Audits

L’objectif des audits est de faire une vérification aussi exhaustive que possible du niveau de sécurité de l’infrastructure du CASD dans le cadre des contraintes définies par les déposants de données.

Le prestataire, qui réalise l’audit, doit être spécialisé dans le domaine de la sécurité informatique, être un PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) reconnue par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), et posséder des compétences pointues concernant les systèmes d’exploitation client et serveur, les méthodes d’attaques de VPN, les méthodes d’attaque des modes d’authentification…

Les audits s’effectuent selon quatre scénarios graduels avec comme objectifs soit de réussir une intrusion, soit de réussir une usurpation d’identité, soit de réussir à récupérer un fichier de données.

Scénario 1 : attaque du tunnel chiffré par Internet sans déclaration de l’IP publique

La société d’audit possède l’adresse réseau du CASD mais l’adresse réseau IP publique n’est pas dans la liste des adresses autorisées à se connecter par le CASD.

La société doit étudier s’il est possible d’attaquer l’embout du tunnel VPN-SSL ou de tirer quelques informations sur ce tunnel.

Scénario 2 : attaque du tunnel chiffré par Internet avec déclaration de l’IP publique

La société d’audit possède l’adresse réseau du CASD et l’adresse réseau IP publique est inscrite dans la liste des adresses autorisées à se connecter par le CASD.

La société doit étudier s’il est possible d’attaquer l’embout du tunnel VPN-SSL ou de tirer quelques informations sur ce tunnel.

Scénario 3 : attaque du tunnel chiffré par Internet avec déclaration de l’IP publique et possession d’un boîtier SD-Box

La société d’audit possède l’adresse réseau du CASD, l’adresse réseau IP publique est inscrite dans la liste des adresses autorisées à se connecter par le CASD et un boîtier fonctionnel est fourni au prestataire.

La société doit étudier s’il est possible d’attaquer l’embout du tunnel VPN-SSL et/ou de tirer quelques informations sur ce tunnel.

La société doit étudier s’il est possible de prendre le contrôle du boîtier :

– Prendre le contrôle du système d’exploitation (modification de boot…),
– Accéder au Shell d’une manière ou d’une autre,
– Accéder à RDP pour ouvrir une session d’accès distant,
– Accéder au boîtier par le réseau,
– Usurper l’infrastructure centrale (attaque de type man in the middle),
– Accéder aux ports USB, booter sur un port USB,
– Modifier le Bios,
– Lire le contenu du disque dur (si oui, aller plus loin en essayant d’établir la liaison),
etc.
La liste n’est pas exhaustive et la société doit réaliser un maximum d’attaques (connues ou inconnues du GENES) dans cette configuration.

Scénario 4 : attaque du VPN-SSL par Internet avec déclaration de l’IP publique, possession d’un boîtier SD-Box, possession d’une carte d’authentification valide

La société d’audit possède l’adresse réseau du CASD, l’adresse réseau IP publique est inscrite dans la liste des adresses autorisées à se connecter par le CASD, un boîtier fonctionnel est fourni au prestataire, ainsi qu’une carte valide d’authentification.

Cette configuration correspond à une tentative d’intrusion interne. La société peut se connecter comme le ferait un Utilisateur interne.

Le compte de test a accès à des fichiers de données fictifs fabriqués pour l’occasion. L’objectif est de réaliser des tentatives de détournement pour répondre au moins aux questions suivantes :

– Est-il possible de récupérer ce fichier ?
– Est-il possible d’accéder à des fichiers dont théoriquement l’Utilisateur n’a pas accès (fichiers ou données d’autres projets) ?
– Est-il possible d’usurper l’identité d’un Utilisateur avec et sans sa carte ?

Des tests de résistance au mode d’authentification par carte à puce sont aussi  menés (test de la carte, du driver, etc.).

Vérification supplémentaire : isolation du réseau CASD

Le GENES  donne accès à ses locaux à la société d’audit pour qu’elle teste si l’infrastructure du CASD est bien isolée du système d’information du GENES  (switch réseau distinct, paramétrage du pare-feu….).

Rapport d’audit

Le rapport de la société d’audit doit être complet et indiquer toutes les modalités de tests, les protocoles réalisés, les codes source des programmes d’attaques…

Quatre audits ont été réalisés AVEC SUCCÈS par des sociétés certifiées PASSI par l’ANSSI, dont le plus récent date de JANVIER 2017.