QUIZ S5L1-L2

 
(12 points possibles)
LE CONTEXTE
Vous venez d’être nommé RSSI d’une petite banque d’investissement. Celle-ci est
composée de 100 utilisateurs, regroupés sur un seul site. L’essentiel de son
activité se fait au sein de la salle de marché, un open-space de 25 personnes.
Cette activité représente l’unique valeur métier de l’entreprise et elle est donc
considérée comme critique.

Les besoins de sécurité pour cette salle de marché sont les suivants :

 Confidentialité : Les opérations d’investissement ne doivent pas fuiter de

la salle.

 Intégrité : Personne ne doit être en mesure d’altérer les opérations.

 Disponibilité : Les opérations doivent pouvoir être réalisées sans délai,

24h/24. A noter que ces opérations se font sur un site Internet sécurisé.
Notez que les flux critiques de la salle des marchés sont des flux permettant de
réaliser des opérations financières sur des sites Internet distants. Notez
également le vocabulaire utilisé par la suite : un « opérateur » fait partie du
personnel qui travaille au sein de la salle des marchés, contrairement à un «
utilisateur simple » qui travaille en dehors de la salle des marchés.

Pour sécuriser la salle de marché, la banque a également mis en place un

système de contrôle d’accès par badge qui est mis en œuvre par un serveur de
contrôle d’accès. Il est primordial que seul le personnel autorisé ait accès à cette
salle. Ce système est géré par les 2 administrateurs de la banque.

Il y a un accès Internet mutualisé pour tous les utilisateurs, protégé par un pare-
feu externe. Tous les utilisateurs sont dans un sous-réseau unique :
192.168.0.0/24. Tous les utilisateurs doivent pouvoir accéder à la messagerie
interne de l’entreprise ainsi qu’à Internet.

La messagerie ne transporte pas d’informations confidentielles mais elle a un

besoin de disponibilité important, notamment en cas de crise.

Il y a seulement 2 administrateurs pour tout le SI. Ceux-ci administrent tous les

équipements (serveurs, commutateurs réseaux, etc.) depuis leur poste
bureautique.
L’authentification des utilisateurs sur les postes est gérée par un serveur
annuaire unique.

Le schéma des flux réseaux (non exhaustif) est présenté sur la figure 1.

QUIZ DE LA LEÇON S5L1

S5.L1-L2.1. Quels sont les flux critiques pour le business de l’entreprise ?

 Les flux d’opérations de la salle des marchés  Les flux de messagerie  

Tous les flux en provenance de la salle de marché  Les flux de contrôle d’accès
(accès par badge)
- sans réponse
S5.L1-L2.2. Quels sont les découpages en zones de sécurité qui vous semblent
répondre le mieux aux besoins de sécurité évoqués ?

 Solution A :
 Solution B :

 Solution C :
- sans réponse
S5.L1-L2.3. Quel est l’intérêt de mettre en place un pare-feu interne ?

 Pour centraliser les journaux syslog  Pour filtrer les flux internes au réseau
de l’entreprise  Pour réaliser un routage entre les différents vlan définis  
Pour intercepter, déchiffrer et analyser les flux https à destination d’Internet
- sans réponse
S5.L1-L2.4. Quels sont les flux de la figure 2 à autoriser entre la zone salle des
marchés et la zone serveur ?
  Annuaire, Mail, Web  Annuaire  Annuaire, Mail  Annuaire, FTP
- sans réponse
S5.L1-L2.5. Les utilisateurs de la salle des marchés se plaignent de lenteurs pour
accéder au site Internet leur permettant de réaliser les opérations financières.
Un nouveau lien Internet est commandé. Quelle architecture vous semble la plus
sécurisée pour répondre aux besoins de sécurité de ces flux, dont le besoin de
disponibilité ?

 Solution A

 Solution B
 Solution C

 Solution D
- sans réponse
QUIZ DE LA LEÇON S5L2
S5.L1-L2.6. Des soupçons d’écoute sur votre réseau interne en dehors de la salle
de marché par des utilisateurs malveillants vous sont remontés. Comment
protéger en confidentialité et en intégrité les flux critiques de la salle des
marchés ?

 Par la mise en place d’une sonde de détection  Par la mise en place d’un
tunnel VPN IPsec entre le réseau de la salle des marchés et le pare-feu externe
en frontal d’Internet.  En activant les fonctions d’anti-spoofing ARP sur les
commutateurs réseaux.  Par la mise en place d’une authentification 802.1x sur
le réseau interne.
- sans réponse
S5.L1-L2.7. Dans le cadre de la mise en place d’un système de détection, où est-
ce que vous positionneriez les sondes ?

 Solution A
 Solution B

 Solution C
  Solution D

- sans réponse
S5.L1-L2.8. Vous devez mettre en place une infrastructure d’administration au
sein de votre SI. Quelles sont les mesures techniques à proposer ?

 Mettre en place un bastion d’administration dans votre réseau bureautique

pour protéger l’accès au réseau d’administration  Mettre en place un poste
d’administration dédié, et déconnecté d’Internet  Configurer une interface
dédiée à l’administration sur chaque serveur et équipement réseau  
Désactiver les protocoles non sécurisés (telnet, rlogin, etc.)
- sans réponse
S5.L1-L2.9. Un utilisateur de la salle de marché doit, pour des raisons de santé,
travailler depuis chez lui pendant quelques mois. Quelle architecture vous
semble la plus sécurisée ?

 Solution A

 Solution B
 Solution C
  Solution D

- sans réponse
S5.L1-L2.10. Votre réseau de contrôle d’accès (physique) était jusqu’à présent
isolé de votre réseau bureautique, ce qui est une bonne pratique. Une nouvelle
demande de la direction vous impose l’ajout de photos sur les nouveaux badges
créés par l’application de gestion des contrôles d’accès. Ces photos ne peuvent
être situées que sur un nouveau serveur de fichiers qui doit être accessible en
lecture/écriture par les utilisateurs (contrainte organisationnelle).

Quelle architecture vous semble protéger le mieux votre SI de contrôle d’accès ?

 Solution A
 Solution B

 Solution C
  Solution D

- sans réponse
S5.L1-L2.11. Dans la Figure 3 ci-dessous, combien de DMZ seraient pertinentes
au vu des besoins d’accès évoqués dans l’explication du contexte ?
  0  1  2  3
- sans réponse
S5.L1-L2.12. Parmi ces schémas, lequel vous semble correspondre le mieux aux
bonnes pratiques recommandées pour administrer les serveurs du SI ?

 Solution A

 Solution B
 Solution C

 Solution D
- sans réponse