SISR / B3 / M3.3 / C3.3.2

🚫 Filtrage et protection des usages

Bloc 3 Module 3.3 BTS SIO SISR
FormationBTS SIO option SISR — IRIS Mediaschool
BlocB3 — Cybersécurité des services informatiques
ModuleM3.3 — Sécurisation des équipements et des usages
Durée3,5 heures
PrérequisC3.3.1 — Durcissement des systèmes, notions de pare-feu et proxy

🎯 Objectifs

  • Comprendre les enjeux de la sécurité des usages numériques en entreprise
  • Mettre en place un proxy web avec filtrage URL (Squid, ZScaler)
  • Implémenter une solution DLP (Data Loss Prevention)
  • Contrôler l'utilisation des supports amovibles
  • Sécuriser la messagerie électronique (SPF, DKIM, DMARC, anti-spam)
  • Gérer les politiques d'utilisation acceptable (PUA)

📖 Enjeux du filtrage des usages

Les utilisateurs constituent souvent le maillon le plus faible de la chaîne de sécurité. Les menaces liées aux usages incluent :

  • Navigation web malveillante : téléchargement de malwares, drive-by downloads
  • Shadow IT : utilisation d'applications cloud non autorisées (Dropbox perso, WeTransfer)
  • Fuite de données : envoi involontaire ou malveillant de données sensibles
  • Phishing par email : principal vecteur d'infection et de compromission
  • Périphériques USB : introduction de malwares ou exfiltration de données

📖 Proxy web et filtrage URL

Rôle du proxy web

Un proxy web est un intermédiaire entre les postes clients et Internet. Il permet :

  • Filtrage des URL par catégories (blocage des sites malveillants, inappropriés)
  • Inspection du trafic HTTPS (SSL inspection / Man-in-the-Middle avec CA interne)
  • Cache web : réduction de la bande passante
  • Journalisation des accès web (traçabilité)
  • Protection contre les malwares téléchargés

Configuration Squid avec filtrage

# /etc/squid/squid.conf — Configuration de base avec filtrage

# Port d'écoute
http_port 3128

# ACL — réseau interne autorisé
acl localnet src 192.168.0.0/16
acl localnet src 10.0.0.0/8

# ACL — sites bloqués par catégorie
acl blocked_categories dstdomain "/etc/squid/blocked_domains.txt"
acl adult_content url_regex -i adult porn xxx

# Blocage des catégories interdites
http_access deny blocked_categories
http_access deny adult_content
http_access deny !localnet CONNECT  # Bloquer CONNECT non autorisés

# Autoriser le réseau interne
http_access allow localnet
http_access deny all

# Journalisation
access_log /var/log/squid/access.log squid

# Cache
cache_mem 256 MB
maximum_object_size_in_memory 512 KB

SSL Inspection (déchiffrement HTTPS)

Pour inspecter le trafic HTTPS, le proxy agit en MITM (Man-in-the-Middle) autorisé : il déchiffre le trafic avec son propre certificat, inspecte le contenu, re-chiffre et redirige. La CA interne doit être installée sur tous les postes clients.

⚠️ SSL Inspection et RGPD

L'inspection SSL déchiffre tout le trafic HTTPS, y compris les connexions personnelles des utilisateurs (banque, santé). Cela soulève des questions RGPD importantes. Il est recommandé de définir une politique claire, d'informer les utilisateurs, et d'exclure de l'inspection les domaines sensibles (services bancaires, santé).

📖 DLP — Data Loss Prevention

Principes du DLP

Le DLP permet de détecter et prévenir la sortie non autorisée de données sensibles hors du périmètre de l'entreprise. Il inspecte :

  • Les emails sortants : détection de données sensibles (numéros de carte, données RH) en pièce jointe ou dans le corps
  • Les transferts web : uploads vers des services cloud non autorisés
  • Les périphériques amovibles : copie vers USB, disques externes
  • Les impressions : impression de documents confidentiels

Stratégies de DLP

ModeActionUsage
DécouverteInventorier les données sensibles stockéesPhase d'audit initiale
SurveillanceAlerter sans bloquerPhase de déploiement, formation
BlocageEmpêcher l'action et alerterProduction, données très sensibles
ChiffrementChiffrer automatiquement les données sensiblesProtection en mobilité

📖 Contrôle des périphériques amovibles

# GPO Windows — Bloquer les supports USB
# Chemin : Configuration ordinateur > Modèles d'administration >
#          Système > Accès au stockage amovible
# → "Toutes les classes de stockage amovible : refuser tout accès" : Activé

# Via PowerShell (registre)
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices"
New-Item -Path $regPath -Force
New-ItemProperty -Path $regPath -Name "Deny_All" -Value 1 -PropertyType DWORD

# Autoriser des périphériques spécifiques par Device ID
# (via stratégie GPO "Installation de périphérique")

📖 Sécurisation de la messagerie

SPF — Sender Policy Framework

Un enregistrement DNS TXT déclarant les serveurs autorisés à envoyer des emails au nom du domaine :

# Enregistrement DNS SPF pour iris.fr
iris.fr. IN TXT "v=spf1 ip4:203.0.113.1 include:_spf.google.com ~all"
# ~all (softfail) : marquer comme spam
# -all (hardfail) : rejeter les emails non autorisés

DKIM — DomainKeys Identified Mail

Le serveur de messagerie signe chaque email avec une clé privée. Le destinataire vérifie la signature avec la clé publique publiée en DNS. Garantit l'intégrité et l'authenticité de l'email.

DMARC — Domain-based Message Authentication

# Enregistrement DMARC
_dmarc.iris.fr. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@iris.fr; ruf=mailto:dmarc-failures@iris.fr; pct=100"
# p=none   : surveiller seulement (phase initiale)
# p=quarantine : mettre en spam les emails non conformes
# p=reject : rejeter les emails non conformes (niveau maximum)
💡 SPF + DKIM + DMARC = anti-spoofing complet

Ces trois mécanismes combinés protègent contre l'usurpation de l'adresse email de l'expéditeur. Déployer les trois est recommandé par l'ANSSI. Commencer par p=none, analyser les rapports DMARC, puis passer progressivement à p=quarantine puis p=reject.

🛠️ Outils / Ressources

  • Squid Proxy : proxy/cache web open source
  • ZScaler, Netskope : solutions SASE/proxy cloud
  • Microsoft Purview DLP (anciennement Microsoft 365 DLP)
  • Symantec DLP, Forcepoint DLP : solutions DLP enterprise
  • MXToolbox : vérification SPF/DKIM/DMARC
  • Politique d'utilisation acceptable (PUA) — modèle CNIL

📝 QCM — Testez vos connaissances

  1. Qu'est-ce que le "Shadow IT" et pourquoi est-il problématique ?
  2. Quel protocole permet de définir les serveurs autorisés à envoyer des emails pour un domaine ?
  3. Quelle est la différence entre DKIM et SPF ?
  4. Que signifie "p=reject" dans une politique DMARC ?
  5. Quels sont les trois modes d'action principaux d'un système DLP ?
  6. Pourquoi l'inspection SSL soulève-t-elle des questions RGPD ?
📝 Afficher les corrections
  1. Utilisation d'applications ou services cloud non approuvés par le DSI (Dropbox personnel, WeTransfer, etc.). Problèmes : données hors du périmètre de sécurité, pas de sauvegarde, pas de conformité RGPD.
  2. SPF (Sender Policy Framework) — enregistrement DNS TXT déclarant les adresses IP/serveurs autorisés à envoyer des emails au nom du domaine.
  3. SPF vérifie l'origine du serveur émetteur (adresse IP) ; DKIM vérifie l'intégrité du message via une signature cryptographique. SPF peut être contourné si un serveur autorisé est compromis ; DKIM assure que le message n'a pas été altéré en transit.
  4. Les emails non conformes à SPF/DKIM sont rejetés par le serveur destinataire. C'est le niveau de protection maximum contre le spoofing.
  5. Découverte (inventaire des données sensibles), Surveillance (alerte sans bloquer), Blocage (empêcher l'action et alerter).
  6. L'inspection SSL déchiffre tout le trafic HTTPS, incluant les connexions personnelles (banque, santé) des utilisateurs. Cela constitue un traitement de données personnelles sensibles, nécessitant information des utilisateurs, base légale et exclusions pour les domaines sensibles.

📚 Cours détaillés — 1 séance

▶ C3.3.2 Séance 1 — Filtrage et protection des usages
← Cours précédent Cours suivant →