Durée :1h15 Audit de sécurité 2019-2020

Examen
Observations
 Toute documentation est strictement interdite ;
 L’usage des ordinateurs, téléphones mobiles ou autre équipement électronique est
strictement interdit ;
 Les téléphones doivent être éteints. Un téléphone allumé est un motif d’exclusion de
l’examen ;
 Les réponses des exercices 1 et 2 doivent être mentionnés sur le formulaire dédié à
cet effet. Toute inscription en dehors du cadre réservé à cet effet ne sera pas prise en
considération
Questions à choix multiples (08pts)
1. Les résultats de Pentest indiquent que le trafic voix sur IP traverse un réseau. Lequel
des outils suivants décode une capture de paquets et extrait les conversations vocales?
a. Cain
b. John the Ripper
c. Nikto
d. Hping
2. Un consultant en sécurité essaie de soumissionner sur un gros contrat qui implique des
tests d’intrusion et des rapports. L'entreprise qui accepte les offres veut une preuve du
travail déjà effectué par le consultant, le consultant imprime donc plusieurs rapports
d’audits qu’il a déjà réalisés et les insère dans son offre. Lesquels des éléments suivants
sont susceptibles de se produire en conséquence ?
a. Le consultant demandera de l'argent sur la soumission en raison d'un excellent
travail.
b. Le consultant peut révéler des vulnérabilités d'autres sociétés.
c. L'entreprise qui accepte les soumissions voudra le même type de format de test.
d. Les sociétés auditées citées dans les rapports peuvent ester en justice le
consultant.
3. La méthodologie des « tests en boîte noire» impose quel type de restriction?
a. Seul le fonctionnement externe d'un système est accessible au testeur.
b. Seul le fonctionnement interne d'un système est connu du testeur.
c. Le fonctionnement interne d'un système n'est accessible que partiellement au
testeur.
d. Le fonctionnement interne d'un système est parfaitement connu du testeur
4. Lors d'un audit de sécurité interne, le pirate informatique White Hat prend le contrôle d'un
compte d'utilisateur et tente d'accéder aux fichiers et informations confidentiels d'un autre
compte. Comment peut-il y parvenir?
a. Analyse des ports
b. Piratage d'Active Directory
c. Escalade de privilèges
d. Shoulder-surfing
5. Pour maintenir la conformité aux exigences réglementaires, un audit de sécurité des
systèmes sur un réseau doit être effectué pour déterminer leur conformité aux politiques
Durée :1h15 Audit de sécurité 2019-2020

de sécurité. Lequel des outils suivants serait le plus susceptible d'être utilisé dans un tel
audit ?
a. Scanner de vulnérabilité
b. Analyseur de protocole
c. Scanner de ports
d. Système de détection d'intrusion
Tout est question d’éthique (1 + 1)
- Selon vous est ce qu’un repris de justice peut faire de l’audit ? justifier votre réponse
- Que signifie pour vous le terme « déontologie de l’auditeur »
Analyse et évaluation des risques
Sanctum est une entreprise spécialisée dans le traitement des big data. Elle s’apprête à signer
un gros contrat avec une entité gouvernementale pour l’analyse des données de masse générées
par les mobiles des citoyens. Ces données portent sur (les réseaux sociaux, les fonctionnalités
de google, positions GPS, discussions échangées avec d’autres personnes, etc…)
Tel que le stipule le contrat, la société sanctum doit faire une analyse de risques et vous avez
été sélectionné pour la réaliser.
A cet effet, on vous fournit les informations suivantes :
- Comme le montre l’image satellitaire que vous avez reçue, l’entreprise sanctum
marquée par un losange rouge est située en lisière d’une voie rapide Le seul point
d’accès est marqué en jaune.
- En terme de voisinage directe, elle a une unité de recyclage de pneu marquée par un
pentagone turquoise, une usine de traitement de produits chimiques hautement
inflammable marquée par une étoile et une maison de jeune, marquée par un éclair
marron où on organise des évènements et des fêtes tous les soirs même les jours fériés
et les weekends
- L’entreprise dispose d’une connexion internet d’un débit de 8M.O fournit par Algérie
télécom. Cette liaison est secourue par une connexion 4G LTE fixe d’un débit de 4 M.O.
- L’accès des travailleurs se fait sur présentation d’un badge qui doit être accroché et
visible en permanence. Ce badge dispose d’une puce sans contact (rayon d’action 1M)
pour permettre l’ouverture automatique de certains bureaux dans le bâtiment
- La seule caméra de surveillance est située à l’entrée du complexe rectangle jaune,
récemment une seconde (caméra IP Wifi) a été rajoutée au niveau de la porte du data
center.
- Le data center est situé au rez de chaussé il longe la bretelle de la voie rapide
- Le data center est composé de 10 baie de serveurs ayant une capacité de stockage de
1000 T.O et une capacité de calcul de 1,5 téraflops
- La connexion principale est protégée par deux firewalls et un boitier anti DOS
- La connexion secondaire ne dispose d’aucune protection
Citer les neuf (09) étapes de l’analyse de risques (2,25 pts)
Effectuer l’analyse de risque de cette entreprise (8 pts)
-
Durée :1h15 Audit de sécurité 2019-2020

Question A B C D Justifier votre réponse

V1.0
1 X
2 X
3 X
4 X
5 X
Question Oui
d’éthique
déontologie C’est les règles que doit suivre l’auditeur. On peut citer ne pas
X
Définition du test à boite noire :
Le testeur n’a aucune connaissance du fonctionnement interne
du système à tester. Lorsqu’il s’agit d’une entreprise il ne connait
que le nom de cette dernière
Justifier : un scanner de vulnérabilité est un programme
informatique conçu pour évaluer les ordinateurs, les systèmes
informatiques, les réseaux ou les applications afin de detecter
les faiblesses.
Ils peuvent être executés dans le cadre de la gestion des
vulnérabilités par les personnes chargées de la protection des
systèmes ou par des attaquants black hat cherchant à obtenir
un accès non autorisé
Justifier: la loi prévoit la réhabilitation des personnes incarcérées
qui ont purgé leur peine de prison.
Cependant il y a lieu de noter que certains crimes tel que le vol,
l’escroquerie ou autre font en sorte que les entreprises veuillent
éviter ces profils par contre les profils des pirates informatiques
semblent attirer les entreprises pour leur compétence avérée
cumuler audit et conseil, avoir les compétences nécessaires, être
rapide, précis fournir des conclusions motivées, utiles, sur l’objet
et l’aspect, ainsi que la période de temps qui a dû être considérée,
qui ont été les éléments de sa mission

Les étapes d’analyse de risque :

 Identifier et classer les actifs par ordre de priorité
 Identifier les menaces
 Identifier les vulnérabilités
 Analyser les contrôles
 Probabilité d’un accident
 Evaluer l’impact potentielle d’une menace
 Classer les risques par ordre de priorité
 Recommander les contrôles
 Documenter les résultats
L’analyse des risques
Phase 1 identification et classification des actifs
 Actifs matériels : le data center, ligne internet, connexion 4GLTE, lecteurs de cartes
de proximité, badges, camera wifi, baies de stockage, firewall, boitier anti dos
 Actifs immatériels : les données, les employés,
Phase 2 identifier les menaces
Durée :1h15 Audit de sécurité 2019-2020

 L’emplacement du data center : peut-être percuté par un camion

 Emplacement du data center : risque d’inondation
 Risque d’incendie (usine de produits chimiques)
 Le point d’accès présente un risque d’accidents
 Risque d’intrusion à partir de la maison de jeune
 Risque de saturation de la bande passante
 Risque d’intrusion physique (imitation de badge et/ou de piggy back)
 Risque de détournement du flux vidéo
 Risque d’attaque informatique en cas de basculement vers la liaison secondaire
Phase 3 : identifier les vulnérabilités
 Faire un audit pour identifier les vulnérabilités de l’organisme
Phase 4 : analyser les contrôles
 Couverture vidéo insuffisante
 Le flux wifi de la caméra peut être espionné voir même altéré
 Les équipements de sécurité périmétriques ne protègent la liaison de secours
 Les lecteurs de badge périmétrique ont un rayon très important pour empêcher des
intrusions
Etc…..