Première Partie : Étude de l'Existant
1.1 Systèmes d'Exploitation Utilisés
Serveurs
Windows Server 2019 :
o Utilisé pour les services essentiels tels que Active Directory, DNS, DHCP, et partage
de fichiers. Par exemple, Active Directory est configuré pour gérer l'authentification
centralisée des utilisateurs et des périphériques sur le réseau.
o Les mises à jour de sécurité sont planifiées et gérées via Windows Server Update
Services (WSUS), assurant ainsi que tous les serveurs Windows restent à jour avec les
derniers correctifs de sécurité critiques.
Ubuntu Server 20.04 :
o Utilisé pour héberger des applications basées sur Linux telles que serveurs web
(Apache/Nginx), bases de données (MySQL/PostgreSQL), et serveurs d'application.
Par exemple, Apache est configuré avec des certificats SSL/TLS pour sécuriser les
communications web.
o Les mises à jour logicielles sont gérées via des gestionnaires de paquets (apt), avec
une attention particulière aux correctifs de sécurité pour les applications critiques
comme MySQL.
Postes de Travail
Windows 10 :
o Principalement utilisé pour les tâches administratives et bureautiques générales. Par
exemple, les postes de travail sont intégrés au domaine Active Directory pour une
gestion centralisée des politiques de sécurité et des accès.
o Les politiques de groupe sont configurées pour appliquer des restrictions d'accès
basées sur les rôles et pour contrôler les mises à jour des systèmes via WSUS.
macOS :
o Utilisé par les départements créatifs pour les tâches de conception et multimédia.
Par exemple, les postes Mac sont configurés avec FileVault pour le chiffrement
complet du disque afin de protéger les données sensibles en cas de vol ou de perte.
o La gestion des mises à jour logicielles est assurée par les services Apple Software
Update Server pour maintenir les systèmes macOS à jour avec les derniers correctifs
de sécurité.
Ubuntu Desktop :
o Employé par les développeurs pour le développement de logiciels et les tests. Par
exemple, les environnements de développement intégrés (IDE) comme IntelliJ IDEA
sont configurés avec des plugins de sécurité pour identifier et corriger les
vulnérabilités de code.
� o Les mises à jour sont gérées via apt pour garantir que les systèmes Ubuntu Desktop
bénéficient des dernières améliorations de sécurité et des correctifs.
1.2 Réseau en Place
Topologie du Réseau
Topologie en Étoile :
o Chaque poste de travail et périphérique est connecté à un commutateur central, qui
est à son tour connecté à un routeur principal ou un cœur de réseau. Cette topologie
simplifie la gestion du réseau et permet une évolutivité facile.
o Par exemple, les commutateurs Cisco Catalyst 2960X sont utilisés pour fournir une
connectivité réseau fiable avec des fonctionnalités avancées de gestion de la qualité
de service (QoS) pour prioriser le trafic.
Architecture du Réseau
Couche d'Accès :
o Composée de commutateurs qui connectent les périphériques finaux tels que les
postes de travail et les imprimantes. Pour renforcer la sécurité, les ports des
commutateurs sont configurés avec des VLAN pour isoler les différents
départements et limiter la propagation des attaques.
o Exemple : Les VLAN sont configurés pour séparer le trafic des utilisateurs invités, du
trafic administratif et du trafic de production pour prévenir les accès non autorisés.
Couche de Distribution :
o Comprend des commutateurs qui agrègent le trafic des commutateurs d'accès et
appliquent des politiques de sécurité telles que l'inspection des paquets et le filtrage
basé sur les ACL. Les routeurs de distribution assurent également la connectivité
entre les différents VLAN.
o Par exemple, les routeurs Cisco ISR sont configurés pour gérer la QoS et appliquer
des politiques de sécurité avancées pour protéger le trafic inter-VLAN et externe.
Couche Cœur :
o Constituée de routeurs et de commutateurs à haute performance qui gèrent le trafic
à grande échelle entre les différents segments du réseau local et les connexions vers
les réseaux externes. Ces équipements sont redondants pour assurer la disponibilité
continue des services critiques.
o Exemple : Les routeurs de cœur Cisco Nexus sont configurés avec des protocoles de
routage dynamique et des agrégations de liens pour optimiser la redondance et la
disponibilité du réseau.
Types de Connexions
Ethernet :
o Utilisé comme principal moyen de connectivité filaire pour garantir des débits élevés
et une latence faible entre les périphériques. Les câblages Cat5e/Cat6 sont utilisés
� avec des normes de gestion de câbles pour minimiser les interférences et les
perturbations.
o Exemple : Les câblages sont vérifiés périodiquement pour assurer la conformité aux
normes TIA/EIA et pour prévenir les problèmes de performance dus à des câblages
défectueux.
Wi-Fi (802.11ac) :
o Offre une connectivité sans fil sécurisée pour les utilisateurs mobiles et les
périphériques IoT. Les points d'accès sans fil sont configurés avec WPA2-Enterprise
et une authentification 802.1X pour une sécurité renforcée.
o Par exemple, les points d'accès Cisco Aironet sont déployés avec des politiques de
sécurité strictes pour empêcher l'accès non autorisé au réseau sans fil.
VPN :
o Fournit un accès sécurisé aux ressources internes pour les employés distants via
Internet. Les connexions VPN sont configurées avec des tunnels cryptés et des
méthodes d'authentification robustes comme IPSec.
o Exemple : Les employés utilisent Cisco AnyConnect VPN pour se connecter de
manière sécurisée au réseau interne, avec authentification à deux facteurs pour
renforcer la sécurité.
1.3 Failles et Vulnérabilités
Identification des Failles
Utilisation d'outils comme Nessus pour scanner régulièrement le réseau à la recherche de
vulnérabilités connues dans les systèmes d'exploitation, les applications et les configurations
réseau.
Exemple : Un scan Nessus révèle une vulnérabilité critique dans un serveur Apache non
patché, exposant le réseau à des attaques par injection SQL.
Analyse des Vulnérabilités
Évaluation des risques associés à chaque vulnérabilité identifiée en fonction de la criticité, de
l'impact potentiel sur la confidentialité, l'intégrité et la disponibilité des données.
Exemple : Une vulnérabilité d'exécution de code à distance dans un système d'exploitation
serveur est classée comme critique en raison de son potentiel à permettre un accès non
autorisé au serveur.
Impact des Failles
Interruptions de Service :
o Risque de perturbation des opérations commerciales en cas d'exploitation des
vulnérabilités critiques. Les plans de continuité des activités sont élaborés pour
minimiser l'impact des interruptions.
o Exemple : Une attaque par déni de service distribué (DDoS) exploitant une
vulnérabilité DNS entraîne une indisponibilité temporaire des services web critiques.
� Fuites de Données :
o Risque de divulgation de données sensibles telles que informations personnelles ou
propriété intellectuelle. Les données sont protégées par des stratégies de
chiffrement et des contrôles d'accès stricts.
o Exemple : Une fuite de données résultant d'une vulnérabilité de configuration mal
sécurisée expose les données clients à un accès non autorisé.
Compromissions de Sécurité :
o Risque d'accès non autorisé aux systèmes, permettant aux attaquants de manipuler,
altérer ou voler des données confidentielles. Les systèmes sont protégés par des
pare-feu, des IDS/IPS et des mécanismes de détection avancés.
o Exemple : Une compromission de sécurité due à une faible gestion des identités et
des accès (IAM) permet à un attaquant d'accéder à des ressources sensibles en utilis
Deuxième Partie : Sécurité des Éléments Physiques du Réseau Local
2.1 Sécurité des Éléments Physiques
Sécurisation des Équipements
Routeurs et Commutateurs :
o Les équipements sont physiquement sécurisés en les plaçant dans des salles serveurs
verrouillées avec un accès restreint via des systèmes de badge ou de biométrie.
o Exemple : Les commutateurs et routeurs sont montés dans des racks verrouillés et
équipés de serrures pour empêcher l'accès non autorisé.
Contrôle d'Accès Physique
Accès Restreint :
o Les accès aux salles serveurs sont contrôlés via des systèmes de badge RFID ou des
scanners biométriques. Les journaux d'accès sont maintenus pour une traçabilité
complète des entrées et sorties.
o Exemple : Les employés doivent présenter leur badge RFID et passer par une porte
sécurisée avec vérification biométrique pour accéder à la salle serveur.
Surveillance Vidéo
Des caméras de surveillance sont installées pour surveiller en continu les zones critiques
telles que les salles serveurs et les centres de données.
Exemple : Des caméras IP haute résolution enregistrent en continu et archivent les images
pour la sécurité physique et la vérification des incidents.
2.2 Sécurité des Équipements d'Interconnexion
Routeurs et Commutateurs
� Configurations Sécurisées :
o Les commutateurs sont configurés avec des listes de contrôle d'accès (ACL) pour
contrôler le trafic entrant et sortant en fonction des adresses IP sources et
destinations, des ports et des protocoles.
o Exemple : Une ACL est configurée sur un commutateur Cisco pour autoriser
uniquement le trafic HTTP (port 80) provenant d'un sous-réseau spécifique vers un
serveur web désigné.
Mise à Jour des Firmwares
Les mises à jour régulières des firmwares sont effectuées pour corriger les vulnérabilités
connues et améliorer la stabilité et la sécurité des équipements.
Exemple : Les administrateurs planifient des fenêtres de maintenance pour appliquer les
mises à jour de firmware sur les commutateurs et routeurs afin de minimiser l'impact sur la
disponibilité du réseau.
Pare-feu et IDS/IPS
Pare-feu :
o Les pare-feu sont déployés pour filtrer le trafic réseau entrant et sortant basé sur des
règles de sécurité prédéfinies, notamment pour bloquer les attaques par déni de
service (DoS) et les tentatives d'intrusion.
o Exemple : Un pare-feu Palo Alto est configuré avec des politiques de sécurité
granulaires pour inspecter les paquets et bloquer les connexions suspectes en temps
réel.
IDS/IPS :
o Les systèmes de détection et de prévention d'intrusion surveillent le trafic réseau
pour détecter et bloquer les activités malveillantes en temps réel.
o Exemple : Un IDS/IPS Snort est configuré pour analyser le trafic réseau à la recherche
de signatures d'attaques connues et pour générer des alertes lorsque des
comportements suspects sont détectés.
2.3 Segmentation Physique et Logique (VLAN)
VLAN (Virtual Local Area Network)
Principe de Fonctionnement :
o Les VLAN permettent de regrouper logiquement des périphériques sur différents
segments de réseau indépendants, même s'ils sont physiquement connectés au
même commutateur.
o Exemple : Un VLAN est configuré pour regrouper tous les postes de travail d'un
département spécifique, isolant leur trafic des autres départements pour des raisons
de sécurité et de gestion du trafic.
Étiquettage (Tagging) :
� o Les trames réseau sont étiquetées avec des identifiants VLAN (tags) pour identifier à
quel VLAN elles appartiennent lorsqu'elles traversent un réseau comportant
plusieurs VLAN.
o Exemple : Les commutateurs Cisco utilisent le protocole 802.1Q pour l'étiquetage
VLAN, ce qui permet aux trames de données d'être dirigées vers le VLAN approprié
sur le réseau.
Trame VLAN :
o Une trame VLAN encapsule les données d'origine avec un en-tête VLAN spécifique
qui indique le VLAN auquel elle appartient, facilitant ainsi le transport de multiples
VLAN sur un seul segment physique.
o Exemple : Une trame VLAN encapsulée est envoyée d'un commutateur à un autre en
conservant son tag VLAN, permettant ainsi aux commutateurs de routeur de traiter
le trafic en fonction de la segmentation VLAN.