BTS Services informatiques aux organisations

BLOC 3 - SISR - CYBERSÉCURITÉ

DES SERVICES INFORMATIQUES
DEVOIR 2

Valérie Martinez - Jérôme Bézet-Torres

Les cours du CNED sont strictement réservés à l’usage privé de leurs destinataires et ne sont pas destinés à une utilisation collec-
tive. Les personnes qui s’en serviraient pour d’autres usages, qui en feraient une reproduction intégrale ou partielle, une traduc-
tion sans le consentement du CNED, s’exposeraient à des poursuites judiciaires et aux sanctions pénales prévues par le Code de la
propriété intellectuelle. Les reproductions par reprographie de livres et de périodiques protégés contenues dans cet ouvrage sont effec-
tuées par le CNED avec l’autorisation du Centre français d’exploitation du droit de copie (20, rue des Grands-Augustins, 75006 Paris).
CNED, BP 60200, 86980 Futuroscope Chasseneuil Cedex, France
© CNED 2022 87R32DVWB0221
CAS FORMASUD

Durée : 2 heures

Barème indicatif (notation sur 40, note finale sur 20) :

— Mission A1 : 13 points
— Mission A2 : 7 points
— Mission B1 : 14 points
— Mission B2 : 6 points

Présentation de l'organisme FORMASUD

Formasud est un organisme de formation pour adultes situé dans le Sud de la France et dont le siège se
trouve à Nice.
Suite aux nouveaux dispositifs mis en place par l’état pour développer la formation tout au long de la vie,
l’organisme est en pleine expansion et a ouvert plusieurs succursales dont une à Marseille.
Le réseau informatique du site de Marseille compte près de 350 postes pour des utilisateurs variés
(formateurs, stagiaires, administratifs, visiteurs...). Sa gestion est sous la responsabilité de la direction
des systèmes informatique (DSI) qui est en liaison avec le siège de Formasud à Nice.
Chaque fin d'année, la DSI organise une réunion avec les principaux chefs de service afin de faire un
bilan de l'année écoulée. L'objectif est aussi de déterminer les futures évolutions à apporter au système
d’information. Suite à la dernière réunion, deux projets sont à l'étude.
Le premier projet concerne l'extension de la couverture du réseau Wi-Fi dans la salle de visioconférence
située au 2e sous-sol.
Le second projet concerne la sécurité du système informatique et fait suite à une attaque virale subie en
début d'année ayant affecté les postes des salles de formation.
Le responsable réseau souhaite profiter de ces projets pour auditer la politique de sécurité informatique
de l'hôpital au regard des exigences de la norme ISO/CEI 27002 relative à la sécurité de l'information.
Au sein du service réseau de la DSI de Formasud, vous travaillez sur ces deux projets.
Dans un premier temps, votre travail consistera à participer à la proposition de solutions techniques
répondant aux besoins définis sur chacun des projets. Dans un second temps, vous participerez à leur
mise en œuvre. Pour réaliser les différentes missions, vous vous appuierez sur le dossier documentaire
fourni.

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 1

DOSSIER A
PROJET D'EXTENSION DU RÉSEAU WI-FI ET
AUDIT DE SÉCURITÉ

Dans le cadre de ce projet, votre participation consiste, dans un premier temps, à étudier les actions
à mettre en œuvre afin d'étendre le réseau Wi-Fi existant dans la salle de visioconférence. Dans un
deuxième temps, vous passez à la réalisation effective des modifications et aux vérifications de sécurité.

— Mission A1 – Étude de la conformité de la solution proposée

Le responsable réseau vous demande de vérifier la pertinence des modifications envisagées par rapport
aux besoins exprimés.

— Question A1.1
Expliquer comment l'architecture proposée répond aux besoins suivants :
a) isolation des flux Wi-Fi des autres flux de visioconférence ;
b) priorisation des flux de visioconférence sur les flux du réseau Wi-Fi ;
c) tolérance de panne garantissant une disponibilité de l'accès au serveur d’application du siège
distant.

— Question A1.2
Expliquer comment le commutateur SW-Ax pourra différencier les trames en fonction de leur VLAN
lorsqu'elles entrent ou sortent par le port F1.

Le contrôleur de points d'accès n'est pas configuré pour attribuer des adresses IP, il transmet les
demandes de configuration IP des stagiaires sans fil vers le serveur DHCP localisé dans le VLAN
« SERVEURS ».

— Question A1.3
Expliquer pourquoi les datagrammes de découverte des serveurs DHCP, envoyés par les ordinateurs
du réseau sans fil, peuvent traverser le cluster de routeurs RT-Cx et atteindre le serveur DHCP.

Votre responsable vous demande de participer à la préparation d'une série de vérifications qui serviront
à valider les travaux effectués.

— Question A1.4
Donner un exemple de configuration reçue par un utilisateur pour chacun des 2 réseaux Wi-Fi à
étendre : FORMATEUR et STAGIAIRE. L’exemple de configuration indiquera le SSID, la plus petite
adresse IP de la plage d'hôtes, le masque et la passerelle.

— Mission A2 – Évaluation des risques sur la sécurité du réseau

L'objectif attendu par le responsable réseau est la limitation d'écoute passive par un portable pirate
disposant d’une liaison Wi-Fi et ayant cassé la clé WPA2.

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 2

 — Question A2.1
Proposer une solution matérielle et une solution logicielle permettant de réduire les risques d’écoute
passive via le réseau Wi-Fi FORMATEUR et ses conséquences sur les équipements actuels.

Afin de prendre en compte la norme ISO/CEI 27002 relative à la sécurité de l'information, vous participez
à la réalisation d'un audit sur la sécurité du réseau.
Un premier document a été élaboré afin de recenser les menaces de sécurité susceptibles d'être
rencontrées.

— Question A2.2
a) Classer les menaces de sécurité figurant dans l'extrait du rapport d'audit en fonction des quatre
couches du modèle TCP/IP : accès réseau, réseau (ou internet), transport et application.
b) Préciser si le routeur RT-Cx (Juniper SSG 320) dispose d'options permettant la détection des flux
associés à du trafic malicieux (virus, scans de ports, attaques réseaux…).

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 3

DOSSIER B
AUDIT DE SÉCURITÉ SUR LA GESTION DU PARC INFORMATIQUE

— Mission B1 – Identifier et gérer les failles de sécurité du parc informatique de la salle de

formation (14 points)
Un formateur, qui intervient sur les sessions de formation aux outils numériques au siège de Paris, a
alerté Marc Mattei, le RSSI, en indiquant plusieurs dysfonctionnements au niveau du parc informatique
de la salle de cours, qui pourraient remettre en cause l’intégrité du réseau local et donc des données.
Il vous est demandé :
• d’analyser la configuration des différents postes de travail et les processus d’authentification des utili-
sateurs afin de diagnostiquer les failles de sécurité ;
• d’émettre des propositions pour améliorer la sécurité des sessions utilisateurs.
Pour cela, vous disposez, dans le dossier documentaire, d’un certain nombre d’informations concernant
la configuration des postes et le processus de gestion des comptes utilisateurs.

— Question B1.1
Repérez les failles de sécurité liées à la configuration système des postes de travail et au processus
d’authentification des utilisateurs.

— Question B1.2
Expliquez en quoi la procédure d’attribution des autorisations et privilèges sur les dossiers de
stockage des données ne permet pas de garantir la sécurité des données de chaque utilisateur.

— Question B1.3
Détaillez, en justifiant, quelles premières modifications vous pouvez apporter pour corriger les failles
de sécurité identifiées précédemment.

— Mission B2 – Gestion de la stratégie de mot de passe (6 points)

Afin de renforcer la sécurité, l’auditeur demande de proposer une solution pour avoir plusieurs
stratégies de mot de passe.

— Question B2.1
Quel est le nom du type d’objet à créer ? Dans quel containeur sera-t-il créé ?

—Question B2.2
Proposez une configuration de la stratégie de mot de passe pour le groupe Administrateurs du
domaine. Cette proposition devra comporter au minimum : Priorité, Longueur minimale, Age,
Verrouillage. Argumentez vos réponses.

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 4

DOCUMENTS ASSOCIÉS AU DOSSIER A

Document A1 : Système informatique de FormaSud Marseille

Le cœur de réseau du site de Marseille est constitué de deux routeurs de type JUNIPER SSG 320 (RT-Cx)
implémentant le protocole VRRP1. L'accès au réseau est assuré par des commutateurs de type HP
PROCURVE 2810/48G.
Chaque service et chaque formation sont dans un VLAN. Les VLAN sont gérés de façon statique. Le
protocole VTP (VLAN Trunking Protocol) n’est donc pas utilisé au sein de l’organisme.
Les cent cinquante postes stagiaires sont sous système d’exploitation Windows et l'infrastructure
serveur est virtualisée autour de la solution VMware ESXi. Le site dispose aussi de quelques tablettes
sous système d’exploitation Windows Professionnel.
L’adressage IPv4 est géré de manière dynamique pour l’ensemble des stagiaires de l’infrastructure. Les
serveurs sont en adressage fixe. Les serveurs présents sont les suivants :

Serveur RADIUS 172.16.123.69

Serveur PROXY 172.16.123.70
Serveur PORTAIL CAPTIF 172.16.123.71
Serveur AD (LDAP)/DNS/DHCP 172.16.123.72
Serveur SUPERVISION 172.16.123.73
Serveur de gestion de parc et d’incidents 172.16.123.74
Serveur FICHIERS 172.16.123.75
Un serveur mandataire (PROXY) filtre les accès à internet en fonction des URL.
Les utilisateurs sont gérés par un contrôleur de domaine sous Windows server avec comme nom de
domaine : formasud.fr. Des unités d'organisation (OU2) regroupent les utilisateurs par VLAN.

1 Protocole de redondance de routeur (Virtual Router Redundancy Protocol) assurant la haute disponibilité de la passerelle par
défaut.
2 Objet de l'annuaire pouvant contenir des objets du domaine (utilisateurs, ordinateurs...).

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 5

Document A2 : Schéma logique du réseau et de l’accès distant

Document A3 : Extrait du cahier des charges sur le projet d'extension de la couverture

Wi-Fi

Situation existante

FormaSud Marseille est composé de deux bâtiments s'étendant sur 5 niveaux (niveaux -2 à 3). L'accès au
réseau Wi-Fi est disponible pour trois catégories d'utilisateurs : formateurs, stagiaires et visiteurs.
Le réseau Wi-Fi est couvert par 35 points d'accès gérés par un contrôleur. La salle de visioconférence,
située au niveau -2, n'est pas couverte par les ondes Wi-Fi. Le commutateur qui la dessert ne fait
transiter que les flux associés au réseau de visioconférence. Elle comprend une vingtaine de machines
autour d'un écran géant et d'un équipement de vidéoprojection.

Modifications envisagées

La direction souhaite que la salle de visioconférence soit couverte par les réseaux Wi-Fi des formateurs
et des stagiaires. Pour arriver à cet objectif, la DSI a mis en avant les besoins de modification suivants :
• intégration d'un nouveau point d'accès, couvrant la salle de visioconférence, sur le modèle des 35
autres points d'accès déjà présents ;
• configuration de l'accès aux réseaux Wi-Fi sur le commutateur desservant la salle de visioconférence
(accès aux réseaux Wi-Fi, priorisation des flux du vlan « VISIO »).

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 6

Document A4 : Schéma logique du réseau Wi-Fi

Les SSID des réseaux Wi-Fi portent le même nom que leur VLAN.

Document A5 : Extrait de l'audit interne relatif à la sécurité informatique

Objectif

Prendre en compte les exigences de la norme ISO/CEI 27002 relative à la sécurité de l'information
compte tenu de la croissance continue de l'informatique au sein des processus de soins.

Typologie des risques et des menaces (extrait)

• Menace 1 : un utilisateur appartenant au réseau Wi-Fi des stagiaires parvient à exécuter des
commandes ping qui ont abouti vers des machines appartenant au VLAN « Formateur », ce qui est
normalement interdit ;
• Menace 4 : un utilisateur connecté au réseau réalise une attaque de type MAC Flooding3 ;
• Menace 7 : un utilisateur du réseau accède à des sites web dont l'hôpital souhaite interdire l'accès
(sites publicitaires, piratage, réseaux sociaux...).

Document A6 : Extrait de la documentation JUNIPER SSG 320

Source juniper.net

La gamme de routeurs JUNIPER SSG 320 est conçue pour satisfaire les exigences des stagiaires en
matière de réseau et de sécurité. Ces routeurs offrent 4 interfaces fixes 10/100/1000 ainsi que des
emplacements PIM (Physical Interface Module) permettant une évolution vers des liaisons de type LAN
SFP et WAN ADSL/ADSL2/ADSL2+ et G.SHDSL.

3 Attaque visant à saturer un commutateur de milliers d'entrées associant une adresse MAC à un port (inondation). Le but étant
d'obtenir un épuisement des ressources du commutateur.

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 7

Dimension et alimentation

• dimensions (largeur,hauteur,profondeur) : 44,5x6,6x38,3 cm ;

• unité de rack : 1,5 ;
• blocs d'alimentation à sorties multiples : bloc d'alimentation qui fournit du courant au moyen de deux
sorties principales, dont une de secours.

Routage

• routage IP statique, protocoles de routage dynamique : RIPv1/RIPv2, OSPF, RIPng ;

• agent relais DHCP ;
• traduction d'adresses réseau NAT/PAT ;
• IP virtuelles.

Gestion unifiée des menaces

• pare-feu : des listes de contrôle d'accès (ACL) permettent de filtrer le trafic en fonction de l'adressage
IP source et destination ainsi que des numéros de ports ;
• antivirus : antiespiongiciel (antispyware), antipubliciel (antiadware), antienregistreur de frappe (antikey-
logger)... ;
• antipourriels (antispam) ;
• intègre un système de prévention des intrusions. Les IPS (Intrusion Prevention System) écoutent le
trafic afin de vérifier l'intégrité et la cohérence des échanges et peuvent prendre des mesures en cas
de suspicion d’intrusion (blocage de ports, alerte courriel, etc.)

Qualité de service (QoS)

• mécanisme DiffServ (Differentiated Services) permettant de classer et de prioriser les flux dans le
cadre de la qualité de service.

Haute disponibilité

• protocole VRRP (Virtual Router Redundancy Protocol).

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 8

DOCUMENTS ASSOCIÉS AU DOSSIER B

Document B1 : Informations concernant la configuration des postes

Configuration des postes de travail

Observations réalisées sur les postes de travail de la salle de formation.

Création des comptes et partages

Avant une formation, le formateur dispose de la liste des participants. Il crée un compte portant le
nom de chacun (avec comme mot de passe la date de naissance du stagiaire) et ajoute dans le dossier
partagé « PartagesParticipant » un sous-dossier de stockage des données pour chaque stagiaire. Ces
actions sont réalisées sur le poste formateur.

À la première connexion, l’utilisateur est invité à changer le mot de passe.

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 9

Document B2 : Informations concernant les mots de passe

Enquête auprès des utilisateurs sur leur choix en termes de mots de passe

Le formateur a profité de sa dernière session de formation pour réaliser une enquête auprès des
utilisateurs pour connaître leurs choix en termes de mots de passe. Le graphique ci-dessous en indique
le résultat.

Stratégie de groupe

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 10

Centre d’administration Active Directory

CNED – BTS SIO – BLOC 3 - SISR - Devoir 2 – 11

Les cours du CNED sont strictement réservés à l’usage privé de leurs destinataires et ne sont pas destinés à une utilisation collec-
tive. Les personnes qui s’en serviraient pour d’autres usages, qui en feraient une reproduction intégrale ou partielle, une traduc-
tion sans le consentement du CNED, s’exposeraient à des poursuites judiciaires et aux sanctions pénales prévues par le Code de la
propriété intellectuelle. Les reproductions par reprographie de livres et de périodiques protégés contenues dans cet ouvrage sont effec-
tuées par le CNED avec l’autorisation du Centre français d’exploitation du droit de copie (20, rue des Grands-Augustins, 75006 Paris).
CNED, BP 60200, 86980 Futuroscope Chasseneuil Cedex, France
© CNED 2022 87R32DVWB0221