Nous avons réalisé lors du cinquième semestre un grand projet cyber. Nous réalisâmes, en équipe, un réseau complet d'entreprise (qui correspondrait à celui d'une PME d'une cinquantaine d'employés).
Nous avons conçu le réseau et présenté celui-ci aux enseignants comme s'ils représentaient l'entreprise cliente. Après quelques modifications dues à des contraintes matérielles, nous installâmes le réseau et configurâmes celui-ci.
À la fin du projet, nous auditâmes l'infrastructure d'un autre groupe pendant que la nôtre fut évidemment également auditée. Le projet se finit par une soutenance devant les enseignants avec différents tests.
Lors de ma deuxième année de BUT et dans le cadre de mon parcours cyber-sécurité, j'ai appris à utiliser différents outils afin de tester la sécurité d'un système d'information. Durant ce cours, nous avons découvert différentes failles très connues et leur utilisation comme dans le cas d'Eternal Blue.
Nous avons beaucoup utilisé nmap, des programme de craquages de mot de passe comme hashcat ou john the ripper, mais également des injections SQL et surtout nous avons commencé à manipuler Metasploit. Nous avons pour cela utilisé des machines virtuelles, analysé le fonctionnement de différents protocoles Windows vulnérables via Wireshark puis exploité leurs différentes failles. L'évaluation final fut sous forme de CTF.
J'ai donc appris à analyser un réseau et ses machines pour y trouver des failles et effectuer des tests d'intrusions à petite échelle pour des failles assez connues, mais encore très présentes. Je suis actuellement en train d'approfondir ce sujet avec un nouveau cours, cette fois-ci plus accès sur Active Directory.
Nous avons, au début de notre formation, fait le Mooc de l'ANSSI. C'est une formation en ligne sur la cyber-sécurité pour nous sensibiliser aux bases de celles-ci. Nous y avons appris de nombreuses techniques élémentaires pour renforcer la sécurité d'un système d'information. Elle nous permet aussi dès le début de notre formation d'adopter les bonnes pratiques pour éviter toute forme de vulnérabilité dans nos futurs travaux.
Je suivais déjà les travaux de sensibilisation de l'ANSSI depuis que je m'intéressais à la cyber-sécurité et je suis très content d'avoir pu faire cette formation.
Ce projet avait pour but la création d'une affiche à destination du personnel d'une entreprise non spécialisé en informatique. Nous devions donc expliquer des notions de cyber-sécurité de manière simplifiée pour être comprise par n'importe quel public. Nous avons donc adapté notre discours aux personnes cible. En effet, la compréhension par tous était à mon sens la chose la plus importante afin que la campagne ait le maximum d'impact.
Cette formation s'ajoute à une culture générale que j'ai personnellement développée en laissant ma curiosité me guider. J'ai d'ailleurs réalisé plusieurs vidéos sur le sujet que vous pourrez voir dans l'onglet audiovisuel.
