BTS SIO – EPREUVE E6 SISR

CAS POITOURÉGIE

Compétences évaluées dans le sujet proposé : 

 
Mission A1 - Limiter la surface d’attaque 
Sécuriser les équipements et les usages des utilisateurs  
 Identifier les menaces et mettre en œuvre les défenses appropriées  
 
Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et
des données de l’organisation face à̀ des cyberattaques  
 Caractériser les risques liés à̀ l’utilisation malveillante d’un service
informatique  
 Recenser les conséquences d’une perte de disponibilité ́, d’intégrité́ ou de
confidentialité  
 
Assurer la cybersécurité d’une infrastructure réseau, d’un système, d’un service  
 Prévenir les attaques 
 
Mission A2 - Mettre en place un outil de détection d’intrusion (IDS/IPS) 
Sécuriser les équipements et les usages des utilisateurs  
 Identifier les menaces et mettre en œuvre les défenses appropriées  
 
Assurer la cybersécurité d’une infrastructure réseau, d’un système, d’un service  
 Mettre en œuvre et vérifier la conformité d’une infrastructure à un
référentiel, une norme ou un standard de sécurité 
 Prévenir les attaques  
 Détecter les actions malveillantes  
 
Mission A3 - Résolution d’un problème de sécurité 
Garantir la disponibilité, l’intégrité et la confidentialité́ des services informatiques et
des données de l’organisation face à des cyberattaques 
 Identifier les obligations légales qui s’imposent en matière d’archivage et de
protection des données de l’organisation  
 Appliquer les procédures garantissant le respect des obligations légales 
 
Assurer la cybersécurité d’une infrastructure réseau, d’un système, d’un service  

Cas Poitourégie Eléments de correction Page 1 sur 10

  Détecter les actions malveillantes  
 Analyser les incidents de sécurité́, proposer et mettre en œuvre des contre-
mesures 
 
Mission B1 - Étude de la tolérance de pannes de l’infrastructure du siège 
Assurer la cybersécurité d’une infrastructure réseau, d’un système, d’un service  
 Participer à la vérification des éléments contribuant à la sûreté d’une
infrastructure informatique  
 Mettre en œuvre et vérifier la conformité d’une infrastructure à un
référentiel, une norme ou un standard de sécurité 
 Détecter les actions malveillantes  
 Analyser les incidents de sécurité, proposer et mettre en œuvre des contre-
mesures 
 
Mission B2 - Renforcer la sûreté et la sécurité de l’infrastructure réseau 
Assurer la cybersécurité d’une infrastructure réseau, d’un système, d’un service  
 Participer à la vérification des éléments contribuant à la sûreté d’une
infrastructure informatique  
 Prendre en compte la sécurité dans un projet de mise en œuvre d’une
solution d’infrastructure 
 Mettre en œuvre et vérifier la conformité d’une infrastructure à un
référentiel, une norme ou un standard de sécurité 

ÉLÉMENTS DE CORRECTION

Dossier A - Sécurisation du réseau

Mission A1 - Limitation de la surface d'attaque

Question A1.1
a) Relever et expliquer les risques techniques engendrés par ces failles de sécurité.
b) Identifier les éventuelles conséquences techniques (sur les trois réseaux) ainsi que les
conséquences juridiques et économiques pour Poitourégie en cas d'exploitation de ces failles par
un tiers malveillant.

a) D'après le document A2 :

● Trois vulnérabilités ont été décelées, les principaux risques sont :
o une élévation locale de privilèges sur des machines où sont installés les produits
SIMATIC WinCC qui pourrait avoir un impact sur la confidentialité, l'intégrité et la
disponibilité du système affecté. ;
o un déni de service sur des machines qui pourrait compromettre la disponibilité du
système affecté.
● Les machines dont il est question sont le serveur SCADA et la station de programmation.

Cas Poitourégie Eléments de correction Page 2 sur 10

Les risques concernent donc :
 une "élévation de privilège" signifiant acquérir des droits d'administrateur sur le système.
 un “deni de service” qui consiste rendre inaccessible un service jusqu'à le saturer afin de
provoquer une interruption de service ou un fonctionnement fortement dégradé.

b) On peut imaginer les conséquences techniques suivantes :

 Côté réseau distribution : une modification de la gestion de la distribution électrique

(déclenchement de pannes, interruption du service de délivrance d’énergie, destructions,
etc…).
 Côté supervision : prendre le contrôle d’un équipement pour afficher des valeurs erronées
ou des écrans noirs, rendre impossible les commandes à distance, …
 Côté administratif : possibilité d'attaque des ressources du LAN par rebond, c'est-à-dire à
partir du poste infecté à l'intérieur de l'entreprise pouvant entraîner par exemple des vols ou
des destructions d’information.

Cas Poitourégie Eléments de correction Page 3 sur 10

Conséquences économiques pour Poitourégie :
Dégradation de la qualité du service de distribution électrique rendu pouvant engendrer une
altération de l’image de l’entreprise ainsi qu’une perte de clientèle actuelle/potentielle au profit de
la concurrence (perte de chiffre d’affaires).

Conséquences juridiques pour Poitourégie :

 Mise en œuvre de sa responsabilité civile contractuelle du fait d’une mauvaise exécution de
ses obligations contractuelles vis-à-vis de ses clients (ici éventuellement dégradation de la
qualité du service rendu, non respect de l’obligation de confidentialité ...)
+ Conséquences juridiques qui en découlent : versement de dommages et intérêts aux
clients, rupture de contrats, demande de réduction de prix de la part des clients ...
 Mise en oeuvre de sa responsabilité pénale du fait du non respect de l’obligation de
sécurisation des DCP de ses clients (les particuliers) inscrite dans le RGPD (ici atteinte
possible à la confidentialité, à la disponibilité et à l’intégrité des DCP)
+ Conséquences juridiques qui en découlent : paiement d’amendes ...

Question A1.2 
Proposer trois solutions concrètes à mettre en œuvre permettant de limiter les risques d’attaque.

● Pare-feu : mettre en place des ACL au niveau des routeurs (séparation des réseaux et des
DMZ avec des règles de passage inter-zones clairement définies, testées et auditées
régulièrement.
● Automatisation des mises à jour, installation des patchs.
● Protection des accès par une authentification stricte.

Toute réponse cohérente sera considérée comme correcte.

Autres solutions envisageables :

● Respect des procédures d'installation sécurisée préconisées (répertoire d’installation …)
● Protection contre les malwares : mettre en place un antivirus sur les postes SCADA /ICS
● Contrôles d'accès aux bâtiments (badge, caméras, dispositifs de reconnaissances ou
d'identification) pour éviter les accès physiques aux équipements.
● Audit des VPN : vérification des algorithmes, renouvellement des certificats, etc.
● Appliquer le durcissement en limitant les applications installées et les droits des personnes
au strict nécessaire.
● Mise en place de droits strictement nécessaires aux tâches prévues.

Cas Poitourégie Eléments de correction Page 4 sur 10

Mission A2 - Mettre en place un outil de détection d’intrusion (IDS/IPS)

Question A2.1
Indiquer, en justifiant :
a) sur quel type de système d’exploitation peut s’installer le ver Industroyer ;
b) parmi les machines installées avec ce type de système d’exploitation, quelles sont celles qui
sont particulièrement vulnérables.
a) Les lignes 1 (C:\Users..) et 8 (HKLM\SYSTEM…) du tableau désignent clairement un
système d’exploitation Windows 🡺 Industroyer peut donc s’installer sur toute machine qui
possède un système d’exploitation Windows.

b) Toute machine possédant un système d’exploitation Windows et en relation avec la gestion

de la distribution d'électricité, c'est à dire faisant partie du réseau ICS. Ici, d'après le
schéma (Document 12) au minimum le serveur SCADA et la station de programmation.

Autre critère envisageable : les machines en lignes 24h/24h puisque les actions sont réalisées en
dehors des horaires de bureau pour être discrètes

Question A2.2
Justifier ce choix d’outil et d’emplacement.
L'objectif est ici de surveiller et bloquer automatiquement les flux suspects, nous avons donc
besoin d’un dispositif permettant d'alerter en cas d'activité suspecte détectée sur le réseau
surveillé. Nous choisissons un IPS car il permet en plus d'agir afin de bloquer automatiquement
les flux suspects (fermeture de ports, blocage de trames…).
Par ailleurs, il est nécessaire de ne pas créer de latence dans le réseau industriel, nous excluons
donc un Host IDS/IPS et nous choisissons un Network IDS/IPS tel que Suricata.

Le malware sera vraisemblablement introduit via le réseau administratif (navigation internet

risquée). Ce type de Network IPS s’installe en « coupure » sur le réseau : en le plaçant entre le
réseau administratif et le réseau SCADA, c'est-à-dire entre le serveur SCADA et le commutateur
cœur de réseau, il permettra de contrôler les flux vers et depuis le réseau ICS et ainsi limiter les
risques d'attaque.
On peut imaginer aussi qu’il est préférable de rejeter les communications depuis l’extérieur au
niveau des points d’accès limitrophes, donc au niveau des routeurs connectés à Internet.

Question A2.3
a) Repérer, dans le tableau d’indicateurs de compromission, les lignes identifiant la communication
vers les serveurs de commande et contrôle (C&C).
b) Rédiger les quatre règles du logiciel Suricata permettant de bloquer ces échanges.
On n'attend pas de règles optimisées. Les règles en tcp ou http sont équivalentes.
a) Les lignes concernées sont les lignes 3 à 6 du tableau des IoC.
b)
drop ip any any -> 195.16.88.6 any (msg : "Blocage connexion C&C ;)
drop ip any any -> 93.115.27.57 any (msg : "Blocage connexion C&C ;)
drop ip any any -> 5.39.218.152 any (msg : "Blocage connexion C&C ;)
drop http any any -> any any (content : "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;
InfoPath.1)" ; msg : "Blocage C&C communication ; )
On peut penser à bloquer dans les deux sens. Le principe d’un « bot » est d’ouvrir une connexion
vers les serveurs, donc c’est en principe lui qui ouvre la connexion et permet les échanges, donc
c’est inutile. Quand c'est drop, on n'exige pas forcément un message supposé aller dans les logs.
La pertinence du message n'est pas évaluée.

Cas Poitourégie Eléments de correction Page 5 sur 10

Mission A3 - Résolution d'un problème de sécurité

Question A3.1
Rédiger cette fiche :
a) Expliquer, pour chacune des quatre parties du relevé des journaux d’événements, à quoi
correspond chaque échange : protocole utilisé, opération(s) réalisée(s).
b) En déduire le type d’attaque qui a été lancé.
a)
- Partie 1 : protocole DNS, demande de résolution du nom xf1.pw en adresse IP et réponse du
serveur 8.8.8.8 : 141.8.226.53.
- Partie 2 : protocole telnet, échange client-serveur, client interne au réseau @IP 172.16.128.27,
serveur extérieur @IP 141.8.226.53 xf1.pw
- Partie 3 : protocole DNS, demande de résolution du nom www.minecraft.net en adresse IP et
réponse du serveur : 8.8.8.8 : 3 @IPs : 52.84.163.x
On note que 3 adresses IP sont données, associées au nom www.minecraft.net (non exigé)
- Partie 4 : protocole tcp, tentatives d'ouverture de connexion TCP du client vers
www.minecraft.net toutes les 300ms sur un port différent.

b)
D'après le message d'alerte de Suricata, c'est une attaque par DoS qui a été détectée.
La partie 1 et 2 du relevé de log montre une communication avec un serveur distant, le C&C,
demandant probablement au client de lancer une attaque DoS.
La partie 3 est une demande de résolution de nom du serveur minecraft qui va probablement être
« attaqué ».
La partie 4 du relevé de log montre de nombreuses demandes de connexion au serveur web
minecraft qui, répétées par de nombreux postes à travers internet, vont empêcher l'utilisation
normale du site par manque de ressources du serveur trop sollicité (attaque par DDoS).

Question A3.2
a) Identifier les deux failles de sécurité révélées par le résultat de la commande.
b) Proposer deux solutions permettant d’y remédier.

a) Le test effectué avec ncrack montre que la caméra est accessible en telnet (protocole non
sécurisé) avec le login "admin" et le mot de passe "admin", certainement les valeurs par défaut
trouvées dans la documentation.

b) La première solution est de changer au minimum le mot de passe (par un plus complexe). On
peut également changer le login.
Il est nécessaire de changer le protocole telnet pour le protocole ssh si cela est proposé par la
caméra.

Autres propositions possibles : bloquer l’ouverture du port telnet depuis l’extérieur, voire le bloquer,
autoriser la mise à jour. Utiliser un autre port, Administrer éventuellement via Powershell ou autre.

Question A3.3

Cas Poitourégie Eléments de correction Page 6 sur 10

Rappeler les obligations juridiques prévues dans le RGPD qui incombent à la société
Poitourégie suite à la survenance de l'incident de sécurité.

 Obligation de remédier immédiatement à la faille de sécurité.

 Obligation de documenter, en interne sous forme d’un registre, la violation qui vient de se
produire.
 Obligation de notifier la faille de sécurité en fonction du degré du risque encouru pour les
droits et libertés des personnes (ici les clients : particuliers) concernées :
 si la violation entraîne un risque => notification à la CNIL, au plus tôt et dans un
délai maximal de 72h ;
 si la violation entraîne un risque élevé => notification à la CNIL, au plus tôt et
dans un délai maximal de 72h et communication de la violation aux personnes
concernées, au plus tôt.

Dossier B - Audit et évolution de l’infrastructure réseau

Mission B1 - Étude de la tolérance de pannes de l’infrastructure du siège

Question B1.1
a) Préciser, dans le cadre de ce premier scénario, la technologie qui permet de basculer sur le
routeur de secours et expliquer son fonctionnement.
b) Lister les équipements traversés par un message émis par un poste client du bâtiment A via le
réseau virtuel privé (VPN) vers une des agences lorsque le lien ADISTA 100M est coupé.

a)
Les 2 routeurs cœur de réseau des 2 bâtiments forment un cluster VRRP (un groupe), le routeur
du bâtiment A étant le master et le routeur du bâtiment B le routeur de secours pour lequel est
défini un identifiant VRID.
Chaque routeur possède ses propres adresses MAC et IP physiques mais le cluster possède une
adresse MAC et une adresse IP virtuelle.
Cette adresse IP virtuelle correspond à la passerelle configurée sur tous les clients.
Une priorité est définie pour chacun des routeurs. Le routeur qui a la priorité la plus haute est par
définition le routeur master et sera la passerelle effective.

Dans ce premier scénario, si la liaison VPN passant par le routeur ADISTA n'est plus
opérationnelle, le protocole VRRP permet la détection d’un lien externe désactivé 🡺 le
routeur/commutateur de Niveau 3 "master" va se dégrader pour promouvoir le
routeur/commutateur de niveau 3 VRRP "backup". La continuité de service sera ainsi assurée (en
mode dégradé).

b) Le message transitera du poste client bâtiment A vers son commutateur de distribution client
correspondant puis vers le commutateur cœur de réseau du Bâtiment A. Le lien Adista 100M
étant coupé, le message sera commuté vers le cœur de réseau Bâtiment B puis routé sur le lien
ADISTA 30M. La communication se fera donc en mode dégradé.

Cas Poitourégie Eléments de correction Page 7 sur 10

Question B1.2
Lister, dans le cas du second scénario, en justifiant par rapport aux technologies implémentées :
a) les équipements traversés par un message émis par un poste client du bâtiment A via le réseau
virtuel privé (VPN) vers une des agences ;
b) les équipements traversés par un message émis par un poste client du bâtiment A vers une des
applications métier située sur la grappe de serveurs (cluster) VMware.

Dans le premier cas, le protocole permettant la continuité de service est celui explicité dans la
question précédente, le protocole VRRP. Le message transitera du poste client bâtiment A vers
son commutateur de distribution client correspondant. Le cœur de réseau Bâtiment A étant coupé,
le message sera dirigé vers le cœur de réseau Bâtiment B puis vers le lien ADISTA 30M. La
communication se fait là aussi en mode dégradé.
Dans le second cas, le commutateur distribution client Bâtiment A étant relié par fibre au cœur de
réseau du Bâtiment B, le message passe par celui-ci et est ensuite transmis au géo-cluster
VMware via le commutateur de distribution serveur du bâtiment B.

Question B1.3
Identifier cet élément d’infrastructure et proposer une solution pour limiter sa criticité.

Une défaillance du routeur/parefeu Sonicwall permettant la sortie vers la DMZ et Internet

empêcherait l’ensemble des utilisateurs d’accéder à Internet. Cet élément est un passage obligé et
il n’est pas redondé.
Il faudrait donc redonder ce routeur/parefeu à l'image des cœurs de réseau tout en créant un
cluster VRRP ou équivalent.

Cas Poitourégie Eléments de correction Page 8 sur 10

Mission B2 - Renforcer la sûreté et la sécurité de l’infrastructure réseau

Question B2.1
Préparer les éléments de réponse justifiés aux différentes questions de votre DSI pour chacune
des offres A Huawei et B Cisco, à savoir :

a) Concernant le coeur de réseau, les solutions respectent-elles les exigences en termes de

tolérance de panne ?
b) Les connexions entre équipements respectent-elles les demandes exprimées en termes
de débit dans le cahier des charges ?
c) Le nombre de commutateurs distribution clients correspond-il aux demandes exprimées
dans le cahier des charges ?
d) Actuellement les grappes de serveurs (clusters) VMware utilisent 50 ports GigaBit T sur
les commutateurs de distribution serveurs, ce nombre doit être vérifié.
e) Le cahier des charges précise que les serveurs devront être connectés en 10GB-T, il est
nécessaire de vérifier pour chaque offre si la proposition est correctement dimensionnée
en justifiant le nombre ports 10GB-T minimum nécessaires.

a) Dans les 2 cas, le cœur de réseau de chacun des 2 bâtiments est relié à l'ensemble des autres
équipements des 2 bâtiments, les 2 offres respectent donc bien les exigences en termes de
tolérance de panne. Celle offerte par le prestataire A Huawei reste cependant plus fiable car le
cœur de réseau est lui-même redondé dans chacun des bâtiments.

b) Oui, actuellement la connexion entre les cœurs et les commutateurs de distribution clients sont
en GBits/s. Le cahier des charges précise qu'elles doivent passer en 10GB. Ce qui est le cas dans
les deux propositions.

c) L'infrastructure actuelle est de 9 commutateurs distribution clients, le cahier des charges précise
que le Bâtiment de secours doit intégrer un nouveau commutateur de niveau 3 pour la gestion du
réseau électrique. L'offre A Huawei n'est pas totalement conforme puisqu'il manque un
commutateur.

d) Le géo-cluster VMware est réparti sur les 2 bâtiments. Dans chaque bâtiment il y a donc 2
serveurs HP applications métiers avec pour chacun 8 interfaces ; 2 serveurs Dell services réseaux
avec pour chacun 8 interfaces et 3 serveurs Dell solution Citrix avec pour chacun 6 interfaces
réseau. Cela fait bien un total de 50 : (2x8) + (2x8) + (3x6).

e) Il faut 2x10GB-T par serveur. Nous avons au total 7 serveurs.

Il faudra donc au minimum 14x10GB-T.

L'offre du prestataire A Huawei est composée d'un stack pour le cœur de réseau et la distribution
serveur. Ce stack offre un total de 2x32 soit 64 ports 10GB-T donc largement dimensionné.

L'offre du prestataire B Cisco offre au total (2x8) + (2x2) soit 20 ports 10GB-T. Cette offre est elle
aussi suffisante. On peut considérer un manque de scalabilité de la proposition concernant les
commutateurs distribution serveurs.

Cas Poitourégie Eléments de correction Page 9 sur 10

Question B2.2
Identifier deux éléments concernant l’offre et le prestataire qui pourraient constituer des critères
permettant de définir la troisième note, représentant 10 % de la note totale.

Cette troisième note pourrait permettre de valoriser la fiabilité et le sérieux du prestataire et du

matériel. Les sous-critères pourraient être :
● le volume de CA du prestataire ;
● la qualité et quantité de ses références clients ;
● les certifications que possède le prestataire ;
● l'image de marque de matériel proposé ;
● la documentation d’exploitation de la solution ;
● la formation.

Question B2.3
Proposer un choix argumenté.

Nous pouvons considérer que les deux offres sont en adéquation avec le cahier des charges.

Si le prix était un élément décisif l'offre du prestataire A Huawei pourrait l’emporter (même si la
différence n’est pas si grande que ça !).

Mais je choisis le prestataire Cisco qui présente des points forts non négligeables :
● les certifications Cisco et dans le contexte extrêmement sécuritaire la certification 27001
qui définit les exigences relatives aux systèmes de management de la sécurité des
informations ;
● l'image de marque du matériel ;
● une modularité plus forte au niveau des équipements.

Par ailleurs, même si le prestataire A Huawei semble plus fiable en termes de disponibilité car le
cœur de réseau est redondé dans chacun des bâtiments, ce même prestataire a oublié d’intégrer
un nouveau commutateur de niveau 3 pour la gestion du réseau électrique qui permettrait la
continuité d’exploitation en cas d’incident sur les cœurs de réseau.

Dans les 2 cas, il y a un besoin d'adaptation et de formation des équipes puisque que l'on ne reste
pas sur la même marque de matériel.

Cas Poitourégie Eléments de correction Page 10 sur 10