Rapport d'analyse de sécurité

Rapport Analyse

Sécurité

Rapport d’évaluation du risque

Version 1.2

Auditeur :

Executive Summary 3

Hypothèses 3

Matrice de Risque 6

Matrice d’occurrence 6

Matrice d’Impact 7

Identification du risque 7

Actifs Primaires 7

Actifs Secondaires 7

Liens entre les actifs 8

Estimation de l’impact 8

Estimation du risque 8

Scénarios de risques 8

Estimation du risque 9

Traitement du risque 9

Executive Summary

Suite à l’étude des risques potentiels auxquels votre entreprise est exposée, nous avons relevés des points récurrents qui peuvent être traités.

En informatique, le phishing est une technique ayant pour but de dérober à des individus leurs identifiants de connexion et mots de passe ou leurs numéros de cartes bancaires. Cela peut se faire à travers une pièce jointe dans un mail ou une publicité malveillante. Afin de limiter ce risque nous vous proposons de mettre en place une charte informatique, ce qui va informer les utilisateurs d’un système d’information des règles qui s’imposent quant à l’utilisation de ces ressources. De plus des formations et préventions sur ce type d’attaque sont très recommandés et sont accessibles aux entreprises.

En ce qui concerne les attaques sur périphériques, il est crucial de sécuriser la salle serveur avec une double authentification (ex : empreinte digitale et badge) qui sera alors accessible uniquement aux personnes autorisées. Il faut aussi installer un ferme-porte, afin que la porte ne reste pas ouverte.

Une attaque DDoS vise à rendre un serveur, un service ou une infrastructure indisponible. Pour éviter cette attaque il existe des solutions, notamment un Anti-DDoS. Cela a pour but d’analyser rapidement et en temps réel tous les paquets, détourner le trafic entrant sur votre serveur et séparer les éléments non légitimes du reste pour laisser passer le trafic légitime. Contexte

Hypothèses

Voici les hypothèses retenues concernant l'entreprise étudiée :

L’entreprise a une centaine de clients composé uniquement de revendeurs (B to B uniquement). 

L’entreprise est peu connue du grand public. 

La société se situe à Orléans, un peu en dehors de la ville près de la Loire. 

Il n'y de réseau WiFi dans l’entreprise. 

Il n'y a pas de règle concernant la complexité des mot de passe, ou sur leur changement. 

Il y a un backup de la base de données et du serveur Mail sur disque dur externe réalisé par le dirigeant une fois par semaine.

Le client mail utilisé est Outlook, le protocole Mail utilisé est Exchange.

Le dirigeant applique les mises à jour majeures d’OS lorsqu’elles sortent. Les autres mises à jour d’OS sont à la discrétion des utilisateurs.

Les employés ont tous un niveau BAC+3 minimum. 

Tous les employés sont dans l’entreprise depuis sa création, soit plus de 5 ans. 

Tous les employés peuvent être en contact avec les clients, et peuvent donc être en déplacement ce qui fait qu’il ne sont pas 100% de leur temps de travail dans les locaux de la société. 

Les clients ne sont jamais reçu dans les locaux de l'entreprise, le commercial se déplace toujours chez le client.

Chaque personne a un ordinateur avec les logiciels nécessaires à son travail et rien d‘autre. Ils y accèdent par leur session Windows nominative.

Ils utilisent tous le compte créé lors de l’installation du Windows.

Il n’y a pas eu de formation spécifique à la sensibilisation à la sécurité du SI.

Le logiciel est le logiciel X pour les RH et Y pour le commercial. Ils sont issus de grandes sociétés de logiciels mondialement connus.

Le dirigeant s'occupe de l'ensemble de la mise en place de ces logiciels.

La base de donnée est dans un serveur fonctionnant dans la salle serveur.

Les PC des employés sont des PC fixes.

Le routeur est de marque Cisco, il s'agit du modèle 2901. 

Aucun des employés n'utilise son matériel personnel dans le cadre du travail hormis     le PC professionnel (au besoin les employés s’envoient des fichiers par mail avec leur téléphone personnel, comme les photos des cartes de visite).

Le serveur e-mail est en interne.

Les utilisateurs utilisent Firefox, Chrome ou Edge selon leur préférence. Les autres logiciels sont ceux fournis par défaut dans Windows 10.

L'antivirus est celui par défaut dans Windows 10.

Il n'y a pas de caméra de sécurité.

Autre que le gardien de nuit, il n'y a pas de prestataires dans les locaux. Il y a des intérimaires dans l'usine comme employés en plus des employés en contrat. Le ménage est réalisé par une personne intérimaire venant de la société I.

La base de donnée contient la liste des clients de l'entreprise, les éléments qui leur sont facturés, ainsi que l'adresse des clients et des informations nominales.

L'annuaire contient la liste des employés de l'usine, ainsi que toutes les informations légales et nominatives que la société doit avoir.

Le navigateur Web est utilisé en moyenne 3 à 4h par jour.

L’entreprise a une

...