EVALUATION Scurit Systme / Rseau

Les documents sont autoriss. NB : Il est recommand aux tudiants de bien lire les consignes du Contrle Ecrit. Les rponses copier/coller ne seront pas rtribues : il est demand de justifier chaque rponse ( quelques exceptions prs). Q1) Analyse de risques oprationnels : [4pts] Dans une entreprise franaise de recherche de ressources naturelles enfouies (ptrole et gaz), face aux cots exorbitants ncessaires pour rpondre au besoin mtier de stockage de donnes, un DSI se pose la question du cloud . Il sollicite alors un avant-vente dune entreprise rpute sur ce secteur : Amazin. Ce fournisseur amricain de services axe ses arguments sur la facilit de la migration, le faible cot, et parle de SLA. Drouler la mthodologie DICP pour identifier les risques ventuels de ce service. Attention, il est possible que cette analyse ne couvre pas un autre risque, autant fonctionnel qu'oprationnel Q2) Capture rseau : [1pt] En ralisant une capture avec Wireshark, ralisez-vous une coute passive ou active du rseau, et pourquoi ? Lors de la capture, des mots de passe transitant dans des protocoles en clair sont rcuprs. Avez-vous le droit de conserver ces captures en ltat ? Q3) LAN [2pts] Une entreprise a gagn en renomme il y a peu via sa page Facebook officielle (ie. marketing viral). Elle fait appel vous pour divers points SI concernant un gros projet. Vous dcouvrez que les employs en interne sont adeptes des ordiphones et tablettes tactiles, et quils utilisent lURL http://m.facebook.com (relle) pour grer la page officielle (URL retourne par Google depuis par exemple un tlphone). Ils se disent assurs quil ny a aucun risque vu quils sont connects au LAN de lentreprise. Selon votre devoir de conseil, que devriez-vous faire ? Fondez votre explication technique sur la rpartition sur les couches (protocoles) rseau. Quels impacts craindre ? Q4) Tlchargement en entreprise : [2pts] Un collgue tlcharge les logiciels dont il dit avoir besoin sur un moteur de recherche bien connu, et prend les premiers rsultats du moteur de recherche en disant qu'ils sont forcment les mieux . Quels sont les risques inhrents cette pratique ? Proposez : - des solutions techniques permettant de protger le SI des risques encourus dans ce cas de figure (pensez une gestion centralise) - une politique de scurit cadrant cette situation et les outils techniques.

EFREI M1 RS 2011

page 1

CE Scurit

Q5) Besoin urgent de machine : [1pt] Lors de son arrive en poste, un collgue prestataire n'a pas encore la machine qui lui a t attribue par l'entreprise. Il faut pourtant absolument qu'il se mette rapidement au travail. Il envisage donc d'amener le PC que sa propre socit lui fournit, convaincu quil sagit dune machine professionnelle et que cela ne posera pas de problme. Est-ce autoris par dfaut, et si non, indiquez quel type de rglement l'interdit. Q6) Audit [1pt] Expliquez pourquoi la phase dite de prise dempreinte est primordiale lors dune dmarche danalyse scurit (audit lgitime, ou mme attaque). Q7) Confiance lectronique [1pt] Expliquez de faon gnrique comment vrifier lectroniquement lintgrit dun fichier ainsi que son rel auteur/metteur. Q8) Architecture : [3pt] Expliquez les notions de cloisonnement rseau et rupture de flux : quel est le gain chaque fois au niveau scurit ? Des schmas seraient un plus, notamment pour : - le cas du frontal web ouvert sur Internet, - celui dune application fonctionnant sur un systme obsolte (impossible migrer en ltat). Q9) Principe du moindre privilge : [2pts] Appliquez le principe du moindre privilge, et faites des recommandations, pour une architecture compose de : - client lger, avec module additionnel pour application riche (ex : Flash) - serveur http avec couche applicative PHP - base de donnes dporte sur un autre serveur Q10) Sources d'informations : [1pt] Citez une source gouvernementale (France) de veille scurit, et une source tierce type diteur. Selon vous, laquelle pourrait tre considre comme la plus complte, pourquoi ? Q11) Culture gnrale, mais ncessaire en scurit : [2pts] Donnez port et protocole de transport (selon le standard IANA) pour : SMTP SSH telnet DNS HTTPS SMB D'un point de vue scurit, que pourriez-vous dire globalement pour ces ports par rapport aux autres (notamment au-dessus de 1024) ? Bonne chance tous ! Et souvenez-vous : quand tout va bien, on dit que la Scurit ne sert rien. Et quand il y a des alertes (attaques, intrusions, etc), alors on dit que la Scurit est incomptente...

EFREI M1 RS 2011

page 2

CE Scurit