# SEC101 13 06 25 ## OIV -> Opérateurs d'importance Vitale https://openclassrooms.com/fr/courses/2222496-centralisez-et-securisez-votre-annuaire-active-directory ## Concepts Fondamentaux du risque : ### Définitions : - ISO 31000 : Effet de l'incertitude sur l'atteinte des objectifs - Formule classique : Risque = Probabilité * Impact - Vision moderne : Risque = Menace * Vulnérabilité * Impact ### Gestion des Risques - Processus d'identification, d'évaluation et de traitement des risques - Approche systématique et continue - Intégration dans la gouvernance organisationnelle ### Analyse des Risques - Phrase du precessus de gestion des risques - Compréhension détaillée de la nature du risque - Estimation du niveau de risque ## Classification des Risques ### Par nature : - Risques Stratégiques -> business - Risques opérationnels - Risques techniques - Risques réglemettaires ### Par Origine : - Risques internes - Risques externes - Risques mixtes ## Cycle de vie standard (ISO 31000) Contexte -> Surveillance et revenue -> Traitement des risques -> identification des risques -> Analyse des risques -> Evaluations des risques ## Communication et consultation - Parties prenantes - Modalités ## EBIOS Risk Manager - Cadrages et socles de sécurité - Source de risque - Scénarios stratégiques - Scénarios opérationnels - Traitement du risque Aventage : - Moderne - prise en compte du contexte métier - méthode francaise - gratuite Limites : - Compexité de mise en oevure - Necessite une expertise importante - chronophage - moins connue à l'internationnal ## MEHARI - Classification des enjeux - Odit de mesure - Analyse de l'odit (des risques) - Plan de sécrité Avantage : - Approche quantitative - Base de connaissance riche - Claculs automatisés - Résultat reproductibles - Suivi dans le temps facilité Limite - Complexité de paramétrage ## OCTAVE Allegro ## NIST Risk Management Framework - Stratégie organisationnelle de gestion des risques - Classification - Selection de sécurité - Déploiement des controles - Test d'efficacité - Décision d'acceptation du risuqe - Surveillance continu > ISO 27005 ## FAIR - Risk = TEF * LEM - TEF = Threat Event Frequency - LEM = Loss event magnitude ## AMDEC - Préparation - Constitution d'equipe - Définition du perimètre - Décomposition fonctionnelle - Analyse - identifiaction des modes de défaillance - Analyse des causes - Evaluation des effet - Evaluation - Gravité (G) - Occurence (O) - Détéction (D) - Critcité = G * O * D - Actions - priorisation selon criticité - plan d'action correctives - Suivi et mise à jour # Etude de cas ## Lab 1 : Analyse EBIOS Express > Objectif : Réaliser une analyse EBIOS simplifiée de l’Active Directory (AD) ### Identifier 5 valeurs métier critiques - Authentification des utilisateurs (SSO, accès ERP/CRM) - Annuaire d’entreprise (gestion des identités) - Continuité des opérations (accès réseau, services) - Intégrité des configurations systèmes (GPO, DNS) - Traçabilité & conformité (logs, audits AD) ### Lister 10 biens supports essentiels - DC-PARIS-01 (contrôleur principal + FSMO) - DC-PARIS-02 (Global Catalog + DNS) - DC-LYON-01 (DHCP + AD) - DC-LILLE-01 (R&D + DNS) - DNS intégré à l’AD - Base NTDS.dit (contenu de l’annuaire) - GPO « Server-Security-Baseline » - Comptes Domain Admins - SQL-PARIS-01 (ERP, CRM) - Outil de monitoring MONITOR-PARIS-01 ### Définir 3 scénarios de risque majeurs - Compromission d’un compte « Domain Admin » - Attaque de ransomware via GPO modifiée - Altération de la réplication AD (rupture de disponibilité inter-sites) ### Évaluer vraisemblance et impact - Compromission Admin → Impact 5 / Vraisemblance 4 - GPO détournée → Impact 4 / Vraisemblance 3 - Rupture de réplication → Impact 3 / Vraisemblance 2 ### Proposer 5 mesures prioritaires - Mise en œuvre de l’authentification MFA pour les comptes privilégiés - Revue des délégations AD et durcissement des GPO - Surveillance active via SCOM (alertes critiques AD) - Segmentation réseau des DC (VLAN Management) - Test mensuel de restauration AD (System State) ## Lab 2 : Matrice de Risque AD > Objectif : Construire votre matrice de risque spécifique ### Placer vos scénarios identifiés - Ex : Compromission Admin → Zone critique (rouge) - GPO détournée → Zone haute (orange) - Réplication AD dégradée → Zone moyenne (jaune) ### Ajuster selon votre contexte - Contrainte : fonctionnement 24/7 sur les sites critiques - Maintenance limitée : impacte les mesures applicables - Services externalisés : Azure AD / ADFS → nouveaux vecteurs ### Identifier zones rouges - Compromission de comptes à privilèges - Absence de logs fiables sur événements critiques ### Prioriser les actions - MFA, surveillance avancée (SIEM), cloisonnement - Quick wins : suppression comptes inactifs, révision mots de passe ## Lab 3 : Plan d'Action > Objectif : Créer une roadmap de sécurisation AD ### Partir des risques identifiés - Compromission comptes - Propagation via GPO - Attaque persistante (APT) ### Définir mesures court terme - Revue immédiate des droits Domain Admins - Application GPO de baseline sur tous les DC - Activation logs avancés sur MONITOR-PARIS-01 ### Planifier actions long terme - Mise en place d’un PAM (Privileged Access Management) - Migration partielle vers Azure AD + segmentation - Réécriture des scripts de maintenance et surveillance ### Estimer efforts et coûts - MFA : faible coût / impact fort - PAM : effort élevé / ROI sécurité important - Surveillance : moyen coût / gain visibilité élevé ### Créer planning projet - Phase 1 (1 mois) : mesures urgentes / quick wins - Phase 2 (3 mois) : surveillance et durcissement GPO - Phase 3 (6 mois) : PAM + restructuration AD