63-22.

1 - Sécurité IT
Qu’est-ce qu’une architecture informatique sécurisée ?
Base qui définit la solidité d’une architecture informatique. Ça doit être pensé juste dès le départ.
CIA : Confidentialité, Intégrité, Accessibilité (Disponibilité)
Idéalement, on prend en compte d’abord les risques et l’état de l’art et peu le budget et les
compétences personnelles. Dans la pratique, le budget est un des points les plus importants.
NAC / NAP Network Access Protection / Control : permet de sécuriser si je connecte un appareil non
autorisé au réseau de l’entreprise
IDS / IPS : Intrusion Detection / protection system pour bloquer s’il y a trop d’essai de connexion sur
un compte
Vlan : réseau local virtuel
Load balancer : dirige le trafic vers un serveur moins chargé
WAF : Web Application Firewall : permet d’analyser le contenu de la requête qui entre au niveau
Web, par ex. une requête voudrait attaquer mon serveur, la requête n’arrive pas, ce qu’un Firewall
ne fait pas. Un Firewall ouvre ou n’ouvre pas un port, ensuite le trafic se fait.
GPO : group policy object
Radius : élément d’authentification pour tout ce qui est réseau, wifi, vpn. Protocole standardisé pour
échanger des logs d’authentification, c’est un serveur
PKI : Public key infrastructure
Cluster : en base de données, généralement il y a deux serveurs mais un seul travail. Si un tombe en
panne, c’est l’autre qui prend le relais.
MFA : Multi facteur authentification
Confidentialité Intégrité Accessibilité/disponibilité
WAF WAF
Antivirus
Firewall
GPO GPO
Radius
Authentification machine/user
PKI PKI
Cluster
Directory (active directory)
Load balancer
MFA
Cryptage Cryptage
Backup Backup
Disponibilité
ICAP : protocole d’échange dans les proxys, permet d’avoir plusieurs proxys
Mirroring : J’ai une information qui arrive sur un serveur et elle arrive en miroir sur le second serveur
qui n’est pas actif
Intégrité
Proxy : analyse et contrôle le trafic sortant (des utilisateurs), peut bloquer un site Internet, garde des
données téléchargées dans un cache, tout le trafic passe par la machine donc permet de ne pas
forcément sortir sur Internet
Confidentialité
Hardware security module HSM
Comment commencer ?
Qu’est-ce qui est critique ? Comprendre quels sont les processus qui sont importants
Est-ce qu’il y a des choses qui sont touchées par des lois ? SLA (software level agreement) ?
Alternatives (papier ? routeur 4G ?)
Quels sont les besoins futurs pas encore couverts ?
Analyse de risque très important dans la sécurité, sans analyse de risque il n’y a pas de budget parce
que les gens ne comprennent pas la sécurité. Les gens veulent que ça fonctionne, ils ne veulent pas
savoir pourquoi.

Environnements (séparer les environnements)

Environnement qualifié : environnement dans lequel on doit maintenir une certaine qualification, par
ex. ISO 9001
On a 3 zones : développement, pré-prod et production. Normalement, on déploie une mise à jour sur
3 ou 4 postes pour faire des tests, par exemple chez l’IT. Et si ça marche, on pousse en production.
En zone « dev », on est assez libre. On fait des tests, on enlève, on remet, etc. C’est pas vraiment
documenté.
En zone « pré-pord », on documente tout. Comment on installe, comment on configure, comment on
test, etc. + document Rollback si ça marche pas comment revenir en arrière. => Change
management. Une fois que tout est OK, on peut mettre en prod.

Sécurité périmétrique
Opposé à la sécurité en profondeur, qu’on fait actuellement
Seulement protéger les alentours
Port HTTPS 80
SMTP 443

Sécurité du réseau interne

Limiter l’accès
Définir ou non des MAC Address qui sont autorisées => protection assez faible, avec une VM on peut
imiter une MAC Adress, ou on peut faire une commande ARP pour voir les adresses IP du réseau et
en configurer une manuellement
Spoofing : on envoie une demande au server, un pirate entre dans le réseau et dit «  c’est moi le
server web », très fréquemment et très rapidement. Du coup on reçoit d’abord une réponse du
pirate avant le server web.

L’IPS/IDS pourrait protéger ces attaques, parce qu’il pourrait voir qu’il y a beaucoup trop de requêtes.
Signature DNS permet de voir que la requête vient bien d’un server DNS
Radius : serveur supportant une grande quantité de schéma de connexion
IpSec : permet de sécuriser le trafic interne à l’entreprise au niveau de l’OS, permet de sécuriser
n’importe quoi peu importe l’application
Backup : partie essentielle de l’infrastructure

802.1.x = authentification des bornes WiFi

On pourrait aussi ajouter un réplica externe du backup (soit sous forme de disque qu’on change 1x
par semaine, ou externe via cloud)
On chiffre aussi les disques durs des PCs de l’entreprise via une GPO et BitLocker
Disponibilité (Accessibility)
Réplication Active Directory DNS

DHCP
La haute disponibilité se configure en général :
- Deux serveurs ou services DHCP
- Deux étendus qui se suivent (pas les mêmes)
- Copy des réservations d’un à l’autre

Penser à :
- Courant redondant (batterie, génératrice électrique, redondance de la ligne avec autre
fournisseur) pour serveur et pour switch
- Accès Internet (autre fournisseur, modem 4G)
- Switch redondant
- Firewall / WAF redondant
- AD, DNS, DHCP, services réseaux
- Application (si c’est une application critique)
Infrastructure
Virtualization & réplication
On a un serveur physique avec plusieurs serveurs virtuels sur un site et une réplication sur un serveur
physique sur un autre site, avec les mêmes serveurs virtuels. Du coup on a un site «  chaud » et un
site « froid », du coup ce qu’on fait sur un des serveurs se répercute automatiquement sur l’autre.
Idéalement on fait encore un back-up du serveur.

Bureau à distance (remote desktop / virtual desktop)

RDP / Cirtrix : on se connecte sur une session d’un serveur à distance

On reçoit un affichage, on envoie que des commandes. Du coup tout le travail se fait sur place et on
limite l’usage de la bande passante.
VDI (Virtual desktop infrastructure)
On ne se connecte pas à une session mais à une machine
virtuelle indépendante directement sur un serveur

VPN
Remplacement de l’adresse IP
Redirection du trafic
Donnée encryptée
Connexion au serveur de destination
VPN privé :
Quand on regarde d’où vient l’IP, comme on passe par un VPN qui indique un autre pays par
exemple, on ne trouve pas d’où on vient.

VPN d’entreprise

On fait un tunnel VPN d’une machine au serveur de l’entreprise.

Lent, parce qu’il faut se connecter et le trafic doit traverser les deux firewall, le switch jusqu’à avoir
accès au fichier. Ça prend toute la bande passante.

LAN-I
Système proposé à l’origine par Swisscom, remplace le VPN, c’est le fournisseur qui s’en occupe.
On se connecte sur le même réseau. On peut sortir avec tous la même connexion Internet, ou avec le
même numéro d’entreprise
On interconnecte les sites avec un backbone complet => plus sûr que le VPN

Antivirus & EDR (endpoint detection and response)

Un antivirus contrôle de temps en temps ce qui se passe (signature)
Un EDR est comportemental, fonctionne notamment avec de l’IA, détecte des patterns anormaux
L’EDR est un antivirus « nouvelle génération »

Firewall & NGFW (firewall next gen)

Un pare-feu traditionnel fournit une inspection dynamique du trafic réseau. Il autorise ou bloque le
trafic en fonction de l'état, du port et du protocole, et filtre le trafic en fonction de règles définies par
l'administrateur.

En plus du contrôle d'accès, les NGFW peuvent bloquer les menaces modernes telles que les logiciels
malveillants avancés et les attaques de la couche application. Un pare-feu de nouvelle génération
doit inclure : Inspection dynamique
Prévention des intrusions intégrée
Détection et contrôle des applications pour voir et bloquer les applications à risque
 Sources de renseignements sur les menaces
Mettre à niveau les chemins pour inclure les futurs flux d'informations
Techniques pour faire face à l'évolution des menaces de sécurité

Chiffrement du disque
TPM : puce spéciale sur les PCs sur laquelle est stocké la clef de chiffrement
Pour les privés, on peut récupérer la clef avec son compte Microsoft, un clef USB, etc.
Pour les entreprises, on peut stocker la clef sur Active Directory

Outils d’analyse de vulnérabilité

Logiciel qui va scanner le système et les périphériques pour découvrir les failles de sécurité
Va dresser un inventaire de tous les éléments du réseau
Liste des ports, liste des services et sur ces services, analyse les vulnérabilités des services
Peut aussi, si on lui donne les droits, remonter toutes les vulnérabilités connues des logiciels installés

Backup et archivage
Backup complet : tout le système
Backup incrémentiel : capture tous les éléments modifiés depuis la précédente sauvegarde, nécessite
la sauvegarde précédente
Backup différentiel : capture tous les fichiers modifiés depuis la dernière sauvegarde COMPLETE, plus
lourd que l’incrémental mais ne nécessite que la sauvegarde complète
Le backup se fait sur des données actuelles et vivantes, elles évoluent
Archivage : on transfert la version originale qu’on veut conserver comme preuve, ce n’est plus une
donnée vivante

Chiffrement et architecture PKI

A quoi sert un certificat ? Sert à chiffrer le trafic et à prouver l’identité
Différent type de certificat :
OV (validation de l’organisation, processus => on va demander qui demande le certificat, est-ce qu’il
a une fonction dans l’entreprise, etc. et ça doit être demandé à un personne avec droit de signature)
et EV (validation étendue) encore plus étendue que OV

On peut avoir une certification des machines, des courriels, etc.

Processus d’enrôlement : garantir que c’est la bonne personne qui a le bon certificat (2FA)

Pourquoi on sépare en plusieurs colonnes ? Parce que si on perd la clef de chiffrement web interne,
ce n’est pas grave, on peut en refaire une. Cependant, si on perd la clef de chiffrement d’un fichier, il
reste crypter pour toujours => donc on inventorie les clefs de certificats
On installe le Root CA, on installe les subs CA (Silver, Gold, SSL, etc) et ensuite on le désactive pour
éviter que s’il est compromis il puisse tout faire

Schéma fonctionnement certificats HTTPS :

Le certificat permet l’authentification. Il permet le premier échange de clef. Le serveur envoie une
clef publique, le certificat garantit l’authentification. Ensuite, le client contrôle si le certificat est OK.
Si le certificat est OK, le client génère une clef privé qu’il envoie avec la clef publique. La connexion
est ensuite sécurisée.

Chiffrement des fichiers

On a toujours le même chiffrement du fichier, mais on y accède avec la clef publique de A. Si A perd
sa clef, l’utilisateur Récup a lui aussi une clef publique qui lui permet de déchiffrer le document.

Gestion des certificats :

Windows « certlm »