curiser l'acces ifier Uefficacité + Gerer les accis et les privléges + Authentitiation, privilages et habiltations appropriés es utlisateurs: principes et techniques + Verifier etfcacté de la protection + Gestion des drvits w'accés aux données principes et techniques «Sécurité des communications numériques rile des protocoles, segmentation, administration, restriction physique et lagique + Obligations légales de notification en cas de fall sécurité Le directeur de la MSAP, M. Brillat, est inquiel. Récem- _C’est pourquol M. Hiram, responsable de la DSI, vous ‘ment, des données du partenaire Enedis ~ qui étaient _ demande daméliorer la gestion des sessions utilisateurs, stockées sur le serveur de fichiers ~ ont été rendues _ainsi que I'organisation des droits d’accés aux données. accessibles a d’autres utilisateurs, malgré es restrictions appliquées. dea 107Les collaborateurs de la MSAP penwvent arcéder aux services applicatifs du SI, aprés authentification. Ils ‘ont notamment la possiblité de stocker leurs données surle serveur de fichiers mis & leur disposition. Pour cela, ils disposent chacun d'un répertoire personnel. ‘Malgré cela, des pertes de données ont été constatées récemment. M. Brillat a besoin de savoir sila politique de sécurisation ~ basée sur un systéme d"habilitation et d'attribution de priviléges qui tient compte du role de chaque utilisateur du SI - est efficace. Vous étes chargé(e) d'effectuer un relevé d'infor- mations en observant les différentes configurations administrées, Vous réalisez un diagnostic de la pertinence des différentes stratégies de sécurisation des acces aux données. Plus précicément, vous devrez, d'aprés vos observations, valider {a politique d'habititation et d'attribution des privileges aux utilisateurs, 'dentifiez les configurations qui présentent des risques pour la sécurité des données, > docum ‘Vos observations ont permis de mettre en évidence des failles dans les habilitations accordées aux utilisateurs du téécentre. Avant de proposer des solutions, vous décidez de vous intéresser & présent aux droits d'accés accordés pour les partages du serveur de fichiers. A partir des différentes informations que vous avez relevées, 1 ‘édigez une synthése des bonnes pratiques a adopter. > @ documents 3et 4 Indiquez quel autre probléme de sécurité pourrait étre provoqué par les priviléges accordés aux utilisateurs. Un des axes de votre mission consiste & proposer des solutions & M. Brillat pour garantir un contréle efficace de 'accés ain données. Pour cela, vous dever lui indiquer yuelles sont les bonnes configurations a effectuer sur les différents éléments qui constituent le SI de le MSAP. Précisez les préconisations & adopter quant a la segmentation du SI de la MSAP. >) Documen >Volr lexique BTS SIO, p. 221 TS SI0 ~Cybersécurit des services informatique © DELAGRAVE. La photocopienon autoDae CE) _ Rb oR peulltt Uauthentification des utilisateurs et accés aux données Les utilisateurs ne disposent pas de comptes lacanx. tls ne pewwent done pas ee connecter | directement une machine physique. Pour ouvrir une session, ils doivent s'identifier auprés de I'Active Directory (avec un identifiant et un mot de passe). Seul I'administrateur réseau, M. Jivon, posséde un compte administrateur pour l'ensemble du parc informatique. | Genet ta [hom Namcorgh Desciption | | > WE outs systéme Bi Administrateur Compte d’utilisateur d'edministrat, || Sts | Boi mpl utter eedinsat. | |; Ginter dete I ptacecun Compte ust géé pa lest | oan Be toi Compte d'utilssteur invite | | | = B onisnaue ergeupst| BNO nec | "23 Ubiestours i Groupes Document F Les privileges des utilisateurs du télécentre ‘Tous les utilisateurs de la MSAP appartiennent & un groupe qui leur donne des privileges au sein du domaine. Parfois, un groupe appartient 4 un groupe «parent» plus large, dont i hérite des privileges. VL _taapmome OLE Présentation du serveur de fichier Le serveur de fichiers représente la méme machine physique que I’ Active Directory. + [TF Cee y Diguc cca Fase Sur celui ci, chaque partenaire dispose d'un Be bureaw & dossier & son nom pour stocker ses données. 2p Empacemensrecen | ened by Teeehargements ints > Voir loxique BTS S10, p. 221110 Proprités de: PartapeTelecentio — ro ia as a a | | Pane’ { teeteonpiae) I Props de: Poragctelwcbe nl ne ama AT] [runes Creates Serta Shienesae MSAPpancse Sussmcs sesso | Repslreinen cent fe La segmentation physique et logique de infrastructure du S| ‘Un commutateur supplémentaire Pots 1-4: VLAN1O (commutateurSeg) est intégré, sur lequel seront reliés tous les com- mutateurs du LAN de la MSAP. Ports 5-8: VLAKZ0 oq Celui-ci sera connecté directement au routeur principal commutateur «commutateurTEL», sur lequel sont connectés tous les Postes de travail du télécentre. Port 48 Sur les autres commutateurs, différents VLANs sont également configurés pour segmenter le réseau local. Le serveur de fichiers appartient au VLAN 100 (sur le ‘commutateurSRY). Chaque VLAN posséde son propre sous-réseau IP avec, comme valeur sur le traisiéme octet, le numéro de VLAN. Exemple : VLAN 10 pour le VLAN ENEDIS : 192.168.10.0 /24 Des ragles de filtrages (Access List) seront configurées sur le routeur principal. a sex tl om Le schéma ci-contre présente le Pots 9-12: VLANI0 os - Se eure Coamutaousry | *+ Protocole 82.19 ~mede TRUNK. Rela commutateur« commustenSeg » Exemple : SenourPienes «le réseau 192.168.0.0 de masque /24 est autorisé ‘communiquer avec le réseau 192.168,100.0 de masque P24», Sur tin routeur Cisco, cotte phrase a¢ traduirait par le commande suivante : Permit 192.168.0.0 0.0.255.255 192,168.100.00.0.0.255, Pour qu’un réseau ne soit pas autorisé & communiquer avec un autre réseau, on utliserat le terme deny dans la commande précédente a la place de permit. > Voir lexique BTS Sio, 221© Missions Professionnelles B Vérifier Uefficacité dela Protection | M. Britlat a pris en compte vos précon | sations er charge | MJtvon de ies metre « £m ceuvre. I souhaite | 4 Présent savoir si » Ces nouvelles confi. Burations permertent Xéellement d'apporier Une meileure sécurits des données. 11 vous | demaude de ui fourier lune documentation Jui Petmetiant d'attester Tellicacité des protec. | tions mises en place | 2B documents 1 et 2 > @Fiches savoins Fechnutogiques 6 ¢t 7 Notre diagnostic montre Hag réelle pertinence des Configurations apportées aux Si, ‘cieux de tes renforcer, z ? 2 2 3 3 z = z 2 z 3 = z = = £ 2B documents 3 ot g > BiFiche savoirs techn wologiques 6 Tixés, Justtier votre réponse, 2B Documents 537 >DFiche savoirs technotogiques 7Nous dover accéder aux données figurant dans je ossior Enevis sur fe serveur de fichiers, [a connexion se fait d'abon ovse Te compte Enedis, puis avec fe compte Ms, ~ Connexion avee te compte Enedis — 4 ~ Connexion avee te compte Msa ecuinent [3 Cinstaltation applications Nous étes connecté(e) avec Hecompte reece ssn sree Enedis et vous souhaiter cation PUTTY (qui perm, dlistante sur un matériel a Sur Votre poste de travail iE‘cveewine non autorste est un da Document P3 Le serveur d’administ Vous avez effectué la mé: ‘me commani Yous Vous tes intéressé(e) au dossie a0 enedis 20 cy * Le routeur principal act: act “interface Gigabitzenerneto/0,10 encapsulation dotig 19 iP addzess 102.168.10.254 255.9 4p access-group cesry in Taterface Gigabitetheneto/0.29 encapsulation doti9 29 4p address 192,163,299 4p access-group ctsry in ' 4B access-list extended atery Pemnit

Dest. tP: 192.168.10.1 ICMP message vee: & Lever 2: Dotig Header bobo >= 0001.4231.€c03 [Laver 1: Port Gigabitethemet/o checks the pied ROre Nas an inbound trafic access-list with an 10 of ctsv. The dev shecks the packet against the access-list, } 7 packee 2 gtetmatches the criteria of the follwing statement: deny ip any any. The i Packet is denied and dropped COS SUretL Cetra Pinging 192.168.100.1 with 32 bytes of data bead dlbiiee i cae er ee Reply from 192.268.100.1 ere eC ee et a Caen LLCS an ee en eC ae eT eT eas Sai cai ee Approximate round trip ti cL eters pein ene i La commande tracert Commande réalisée a partir d’un poste Enedis vers un poste MSA Puis vers le serveur de fichiers, eae e CL Sina e e co od Cemetery 0 me etre iret LC ee formaiques © DELAGRAVE. Ee Co eat? a a eT Cee ee eee eee rece eC etre BTSSIO~ Cybersécurté des servicesBe Gérer les accés et les privileges appropriés > WFiches savoirs technotogiques 5 et 6 ‘ées au sein du St de la MSAP. Vous avez notamment proposé la modification des différents €léments d’habilitation et des droits d'acc’s. M. Jivon est intervenu pour la réalisation de ces modifications. Cependant, dans un souci de disponibilité des données, il souhaite | installer un second serveur de fichiers (a dentique du premier) pour remplacer le premior L en cas de dysfonctionnement ou de panne, 1. Préparez la machine virtuelle de tests {second serveur de fichiers) d'aprés les consignes. > Docume > Fiche méthode 3, p. 207 2. Créez les différents partages en relevant les chemins d'accés qui servent a définir un lecteur réseau pour chaque compte. >@oocuments 2et3 en vous appuyant sur les recommandations données. > Bdocuments 4 ot 5 i 4, Réalise? les tests, > Document 6 Document |‘), Consignes pour ta préparation de ta machine virtuelle de tests 1, Installer le role serveur de fichiers sur une machine virtuelle Windows 2012 R2. 2. Attribuer l'ensemble des privileges au compte Administrateur. 3. Créer des comptes Enedis, MSA, CLIC et TRESOR en local sur le serveur a’ Administrateur. Mot de passe pour chaque compte : MSAP,connect1920. 4. Valider la case & cocher «modifier le mot de passe & la premire connexion» pour chaque compte. [BS SiO~ Gybersécrit des services informatiques © DELAGRAVE_La photocoste hon autorhee os und ide du compte Document 2° Informations sur les dossiers de partage 1. Création d’un dossier nommé «partages» a la racine du lecteur C du serveur de fichiers. 2. Création des différents dossiers de partage pour chaque utilisateur précédemment admis A 'intérieur du dossier «partages». Chaque dossier de partage portera le méme nom que le compte associé. Document {:} Un exemple de partage sur un dossier Le compte test et le dossier correspondant. TESTS \\Desktop-579b371\tests ‘Vous avez fait plusieurs recommandations a M, Brillat pour améliorer la sécurité des don- | J 3. Définissez les autorisations et les ACL (liste de contréle d'accés) sur les partages > Voir texique BTS S10, p. 221 CHAPIIRE 5 + Séeurisertaccds aux ressources et verifier Uelticacité 18Un exemple de définition d'une autorisation sur un partage 2 Patage defies Aion pow FO Rae aS 1. Créer Vaccés au dossier (seul le compte portant le i see éme nom que le dossier peut accéder au dossier). ml ot [Sesetieies [femora | 2. Définir un contréle total sur les données (on | Neneetete: Cfetesee rests considlére que les utilisateurs qui accédent au par Hesitomestevdiene {age sont les propriéiaires des données), [ 2 vests wrnseeeresoca sere | Foarcteres nto Snare Asstnepoa T0518 cap dacecenscueie | lese Topi unston leon winpacooci i 5 3 : g # Tests a réaliser 2 Test 1 + Test 2 i ~ Connexion avec le compte Enedis, ~ Se déconnecter du compte Enedis. a ~ Définir le mot de passe de session, Celutct — Ouvrir une seeaton avec le compte MSA. sera modifié par la suite, ~ Créer un lecteur réseau avec le chemin ~ Créer un lecteur réseau avecle cheminde de Pattage utilisé dans le test 1, oriagerelevé précécemment (question2). _~ Identifier le message d’erreur (le com- ~ fileuter un document dans lerépertoire, menter), Te modifies, puis le supprimer.ge Vérifier Uefficacité de la protection > @ Fiche savoirs technologiques 7 run eminisfe/6960 601 | Afin de suivre vos recommandations, M. Jivon a proeédé a une segmentation physique et | | Togique du réseau de la MSAP. ensemble du matériel est configuré, hormis le commutateurTEL tle routeur principal. I vous demande donc d'etfectuer les modifications adéquates en adaptant le fichier Packet Tracer fourni. 1. Préparez Venvironnement de travail d’aprés les informations fournies, > W)document 1 2. Configurez le commutateurTEL pour intéarer les VLAN. >) Documents 2 et 3 Avec Lajout du commutateurTEL, la segmentation physique du réseau nécessite également des modifications sur le routeur principal. Vous devez configurer celui-ci, $+ Moditiez la configuration sur te routeur principal pour qu'il relie Censemble des VLAN, > document 4 Yous avez terminé la configuration des différents matér ils d'interconnexion de la nouvelle infrastructure du réseau de la MSAP. Vous devaz & prési ent verifier le bon fonctionnement de celle-ci ‘. Réalisez les tests pour verifier le bon fonctionnement de linfrastructure, > Woocuments _Documer Le schéma de U'infrastructure réseau de la MSAP Création et configuration de la nouvelle infrastructure réseau de I la MSAP avec un outi de simulation réseau, comme Cisco Packet Tracer, neo eect USA SQ Dy veanecors Say inten Ce _—eimutteueL Commuters veresom Taeson Précisions : Adresse IP des postes : Poste ENEDIG relié au port 2 du commutateutTEL, ENEDIS 192,168.21 Poste MSA relié au port 3 du commutateurTEL. MSA 192.168,3.1 Poste CLIC relié au port 4 du commutateurTEL, CLIC 192.168.4.1 Poste TRESOR relié au port § du: commutateurTEL, ‘TRESOR 192,168.5.1 Serveur de fichiers reli au port 23 du commutateurseg, Lecommutateur est relié& 'interface GigabitEtheret 0/1 du routeur par son port Fa 0/24. Serveur de fichiers : 192.168.100.100 > Voir loxigue BTS S10, p. 221 CHAPITRES « Séeutiser arr asInformations concernant les VLANs & configurer ENEDIS : VLAN 20 MSA : VLAN 30 CLIC: VLAN au ‘TRESOR : VLAN 50 Leport 1 reste dans le VLAN 1 ; il est considéré comme VLAN de management par la suite / Commandes de configuration d'un commutateur * Pour nommer un commutateur : Commutateur (config)shostname NOM * Pour définir le mot de passe dans le mode « pri Commutateur (config)enable secret MotdePasse + Pour configurer les VLAN: Commutateur > enable Commutateur #ont t Commutateur (config)#vlan 10 ‘Commutateur (config-vian)éname ENEDIS Commutateur (contig)# int fat 0/2 Commutateur (config-iNswitchport access vlan 10 Focuiniehi La configuration du routeur principal ‘Le commutateur est relié au routeur par une interface physique, mais plusieurs sous-réseaux logiques doivent pouvoir accéder a leur passerelle. C'est pourquoi il faut eréer des interfaces virtuelles sur cette interface physique. Eaemple de commande : RouteurPrincipal zcont t RouteurPrincipal (config)int gigabitEthernet 0/1.2 //2 représente le numéro de vlan RouteurPrineipal (config-subif) encapsulation dotlQ 2 //2 représente le numéro de vlan RouteurPrineipal (config-subif\mip address 192.168.2.1 255.255.255.0 // réseau logique vlan 2 RouteurPrincipal (config-subif)#no sh RouteurPrincipal (config-subif) exit Parla suite, comme présenté précédemment, il convient de configurer les Access lists pour interdize {a communication entre les différents réseaux et autoriser la communication avec le serveur de fichiers. Co travail cora a réaliser lots dune prochaine mission. Les tests de validation de Uinfrastructure réseau de la MSAP Vesifier que les postes passent par le routeur pour émettre des trames a destination d'un autre VLAN, ~ Vérifier que l'ensemble des VLAN accéde au serveur de fichiers, ~ Réaliser des copies d’écran des différents tests en mettant en évidence les commandes utilisées ques © DELAGRAVE. La photocopie ron autorideONESIES CRI Coit 4) Les authentifications, privileges et habilitations des utilisateurs Les principes de U'authentification et de Uhabilitation Authentification | _ Habitation Processus qui permet de vérifier si Futilisateur est bien celui qu‘il prétend étre. * Elle permet de verifier et de prouver identité 'un utilsateur qui veut ouvir une session dans un Sl, et de luiaccorder les droits d'accésinhérents& son compte. + ie>'aypule sur runlis2tion d'un identiiant login) ‘et d'un mot de passe (password) * Elle repose sur un compte utiisateur local ou un ‘compte utiisateur sur un gestionnaire de domaine, Processus qui permet de savoir si un utilisateur @ acces & une ressource ou non, + Elle inclut rautorisation, raccréditation, les droits d'accés ou encore le contrdle d’acces, Elle donne Ia permission 8 un utiisoteur de lier des actions sur des ressources du SI: droit de consul {ation, droit de création, droit de modification, droit de suppression, ete * Elle dépend des privileges accordes. Le privilege est ta délégation deutorté sur un fichier ou un dossier _| dans un si. comme Active Directory, Les techniques d’authentification ‘1. Le compte local Laccés un poste de travail s'effectue par des comptes utilisateurs. Ces comptes peuvent. Etre nominatits [chacun est associé & une seule personne) ou collects des ‘comptes sont Gestion de rordinateur Fichier Action Affchoge 2 ev 20 se Bo Gestion de ordinateur doce || Wom Nom complet ~ i! Out systdme BiiAdiisate © Proniteateurde tiers | por : i, DeatAcea G1 obsenteurctene |B 2) Doses patagés | se + B uiiisateurset group || B Ulla || swoncuniny.. 2. Les comptes itinérants Les authentifications centralisées sur ut Vannuaire LDAP [Lightweight Directory A tocole réseau d’authentificatio de tickets). in contrdleur de domaine s'effectuent grace 3 ‘cess Protocol] et au protocole Kerberos {pro- " reposant sur un chiffrement symétrique et un systsme > Voir lexique O19 S10, p. 221Ajuster les paramétres de ordinateur Systeme et sécurité @y Samet SeuvegardeeVendinsteur Rechercher et rzcudie des [Ey Ponneau ae configuration » [Gg cones a potecion B, affiener part Cetegorie * des utilisateurs iow comptes dutta BP Configurer te contests Les comptes administrateurs (ou superutilisateurs) possédent les privileges les plus élevés. Ils ont un contréle total sur Censemble des ressources du SI. Ces comptes sont par ailleurs habilités & créer, modifier et supprimer d'autres comptes. Les comptes utilisateurs n’ont pas la possibilité de réaliser des opérations privitégiées, ni de créer des comptes. Ils peuvent cependant configurer le systéme et installer certains logiciels. Les comptes invités sont des comptes génériques aux droits trés restreints. lls ne peuvent pas installer des logiciels et n'ont pas accés aux répertoires contenant des informations sensibles. Chaque compte uti défaut, ses droits d’accés ou privileges. Authentification Compte administrateur * Utilser des comptes ‘administration dédiés et non partages entre ctférentsutiisateurs:Fadministrateur doit disposer de plusieurs comptes d'administration distincts selon les taches qu'il doit realise, + Protéger (confidentialité et intégrité) acces aux ~annuaires des comptes administrateurs. + Ne pas autoriser 'ouverture de sessions de travail (@ctivites qui ne sont pas de ore de administration) sur des postes réservés aux actions d'administration.. + Attribuer des droits d'administration & des groupes plutét qu’a des utilsateurs individuels. Compte utilisateur + Doit ete nominatif. + Ne pas utliser de comptes partagés entre plusieurs utilsateurs. + Donner accés seulement aux données nécessaires aux activités et restreindre Faeces aux repertoires contenant des données sensibles. * Disposer d'un inventaire exhaustif des comptes privilégiés et le maintenir jour. ‘Ne pas donner accts aux disques et aux applications sensibles aux utilsateurs visiteurs | + Respecter le principe «du maindre privilege» ateur appartient & un groupe d'utilisateurs qui définit, par (valable pour ensemble des comptes) + Respecter e principe «du besoin d’en connattre» : hahilitatinne nécessairas & la réalisation des técher imhérentes @ activité de Vutiisateur mettre en place des habiltations stictement néces- saires aux activités lies & chaque compte, Ce principe ne doit pas étre supérieur au «besoin d'en connate» + Gérer efficacement les mobiltés :éviter 'accu- mulation des habiltations (fonctions successivement ‘occupées) + Réaliser une revue annuelle des habiltations afin identifier et de supprimer les comptes non utiisés ‘OU qui n'ont plus lieu d'exster. * Mettre en place des procédures d'attributions des habiltations@ appliquer systématiquement a arrive ainsi qu'au départ ou au changement d'affectation Tun utisateur du S * Definir des mesures permettant de restreindre et <ée contrdler 'attibution et Iutlsation des acces. > Noir tenique BTS S10, p. 221IONS UES AUN OLN Se a La gestion des droits d'accés aux données be contrdle d'arré précise qui {utilisateur] est euturisé 8 faire quoi llectures, écritures, Suppressions, modifications, etc.) sur quelles données. Les principes de ta gestion des droits d’accés aux données Ella pour but de limiter les actions qui peuvent étre réalisées sur les données {fichiers et dossiers|, Cutilisation des applications et la gestion du systeme, Le principe est de restreindre les privileges des différents utilisateurs, Exemple sous UItIX : fa commande ls -alaffiche les droits sur les fichiers et les répertoires, représentés par les lettres ci-dessous : T-read Lire un fichier/lister un répertoire w~write ‘outer, supprimer, modifier un fichier dans un fépertoite X-execute | Exécuter un fichier /traverser un sépertoire Droits Utilisateurs Ressources concernées SIXT = Trost apple.exe ewe brows Reports Tent ‘darkness gold.txt |2.commande chmod mune des opétateus, perme de modifier et de changer ls dots acts Eeemple sous Windows les dts aces sappuientsulesystéme deca NTFS pour por mete en eave un madéle de maine priége qc des lists de cnntrdledaccés ACL. a gestion des autoisations se ait partir de Congle «Sécurité» de chaque dossier ou fichier « Nomestenit: eNDaazave Les différents privilages sont : + Caves au contenu du répertoire (A‘ficher le contenu du dossier) ; * la lecture des fichiers, de leurs propriétés et de leurs répertoires (Lecturel ; + Voxécution des programmes et des scripts (Lecture et exéeution): z [Gcriture dans les fichiers et Cajout des fichiers dans les répertoires (Ecriturel ; { [2tfichage, fa modification, ta suppression des fichiers et répertoires (Modifier) * lous les droits (Contre total habituellement réservés & Cadministeateur : modification, alout, déplacement ou suppression des fichiers et répertoires ; * a modification des paramétres des autorisations pour tous les autres utilisateurs, > Voir loxique BTS S10, p. 221 GHAPITRES « ShePlone Savoits teptinologiques 6) Les outils de la gestion des droits d’accés aux dennées Pinatents modales de gestion des droits d'accAs cant possiblos au sein dun systéine Giinformation, mais leur finalité est {a méme : ne permettre Caccés et la modification des données qu’aux personnes autorisées. Les deux principaux modeles sont : DAC | BAC i | (Oiseetonary Access Contra) (Rote-Based Access Control | | Contre acc discrétionaire Contre daccbs basésurdes ales fy eataur dune ressource est le propritsire de | convent de dnc tout eabord des roles quire | Gilet Il fte alors fa politique de contre acces | présententun ensemble de prvleges Les utlannears GE ete ressource: i decide quel utisateur peut | sont affects a un leet artent done dec tect tealser quelle action, inhérents a elu. | exompte: Exompte: {nant que propitircuiier pexs,fatariseu-| ele RH domeles das dates en lecture ten tue quement Alice 8 irl hier. afc peas. Onatituele rele Bb, qi poura dnc | | indir eer. i: modele de gestion est décentralis. Ce modele de gestion est centalsé, comme dans (ertesPond attrition de crits par un compte | un Acie Directory oules ulssteus omortonrone local surun poste de et hertent des groupes La gestion dans le cadre d'un Active Directory Dans un Active Directory [gestion centralisée des: utilisateurs), des groupes de sécurité sont définis pour attribuer des droits particuliers aux différents comptes lutlsateurs) eréee, Ci-dessous, un exemple de groupes présents dans l'Active Directo i ee | Administrateurs Acces complet et ilmité & Fordinateur promu du domaine | |Administrateu du domaine | Drie su | Opérateurs de comptes Création, modification et suppression des objets locaux |Vsteus domaine coupe par fat de tou: nowel tatu | Voir lexique BTS S0, ». 791 CHAPITRE 5 + Séeuriser taccis aux ressources et vitor ttetion et Les formatique est constitué d’équipements d'interconnexion permettant de ‘répartir de facon physique et logique (sous-réseau IP et VLANs] les différents rote: du LAN. ‘1. Les commutateurs Gans VLAN, un commutateur [switch, en anglais) considre que toutes ses interfaces sont Gans le méme LAN et le méme domaine de diffusion. Avec la mise en place de VLANs, diferemnutateur place ses interfaces dans des sous-réseaux et domaines de diffusion différents. Un commutateur a alors plusieurs séparations logiques sur-un parse support physique. a. =f = = =, PCPT “PGPT PCPT PCPT pC.Pr PC1-vlan2- PC2-vian2 PC3-vian3- PC4vlan3PCS-vlan3 PC6-vian2 Par défaut, sans configuration précise, les ports d'un commutateur sont dans le VLAN 1, paministrateur réseau dot donc configurer chaque port du commutateur dans on WAN particulier (par exemple, avec un commutateur Cisco : Switch port made scees vlan 2) Pour ermettre a communication entre des VLANe differents, ilfautconfigueer en porten ‘made trunk Inorme 802.14) et rlier ce port au routeur pour assurer le routage ntcrolan 2. Les routeurs ditférents réseaux internes, Cela permet ainsi d'instaurer une sécurité supplémentaire, qui ne permet pas le relais des trames de diffusion. Par exemple, avec un routeur Cisco, Uadministrateur peut configurer des ACL [Access Control Lists] qui constituent des régles de filtrage sur chaque interface. On distingue les ACL standards. qui Servent 4 filtrer lee paausts uniquement sur tes IP sources, et les ACL étendues, qui permettent de lltrer sep Quasiment tous les champs des en-tétes IP, TCP et UDP. Exemple : deny 192.168.2.00.0.0.255 192,168.30 0.00. 255 [2 eseau 192.168.1.0 (24 ne pourra pas communiquer avec le réseau 192.188.3.0 124 | lespqets santas duis ceri fe routeuLes obligations légales de notification en cas de failles de sécurité Les falles de sécurité dans un SI peuvent entratner la suppression, la modification ou encore la divulgation de données. Il est essentiel de connaitre les obligations légales en cas d’incidents. > Processus de notification prévu par le RGPD. bécouverle dela violation contre. G mesures information = des personnes HOW ELIS. “selon les CSUN exioences A ea au RPO passé 72n, PLUME rorganisme SQEUEGI a ae une mesure : repressive lour de la Gui sinecessaire mesures complementaires wwwadnet fr 5f,,Galement général sur la protection des données {RGPD] impnse au responcables d'une organisati i des personnes la CNIL et, dans certains cas, lorsque le risque est élevé, sox Personnes concernées. obligation d’assurer la s rité du traitement Fatticle 32 du REPO prévoit pour te responsable du traitement ou le sous-traitant une obligation de mettre en ceuvre les mesures techniques et organisationnelles appropriges afin de garentir un niveau de sécurité adapt au risque. bligations de notification et de communication ‘1. Les délais Le RGPD prévoit obligation de notification larticles 33 et 34] : les responsables de traite- ent sont tenus de notifier toute violation de données personnelles & rautorité de controle compétente, et ce, dans un délai de 72 heures & compter de sa découverte, > oir texique BTS SIO, p.221 >2. La communication Les responsables de traitement doivent informer la personne conrernée dans leo meil- pics détats en cas de violation présentant un risque élevé pour les droits et les bercce, Plusieurs autorités de contréle lla CNIL, t1CO] ont établi des formulaires types pour les VWolations de données. La CNIL a également mis en place un téléservice de notification f¢ violations. Le document récapitulatif de la notification & la CNIL permet de répondre & obligation de documentation interne. Le téléservice mis en place par la CNIL permet de réaliser {a notification. Il doit étre utilisé uniquement par les res- Ponsables de traitement d'une organisation, La mise en place d’une politique interne pour les failles de sécurité Lessesponsables de traitement doivent tre en mesure de justtier leur politique en matigre de sécurité, qui doit prévoir : ~ Uorganisation interne de l'entreprise; ~ les modalités de communication vis-a-vis des utilisateurs ~ les relations contractuelles avec des acteurs extérieurs. £2 breuve du respect des obligations liges& la sécurité des traitements implique la mise on place dun cahier des incidents (distinct du registre des traitements} quidok contonn ~ ensemble de la documentation relative ces incidents; ~~ la nature de la violation des données; ~ les catégories et le nombre approximatif des personnes concernées par la violation et les enregistrements des données des personnes concernées, ~ les conséquences probables de la violation des données, ~ (Ssmesures prises ou envisagées pour atténuer les éventuellesconséquences négatves ou pour éviter que l'ncident se reproduise. Les sanctions Prétée largement, de deux ans d'emprisonnement et 60 000 € lu Code pénall. Cette peine est portée & trois ans d’emprison- donne on O00 € d'amende lorsqu'il s'ensuit une modification ou une suppression de fonnées, ou encore une altération du fonctionnement de ce systéme.ou pore dviter que incident se reproduise. i |non autores est un dei BTS Sto ~ ybersdcarité dos services iformatigues ne organisation fait Yobjet d'une violation des données, elle doit obligatoirement la notifier : Gauprés de la CNIL. Clauprés du REPD. Gaupreés des personnes concernées (propriétaires des données). “2) Si une organisation fait Vobjet une violation des uunnées, elle doit obligatoirement documenter les violations en interne, OVeai O Faux _3] Le RGPD impose pour toute organisation une Uobligation de ; Cimettre en ceuvre les mesures techniques pour garantir la sécurité des données, Cimettre en ceuvre les mesures organisationnelles pour garantir la sécurité des données. Cmettre en ceuvre les ‘mesures comptables et fiscales pour garantir la sécurité des données, 4) Lobligation de notification est inscrite dans le RGPD dans : Olerticle 32, Olarticle 33. Dlarticte 34, 5) Les responsables de traitement des données doivent ré cette notification sous : 24 heures. 2148 heures. O72 heures. CHAPITRES + Séeuriear Farede any naccnunea eninigose-509 4) La CNIL permet de réaliser cette notification, Ovrai OFaux 1) Le cahier des incidents doit ‘comprendre : Ola nature de a violation, Dies catégories des personnes concernées. Die nombre de personnes concernées. Ole montant des codts engendrés. _8) En cas de non-respect des obligations, les autorités de contréle ont (a possibilité de sanctionner tout responsable de traitement : Opar le biais d'amendes, Oar le biais d'un emprisonnement. 2} Lauthentification concerne : Olattribution des éléments d'identification (login et mot de passe]. Ole définition des privileges pour chaque compte. Oles autorisations sur les partages. Dies droits d'accés sur les données, 40) Un commutateur permet de segmenter un réseau local : ide facon physique. Ode facon logique. ‘i1) Le cahier des incidents et le registre des traitements désignent le méme document, OVrai OFauxB Gérer les accés ¢ M, Rens est le président d'une asso- ciation de réinsertion qui permet & des personnes 8 la recherche d'un cemploi de bénéficier d'une aide tech- nique dans I'élaboration des docu- ‘ments servant & postuler 4 une offre: CV, lettre de motivation, portefeuille de compétences, bilan de compé. tences, etc. Les personnes ont accés un petit pare informatique pour ‘aliser des taches bureautiques liées a leur recherche demploi. M. Rens souhaite mette en ceuvre une poli- ique de sécurité des données des utilisateurs du pare informatique de tion. Vous V'assistez dans Indiquez a M. Rens les bonnes prati et d’accréditation (annexes 1 et 2). iques & adopter en termes d’authentification M. Rens est Vadministrateur des machines, Expliquez-lui quelles précautions il doit prendre concernant le compte administrateur, Indiquez quels priviléges il doit accorder 8 chaque utilisateur {annexe 3). IM. Rens sat quel stockage des données & caractére personnel exige le respect obligations spécifques. 'ndiquez ces obligations en précisant pour chacune on quoi clle consiste (annexe 4). Analyser la présentation de la salle de formation La salle de formation dispose de dix postes informa- fiques, contenant chacun des outils de traitement de texte, et d'un navigateur Internet. Pour utiliser tun poste de travail, l'utilisateur doit se connecter a l'aide des éléments de connexion fournis par 'e formateur. Dans la salle de formation, le poste formateur dispose d'un dossier partagé dans lequel les différents participants peuvent stocker leurs données mais aussi accéder aux fichiers déposés par le formateur. We" Reconnaitre les types de comptes Chaque compte est créé selon le méme modéle : parti- Cipant-x, ott x représente le numéro du poste sur lequel le participant ouvre une session. ‘prides ce Farcipar Général Membre de Pitt Hentee de Be Aamnesateurs 2 Usisateue[BTSSIO~ Gybersécuite des “Identifier tes partages des données ‘zutonsations pour Formations X | Berti termatins ‘heeneaarsetage hoint Patane SKcotd Venmipdctdates Pemeeaee Nemeetenat—CiFomsins mt ysame 2 Purwetorenonrcey | zanntiseungabtor nAIoAtUnseus ‘oes narra vicar asiotnsgow Teese (sce dsccée tbs adonetane Gries rhc Page eeeieeaiaie | Ceeenens Bi eesdediteard: = alsiine CEneSsirerncaiie CHAPITRE 5» Sécuriser Caceie aie racemeST Sogltetnants) |. M Rene recoils utilsateurs des ressources numeériques dans une salle -aménagée spécialement pour | les activités de bureautigue. Pour Vinsant, cette salle enn relige au méme réseau que les différents | {hu matériel supplémentaire. Vous devez aidet M. Rens & spare le veces (cans ajouter de matériel 1) Indiquez & M. Rens de quelle solution il dispose pour segmenter le réseau, 2] Rédigez une procédure pour répertorier tes différentes étapes de réalisation de cette segmentation, 2) Aaide d'un logiciel de simulation réseau (Packet Tracer, par exemple), reproduisez Uinfrastructure de association en appliquant les modifications nécessaires i sur le commutateur, >) Fiche méthode 6, p21 4) Expliquez tes conséquences de la segmentation logique du commutateur Sur le routeur box linterface physique coté LAN). Annexe Infrastructure logique et physique sw2seass0re Sate hecueh rmatiques © DELAGRAVE g g soPetes Seeds; Se MAG sain wesenimoa a aesns = Cyberséeurite dos services infor_Eva lua C186 en 1978, le Greta (groupement d’établissements) des montagnes du Jura organise chaque aunée We numbreuses sessions de formation notamment sur appropriation des outils numériques (outls bureautique et Internet). Le Greta est situé dans les locaux du lyeée de la Communication de Lons-le Saunier. Le réseau informatique est géré par la DSI du lycée mais celle-ci fait réguliérement appel a des prestataires extérieurs pour les taches d'administration des services, La ‘maintenance et la configuration du parc informatique restent & la charge de la DSI. Un formateur, qui intervient sur les sessions de formation aux outils numériques, 2 alerté la DSI en indiquant plusieurs dysfonctionnements au niveau du pare informatique de la salle de cours, qui pourraient remettre en cause I'intégrité du réseau local et donc des données. ___Afin d'identifior plus spécifiquement eco différentes filles et pioposer des solutions adaptées, la DSI a ‘holsi de faire appel a la société Pent’39 dont I’activité principale est de réaliser des audits de sécurité des systémes d'information. Le prestataire informatique {La société Pent'39,située a Orgelet, est spécialisée dans la réalisation ‘audits de sécurité des systémes information afin d’assurer un fonctionnement optimum des infrastructures réseaux de ses clients et 'apporter un accompagnement dans le support aux utilisateurs, ‘Vous intégrez cette société afin de prendre en charge audit de sécurité sur les différents processus de sestion du pare informatique du Greta. Architecture réseau du GRETA Pee co Votre mission consiste, dans un premier temps, & recenser les différentes failles de sécurité inhérentes & la gestion des postes de travail de la salle de formation. Dans un second temps, vous proposez des solutions adaptées pour assurer la sécurité des différentes sessions utilisateurs ainsi que leurs données. Pour réaliser ce trav ‘ous vous appuyez sur le dossier documentaire mis a votre Evaluationnea 131Identifier les failles de sécurité li ées 4 la gestion du Parc informatique de la salle de formation pous analysez la configuration des diférens pnsios de travail afin de diaguostiquer es tailles de sécurité, Cesena os dispose dun certain nombre informations concernant la configuration dec ostes mais ‘galement le processus de gestion des comptes utilsateus, ‘ Repérez les failles de sécurité liées & la configuration ‘systéme des postes de travail et au processus d'authentification des utilisateurs. Précisez en quoi la procédure d'attribution des autorisations et priviléges sur les, dossiers de stockage des données ne permet pas de garantir la secur dee données de chaque utilisateur. Mettre en ceuvre des configurations et outils pour garantir ta sécurité du SI du Greta Feite deuaiéme mission doit vous permetire d’émettre des propositions & la DSI du Greta pour améliorer {a sécurité des sessions utilsateus. Ces propositions peuvent inclure installa, de nouveaux outils ou la ‘modification de Vinfrastructure logique et physique. Indiquez quelles premiéres modifications vous pouvez apporter Pour corriger les failles de sécurité identifiées précédemment. Détaillez une segmentation possible pour sécuriser davantage les échanges dans le réseau local du Greta, Expliquez les tests que vous pouvez réaliser pour verifier le bon fonctionnement de la séparation des postes utilisateurs a Untérieur du réseau, Configuration des Postes de travail Observations réalisées sur les postes de travail dela salle de formation. @ & my Protection contre esvirus et Protection du compte Pare-fey et protection du Contiéle des applications et 5 smenaces Aucune action equi réseau u navigateur log or pre few sont oui {fonctionnatt Writer tes é Vote appre et peu-ate applcavons et es hier est £ tuleabe esas ce quirend one |B ppaed nde BTSSIO.© DELAGRAVE, 2020. LaDocument See Enquéte auprés des utilisateurs Le formateur a profité de sa dernigre session de formation pour réaliser une enquéte auprés des utilisateurs pour connaitre leurs choix en termes de mots de passe. Le graphique ci-dessous en indique le résultat. esis st cee or a [ Document [a _ Création des comptes et partages Avant une formation, le formateur dispose de la liste des participants. l eréée un compte portant le nom de chacun et ajoute dans le dossier PartagesParticipant un sous-dossier de stockage des données pour chaque stagiaire. Ces actions sont réalisées sur le poste formateur, ‘Auoission pour Faragestencpont stents entices oWempeoctine onto dupotace cerca ee 52 Systeme | | 1 neinonongaeT0° cstonAmiinaun | 2 ussueetaroromsrousoen | te: Aas pw nea | Aforsstore pau Tea monde Atonsee —_ soe te 2 5 Korea, aaa @ oo lates 0+} Evaluationn® aStratégie de sécurité |S sissy ooze Fichier ation Afichage 2 ; °@ “te B Poramétes de sécurité © 9 Statégies de comptes +9 Stratégie de mot de passe + Stratégie de vtroullage du compte Stratégie ~ Conserver historique des mots de passe - Dutée de vie maximale du mot de passe _. Durée de vie minimale du mot de passe --Longueur minimale du mot de passe Document [i — ~~ Enregistrer les mots de passe en utilisant un chiffrement réversible Lemot de passe doit respecter des exigences de complexité Schéma logique et physique de la salle de formation PSeonmutateurt Commuted Centa \ pd Fomateer “s,— \ toy pee 2 sotto HL Pet Petz PCIS Peis Peis Commutateur2 — Commutateur $s CIs PCI? PCIe PCI9. PoaD | jo ay Pee C2 PCIO Le périmétre physique de la salle de formation est | Feprésenté par le cadre bleu. Les postes de travail | sont configurés dans le Pool 192.168.50.0 P24 de | Bom PoolFormation du serveur DHCP. | Les différents postes sont reliés aux commutateurs | danse VLAN 1, Ceux-cidisposent chacun d'un VLAN Evaluation n® 3 de management (VLAN 99) en 192.168.99.0 /24 surle port 24, Les commutateurs 1, 2 et 3 sont reliés au commuta- teur4 & partir de leur port fa0/23 en mode TRUNK, ‘Le commutateur 4 est relié au commutateur central également parson por 20/23 en mode TRUNK,Contexte 4 | Lorganisation cliente Ecotri est une startup spécialisée dans la valorisation des déchets. Son fondateur, M. Legendre, souhaite créer une application qui indiquera a ses utilisateurs la poubelle 2 utiliser lorsqu’lls scanneront les codes-barres de leurs déchets a 'aide de leur smartphone. Phis in eliont seannera Leprestataire informatique ‘ibeco est une pépinire spécialisée dans 'accompagnement de startups travallant dans le domaine de la transition énergétique. Son objectf est de faciliter la création et le «développement de ces jeunes entreprises en leur fourissant de produits, plus il cumulera des offres promotionnelles adaptées a ses besoins. Ecotrl s'est tournée vers la pépiniére Cibeco pour bénéficier de ses locaux, équipés de serveurs, et de ses services, afin de développer cette application Web, des Jocaux et des prestatons informatiques. Elle est située 3 Provins, en Seine et-Mame. Cibeco dispose de deux bitiments de trois étages comportant chacun 10 salle. Lentreprise est génée par ses deux fondatrces, Yaa et Sarah Darmon,Contexte . Description duSide organisation ! ‘Schéma général du réseau de ibeco = Utilisation de deux FAI ng ~ Chaque client a son VLAN, VLAN de sauvegarde WEB PROXY Dep FICHIERS ~ Archivage sur grappe RAID 5 Qa 0 0 0 Pare-feu UTM de gestion unifiée des menaces ~ Liens redondants entre commutateurs (STP) — Agrégation de liaisons via la solution EtherChanlle de Cisco ~ Passeralla redondante eoue forme de cluster VRRP ~ Haute disponibiité des serveurs Web via la solution Hi ~~ Ondulateurs, grappe de trois serveurs Web ~ VirualHost https via la solution Extended SSL. de Globalsign , CLUSTER DE ROUTEURS PIMENTEL | Périmatre d'intervention Les données du client Ecotri doivent étre séparées de celles des autres clients. Cibeco se charge d'intervenir en cas de panne sur un serveur loué par Ecotri, Exigence en termes de protection des données application Web d'Ecotri devra faire l'objet de toutes les attentions en matiére de sécurité por minimiser les risques. Le contrat d’infogérance prévoit une Votre mission GE et ( (sisal) dae) sc9 a pt SEleesuve Wp es ddataisisiietaatly ay Epes 1 {J FIREWALLUTM @) 'STORMSHIELD swsio [ ) J garantie de haute disponibilité sur I'application Web et les données manipulées. Liarchivage des données doit se faire en conformité avec le RGPD. La contfiden- tialité des flux manipulés au sein de Vinfrastructure réseau doit étre assurée, Applications et équipements Cibeco fournit au client Eevtd un serveur Wed redondé our sa future application Web. SP TaNVSSMENE | Ste niiterainakasilel sia teatiane sen ie phdonnées de organisation Situation professionnelle) Cibeco a développé une premiére version de appli- | cation Web du client Ecotri. Lapplication a été testée, Le concept a convaincu les premiers utilisateurs, et le Jancement est prévu a Voceasion du prochain Salon de la transition énergétique, avec le soutien de I"équipe | marketing de Cibeco, Ecotri commence & attiter des, | progressivement. Depuis | quelques mois, la pépiniére Cibeco fournit les locaux et les serveurs 8 son client. Encouragé par ce premier suceés, M, Legendre, fondateur d'Bcotri, a de nouveaux projets pour sa startup. opie non autorste estan dl isques is 8 Cutilisation mabveillante o'un service informatique « Recenser les conséquences dune perte de isponibilié, #intégrité ou de confidentialité + Ideniier tes obigations légales qui simposent ‘en matiére ¢‘archivage et de protection des * Protection et archivage des données : principes et techniques * Chitfrement, authentiication et preuve principes et techniques * Sécurité des applications Web : risques, ‘menaces t grotecoles + Réglementation en matidre de lute contre le froude informatique: infractions, sanctions Malheureusement, & la veille du Salon de la transition énergétique, une alerte signale une utilisation mal- veillante des serveurs de Cibeco touchant le systéme archivage. Cibeco constate que le site Web d'Ecotri a subi une attaque, On vous confie alors trois missions : la mise en place d'un audit visant a caractériser les risques associés au systéme d’archivage de Cibeco; le recensement des cconséquences de lattaque subie par Ecotri; la réalisa- tion d’un état des lieux des obligations légales liges 3 archivage et 2 la protection des données. ‘st