Embed Size (px)
Citation preview
CONCOURS INTERNE POUR L’ACCES AU CORPS DES INGENIEURS DES SYSTEMES D’INFORMATION
ET DE COMMUNICATION
- SESSION 2016 -
MARDI 28 JUIN 2016
Cas pratique à partir d'un dossier à caractère technique de 25 pages maximum permettant d'apprécier les qualités d'expression, d'analyse et de synthèse du candidat et sa capacité à conduire un projet.
(Durée : 4 heures – Coefficient 1)
Le dossier documentaire comporte 19 pages.
IMPORTANT
IL EST RAPPELE AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOIT APPARAITRE NI SUR LA COPIE NI SUR LES INTERCALAIRES.
SEULE L’ENCRE NOIRE OU BLEUE EST AUTORISEE
SUJET
Vous êtes responsable du SIDSIC du département Y. Un festival de musique est organisé pendant tout le mois de juillet sur la commune X dans une salle de spectacles. Toute l’infrastructure, l’organisation ainsi que le budget nécessaires pour gérer cet événement ont été validés. L’enveloppe budgétaire prévue initialement pourra être réévaluée. Vous êtes informé par le cabinet du Préfet, à trois semaines de l’ouverture du festival, que le lieu de l'événement doit changer à la suite d’inondations ayant rendu la salle de spectacles inutilisable, et que les spectacles prévus se dérouleront désormais en plein air. L’ensemble des services de sécurité (cabinet du préfet, police, gendarmerie, sapeurs- pompiers…), les services de la commune et les associations agréées de sécurité civile sont mobilisés pour mettre en place une nouvelle organisation afin d’assurer la sécurité de la manifestation et des festivaliers. Dans ce cadre, le préfet vous charge d'assurer la coordination des moyens techniques permettant le maintien en condition opérationnelle et la sécurité des systèmes de communication utilisés par l'ensemble des intervenants. Les sapeurs-pompiers et les services de police ont déjà prévu le déploiement de plusieurs solutions logicielles accessibles en mobilité. Il s'agit par exemple d'applications à usage collaboratif accessibles selon différents niveaux de sécurité (de public à restreint). De votre coté, vous disposez des moyens informatiques à votre disposition pour gérer l'événement : liste des intervenants, agenda détaillé, gestion des stocks, … au sein du système d'information de votre service. A tout moment, avant et pendant l’événement, la liste des intervenants peut évoluer. Alors que toute l’infrastructure initialement prévue était opérationnelle avec des accès directs en intranet, il vous est imposé de donner l'accès à votre système d'information dans un contexte de mobilité. De plus, les sapeurs-pompiers demandent que des échanges réguliers soient mis en place entre vos systèmes d'informations. Mais, vos équipes vous remontent qu'il ne sera pas possible dans les délais impartis de sécuriser complètement les échanges avec eux dans un contexte de mobilité. La seule solution qui vous est proposée est à base d’échanges par courrier électronique. Vous devez rédiger, à l'attention du préfet, une note présentant votre proposition de dispositif et un plan d'action qui intègre les différents acteurs de l’événement. Cette note de cadrage inclura notamment les éléments suivants :
• les objectifs et les enjeux ; • les scénarios de réalisation ; • l’analyse de risque ; • l’organisation du projet ; • les périmètres couverts (intégrant quelques éléments financiers).
Dossier documentaire :
Document 1
Extrait du bulletin d’alerte du 19 février 2016 du CERT-FR, Centre gouvernemental de veille, d’alerte et de réponses aux attaques informatiques. http://cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
pages 1 à 2
Document 2
Extrait de la « Note technique » du 09 septembre 2016 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) relative aux recommandations de sécurité des réseaux WIFI http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_WIFI_NoteTech.pdf
pages 3 à 4
Document 3
« Dans un souci de simplification, l’Etat met en oeuvre France Connect », site du département des Alpes-Maritimes https://www.departement06.fr/mes-demarches-en-ligne-social/france-connect-9015.html
page 5
Document 4
Extrait de la présentation « Paris Web 2015 - France Connect et OpenId Connect », de François PETITIT, consultant chez Octo Technologie http://fr.slideshare.net/fpetitit/paris-web-2015-france-connect-et-openid-connect
page 6
Document 5
Extrait de « Le projet, berceau de la sécurité du système d’information, le DPSI un acteur clé », de Philippe HUBERT, sous-directeur des relations extérieures et de la coordination de l’agence nationale de la sécurité des systèmes d’information
pages 7 à 10
Document 6
Extrait de « Authentification et mobilité (document destiné aux Administrateurs) », du centre réseau et informatique commun du centre national de la recherche scientifique (CNRS-CRIC) de Grenoble http://cric.grenoble.cnrs.fr/Administrateurs/Documentations/authentification/
pages 11 à 14
Document 7
Extrait de «Les tarifs mobilité en entreprise – temps animation saison 2 2016», site Orange http://boutique.orange.fr/doc/contrat3730.pdf
pages 15 à 16
Document 8
Extrait de «Sécurité des manifestations», site de la préfecture de l’Eure http://www.eure.gouv.fr/Politiques-publiques/Securite-et-protection-de-la-population/Grandes-manifestations/Securite-des-manifestations
pages 17 à 18
Document 9
Extrait de «Jazz à Vienne 2016 : Le programme du festival» (Exemple de manifestation de taille similaire à celle évoquée dans le sujet), site Evous http://www.evous.fr/Festival-Jazz-a-Vienne-programme-concerts,1149000.html
page 19
DOCUMENT 1
Extrait du bulletin d’alerte du 19 février 2016 du CERT-FR, Centre gouvernemental de veille, d’alerte et de réponses aux attaques informatiques.
Mesures préventives
Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.
Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :
Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
OSDRIVE\Users\*\AppData\
OSDRIVE\Windows\Temp\
Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent êtredéfinies :
UserProfile\AppData
SystemRoot\Temp
Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.
Le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.
Enfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.
Mesures réactives
Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.
1
Le CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste et la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.
Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.
Cette alerte sera maintenue tant que le volume de message électronique constaté sera considéré significatif par le CERT-FR.
2
DOCUMENT 2
Extrait de la « Note technique » du 09 septembre 2016 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) relative aux recommandations de sécurité des réseaux WIFI
2 Les risques de sécurité associés au Wi-Fi
La compromission d’un réseau sans-fil donne accès à l’ensemble des flux réseaux qui y sont échangés, ce qui inclut bien évidemment les données sensibles. Or, l’interception des flux peut être réalisée assez simplement. De par la multitude d’outils prévus à cet effet et disponibles librement, elle ne nécessite souvent aucune connaissance particulière. L’accès illégitime à un réseau Wi-Fi par une personne malveillante lui confère une situation privilégiée lui permettant de s’attaquer plus facilement à d’autres ressources du système d’information (postes de travail, serveurs, équipements réseaux) et indirectement d’accéder à d’autres données sensibles. Par manque de robustesse, les mécanismes cryptographiques intrinsèques aux réseaux Wi-Fi n’apportent parfois qu’une fausse impression de sécurité. Fin 2012, les principaux profils de sécurité sont, par ordre d’apparition : – le WEP, dont la clé (mot de passe d’accès) est cassable en moins d’une minute ;– le WPA, de robustesse variable en fonction du paramétrage utilisé ;– le WPA2, particulièrement robuste ;– et plus récemment le WPS qui simplifie l’authentification d’un terminal sur un réseau WPA2 (parcode PIN par exemple) mais ré-introduit une vulnérabilité importante qui en réduit fortement le niveaude sécurité.
De quoi dépend la sécurité d’un réseau Wi-Fi ? Les préconisations que l’on peut trouver dans les guides de bonnes pratiques en matière de sécurité Wi-Fi ne sont pas universelles. Certains déploiements peuvent exiger l’activation de paramétrages spécifiques qui, de fait, influeront différemment sur le niveau de sécurité global du réseau sans-fil et des matériels qui s’y connectent. La simple présence de la technologie Wi-Fi dans un terminal ou un équipement peut suffire à ce qu’il présente des risques de sécurité. Il est donc préférable de se passer de cette technologie lorsqu’elle ne répond à aucun besoin concret. À défaut et lorsque l’utilisation d’un réseau sans-fil est incontournable, la sécurité et la robustesse d’un réseau Wi-Fi et du matériel supportant cette technologie dépendent en général : – de l’accessibilité du réseau, c’est à dire de la portée des signaux électromagnétiques qui propagentle signal Wi-Fi ;– des mécanismes d’authentification utilisés afin d’identifier les utilisateurs du réseau de manièreunivoque et sûre ;– des mécanismes cryptographiques mis en oeuvre afin de protéger les communications sans-fil,lesquels sont souvent dérivés des mécanismes d’authentification ;– des mécanismes d’administration et de supervision des points d’accès du réseau et des terminauxutilisant le réseau ;– d’autres éléments de configuration des points d’accès Wi-Fi.Sensibilité des données échangées et disponibilité des réseaux.La technologie Wi-Fi repose sur un lien radio dont les ondes sont par nature sujettes à l’interception etaux interférences (brouillage des ondes accidentel ou intentionnel). En l’absence de moyens deprotection complémentaires conformes à la réglementation, il convient alors de ne pas utiliser de lienWi-Fi pour faire transiter des données sensibles ou critiques comme, par exemple :– des informations classifiées de défense. Leur protection en confidentialité doit impérativement êtreassurée par des équipements agréés par l’ANSSI (IGI 1300 1) ;– des informations sensibles à caractère confidentiel ;– des informations non confidentielles mais dont la disponibilité et l’intégrité sont critiques pour desinfrastructures industrielles ou d’importance vitale.Dans ces contextes, quel que soit le niveau de sécurité des réseaux Wi-Fi pouvant être mis en oeuvre,il reste préférable d’utiliser des connexions filaires. À défaut, la confidentialité des informations devraêtre assurée par l’utilisation de moyens de chiffrement complémentaires tels qu’IPsec ou TLS.
3
B Les vulnérabilités potentielles B.1 L’accessibilité du matérielLes interfaces Wi-Fi des matériels traitent les données Wi-Fi dès qu’elles sont activées. Ellesrecherchent par exemple les points d’accès Wi-Fi disponibles en réalisant des balayages des bandesde fréquences, et répondent aux sollicitations (trame de type PROBE REQUEST) venant d’autresinterfaces Wi-Fi. Il est ainsi possible de détecter les interfaces Wi-Fi dans une zone donnée, puis vialeur adresse MAC (identifiant unique associé à la carte) de déterminer leur fabricant, modèle etnuméro de série.
D’autre part, lorsqu’une interface Wi-Fi est configurée pour se connecter automatiquement à des réseaux connus, celle-ci va scanner régulièrement les fréquences Wi-Fi à la recherche des SSID de ces réseaux Wi-Fi. Il est par conséquent possible, en étant dans la même zone de couverture, de connaître les réseaux Wi-Fi auxquels un terminal accède régulièrement. B.2 La portée du signalLa norme et la réglementation sont faites pour obtenir un réseau sans fil de faible portée avec unsignal exploitable jusqu’à 100 mètres environ en ligne directe. En réalité, il est possible d’aller bien au-delà de cette distance en utilisant :– un émetteur/récepteur Wi-Fi disposant d’une bonne sensibilité et d’une puissance d’émissionaccrue ;– une antenne à fort gain sur la bande de fréquences visée.Nota Bene : Il est rappelé que l’emploi de moyens particuliers dans le but d’accéder frauduleusement àun système d’information et/ou d’intercepter des correspondances est pénalement répréhensible.B.3 Les vulnérabilités logiciellesMême si les interfaces Wi-Fi s’appuient sur une puce matérielle radio, elles restent pilotées grâce à ducode logiciel :– microcode embarqué dans la puce matérielle ;– code installé sur le système d’exploitation hôte de l’interface Wi-Fi (le pilote, entre autres).Ces briques logicielles peuvent souffrir de bogues et de failles de sécurité. Étant donné qu’elless’exécutent dans la majorité des cas avec le plus haut privilège du système, l’exploitation de tellesvulnérabilités peut mettre en péril la sécurité des terminaux et des données qui y résident, ainsi que lasécurité des points d’accès Wi-Fi.
4
DOCUMENT 3
« Dans un souci de simplification, l’Etat met en oeuvre France Connect », site du département des Alpes-Maritimes
Ce dispositif a pour but de permettre une identification, à la fois simplifiée et unifiée, aux multiples sites web des organismes publics en ayant recours à un seul compte qui sera généré par «France Connect».
Les utilisateurs ont alors la possibilité de s’identifier à tous les sites de l’administration, sans avoir pour autant besoin de recréer de nouveaux identifiants.
A terme, l'objectif de France Connect sera de proposer aux particuliers, aux professionnels, ainsi qu’aux représentants d’entreprises ou d’associations, un mécanisme d’identification reconnu par tous les services publics numériques disponibles en France. Loin de chercher à se substituer aux différents fournisseurs d’identités publics, France Connect entend fédérer leurs comptes. Il n’y aura donc ni centralisation des comptes des usagers, ni système d’identité numérique unique imposé : l’usager choisira librement les comptes qu’il souhaite fédérer.
Afin de vous simplifier les démarches, le Département des Alpes-Maritimes a souhaité être pilote dans la mise en oeuvre de ce dispositif et vous propose ainsi la possibilité de vous connecter via votre compte unique France Connect.
Cette étape dans la simplification de vos démarches auprès des administrations se verra progressivement complétée de nouveaux services, comme par exemple le partage des pièces justificatives qui peuvent vous être demandées dans le cadre des procédures en ligne, avec en ligne de mire le principe du "Dites le nous une fois".
5
DOCUMENT 4
Extrait de la présentation « Paris Web 2015 - France Connect et OpenId Connect », de François PETITIT, consultant chez Octo Technologie
6
DOCUMENT 5
Extrait de « Le projet, berceau de la sécurité du système d’information, le DPSI un acteur clé », de Philippe HUBERT, sous-directeur des relations extérieures et de la coordination de l’agence nationale de la sécurité des systèmes d’information
DIRECTION DE PROJET ET
SECURITE DES SYSTEMES D’INFORMATION
1. INTRODUCTION
Ce document renvoie notamment aux principes fondamentaux de la sécurité que sont l’analyse de risques et l’homologation imposées par la circulaire du Premier ministre n'5725/SG du 17 juillet 2014 relative à la Politique de Sécurité des Systèmes d’information de l’Etat du 17 juillet 2014, mais également, sur un périmètre plus restreint, par le référentiel général de sécurité publié dans sa version 2 par arrêté du 13 juin 2014.
Au plus haut niveau de l’Etat, la PSSIE fixe quatre objectifs pour l’intégration de la SSI dans le cycle de vie des systèmes d’information :
PSSIE-[Objectif 5]Risques : apprécier, traiter et communiquer sur les risques relatifs à la sécurité des systèmesd’information.
PSSIE-[Objectif 6]Maintien en condition de sécurité : gérer dynamiquement les mesures de protection, tout aulong de la vie du système d’information.
PSSIE-[Objectif 7]Produits et services qualifiés ou certifiés : utiliser les produits et services dont la sécurité estévaluée et attestée selon les procédures reconnues par l’ANSSI, afin de renforcer la protectiondes SI.
PSSIE-[Objectif 8]Maîtrise des prestations : veiller aux exigences de sécurité lorsqu’il est fait appel à de laprestation par des tiers.
Le directeur de projet pourra se référer aux textes de base pour éventuellement définir sa propre démarche.
La prise en compte de la sécurité au sein d’une réalisation est un projet en soi mais qui doit être parfaitement intégré au projet global et dès le stade le plus amont.
La clé étant d’une part la définition, l’élaboration et la production de livrables essentiels, relatifs à la sécurité du système d’information en cohérence avec le déroulement d’ensemble du projet et d’autre part la maîtrise du niveau de risques SSI accepté, tout au long du projet et jusqu’à la mise en service.
Sans être un guide d’application de la PSSIE ou une nleme
méthode d’analyse de risques, ce document présente succinctement et progressivement, l’élaboration et la satisfaction des exigences relatives à la sécurité des systèmes d’information.
2. LES ENJEUX DE LA SECURITE POUR LE SI DE L’ETAT
2.1 UN SYSTEME D’INFORMATION ESSENTIEL A L’ETAT
Le SI de l’Etat est au cœur des processus des ministères. Pour réaliser ses missions de service public ou mettre en œuvre ses politiques publiques de toute nature, l’Etat s’appuie sur des systèmes d’information collectant et produisant de nombreuses données plus ou moins sensibles en termes de confidentialité, d’intégrité et de disponibilité.
On peut notamment citer l’administration électronique, dont le développement a fluidifié la transmission et le traitement des données mais exige en contrepartie la mise en œuvre de moyens de protection des données à caractère personnel des citoyens et des agents de l’Etat (ex : casier judiciaire, déclaration de revenus...)
Ce développement de l’administration en ligne s’est par ailleurs traduit par une présence accrue de l’Etat sur l’Internet par le biais de nombreux portails, dont l’intégrité et la disponibilité sont essentielles à l’image en ligne de l’Etat.
7
2.2 LA VRAISEMBLANCE D’ATTAQUES DU SI DE L’ETAT EST FORTE
Le SI de l’Etat est une cible attractive pour les attaquants, qui peuvent obtenir des impacts importants en exploitant les défauts de sécurité de celui-ci.
L’existence de ces défauts de sécurité est avérée ; l’ANSSI en dresse régulièrement le constat lors de ses interventions qu’il s’agisse d’audits, d’inspections ministérielles ou de traitements d’incidents. Les faiblesses sont nombreuses.
Certaines sont intrinsèques aux applications et particulièrement à leur complexité compte tenu de leur taille qui accroît la probabilité de bugs logiciels, à leur intégration au sein d’une infrastructure existante souvent hétérogène et elle-même non maîtrisée, à leur besoin d’ouverture vers les organes déconcentrés de l’administration, vers le grand public, vers les prestataires ou vers les partenaires nationaux, internationaux.
L’absence de définition claire, dès la phase de conception, des besoins de protection du SI et de formulation précise d'exigences techniques de sécurité contribue à sa fragilisation.
D’autres faiblesses régulièrement constatées sont liées à des défauts de mise en œuvre des règles de sécurité des applications non seulement au niveau des utilisateurs mais également au niveau des fonctions d’administration, d’exploitation ou de maintenance.
Enfin les bonnes pratiques en matière de développement pour éviter l’introduction de vulnérabilité logicielle sont souvent méconnues des prestataires.
Compte tenu d’une part des faiblesses intrinsèques, techniques ou organisationnelles du SI de l’Etat et d’autre part de la menace avérée pesant sur celui-ci, il convient que tout acteur mette en œuvre les bonnes pratiques de sécurité de son ressort tout au long du cycle de vie du système, dès la phase de définition jusqu’à la phase de maintenance voire de retrait du service.
La protection du système d’information repose sur de nombreux contributeurs : l’utilisateur au quotidien, le technicien d’exploitation ou de maintenance, le développeur, l’architecte, le DSI, etc.
L’un d’eux joue un rôle essentiel il s’agit du directeur de projet (DPSI).
2.3. QUELQUES ELEMENTS DE CONTEXTE
Quelques éléments quantitatifs sont utiles pour planter le décor. Il convient de ne pas prendre ces données au pied de la lettre, mais plutôt de les considérer comme des indicateurs significatifs.
- Trois sites WEB sur quatre sont vulnérables à des attaques contre lesquelles un pare-feu oul’emploi de SSL sont impuissants. En effet, un pirate accède aux serveurs WEB de la mêmemanière que l'utilisateur. Ainsi, il transmettra sa requête, encapsulée dans le SSL utilisé côté utilisateur, via les flux autorisés pour franchir le pare-feu et en respectant les protocoles de communication permis pour atteindre l’application, en général http (s), et enfin une fois au but, cette requête « malicieuse » exploitera une faille du code.
Les applications concentrent 90 % des vulnérabilités alors que 80 % des budgets de la sécurité des systèmes d’information vont vers les infrastructures.
Une application contient en moyenne 13 failles. On ne parle pas ici de la présence ou non de mécanismes fonctionnels de sécurité type mot de passe ou contrôle de l’accès aux informations. On entend par faille, un bug logiciel dans l’implémentation pouvant être soit une erreur de conception soit une erreur de programmation mais dont l’exploitation permettra de mettre en défaut l’application.
85 % des applications utilisent des logiciels open source et 6 projets sur 10 ne suivent pas les mises à jour de ces composants.
La dépense « post attaque » qui intègre la reprise en main du système, son durcissement et sa remise en route dépend évidemment de la taille du système compromis. Le coût d’intervention en urgence d’un consultant extérieur SSI varie de 30 à 100 K€ par mois. C’est approximativement au minimum de l'ordre de 500 K€ à 1 M€ qui devront être débloqués en incluant le changement des matériels et logiciels compromis, les corrections de code sur la faille identifiée...et en espérant que d’autres failles (qui évidemment existent) ne soient pas elles aussi exploitées II!
Face à cette situation et avec une telle perspective de dépense potentielle, il est utile de réfléchir sérieusement, au stade le plus amont, c’est-à-dire celui du projet, aux actions préventives qui
pourraient être mises en place, pour éviter ou limiter les impacts de défaut de sécurité.
8
3. LA REPONSE DE L’ETAT AUX DEFIS DE LA SECURITE
Dans ce contexte, l’Etat s’est organisé pour prendre en compte la menace qui pèse sur son système d’information et en réduire la vulnérabilité. La circulaire relative à la PSSI de l’Etat décrit en son article 7 les principaux acteurs étatiques impliqués dans la sécurité du SI de l’Etat.
3.1. L’AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D’INFORMATION
L’agence nationale de la sécurité des systèmes d’information, héritière de la transformation de plusieurs entités étatiques depuis 30 ans, a été créée en 2009. Elle assure la fonction d’autorité nationale de sécurité et de défense des systèmes d’information conformément au décret n’SOOQ- 834 du 7 juillet 2009 modifié par décret n
AO11-170du 11 février 2011.
Dans le cadre de ses missions, et au sein du périmètre des systèmes d’information de l’Etat, l’ANSSI :
est chargée d’élaborer les mesures de protection du SI de l’Etat proposées au Premier ministreet de veiller à leur application ;
est chargée de mener des inspections des systèmes d’information au sein des services del’Etat
établit et tient à jour en permanence la situation du SI de l’Etat en liaison avec les chaînesfonctionnelles SSI et les directions des systèmes d’information (DSI) des ministères ;
met en oeuvre un centre de détection chargé de la surveillance permanente des réseaux, afinde réagir au plus tôt en cas d’attaque informatique.
Ainsi, au quotidien l’ANSSI apporte son concours aux services de l’Etat dans le cadre de leurs projets SI.
3.2 LA CHAINE FONCTIONNELLE SSI DES MINISTERES
Au niveau ministériel, l’organisation fonctionnelle SSI dépend du Haut fonctionnaire de défense et de sécurité (HFDS) qui est en règle générale le secrétaire général du ministère. Celui-ci confie cette fonction à son adjoint, le Haut fonctionnaire de défense et de sécurité adjoint, lui-même assisté par un Fonctionnaire de sécurité des systèmes d’information (FSSI).
Le HFDS est responsable de l’application générale de la PSSIE au sein de son ministère.
Chaque entité ministérielle dépend d’une autorité qualifiée en sécurité des systèmes d’information (AQSSI) qui est en général l’autorité de haut niveau dont dépend l’entité. L’AQSSI est assisté par un ou plusieurs RSSI. L’AQSSI est notamment en charge de signer la décision d’homologation de sécurité des systèmes d’information préalablement à leur mise en service. A défaut, il désigne une autorité d’homologation.
Les principales règles de la PSSIE relatives à la gouvernance ministérielle sont les suivantes :
PSSIE-[ORG-SSI]Sous l’autorité du HFDS, une organisation ministérielle dédiée à la SSI est déployée.
PSSIE-[ORG-ACT-SSI]Les acteurs SSI sont clairement identifiés et référencés dans un annuaire interministériel[ARAGON],
PSSIE-[ORG-RSSI]Chaque AQSSI s’appuie sur un ou plusieurs RSSI chargés de l’assister dans le pilotage et lagestion de la SSI. Des correspondants locaux peuvent être désignés.
PSSIE-[ORG-RESP]Une note d’organisation fixe la répartition des responsabilités au sein de chaque entité.
PSSIE-[ORG-PLI-PSSIM]
9
3.3 LA CHAINE OPERATIONNELLE SSI DES MINISTERES
Chaque entité contribue à la protection et à la défense des systèmes d’information de l’Etat par la mise en place d’une « chaîne opérationnelle », qui rend compte régulièrement à la chaîne fonctionnelle SSI (HFDS, FSSI). Cette chaîne opérationnelle s’appuie notamment sur les équipes en charge des SI et a pour mission :
d’organiser et de mettre en oeuvre la capacité opérationnelle de détection et detraitement des incidents ; d’assurer la circulation des informations du ministère vers l’ANSSI (incidents, donnéestechniques d’éléments suspects, traces, cartographies) et de l’ANSSI vers le ministère.
3.4. LA COMMISSION D’HOMOLOGATION : LA GOUVERNANCE SSI DES PROJETS
Le Premier ministre impose dans sa circulaire du 17 juillet 2014 et par la règle PSSIE-[INT- HOMOLOG- SSI qu’une décision d’homologation soit prononcée par l’autorité d’homologation avant la mise en service de chaque système d’information.
Pour respecter cette obligation, il est recommandé au DPSI de solliciter auprès du RSSI la désignation au plus tôt de cette autorité par l’AQSSI.
Cette autorité mettra en place et présidera la commission d’homologation qui accompagnera le projet.
10
DOCUMENT 6
Extrait de « Authentification et mobilité (document destiné aux Administrateurs) », du centre réseau et informatique commun du centre national de la recherche scientifique (CNRS-CRIC) de Grenoble
I) Introduction :
I.a) Nos objectifs :
Intégrer les éléments suivants en une solution globale :
Répondre aux besoins de mobilité et de délocalisation (Campus-Polygone)
Prendre en compte la nécessité d'identifier désormais les utilisateurs du réseau
(voir aussi la loi mars 2006 qui impose que toute connexion Internet soit identifiée,
ainsi que la note du CNRS du 1er décembre 2009)
Intégrer les accès WiFi et tous les types de client
Disposer de traces fiables et précises (accounting)
Nous appuyer sur
les standards et les normes (RADIUS, 802.1X, LDAP, EAP, les VLANs, Kerberos , ...),
Les logiciels libres ( FreeRadius, Xsupplicant, ChilliSpot, SAMBA, openVPN , ...),
La réflexion et le travail entamé dans les universités depuis 2003 ( voir aussi, et aussi ).
Y intégrer l'incontournable spécificité Microsoft
PEAP, l'authentification native avec Windows
les Active Directory pouvant se trouver dans les laboratoires
Adopter une politique compatible avec les organismes qui promeuvent la mobilité par la gestion
des accès réseau, en France ( ARREDU ), et dans le monde ( EduRoam)
Limiter les contraintes aux administrateurs et aux utilisateurs
I.b) Organigramme de la solution complète
11
Le VPN répond à la problématique "délocalisation de certains chercheurs", lorsque le mécanisme 802.1X n'est pas applicable.
Le portail captif offre un accès minimum (Internet, imprimantes, ...) aux ordinateurs ne supportant pas 802.1X.
Cependant, dans tous les cas il y a authentification et traces dans les logs de la connexion.
I.c) Rappels sur 802.1X :
I.c.1) principes de base :
802.1X est un standard IEEE qui permet de gérer l'accès au réseau dès le niveau physique, en filaire comme en WiFi. Il permet ainsi :
de maîtriser les accès au réseau : qui autoriser ? dans quel VLAN ?
d'dentifier les connexions et les utilisateurs : login, @IP, @MAC, date, heure
de leur affecter dynamiquement un VLAN -> Mobilité
Note : Une borne Wifi qui supporte le protocole 802.1X, peut accueillir plusieurs ordinateurs comme un commutateur, mais sur des ports virtuels.
I.c.2) Mécanisme de base :
Dès que Jean Dubois allume son ordinateur ou qu'il le connecte au réseau, le switch ou la
borne WiFi lui demande de s'authentifier (1).
Le witch ou la borne transmet son login et son mot-de-passe au RADIUS central (2).
Le RADIUS vérifie son identification auprès du LDAP central ou de l'Active Directory de son
labo (3).
(le LDAP indique au passage quels VLANs Jean Dubois a le droit d'aller (cf. RGN plus bas) )
Si son identification est correcte, le RADIUS indique au switch ou à la borne WiFi dans quel
VLAN placer Jean Dubois (4).
I.d) Méthodes d'authentification supportées :
Pour réaliser l'authentification, le protocole 802.1X s'appuie sur EAP (Extensible Authentication Protocol), lequel supporte de nombreuses méthodes d'authentification. Sur le site, nous en supportons deux :
EAP-TTLS : authentification qui impose un certificat électronique côté serveur et un "login/mot
de passe" côté utilisateur (le certificat du serveur pour créer un tunnel dans lequel transitera le
mot de passe).
Cette méthode standard est essentiellement utilisée par Linux et MAC.
PEAP : authentification developpée par Microsoft et Cisco, et donc nativement supportée par
Windows. Elle travaille de la même façon que EAP-TTLS, mais brouille le mot de passe avant
de l'envoyer dans le tunnel.
II) Authentification et mobilité avec 802.1X :
Le schéma ci-dessous illustre le principe général des mécanismes mis en jeu ainsi que les échanges (flèches rouges) :
Contexte du polygone CNRS-Grenoble :
La classe B attribuée à notre site a été distribuée en classes C aux labos et à certains instituts proches. Pour illustrer les configurations, nos exemples utiliseront les plages d'adresses de deux labos fictifs :
l'un appuyant son authentification sur le LDAP central : le laboratoire LABO-LDAP
l'autre sur son Active Directory : le laboratoire LABO-AD 12
Principe et mécanismes mis en oeuvre
Mise en oeuvre des VLANs à l'échelle d'un site ( à l'échelle d'un labo ) :
Cette mise en oeuvre à l'échelle d'un site implique :
Les serveurs RADIUS et LDAP sont en central
Le LDAP dispose des mots de passe en NT-hash
Le RADIUS sait dialoguer soit avec le LDAP soit avec un AD de labo
Chaque labo :
A son jeu de VLANs -> nécessité d'un plan global
Configure son routeur (ACLs, mode trunk, VTP) et ses switches (RADIUS, mode
trunk, VTP)
Installe un portail captif
Etablissement d'un plan de numérotation global. Chaque labo a ses sous-réseaux et ses
VLANs.
Unification des mots de passe :
La solution présentée ici s'appuie à la fois sur un LDAP central sous UNIX et sur les Active
Directory présents dans certains laboratoires.
Rendre le RADIUS capable d'interroger l'un ou l'autre -selon la source de la requête ou la
destination de connexion souhaitée- présente les avantages suivants :
laisser aux administrateurs de labo gérer leur base comme ils l'entendent
n'imposer qu'une seule authentification à l'utilisateur
ne pas avoir à dupliquer les informations
Par contre, si l'on veut utiliser la mobilité, le fait qu'il y ait plusieurs bases impose de maintenir une cohérence au niveau des noms et des mots de passe des utilisateurs du site. Il faut donc qu'en LDAP central figurent les 2 représentations des mots de passe, ainsi qu'un SID (il peut être la simple copie de l'uid number UNIX).
13
La synchronisation lors de la mise à jour d'un mot de passe est réalisée grâce à la page HTTPS réservée aux administrateurs de labo.
Eléments en central :
Un serveur RADIUS a été installé en central pour éviter aux labos d'avoir à
installer/gérer le leur. Il répond aux demandes d'authentification de l'ensemble des
laboratoires et consulte soit le LDAP central soit l'Active Directory (AD) de labo si le labo
en maintient un.
En central un serveur LDAP assure déjà l'authentification de la messagerie et des
connexions HTTPS. Pour l'authentification PEAP il lui a été ajouté 2 champs : un
sambaLMPassword et un sambaNTPassword (reflètent le userPassword), ainsi qu'un
sambaSID (mis à la même valeur que l'uid-number).
Eléments au sein des labos :
Des switches supportant 802.1X et 1 prise par port.
Un portail captif doit être installé pour les ordinateurs ne supportant pas 802.1X (Ex:
vieux PCs de manip)
L'origine d'une requête :
C'est grâce à l'adresse d'émission d'une requête en provenance d'un switch ou d'une borne
WiFi, que le RADIUS central détermine dans quel labo se trouve actuellement l'utilisateur, et s'il
se trouve à l'intérieur ou à l'extérieur de son labo.
14
DOCUMENT 7
Extrait de «Les tarifs mobilité en entreprise – temps animation saison 2 2016», site Orange
15
16
DOCUMENT 8
Extrait de «Sécurité des manifestations», site de la préfecture de l’Eure
[…]
II. Organisation d’un rassemblement exclusivement musical ou pour lequel la musiqueest la caractéristique principale pouvant accueillir plus de 500 personnesTexte de référence: Décret n°2002-887 du 3 mai 2002 modifié pris pour l’application de l’article 23-1 dela loi n°95-73 du 21 janvier 1995 et relatif à certains rassemblements festifs à caractère musical.Pour ce type d’événement, l’organisateur doit s’adresser directement aux services de la préfectureou de la sous-préfecture concernée qui délivreront un récépissé.Si le décret du 3 mai 2002, qui est le texte de référence, s’applique plus particulièrement aux rave-parties, les rassemblements festifs à caractère musical mentionnés à l’article 23-1 de la loi du 21janvier 1995 relative à la sécurité et qui sont soumis à déclaration peuvent en réalité être de plusieurstypes.Sont concernés par cette réglementation les organisateurs de rassemblements répondant auxcaractéristiques suivantes :
ils donnent lieu à diffusion de musique amplifiée;
l’effectif prévisible des personnes présentes sur le lieu de rassemblement dépasse 500personnes ;
l’annonce du rassemblement est prévue par voie de presse, affichage, diffusion de tracts, oupar tout moyen de communication ou de télécommunication;
le rassemblement est susceptible de présenter des risques pour la sécurité des participants, enraison de l’absence d’aménagement ou de la configuration des lieux.
La déclaration auprès du préfet ou du sous-préfet concerné est à déposer impérativement deux mois avant la date prévue pour le rassemblement (délai nécessaire pour l'instruction du dossier par les services concernés). Lorsque le préfet estime insuffisantes les mesures envisagées pour garantir le bon déroulement du rassemblement, compte tenu du nombre de participants attendus, de la configuration des lieux et des circonstances propres au rassemblement (tranquillité publique…), il peut surseoir à la délivrance du récépissé et organiser, au plus tard 8 jours avant la manifestation, une réunion de concertation au cours de laquelle il invite l’organisateur à prendre toute mesure nécessaire au bon déroulement du rassemblement. Le préfet peut interdire le rassemblement projeté si celui-ci est de nature à troubler gravement l’ordre public ou si, en dépit d’une mise en demeure préalable adressée à l’organisateur, les mesures prises par celui-ci pour assurer le bon déroulement du rassemblement sont insuffisantes. Il est à noter que le caractère «privé» du rassemblement n’empêche en rien l’application de cette réglementation. Seules les caractéristiques préalablement définies permettent d’identifier les manifestations qui doivent être soumises pour déclaration au préfet.
[…]
III. Outils à disposition des organisateurs de grandes manifestationsLa loi de modernisation de la sécurité civile du 13 août 2004 pose un principe fondamental : elleindique que chaque citoyen a un rôle en matière de sécurité. Cette loi remet le citoyen au cœur de lalogique de sécurité civile, en tant que cible, puisque c’est le citoyen qu’il faut protéger, par exempledans les grands rassemblements, mais également en tant qu’acteur.C’est le cas pour les organisateurs de grandes manifestations. Ce sont des acteurs de la sécurité civiledans le sens où ils ont un rôle à jouer dans la sécurité de l’événement.De cette loi découlent plusieurs textes dont l’arrêté du 7 novembre 2006 fixant le référentiel nationalrelatif aux dispositifs prévisionnels de secours (DPS).Définition : Les DPS sont l’ensemble des moyens humains et matériels de premiers secours, pré-positionnés à la demande de l’autorité de police territorialement compétente ou de l’organisateur de lamanifestation (sportive, culturelle…) et sous la responsabilité de ce dernier.Ils sont tenus par les associations de sécurité civiles agréées.L’organisateur a un rôle très important à ce niveau : il est responsable de la sécurité des personnesprésentes lors de la manifestation et doit être capable de porter assistance et secours aux personnesen péril. La mise en place d’un DPS est la meilleure solution pour y parvenir efficacement.Pour mettre en place un DPS conforme à la réglementation en vigueur dans le département de l’Eure,l’organisateur doit passer une convention avec un des organismes suivants :
17
L’association avec laquelle l’organisateur passe convention communiquera à ce dernier, après analyse du risque, le nombre de secouristes nécessaires pour le dispositif à mettre en place. La grille d’évaluation des risques, élaborée par l’association de secourisme, est un outil d’analyse et d’aide à la décision. Grâce à elle, l’association mesure et dimensionne un dispositif de secours cohérent au regard des caractéristiques de la manifestation (effectif prévisible du public déclaré, comportement prévisible du public, environnement, délai d’intervention des secours publics). En résumé, le rôle de ces associations est aujourd’hui fondamental dans les dispositifs de secours lors des rassemblements de personnes. L’organisateur, responsable de la sécurité des participants à la manifestation, se doit de passer convention avec ce type d’organisme. Il s’agit d’un élément majeur du dossier déposé auprès des autorités publiques. L’association retenue accompagnera l’organisateur dans la mise en place du dispositif idoine.
18
DOCUMENT 9
Extrait de «Jazz à Vienne 2016 : Le programme du festival» (Exemple de manifestation de taille similaire à celle évoquée dans le sujet), site Evous
La 36ème édition du festival Jazz à Vienne se déroule du 28 juin au 15 juillet 2016. Au programme : Chick Corea, Ibrahim Maalouf, Randy Weston, Diana Krall, Gregory Porter, mais aussi Seal, Erik Truffaz, Robin Mckelle , Oxmo Puccino, Yael Naim, Piers Faccini, Camelia Jordana, Caravan Palace, Goran Bregovic , Chic Feat. Nile Rodgers, Hugh Coltman, Imelda May, Esperanza Spalding, Faada Freddy... Plus de 30 ans que Jazz à Vienne marque l’histoire de la musique en accueillant les jeunes talents et les maîtres du jazz au Théâtre Antique de Vienne, lieu emblématique. Depuis 1981, la manifestation a connu un exceptionnel développement grâce à la fidélité et à la passion de son public qui s’est multiplié par six en près de trente ans. Les soirées aussi se sont multipliées : des 5 soirées d’origine au théâtre antique, le festival compte aujourd’hui 15 à 16 événements par édition. Pour sa 36ème édition, le festival se déroule du 28 juin au 15 juillet 2016. Le Théâtre Antique de Vienne accueillera cette année encore une belle et longue liste d’artistes. Au programme : Chick Corea, Ibrahim Maalouf, Randy Weston, Diana Krall, John McLaughlin, Seal, Erik Truffaz, Robin Mckelle , Oxmo Puccino, Yael Naim, Piers Faccini, Camelia Jordana, Caravan Palace, Goran Bregovic , Chic Feat. Nile Rodgers, Hugh Coltman, Imelda May, Esperanza Spalding, Faada Freddy...
On se souvient que sur les manifestations précédentes, de grandes têtes d’affiche avaient été offertes au public : Al Jarreau, Norah Jones, Herbie Hancock, Dee Dee Bridgewater, Jamie Cullum, Diana Krall, Raphael Saadiq, Liz McComb, Tom Jones, Ayo, Joe Cocker, Cyndi Lauper, Elvis Costello, Sonny Rollins, Paolo Conte... En 2011, Jazz à Vienne a organisé sa première déclinaison parisienne. Des concerts avaient alors été donnés dans quelques clubs mythiques de la capitale, comme le Duc des Lombards (1er), le Sunset-Sunside (1er), le New Morning (10e) et le Jazz Club Étoile (17e). En 2013, Marcus Miller, Avishai Cohen, Goran Bregovic, Ben Harper, Sixto Rodriguez, Kool & The Gang, ou encore Carlos Santana figuraient parmi les têtes d’affiche. L’année suivante, c’était Stevie Wonder, Robert Plant, Kool & The Gang, Ben l’Oncle Soul, Jamie Cullum, The Roots, Thomas Dutronc et Ibrahim Maalouf avaient assuré le spectacle. En 2015, Pharrell Williams, Melody Gardot, Sting, Ibrahim Maalouf, George Benson, Natacha Atlas, Marcus Miller, Ayo et Avishai Cohen étaient de la partie.
Le Théâtre antique de Vienne a été édifié au Ier siècle de notre ère, en plusieurs étapes. Construit sur le flanc de colline de Pipet qui domine la ville, il forme avec l’odéon un couple archéologique remarquable, rare dans le monde romain. Mis au jour dans les années 1920, il a été inauguré en 1938 par le président de la République Lebrun. Aujourd’hui, ses 46 gradins ont une capacité d’environ 8 000 spectateurs, a fait l’objet d’un classement au titre des monuments historiques et héberge chaque année le Jazz à Vienne.
Mardi 28 Juin 2016 image: http://www.evous.fr/local/cache-vignettes/L8xH11/puce-32883.gif?1460524977 Jardins de Cybele : Nora Kamm / Big Band de Saint Priest / Brice Berrerd
image: http://www.evous.fr/local/cache-vignettes/L8xH11/puce-32883.gif?1460524977 Theatre Antique : Ibrahim Maalouf
Mercredi 29 Juin 2016 image: http://www.evous.fr/local/cache-vignettes/L8xH11/puce-32883.gif?1460524977 Jardins de Cybele : Tatiana Alamartine / Bronxtet
image: http://www.evous.fr/local/cache-vignettes/L8xH11/puce-32883.gif?1460524977 Theatre Antique : Erik Truffaz / Oxmo Puccino / Yael Naim / Piers Faccini / Airelle Besson / Camelia
Jordana / Stephane Belmondo / Sandra Nkake [… similaire pour chaque jour entre mercredi 29 juin et mercredi 13 juillet ...] Mercredi 13 Juillet 2016 image: http://www.evous.fr/local/cache-vignettes/L8xH11/puce-32883.gif?1460524977 Jardins de Cybele : Faycal Salhi / Balaphonics / Zaza Desiderio / Jezz At Home / Ewerton De Oliveira
image: http://www.evous.fr/local/cache-vignettes/L8xH11/puce-32883.gif?1460524977 Theatre Antique : Faada Freddy / Robin Mckelle / Kamasi Washington / Cory Henry / The Jb’s
Original James Brown Band / Martha High Vendredi 15 Juillet 2016 image: http://www.evous.fr/local/cache-vignettes/L8xH11/puce-32883.gif?1460524977 Jardins de Cybele : Egopusher
image: http://www.evous.fr/local/cache-vignettes/L8xH11/puce-32883.gif?1460524977 Theatre Antique : Buddy Guy / Shakura S’aida / Selwyn Birchwood 19
