Étude de cas sécurité pour des élèves ingénieurs en génie industriel. L'objectif est de définir et d'appliquer une politique de sécurité opérationnelle sur la base de produits de sécurité standard.
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
1. Etude Pratique : Sécurité
Marseille Page : 1/5 Etude Pratique de Sécurité
ETUDE PRATIQUE SECURITE - SECURITE 2014
DATE : 22 AVRIL 2014
PHILIPPE PRESTIGIACOMO
1. OBJECTIF DE L’ETUDE PRATIQUE
La finalité de cette EP est d’approfondir vos connaissances acquises pendant le cours de réseau et de mettre en
pratique ces dernières. Vous remettrez au formateur, votre rapport, ainsi que l’ensemble des fichiers et
documents que vous jugerez nécessaires (configuration, captures réseau, impression).
2. ORGANISATION – RAPPORT - EVALUATION
Dans le cadre cette étude, vous rédigerez un rapport qui décrira le travail effectué, vos choix et résultats. Il
décrira par ailleurs, la répartition des rôles au sein de l’équipe et les difficultés rencontrées. Le rapport
contiendra au maximum 20 pages (annexes non comprises). Le rapport sera transmis au format électronique.
En fin de semaine, le formateur examinera votre réalisation et vous interrogera selon les modalités en
vigueur. Des notes individuelles et collectives vous seront attribuées.
3. AVERTISSEMENTS & CONSEILS
Pour la mise en œuvre pratique, veuillez vous référer à la documentation des constructeurs, éditeurs,
disponibles dans la salle d’EP (CD ou sur Internet).
Veuillez d’abord lire attentivement les documentations avant de procéder à des manipulations sur
les équipements.
Vous allez créer un répertoire au nom de votre équipe dans lequel vous placerez l’ensemble des
fichiers produits au cours de l’EP.
En plus des postes de travail, les équipements ci-dessous seront mis à votre disposition et devront être
intégralement restitués. Routeur Wifi de sécurité Sonic Wall TZ-100 / Caméra IP Wifi DCS 2230
Dans le cadre de l’étude pratique, vous serez amenés à télécharger des programmes sur Internet.
Tout autre téléchargement est strictement interdit. Les personnes qui ne respecteront pas cette règle
seront sanctionnées comme le prévoit la charte informatique de l’école.
Tous les mots de passe que vous définirez durant l’EP, devront être consignés par écrit pour éviter
une perte ou un oubli, et permettre au formateur d’analyser vos configurations dans la cadre de la
notation de votre travail.
Vous pouvez utiliser un de vos ordinateurs pour se connecter en Wifi et faire les tests, sous-
réserve qu’il soit muni d’un antivirus à jour et d’une analyse récente de votre disque dur n’ayant détecté
aucun virus. (Acceptation préalable par le formateur)
2. Etude Pratique : Sécurité
Marseille Page : 2/5 Etude Pratique de Sécurité
4. THEORIE - RAPPEL DU COURS
Objectif : Revoir certaines notions du cours afin de traiter l’étude de cas.
Travail demandé : Veuillez répondre aux questions suivantes de manière exhaustive.
1. Quel est l’objectif d’une analyse de risque du système d’information et citez une méthode d’analyse de
risque ?
2. Veuillez définir les notions de disponibilité, d’intégrité, de confidentialité, et de traçabilité de l’information
? Donner des exemples de mesures concrètes de sécurité organisationnelles et techniques pour
chacun des besoins suivants : disponibilité, d’intégrité, de confidentialité, et de traçabilité de
l’information
3. Qu’est-ce qu’un VPN (Virtual Private Network) et quels sont les usages des VPN citez des
exemples ?
4. Quels risques majeurs identifiez-vous concernant l’accès en VPN SSL avec accès total à toutes les
ressources de la société depuis Internet à partir un smart phone ? quelles sont les mesures techniques
et organisationnelles à mettre en œuvre pour réduire ces risques ?
5. Quels risques majeurs identifiez-vous concernant la mise en place de caméra de vidéosurveillance,
connectées en Wifi ? quelles sont les mesures techniques et organisationnelles à mettre en œuvre pour
réduire ces risques ?
6. Quel est l’importance de la supervision de la sécurité (outils centralisation des logs, et reporting) pour
maîtriser la sécurité ?
7. Comment fait-on pour sécuriser l’administration d’un système de sécurité tel qu’un équipement firewall
Sonicwall ? Citez au moins 3 mesures de sécurité concrètes que vous avez pu mettre en pratique au
cours de l’EP Sécurité.
8. Quels sont les informations relatives aux connexions Internet des utilisateurs que l’on peut enregistrer
dans sur le firewall Sonicwall ? Combien de temps doit-on conserver ces informations pour être
conforme à la loi ?
9. Veuillez expliquer la démarche pour obtenir un certificat électronique auprès d’une autorité de
certification ?
10. Expliquer le rôle d’une autorité de certification. Expliquer le mécanisme de génération d’un certificat
utilisateur par une autorité de certification.
5. ETUDE DE CAS : MISE EN SITUATION ET EXPERIMENTATION
5.1. CONTEXTE
L’étude porte sur l’entreprise « Kestudi » qui possède un site industriel existant depuis plusieurs dizaines
d’années, disposant d’installations hétérogènes, dont certaines sont en phase d’obsolescence. Les
installations sont pilotées par des automates industriels (API /PLC) et supervisées par un ensemble de
SCADA regroupé dans un centre d’exploitation. Certaines de ces installations, comme les lignes de production
de l’atelier d’assemblage, disposent de contraintes « temps réel » et d’autres, comme une unité de distribution
de matières dangereuses, de contraintes de sûreté de fonctionnement et de disponibilité.
La direction du site demande l’évolution du système de SCADA, afin que celui-ci puisse communiquer
avec le système d’information de gestion dans le but d’améliorer les coûts et délais de production. Les
informations collectées au niveau du SCADA devront être accessibles à l’ensemble des responsables du site
depuis leurs postes bureautiques. Enfin, en vue d’optimiser les coûts de fonctionnement, il est demandé de
mettre en place d’une solution de télémaintenance pour que le sous-traitant historique « Admin Cool » puisse
intervenir à distance.
3. Etude Pratique : Sécurité
Marseille Page : 3/5 Etude Pratique de Sécurité
5.1. VOTRE MISSION
En tant que maîtrise d’œuvre, vous êtes le responsable de l’équipe technique et informatique de la société
« Kestudi » basée à Cadarache.
En tant que maîtrise d’ouvrage, le dirigeant de l’entreprise, « Remy » vous a mandaté en tant que chef de projet
pour conduire ce changement informatique. Vous devez renouveler le réseau existant sujet obsolète par un
nouveau réseau plus performant en filaire Ethernet et sans-fil en Wifi. Une solution de vidéo surveillance sur IP
devra être mise en place pour superviser les lignes de fabrication.
Par ailleurs, la société « Kestudi » a été victime d’une intrusion informatique dans son système de messagerie
avec vol d’information en début d’année. Quelques mois auparavant, la propagation d’un virus introduit par une
clé USB sur un poste SCADA avait généré un trafic réseau important et provoqué des dysfonctionnements sur
les systèmes industriels. Cette mésaventure prouve la nécessité de mieux protéger les systèmes industriels.
Elle montre aussi que les attaques externes ne sont pas les seules menaces. Cela a permis de sensibiliser le
dirigeant de la société sur les aspects de sécurité des systèmes d’information.
Les besoins exprimés par votre maîtrise d’ouvrage sont les suivants :
- Les employés doivent pouvoir se connecter au réseau sans-fil et filaire et pouvoir accéder à toutes les
ressources informatiques ainsi qu’à Internet.
- Le sous-traitant « Admin Cool »peut se connecter uniquement au réseau sans-fil et uniquement à la
vidéo surveillance. Il n’aura pas accès à Internet.
- Tous les réseaux sans-fil doivent être sécurisés et inaccessibles à des personnes non autorisées
- Les accès à Internet sont autorisés sous-réserve d’acceptation d’une charte Internet en ligne
- Une politique de sécurité devra être établie (politique de filtrage Web de filtrage de protocole, de gestion
des mots de passe ….) suite à votre entretien avec le Dirigeant de la société « Kestudi »
- La solution de Télémaintenance en VPN SSL rendra accessible l’accès à la vidéo surveillance à
distance par Internet à partir de son smart phone ou de son ordinateur portable. L’accès logique à la
caméra de vidéosurveillance doit être sécurisé et strictement restreint au sous-traitant.
- La messagerie électronique sécurisée S/MIME à base de certificat X509 devra être utilisée pour vos
échanges d’information avec Remy durant le projet.
5.2. VOTRE COMPREHENSION DU BESOIN ET ORIENTATIONS TECHNIQUES
5.2.1. Interview avec la maîtrise d’ouvrage
Dans la cadre de cette étude de cas, vous devez interroger votre maîtrise d’ouvrage, Remy, afin de lui faire
préciser certains besoins et de valider votre compréhension du travail à réaliser. A cet effet, vous allez prendre
rendez-vous pour un entretien avec lui lors du démarrage de ce nouveau projet.
Afin de préparer au mieux le déroulement de cet entretien, vous allez préparer par écrit vos
questions et thématiques à traiter avec votre Directeur dont voici une liste non exhaustive et à
titre d’exemple :
- Politique de gestion des mots de passe pour l’administrateur informatique et les utilisateurs
- Politique de filtrage Web, sites autorisés et sites interdits, mots clés à prohiber etc…
- Politique de gestion des temps d’inactivité avant déconnexion des utilisateurs
- Politique de filtrage de flux autorisés vers Internet (Web Peer to Peer, Chat ….)
- Politique de traçabilité – quelles sont les informations à conserver (durée de rétention, archivage)
- Politique de télémaintenance pour la société « Admin Cool »
- Politique de Patch Management des ordinateurs de bureautique et des postes SCADA
4. Etude Pratique : Sécurité
Marseille Page : 4/5 Etude Pratique de Sécurité
Consigne rapport EP : les éléments utiles de cet entretien seront à consignés dans votre rapport d’EP. Au
préalable de l’entretien vous lirez le document PDF intitulé « Maîtriser la SSI pour les Systèmes
Industriels »
5.2.1. Orientations techniques du réseau informatique
Suite à cet entretien, votre équipe informatique a spécifié les points ci-dessous. Naturellement, ces
spécifications sont à compléter avec les éléments complémentaires obtenus durant l’entretien avec Remy.
Par chance vous trouvez un tutoriel sur Internet qui vous permettra de débuter votre
apprentissage sur les équipements mis en jeu dans cette nouvelle installation.
- Pour l’infrastructure réseau WLAN sans-fil :
o Créer un WLAN SSID « N°Equipe-employes-Kestudi » pour les employés de votre entreprise
avec un accès à Internet et au réseau LAN – 172.16.1.1/24
o Créer un WLAN SSID « N°Equipe-video-Kestudi » pour la connexion de vos caméras en Wifi
– 10.10.10.1/24
o Créer un WLAN SSID « N°Equipe-guest-Kestudi » pour les invités (sous-traitants, clients,
partenaires) venant se connecter dans votre entreprise avec un accès restreint à Internet
uniquement - - 192.168.20.1/24
- Pour l’infrastructure réseau LAN filaire :
o Créer sur votre LAN [Ethernet – port X0, X2, X3, X4] : 172.16.10.1/24 – réseau pour les
employés
- Pour la vidéo surveillance
o Paramétrer et connecter une caméra sur IP en Wifi de manière sécurisé dans le WLAN dédié à
la vidéo – adresse IP : 10.10.10.100
o Mettre en place un VPN SSL, pour accéder via Internet Explorer, ou Firefox sur poste de travail
ou smart phone [Androïde ou IPhone] à votre caméra IP. Elle doit être soit accessible depuis
Internet, dans votre cas, les tests pourront se faire à partir de la salle informatique de
l’école ou bien dans le bureau du formateur qui mettra à votre disposition un accès Wifi.
- Pour la messagerie sécurisée :
o Vous devez configurer un outil de messagerie de votre choix pour envoyer et recevoir des mails
sécurisés (signés et chiffrés)
o Obtenir un certificat de test X509 auprès d’une autorité de certification et échanger des mails
signés et chiffrés avec le dirigeant de l’entreprise.
Consigne rapport EP :
- Réaliser le schéma réseau avec l’ensemble des informations utiles pour mettre en place le nouveau
système informatique de cette agence. Ce schéma est à consigner dans votre rapport d’EP.
- Consigner dans votre rapport, les réponses qui sont également posées dans le tutoriel.
L’adresse IP publique de votre société vous sera communiquée par le formateur.
Conseil : sauvegarder régulièrement les configurations de vos équipements à chaque étape clés de l’EP
5. Etude Pratique : Sécurité
Marseille Page : 5/5 Etude Pratique de Sécurité
5.2.2. Politique de filtrage réseau et Internet
Vous allez appliquer une politique de filtrage de sécurité pour chacune des zones du réseau en respectant les
indications suivantes fournies par la maîtrise d’ouvrage :
- L’accès à Internet s’effectue par le biais d’une authentification explicite sur le portail captif
d’authentification pour tous les utilisateurs. Tous les accès à Internet doivent conditionnés par
l’acceptation de la charte Internet en ligne de votre entreprise.
- Le directeur Remy n’a aucune restriction de filtrage Internet et a accès à tous les réseaux internes de
l’entreprise
- Les employés Bob, Sabrina, Paul et Aline peuvent se connecter sur le réseau filaire et sans fil et
accéder à Internet en fonction de la politique de filtrage que vous aurez définie
- Les sous-traitants, partenaires et clients peuvent se connecter sur le réseau WLAN de la zone Guest et
avoir accès uniquement à Internet portail selon la politique de filtrage que vous aurez définie et à aucun
autre réseau interne.
- Le sous-traitant « Admin Cool » a accès au réseau Wifi de la caméra. Pour l’accès Internet, il utilisera le
réseau Guest comme tous les autres sous-traitants.
Travail d’analyse :
- Est-ce que cette politique de sécurité vous semble suffisante ?
- Selon vous quels sont les risques résiduels ?
- Quelle est votre politique de sécurité suite à votre analyse ?
Consignes Rapport EP : Cette analyse est à consigner dans le rapport d’EP.
Si vous pensez que cela est nécessaire, vous pourrez interroger à nouveau votre maîtrise
d’ouvrage pour compléter cette politique de sécurité.
Consignes Rapport EP : Veuillez argumenter vos réponses et choix dans rapport d’EP
Consignes EP : Montrez par des tests simples que votre politique de sécurité est opérationnelle.
Vous devez définir et rédiger la liste de test à effectuer pour montrer à votre maîtrise d’ouvrage que
votre installation informatique est complétement opérationnelle et correspond à la politique de sécurité
qui a été définie.
Le dernier de jour de l’EP, vous prendrez rendez-vous avec la maitrise d’ouvrage pour effectuer
la recette de votre installation informatique et dérouler également la liste des tests en question
que vous aurez préalablement définie.
Consignes Rapport EP : la liste des tests devra être mentionnée dans votre rapport d’EP.
5.2.3. Messagerie sécurisée – Certificat electronique
Cette partie de l’étude est indépendante. Vous utiliserez un client de messagerie de votre choix (Outlook,
Thunderbird). La signature et le chiffrement du message s’effectueront à base de certificats X509.
Il sera nécessaire de vous procurer un certificat X.509 de test pour votre équipe. Allez sur le site
http://www.comodo.com/home/email-security/free-email-certificate.php pour cela. Il sera également nécessaire
de se procurer le certificat de votre destinataire. Les modalités d’échange d’information seront vues pendant
l’étude avec le formateur.
Consigne EP : Vous enverrez des messages électroniques signés par votre certificat électronique et vous
chiffrerez les messages électroniques à destination de votre formateur.
Consigne Rapport EP : Expliquer le fonctionnement de la messagerie sécurisée et vos tests pour valider le bon
fonctionnement.
Note : Le formateur vous donnera son certificat électronique durant l’EP.