Académique Documents
Professionnel Documents
Culture Documents
1 - Sécurité IT
Qu’est-ce qu’une architecture informatique sécurisée ?
Base qui définit la solidité d’une architecture informatique. Ça doit être pensé juste dès le départ.
CIA : Confidentialité, Intégrité, Accessibilité (Disponibilité)
Idéalement, on prend en compte d’abord les risques et l’état de l’art et peu le budget et les
compétences personnelles. Dans la pratique, le budget est un des points les plus importants.
NAC / NAP Network Access Protection / Control : permet de sécuriser si je connecte un appareil non
autorisé au réseau de l’entreprise
IDS / IPS : Intrusion Detection / protection system pour bloquer s’il y a trop d’essai de connexion sur
un compte
Vlan : réseau local virtuel
Load balancer : dirige le trafic vers un serveur moins chargé
WAF : Web Application Firewall : permet d’analyser le contenu de la requête qui entre au niveau
Web, par ex. une requête voudrait attaquer mon serveur, la requête n’arrive pas, ce qu’un Firewall
ne fait pas. Un Firewall ouvre ou n’ouvre pas un port, ensuite le trafic se fait.
GPO : group policy object
Radius : élément d’authentification pour tout ce qui est réseau, wifi, vpn. Protocole standardisé pour
échanger des logs d’authentification, c’est un serveur
PKI : Public key infrastructure
Cluster : en base de données, généralement il y a deux serveurs mais un seul travail. Si un tombe en
panne, c’est l’autre qui prend le relais.
MFA : Multi facteur authentification
Confidentialité Intégrité Accessibilité/disponibilité
WAF WAF
Antivirus
Firewall
GPO GPO
Radius
Authentification machine/user
PKI PKI
Cluster
Directory (active directory)
Load balancer
MFA
Cryptage Cryptage
Backup Backup
Disponibilité
ICAP : protocole d’échange dans les proxys, permet d’avoir plusieurs proxys
Mirroring : J’ai une information qui arrive sur un serveur et elle arrive en miroir sur le second serveur
qui n’est pas actif
Intégrité
Proxy : analyse et contrôle le trafic sortant (des utilisateurs), peut bloquer un site Internet, garde des
données téléchargées dans un cache, tout le trafic passe par la machine donc permet de ne pas
forcément sortir sur Internet
Confidentialité
Hardware security module HSM
Comment commencer ?
Qu’est-ce qui est critique ? Comprendre quels sont les processus qui sont importants
Est-ce qu’il y a des choses qui sont touchées par des lois ? SLA (software level agreement) ?
Alternatives (papier ? routeur 4G ?)
Quels sont les besoins futurs pas encore couverts ?
Analyse de risque très important dans la sécurité, sans analyse de risque il n’y a pas de budget parce
que les gens ne comprennent pas la sécurité. Les gens veulent que ça fonctionne, ils ne veulent pas
savoir pourquoi.
Sécurité périmétrique
Opposé à la sécurité en profondeur, qu’on fait actuellement
Seulement protéger les alentours
Port HTTPS 80
SMTP 443
L’IPS/IDS pourrait protéger ces attaques, parce qu’il pourrait voir qu’il y a beaucoup trop de requêtes.
Signature DNS permet de voir que la requête vient bien d’un server DNS
Radius : serveur supportant une grande quantité de schéma de connexion
IpSec : permet de sécuriser le trafic interne à l’entreprise au niveau de l’OS, permet de sécuriser
n’importe quoi peu importe l’application
Backup : partie essentielle de l’infrastructure
DHCP
La haute disponibilité se configure en général :
- Deux serveurs ou services DHCP
- Deux étendus qui se suivent (pas les mêmes)
- Copy des réservations d’un à l’autre
Penser à :
- Courant redondant (batterie, génératrice électrique, redondance de la ligne avec autre
fournisseur) pour serveur et pour switch
- Accès Internet (autre fournisseur, modem 4G)
- Switch redondant
- Firewall / WAF redondant
- AD, DNS, DHCP, services réseaux
- Application (si c’est une application critique)
Infrastructure
Virtualization & réplication
On a un serveur physique avec plusieurs serveurs virtuels sur un site et une réplication sur un serveur
physique sur un autre site, avec les mêmes serveurs virtuels. Du coup on a un site « chaud » et un
site « froid », du coup ce qu’on fait sur un des serveurs se répercute automatiquement sur l’autre.
Idéalement on fait encore un back-up du serveur.
On reçoit un affichage, on envoie que des commandes. Du coup tout le travail se fait sur place et on
limite l’usage de la bande passante.
VDI (Virtual desktop infrastructure)
On ne se connecte pas à une session mais à une machine
virtuelle indépendante directement sur un serveur
VPN
Remplacement de l’adresse IP
Redirection du trafic
Donnée encryptée
Connexion au serveur de destination
VPN privé :
Quand on regarde d’où vient l’IP, comme on passe par un VPN qui indique un autre pays par
exemple, on ne trouve pas d’où on vient.
VPN d’entreprise
LAN-I
Système proposé à l’origine par Swisscom, remplace le VPN, c’est le fournisseur qui s’en occupe.
On se connecte sur le même réseau. On peut sortir avec tous la même connexion Internet, ou avec le
même numéro d’entreprise
On interconnecte les sites avec un backbone complet => plus sûr que le VPN
En plus du contrôle d'accès, les NGFW peuvent bloquer les menaces modernes telles que les logiciels
malveillants avancés et les attaques de la couche application. Un pare-feu de nouvelle génération
doit inclure : Inspection dynamique
Prévention des intrusions intégrée
Détection et contrôle des applications pour voir et bloquer les applications à risque
Sources de renseignements sur les menaces
Mettre à niveau les chemins pour inclure les futurs flux d'informations
Techniques pour faire face à l'évolution des menaces de sécurité
Chiffrement du disque
TPM : puce spéciale sur les PCs sur laquelle est stocké la clef de chiffrement
Pour les privés, on peut récupérer la clef avec son compte Microsoft, un clef USB, etc.
Pour les entreprises, on peut stocker la clef sur Active Directory
Backup et archivage
Backup complet : tout le système
Backup incrémentiel : capture tous les éléments modifiés depuis la précédente sauvegarde, nécessite
la sauvegarde précédente
Backup différentiel : capture tous les fichiers modifiés depuis la dernière sauvegarde COMPLETE, plus
lourd que l’incrémental mais ne nécessite que la sauvegarde complète
Le backup se fait sur des données actuelles et vivantes, elles évoluent
Archivage : on transfert la version originale qu’on veut conserver comme preuve, ce n’est plus une
donnée vivante
Processus d’enrôlement : garantir que c’est la bonne personne qui a le bon certificat (2FA)
Pourquoi on sépare en plusieurs colonnes ? Parce que si on perd la clef de chiffrement web interne,
ce n’est pas grave, on peut en refaire une. Cependant, si on perd la clef de chiffrement d’un fichier, il
reste crypter pour toujours => donc on inventorie les clefs de certificats
On installe le Root CA, on installe les subs CA (Silver, Gold, SSL, etc) et ensuite on le désactive pour
éviter que s’il est compromis il puisse tout faire
Le certificat permet l’authentification. Il permet le premier échange de clef. Le serveur envoie une
clef publique, le certificat garantit l’authentification. Ensuite, le client contrôle si le certificat est OK.
Si le certificat est OK, le client génère une clef privé qu’il envoie avec la clef publique. La connexion
est ensuite sécurisée.
On a toujours le même chiffrement du fichier, mais on y accède avec la clef publique de A. Si A perd
sa clef, l’utilisateur Récup a lui aussi une clef publique qui lui permet de déchiffrer le document.