Menaces communes pour la sécurité des

réseaux et prévention des menaces

 Avant-propos
⚫ Avec le développement des technologies Internet, les types et la fréquence des attaques de
réseau augmentent. En raison de leur vulnérabilité, de leur sensibilité et de leur
confidentialité, les informations et les systèmes d'information sont vulnérables aux menaces
ou aux attaques, telles que les attaques DDoS, les intrusions dans les réseaux, les violations
de données et l'attaque de l'intercepteur. La sécurité des systèmes d'information ne peut
être mieux assurée que si l'on connaît les différentes sources de menaces et leurs contre-
mesures.
⚫ Un réseau d'entreprise met en œuvre la transmission de données au sein de l'entreprise et
l'échange de données entre l'entreprise et les réseaux externes. La sécurité des réseaux
d'entreprise est essentielle pour sécuriser la production des entreprises. Ce cours décrit les
menaces et les contre-mesures communes en matière de sécurité des réseaux d'entreprise.
2 Huawei Confidential
 Objectifs

⚫ À la fin de ce cours, vous serez capable de :

 Décrire les menaces de sécurité communes aux réseaux d'entreprise.
 Décrire comment faire face aux menaces communes pour la sécurité des
réseaux.

3 Huawei Confidential
 Table des matières

1. Aperçu des menaces pour la sécurité des réseaux d'entreprise

2. Exigences et solutions en matière de sécurité des réseaux de communication

3. Menaces pour la sécurité des contours de la zone et prévention des menaces

4. Menaces pour la sécurité de l'environnement informatique et prévention des

menaces

5. Exigences et solutions de sécurité du centre de gestion

4 Huawei Confidential
Aperçu des menaces pour la sécurité des réseaux
d'entreprise (1/2)
⚫ Les entreprises sont confrontées à des menaces de sécurité internes et externes. La figure suivante
montre une architecture typique de réseau d'entreprise.
Vecteur
Attaques DDoS Virus
Routeur

AntiDDoS ATIC
Pare-feu

IPS
Contour Hôte bastion
Serveur UMA
Web Commutateur central
iMaster NCE
Serveur
d'e-mail
Commutateur d'accès

Zone Zone
d'employés 1 d'employés 2 Environnement
Environnement informatique
informatique
(zone du serveur) Centre de gestion
(Zone bureaux)

5 Huawei Confidential
Aperçu des menaces pour la sécurité des réseaux
d'entreprise (2/2)
⚫ Les entreprises prennent généralement des mesures de gestion et des mesures techniques pour éviter les risques de
sécurité. En termes de gestion, les entreprises formulent généralement diverses réglementations en matière de
sécurité, des exigences d'exploitation et maintenance (O&M) ou des processus d'urgence pour améliorer la
sensibilisation des employés à la sécurité.
⚫ La sensibilisation à la sécurité constitue la base de toutes les mesures de défense. Une formation régulière de
sensibilisation à la sécurité pour tous les employés et des règles et règlements clairs en matière de sécurité peuvent
aider les entreprises à prévenir les violations de l'information ou d'autres événements liés à la sécurité de
l'information causés par des erreurs de manipulation.
⚫ Pour se défendre contre les menaces à la sécurité du réseau, les ingénieurs d'entreprise divisent le réseau en
différentes zones en fonction des sources de menaces.

Architecture des
Environnement Centre de
réseaux de Contour
informatique gestion
communication

Zone de réseau d'entreprise

6 Huawei Confidential
 Table des matières

1. Aperçu des menaces pour la sécurité des réseaux d'entreprise

2. Exigences et solutions en matière de sécurité des réseaux de communication

3. Menaces pour la sécurité des contours de la zone et prévention des menaces

4. Menaces pour la sécurité de l'environnement informatique et prévention des

menaces

5. Exigences et solutions de sécurité du centre de gestion

8 Huawei Confidential
Exigence 1 : Fiabilité de l'architecture réseau
⚫ À partir d'une protection classifiée de niveau 3 Internet
(protection supervisée), l'architecture du réseau de
communication sécurisé doit prévoir une Routeur A Routeur B

redondance matérielle des lignes de communication,

des principaux dispositifs de réseau et des principaux
Pare-feu A Pare-feu B
dispositifs informatiques afin de garantir la Maître Sauvegarde

disponibilité du système.
⚫ En tant que dispositifs clés à la sortie d'un réseau Commutateur A Commutateur B

d'entreprise, les pare-feu doivent être très fiables,

non seulement en termes de lignes mais aussi en
termes de dispositifs. La figure de droite illustre la Hôte A Hôte B
Trafic de l'hôte A
vers Internet
mise en réseau à haute fiabilité des pare-feu. Réseau interne Trafic de l'hôte B
vers Internet

9 Huawei Confidential
Exigence 2 : Isolation de zone
⚫ Les ressources du réseau d'entreprise ne peuvent pas être directement exposées au réseau public afin d'éviter les attaques depuis
Internet. En outre, des utilisateurs non autorisés sur Internet peuvent utiliser le balayage des adresses IP ou d'autres méthodes pour
sonder le réseau d'entreprise afin de lancer d'autres attaques.

⚫ En général, un pare-feu est déployé à la sortie du réseau. Le pare-feu isole le réseau interne du réseau externe en divisant le réseau
connecté en différentes zones de sécurité. La technologie de traduction d'adresses de réseau (NAT) est déployée sur le pare-feu pour
masquer dans une certaine mesure les adresses IP internes et protéger ainsi le réseau interne.
Trust Untrust
Adresse IP Adresse IP de
Adresse IP Adresse IP de
source destination
source destination Chemin de transmission des
paquets de données 200.10.10.2 200.1.2.3
192.168.1.1 200.1.2.3

192.168.1.254 200.10.10.1
Internet
PC Pare-feu Serveur Web
Commutateur
192.168.1.1/24 200.1.2.3

Tableau de mappage NAT

Adresse IP privée : numéro de port Adresse IP publique : numéro de port

192.168.1.1 : 10321 200.10.10.2 : 1025

10 Huawei Confidential
Exigence 3 : Confidentialité des informations
⚫ Une entreprise a des employés en voyage d'affaires, ou une grande entreprise a plusieurs succursales. Lorsque des
données sont transmises entre un employé en voyage d'affaires et le siège social (HQ) ou entre une succursale et le
HQ via l'Internet non sécurisé, les données peuvent être volées ou altérées pour les raisons suivantes :
 La transmission des données de l'entreprise n'est pas cryptée ou le niveau de cryptage est insuffisant.
 Attaque de l'intercepteur : Un auteur de l'attaque établit une connexion indépendante avec chacun des deux interlocuteurs et
échange les données reçues. De cette façon, les deux parties de la communication considèrent qu'elles communiquent l'une avec
l'autre par une liaison privée. En fait, la session entière est complètement contrôlée par l'auteur de l'attaque. Dans le cas d'une
attaque de l'intercepteur, l'auteur de l'attaque peut intercepter tous les paquets circulant entre les deux parties de la
communication et en insérer de nouveaux.

Filiale
Auteur de d'entreprise
l'attaque

HQ de Internet
l'entreprise
Employé en
voyage
d'affaires
11 Huawei Confidential
Solution de sécurité pour la confidentialité des informations
⚫ En raison de l'ouverture d'Internet, la sécurité de la transmission de données entre une entreprise et ses succursales
ne peut être garantie. C'est à ce niveau que la technologie de réseau privé virtuel (VPN) entre en jeu. Cette
technologie peut être utilisée pour établir des tunnels de transmission sécurisés et fiables sur Internet. Les
entreprises possédant une grande puissance économique et des exigences élevées en matière de sécurité et de
fiabilité peuvent acheter des lignes privées auprès d'opérateurs pour répondre aux besoins d'interconnexion entre le
HQ et les succursales.
⚫ Les employés en voyage d'affaires peuvent utiliser L2TP par IPsec ou VPN SSL pour accéder en toute sécurité au
réseau d'entreprise.

Filiale
d'entreprise

IPsec VPN
HQ de Internet
l'entreprise

L'IPsec VPN peut chiffrer les Employé en voyage

données pour assurer la d'affaires
sécurité de transmission.

12 Huawei Confidential
 Table des matières

1. Aperçu des menaces pour la sécurité des réseaux d'entreprise

2. Exigences et solutions en matière de sécurité des réseaux de communication

3. Menaces pour la sécurité des contours de la zone et prévention des menaces

4. Menaces pour la sécurité de l'environnement informatique et prévention des

menaces

5. Exigences et solutions de sécurité du centre de gestion

13 Huawei Confidential
Menace 1 : Attaque DDoS
⚫ Lors d'une attaque DDoS, un auteur d'attaque contrôle un grand nombre d'hôtes zombies pour envoyer un grand
nombre de paquets d'attaque à la cible de l'attaque. En conséquence, les liens du réseau où réside la cible de
l'attaque sont encombrés, les ressources du système sont épuisées et la cible de l'attaque ne peut pas fournir de
services aux utilisateurs autorisés.
⚫ Certains concurrents malveillants peuvent lancer des attaques DDoS, causant d'importantes pertes économiques
aux entreprises légitimes. Par exemple, des attaques DDoS sont lancées sur des plateformes d'achat en ligne
pendant les fêtes du shopping.

Auteur de Serveur de Routeur Cible de l'attaque

l'attaque raccourcis
Contrôle du trafic
Hôte zombie
Trafic d'attaque

14 Huawei Confidential
Types d'attaques DDoS
⚫ Les attaques DDoS peuvent être classées en inondation TCP, inondation UDP, inondation ICMP, inondation HTTP et
inondation GRE en fonction des types de paquets d'attaque.
Type Répartition des types d'attaques au T2 2021
Description
d'attaque
HTTP, 1.28%
Les attaques DDoS lancées à l'aide de TCP, telles que GRE, 1.63%
Inondation
l'inondation SYN, l'inondation SYN+ACK, l'inondation
TCP TCP, 13.42%
ACK et l'inondation FIN/RST.

Inondation Les attaques DDoS lancées à l'aide d'UDP, telles que

UDP les attaques par inondation UDP et par fragment UDP.

Un auteur d'attaque envoie un grand nombre de

Inondation paquets ICMP dans un court laps de temps pour casser
ICMP le réseau, ou envoie des paquets surdimensionnés pour SYN, 23.67%
encombrer les liens du réseau.

Inondation Les attaques HTTP de type « innondation » ou « faible

UDP, 60%
HTTP taux » sont lancées via une interaction HTTP.

Les paquets GRE sont utilisés pour lancer des attaques UDP SYN TCP GRE HTTP
Inondation DDoS. Lors d'une attaque DDoS, les paquets GRE sont
GRE décapsulés pour consommer les ressources Source des données : kaspersky securelist-
informatiques de la cible de l'attaque. attaques DDoS au T2 2021

15 Huawei Confidential
Défense contre les attaques DDoS
Défense contre les attaques d'innondation SYN via l'authentification
⚫ Les dispositifs anti-DDoS utilisent différents modes, de la source (sources falsifiées)
tels que l'authentification de la source et la Auteur de l'attaque Pare-feu Serveur cible
limitation du trafic, pour se défendre contre
différents types d'attaques DDoS. La figure de
SYN
droite montre le mécanisme de défense contre le SYN+ACK
SYN flood via l'authentification de la source. SYN
SYN+ACK
⚫ Les auteurs d'attaques envoient des paquets SYN … Active l'authentification de la source lorsque
SYN le nombre de paquets SYN vers la même
avec des adresses sources falsifiées aux hôtes pour destination dans une période spécifique
SYN+ACK dépasse le seuil prédéfini.
lancer une inondation SYN. Les hôtes répondent
SYN+ACK : Un paquet avec un numéro
par des paquets SYN+ACK aux adresses sources, d'accusé de réception correct est renvoyé.
mais ne reçoivent pas de paquets ACK. En Hôte réel
conséquence, les hôtes conservent de nombreuses
SYN SYN+ACK : Un paquet avec un numéro
connexions semi-ouvertes jusqu'à l'expiration des
SYN+ACK d'accusé de réception correct est renvoyé.
connexions. Ces connexions semi-ouvertes épuisent ACK : L'authentification réussit et l'adresse IP
ACK source de l'hôte est sur la liste de confiance.
les ressources de l'hôte. Par conséquent, l'hôte ne
RST L'adresse IP source figure dans la liste de
parvient pas à établir de connexions TCP. SYN confiance et est fiable.

16 Huawei Confidential
Menace 2 : Attaque à paquet unique
⚫ Contrairement aux attaques DDoS qui provoquent une congestion du réseau ou consomment des ressources
système, les attaques à paquet unique sont lancées par l'envoi de paquets malformés afin que les hôtes ou les
serveurs tombent en panne lors du traitement de ces paquets, ou par l'envoi de paquets de contrôle spéciaux ou de
paquets d'analyse pour sonder la structure du réseau avant de lancer de véritables attaques.

Un auteur d'attaque utilise des paquets ICMP pour sonder l'adresse IP cible afin de déterminer
Attaque
quels systèmes cibles sont vivants et connectés au réseau cible. Alternativement, l'auteur
par
balayage d'attaque scanne les ports pour sonder les ports ouverts de l'objet attaqué et déterminer le
mode d'attaque.

Attaque Un auteur d'attaque envoie un grand nombre de paquets malformés à un hôte ou à un serveur.
par paquet En conséquence, l'hôte ou le serveur tombe en panne lors du traitement de ces paquets. Les
malformé attaques typiques sont les attaques Teardrop, Smurf et Land.

Attaque Un comportement d'attaque potentiel qui n'endommage pas directement le réseau. Un auteur
par paquet
d'attaque envoie des paquets de contrôle spéciaux pour sonder la structure du réseau et
de
contrôle préparer les attaques suivantes. Les attaques typiques comprennent les attaques de contrôle de
spécial paquets ICMP ultra-grands et les attaques de contrôle de paquets IP.

17 Huawei Confidential
Défense contre les attaques à paquet unique
⚫ Les pare-feu offrent la fonction de défense contre les attaques à paquet unique pour se défendre efficacement
contre les attaques par balayage, les attaques par paquet malformé et les attaques par contrôle spécial de paquet.
⚫ Les mécanismes des attaques par paquet unique sont différents, et les mécanismes de défense des pare-feu sont
également différents. Les paragraphes suivants décrivent le mécanisme d'initiation des attaques par balayage
d'adresses ainsi que le mécanisme de défense contre ces attaques.
Paquet ICMP Adresse Adresse de
source destination
10.0.0.1 10.0.0.2
Sur le pare-feu, définissez le seuil du
10.0.0.1 10.0.0.3 nombre de paquets ICMP (Taux) envoyés
10.0.0.1 10.0.0.4 depuis la même adresse IP source vers
… différentes adresses de destination par
seconde.
Réseau interne d'une
Si le Taux est plus petit que le seuil, les entreprise
Auteur de l'attaque paquets sont autorisés.
Si le Taux est supérieur au seuil, l'adresse IP
Déterminer les nœuds de source est mise sur liste de blocage et les
dispositif sur le réseau paquets sont rejetés.
cible en fonction des
paquets de réponse.

18 Huawei Confidential
Menace 3 : Comportement incontrôlé de l'utilisateur
⚫ 70 % des incidents liés à la sécurité de l'information sont dus à des erreurs de manipulation des employés internes ou à une
sensibilisation insuffisante à la sécurité. Outre la sensibilisation des employés à la sécurité, les entreprises doivent gérer et contrôler
le comportement des employés en matière d'accès à Internet au niveau technique. iMaster NCE peut être utilisé pour gérer et
contrôler les droits d'accès des utilisateurs, et la fonction de filtrage du contenu du pare-feu peut être utilisée pour gérer et contrôler
le comportement en ligne des utilisateurs.
Contrôle des
Trust comportements Untrust
Apprentissage et
Violence Virus Violation des HTTP et FTP noms de
du jeu informations domaine valides 1 Filtrage d'URL
1 3 4 6 2 2 Filtrage DNS
Département R&D
Serveur de 3 Filtrage de fichier
Pare-feu
Internet fichiers
4 Filtrage de contenu
5 Filtrage des courriers
5 5
6 Contrôle du
Contrôle de l'envoi Restriction de comportement des
Secret et de la réception la taille des Serveur Web
Service des ventes applications
d'e-mails pièces jointes

DMZ
Serveur de Serveur de
Réseau interne d'une entreprise messagerie fichiers Réseau externe

19 Huawei Confidential
Menace 4 : Intrusion dans un réseau externe
⚫ Tant que le réseau interne d'une entreprise est connecté à un réseau externe, il est vulnérable aux attaques
externes, telles que les virus, les injections SQL et les attaques DDoS.

Type d'intrusion Description

Un type de code malveillant qui peut infecter ou
s'attacher à des applications ou des fichiers. Il se propage
par le biais des protocoles de courrier électronique ou de
Virus partage de fichiers et menace la sécurité des hôtes et des
réseaux des utilisateurs. Les virus peuvent se répliquer,
mais ils doivent être activés manuellement en ouvrant Internet
des fichiers infectés ou en activant des macros.
Dans les attaques par injection SQL, les attaquants
construisent des entrées spéciales comme paramètres et
les transfèrent aux applications web. La plupart des
Injection SQL entrées sont une combinaison de syntaxe SQL. En Réseau interne d'une entreprise
détruisant la logique originale des instructions SQL, les
attaquants peuvent effectuer les opérations souhaitées.
Auteur de
L'injection SQL est une vulnérabilité web à haut risque.
l'attaque
Dans les attaques DDoS, les attaquants envoient un
grand nombre de paquets de données pour surcharger
Attaque DDoS
les dispositifs cibles. En conséquence, la bande passante
du réseau ou les ressources du dispositif sont épuisées.
Intrusion de virus

21 Huawei Confidential
Prévention des intrusions et protection de sécurité
⚫ La fonction de prévention des intrusions des pare-feu détecte et
analyse tous les paquets qui passent et détermine s'il faut autoriser
Base de données
ou bloquer les paquets en temps réel. Les dispositifs IPS peuvent de signatures
également être utilisés pour se défendre contre les intrusions dans le Serveur de messagerie
réseau.
Mise à jour/personnalisation
⚫ Les pare-feu et les dispositifs IPS sont généralement déployés à la
Pare-feu Réseau interne
sortie du réseau pour se défendre contre les menaces provenant Internet d'une entreprise
d'Internet. Détecter
⚫ Les pare-feu et les dispositifs IPS sont équipés du module de fonction
de prévention des intrusions. Ce module compare le trafic passant Serveur Web

par les pare-feu et les dispositifs IPS avec la base de données de

signatures chargée, et traite le trafic en fonction du niveau de risque.
Trafic normal
La base de données de signatures est une collection de signatures. (autorisation)
Trafic anormal
⚫ Signature : décrit les caractéristiques du comportement de l'intrusion (contrôle)
sur le réseau et les actions à entreprendre par un dispositif.

22 Huawei Confidential
 Table des matières

1. Aperçu des menaces pour la sécurité des réseaux d'entreprise

2. Exigences et solutions en matière de sécurité des réseaux de communication

3. Menaces pour la sécurité des contours de la zone et prévention des menaces

4. Menaces pour la sécurité de l'environnement informatique et prévention des

menaces

5. Exigences et solutions de sécurité du centre de gestion

23 Huawei Confidential
Vulnérabilité du logiciel du terminal
⚫ Les logiciels des terminaux sur le réseau interne d'une entreprise présentent des vulnérabilités, qui peuvent être
exploitées par des auteurs d'attaques. Peu importe que les virus proviennent du réseau interne ou externe, une fois
qu'un terminal du réseau interne est infecté par des virus, ces derniers se propagent horizontalement en fonction
des relations de confiance entre les appareils du réseau interne. En conséquence, un grand nombre de terminaux du
réseau interne sont infectés.
⚫ Vulnérabilités et expositions communes (CVE) est une plateforme de divulgation des vulnérabilités. Elle propose des
IDs en tant que chaîne de caractères caractéristiques des vulnérabilités.

Une vulnérabilité du logiciel VM

Le célèbre ransomware WannaCry
exploite les vulnérabilités du système
d'exploitation (OS) Windows pour
lancer des attaques. De nombreuses
victimes peuvent ne pas installer les
correctifs à temps. En conséquence, elles
sont attaquées par des virus et les
fichiers de leurs ordinateurs sont
cryptés.
Une vulnérabilité connue dans MSHTML
récemment divulguée peut être utilisée
est exploitée par un groupe de
pour endommager le programme de
ransomware pour infecter les victimes
gestion VM et sanctionner les DoS.
avec des publicités malveillantes et
Cette vulnérabilité peut être facilement
chiffrer leurs appareils. Les auteurs
exploitée par des auteurs d'attaques
d'attaques peuvent également exploiter
disposant de permissions élevées. Une
cette vulnérabilité pour envoyer des
fois les autorisations obtenues,
pièces jointes WinWord malveillantes
l'environnement VM peut être suspendu
aux utilisateurs de Windows.
ou fréquemment interrompu.

24 Huawei Confidential
Méthodes de traitement des vulnérabilités des logiciels de
terminaux
⚫ Installer en temps utile les correctifs pour les logiciels système et les logiciels d'application des terminaux du réseau d'entreprise, et
installer des logiciels antivirus.
⚫ La solution de contrôle d'admission au réseau (NAC) est utilisée pour vérifier la sécurité des terminaux du réseau d'entreprise et des
terminaux externes et empêcher les terminaux non autorisés d'accéder au réseau.
⚫ Utiliser des outils d'analyse de vulnérabilité pour analyser les réseaux d'entreprise et évaluer les risques liés à la sécurité de
l'information. Détecter et corriger les vulnérabilités des dispositifs du réseau en temps utile.
⚫ Effectuez des tests de pénétration, faites appel à des professionnels pour évaluer la sécurité des systèmes du réseau d'entreprise et
prenez des mesures d'amélioration ciblées.

Déterminer la Collecter les Détecter les Exploiter les

Démarrer informations
cible vulnérabilités vulnérabilités

Rédiger des Pénétrer dans

Supprimer les Entrer dans le
Fin rapports de le réseau
traces réseau interne
test interne
Processus général de test de pénétration

25 Huawei Confidential
 Table des matières

1. Aperçu des menaces pour la sécurité des réseaux d'entreprise

2. Exigences et solutions en matière de sécurité des réseaux de communication

3. Menaces pour la sécurité des contours de la zone et prévention des menaces

4. Menaces pour la sécurité de l'environnement informatique et prévention des

menaces

5. Exigences et solutions de sécurité du centre de gestion

26 Huawei Confidential
Exigence 1 : Contrôle des autorisations de l'administrateur
⚫ Dans certains cas, les employés de l'entreprise peuvent adopter des comportements qui mettent en danger la
sécurité des informations de l'entreprise en raison de conflits d'intérêts ou d'insatisfaction. Par exemple, ils volent
les données confidentielles de l'entreprise ou endommagent son infrastructure réseau.

Poussé par des intérêts dans les devises
virtuelles, un employé d'une entreprise a
exploité les ressources informatiques des
serveurs de l'entreprise pour mener des
activités de minage et a gagné des
centaines de milliers de CNY. Le
comportement de l'employé a été révélé
et sanctionné par des lois. Cependant, les
ressources du serveur de l'entreprise ont
été détournées, affectant le
fonctionnement normal des services.
Un employé d'une entreprise a
malicieusement endommagé
l'environnement de production en ligne de
l'entreprise en raison de son statut mental
personnel et de raisons de vie.
L'environnement de production et les
données ont été gravement endommagés, et
les intérêts de l'entreprise et de ses clients
ont également été gravement compromis.
Finalement, l'employé a été sanctionné par
des lois.
Poussé par ses intérêts, un employé
d'une entreprise a volé des informations
confidentielles de l'entreprise en prenant
des photos ou en envoyant des e-mails à
des comptes de messagerie externes
avant de démissionner. L'employé a
finalement été sanctionné par des lois.

27 Huawei Confidential
Solution : Contrôle des autorisations de l'administrateur
⚫ Les éventuels comportements à risque des employés des entreprises en matière de sécurité de l'information peuvent
être traités sous deux aspects : la technologie et la gestion.
⚫ Technologie
 Gestion plus stricte des autorisations : Des comptes avec des autorisations différentes sont définis pour les employés de
l'entreprise à différents niveaux. L'autorisation d'exploitation et maintenance (O&M) doit respecter le principe de l'autorisation
minimale. Par exemple, l'UMA peut être utilisé pour contrôler de manière centralisée les autorisations d'exploitation et
maintenance (O&M) des administrateurs et surveiller les comportements des administrateurs.
 Mécanisme de sauvegarde plus fiable : Si l'environnement de production et les données sont endommagés, les données peuvent
être rapidement restaurées pour minimiser la perte.
⚫ Gestion
 Publiez fréquemment des cas de sécurité de l'information dans les entreprises pour améliorer la sensibilisation des employés à la
sécurité.
 Le système de contrôle d'accès peut être utilisé dans des zones présentant des exigences de sécurité élevées.
 Prêter attention au statut professionnel et privé des employés et fournir une aide psychologique en temps utile pour prévenir les
risques de sécurité de l'information causés par des problèmes psychologiques.

28 Huawei Confidential
Exigence 2 : Contrôle des autorisations d'accès à Internet
⚫ Outre les risques de sécurité liés aux réseaux externes, les
risques de sécurité liés aux réseaux internes des entreprises
augmentent. L'accès non autorisé aux réseaux de l'entreprise
peut causer des dommages aux systèmes de service et une
violation des actifs d'information clés.
 Les utilisateurs malveillants peuvent endommager ou voler des
informations après avoir accédé au réseau.
 Si un terminal qui accède au réseau interne d'une entreprise est
infecté par des virus, ces derniers peuvent se propager sur le réseau.

⚫ Nous pouvons faire face aux accès non autorisés sous deux
aspects : la technologie et la gestion.
 Technologie : Utilisez la solution NAC.
 Gestion : Une gestion administrative stricte est effectuée sur le
personnel entrant et sortant de l'entreprise.

29 Huawei Confidential
Solution : Contrôle des autorisations d'accès à Internet (1/2)
⚫ Pour empêcher les accès non autorisés, Huawei
fournit la solution NAC pour mettre en œuvre le
Terminal Dispositif Système de
contrôle de sécurité sur les utilisateurs d'accès. Seuls NAS serveur
les utilisateurs autorisés et les terminaux sécurisés 802.1X/Portail

peuvent accéder au réseau. Terminal Serveur de contrôle

câblé d'accès
⚫ La solution propose les fonctions suivantes :
MAC Réseau
 Authentification d'identité : Authentifier l'identité des d'entreprise
Terminal
utilisateurs qui tentent d'accéder au réseau d'entreprise. passif Base de données
de correctifs/de
Seuls les utilisateurs autorisés peuvent accéder au réseau.
802.1X/Portail virus/serveur de
logiciels
 Contrôle d'accès : Les utilisateurs sont précisément
appariés en fonction de leur identité, de l'heure et du lieu
Terminal
d'accès, du type de terminal et du mode d'accès, afin de sans fil Serveur de service
contrôler les ressources auxquelles ils peuvent accéder.
 Contrôle de sécurité du terminal : Seuls les terminaux
sains et sécurisés peuvent accéder au réseau.

30 Huawei Confidential
Solution : Contrôle des autorisations d'accès à Internet (2/2)
⚫ Les approches de gestion peuvent être utilisées pour réglementer l'entrée des
employés dans l'entreprise et contrôler strictement l'entrée du personnel
externe.
Internet
 Les visiteurs doivent s'inscrire à l'avance et présenter des certificats valides avant Isolation entre le
d'entrer dans l'entreprise. réseau invité et le
réseau du bureau
 Employer du personnel de sécurité et utiliser des équipements de sécurité pour contrôler
Routeur
l'entrée des visiteurs et des véhicules.

 Le système de contrôle d'accès peut être utilisé dans les zones importantes de
l'entreprise pour empêcher le personnel non autorisé de pénétrer dans ces zones. Point d'accès
 Il est interdit d'insérer des dispositifs de stockage tels que des clés USB dans des
appareils tels que des ordinateurs sans autorisation. Wi-Fi de bureau Wi-Fi invité
Employé XX Invité XX
⚫ Créez un réseau invité auquel les utilisateurs externes pourront accéder. Le
réseau invité est isolé du réseau du bureau de l'entreprise pour éliminer les
risques de sécurité.
Employés d'entreprise Invités

31 Huawei Confidential
 Quiz
1. (Question à réponse unique) Laquelle des fonctions de filtrage des données suivantes peut empêcher
les employés de divulguer leurs informations d'identité sur Internet ? ( )

A. Filtrage des courriers

B. Filtrage de fichier

C. Filtrage d'URL
D. Filtrage de contenu
2. (Vrai ou faux) Même si le trafic illégitime est filtré par l'authentification de la source, le trafic destiné
au serveur cible est toujours lourd. Dans ce cas, une limitation du trafic peut être effectuée pour
protéger le serveur cible. ( )

A. Vrai
B. Faux

32 Huawei Confidential
 Sommaire
⚫ Ce cours présente brièvement les types et les sources de menaces courantes pour la sécurité
de l'information, décrit les principes et les impacts des différentes attaques, et décrit les
contre-mesures et les solutions pour les différentes menaces.
⚫ À l'issue de ce cours, vous serez en mesure d'avoir une compréhension globale des menaces
à la sécurité et de poser les bases d'une étude plus approfondie.

33 Huawei Confidential
 Recommandations
⚫ Sites Web officiels de Huawei
 Service d'entreprise : https://e.huawei.com/en/
 Assistance technique : https://support.huawei.com/enterprise/en/index.html
 Apprentissage en ligne : https://learning.huawei.com/en/

34 Huawei Confidential
Acronymes et abréviations

Sigle et abréviation Nom complet

AntiDDoS Anti attaque par déni de service
ATIC Système de contrôle et d'inspection du trafic anormal
CVE Vulnérabilités et expositions communes
DMZ Zone démilitarisée
DoS Déni de service
GRE Encapsulation de routage générique
IPS Système de prévention des intrusions
IPsec Sécurité de protocole Internet
L2TP Protocole de tunnellisation de couche 2
NAC Contrôle d'admission au réseau
SSL Secure Sockets Layer
UMA Audit de maintenance unifiée

35 Huawei Confidential
Thank you. 把数字世界带入每个人、每个家庭、
每个组织，构建万物互联的智能世界。
Bring digital to every person, home, and
organization for a fully connected,
intelligent world.

Copyright© 2023 Huawei Technologies Co., Ltd.

All Rights Reserved.

The information in this document may contain predictive

statements including, without limitation, statements regarding
the future financial and operating results, future product
portfolio, new technology, etc. There are a number of factors
that could cause actual results and developments to differ
materially from those expressed or implied in the predictive
statements. Therefore, such information is provided for reference
purpose only and constitutes neither an offer nor an acceptance.
Huawei may change the information at any time without notice.