Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Département Année Nom de la mission IT 2020 Droits d'accès et segmentation du r

Département Année Nom de la mission IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau IT 2020 Droits d'accès et segmentation du réseau Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Tech & IT 2021 Network Planning & Roll out Constats / Observations Risques 12/13 plateformes sans matrice de Séparation des tâches (SoD) pour les utilisateurs business et techniques avec plusiseurs conflits transactionnels notés Nous constatons que Les matrices de séparation des tâches ne sont pas disponibles pour l'ensemble des plateformes de l’entreprise. De plus les départements informatiques et réseaux n’ont pas pu nous fournir le comptage exhaustif des plateformes existantes. Seule SUN, le logiciel comptable, dispose d’une matrice de séparation des tâches documentée, mais qui cependant n’est pas mise à jour. Nous avons décelé dans l’extraction des utilisateurs de SUN reçue de l’équipe IT que les (03) agents THBS (l’entreprise en charge du support de plusieurs applications dont SUN) et l’ingénieur local support applications disposent des mêmes rôles que les utilisateurs business en plus de leurs rôles d'administrateur. Ils peuvent entre autres : -Saisir des brouillards -Poster les brouillards -Consulter des comptes -Lettrer des comptes -Créer, modifier et supprimer des comptes L’application Mobiquity de MFS ne dispose pas non plus d’une matrice de séparation des taches. Les agents supports de la plateforme disposent des mêmes rôles que les utilisateurs opérationnels. Ils peuvent notamment: -modifier les informations clients, -faire des transactions financières, -faire des transactions non financières, -initier et valider une requête Financier, Fraude, Securité Informatique Accès en modification des développeurs sur 4 plateformes critiques RMS, TALEND, MSA, et DE Les tests effectués sur 4 plateformes nous ont montrés que la séparation des taches n'est pas respectée entre les utilisateurs de l’environnement de production et des développeurs. Ces derniers disposent d’accès en modification à l’environnement de production sur les plateformes suivantes : RMS, TALEN, MSA, et DE interroger les bases de données de production, modifications frauduleuses Sécurité des données Port 80 http ouverts sur 12 serveurs Lors de notre revue de la configuration NAT nous avons noté que beaucoup de protocoles ont leurs ports par défauts ouverts. La connexion non sécurisé http est autorisé sur plusieurs serveurs. Ci-dessous quelques illustrations Fraude, Sécurité, Hacking Plateformes et master data critique non identifiés Nous avons relevé lors de notre revue de l'approbation des droits d'accès des plateformes et des masters data que la dernière classification des plateformes de l'entreprise en fonction de leur criticité date de 2011. Entre temps beaucoup d'autres plateformes ont été déployées. Nous n'avons pas obtenu un document qui recense l'ensemble des masters data de l'entreprise. Il est impossible en ce moment d'identifier les plateformes et données critiques de l'entreprise car les critères de criticité n'ont pas été déterminés. 30 comptes communs utilisés sur les 08 plateformes de l’échantillon Nous avons constaté l'utilisation de comptes communs sur toutes les plateformes. Ces comptes ne sont pas attribués à une personne mais à un groupe de personnes/plusieurs supports. Le plus souvent leurs propriétaires/le fournisseur ne sont plus actifs : Sécurité Informatique & Fraude 78 comptes admin sur un échantillon de 10 plateformes sans aucune surveillance Nous avons constaté qu’il n’existe pas un contrôle sur les actions menées par les comptes admin sur les plateformes. Les activités des administrateurs au sein de l’environnement IT ne sont pas traquées, ie absence de surveillance sur : -les événements anormaux, -l’ajout ou la surpression d’utilisateur sans approbation, -les modifications non-autorisées -un nombre anormalement élevé de tentatives échouées d’accès à une base de données critique. Sécurité Informatique & Fraude 38 comptes à hauts privilèges sur un échantillon de 6 plateformes font objet de mauvaise gouvernance Lors de notre revue, nous avons constaté que les comptes à hauts privilèges sont omniprésents dans l’entreprise. Ces comptes sont le plus souvent gérés par des fournisseurs. Il s’agit de comptes génériques, gérés par des fournisseurs et partagés entre plusieurs administrateurs, ce qui implique qu’ils ne sont pas nominatifs. De plus il existe d’autres comptes qui ne sont plus utilisés notamment pour RMS (Rhema - Obed) Sécurité Informatique & Fraude, Altération du réseau, Piratage Informatique Financier & Fraude Profils incompatible dans Mobiquity Nous avons constaté dans Mobiquity que le responsable des opérations peut initier et valider une requête. Cependant il ne peut pas valider une requête qu'il a initiée. Les agents qui sont dans son équipe peuvent aussi initier et approuver. Tout ce qu'initie le responsable des opérations peut être approuvé par ses (N-1) et tout ce qu'initie un agent de son équipe peut être validé par un autre agent de la même équipe sans l'intervention du responsable des opérations. Dans la plateforme tout le monde peut initier et valider. Les agents aussi peuvent modifier les informations des clients. L’accès au réseau wifi des employés se fait via un point de défaillance Plus de 80% des employés accèdent au réseau interne à l'aide d'une connexion sans fil. Pour ce faire, ils s'y connectent via un contrôleur de réseau sans fil, mais nous avons identifié que le logiciel Wireless Network Controller est considérablement obsolète - il utilise la version 8.3, sortie en 2018, au lieu de la version 8.10 actuelle du logiciel. La version 8.3 présente des vulnérabilités connues et contient des fonctionnalités de sécurité non prises en charge. Une vulnérabilité dans l'API REST du logiciel Wireless LAN Controller (WLC) pourrait permettre à un attaquant distant non authentifié d'afficher des informations système qui, dans des circonstances normales, devraient être interdites Sécurité informatique, Vol de données, Cyber- attaque Administrateurs systèmes autorisé à sortir sur Internet avec leur compte Admin. Nous avons constaté lors de notre mission que les administrateurs systèmes peuvent accéder à internet sur le compte admin. Les postes font généralement partis du réseau d’administration qui leur permet d’accéder à tous les serveurs, aux DMZ, etc. L’admin s’authentifie également sur de nombreuses applications et serveurs depuis son ordinateur. Toutes les informations d’authentification y sont également centralisées. Sécurité informatique, piratage, cyber-attaque Aucun test de restauration sur les 6 plateformes de l’échantillon Lors de notre revue des tests de restauration sur CBS - Mobiquity - RMS - CRM – SUN - EVC nous avons constaté que les tests de restauration n’ont jamais été effectués sur ces plateformes bien qu’il existe des environnements de test. Les rapports de restauration déjà faits aussi n’ont pas été fournis par l’équipe technique. Perte de données, erreurs lors des restaurations, restauration des données non réussie à 100%, continuité d’activité 20/30 machines configurées dans le mauvais VLAN Le réseau de free est segmenté en plusieurs entités ayant un besoin commun ou des caractéristiques identiques notamment en VLAN. Il y'a environ plus 100 VLAN y compris ceux non utilisés. Nous avons cependant constaté que beaucoup de machines du réseau n'étaient pas dans le bon VLAN. Quelques illustrations ci-dessous Accès à des données non autorisées Non-respect de la fréquence de changement de mots de passe 6/13 plateformes critiques Lors de notre revue des plateformes critiques nous avons constaté l’absence de l’application de la durée de validité des mots de passe requise par la politique liée notamment sur : - CBS, Système de Facturation Convergent - EVC, Système de Génération d’EPIN - UVC, Système de Génération de cartes à gratter - MSC, équipement de téléphonie réseau chargé du routage dans le réseau, de l'interconnexion avec les autres réseaux et de la coordination des appels. - HLR, enregistreur de localisation géographique des abonnés - CUDB, Application de gestion de la base de données HLR Sur ces plateformes les mots de passes n’ont jamais été changés. Usurpation d’identité, fraude, Altération des donnéessse 300+ employés ayant accès au réseau sans Mobile uploads/Ingenierie_Lourd/ afi-juin-2022-baye-omar.pdf