Bloc d'activités : Gestion de la sécurité

Garantir la sécurité d'un réseau et/ou d'un système d'information à travers la mise en œuvre de solution de sécurité en conformité avec une politique de sécurité

Entreprise : Association iLinux

Client : idem

Projet : Refonte des régles de sécurité d'un pare-feu (OPNSense)

Dates/Durée : Septembre 2020 / 1 semaine

Réalisation : Reparamètrage du Firewall @iLinux

Second : BeyondTrust PRA, Firewall OFB (Parc Nationaux), firewall@home, passerelle Haute Sécurité ECLUSE

Source documentaire :

La réalisation majeure

Définition du projet ou de la réalisation

Lors de la migration de l'infrastructure del'association iLinux de la version 1 à 2.1, j'ai souhaité améliorer l'architecture système et réseau de notre hébergeur informatique afin de rendre notre infrastructure hautement disponible, plus sécurisée et offrant plus de contrôle à nos adhérents sur leur hébergement.

Pour ce faire j'ai du revoir complétement le paramètrage de notre pare-feu.

Objectifs, contexte, enjeu, risques, opportunités

Les principaux objectifs de cette réalisation furent de rendre notre infrastructure système et réseau :

  • hautement disponible, tout en grand à l'esprit que nous resterions sur des offres réseau à débit non-garanti,

  • plus sécurisée,

  • tout en offrant plus de contrôle à nos adhérents sur leur hébergement,

  • capable de fonctionner en total abstraction de la couche fournisseur d'accès réseau.

Le contexte du projet est qu'iLinux devait passer d'un réseau WAN complétement gérer et maitrisé par notre fournisseur réseau iLLyse (membre FFDN : Fédération des Fournisseurs d'Accès Internet Associatifs) à un fournisseur d'accès privateur grand publique.

« Complétement géré et maîtrisé » en terme de fournisseur d'accès signifie, avoir :

  • la possibilité de mettre en oeuvre plusieurs IPv4 publiques (iLinux en utilise 3+1),

  • une plage IPv4 non « blacklistée » par les principaux fournisseurs de courriels mondiaux,

  • des enregistrements PTR totalement gérés,

  • la possibilité de monter des tunnels VPN,

  • une relation humaine avec les techniciens de l'opérateur réseau.

Le risque majeur lors de cette bascule fut donc de perdre des fonctionnalités mais pire en encore notre capacité à mettre en oeuvre un service de courriel professionnel.

De ce fait grâce aux compétences des personnels de l'association iLLyse, j'ai pu exploiter un tunnel VPN (6€ / mois , excusez du peu ...) et ainsi mettre en oeuvre une nouvelle configuration de notre pare-feu , tout en amélioration encore plus la sécurité des serveurs de notre hébergeur associatif.

Étapes

Pour garantir la sécurité du réseau de l'hébergeur internet iLinux, j'ai du :

  • échanger avec notre prestataire de réseau associatif : iLLyse, pour évaluer la faisabilité de passer-outre les contraintes imposées par un fournisseur d'accès grand public, iLLyse ne proposant pas d'offre fibre optique dans nos nouveaux locaux,

  • faire mettre en place par iLLyse le VPN et les adresses IPv4 et v6 publiques associées,

  • monter une maquette de test avec l'un de mes pare-feu matériels modifiés (XTM 515) pour recevoir OPNSense (=pfsense) :

Firewall WatchGuard XTM 525 / OPNSense

  • valider le bon fonctionnement de l'architecture sécurisée choisie,

  • adpater notre architecture hyperconvergée pour fonctionner avec la nouvelle politique de sécurité mis en place avec ce nouveau pare-feu.

Pour plus de détail se reporter à l'Annexe : Garantir la sécurité d'un réseau

Mes actions

J'ai réalisé personnellement toutes les étapes mentionnées ci-dessus.

Bien entendu des membres d'iLLyse sont intervenus pour mettre en place la partie réseau WAN.

Acteurs et interactions au sein du projet

Étant le président de l'association mais aussi le seul technicien avec les compétences requises pour mener à bien ce type de projet il n‘y a pas eu d'autre acteur pour l'association iLinux.

Par contre j'ai du échangé avec un technicien de l'association iLLyse :

Résultats (pour moi, pour l'entreprise)

Les résultats furent ceux escomptés. En effet cette réalisation nous a permis de remplir les objectifs fixés en début de projet.

Lendemains du projet

Pour l'instant cette solution est en place depuis octobre 2020, elle donne entière satisfaction aucun sinistre ou attaque ayant aboutis n'ont été porté à notre connaissance.

Mon regard critique sur le projet ou la réalisation

OPNsense est un très bon pare-feu, il est fiable, facile à mettre en oeuvre, dispose d'une très grosse communauté derrière lui et il est mis à jour régulièrement : donc mon regard est positif sur la voie choisie.

Un deuxième pare-feu est toujours prêt pour prendre le secours de celui qui est en production, cela nécessiste néanmoins environ 30mn de mise en place : monter les deux appliance en mode fail-over (protcole CARP) pourrait être une piste d'amélioration.

Si nous devions améliorer son paramètrage ce serait de mettre en place la partie IDS (Intrusion Detection System), cepandant ce n'est pas sur le plan technique que cela pose problème mais plutot ... sur le plan humain.

Car avoir des outils c'est bien, mais sans personnels pour les superviser : cela ne sert à rien.

La compétence : autocritique et évolution

Mon niveau de maîtrise de la compétence

J'ai un niveau expert pour cette compétence.

Place, importance, priorité de cette compétence dans mon profil d'Expert en Ingénierie ou dans mon métier actuel

Dans mon travail actuel je gère toujours la problématique de la sécurisation du SI.

Je dirai donc que la place occupée par cette compétence est très importante dans mon métier actuel.

Mon évolution

Concernant la haute disponibilité j'ai du plancher récemment sur une solution concernant nos sites internet et intranet : cela m'a conduit à concevoir, tester puis mettre en œuvre une solution de reverse proxy HAProxy (Aloha et Fusion control Plane) qui permet de mieux sécuriser notre SI.

Place de la compétence dans mon projet personnel

Cette compétence est omniprésente dans mon projet personnel, car le volume des demandes en terme de sécurisation du SI ne baissent pas.

Niveau que je souhaite atteindre dans cette compétence à moyen terme

Bien qu'étant expert dans cette compétence je découvre toujours des nouvelles technologies qui me permettent d'augmenter mon niveau dans cette compétence.

Formation ou autoformation en cours ou à venir, sur cette compétence

Je suis toujours en veille technologique concernant cette compétence, notamment en consultant des forums, lisant des articles sur les sites spécialisés et en participant à des Webinars.

Sensibiliser et former les personnels aux normes de sécurité et aux bonnes pratiques en matière de sécurité

Entreprise : RFC Communication & systèmes

Client : Sucrerie de NANGIS

Projet : Audit sécurité du réseau bureautique

Dates/Durée : 2003 / 1 semaine

Réalisation : Dispense de cours de sensibilisation et "best practice" ANSSI

Second : Sensibilisation personnel ONCFS région ALR, Présentation nomenclature du SI OFB (partie Active Directory)

Source documentaire : ANSSI

La réalisation majeure

Définition du projet ou de la réalisation

Suite au projet de migration de serveur Windows NT4 vers Windows 2003 (+TSE), + parc Windows XP) à la « Sucrerie LESAFFRE FRERES » il m'a été demandé de dispenser un cours de sensibilisation à la sécurité informatique.

Objectifs, contexte, enjeu, risques, opportunités

L'objectif défini par mes responsables Olivier Campo et Thierry Gautier (dirigeants de RFC Communication & Systèmes, SCI Nuage) fut de sensibiliser les utilisateurs de la sucrerie de Nangis à la sécurité informatique.

Il faut savoir qu'à la Sucrerie LESAFFRE de Nangis (77) le travail était rythmé par les campagnes de récoltes des bettraves sucrière.

De ce fait une partie de l'année est passé sur les engins agricole, dans les champs et une autre partie dédiéé à la maintenance des équipements et de la sucrerie elle-même. Une sucrérie est une véritable « raffinerie » (l'« odeur » y est assez différente toutefois).

De ce fait une bonne partie des employés de la sucrerie sont réellement multitâches : ils utilisent intensément l'outil informatique, mais ne sont nénanmois pas expert dans ce domaine.

L'enjeu était donc de parvenir à sensibiliser, au mieux que je le pouvais, ces personnels aux problèmatiques de la sécurité informatique dans leur environnement de travail quotidient.

Étapes

Pour atteindre les objectifs du projet j'ai du :

  • au préalable, me rendre sur le site de Nangis pour assurer le projet de migration de leurs serveurs,

  • interviewer certains employés pour estimer leur niveau de connaissance en informatique,

  • préparer un support papier adapté au public visé, facile à lire et retenir,

  • se baser sur les recommandations de l'ANSSI,

Documentation officielle ANSSI :

  • assurer la présentation orale du document, et répondre aux interrogations du public,

  • proposer à l'entreprise (et ses utilisateurs) l’élaboration et la signature d’une charte des moyens informatiques précisant les règles et consignes que doivent respecter les utilisateurs.

  • Documentation fournie aux utilisateurs :

Mes actions

J'ai réalisé personnellement toutes les étapes mentionnées ci-dessus.

Acteurs et interactions au sein du projet

J'ai travaillé avec les responsables informatique de la sucrerie de Nangis ainsi qu'avec mon responsable , Thierry Gaultier, au sein de la société RFC Communication & Systèmes.

Résultats (pour moi, pour l'entreprise)

Les résultats furent ceux escomptés. En effet cette réalisation a permis de remplir les objectifs fixés en début de projet, et pas conséquent de sensibiliser les utilisateurs finaux aux principaux enjeux de sécurité informatique.

Lendemains du projet

Aucun particulier

Mon regard critique sur le projet ou la réalisation

Je suis assez satisfait de la prestation qui a été apporté à notre client de l'époque. En effet je trouve que l'équilibre entre discours technique et vulgarisation a été correctement respecté.

La compétence : autocritique et évolution

Mon niveau de maîtrise de la compétence

J'ai un niveau expert pour cette compétence.

Je pense savoir expliquer assez simplement des concepts de sécurité assez complexes dans les faits.

Place, importance, priorité de cette compétence dans mon profil d'Expert en Ingénierie ou dans mon métier actuel

Dans mon travail actuel je gère toujours les projets de sécurité, certes je m'adresse à un public plus technique mais la démarche de sensibilisation et vulgarisation sur des sujets complexes est omniprésente.

Mon évolution

J'évolu plus lentement maintenant car je passe beaucoup moins de temps personnelle à pratiquer cette discipline.

Lors de ma décision de quitter la région parisienne, en 2013, pour aller vivre en province j'ai néanmoins failli signer pour un poste dans le domaine de la cyber-sécurité : à la BU-ESEC (Business Unit European Security Expertise Center) de Cap SOGETI (Service de Jean-marc BIANCHINI).

Place de la compétence dans mon projet personnel

Cette compétence est omniprésente dans mon projet personnel. En effet le volume des demandes en terme de sensibilisation et vulgarisation de la sécurité informatique, et ce pour les équipes de la DSI, ne baissent pas.

Niveau que je souhaite atteindre dans cette compétence à moyen terme

Bien qu'étant expert dans cette compétence je tente toujours des nouvelles approches (choix du support, mise en condition réelle, jeu etc.) qui me permettent d'augmenter mon niveau dans cette compétence.

Formation ou autoformation en cours ou à venir, sur cette compétence

Je suis toujours en veille technologique concernant cette compétence, notamment en consultant des forums, des tutoriels, sites spécialisés (Cert-fr, Anssi, Zataz, infosecurity, CVE, réseaux sociaux, etc.)