Analyse sécurité Web - daviddieuHE/ADMIN2023 GitHub Wiki
Analyse sécurité du web
Responsable : DIEU David
Groupe : 2TL1-8
Statut de l'étape : Pas commencée / en cours de réalisation / en cours d'évaluation / validée
Vidéo Démo : https://youtu.be/ebYNFiMJ5sE
1. Quels sont les biens à protéger?
-
Les informations de l'entreprise et des clients : Ces informations se trouvent dans différentes bases de données.
-
Les sites internet : Les différents sites doivent rester accessible et intègres.
2. Quelles sont les menaces et les risques associés ?
Ransomwares : La prise en otage des données de l'entreprise et l'impossibilité pour celle ci de répondre aux besoins de ses clients.
Injection SQL : Les attaquants peuvent injecter du code malveillant dans la base de données via les formulaires de saisie d'informations sur le site vitrine ou B2B, ce qui peut entraîner la violation de données.
Attaque DDos : Ces attaques saturent les sites avec un trafic massif dans le but de le rendre indisponible pour les utilisateurs.
Vulnérabilité zero-day : Une faiblesse inconnue par l'entreprise et exploitée par des personnes malveillantes pourrait compromettre les activités de l'entreprise.
Attaque par ingénierie sociale : Parfois, les menaces peuvent provenir de l'intérieur de l'entreprise. Un employé mécontent ou négligent peut causer des dommages significatifs.
Vol de données de l'entreprise ou problème de confidentialité : Il faut veiller à sécuriser l'échange d'information entre la base de données et les sites afin qu'une personne non autorisée ne puisse pas accéder à ces informations en les capturant.
Prise de contrôle du VPS par une personne non autorisée : Ce problème mettrai en péril l'ensemble des configurations mise en place pour l'entreprise. D'un point de vue fonctionnel comme confidentiel, il faut absolument éviter ce soucis.
3. Classifications des menaces en fonction du risque
| Menace | Probabilité | impact | Estimation du risque |
|---|---|---|---|
| Ransomwares | Fort | Elevé | Elevé |
| Injection SQL | Fort | Elevé | Elevé |
| Attaque DDos | Moyen (en fonction du service touché) | Elevé | Moyen |
| Vulnérabilité zero-day | Fort | Elevé | Elevé |
| Attaque par ingénierie sociale | Faible | Elevé | Faible |
| Intrusion physique à une machine de l'entreprise | Faible | Elevé | Faible |
| Vol de données de l'entreprise ou problème de confidentialité | Moyenne | Elevé | Faible |
| Prise de contrôle du VPS par une personne non autorisée | Faible | Elevé | Faible |
4. Identification des contre-mesures
| Menace | Contre-mesure | Mise en place |
|---|---|---|
| Ransomwares | Backup des informations essentiels de fonctionnement de l'entreprise, notamment de le base de donnée ,hors site | Oui |
| Éduquer les employés aux menaces éventuels afin d'être vigilant aux pieces jointes ou aux périphériques dont la provenance est inconnue | Oui | |
| Injection SQL | valider les entrées avant de les traiter | Oui |
| limiter les privilèges d'écriture au moins d'utilisateurs possibles | Oui | |
| Attaque DDos | Utiliser des services de mitigation DDoS pour filtrer le trafic | Non |
| Utiliser un réseau de distribution de contenu, en ayant plusieurs serveurs situés à plusieurs endroits, cela permet d'absorber une attaque DDoS | Non | |
| Vulnérabilité zero-day | Utiliser des logiciels de monitoring de comportement suspect | Non |
| Mettre à jour régulièrement les différents systèmes et logiciels afin de profiter des derniers correctifs de sécurités | Oui | |
| Attaque par ingénierie sociale | Former les employés à être averti de se genre d'attaque | Oui |
| Avoir des politiques de gestions d'informations sensibles | Oui | |
| Intrusion physique à une machine de l'entreprise | Accès sécurisés par badge d'identification personnel | Oui |
| mettre en place un systeme d'alarme et de vidéosurveillance | Oui | |
| Vol de données de l'entreprise ou problème de confidentialité | Connexion https et sécurisation de la db | Oui |
| Mettre en place des solutions de cryptage des données | Non | |
| Prise de contrôle du VPS par une personne non autorisée | Utilisation de mot de passe robuste | Oui |
| authentification à deux facteurs pour se connecter au vps | Oui |
5. Documentation des risques résiduels
| Menace | Contre-mesure non mise en place |
|---|---|
| Attaque DDos | Utiliser des services de mitigation DDoS pour filtrer le trafic |
| Utiliser un réseau de distribution de contenu, en ayant plusieurs serveurs situés à plusieurs endroits, cela permet d'absorber une attaque DDoS | |
| Vulnérabilité zero-day | Utiliser des logiciels de monitoring de comportement suspect |
| Vol de données de l'entreprise ou problème de confidentialité | Mettre en place des solutions de cryptage des données |
6. Plan de maintenance
-
Mise à jours régulières des différents logiciels et versions d'applications utilisées.
-
Plan d'urgence permettant de remettre sur pied le bon fonctionnement de l'entreprise après l'arrêt involontaire d'une machine, d'un serveur, des différentes bases de données ainsi que des postes fixes.
-
Monitoring de l'activité afin de repérer d'éventuels anomalies ou comportement suspects pouvant provenir de malwares ou de personnes malintentionnées.