Académique Documents
Professionnel Documents
Culture Documents
CyberSec Group, est une ESN dont le cœur d’activité est la cybersécurité, elle a été créée
en 2015 par un groupe d’étudiant de l’Institut F2i, aujourd’hui fort de ses 7 ans d’expérience
dans le domaine de IT et en particulier celui de la cybersécurité, elle a une gamme de
services divers à savoir :
50% de
50 M$ chiffre +100 clients
croissance par
d'affaire en 2021 accompagnés
an
Chef de projet
Ingénieur système
Ingénieurs réseau
Administrateur de la sécurité du SI
Chef de projet
Administrateur
Ingénieur Ingénieur
de la sécurité
réseau système
du SI
I.2 : Présentation d’ECP Multiservice
C'est en 2015 que la société ECP Multiservices a été créée. Aujourd'hui, 5200
personnes font partie du personnel et on compte aussi 9600 praticiens libéraux. Les
principaux domaines de compétences de la société ECP Multiservices, la plomberie,
chauffage et électricité.
ECP multiservices est l'un des plus importants recruteurs en France avec 2 300
recrutements par an en CDI.
La qualité et la sécurité est la priorité du groupe dans tous les pays où il opère. C’est
pourquoi le groupe est aujourd’hui l’une des références en matière de services divers, tout
particulièrement en matière d’électricité et de domotique.
ECP Multiservices est présent dans 6 pays, la France, la Suède, la Norvège, le Danemark,
l’Allemagne et l’Italie.
De nos jours, l'une des problématiques majeures des entreprises est de mettre en place des
procédures, des systèmes de travail qui pourront leur permettre de gagner en productivité et
de croître rapidement. L'arrivée des systèmes informatiques a permis de contribuer à
l'automatisation des processus en entreprise et permettre un gain en productivité.
Pour ce fait, ECP Multiservice a fait appel à Cybersec dans le but de lui offrir un système
d’information hautement disponible et sécurisé.
Quelles sont les solutions que Cybersec a mises sur pied pour résoudre les différents
problèmes informatiques qu’on retrouve chez ECP ? L’objectif principal de Cybersec est
d’apporter les solutions pour la refonte du système d’information d’ECP. Ces solutions vont
de la partie Support en passant par le réseau et système jusqu’à la sécurité informatique.
Dans un premier temps nous allons commencer par l’audit de l’existant du système
d’information d’ECP, ensuite la proposition d’une solution d’architecture complète et après la
mise en place d’une politique de sécurité et enfin la mise en place d’un soc hybride.
C’est cette optique, que ECP multiservice à réfléchir à renforcer et à améliorer son réseau
local et mettre en place une nouvelle Infrastructure Système, Réseau plus robuste et plus
sécurisée en bénéficiant des nouvelles fonctionnalités du réseau local et de la sécurité du
système d’information.
Il est essentiel de disposer d’informations précises sur l’infrastructure réseau physique et les
problèmes qui ont une incidence sur le fonctionnement du réseau.
En effet, ces informations affectent une grande partie des décisions que nous allons prendre
dans le déploiement de la solution d’interconnexion. Il s’agira donc pour nous de rassembler
les informations relatives à l’organisation de l’existant. Ici, nous allons faire l’inventaire de
tous les outils informatiques du réseau, Télécommunication et des services qui feront l’objet
d’interconnexion.
Figure 3:Architecture réseau (HLD) de l'existant
- LES SERVEURS
Un serveur est un dispositif informatique matériel et logiciel qui offre des services à différents
clients. Les serveurs que nous disposons dans le réseau D’ECP multiservices, sont tous
dans une salle machine et présentent différentes caractéristiques énumérées comme suit :
Tableau 1:Les serveurs D’ECP multiservices
Les applications
Les applications D’ECP multiservices sont diverses et installées sur les serveurs contenus
en salle machine.
Les utilisateurs travaillent en temps réel sur ces applications mentionnées dans le tableau ci-
après.
Tableau 2:Les APPLICATIONS D’ECP Multiservices
Imprimantes réseau /
Smartphone en 4G /
TOIP /
Solution VPN / /
Routeurs / /
SWITCHS
WIFI
Le Wi-Fi n’est disponible que sur un seul sous-réseau par site. C’est-à-dire que les
utilisateurs ainsi que les possibles visiteurs sont sur le même sous-réseau et partagent les
mêmes accès. Ceci est un gros problème de sécurité car sans une bonne gestion des
accès depuis le pare-feu, il est possible pour un utilisateur/visiteur mal intentionné d’accéder
à certaines données présentes au sein de notre datacenter du siège.
Le réseau informatique est structuré autour d’une architecture à trois niveaux hautement
disponibles. Toutes les structures du Groupe sont connectées au siège via une solution
VPN.
Dans le but de développer un système cohérent et complet, une phase de spécification des
besoins est jugée très importante.
Pour mieux évaluer les besoins d’ECP Multiservice, nous avons commencé par ressortir ces
manquements. Vous trouverez dans les tableaux ci-dessous les manquements associé aux
besoins.
Réseau pas bien segmenté Mise en place des sous réseaux et VLAN
Absence de solution centralisée de patch Mise en place d’une solution centralisée
des Mises à jour
Absence d’une Jumpbox Mise en place d’un serveur Jumpbox
Absence d’une politique sur le plan du partage Mise en place d’une politique et solution
des fichiers de partage de fichiers
Absence d’une solution de gestion du parc Mise en place d’une place d’une solution
informatique du gestion du parc informatique.
À la suite de l’évaluation des besoins d’ECP Multiservice, nous pouvons désormais définir le
traitement interne du projet.
Dans un premier temps, nous allons spécifier les caractéristiques Systèmes, Réseaux et
sécurité de l’entreprise afin de savoir quels sont les besoins et les solutions que nous allons
proposer. Pour ce fait, nous avons décomposé le projet afin d’obtenir une liste d’éléments
hiérarchisés sous forme d’arbre comprenant des éléments intermédiaires et finaux. Ces
différentes taches seront réalisée par l’outil l’évaluation et la planification de projet qui est
PBS.
Leasing hardware A R I R I I I A
Benchmark C C R C I I A
software/hardware A
Câblage réseau A C I I I R C I
Attribution du plan R C C C C C I
d'adressage I
Conception de la nouvelle R C C C I C A
architecture réseau A
Connexion C R C R C C I
inter-sites/VPN (IPsec,
SSL) I
Migration et configuration I C R I I R I
du contrôleur de domaine I
Upgrade Windows I C R C I C I
Serveur I
Installation de VMware C C R C I C I
ESXI A
Installation de la console C C R C I C I
Office 365 I
Test de pénétration I C C C R I C I
Le diagramme permet également de définir le chemin critique : il s’agit des tâches qui
doivent se terminer dans le temps imparti car elles peuvent allonger la durée du projet.
Ainsi, la durée du projet d’ECP Multiservice a été estimée à 18 semaines, avec une variance
de 3 semaines.
Tâches Durées
Libellés Tâches antérieures (Jours)
Dans le monde des entreprises, la gestion des risques est une démarche qui consiste à
identifier, prévenir et résoudre les risques qui peuvent surgir.
Afin de pouvoir définir la gravité de chaque incident, nous nous basons sur 3 critères :
Apres l’étude de l’existant et de l’évaluation des besoins nous avons proposé l’architecture
du réseau de la France. La figure ci-dessous représente l’architecture de Paris.
Vous retrouverez à l’annexe les architectures des autres villes.
Pour notre projet, le plan d’adressage sera basé sur la méthode VLSM (Variable Length
Subnet Mask).Cette méthode est utilisée pour diviser un espace réseau en partie inégale. Et
ici le masque varie en fonction du besoin. Avec la méthode VLSM le découpage se fait en
fonction du nombre d’hôtes.
ECP est constitué de trois (05) sites :
Nous allons donc proposer un plan d’adressage sur les différents sites.
Nous allons faire deux types d’adressages pour le réseau d’ECP Multiservice :
Une adresse IP statique est tout simplement une adresse qui ne change pas. Une fois que
votre appareil s'est vu attribuer une adresse IP statique, ce numéro reste généralement le
même jusqu'à ce que l'appareil soit mis hors service ou que l'architecture de votre réseau
change. Les adresses IP statiques sont généralement utilisées par les serveurs ou d'autres
équipements importants.
L'utilisation d'une adresse IP statique présente de nombreux avantages. Parmi ces
avantages, citons :
Un meilleur support DNS : Les adresses IP statiques sont beaucoup plus faciles à
configurer et à gérer avec les serveurs DNS.
Hébergement de serveurs : Si vous hébergez un serveur Web, un serveur de messagerie
ou tout autre type de serveur, le fait d'avoir une adresse IP statique permet aux clients de
vous trouver plus facilement via le DNS. En pratique, cela signifie qu'il est plus rapide pour
les clients d'accéder à vos sites Web et à vos services s'ils ont une adresse IP statique.
Comme leur nom l'indique, les adresses IP dynamiques sont susceptibles d'être modifiées,
parfois en un clin d'œil. Les adresses dynamiques sont attribuées, selon les besoins, par des
serveurs DHCP (Dynamic Host Configuration Protocol).
L'utilisation d'une adresse dynamique présente de nombreux avantages. Parmi ces
avantages, citons :
Les adresses IP dynamiques sont plus faciles à gérer et moins chères à déployer que les
adresses IP statiques.
Configuration facile et automatique : Avec une adresse IP dynamique, le serveur DHCP
attribue automatiquement à l'appareil la prochaine adresse IP disponible. Vous n'avez rien à
faire. Frais réduits : En général, vous économisez de l'argent en utilisant une adresse IP
dynamique.
Adressage IP illimité : Les adresses dynamiques vous permettent de réutiliser les adresses
IP. Au sein d'un réseau, vos appareils sont automatiquement configurés avec une nouvelle
adresse IP dynamique selon les besoins. Ainsi, par exemple, si vous apportez un nouvel
ordinateur à la maison, vous n'avez pas à supprimer manuellement l'ancienne adresse ou à
lui attribuer un numéro ; le réseau ou le routeur s'en charge. Cela évite les conflits de
confusion lorsque deux ordinateurs essaient d'utiliser la même adresse IP.
Nous ne pouvons pas parler de la gestion de l’adressage chez ECP Multiservice sans
évoquer la notion d’IPAM.
Gestion des adresses IP (IPAM) va permettre la gestion des serveurs DHCP et DNS
d’ECP Multiservice, il permettra aussi de gérer et de suivre l’espace d’adressage statique et
dynamique.
LYON
VILLEURBANNE
VENISSEUX
CALUIRE-ET-CUIRE
BRON
Nous allons le repartir les adresses de la façon suivantes sur les différents sites :
Sur nous partons sur la base que le Datacenter est située à LYON alors nos serveurs
serons tous à Lyon
Nous avons 16 serveurs au total nous allons leur assigner les adresses statiques :
Tableau 12:Adressage des Serveurs
III.2.3.1 : DNS
Domain Name System (DNS) est l'une des suites de protocoles standard de l'industrie que
comprend TCP/IP, et ensemble le client DNS et le serveur DNS fournissent des services de
résolution de noms de mappage de nom d'ordinateur à adresse IP aux ordinateurs et aux
utilisateurs.
Etant donné qu’ECP Multiservice a en son sein un grand parc informatique il n’est pas
évident pour l’équipe informatique de gérer directement les adresse IP, d’où la nécessite
d’utiliser le protocole DNS ; ce protocole facilitera la tâche des administrateurs car, ils vont
saisir le nom d’un serveur pour se connecter au lieu de retenir les différentes adresses IP par
cœur. Par exemple pour se connecter au premier contrôleur de domaine qui a pour adresse
IP : 192.168.0.3, il aura simplement à saisir ADO1.
Les services informatiques des grandes entreprises ont parfois plusieurs milliers d’appareils
individuels à gérer. Ils le font généralement à distance via des réseaux d’entreprise
connectés à l’ordinateur de chaque utilisateur. Les termes « client léger » et « client lourd »
désignent ces ordinateurs individuels.
Chez ECP Mutiservices, les deux types de clients utilisés sont.
Pour comprendre le principe des clients légers, commençons par expliquer celui d’un client
lourd.
Dans le contexte de l’informatique en réseau, un client lourd (« thick client », « fat client » ou
« rich client » en anglais) est un ordinateur parfaitement fonctionnel qui se connecte à un
serveur. Il dispose de son propre système d’exploitation, de ses propres logiciels, de ses
propres capacités de traitement et de sa propre capacité de stockage locale. Il peut ainsi
fonctionner sans problème hors ligne. Chez ECP Multiservice, on compte 4580 clients
lourds.
Par essence, tout appareil capable de fonctionner de manière entièrement autonome d’un
serveur distant est un client lourd. ECP Multiservice dispose à son sein plusieurs PC de
bureau et les ordinateurs portables fonctionnant sous Windows ou MacOs qui sont tous des
clients lourds.
Généralement, un client léger est un ordinateur rationalisé avec des capacités de traitement
limitées, optimisé spécifiquement pour s’exécuter dans un environnement réseau donné. Il
dispose d’une capacité de stockage locale très limitée et d’un système d’exploitation
rationalisé. Contrairement au client lourd, un client léger doit accéder à un serveur distant
pour fonctionner correctement.
Le rôle principal du client léger est de servir de passerelle vers le réseau et d’afficher des
informations pour l’utilisateur final.
Un terme très important de cette notion de client lourd et léger est : VDI (Virtual Desktop
Infrastructure).
La question du choix entre clients légers et clients lourds est d’autant plus pertinente dans le
contexte d’une infrastructure de bureau virtuel (Virtual Desktop Infrastructure, VDI).
De façon schématique, l’infrastructure VDI désigne une configuration réseau dans laquelle le
serveur d’un centre de données exécute un « bureau virtuel » (ou une « machine virtuelle »)
pour le compte de chaque utilisateur. Pour cela, il utilise la capacité de stockage, le système
d’exploitation et les ressources du serveur. À leur tour, les utilisateurs individuels se
connectent à leurs postes de travail virtuels via un client lourd ou un client léger (terminal).
ECP Multiservice a privilégié une infrastructure VDI pour rationaliser la gestion des appareils
distants et faire évoluer les opérations informatiques.
L'infrastructure de bureau virtuel (VDI) présente plusieurs cas d'utilisation dans différents
secteurs qui emploient des télétravailleurs, des sous-traitants, des techniciens de terrain et
des employés de kiosque.
III.3.4 : Différence entre un client léger et un client lourd
Coût
Les clients légers sont plus abordables. Ils s’appuient sur des serveurs distants pour le
traitement des données. Par conséquent, ils ne nécessitent pas d’équipements matériels
coûteux au niveau local.
Consommation d’énergie
Dans la mesure où ils exécutent peu d’applications au niveau local (le cas échéant), les clients
légers consomment moins d’énergie. Une grande entreprise peut réduire considérablement sa
consommation d’énergie et son impact environnemental en adoptant une configuration basée
sur des clients légers.
Ressources locales
Compte tenu de ce qui précède, les clients légers nécessitent une connexion réseau stable. À
défaut, ils perdent toute utilité. Les clients lourds, en revanche, peuvent tout à fait fonctionner
hors ligne avec leurs propres composants matériels et logiciels.
Possibilité de personnalisation
Les clients légers sont généralement gérés à distance avec une intervention restreinte de
l’utilisateur final. Les clients lourds peuvent être personnalisés par des employés individuels
en installant les logiciels et applications nécessaires au niveau local.
Ressources informatiques
Les clients lourds conduisent à une approche informatique plus fragmentée pour la
surveillance, l’entretien et la mise à jour des différents logiciels sur chaque ordinateur
individuel. Avec les clients légers, tous les déploiements et la gestion sont centralisés, d’où
une utilisation beaucoup plus efficace des ressources informatiques.
Mobilité
Avec une configuration reposant sur des clients légers, le « bureau » est largement virtualisé
et transféré dans le Cloud. Elle offre ainsi une mobilité supérieure, car l’utilisateur peut
accéder à son bureau virtuel depuis n’importe quel terminal.
Sécurité
Les clients lourds sont plus sujets aux problèmes de sécurité, car ils offrent peu de visibilité
sur les éléments téléchargés et installés par les utilisateurs au niveau local. Avec les clients
légers, cette menace est minimisée, car le service informatique a plus de contrôle sur les
déploiements logiciels et la surveillance des cybers menaces.
ECP Multiservice utilisaient les solutions locales de bureautique à l’instar de Microsoft office
2016, dans le cadre de notre travail nous avons décidé de migrer vers une solution de
bureautique Cloud, et la solution sur laquelle nous avons jeté notre dévolue est office 365.
Office 365 offre de nombreux avantages pour une entreprise comme ECP Multiservices
L’active directory géré en interne communiquera avec Office 365 via Azure Ad Connect, afin
de permettre une parfaite transparence entre les services cloud et les services gérés en
interne.
En effet, en synchronisant les comptes utilisateurs et leurs mots de passe avec Office 365,
les utilisateurs auront donc une identité unique entre l’authentification sur l’Active Directory
de l’entreprise et leur compte Office 365.
Avec la solution Teams, les utilisateurs pourront discuter et effectuer des tâches de manière
collaborative
Architecture simplifiée de la migration de la suite Office vers Office 365
Dans un premier temps nous allons désinstaller toute version antérieure d'Office et après
installer Microsoft office 365.
Le déploiement et mettre la mise à jour de Microsoft office 365se fera directement depuis le
Cloud. Ce mode de déploiement a un avantage car il minimise les frais administratifs, son
inconvénient est la présence d’une bonne bande passante.
C’est dans cette lancé que nous avons effectué pendant quelques jours un audit de sécurité
d’ECP Multiservice pour mieux ressortir sa politique de sécurité ainsi que quelques failles.
Vous retrouverez dans le tableau ci-dessous l’ensemble des points vérifiés lors de notre
audit.
Tableau 13: sécurité du SI
Question réponse
ECP Multiservice dispose-t-il des équipements leur permettant de détecter des OUI
intrusions ?
Le réseau dispose-t-il des équipements permettant de faire le filtrage (Proxy et OUI
Firewall) ?
Les données sont ’elles confidentielles et sécurisées ? NON
Le réseau dispose-t-il d’anti-malware ? OUI
Es ce que la réglementation RGPD est appliqué au sein de ECP Multiservice ? OUI
Les entreprises ECP Multiservices communiquent tels de façon sécurisé (données OUI
chiffrées) ?
Y’a t’ils des équipements permettant d’enregistrer les évènements des employés sur NON
les équipements sensibles et leurs fournir un point d’accès unique (bastion)?
Y’a-t-il une Stratégie DLP (Data Loss Prevention) chez ECP Multiservice ? NON
D’après le tableau d’audit de sécurité, on peut déduire que. ECP Multiservice dispose d’un
niveau de sécurité basique. L’utilisation des téléphones personnels (BYOD ("Bring Your Own
Device" ou "Apportez votre propre matériel ») de certains utilisateurs sur le réseau de
l’entreprise peut empiéter notamment la de sécurité et de confidentialité des données. Nous
avons également le trafic interne de l’entreprise qui génère des logs non utilisables par faute
d’outils nécessaires, Ce qui affecte la capacité d’analyse des situations post-incident. Nous
avons constaté que les utilisateurs qui avaient moins de privilège avec accès à toutes les
données du réseau y compris les données sensibles de l’entreprise et il était possible pour
certains utilisateurs externe d’accéder sans contrainte aux données d’un autre périmètre
réseau interne d’ECP Multiservice, ce qui pouvait entrainer l’exfiltration de données et
même des attaques. Il y’a également un manque de redondances des équipements, ce qui
s’avère problématique lors d’une attaque DDOS.
Après avoir fait un audit de sécurité d’ECP multiservice, nous avons noté plusieurs points
importants à la sécurité de cette entreprise à savoir :
Toutes les entreprises doivent se doter d’une politique de sécurité conforme à la norme ISO
27005 afin de protéger ses biens. Il s’agit également d’une question de crédibilité face à ses
clients, fournisseurs et actionnaires. Les entreprises dictent des lignes de conduite en
matière de sécurité de l’information, afin d’obliger les employés à respecter des procédures
de sécurité. Il existe des règles de base à suivre pour mettre en place une politique de
sécurité:
Obtenir un appui clair de la Direction Générale par un document, signé par le PDG, DG ou
Président et employés, qui indiquera aux employés les intentions de l’entreprise en terme de
sécurité de l’information et les moyens mis en œuvre ;
Implanter les nouvelles procédures de façon progressive : il ne faut pas oublier que les
employés ont d’autres missions à accomplir et que ces procédures peuvent leur imposer des
contraintes ;
Ne pas imposer brutalement les nouvelles procédures, du moins pas dans un premier
temps : il s’agit avant tout d’une culture à développer et la persuasion est préférable à la
coercition ;
Tenir compte des besoins réels de l’entreprise : mettre en place des procédures réalistes en
fonction du niveau de risque vis à vis des actifs de l’entreprise ;
Lors de notre Audit chez ECP Multiservice nous avons remarqué que les utilisateurs
pouvaient facilement récupérer des informations sensibles sans se faire remarquer, il n’y
avait aucune stratégie de protection contre la perte de données (DLP) mise en place.
La prévention des pertes de données (DLP) est une stratégie qui empêche les utilisateurs
d'envoyer des informations sensibles ou critiques en dehors du réseau de l'entreprise. La
perte de données sensibles peut se produire de manières très diverses :
Les types de données qu'ils protègent peuvent être divisés en trois groupes principaux:
Données utilisées : elles font référence aux données actives, généralement des
données qui résident dans la RAM, les mémoires caches ou les registres du
processeur.
Données en mouvement : elles font référence aux données qui transitent par un
réseau, soit un réseau interne et sécurisé, soit un réseau public non sécurisé
(internet, réseau téléphonique, etc.).
Données au repos : elles font référence aux données qui sont dans un état inactif,
qu'elles soient stockées dans une base de données, un système de fichiers ou une
infrastructure de stockage.
Les produits DLP (de prévention contre la perte de données) ont été développés pour
prévenir la perte de données. Dans le domaine des solutions DLP, on distingue
essentiellement deux approches techniques : les solutions orientées réseau et les solutions
client.
Les solutions basées sur réseau sont faciles à mettre en œuvre et couvrent tous les
protocoles courants comme HTTP, HTTPS, SMTP, POP3 et IMAP tout en protégeant
l'ensemble du réseau de l'entreprise. Cependant, elles n'offrent aucune protection
pour les supports de stockage amovibles, les captures d'écran ou les processus de
copier/coller sur les postes client. Au niveau technique, les produits DLP orientés
réseau sont installés comme des serveurs proxy de niveau applicatif ou des
"sniffers".
Les solutions client exigent en revanche l'installation d'un agent sur le poste client à
contrôler. Les règles mises en œuvre par l'agent sont définies par un administrateur
système sur une console de gestion DLP centrale. Comme l'agent travaille sur le
poste client en soi, il peut réglementer toutes les opérations qui y ont lieu. Par rapport
aux solutions basées sur le réseau, il est donc possible de mettre en œuvre des
mesures de protection bien plus étendues.
Pour la prévention des pertes de données, ECP multiservice a opté pour Forcepoint DLP car
elle est simple, par rapport à d'autres solutions. Il comprend des serveurs pour la gestion, la
surveillance du trafic des données et du réseau et le blocage des e-mails/la surveillance du
trafic Web. La solution est conviviale et comprend de nombreuses politiques, classées par
pays, industrie, etc.
Il est donc important que les entreprises s’informent sur les nouveaux moyens de pénétration
des malwares ainsi que sur leurs fonctionnalités et sur les « tendances » qui se dégagent de
l’observation et de l’étude de l’industrie cybercriminelle. Comment construire un service
antivirus dédié aux serveurs, autonome et indépendant de celui en charge des postes de
travail et des serveurs ? L’exigence d’un tel service est de protéger les systèmes gérés et de
maintenir un niveau de protection équilibré à tout le réseau. Un service qui prend en compte,
s’adapte et répond efficacement aux contraintes métiers liés aux serveurs et aux applications
hébergées.
La mise en place d’une solution d’antivirus homogène sur l’ensemble du réseau a pour but
de garantir un bon fonctionnement du système d’information, la diminution du nombre
d’interventions du service technique et d’éviter les pertes de productivité de service.
III.5.3.1 : Les contraintes
Sur le réseau d’ECP Multiservice, nous avons plusieurs types de machines à savoir les
machines avec système d’exploitation Windows, Les machines avec système d’exploitation
IOS et Linux.
La dispersion territoriale
ECP Multiservice possède plusieurs représentations sur diverses villes (Lyon, Paris,
Villeurbanne…). Il n’est donc pas évident de mettre en place une solution centralisée sur
l’ensemble du territoire.
L’évolution de l’infrastructure
Les systèmes d’exploitation Windows 10 et macOS Big Sur et Linux sont actuellement les
systèmes installés par défaut sur certaines machines. La migration et mise à jour vers de
nouveau systèmes d’exploitation Windows 11 et MacOS Ventura n’ont pas été effectuées. Il
est donc important de choisir une solution d’antivirus qui sera compatible avec ces systèmes
d’exploitation.
L’ensemble de l’antivirus proposé dans le tableau ci-dessous sont reconnus parmi les 15
meilleurs antivirus et proposés par VirusTotal. Ce tableau nous renseigne si l’antivirus
détecte les programmes malveillants ou pas
Keylogger
Cheval de troie s Stealer Crypter
AVAST oui non non non
AVG oui non non non
AVIRA non non non non
BitDefender oui oui oui non
COMOO oui non non non
ESET-NOD32 oui oui oui non
F-Secure oui oui oui non
Kaspersky non non non non
McAfee oui non non non
Microsoft non non non non
Sophos oui non non non
Symantec(Norton) oui non non non
TrendMicro oui non non non
Le cheval de Troie (Trojan) est l’un des programmes malveillants les plus dangereux, car il
permet d’avoir le contrôle total d’un PC à distance. Il est donc absolument nécessaire que
notre antivirus détecte un cheval de Troie.
Les keyloggers font partie des logiciels espions les plus répandus. Il est non seulement
important de les détecter, mais en plus il faut le faire le plus rapidement possible. Car
chaque jour additionnel que le keylogger passe sur un ordinateur lui permet de récupérer
beaucoup d’informations privées supplémentaires.
L’heuristique comportementale,
Des procédures de détection générique,
Une machine virtuelle pour les VB scripts,
Une machine virtuelle pour les scripts BAT/CMD,
L’émulateur VB script,
Une machine virtuelle pour les fichiers exécutables (PE, MZ, COM, SYS, Boot
Images).
L’antivirus ne suffit pas pour détecter tous les « virus » de façon sûre, à lui seul. Il peut en
plus détecter des programmes sains à tort, et donc être contre-productif. D’où la nécessité
de le coupler avec une solution XDR (Détection et réponses étendues).
L’IPS signale ces événements aux administrateurs du système et prend des mesures
préventives, telles que la fermeture des points d’accès et la reconfiguration des firewalls pour
empêcher de futures attaques.
Les solutions IPS peuvent également être utilisées pour identifier les problèmes liés aux
politiques de sécurité de l’entreprise, afin de dissuader les employés et les invités du réseau
d’enfreindre les règles incluses dans ces politiques.
ECP Multiservice possède Un réseau ayant une multitude de points d’accès, il est essentiel
de disposer d’un moyen de surveiller les signes d’effraction potentielle, d’incidents et de
menaces imminentes. Les menaces réseau actuelles sont de plus en plus sophistiquées et
capables d’infiltrer toutes les solutions de sécurité, même les plus robustes.
L’IPS effectue une inspection des paquets en temps réel, en examinant minutieusement
chaque paquet qui circule sur le réseau. Si des paquets malveillants ou suspects sont
détectés, l’IPS effectuera l’une des actions suivantes :
Mettra fin à la session TCP qui a été exploitée et bloquer l’adresse IP source ou le
compte utilisateur fautif pour empêcher l’accès non éthique à toute application, hôte
cible ou ressource réseau.
Reprogrammera ou reconfigurera le firewall pour éviter qu’une attaque similaire ne se
reproduise à l’avenir.
Supprimera ou remplacera tout contenu malveillant resté sur le réseau suite à une
attaque. Cela est effectué en reconditionnant les charges, en supprimant les
informations d’en-tête et en retirant toute pièce jointe infectée des serveurs de
fichiers ou de courrier électronique.
Approche basée sur les signatures – Cette approche utilise des signatures
prédéfinies de menaces réseau bien connues. Lorsqu’une attaque correspondant à
l’une de ces signatures ou à l’un de ces modèles est lancée, le système prend les
mesures nécessaires.
Approche basée sur les anomalies – Permet de surveiller tout comportement anormal
ou inattendu sur le réseau notamment les IOC (indice de compromission). Si une
anomalie est détectée, le système bloque immédiatement l’accès à l’hôte cible.
Approche basée sur les politiques – Cette approche nécessite que les
administrateurs configurent les politiques de sécurité en fonction des politiques de
sécurité organisationnelles et de l’infrastructure du réseau. Lorsqu’une activité viole
une politique de sécurité, une alerte est déclenchée et envoyée aux administrateurs
système.
Les Next Generation Firewall (NGFW) fournit une prévention et une détection avancées
des intrusions pour tout type de réseau, ce qui permet de répondre aux menaces en
quelques minutes, et non en quelques heures, et de protéger les données et applications les
plus critiques.
La solution NGFW que nous avons retenue sera FortiGate, le pare-feu nouvelle génération
FortiGate est une solution de sécurité formidable et solide. Il possède programme de
sécurité unique qui a non seulement réduit notre niveau de sécurité, mais qui a également
permet également de protéger de manière appropriée l'ensemble des technologies d’ECP
Multiservice réelle, en ligne et basée sur le Cloud.
Dans l’infrastructure d’ECP Multiservice, nous avons les environnements Cloud, le BYOD
(bring your own device), l'IoT et bien d'autres technologies dont la gestion des identités est
difficile. Par conséquent, ne pas disposer d'un système de gestion des identités efficace
peut entraîner des problèmes et des risques de sécurité très graves.
En bref, les systèmes IAM gèrent les identités numériques, en essayant de garantir que
l'accès est accordé à ceux qui en ont, en fait, le droit. L'IAM donne un accès sécurisé aux
ressources de l'entreprise - courriels, bases de données, données et applications - à des
entités vérifiées, idéalement avec un minimum d'interférences. L'objectif est de gérer l'accès
de manière à ce que les bonnes personnes puissent faire leur travail et que les mauvaises
personnes, comme les pirates informatiques, se voient refuser l'accès.
Comme solution de Gestion de privilège et des identités d’Access chez ECP Multiservice,
nous avons choisi CyberArk, car elle intègre PAM et IAM.
Figure 15:Gestion des identités et d’Access et privilège
L'objectif du SOC est de détecter, d'analyser et de remédier aux incidents de cyber sécurité
à l'aide de solutions techniques et d'une variété d'approches.
Surveillez et analysez l'activité sur les réseaux, les serveurs, les postes utilisateur, les bases
de données, les applications, les sites Web et d'autres systèmes, en recherchant des
signaux faibles ou un comportement inhabituel pouvant indiquer un incident de sécurité ou
une compromission. Il utilise les technologies de détection des menaces, des vulnérabilités
et des cyberattaques.
Dans le cadre de ce projet, nous allons mettre en place un SOC qui permettra d’effectuer les
opérations de sécurité pour le compte d’ECP Multiservice
SIEM : Security Information and Event Manager, c’est un outil qui permet de collecter et
centraliser les événements de sécurité (logs).
Il permet également de mettre en place des alertes basées sur des scénarios de corrélation
permettant de détecter une tentative de cyberattaque ou une utilisation inappropriée du
système informatique par les employés
EDR : Endpoint Detection and Response : est une solution qui permet de faire une analyse
comportementale des fichiers, processus et programme sur les postes des utilisateurs afin de
détecter
XDR : Extended Detection and Response : c’est une solution qui permet de faire une
détection plus avancée en complétant la brique SIEM et EDR par l’analyse des flux réseaux
(paquets et trames).
Figure 16:Architecture de la solution
Dans le cadre de ce projet, la solution SIEM-XDR que nous proposons est SPLUNK. En
effet, l’entreprise ECP Multiservice est une entreprise de grande taille avec des milliers de
salariés.
Pour répondre efficacement à la charge générée par la collecte d’événements et la détection
des événements de sécurité, ils auront besoin d’une solution qui répond aux critères
suivants :
Stabilité un SIEM doit être stable pour assurer un haut pourcentage de disponibilité
Modulable : afin de s’adapter à l’évolution du système informatique de l’entreprise
Grande communauté : pour faciliter la montée en compétence des administrateurs de la
solution et faire évoluer l’outil
Le support : la solution doit proposer un support h24 capable d’intervenir en cas de
dysfonctionnement.
Parmi les solutions SIEM sur le marché la solution SPLUNK répondait efficacement à notre
besoin.
III.7.3 : Planning préliminaire de réalisation
Dans cette partie, nous allons mettre en place une série d’alertes de sécurité sur le SIEM et
s’assurer du bon fonctionnement. La liste n’étant exhaustive, nous allons mettre en place
entre autres les scénarios suivants :
Alertes sur les tentatives de brutes force (SSH, Office 365, Windows, AD, RDP)
Alertes sur les DDOS sur le réseau
Alertes sur les malwares
Alertes sur l’exécution de code arbitraire /scripts
Tests des cas d’utilisation EDR (Isolation de poste, file status, blocage des programmes
malveillants)
III.7.7 : Plan de formation et contrat de support
Après avoir déployé la solution SIEM-XDR Splunk chez ECP Multiservices, nous allons
former 2 utilisateurs pour administrer cette solution, ils auront 2 profils différents à savoir :
Lors de l’achat de la solution Splunk, les licences obtenus inclus un contrat de support. Ce
contrat permettra de résoudre les tickets de niveau 3.
Il sera donc nécessaire pour l’entreprise ECP Multiservice d’avoir un contrat de support de
niveau 2, afin d’accompagner l’équipe SOC dans la résolution des éventuels
disfonctionnements sur la solution et l’ensemble des serveurs du SOC. Cybersec Group
mettra à disposition d’ECP Multiservice un support de niveau 2 qui sera régie par un contrat
de support d’une durée de 1 an renouvelable.
Figure 17: Interface splunk enterprise
ECP Multiservice est une multinationale faisant dans plusieurs activités très sensible et
présent dans plusieurs pays. Lors de notre audit, nous avons constaté qu’il n’y avait aucun
dispositif en cas d'arrêt d'activité.
Nous avons décidé de mettre en place un place un PCA et PRA.
Le Plan de Reprise d’Activité (PRA) d’une entreprise constitue l’ensemble des « procédures
documentées lui permettant de rétablir et de reprendre ses activités en s’appuyant sur des
mesures temporaires adoptées pour répondre aux exigences métier habituelles après un
incident ». Il est donc un plan qui définit les contours de la reprise de tout ou partie de
l’activité d’une entité des suites d’un arrêt partiel ou total de cette dernière en fonction
d’objectifs de reprise définis au préalable et des modalités pour retrouver un mode de
fonctionnement optimal.
Le PRA est généralement associé au Plan de Continuité d’Activité (PCA) organisation qui
est défini comme étant l’ensemble « des procédures documentées permettant de répondre à
un incident perturbateur, de poursuivre ou rétablir ses activités dans un délai prédéterminé ».
Les organisations préparées disposent généralement d’un Plan de Gestion de Crise (PGC).
L’article 8.4.2 de la norme ISO 22301 fait référence à une structure de réponse à un incident
qui comprend « des procédures et une structure de management lui permettant de répondre
à un incident perturbateur en faisant appel à un personnel ayant les responsabilités, l’autorité
et les compétences nécessaires pour gérer l’incident ».
Le terme de PRN est un acronyme couramment utilisé pour qualifier le Plan de Retour à la
Normale. Chronologiquement, le retour à la normale constitue la dernière étape avant la fin
de la crise.
Comme solution de sauvegarde chez ECP Multiservice qui peut effectuer le PCA ET PRA,
nous avons choisi Veeam Backup & Replication.
Les systèmes de supervision des systèmes et réseaux donnent un aperçu des appareils et
des connexions, ce qui permet aux professionnels de l'informatique de détecter et de
signaler les défaillances, de planifier les mesures correctives et de maintenir les normes de
conformité et de sécurité. Ces systèmes comportent plusieurs éléments importants,
notamment :
Système de supervision des équipements réseau : lorsque les périphériques
réseau tombent en panne, les temps d'arrêt, entraine une perte de productivité, voir
des risques de sécurité apparaissent. Le dysfonctionnent du matériel peut pénaliser
l'ensemble de l'infrastructure, tandis qu'une utilisation élevée de l'unité centrale ou du
réseau peut ralentir les opérations et les rendre pénibles.
Un système de monitoring du réseau permet d'identifier et de traiter rapidement ces
points faibles. De nombreuses solutions de surveillance du réseau apportent
également une valeur ajoutée en ajoutant automatiquement de nouveaux appareils,
en cartographiant la topologie du réseau et en révélant les activités malveillantes ou
les éventuelles violations.
Systèmes d'alerte : Lorsque des problèmes sont identifiés les systèmes de
supervision du réseau, des alertes sont automatiquement envoyées au personnel
informatique pour être évaluées. Une fois que le problème est confirmé en tant que
défaut ou menace crédible, les techniciens peuvent se mettre au travail pour y
remédier.
Création de Rapports : La plupart des logiciels de monitoring du réseau peuvent
générer des rapports sur les résultats obtenus au fil du temps.
Après avoir présenté le protocole SNMP et son fonctionnement, nous avons choisi un NMS
qui servira de plateforme de supervision.
Dans le cadre de ce projet, nous proposons à l’entreprise ECP Multiservices la solution
Solarwinds Network Performance Monitoring (NPM)
Solarwinds NPM est un logiciel de surveillance réseau puissant et abordable qui permet de
détecter, de diagnostiquer et de résoudre rapidement les problèmes de performances et les
pannes du réseau. Il fait partie d’une gamme de produits bâtie autour de la gestion des
évènements, de la disponibilité, et des problèmes de capacité.
Accélère le dépannage, augmente les niveaux de service et réduit les temps d'arrêt.
Dépannage réseau avancé pour les services sur site, hybrides et cloud avec analyse
du chemin critique étape par étape.
Corrélation des données réseau inter-piles pour accélérer l'identification des
problèmes.
Surveille et affiche le temps de réponse, la disponibilité et les performances des
périphériques réseau.
Améliore l'efficacité opérationnelle avec des tableaux de bord, des alertes et des
rapports prêts à l'emploi.
Détecte automatiquement les périphériques réseau et se déploie généralement en
une heure environ.
Hormis toutes les fonctionnalités citées plus haut, Solarwinds étant un logiciel propriétaire, il
dispose d’une équipe support prêt à intervenir en cas de problème.
Les avantages apportés par la supervision réseau sur l’infrastructure d’ECP Multiservices :
Le ticketing est une technique utilisée par les équipes de support informatique des
entreprises pour recevoir, centraliser et traiter les requêtes des utilisateurs. Il consiste à
attribuer un numéro de ticket à chaque requête au support.
Chaque ticket est traité de façon individuelle et est attribué automatiquement à l’équipe
support responsable de son traitement. Il est indispensable de nos jours pour une entreprise
d’avoir une solution de ticketing afin de pouvoir traiter de manière plus efficace les
problèmes des utilisateurs dans leur utilisation des systèmes informatiques. L’installation
d’un système de ticketing pour une entreprise de la taille de ECP Multiservice avec plus de
5000 salariées s’avère donc primordiale afin de mieux organiser l’intervention des équipes
de support informatique des utilisateurs.
Dans le cadre de ce projet, nous proposons la solution Cloud Zendesk. En effet, Zendesk
est un logiciel de service et d'assistance basé sur le Cloud, il est conçu pour les agents de
support IT, avec cet outil, on aura la possibilité de suivre de bout en bout les problèmes des
employés de ECP Multiservice et de ses multiples filiales.
L’avantage de cet outil est qu’il soit basé sur le Cloud, donc il ne nécessitera aucune
infrastructure à déployer pour le mettre en place, il est directement prêt à l’emploi, on aura
juste besoin de le paramétrer en fonction des besoins en interne. En termes de
fonctionnalités, il permettra de :
Pendant la phase d’analyse de l’existant, d’audit et d’évaluation des besoins, nous nous
sommes rendus à l'évidence que la gestion du parc informatique (la gestion des actifs)
d’ECP Multiservice était chaotique.
La gestion des actifs désigne l'ensemble des outils et des pratiques utilisés pour suivre,
entretenir et réparer les actifs de l'entreprise. Elle couvre l'ensemble du cycle de vie des
actifs, de leur acquisition à leur élimination.
Elle d’autant importante car elle est la première étape de la gestion des vulnérabilités.
Malgré qu’il existe une kyrielle d’outils open source et gratuite de gestion du parc
informatique tels que Snipe-IT, SysAid IT…, nous avons opté pour la solution GLPI et OCS
Inventory.
GLPI est un logiciel français développé par INDEPNET pour gérer les ressources
informatiques.
Les éléments qui ont motivé notre choix pour cette solution sont :
Pour ce qui est de Fusion Inventory, c’est le serveur central, qui collecte les données
d'inventaire transmises par les agents déployés sur les postes de travail. Fusion
Inventory se décompose en deux éléments : le plug-in qui s'intègre à GLPI et les
agents déployés sur les postes de travail.
III.12 : Déploiement des mises à jour
Pour le déploiement des mises à jour des clients Windows chez ECP Multiservice, nous
avons utilisé le rôle Windows Server Update Services (WSUS).
WSUS est un rôle Windows Server disponible dans les systèmes d'exploitation Windows
Server.
Il fournit un centre unique pour les mises à jour de Windows au sein d'une organisation.
WSUS permet aux entreprises non seulement de différer les mises à jour, mais aussi de les
approuver de manière sélective, de choisir quand elles sont livrées et de déterminer quels
appareils individuels ou groupes d'appareils les reçoivent.
Lorsque vous choisissez WSUS comme source des mises à jour Windows, vous utilisez la
stratégie de groupe pour diriger les périphériques clients Windows vers le serveur WSUS
pour leurs mises à jour.
De là, les mises à jour sont périodiquement téléchargées sur le serveur WSUS et gérées,
approuvées et déployées via la console d'administration WSUS ou la stratégie de groupe, ce
qui simplifie la gestion des mises à jour de l'entreprise.
ECP Multiservice Group aura besoin de plus en plus recours aux réseaux pour accéder à
des applications distribuées et à des ressources partagées (sites web, serveurs
d’applications, serveurs de fichiers, etc.). C’est la raison pour laquelle nous avons choisi
comme lot supplémentaire l’annuaire LDAP.
Les entreprises stockent les noms d'utilisateur, les mots de passe, les adresses
électroniques, les connexions d'imprimante et d'autres données statiques dans des
annuaires. LDAP est un protocole d'application ouvert, neutre vis-à-vis des fournisseurs, qui
permet d'accéder à ces données et de les conserver. LDAP peut également prendre en
charge l'authentification, de sorte que les utilisateurs peuvent se connecter une seule fois et
accéder à de nombreux fichiers différents sur le serveur.
LDAP est un protocole qui utilise le port par défaut 389, il ne spécifie donc pas le
fonctionnement des programmes d'annuaire. Il s'agit plutôt d'une forme de langage qui
permet aux utilisateurs de trouver très rapidement les informations dont ils ont besoin.
LDAP est un protocole qui permet de lire Active Directory, mais il possible également de
l'utiliser avec d'autres programmes, notamment ceux basés sur Linux. En tant que protocole
indépendant du fournisseur, on peut utiliser cet outil pour travailler avec toutes sortes de
produits qui n'ont rien à voir avec Windows. Cette fonctionnalité de LDAP est un atout
important car le parc informatique d’ECP Multiservice regorge en son sein une variété de
système d’exploitation
Le Lightweight Directory Access Protocol (LDAP) est un protocole de service d'annuaire qui
fonctionne sur la pile TCP/IP. Il fournit un mécanisme utilisé pour se connecter à des
services d’annuaires Internet, les rechercher et les modifier. Le service d'annuaire LDAP est
basé sur un modèle client-serveur et sa fonction est de permettre l'accès à un annuaire
existant. De nombreuses entreprises dépendent de serveurs LDAP sur site pour stocker les
utilisateurs et les groupes pour leurs applications critiques.
Azure Active Directory (Azure AD) peut remplacer la synchronisation LDAP avec Azure AD
Connect. Le service de synchronisation Azure AD Connect effectue toutes les opérations
liées à la synchronisation des données d'identité entre vos environnements sur site et Azure
AD.
Dans le cas d’ECP multiservice, nous allons synchroniser les données d'identité entre les
annuaires LDAP v3 locaux et Azure AD.
III.13.3 : Sécurité LDAP (LDAP sur SSL ou sur TLS)
Les étapes de mise à niveau de LDAP couplé à azure AD se résument dans le tableau
suivant :
Etape Lien
Tous les articles sur la synchronisation Synchronisation Azure AD Connect
Azure AD Connect
Notions techniques Synchronisation Azure AD Connect :
Concepts techniques
Comprendre la configuration par défaut
Synchronisation Azure AD Connect :
Comprendre la configuration par défaut