Etude Pratique : Sécurité

Marseille Page : 1/5 Etude Pratique de Sécurité

ETUDE PRATIQUE SECURITE - SECURITE 2014 DATE : 22 AVRIL 2014

PHILIPPE PRESTIGIACOMO

1. OBJECTIF DE L’ETUDE PRATIQUE La finalité de cette EP est d’approfondir vos connaissances acquises pendant le cours de réseau et de mettre en pratique ces dernières. Vous remettrez au formateur, votre rapport, ainsi que l’ensemble des fichiers et documents que vous jugerez nécessaires (configuration, captures réseau, impression).

2. ORGANISATION – RAPPORT - EVALUATION Dans le cadre cette étude, vous rédigerez un rapport qui décrira le travail effectué, vos choix et résultats. Il décrira par ailleurs, la répartition des rôles au sein de l’équipe et les difficultés rencontrées . Le rapport contiendra au maximum 20 pages (annexes non comprises). Le rapport sera transmis au format électronique. En fin de semaine, le formateur examinera votre réalisation et vous in terrogera selon les modalités en vigueur. Des notes individuelles et collectives vou s seront attribuées.

3. AVERTISSEMENTS & CONSEILS

Pour la mise en œuvre pratique, veuillez vous référer à la documentation des constructeurs, éditeurs, disponibles dans la salle d’EP (CD ou sur Internet).

Veuillez d’abord lire attentivement les documentations avant de procéder à des manipulations sur les équipements.

Vous allez créer un répertoire au nom de votre équipe dans lequel vous placerez l’ensemble des fichiers produits au cours de l’EP.

En plus des postes de travail, les équipements ci-dessous seront mis à votre disposition et devront être intégralement restitués. Routeur Wifi de sécurité Sonic Wall TZ-100 / Caméra IP Wifi DCS 2230

Dans le cadre de l’étude pratique, vous serez amenés à télécharger des programmes sur Internet. Tout autre téléchargement est strictement interdit. Les personnes qui ne respecteront pas cette règle seront sanctionnées comme le prévoit la charte informatique de l’école.

Tous les mots de passe que vous définirez durant l’EP, devront être consignés par écrit pour éviter une perte ou un oubli, et permettre au formateur d’analyser vos configurations dans la cadre de la notation de votre travail.

Vous pouvez utiliser un de vos ordinateurs pour se connecter en Wifi et faire les tests, sous-réserve qu’il soit muni d’un antivirus à jour et d’une analyse récente de votre disque dur n’ayant détecté aucun virus. (Acceptation préalable par le formateur)

Etude Pratique : Sécurité

Marseille Page : 2/5 Etude Pratique de Sécurité

4. THEORIE - RAPPEL DU COURS Objectif : Revoir certaines notions du cours afin de traiter l’étude de cas.

Travail demandé : Veuillez répondre aux questions suivantes de manière exhaustive.

1. Quel est l’objectif d’une analyse de risque du système d’information et citez une méthode d’analyse de

risque ?

2. Veuillez définir les notions de disponibilité, d’intégrité, de confidentialité, et de traçabilité de l’information ? Donner des exemples de mesures concrètes de sécurité organisationnelles et techniques pour chacun des besoins suivants : disponibilité, d’intégrité, de confidentialité, et de traçabilité de l’information

3. Qu’est-ce qu’un VPN (Virtual Private Network) et quels sont les usages des VPN citez des

exemples ?

4. Quels risques majeurs identifiez-vous concernant l’accès en VPN SSL avec accès total à toutes les ressources de la société depuis Internet à partir un smart phone ? quelles sont les mesures techniques et organisationnelles à mettre en œuvre pour réduire ces risques ?

5. Quels risques majeurs identifiez-vous concernant la mise en place de caméra de vidéosurveillance,

connectées en Wifi ? quelles sont les mesures techniques et organisationnelles à mettre en œuvre pour réduire ces risques ?

6. Quel est l’importance de la supervision de la sécurité (outils centralisation des logs, et reporting) pour

maîtriser la sécurité ?

7. Comment fait-on pour sécuriser l’administration d’un système de sécurité tel qu’un équipement firewall Sonicwall ? Citez au moins 3 mesures de sécurité concrètes que vous avez pu mettre en pratique au cours de l’EP Sécurité.

8. Quels sont les informations relatives aux connexions Internet des utilisateurs que l’on peut enregistrer

dans sur le firewall Sonicwall ? Combien de temps doit-on conserver ces informations pour être conforme à la loi ?

9. Veuillez expliquer la démarche pour obtenir un certificat électronique auprès d’une autorité de certification ?

10. Expliquer le rôle d’une autorité de certification. Expliquer le mécanisme de génération d’un certificat utilisateur par une autorité de certification.

5. ETUDE DE CAS : MISE EN SITUATION ET EXPERIMENTAT ION

5.1. CONTEXTE L’étude porte sur l’entreprise « Kestudi » qui possède un site industriel existant depuis plusieurs dizaines d’années, disposant d’installations hétérogènes, dont certaines sont en phase d’obsolescence. Les installations sont pilotées par des automates industriels (API /PLC) et supervisées par un ensemble de SCADA regroupé dans un centre d’exploitation. Certaines de ces installations, comme les lignes de production de l’atelier d’assemblage, disposent de contraintes « temps réel » et d’autres, comme une unité de distribution de matières dangereuses, de contraintes de sûreté de fonctionnement et de disponibilité. La direction du site demande l’évolution du système de SCADA, afin que celui-ci puisse communiquer avec le système d’information de gestion dans le but d’améliorer les coûts et délais de production. Les informations collectées au niveau du SCADA devront être accessibles à l’ensemble des responsables du site depuis leurs postes bureautiques. Enfin, en vue d’optimiser les coûts de fonctionnement, il est demandé de mettre en place d’une solution de télémaintenance pour que le sous-traitant historique « Admin Cool » puisse intervenir à distance.

Etude Pratique : Sécurité

Marseille Page : 3/5 Etude Pratique de Sécurité

5.1. VOTRE MISSION En tant que maîtrise d’œuvre, vous êtes le responsable de l’équipe technique et informatique de la société « Kestudi » basée à Cadarache. En tant que maîtrise d’ouvrage, le dirigeant de l’entreprise, « Remy » vous a mandaté en tant que chef de projet pour conduire ce changement informatique. Vous devez renouveler le réseau existant sujet obsolète par un nouveau réseau plus performant en filaire Ethernet et sans-fil en Wifi. Une solution de vidéo surveillance sur IP devra être mise en place pour superviser les lignes de fabrication. Par ailleurs, la société « Kestudi » a été victime d’une intrusion informatique dans son système de messagerie avec vol d’information en début d’année. Quelques mois auparavant, la propagation d’un virus introduit par une clé USB sur un poste SCADA avait généré un trafic réseau important et provoqué des dysfonctionnements sur les systèmes industriels. Cette mésaventure prouve la nécessité de mieux protéger les systèmes industriels. Elle montre aussi que les attaques externes ne sont pas les seules menaces. Cela a permis de sensibiliser le dirigeant de la société sur les aspects de sécurité des systèmes d’information. Les besoins exprimés par votre maîtrise d’ouvrage sont les suivants :

- Les employés doivent pouvoir se connecter au réseau sans-fil et filaire et pouvoir accéder à toutes les

ressources informatiques ainsi qu’à Internet.

- Le sous-traitant « Admin Cool »peut se connecter uniquement au réseau sans-fil et uniquement à la

vidéo surveillance. Il n’aura pas accès à Internet.

- Tous les réseaux sans-fil doivent être sécurisés et inaccessibles à des personnes non autorisées

- Les accès à Internet sont autorisés sous-réserve d’acceptation d’une charte Internet en ligne

- Une politique de sécurité devra être établie (politique de filtrage Web de filtrage de protocole, de gestion

des mots de passe ….) suite à votre entretien avec le Dirigeant de la société « Kestudi »

- La solution de Télémaintenance en VPN SSL rendra accessible l’accès à la vidéo surveillance à

distance par Internet à partir de son smart phone ou de son ordinateur portable. L’accès logique à la

caméra de vidéosurveillance doit être sécurisé et strictement restreint au sous-traitant.

- La messagerie électronique sécurisée S/MIME à base de certificat X509 devra être utilisée pour vos

échanges d’information avec Remy durant le projet.

5.2. VOTRE COMPREHENSION DU BESOIN ET ORIENTATIONS TECHNIQUES

5.2.1. Interview avec la maîtrise d’ouvrage

Dans la cadre de cette étude de cas, vous devez interroger votre maîtrise d’ouvrage, Remy, afin de lui faire préciser certains besoins et de valider votre compréhension du travail à réaliser. A cet effet, vous allez prendre rendez-vous pour un entretien avec lui lors du démarrage de ce nouveau projet.

Afin de préparer au mieux le déroulement de cet ent retien, vous allez préparer par écrit vos questions et thématiques à traiter avec votre Directeur dont voici une list e non exhaustive et à titre d’exemple :

- Politique de gestion des mots de passe pour l’administrateur informatique et les utilisateurs - Politique de filtrage Web, sites autorisés et sites interdits, mots clés à prohiber etc… - Politique de gestion des temps d’inactivité avant déconnexion des utilisateurs - Politique de filtrage de flux autorisés vers Internet (Web Peer to Peer, Chat ….) - Politique de traçabilité – quelles sont les informations à conserver (durée de rétention, archivage) - Politique de télémaintenance pour la société « Admin Cool » - Politique de Patch Management des ordinateurs de bureautique et des postes SCADA

Etude Pratique : Sécurité

Marseille Page : 4/5 Etude Pratique de Sécurité

Consigne rapport EP : les éléments utiles de cet entretien seront à consignés dans votre rapport d’EP. Au préalable de l’entretien vous lirez le document PDF intitulé « Maîtriser la SSI pour les Systèmes Industriels »

5.2.1. Orientations techniques du réseau informatiq ue Suite à cet entretien, votre équipe informatique a spécifié les points ci-dessous. Naturellement, ces spécifications sont à compléter avec les éléments complémentaires obtenus durant l’entretien avec Remy.

Par chance vous trouvez un tutoriel sur Internet qu i vous permettra de débuter votre apprentissage sur les équipements mis en jeu dans c ette nouvelle installation.

- Pour l’infrastructure réseau WLAN sans-fil :

o Créer un WLAN SSID « N°Equipe-employes-Kestudi » pour les employés de votre entreprise

avec un accès à Internet et au réseau LAN – 172.16.1.1/24

o Créer un WLAN SSID « N°Equipe-video-Kestudi » pour la connexion de vos caméras en Wifi

– 10.10.10.1/24

o Créer un WLAN SSID « N°Equipe-guest-Kestudi » pour les invités (sous-traitants, clients,

partenaires) venant se connecter dans votre entreprise avec un accès restreint à Internet

uniquement - - 192.168.20.1/24

- Pour l’infrastructure réseau LAN filaire : o Créer sur votre LAN [Ethernet – port X0, X2, X3, X4] : 172.16.10.1/24 – réseau pour les

employés

- Pour la vidéo surveillance o Paramétrer et connecter une caméra sur IP en Wifi de manière sécurisé dans le WLAN dédié à

la vidéo – adresse IP : 10.10.10.100 o Mettre en place un VPN SSL, pour accéder via Internet Explorer, ou Firefox sur poste de travail

ou smart phone [Androïde ou IPhone] à votre caméra IP. Elle doit être soit accessible depuis Internet, dans votre cas, les tests pourront se fai re à partir de la salle informatique de l’école ou bien dans le bureau du formateur qui met tra à votre disposition un accès Wifi.

- Pour la messagerie sécurisée :

o Vous devez configurer un outil de messagerie de votre choix pour envoyer et recevoir des mails sécurisés (signés et chiffrés)

o Obtenir un certificat de test X509 auprès d’une autorité de certification et échanger des mails signés et chiffrés avec le dirigeant de l’entreprise.

Consigne rapport EP :

- Réaliser le schéma réseau avec l’ensemble des informations utiles pour mettre en place le nouveau système informatique de cette agence. Ce schéma est à consigner dans votre rapport d’EP.

- Consigner dans votre rapport, les réponses qui sont également posées dans le tutoriel . L’adresse IP publique de votre société vous sera co mmuniquée par le formateur. Conseil : sauvegarder régulièrement les configurations de vos équipements à chaque étape clés de l’EP

Etude Pratique : Sécurité

Marseille Page : 5/5 Etude Pratique de Sécurité

5.2.2. Politique de filtrage réseau et Internet Vous allez appliquer une politique de filtrage de sécurité pour chacune des zones du réseau en respectant les indications suivantes fournies par la maîtrise d’ouvrage :

- L’accès à Internet s’effectue par le biais d’une authentification explicite sur le portail captif d’authentification pour tous les utilisateurs. Tous les accès à Internet doivent conditionnés par l’acceptation de la charte Internet en ligne de votre entreprise.

- Le directeur Remy n’a aucune restriction de filtrage Internet et a accès à tous les réseaux internes de l’entreprise

- Les employés Bob, Sabrina, Paul et Aline peuvent se connecter sur le réseau filaire et sans fil et accéder à Internet en fonction de la politique de filtrage que vous aurez définie

- Les sous-traitants, partenaires et clients peuvent se connecter sur le réseau WLAN de la zone Guest et avoir accès uniquement à Internet portail selon la politique de filtrage que vous aurez définie et à aucun autre réseau interne.

- Le sous-traitant « Admin Cool » a accès au réseau Wifi de la caméra. Pour l’accès Internet, il utilisera le réseau Guest comme tous les autres sous-traitants.

Travail d’analyse : - Est-ce que cette politique de sécurité vous semble suffisante ? - Selon vous quels sont les risques résiduels ? - Quelle est votre politique de sécurité suite à votre analyse ?

Consignes Rapport EP : Cette analyse est à consigner dans le rapport d’EP.

Si vous pensez que cela est nécessaire, vous pourre z interroger à nouveau votre maîtrise d’ouvrage pour compléter cette politique de sécurit é.

Consignes Rapport EP : Veuillez argumenter vos réponses et choix dans rapport d’EP Consignes EP : Montrez par des tests simples que votre politique de sécurité est opérationnelle. Vous devez définir et rédiger la liste de test à ef fectuer pour montrer à votre maîtrise d’ouvrage que votre installation informatique est complétement op érationnelle et correspond à la politique de sécuri té qui a été définie.

Le dernier de jour de l’EP, vous prendrez rendez-vo us avec la maitrise d’ouvrage pour effectuer la recette de votre installation informatique et dé rouler également la liste des tests en question que vous aurez préalablement définie.

Consignes Rapport EP : la liste des tests devra être mentionnée dans votre rapport d’EP.

5.2.3. Messagerie sécurisée – Certificat electroniq ue

Cette partie de l’étude est indépendante. Vous utiliserez un client de messagerie de votre choix (Outlook, Thunderbird). La signature et le chiffrement du message s’effectueront à base de certificats X509. Il sera nécessaire de vous procurer un certificat X.509 de test pour votre équipe. Allez sur le site http://www.comodo.com/home/email-security/free-email-certificate.php pour cela. Il sera également nécessaire de se procurer le certificat de votre destinataire. Les modalités d’échange d’information seront vues pendant l’étude avec le formateur. Consigne EP : Vous enverrez des messages électroniques signés par votre certificat électronique et vous chiffrerez les messages électroniques à destination de votre formateur. Consigne Rapport EP : Expliquer le fonctionnement de la messagerie sécurisée et vos tests pour valider le bon fonctionnement. Note : Le formateur vous donnera son certificat électroniq ue durant l’EP.