stockage dédiés

pour différents services, tels que la comptabilité, la gestion des clients et la gestion

des fournisseurs. Cela permet également d'éviter la surcharge sur un seul serveur.
Utilisation d'une version obsolète d'ESX: Il est important de mettre à jour

régulièrement les logiciels pour profiter des correctifs de sécurité et des

fonctionnalités améliorées. Une solution consiste à mettre à jour l'ESX vers une

version plus récente telle que la 6.7

Accès direct aux machines virtuelles via l'ESX: Il est préférable d'utiliser une

authentification sécurisée pour accéder aux machines virtuelles. Une solution

consiste à implémenter une authentification à deux facteurs, où les utilisateurs

doivent fournir un nom d'utilisateur et un mot de passe ainsi qu'un code

supplémentaire envoyé par SMS ou obtenu via une application de l'authentificateur.

Accès au serveur de stockage depuis l'extérieur sans VPN: Il est important de

protéger les données sensibles de l'entreprise en établissant une connexion

sécurisée. Une solution consiste à exiger une connexion à un réseau privé virtuel

(VPN) pour accéder au serveur de stockage à distance.

Toutes les ressources sur un seul ESXi: Il est préférable d'utiliser une approche de

redondance pour minimiser les risques en cas de panne ou de défaillance. Une

solution consiste à déployer des clusters ESXi en utilisant des serveurs

supplémentaires pour assurer la disponibilité des ressources en cas de défaillance

d'un seul serveur.

Clé WEP utilisée pour le Wi-Fi: La clé WEP est une méthode de sécurité obsolète

pour le Wi-Fi et peut être facilement crackée. Une solution consiste à utiliser une clé

WPA2 pour chiffrer les données transmises sur le réseau sans fil.

Architecture IT centralisée: Il est important de séparer les différents services et

données de l'entreprise pour minimiser les risques en cas de fuite ou de violation de

données. Une solution consiste à déployer plusieurs environnements informatiques

distincts pour différents services, tels que la comptabilité, la gestion des clients et la

gestion des fournisseurs.

Cartographie

Une solution d'architecture IT pour une meilleure sécurité du réseau pourrait

consister à implémenter une architecture en zones, où chaque élément de

l'entreprise serait placé dans une zone distincte. Voici un exemple :

Zone extérieure : Cette zone comprendrait tous les points d'accès au réseau, tels

que les pare-feux, les routeurs et les modems. Les dispositifs de sécurité tels que les

pare-feux et les routeurs seraient configurés pour contrôler les connexions entrantes

et sortantes et les filtrer en fonction de critères prédéfinis.

Zone DMZ (Demilitarized Zone) : Cette zone serait utilisée pour héberger des

serveurs et des applications qui doivent être accessibles à partir de l'extérieur du

réseau, tels que les serveurs Web et les applications de courrier électronique. Les

dispositifs de sécurité seraient configurés pour contrôler les connexions entrantes et

sortantes à ces serveurs et applications.

Zone interne : Cette zone comprendrait les serveurs, les ordinateurs de bureau et les

autres équipements utilisés par les employés de l'entreprise. Les dispositifs de

sécurité seraient configurés pour contrôler les connexions sortantes et les filtrer en

fonction de critères prédéfinis.

Le serveur de stockage de toutes les informations de l'entreprise serait placé dans la

zone interne, car il contient des informations sensibles. Les logiciels de comptabilité,

de gestion clientèle et de gestion fournisseur seraient également placés dans cette

zone, car ils nécessitent une protection accrue. Les utilisateurs accéderaient à ces

logiciels via des ordinateurs de bureau sécurisés situés dans la zone interne.
Le logiciel de modélisation et de fabrication des voitures pourrait être placé dans la

zone DMZ, car il doit être accessible à partir de l'extérieur du réseau pour les

partenaires commerciaux. Les utilisateurs nomades pourraient accéder à ce logiciel

en utilisant un VPN (Virtual Private Network) pour se connecter au réseau.

DMZ

Sépare le LAN d’un réseau considéré comme moins sécurisé

Sert de zone tampon

Héberge des machines internes qui ont besoin d’être accessibles depuis l’extérieur