L’ECOLE SUPERIEUR DE TECHNOLOGIE DE CASABLANCA

Filière : Génie informatique

Diplôme :Diplôme universitaire de technologie (D.U.T)

30/12/1899 t :

Automatisation des tests

Présentée par : Encadré par :

Maha EL OUATRI Mme Aida ASKALLI
Mr Abderrahim MAIZATE

Année universitaire : 2022/2023

 Remerciements :
C’est un devoir agréable d’exprimer en quelques lignes la reconnaissance
qu’on doit à tous ceux dont on a sollicité l’aide et la collaboration.
Je souhaite remercier, le corps professoral, de nous avoir bien accueilli au
sein de cet établissement et la formation de qualité qu’ils nous ont prodigué
durant cette année, et spécialement mon encadrant M. Mohamed OUZZIF et M.
Khalid BOURAGBA pour tous les efforts extrascolaires et administratifs qu’ils
ont veillé à prodiguer sans retenue.
Je tiens à remercier en particulier M. Abderrahim MAIZATE et Mme
Aida ASKALLI pour leurs aides et leurs conseils tout au long des missions
évoquées dans ce rapport, et apporté lors des différents suivis.
Je remercie Dieu tout-Puissant de nous avoir permis de mener à terme ce
travail qui est pour nous le point de départ d'une merveilleuse aventure, celle de
la recherche, source de remise en cause permanente et de perfectionnement
perpétuel.
 Table de matière
INTRODUCTION GÉNÉRALE :......................................................................................................................................1

CHAPITRE 1 : PRÉSENTATION DE L’ENTREPRISE.............................................................................................. 2

I. INTRODUCTION :...........................................................................................................................................3
II. MISSIONS :..................................................................................................................................................3
III. FAITS MARQUANTS DE LA SOCIÉTÉ :..................................................................................................................3
IV. CERTIFICATION PCI DSS :..............................................................................................................................4
V. CONCLUSION :..............................................................................................................................................4

CHAPITRE 2 : PRÉSENTATION DU PROJET....................................................................................................... 5

I. INTRODUCTION :...........................................................................................................................................6
II. OBJECTIFS :................................................................................................................................................. 6
III. PROBLÉMATIQUE :........................................................................................................................................6
IV. CONCLUSION :..............................................................................................................................................7

CHAPITRE 3 : ANALYSE DES BESOINS.............................................................................................................. 8

I. INTRODUCTION :...........................................................................................................................................9
II. SOLUTION DE L’AUTOMATISATION :..................................................................................................................9
III. LES FONCTIONNALITÉS :................................................................................................................................10
IV. LA MONÉTIQUE :.........................................................................................................................................11
1. L’écosystème de la monétique :........................................................................................................11
2. Les éléments de l’écosystème :.........................................................................................................11
3. Les composants de la monétique :....................................................................................................11
a. Le support :....................................................................................................................................................11
b. Système de traitement :................................................................................................................................11

4. Les acteurs de la monétique :...........................................................................................................12

a. Le client ou le porteur :..................................................................................................................................12
b. Le commerçant ou l’accepteur :....................................................................................................................12
c. La banque du commerçant ou l’acquéreur :..................................................................................................12
d. La banque du client ou émetteur :.................................................................................................................12
e. Les schèmes ou réseaux d’acceptation :........................................................................................................13

V. LES FRAUDES MONÉTIQUES :.........................................................................................................................13

1. Fraude par carte de crédit volée :.....................................................................................................13
2. Fraude par skimming :.......................................................................................................................13
3. Phishing :..........................................................................................................................................13
 VI. LES NORMES DE SÉCURITÉ :...........................................................................................................................14
1. La norme PCI DSS :............................................................................................................................14
a. Définition :.....................................................................................................................................................14
b. Informations relatives aux conditions d’application de la norme PCI DSS :...................................................14
c. Éléments de Données de Carte et Exigences Relatives au Stockage..............................................................15
d. Périmètre des Exigences du Standard PCI DSS...............................................................................................15
e. Les exigences de la norme PCI DSS :..............................................................................................................15

2. CIS (Center for Internet Security) Benchmark:...................................................................................17

a. Définition:......................................................................................................................................................17
b. CIS benchmarks pour Windows 10 :..............................................................................................................17
c. CIS benchmarks pour Debian Linux 11 :.........................................................................................................17

VII. DÉROULEMENT DU STAGE :......................................................................................................................18

a) Diagramme de Gantt :......................................................................................................................18
VIII. CONCLUSION :.......................................................................................................................................18

CHAPITRE 4 : CONCEPTION........................................................................................................................... 19

I. INTRODUCTION :.........................................................................................................................................20
II. UML :......................................................................................................................................................20
1. Diagramme de cas d’utilisation :......................................................................................................21
2. Diagramme de séquence :................................................................................................................22
III. CONCLUSION :............................................................................................................................................24

CHAPITRE 5 : OUTILS ET TECHNOLOGIES UTILISÉS......................................................................................... 25

I. INTRODUCTION :.........................................................................................................................................26
II. LES OUTILS :..............................................................................................................................................26
1. VMware Workstation :.....................................................................................................................26
2. Virtual Box :......................................................................................................................................27
3. Windows 10 :....................................................................................................................................28
4. Debian Linux 11 :..............................................................................................................................28
5. Windows PowerShell :......................................................................................................................29
6. HTML5 :............................................................................................................................................30
7. CSS3 :................................................................................................................................................30
8. Scripts :.............................................................................................................................................30
III. CONCLUSION :............................................................................................................................................31

CHAPITRE 6 : RÉALISATION.......................................................................................................................... 32
I. INTRODUCTION :.........................................................................................................................................33
II. INSTALLATION :.......................................................................................................................................... 33
1. VMware :..........................................................................................................................................33
2. VirtualBox :.......................................................................................................................................33
3. Windows 10 :....................................................................................................................................34
4. Debian Linux 11 :..............................................................................................................................34
III. AUTOMATISATION DES TESTS DE CONFIGURATIONS :..........................................................................................36
1. Windows 10 :....................................................................................................................................36
a. Politiques de compte :...................................................................................................................................36
 Politique de mot de passe :......................................................................................................................36
 Politique de verrouillage de compte :.......................................................................................................41
b. Politiques locales :.........................................................................................................................................42
 Options de sécurité :................................................................................................................................42
 Comptes :............................................................................................................................................42
 Audit :..................................................................................................................................................44
 Périphériques :....................................................................................................................................45
 Membre du domaine :........................................................................................................................47
 Connexion interactive :.......................................................................................................................51
 Accès réseau :.....................................................................................................................................54
 Sécurité du réseau :.............................................................................................................................58
 Contrôle du compte utilisateur :.........................................................................................................59
c. Système :.......................................................................................................................................................61
 Service de temps Windows :....................................................................................................................61
 Fournisseurs de temps :......................................................................................................................61

2. Debian :............................................................................................................................................62
a. Comptes utilisateurs et environnement :......................................................................................................62
b. Entretien du système.....................................................................................................................................65

IV. DÉVELOPPEMENT DU SCRIPT :.......................................................................................................................67

1. Windows 10 :....................................................................................................................................67
Génération du rapport sous format HTML :.............................................................................................................69
2. Debian Linux 11 :..............................................................................................................................69
V. CONCLUSION :............................................................................................................................................70
WEBOGRAPHIES :.................................................................................................................................................71
 Table de figures
Figure 1:Faits marquants.............................................................................................................4
Figure 2: Diagrammes UML.....................................................................................................20
Figure 3: Diagramme de cas d'utilisation..................................................................................22
Figure 4: Diagramme de séquence............................................................................................24
Figure 5: Logo VMware...........................................................................................................26
Figure 6:Logo Virtual Box........................................................................................................27
Figure 7:Logo Windows10.......................................................................................................28
Figure 8: Logo Debian 11.........................................................................................................29
Figure 9:Logo PowerShell........................................................................................................30
Figure 10:Logo Script...............................................................................................................31
Figure 11:lien d'installation de VMware...................................................................................33
Figure 12:Interface de VMware après installation....................................................................33
Figure 13:lien d'installation de VirtualBox...............................................................................33
Figure 14: Interface VirtualBox................................................................................................34
Figure 15: Interface Windows 10.............................................................................................34
Figure 16: Fichier OVA du debian...........................................................................................34
Figure 17: Page d'importation...................................................................................................35
Figure 18: Interface Debian Linux 11.......................................................................................35
Figure 19: historique des mots de passe...................................................................................37
Figure 20: Âge maximal du mot de passe.................................................................................37
Figure 21: Âge minimum du mot de passe...............................................................................38
Figure 22: Longueur minimale du mot de passe.......................................................................39
Figure 23: Les exigences de complexité du mot de passe........................................................40
Figure 24: Relaxer les limites minimales de longueur de mot de passe...................................40
Figure 25: Durée du verrouillage du compte............................................................................41
Figure 26: Seuil de verrouillage de compte..............................................................................42
Figure 27: bloquer les comptes Microsoft................................................................................43
Figure 28: limiter l’utilisation de mots de passe vides.............................................................43
Figure 29: Stratégie d’audit à l’aide de sous-catégories...........................................................44
Figure 30: arrêtez immédiatement le système..........................................................................45
Figure 31: autorisés à formater et à éjecter des supports amovibles........................................46
Figure 32: empêcher les utilisateurs d’installer des pilotes d’imprimante...............................46
Figure 33: crypter ou signer numériquement les données du canal sécurisé (toujours)...........47
Figure 34: crypter ou signer numériquement les données du canal sécurisé (si possible).......48
Figure 35: crypter numériquement les données du canal sécurisé (si possible).......................49
Figure 36: Désactiver les modifications du mot de passe du compte machine........................50
Figure 37: âge maximal du mot de passe du compte machine.................................................50
Figure 38: clé de session forte..................................................................................................51
Figure 39: Se connecter via CTRL+ALT+DEL.......................................................................52
Figure 40: la dernière connexion..............................................................................................52
Figure 41: texte du message pour les utilisateurs tentant de se connecter................................53
Figure 42:nombre de connexions précédentes au cache...........................................................53
Figure 43: Durée de changement du mot de passe avant expiration.........................................54
Figure 44: ne pas autoriser l'énumération anonyme des comptes SAM...................................55
Figure 45: ne pas autoriser le stockage des mots de passe.......................................................55
Figure 46: ne pas laisser tout le monde s'appliquer aux utilisateurs anonymes........................56
Figure 47: Pas de canaux nommés accessibles de manière anonyme.......................................56
Figure 48: chemins de registre accessibles à distance..............................................................57
Figure 49: restreindre l'accès anonyme aux canaux nommés et aux partages..........................57
Figure 50: partages accessibles de manière anonyme...............................................................58
Figure 51: ne pas stocker la valeur de hachage LAN...............................................................59
Figure 52: détecter les installations d'application.....................................................................59
Figure 53: Sécuriser l'interface utilisateur................................................................................60
Figure 54:exécuter tous les administrateurs en mode d'approbation administrateur................61
Figure 55:Activer le client NTP Windows...............................................................................61
Figure 56: Activer le serveur NTP Windows...........................................................................62
Figure 57: le nombre minimum de jours...................................................................................62
Figure 58: Correction du nombre minimum de jours...............................................................63
Figure 59: Valeur de "PASS_MIN_DAYS".............................................................................63
Figure 60: l'expiration du mot de passe....................................................................................63
Figure 61: Correction de l'expiration du mot de passe.............................................................63
Figure 62: Nombre de jours d'avertissement d'expiration du mot de passe..............................64
Figure 63: verrouillage du mot de passe inactif........................................................................64
Figure 64:Correction de verrouillage du mot de passe inactif.................................................65
Figure 65: GID..........................................................................................................................65
Figure 66: les autorisations sur /etc/passwd..............................................................................65
Figure 67: les autorisations sur /etc/passwd-............................................................................66
Figure 68: les autorisations sur /etc/group................................................................................66
Figure 69: les autorisations sur /etc/group-...............................................................................66
Figure 70: Correction des autorisations sur /etc/group-............................................................67
Figure 71: La commande PS2EXE...........................................................................................67
Figure 72: stockage du résultat dans un fichier texte................................................................67
Figure 73:Le fichier Powershell :.............................................................................................68
Figure 74: Le fichier résultat.....................................................................................................68
Figure 75: Générer rapport........................................................................................................69
Figure 76: Rapport HTML........................................................................................................69
Figure 78: rapport Debian.........................................................................................................69
Figure 79: L'exécution du rapport Debian................................................................................70
 Introduction générale :
Le présent rapport constitue le compte rendu de mon stage de fin d'études, réalisé du
25 Avril au 08 Juin, au sein de DataProtect. Ce stage s'inscrit dans le cadre de ma formation
universitaire en Diplôme Universitaire de Technologie à l’Ecole supérieur de Technologie.
L'objectif de ce rapport est de présenter de manière détaillée les missions qui m'ont été
confiées durant cette période de stage, ainsi que les connaissances et compétences que j'ai
acquises. Il permettra également d'évaluer la pertinence de ma formation académique par
rapport aux exigences du monde professionnel.
Au cours de ces 7 semaines de stage, j'ai eu l'opportunité d'intégrer une équipe
dynamique au sein de PCI DSS. J'ai été encadré(e) par Mme Aida ASKALLI qui m'a guidée
et soutenue tout au long de cette expérience professionnelle enrichissante.
Ce stage m'a permis d'appliquer les connaissances théoriques acquises au cours de mes
années d'études et de développer mes compétences techniques dans le domaine de sécurité des
systèmes informatiques. J'ai également pu me familiariser avec les méthodes et les outils
utilisés dans le milieu professionnel, ce qui a renforcé ma compréhension des enjeux concrets
auxquels font face les entreprises.
Ce rapport de stage est structuré en plusieurs parties. Dans la première section, j’ai
présenté l’entreprise où j’avais l’occasion de passer le stage. Ensuite, en deuxième section,
j’ai présenté en détail le projet sur lequel j'ai travaillé pendant mon stage ainsi que les
objectifs spécifiques et la problématique du projet. Puis, en troisième section, j’ai décrit en
détail les besoins en mentionnant les points principaux du projet. En quatrième section, ce
chapitre est consacré à la conception où j’ai élaboré des diagrammes afin de décrire les
fonctionnalités de mon projet. Puis le cinquième chapitre qui est été dédié aux technologies
utilisés pour réaliser le projet, et finalement la partie réalisation qui montre les étapes du
développement suivis, des fonctionnalités que j'ai implémentées et des résultats obtenus.

1
 Chapitre 1 :
Présentation de
l’entreprise

2
 I. Introduction :
DATAPROTECT est une entreprise spécialisée en sécurité de l’information. Fondée
par Ali EL AZZOUZI, un expert en sécurité de l’information ayant mené plusieurs projets de
conseil et d’intégration de solutions de sécurité, DATAPROTECT appuie son offre sur une
vision unifiée de la sécurité de l’information. Dotée d’un réservoir de compétences pointues
en sécurité lui permettant d’assurer une expertise unique sur le marché local et régional.
Depuis sa création, DATAPROTECT ne cesse d’évoluer pour délivrer ses prestations
d’excellence à travers une équipe d’experts pluridisciplinaires dotée d’un sens unique de
l’intimité client. Aussi, son statut d'entité accréditée PCI QSA et PA QSA sur les zones
CEMEA et EUROPE par le consortium Payment Card Industry Security Standards Council
pour les certifications PCI DSS et PA DSS, fait d’elle un acteur unique dans la région.
Avec une centaine de clients en Europe, Afrique et Moyen Orient, DATAPROTECT
est aujourd’hui capable de délivrer ses services en toute agilité, pour des multinationales
comme pour des entreprises locales, avec à la clé une réputation établie de pionnier sur la
thématique de la sécurité de l’Information.

II.Missions :
DATAPROTECT a pour mission de faire bénéficier ses clients du retour d’expérience à forte
valeur ajoutée de ses équipes.
Pour y parvenir DATAPROTECT s’est lancée, depuis sa création, dans la constitution des
équipes composées des ressources certifiées ayant conduit de nombreux projets liés à la
sécurité de l’information aussi bien qu'en France qu'à l'étranger.
En combinant son expertise pointue au niveau technologique et sa compréhension complète
et singulière de la chaîne des menaces informationnelles, DATAPROTECT se donne comme
mission de ne fournir que des prestations spécialisées et concentrées uniquement autour de la
sécurité de l'information.

III. Faits marquants de la société :

C’est à travers une histoire ponctuée d’évènements et de challenges marquants, que
DATAPROTECT a pu construire et consolider son expertise, afin d’accompagner les

3
entreprises dans leurs politiques de sécurité. Avec plus de 200 certifications sécurité à notre
actif, notre cheminement s’inscrit dans une démarche d’amélioration continue.

Figure 1:Faits marquants

IV. Certification PCI DSS :

En tant que prestataire de services accrédité PCI QSA depuis 2011 par le PCI SSC
composé notamment de Visa, Mastercard et American Express, DATAPROTECT a
accompagné plusieurs organisations dans leur démarche de certification PCI
DSS. DATAPROTECT est une société prestataire de services habilitée à réaliser des missions
de certification PCI DSS par le consortium PCI SSC. En 2011, DATAPROTECT a certifié la
banque CBAO qui est devenue la première banque à avoir la certification PCI DSS en Afrique
francophone. En 2013, DATAPROTECT a certifié la Banque Centrale Populaire qui est
devenue à son tour la première banque à être certifiée au Maroc.

V. Conclusion :
Ce chapitre avait pour objectif la présentation du cadre général de l’entreprise
DATAPROTECT qui se base sur la sécurité des données.
Ainsi, nous avons présenté le contexte de l’entreprise, ses missions, ainsi que le
département où j’avais l’occasion de passer le stage.

4
 Chapitre 2 :
Présentation du
projet

5
 I. Introduction :
La présentation du cadre général du projet a pour but de situer le projet dans son
environnement organisationnel et contextuel. Ce chapitre décrit la problématique à traiter et
présente la démarche suivie pour la réalisation du projet.

II.Objectifs :
Mon stage du projet de fin d’études que j’ai effectué au sein de la société DataProtect,
a en premier lieu comme objectif, de découvrir le monde du travail et de l’entreprise, ainsi
que de mettre en pratique mes connaissances acquises afin de s’en sortir dans des situations
complexes.
Aussi d’évaluer mes compétences en résolution des problèmes qui peuvent être liées
au monde socio-professionnel et en particulier au monde informatique.
En deuxième lieu, et comme ce stage est dans le cadre des études, il constitue par la
rédaction d’un rapport, un premier apprentissage d’envergure à la recherche documentaire et à
la rédaction scientifique, sollicitant ainsi mes capacités d’analyse, d’esprit critique et de
synthèse.
Enfin, l’objectif technique de notre stage du projet de fin d’études est de d’automatiser
les chemins des CIS Benchmark du Windows 10 et Debian Linux 11 à travers des scripts afin
de réduire les erreurs humaines et gagner du temps.

III. Problématique :
Lors de la configuration manuelle des paramètres de sécurité du CIS Benchmark
(Windows ou Debian), l’administrateur peut commettre plusieurs erreurs parmi eux on
trouve :
 Complexité et taille de l’environnement : Lorsqu’on gère un grand nombre de
machines ou de systèmes, il devient difficile de gérer manuellement chaque
configuration de sécurité.
 Risques d’erreurs humaines : Les tâches manuelles sont sujettes aux erreurs humaines,
notamment lors de la configuration de paramètres de sécurité complexes.

6
  Temps et effort : Configurer manuellement chaque paramètre de sécurité
conformément au CIS Benchmark peut être une tâche longue et fastidieuse, surtout si
on a plusieurs machines ou systèmes à gérer.
 Cohérence : Lorsque les configurations de sécurité sont gérées manuellement, il peut y
avoir des variations et des incohérences entre les différentes machines ou systèmes.
Cela peut entraîner des failles de sécurité et une difficulté à maintenir une conformité
constante.
 Gestion à grande échelle : Si on a un grand nombre de machines ou de systèmes à
gérer, il peut être difficile de maintenir manuellement les configurations de sécurité
pour chacun d’entre eux.
 Suivi et audit : Lorsque vous configurez manuellement les paramètres de sécurité, il
peut être difficile de suivre les modifications, de générer des rapports et de réaliser des
audits pour garantir la conformité continue.

IV. Conclusion :
Ce chapitre avait pour objet la présentation du cadre général de mon PFE qui consiste
sur l’automatisation des chemins CIS Benchmark (Windows 10 et Debian Linux 11). Ainsi,
nous avons présenté le contexte du projet, la problématique à laquelle il vient répondre ainsi
que ses solutions afin de mettre le projet dans un cadre d’étude transversale avant de pouvoir
l’analyser et spécifier les besoins fonctionnels.

7
Chapitre 3 : Analyse
des besoins

8
 I. Introduction :
L’étude technique consiste à mener une analyse des besoins techniques puis trouver
une implémentation qui répond à ces besoins indépendamment des choix fonctionnels. Ce
chapitre fera donc l’objet de capture des besoins techniques.

II. Solution de l’automatisation :

Ces problèmes poussent les administrateurs à automatiser les chemins CIS Benchmark :
 Gain de temps et d’efficacité : L’automatisation permet d’économiser du temps
précieux en évitant les tâches manuelles répétitives. Les configurations de sécurité
peuvent être appliquées de manière rapide et cohérente sur l’ensemble de
l’environnement, ce qui libère du temps pour se concentrer.
 Cohérence : L’automatisation garantit une application cohérente des configurations de
sécurité. Les paramètres sont déployés de manière uniforme sur tous les systèmes, ce
qui réduit les erreurs humaines et les incohérences qui pourraient créer des
vulnérabilités de sécurité.
 Conformité : En automatisant les chemins du CIS Benchmark, il est plus facile de
maintenir la conformité avec les meilleures pratiques de sécurité recommandées. Les
configurations peuvent être régulièrement vérifiées et mises à jour pour garantir une
conformité continue.
 Réduction des erreurs humaines : L’automatisation minimise les erreurs de
configuration qui pourraient survenir lors de tâches manuelles. Les risques
d’omissions, d’erreurs de saisie ou de mauvaises interprétations des recommandations
de sécurité sont réduits.
 Réactivité : L’automatisation permet de répondre rapidement aux nouvelles exigences
de sécurité ou aux changements de configuration. Les modifications peuvent être
appliquées rapidement et efficacement à l’ensemble de l’environnement, assurant une
sécurité actualisée en temps opportun.
 Audit et rapports : L’automatisation facilite la génération de rapports détaillés sur les
configurations de sécurité. Les informations peuvent être extraites automatiquement,
ce qui simplifie les audits de conformité et les rapports de suivi.

9
  Scalabilité : L’automatisation permet de gérer facilement un grand nombre de
machines ou de systèmes, en appliquant les configurations de sécurité de manière
cohérente à grande échelle.
En résumé, l’automatisation des chemins du CIS Benchmark offre des avantages
significatifs tels que le gain de temps, la cohérence, la conformité, la réduction des erreurs, la
réactivité, la facilité d’audit et la gestion évolutive. Ces avantages contribuent à renforcer la
sécurité des systèmes et à simplifier leur gestion.

III. Les fonctionnalités :

Les fonctionnalités de l’automatisation des chemins CIS Benchmark à l'aide de scripts
sur Windows 10 et Debian Linux 11 peuvent inclure :
 Évaluation de la conformité : Le script peut effectuer une évaluation automatique de la
conformité des systèmes avec les recommandations du CIS Benchmark. Il peut
analyser les configurations, les paramètres de sécurité et les autorisations pour
identifier les écarts de conformité.
 Correction automatique : Le script peut inclure des fonctionnalités de remédiation
automatique pour corriger les écarts de conformité identifiés. Il peut apporter les
modifications nécessaires aux configurations, aux paramètres de sécurité, aux
autorisations, etc., conformément aux recommandations du CIS Benchmark.
 Rapports de conformité : Le script peut générer des rapports détaillés sur l'état de
conformité aux CIS Benchmarks. Ces rapports peuvent inclure les écarts de
conformité détectés, les actions prises pour les corriger et les statistiques de
conformité globale.
 Gestion des configurations : Le script peut aider à gérer les configurations en
permettant la création de profils de configuration réutilisables. Ces profils peuvent être
utilisés pour déployer rapidement les recommandations du CIS Benchmark sur de
multiples systèmes.
En utilisant ces fonctionnalités d'automatisation par le biais de scripts, il est possible
d'accélérer la mise en conformité, d'améliorer l'efficacité opérationnelle et de maintenir la
sécurité des systèmes en ligne avec les recommandations du CIS Benchmark.

10
 IV. La monétique :
1. L’écosystème de la monétique :
L'écosystème de la monétique est l'ensemble des acteurs, des technologies et des
processus impliqués dans la gestion des paiements électroniques. Il s'agit d'un domaine en
constante évolution, qui a connu une croissance rapide ces dernières années en raison de
l'augmentation du nombre de transactions financières électroniques.

2. Les éléments de l’écosystème :

Les principaux éléments qui composent l'écosystème de la monétique :
 Cartes de paiement : Les cartes de paiement, telles que les cartes de crédit, les cartes
de débit et les cartes prépayées, sont utilisées par les consommateurs pour effectuer
des paiements. Elles contiennent des informations liées au compte de l'utilisateur,
telles que le numéro de carte et la date d'expiration.
 Terminaux de paiement : Les terminaux de paiement sont des dispositifs utilisés par
les commerçants pour accepter les paiements par carte. Ils peuvent être des appareils
physiques, tels que des lecteurs de carte de crédit, ou des solutions logicielles intégrées
aux appareils mobiles.
 Réseaux de cartes de paiement : Les réseaux de cartes de paiement, tels que Visa,
Mastercard, American Express, Discover, sont des infrastructures qui facilitent la
communication entre les différents acteurs de l'écosystème. Ils permettent le routage
des transactions, l'autorisation des paiements et le transfert sécurisé des fonds.

3. Les composants de la monétique :

a. Le support :
Le support est tout moyen de paiement ou d’encaissement présenté sous forme de carte
plastique, équipée d’une bande magnétique et éventuellement d’une puce électronique.
b. Système de traitement :
Ce sont des appareils électroniques permettant de lire les informations contenues dans
les différents supports de la monétique. Ils sont généralement connectés à un centre de gestion
des comptes des utilisateurs.

11
 4. Les acteurs de la monétique :
a. Le client ou le porteur :
Le client est le titulaire de la carte. Il est à l’origine de la transaction qui paye un bien
ou un service. La carte est liée au compte bancaire du client et est mise à disposition par sa
banque en échange d’une cotisation annuelle. Lorsqu’un achat est effectué, le compte du
client est débité une fois par mois ou bien immédiatement.

b. Le commerçant ou l’accepteur :
Le commerçant, aussi appelé accepteur, est l’acteur qui produit un bien ou un service
en échange du paiement. Pour être en mesure d’accepter les paiements par carte, la banque de
l’accepteur doit lui fournir un TPE. Ce TPE permet de lire la carte du client et de s’assurer
qu’elle est bien valide. Ainsi, plusieurs validations sont nécessaires :
 Authentifier la transaction (code confidentiel).
 Demander l’autorisation (au-dessus d’un certain montant).
 Vérifier que la carte n’est pas inscrite sur les listes noires.
La banque reçoit quotidiennement la liste des transactions effectuées sur le TPE du
commerce, pour que le commerçant soit payé. Le commerçant paye une commission pour
chacune des transactions.

c. La banque du commerçant ou l’acquéreur :

La banque du commerçant est aussi appelée acquéreur. Elle gère le compte du
commerçant en traitant quotidiennement ses remises (fichier contenant les transactions
quotidiennes). Une fois le fichier de remise traité, la banque crédite le compte du commerçant
du montant de ses transactions, en déduisant les différentes commissions qui permettent de
payer la banque et les schèmes.
La banque du commerçant vend également au commerçant les différentes
infrastructures nécessaires à l’autorisation et l’acceptation (TPE, carte de domiciliation,
serveur de télé paramétrage, serveur de télécollecte etc.).

d. La banque du client ou émetteur :

La banque du client est aussi appelée émetteur. Elle gère le compte du porteur et
fournit la carte et le code au client en échange d’une cotisation annuelle. Elle est aussi en
charge des accords avec les différents réseaux d’acceptation (Visa, Mastercard etc.).

12
Cette banque débite le compte du client et reverse aux banques acquéreuses le montant de la
transaction, en échange d’une commission aux frais de la banque acquéreuse concernée.

e. Les schèmes ou réseaux d’acceptation :

Les schèmes, également appelés réseaux d’acceptation, servent d’intermédiaires entre
les banques émettrices et réceptrices. Ces réseaux fixent les règles d’acceptation à respecter et
arbitrent la responsabilité de chaque acteur en cas de litige.
Les banques émettrices doivent disposer d’un contrat avec un ou plusieurs de ces réseaux
pour permettre à leurs clients d’utiliser les réseaux bancaires avec leur carte bleue et donc
d’effectuer un paiement. De plus, les TPE des commerçant doivent respecter les règles
établies par les schèmes pour pouvoir être utilisés.
Les principaux réseaux d’acceptation sont Visa et Mastercard, et sont implantés
partout dans le monde. Néanmoins, d’autres réseaux comme American Express ou Carte
Bancaire sont localement implantés (respectivement en Amérique et en France). En France,
les cartes bancaires dépendent quasiment toutes du réseau Carte Bancaire (CB), en plus
d’appartenir aux réseaux Visa ou Mastercard. Le logo de ces réseaux figure sur la carte.

V. Les fraudes monétiques :

Les fraudes monétiques font référence aux activités frauduleuses liées aux transactions
financières, notamment aux paiements électroniques et aux opérations effectuées avec des
cartes de paiement. Voici quelques exemples courants de fraudes monétiques :

1. Fraude par carte de crédit volée :

Lorsqu'une personne utilise frauduleusement les informations d'une carte de crédit volée pour
effectuer des achats ou des retraits d'argent.

2. Fraude par skimming :

Les fraudeurs utilisent des dispositifs de skimming pour copier les informations des cartes de
paiement, généralement lorsqu'elles sont utilisées dans des distributeurs automatiques de
billets (DAB) ou des terminaux de paiement.

3. Phishing :
Les fraudeurs envoient des courriels ou des messages trompeurs qui imitent des institutions
financières légitimes pour inciter les utilisateurs à divulguer leurs informations de carte de
paiement ou leurs identifiants de connexion.
13
 VI. Les normes de sécurité :
1. La norme PCI DSS :
a. Définition :
Le standard de sécurité des données Payement Card Industry (PCI DSS) a été
développée afin d'encourager et d'améliorer la sécurité des données relatives aux cartes de
paiement, et de faciliter l'adoption à grande échelle de mesures cohérentes de sécurité des
données à l'échelle mondiale. PCI DSS fournit une base d'exigences techniques et
opérationnelles conçues pour protéger les données de carte.
Bien que spécifiquement conçue pour se focaliser sur les environnements contenant
des données de carte de cartes de paiement, le standard PCI DSS peut également être utilisé
pour se protéger contre les menaces et sécuriser d'autres éléments de l'écosystème de
paiement.
Le standard PCI DSS est destiné à toutes les entités qui stockent, traitent ou
transmettent des données de titulaires de cartes (CHD) et/ou des données d'authentification
sensibles (SAD) ou qui pourraient avoir une incidence sur la sécurité de l'environnement de
données des titulaires de cartes (CDE).
Les données de la carte
Les données de titulaires de carte Les données d’identification sensibles comprennent :
comprennent :
Numéro de compte primaire (PAN) Données de bande magnétique complètes (données de bande
magnétique ou équivalent sur une puce)
Nom du titulaire de la carte CAV2/CVC2/CVV2/CID

Date d’expiration Codes/blocs PIN

Code service

b. Informations relatives aux conditions d’application

de la norme PCI DSS :

Tableau 1: Données de carte

14
 c. Éléments de Données de Carte et Exigences
Relatives au Stockage
Élément de données Stockag Rendre illisibles les données
e stockées selon la condition 3.4
autorisé
Données de Numéro de compte Oui Oui
titulaires de primaire (PAN)
carte Nom du titulaire de la carte Oui Non

Code service Oui Non

Date d’expiration Oui Stockage interdit selon la condition

Données 3.2

de la Données Données complètes de piste Non Stockage interdit selon la condition

carte d’identification magnétique 3.2

sensibles CAV2/CVC2/CVV2/CID Non Stockage interdit selon la condition
3.2
Code/bloc PIN Non Stockage interdit selon la condition
3.2
Tableau 2: Exigences Relatives au Stockage des Éléments de Données de Carte

d. Périmètre des Exigences du Standard PCI DSS

Les exigences de sécurité PCI DSS s’appliquent à tous les composants au sein de
l ’environnement des données de cartes (CDE) ou ceux qui lui sont connectés.
● Le scope PCI DSS inclus:
 Les processus qui encadrent le traitement des données de cartes.
 Les technologies (software et hardware) qui supportent ces processus.
 L’être humain en charge de gestion et mis en œuvre des processus en vigueur.

15
 e. Les exigences de la norme PCI DSS :
Les 12 exigences PCI DSS sont un ensemble de contrôles de sécurité que les entreprises sont
tenues de mettre en œuvre pour protéger les données des cartes de crédit et se conformer à la
norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).
1) construire et maintenir un 1) Installer et gérer une configuration avec pare-feu pour
réseau informatique sécurisé protéger les données des titulaires de cartes
2) Ne pas utiliser les paramètres par défaut du fournisseur pour
les mots de passe système et les autres paramètres de
sécurité
2) protéger les données des 3) Protéger les données des titulaires de cartes
titulaires 4) Chiffrer la transmission des données des titulaires de cartes
sur les réseaux publics ouverts
3) maintenir un programme de 5) Utiliser et mettre régulièrement à jour un logiciel ou des
gestion des vulnérabilités programmes antivirus
6) Développer et maintenir des systèmes et des applications
sécurisés
4) mettre en place des 7) Restreindre l’accès aux données des titulaires aux seules
mécanismes de contrôle personnes concernées
d’accès robustes 8) Attribuer un identifiant unique à chaque personne ayant
accès à un ordinateur
9) Restreindre l’accès physique aux données
5) surveiller et tester 10) Tracer et surveiller tous les accès aux ressources réseau et
régulièrement les réseaux aux données des titulaires de cartes
11) Tester régulièrement les systèmes et processus de sécurité
6) maintenir une politique de 12) Maintenir une politique de sécurité abordant la sécurité des
sécurité de l’information informations pour les employés et les prestataires
Tableau 3: Principales Exigences du Standard PCI DSS

 L'exigence 2.2 de la norme PCI DSS concerne la sécurisation des configurations de

système et des logiciels. Elle stipule que les organisations doivent mettre en place des
processus et des outils pour garantir que les configurations de sécurité soient correctement

16
définies, maintenues et vérifiées régulièrement. C’est pour cela on a utilisé la solution
d’automatisation des chemins CIS (Center for Internet Security) qui peut être utilisée pour
aider à garantir la conformité à cette exigence. Les chemins CIS sont des recommandations de
sécurité établies par le Center for Internet Security, qui fournissent des guides détaillés pour
configurer les systèmes et les logiciels de manière sécurisée.

2. CIS (Center for Internet Security) Benchmark:

En automatisant les tests de configuration basés sur les CIS benchmarks, on peut rationaliser
et renforcer nos efforts de conformité PCI DSS. Cela nous permettra d'évaluer rapidement et
efficacement la sécurité de nos configurations et de prendre les mesures nécessaires pour
garantir la conformité aux exigences de PCI DSS.

a. Définition:
Les benchmarks CIS du Center of Internet Security (CIS) sont un ensemble de bonnes
pratiques reconnues mondialement et faisant l'objet d'un consensus pour aider les praticiens de
la sécurité à mettre en œuvre et à gérer leurs défenses de cyber sécurité. Élaborées avec une
communauté mondiale d'experts en sécurité, les directives aident les organisations à se
protéger de manière proactive contre les risques émergents. Les entreprises mettent en œuvre
les directives du Benchmark CIS afin de limiter les vulnérabilités de sécurité liées à la
configuration de leurs actifs numériques.

b. CIS benchmarks pour Windows 10 :

Les CIS benchmarks pour Windows 10 sont des guides détaillés qui couvrent divers
aspects de la configuration sécurisée du système d'exploitation Windows 10. Ils incluent des
recommandations concernant la gestion des comptes utilisateurs, les paramètres de sécurité,
les services et protocoles à désactiver ou à configurer, les stratégies de pare-feu, les
paramètres de registre, les politiques de mot de passe, et bien d'autres. Ces benchmarks visent
à réduire les vulnérabilités et à renforcer la sécurité de l'environnement Windows 10.

c. CIS benchmarks pour Debian Linux 11 :

Les CIS benchmarks pour Debian Linux 11 fournissent des directives détaillées pour
sécuriser les systèmes d'exploitation basés sur Debian Linux version 11. Ils abordent des
aspects tels que les paramètres de sécurité du noyau, les configurations du réseau, les
politiques de mot de passe, les paramètres de pare-feu, les restrictions d'accès, la gestion des
17
utilisateurs et des groupes, les configurations de services et de services réseau, ainsi que
d'autres éléments clés pour garantir la sécurité de l'environnement Debian Linux 11.
 Ces CIS benchmarks sont régulièrement mis à jour par le CIS pour refléter les dernières
menaces et vulnérabilités émergentes. Ils sont largement utilisés dans l'industrie en tant que
référence pour sécuriser les systèmes d'exploitation Windows et Debian Linux, et aident les
organisations à renforcer leur posture de sécurité en mettant en œuvre les meilleures pratiques
recommandées.

VII. Déroulement du stage :

Durant mon stage de deux mois à la société DataProtect, et pendant les premiers jours,
j’ai échangé et discuté avec la responsable sur les objectifs du stage et les besoins auxquels
doit répondre le projet sur lequel je vais travailler, ainsi que sur le planning prévu selon ce qui
devrait paraître dans le rapport. Afin de réaliser mon projet, j’ai mené plusieurs tâches selon la
planification illustrée dans le diagramme de GANTT suivant :

a) Diagramme de Gantt :
Le diagramme de GANTT est un outil permettant de modéliser la planification des
tâches nécessaires à la réalisation d'un projet. Il s'agit d'un outil inventé en 1917 par Henry L.
GANTT. Dans un diagramme de GANTT chaque tâche est représentée par une ligne, tandis
que les colonnes représentent les jours, semaines ou mois du calendrier selon la durée du
projet.

Figure 2: Diagramme de Gantt

VIII. Conclusion :
En conclusion, l'automatisation des chemins CIS Benchmark présente plusieurs
avantages en matière de sécurité et de conformité. En automatisant la mise en œuvre des
18
recommandations de sécurité et des contrôles, les organisations peuvent renforcer leur posture
de sécurité, réduire les erreurs humaines et garantir une conformité constante aux normes
telles que le PCI DSS. L'automatisation permet également d'améliorer l'efficacité
opérationnelle et de réduire les risques liés aux violations de données. En identifiant les
besoins spécifiques de l'organisation et en utilisant des scripts et des outils d'automatisation
adaptés, les entreprises peuvent bénéficier d'une sécurité renforcée et d'une conformité accrue.

Chapitre 4 :
Conception

19
 I. Introduction :
Le chapitre de conception est une étape clé dans le développement du projet
d'automatisation des chemins du CIS Benchmark. Il consiste à concevoir et à planifier en
détail le système afin de répondre aux exigences spécifiques du CIS Benchmark et du PCI
DSS. Pendant cette phase, nous utilisons le langage de modélisation UML (Unified
Modeling Language) pour représenter graphiquement les concepts de conception du système.
Les diagrammes UML nous aident à visualiser les différentes parties du système, leurs
interactions et leurs comportements.

II.UML :
Pour modéliser d’une manière claire et précise la structure et le comportement de notre
système indépendamment de tout langage de programmation, je vais adopter la démarche le
langage de modélisation UML (Unified Modeling Language).
UML se définit comme un langage de modélisation graphique et textuel destiné à
comprendre et décrire des besoins, spécifier et documenter des systèmes, esquisser des
architectures logicielles, concevoir des solutions et communiquer des points de vue.
UML représente le standard de modélisation objet le plus répandu et le plus utilisé
aujourd’hui. Il s’articule autour de treize types de diagrammes (Les diagrammes d'UML
comme le montre la Figure, chacun d’eux étant dédié), la représentation des concepts
particuliers d’un système logiciel. Ces types de diagrammes sont répartis en deux grands
groupes ; des Diagrammes structurels et comportementaux

Figure 3: Diagrammes UML

20
 1. Diagramme de cas d’utilisation :
En langage UML, les diagrammes de cas d'utilisation modélisent le comportement
d'un système et permettent de capturer les exigences du système.
Les diagrammes de cas d'utilisation décrivent les fonctions générales et la portée d'un
système. Ces diagrammes identifient également les interactions entre le système et ses
acteurs. Les cas d'utilisation et les acteurs dans les diagrammes de cas d'utilisation décrivent
ce que le système fait et comment les acteurs l'utilisent, mais ne montrent pas comment le
système fonctionne en interne.
Les diagrammes de cas d'utilisation illustrent et définissent le contexte et les exigences
d'un système entier, ou des parties essentielles d'un système. On peut modéliser un système
complexe avec un seul diagramme de cas d'utilisation, ou créer de nombreux diagrammes de
cas d'utilisation pour modéliser les composants du système. On développe des diagrammes de
cas d'utilisation essentiellement dans les premières phases d'un projet et on s’y réfèrera tout au
long du processus de développement.
Les diagrammes de cas d'utilisation sont utiles dans les situations suivantes :
 Avant de commencer un projet, on peut créer des diagrammes de cas d'utilisation pour
modéliser une entreprise, afin que tous les participants au projet visualisent bien les
travailleurs, clients et activités de l'entreprise.
 Lors du recueil des exigences, on peut créer des diagrammes de cas d'utilisation pour
capturer les exigences du système et pour présenter aux autres ce que le système doit
faire.
 Lors des phases d'analyse et de conception, on peut utiliser les cas d'utilisation et les
acteurs de nos diagrammes de cas d'utilisation pour identifier les classes nécessaires.
 Lors de la phase de test, on peut utiliser les diagrammes de cas d'utilisation pour
identifier les tests à réaliser pour le système.
Les rubriques suivantes décrivent les éléments de modèle dans les diagrammes de cas
d'utilisation :
Cas d’utilisation:
Un cas d'utilisation décrit une fonction qu'un système exécute pour atteindre l'objectif
de l'utilisateur. Un cas d'utilisation doit renvoyer un résultat observable qui est utile pour
l'utilisateur du système. Acteurs Un acteur représente un rôle d'un utilisateur qui interagit avec

21
le système qu’on modélise. L'utilisateur peut être un utilisateur humain, une organisation, une
machine ou un autre système externe.
Sous-systèmes :
Dans les modèles UML, les sous-systèmes sont un type de composant stéréotypé représentant
des unités comportementales indépendantes dans un système. Les sous-systèmes sont utilisés
dans les diagrammes de classes, de composants et de cas d'utilisation pour représenter des
composants de grande taille dans le système qu’on modélise.
Relations dans les diagrammes de cas d’utilisation :
En langage UML, une relation est une connexion entre des éléments de modèle. Une relation
UML est un type d'élément de modèle qui ajoute une sémantique à un modèle en définissant
la structure et le comportement entre les éléments de modèle.

Figure 4: Diagramme de cas d'utilisation

2. Diagramme de séquence :
Un diagramme de séquence est un diagramme UML (Unified Modeling Language) qui
représente la séquence de messages entre les objets au cours d'une interaction. Un diagramme
22
de séquence comprend un groupe d'objets, représentés par des lignes de vie, et les messages
que ces objets échangent lors de l'interaction.
Les diagrammes de séquence représentent la séquence de messages transmis entre des
objets. Ils peuvent également représenter les structures de contrôle entre des objets. Par
exemple, les lignes de vie dans un diagramme de séquence pour un scénario de banque
peuvent représenter un client, un guichetier ou un responsable d'agence. Les communications
entre le client, le guichetier et le responsable sont représentés par les messages entre ces
derniers. Le diagramme de séquence représente les objets et les messages entre ces objets.
Les rubriques suivantes décrivent les éléments compris dans les diagrammes de
séquence :
Lignes de vie dans les diagrammes UML
Dans les diagrammes UML tels que les diagrammes de séquence ou de
communication, les lignes de vie représentent les objets entrant dans une interaction. Dans un
scénario d'une école, par exemple, les lignes de vie peuvent représenter des objets comme le
système scolaire ou un client. Chaque instance d'une interaction est représentée par une ligne
de vie.
Messages dans les diagrammes UML
Un message est un élément de diagramme Unified Modeling Language (UML) qui
définit un type particulier de communication entre les instances au cours d'une interaction. Un
message fait circuler des informations d'une instance, représentée par une ligne de vie, à une
autre instance au cours d'une interaction.
Fragments combinés dans les diagrammes de séquence
Dans les diagrammes de séquence, les fragments combinés sont des regroupements
logiques représentés par un rectangle et contenant les structures conditionnelles qui affectent
le flux de messages. Un fragment combiné contient des opérandes d'interaction et est défini
par un opérateur d'interaction.

23
 Figure 5: Diagramme de séquence

III. Conclusion :
Nous avons présenté dans ce chapitre la conception des différents axes de notre projet.
Cette conception a été faite sur la base de diagrammes comportementaux. Arrivés à ce point
du projet, toutes les conditions sont rassemblées afin d’entamer la phase de réalisation qui
rappelle souvent de constater la pertinence de la conception.

24
Chapitre 5 : Outils et
technologies utilisés

25
 I. Introduction :
Ce chapitre présente les différents outils et technologies qui ont été utilisés dans le
cadre du projet d'automatisation des chemins du CIS Benchmark. Ces outils et technologies
jouent un rôle crucial dans la mise en œuvre efficace des recommandations de sécurité et la
garantie de la conformité aux normes telles que PCI DSS. Ce chapitre donnera un aperçu des
principales technologies telles que les systèmes d'exploitation, les scripts et langages de
programmation, les outils de gestion de configuration, les outils de surveillance et de
vérification, ainsi que les outils de planification et de gestion de projet. Il mettra en évidence
les fonctionnalités et avantages de chaque outil, et expliquera leur importance dans le projet
d'automatisation des chemins du CIS Benchmark.

II. Les outils :

1. VMware Workstation :
VMware Workstation est une gamme de produits d'hyperviseur hébergé fonctionnant
sur des ordinateurs x64 qui permet aux utilisateurs d'exécuter des machines virtuelles , des
conteneurs et des clusters Kubernetes sur une seule machine physique et de les utiliser
simultanément avec la machine hôte. Chaque machine virtuelle peut exécuter son
propre système d'exploitation , y compris les versions de Windows , Linux , BSD et MS-
DOS . Le logiciel est développé et vendu par VMware, Inc., une division de Dell
Technologies.
En termes simples, VMware Workstation permet l'installation de plusieurs systèmes
d'exploitation, y compris les systèmes d'exploitation client et serveur, en même temps. Il aide
les administrateurs réseau ou système à contrôler, tester et vérifier l' environnement
client/serveur . Les utilisateurs autorisés peuvent basculer entre différentes machines
virtuelles en même temps.

Figure 6: Logo VMware

26
 2. Virtual Box :
Virtual Box est le logiciel de virtualisation gratuit, open source et multiplateforme
d’Oracle. Celui-ci permet d’héberger une ou plusieurs machines virtuelles, avec des systèmes
d’exploitation différents.
Le logiciel fonctionne sur différents systèmes d’exploitation hôtes à savoir Windows,
Linux, MacOs et Solaris et prend en charge une multitude de systèmes d’exploitation invités
en tant que machines virtuelles (Windows, Linux, Solaris, Mac, Unix sous différentes
versions).
Grâce à ces systèmes d’exploitation invités, vous pouvez par exemple tester des
logiciels sur une machine virtuelle (ou plusieurs en simultané) sans prendre le risque
d’endommager votre ordinateur (hôte).
La solution propose de nombreuses fonctionnalités telles que :
 L’importation Ou L’exportation De Vos Machines Virtuelles Vers Une Solution
Cloud,
 Le Transfert De Fichiers D’une Machine Hôte Vers Une Machine Virtuelle (Sous
Windows Uniquement),
 La Possibilité De Contrôler La Machine Virtuelle A Distance,
 La Sécurisation Des Accès, Avec Des Clés De Cryptage De 256 Bits.
Virtual Box vous permet d’exécuter un nombre illimité de machines virtuelles, avec
pour seules limites l’espace disque et la mémoire de votre ordinateur. Utilisable sur tous
supports, le logiciel s’adapte aussi bien aux systèmes embarqués qu’aux ordinateurs, aux
Datacenter ou encore aux environnements cloud.
Le téléchargement du logiciel est entièrement gratuit et bénéficie d’améliorations continuelles
en fonction des retours des utilisateurs, grâce à son format open source.

27
 Figure 7:Logo Virtual Box
3. Windows 10 :
Windows 10 est un système d'exploitation de la famille Windows NT développé par la
société américaine Microsoft. Officiellement présenté le 30 septembre 2014, il est disponible
publiquement depuis le 29 juillet 2015. Bien que le système s'appelle Windows 10, il s'agit de
la version NT 6.4 pour les versions jusqu’à la « Technical Preview », la première version de
Windows NT 6 étant Windows Vista. Windows 10 est ainsi une ultime version de Windows
NT 6.0 ; néanmoins, depuis la version finale, il porte bel et bien le numéro interne 10 en lieu
et place de 6.4. Il est le successeur de Windows 8.1.
Origine du nom :
Lors de la présentation officielle de Windows 10, Terry Myerson ne donna pas de
réelle explication concernant le passage de 8 à 10 excepté d'insister sur le fait que l'approche
du nouveau produit est fondamentalement différente de ce qui existe aujourd'hui et qu'il fallait
insister sur ce fait, ce qu'un nom comme Windows 9 n'aurait pas permis. Il plaisanta également
sur le fait qu'il n'était malheureusement pas possible de l'appeler Windows 1 (en référence
également aux produits récents OneNote, Xbox One ou encore OneDrive et citant le tweet
d'un utilisateur français nommé Cryonid disant « Après OneDrive et la Xbox One, Windows
One ? » qui a été supprimé depuis) étant donné que celui-ci avait déjà été conçu par des gens
très talentueux (c'est-à-dire Bill Gates, qui est affiché à l'écran tenant la disquette de Windows
1).

28
 Figure 8:Logo Windows10
4. Debian Linux 11 :
Debian (ou Debian GNU/Linux) est un système d’exploitation Linux composé
exclusivement de logiciels libres. Il est développé par la Debian Project, organisation
communautaire qui fut fondée par Ian Murdock le 16 août 1993. Le Responsable de Projet
actuel est Jonathan Carter élu depuis avril 2020, il postule pour un quatrième mandat depuis
avril 2023.
Le projet a été lancé en août 1993 et la première version stable est sorti le 17 juin 1996. La
dernière version stable, Debian 11 est sorti le 14 août 2021. Debian est aussi utilisée comme
base de nombreuses autres distributions, telles que Linux Mint ou Ubuntu.

Figure 9: Logo Debian 11

5. Windows PowerShell :
Windows PowerShell est, comme son nom l’indique, un Shell. En informatique, c’est
une interface entre un ordinateur et son utilisateur. Le terme anglais Shell signifie coquille,
mais au sens figuré, il est utilisé pour décrire une coquille extérieure. C’est également le cas
en informatique, où le terme désigne l’interface utilisateur visible à travers laquelle on peut
interagir avec les fonctions internes du système d’un ordinateur.

29
Les Shell sont généralement orientés commande et sont donc contrôlés exclusivement par le
clavier et la saisie de texte. Ils constituent donc une alternative aux interfaces utilisateur
graphiques (graphical user interfaces, abrégés par GUI), qui se naviguent principalement à la
souris, de même que l’Explorateur Windows. Dans la mesure où les Shell permettent
également d’accéder à des fonctions et des composants beaucoup plus nombreux et profonds
d’un PC, ils sont préférés par de nombreux professionnels de l’informatique et administrateurs
système.
Jusqu’à récemment, la ligne de commande command.com et l’invite de commande
cmd.exe étaient respectivement les shells par défaut des systèmes d’exploitation DOS et
Windows. Ils peuvent être utilisés par les utilisateurs d’ordinateurs avancés pour ouvrir des
applications de console, résoudre des problèmes ou naviguer sur les lecteurs d’un PC. Par
exemple, la commande netstat peut être utilisée pour obtenir des informations de base sur
toutes les activités réseau. Cependant, command.com et cmd.exe ont toujours rencontré deux
problèmes : tous les composants du système ne sont pas accessibles par leur intermédiaire,
et leurs langages de script sont considérés comme limités en fonctionnalité. Ainsi, depuis
quelque temps déjà, ils sont considérés comme moins aboutis que les shells Linux et Unix
courants.
Les développeurs de Microsoft avaient donc prévu de supprimer ces restrictions depuis les
années 1990. Au fil du temps, ils ont développé divers shells avec lesquels ce plan a réussi,
parfois bien parfois moins bien. Monad, lancé pour la première fois en 2003 et
rebaptisé PowerShell trois ans plus tard, s’est révélé particulièrement révolutionnaire.
Les Common Engineering Criteria de Microsoft, selon lesquels tous les produits serveurs de
l’entreprise doivent supporter PowerShell depuis 2009, en ont fait la solution centrale de
gestion et d’automatisation sous Windows. À partir de Windows 2008, il a été livré avec le
système d’exploitation en option, les versions ultérieures ont été livrées avec le système
d’exploitation en standard, et comme framework open source, il est également disponible en
téléchargement pour les versions antérieures de Windows.

Figure 10:Logo PowerShell

30
 6. HTML5 :
Le HTML5, pour HyperText Markup Language 5, est une version du célèbre format
HTML utilisé pour concevoir les sites Internet. Celui-ci se résume à un langage de
balisage qui sert à l'écriture de l'hypertexte indispensable à la mise en forme d'une page Web.

7. CSS3 :
Le CSS pour Cascading Style Sheets, est un langage informatique utilisé sur Internet
pour la mise en forme de fichiers et de pages HTML. On le traduit en français par
feuilles de style en cascade.

8. Scripts :
Un langage de script est un langage de programmation interprété qui permet de
manipuler les fonctionnalités d'un système informatique configuré pour fournir à
l'interpréteur de ce langage un environnement et une interface qui déterminent les possibilités
de celui-ci. Le langage de script peut alors s'affranchir des contraintes des commandes de bas
niveau — prises en charge par l'intermédiaire de l'interface — et bénéficier
d'une syntaxe de haut niveau.
Les langages de script sont généralement exécutés à partir de fichiers (dits,
précisément, scripts) contenant le code source du programme qui sera interprété.
Historiquement, ils ont été créés pour raccourcir le processus traditionnel de développement
édition-compilation-édition des liens-exécution propre aux langages compilés. Les premiers
langages étaient souvent appelés « langage de commande » ou « langage d'enchaînement des
travaux » (JCL : Job Control Language) car ils permettaient simplement d'automatiser une
succession de commandes simples, à la manière d'un « script » de théâtre. Par la suite, ils
furent munis d'exécutions conditionnelles implicites (IBM 1130) ou explicites (JCL), et enfin
d'ordres de boucle et d'opérateurs les transformant en quasi-langages de programmation.

Figure 11:Logo Script

31
 III. Conclusion :
Ce chapitre définit les logiciels utilisés afin de réaliser ce projet en décrivant leurs
architectures, origines et développement. Ces outils vont nous aider à réaliser notre projet
d’automatisation des chemins CIS Benchmark (Windows 10 et Debian Linux 11).

32
Chapitre 6 :
Réalisation

33
 I. Introduction :
Ce chapitre vient de concrétiser les phases d’analyse et de conception. Il présente aussi la
démarche adoptée pour la réalisation du projet et quelques exemples des outils utilisés.

II.Installation :
1. VMware :
On ouvre le fichier d’installation de VMware Workstation pro

Figure 12:lien d'installation de VMware

Après l’installation de VMware et la configuration, on obtient l’interface ci-dessous :

Figure 13:Interface de VMware après installation

2. VirtualBox :
On ouvre le fichier d’installation de VirtualBox

Figure 14:lien d'installation de VirtualBox

34
Figure 15: Interface VirtualBox
3. Windows 10 :
On télécharge le fichier ISO, puis VMware, on exécute le fichier, on spécifie le chemin, on
spécifie le chemin de fichier ISO, on commence la configuration (système d’exploitation,
Donner un nom à VM, processeur, mémoire, disque dur), d’où la création de la machine
virtuelle, enfin on installe Windows 10 en suivant le processus d’installation.

Figure 16: Interface Windows 10

4. Debian Linux 11 :
On installe le fichier OVA du debian

Figure 17: Fichier OVA du debian

35
On importe la machine virtuelle en cliquant sur « importer».

Figure 18: Page d'importation

Figure 19: Interface Debian Linux 11

36
 III. Automatisation des tests de configurations :
1. Windows 10 :
Cette partie fournit des conseils prescriptifs pour établir une posture de configuration
sécurisée pour Microsoft Windows.
Elle est sécurisée et basé sur Windows 10 et est destiné à toutes les versions
du système d'exploitation Windows 10, y compris les anciennes versions.
Elle contient plusieurs sections à contrôler en utilisant la commande PowerShell
Get-ItemProperty utilisée pour récupérer les propriétés d’un élément, tel qu’un fichier ou
une clé de Registre. Il nous permet d’accéder et d’afficher les valeurs de propriétés
spécifiques associées à un élément.

a. Politiques de compte :
 Politique de mot de passe :
 S’assurer que « Appliquer l'historique des mots de passe » est défini sur « 24
mots de passe ou plus » :
Description :
Ce paramètre de stratégie détermine le nombre de mots de passe renouvelés et uniques
qui doivent être associés à un compte d'utilisateur avant de pouvoir réutiliser un ancien mot de
passe. Le paramètre par défaut lorsqu'il est joint à un domaine est de 24 mots de passe.
Vulnérabilités :
Plus un utilisateur utilise le même mot de passe longtemps, plus il y a de chances
qu’un attaquant puisse déterminer le mot de passe par des attaques par force brute. En outre,
tous les comptes qui ont pu être compromis restent exploitables tant que le mot de passe est
laissé inchangé. Si des changements de mot de passe sont nécessaires mais que la réutilisation
du mot de passe n’est pas empêchée, ou si les utilisateurs réutilisent continuellement quelques
mots de passe, l’efficacité d’une bonne politique de mot de passe est considérablement
réduite.
Valeur par défaut :
24 mots de passe mémorisés pour stratégie de domaine par défaut.

37
 Figure 20: historique des mots de passe

 S’assurer que "l'âge maximum du mot de passe" est défini sur "365 jours ou
moins, mais pas sur 0" :
Description :
Ce paramètre de stratégie définit la durée pendant laquelle un utilisateur peut utiliser
son mot de passe avant son expiration.
Les valeurs de ce paramètre de stratégie sont comprises entre 0 et 999 jours. Si on
définit la valeur sur 0, le mot de passe n'expirera jamais.
Vulnérabilités :
Plus un mot de passe existe longtemps, plus il est probable qu’il soit compromis par
une attaque par force brute, par un attaquant acquérant des connaissances générales sur
l’utilisateur ou par l’utilisateur partageant le mot de passe. La configuration du paramètre de
stratégie Âge maximal du mot de passe sur 0 afin que les utilisateurs ne soient jamais tenus de
modifier leurs mots de passe permet à l’utilisateur malveillant d’utiliser un mot de passe
compromis aussi longtemps que l’utilisateur valide est autorisé à y accéder.
Valeur par défaut :
42 jours.

Figure 21: Âge maximal du mot de passe

38
  S’assurer que "l'âge minimum du mot de passe" est défini sur "1 ou plusieurs
jour(s)" :
Description :
Ce paramètre de stratégie détermine le nombre de jours pendant lesquels vous devez
utiliser un mot de passe avant de pouvoir le modifier. La plage de valeurs de ce paramètre de
stratégie est comprise entre 1 et 999 jours.
Vulnérabilités :
Les utilisateurs peuvent avoir des mots de passe préférés qu’ils aiment utiliser parce
qu’ils sont faciles à retenir et qu’ils croient que leur choix de mot de passe est à l’abri de toute
compromission. Malheureusement, les mots de passe peuvent être compromis et si un
attaquant cible un compte d’utilisateur individuel spécifique, avec la connaissance des
données sur cet utilisateur, la réutilisation d’anciens mots de passe peut provoquer une
violation de la sécurité.
Valeur par défaut :
1 jour sur les membres du domaine.

Figure 22: Âge minimum du mot de passe

 S’assurer que la « longueur minimale du mot de passe » est définie sur « 14

caractères ou plus » :
Description :
Le paramètre de stratégie longueur minimale du mot de passe détermine le nombre minimal
de caractères pouvant constituer un mot de passe pour un compte d’utilisateur. Vous pouvez
définir une valeur comprise entre 1 et 14 caractères, ou vous pouvez établir qu’aucun mot de
passe n’est requis en définissant le nombre de caractères sur 0.
Vulnérabilités :

39
Les types d’attaques par mot de passe incluent les attaques par dictionnaire (qui tentent
d’utiliser des mots et des expressions courants) et les attaques par force brute (qui tentent
toutes les combinaisons possibles de caractères). En outre, les attaquants tentent parfois
d’obtenir la base de données des comptes afin de pouvoir utiliser des outils pour découvrir les
comptes et les mots de passe.
Valeur par défaut :
7 caractères sur les membres du domaine.

Figure 23: Longueur minimale du mot de passe

 S’assurer que « Le mot de passe doit répondre aux exigences de complexité » est
défini sur « Activé » :
Description :
Ce paramètre de stratégie vérifie tous les nouveaux mots de passe pour s'assurer qu'ils
répondent aux exigences de base des mots de passe forts.
Lorsque cette stratégie est activée, les mots de passe doivent répondre aux exigences
minimales suivantes :
 Ne pas contenir le nom du compte de l'utilisateur ou des parties du nom complet de
l'utilisateur qui dépassent deux caractères consécutifs
 Comporter au moins six caractères
 Contenir des caractères de trois des catégories suivantes :
 Caractères majuscules anglais (A à Z)
 Caractères anglais minuscules (a à z)
 Base 10 chiffres (0 à 9)
 Caractères non alphabétiques (par exemple, !, $, #, %)

40
  Une catégorie fourre-tout de tout caractère Unicode qui ne relève pas des quatre
catégories précédentes. Cette cinquième catégorie peut être spécifique à une région.

Vulnérabilités :
Les mots de passe qui ne contiennent que des caractères alphanumériques sont faciles à
découvrir avec plusieurs outils accessibles au public.
Valeur par défaut :
Activé.

Figure 24: Les exigences de complexité du mot de passe

 S’assurer que « Relaxer les limites minimales de longueur de mot de passe » est
défini sur « Activé » :
Description :
Ce paramètre de stratégie détermine si le paramètre de longueur minimale du mot de
passe peut-être augmenter au-delà de la limite héritée de 14 caractères.
Vulnérabilités :
Si des mots de passe très longs sont nécessaires, des mots de passe mal saisis peuvent
entraîner des verrouillages de compte et augmenter le volume d'appels au service d'assistance.
Valeur par défaut :
Désactivé. (La longueur minimale du mot de passe peut être configurée sur un maximum de
14 caractères).

Figure 25: Relaxer les limites minimales de longueur de mot de passe

41
  Politique de verrouillage de compte :
 S’assurer que la « Durée de verrouillage du compte » est définie sur « 15
minute(s) ou plus »
Description :
Le paramètre de stratégie Durée de verrouillage du compte détermine le nombre de
minutes pendant lesquelles un compte verrouillé reste verrouillé avant d’être
automatiquement déverrouillé. La plage disponible est de 1 à 99 999 minutes. La valeur 0
indique que le compte sera verrouillé jusqu’à ce qu’un administrateur le déverrouille
explicitement.
Vulnérabilités :
Une condition de déni de service (DoS) peut être créée si un attaquant abuse du
paramètre de stratégie de seuil de verrouillage de compte et tente à plusieurs reprises de se
connecter avec un compte spécifique. Après avoir configuré le paramètre de stratégie Seuil de
verrouillage de compte, le compte sera verrouillé après le nombre spécifié de tentatives
infructueuses. Si vous configurez le paramètre de stratégie Durée de verrouillage du compte
sur 0, le compte reste verrouillé jusqu’à ce que vous le déverrouillez manuellement.
Valeur par défaut :
Non définie (Si elle est définie, on trouve entre 0 et 99 999 minutes).

Figure 26: Durée du verrouillage du compte

 S’assurer que le « seuil de verrouillage du compte » est défini sur « 5 tentatives de

connexion invalides ou moins, mais pas sur 0 » :
Description :
Ce paramètre de stratégie détermine le nombre de tentatives de connexion infructueuses avant
que le compte ne soit verrouillé. La définition de cette stratégie sur 0 n'est pas conforme au
benchmark, car cela désactive le seuil de verrouillage du compte.

42
43
Vulnérabilités :
Les attaques par mot de passe par force brute peuvent utiliser des méthodes automatisées pour
essayer des millions de combinaisons de mots de passe pour n’importe quel compte
utilisateur. L’efficacité de ces attaques peut être presque éliminée si vous limitez le nombre de
tentatives de connexion infructueuses qui peuvent être effectuées.
Valeur par défaut :
0 tentatives de connexion infructueuses.

Figure 27: Seuil de verrouillage de compte

b. Politiques locales :
 Options de sécurité :

 Comptes :
 S’assurer que « Comptes : bloquer les comptes Microsoft » est défini sur « Les
utilisateurs ne peuvent pas ajouter ou se connecter avec des comptes
Microsoft » :
Description :
Ce paramètre de stratégie empêche les utilisateurs d'ajouter de nouveaux comptes
Microsoft sur cet ordinateur.
Les organisations qui souhaitent mettre en œuvre efficacement des politiques de
gestion des identités et maintenir un contrôle ferme sur les comptes utilisés pour se connecter
à leurs ordinateurs voudront probablement bloquer les comptes Microsoft. Les organisations
peuvent également avoir besoin de bloquer des comptes Microsoft afin de répondre aux
exigences des normes de conformité qui s'appliquent à leurs systèmes d'information.
Vulnérabilités :
Bien que les comptes Microsoft soient protégés par mot de passe, ils ont également le
potentiel d’une plus grande exposition en dehors de l’entreprise. En outre, si le propriétaire
d’un compte Microsoft n’est pas facilement reconnaissable, l’audit et la criminalistique
deviennent plus difficiles.
44
45
Valeur par défaut :
Non défini.

Figure 28: bloquer les comptes Microsoft

 S’assurer que « Comptes : limiter l'utilisation de mots de passe vierges pour les
comptes locaux à la connexion à la console uniquement » est défini sur
« Activé » :
Description :
Ce paramètre de stratégie détermine si les comptes locaux qui ne sont pas protégés par
un mot de passe peuvent être utilisés pour ouvrir une session à partir d'emplacements autres
que la console physique de l'ordinateur. Si on active ce paramètre de stratégie, les comptes
locaux dont les mots de passe sont vides ne pourront pas se connecter au réseau à partir
d'ordinateurs clients distants. Ces comptes ne pourront se connecter qu'au clavier de
l'ordinateur.
Vulnérabilités :
Les mots de passe vides constituent une menace sérieuse pour la sécurité informatique
et devraient être interdits par une politique organisationnelle et des mesures techniques
appropriées.
Valeur par défaut :
Activé.

Figure 29: limiter l’utilisation de mots de passe vides

46
  Audit :
 S’assurer que « Audit : Forcer les paramètres de sous-catégorie de stratégie
d'audit (Windows Vista ou version ultérieure) à remplacer les paramètres de
catégorie de stratégie d'audit » est défini sur « Activé » :
Description :
Ce paramètre de stratégie permet aux administrateurs d'activer les fonctionnalités
d'audit plus précises présentes dans Windows Vista.
Vulnérabilités :
Avant l’introduction des sous-catégories d’audit dans Windows Vista, il était difficile
de suivre les événements au niveau par système ou par utilisateur. Les grandes catégories
d’événements créaient trop d’événements, et les informations clés qui devaient être vérifiées
étaient difficiles à trouver.
Valeur par défaut :
Activé

Figure 30: Stratégie d’audit à l’aide de sous-catégories

 S’assurer que « Audit : Arrêtez le système immédiatement si vous ne parvenez

pas à enregistrer les audits de sécurité » est défini sur « Désactivé » :
Description :
Ce paramètre de stratégie détermine si le système s'arrête s'il ne parvient pas à
consigner les événements de sécurité. Il s'agit d'une exigence pour les certifications TCSEC
(Trusted Computer System Evaluation Criteria) -C2 et Common Criteria afin d'empêcher les
événements auditables de se produire si le système d'audit n'est pas en mesure de les
enregistrer. Microsoft a choisi de répondre à cette exigence en arrêtant le système et en
affichant un message d'arrêt en cas de défaillance du système d'audit.
 Les certifications TCSEC (Trusted Computer System Evaluation Criteria) et
Common Criteria sont des normes de sécurité utilisées pour évaluer et certifier les
systèmes informatiques.
47
Vulnérabilités :
Si l’ordinateur n’est pas en mesure d’enregistrer les événements dans le journal des
événements de sécurité, des preuves critiques ou des informations de dépannage importantes
peuvent ne pas être disponibles pour examen après un incident de sécurité. En outre, un
attaquant pourrait potentiellement générer un grand volume d’événements du journal des
événements de sécurité pour forcer délibérément un arrêt.
Valeur par défaut :
Désactivé.

Figure 31: arrêtez immédiatement le système

 Périphériques :
 S’assurer que "Périphériques : autorisés à formater et éjecter les supports
amovibles" est défini sur "Administrateurs et utilisateurs interactifs" :
Description :
Ce paramètre de stratégie détermine qui est autorisé à formater et à éjecter un support NTFS
amovible. On peut utiliser ce paramètre de stratégie pour empêcher les utilisateurs non
autorisés de supprimer des données sur un ordinateur pour y accéder sur un autre ordinateur
sur lequel ils disposent de privilèges d'administrateur local.
Vulnérabilités :
Les utilisateurs peuvent déplacer des données sur des disques amovibles vers un autre
ordinateur sur lequel ils disposent de privilèges d’administration. L’utilisateur peut alors
s’approprier n’importe quel fichier, s’accorder un contrôle total et afficher ou modifier
n’importe quel fichier. Le fait que la plupart des périphériques de stockage amovibles éjectent
le support lorsqu’un bouton mécanique est pressé diminue l’avantage de ce paramètre de
politique.
Valeur par défaut :
Administrateurs.

48
 Figure 32: autorisés à formater et à éjecter des supports amovibles

 S’assurer que « Périphériques : empêcher les utilisateurs d’installer des pilotes

d’imprimante » est défini sur « Activé » :
Description :
Pour qu'un ordinateur puisse imprimer sur une imprimante partagée, le pilote de cette
imprimante partagée doit être installé sur l'ordinateur local. Ce paramètre de sécurité
détermine qui est autorisé à installer un pilote d'imprimante dans le cadre de la connexion à
une imprimante partagée.
Vulnérabilités :
Il peut être approprié dans certaines organisations de permettre aux utilisateurs d’installer des
pilotes d’imprimante sur leurs propres postes de travail. Toutefois, on ne doit autoriser que les
administrateurs, et non les utilisateurs, à le faire sur les serveurs, car l’installation du pilote
d’imprimante sur un serveur peut involontairement réduire l’ordinateur. Un utilisateur
malveillant pourrait installer des pilotes d’imprimante inappropriés dans une tentative
délibérée d’endommager l’ordinateur, ou un utilisateur pourrait accidentellement installer un
logiciel malveillant qui se fait passer pour un pilote d’imprimante.
Valeur par défaut :
Désactivé. (Valeur 0 signifie désactivé).

Figure 33: empêcher les utilisateurs d’installer des pilotes d’imprimante

49
  Membre du domaine :
 S’assurer que « Membre du domaine : crypter ou signer numériquement les
données du canal sécurisé (toujours) » est défini sur « Activé » :
Description :
Ce paramètre de stratégie détermine si tout le trafic du canal sécurisé initié par le membre du
domaine doit être signé ou chiffré.
Le cryptage numérique et la signature du canal sécurisé sont une bonne idée lorsqu'ils sont
pris en charge. Le canal sécurisé protège les informations d'identification du domaine
lorsqu'elles sont envoyées au contrôleur de domaine.
Vulnérabilités :
Lorsqu’un appareil rejoint un domaine, un compte d’ordinateur est créé. Une fois que
l’appareil est joint au domaine, il utilise le mot de passe de ce compte pour créer un canal
sécurisé avec le contrôleur de domaine pour son domaine chaque fois qu’il redémarre. Les
demandes envoyées sur le canal sécurisé sont authentifiées, et Les informations sensibles
telles que les mots de passe sont chiffrées, mais l’intégrité du canal n’est pas vérifiée et toutes
les informations ne sont pas chiffrées. Si un périphérique est configuré pour toujours chiffrer
ou signer les données de canal sécurisé, mais que le contrôleur de domaine ne peut pas signer
ou chiffrer une partie des données de canal sécurisé, l’ordinateur et le contrôleur de domaine
ne peuvent pas établir de canal sécurisé. Si l’appareil est configuré pour chiffrer ou signer les
données du canal sécurisé, lorsque cela est possible, un canal sécurisé peut être établi, mais le
niveau de chiffrement et de signature est négocié.
Valeur par défaut :
Activé. (Toutes les données du canal sécurisé doivent être signées ou cryptées.)

Figure 34: crypter ou signer numériquement les données du canal sécurisé (toujours)

50
  S’assurer que « Membre du domaine : crypter numériquement les données du
canal sécurisé (si possible) » est défini sur « Activé »
Description :
Ce paramètre de stratégie détermine si un membre du domaine doit tenter de négocier le
chiffrement pour tout le trafic de canal sécurisé qu'il initie.
 Si le paramètre de stratégie de sécurité Membre du domaine : chiffrer ou signer
numériquement les données de canal sécurisé (toujours) est activé, ce paramètre sera
remplacé.
Vulnérabilités :
Lorsqu’un appareil rejoint un domaine, un compte d’ordinateur est créé. Une fois qu’il a
rejoint le domaine, l’appareil utilise le mot de passe de ce compte pour créer un canal sécurisé
avec le contrôleur de domaine pour son domaine chaque fois qu’il redémarre. Les demandes
envoyées sur le canal sécurisé sont authentifiées et les informations sensibles telles que les
mots de passe sont chiffrées, mais l’intégrité du canal n’est pas vérifiée et toutes les
informations ne sont pas chiffrées. Si un périphérique est configuré pour toujours chiffrer ou
signer les données de canal sécurisé, mais que le contrôleur de domaine ne peut pas signer ou
chiffrer une partie des données de canal sécurisé, l’ordinateur et le contrôleur de domaine ne
peuvent pas établir de canal sécurisé. Si l’ordinateur est configuré pour chiffrer ou signer les
données de canal sécurisé lorsque cela est possible, un canal sécurisé peut être établi, mais le
niveau de chiffrement et de signature est négocié.
Valeur par défaut :
Activé. (Le membre du domaine demandera le chiffrement de tout le trafic du canal sécurisé.)

Figure 35: crypter ou signer numériquement les données du canal sécurisé (si possible)

51
  Assurez-vous que « Membre du domaine : crypter numériquement les données
du canal sécurisé (si possible) » est défini sur « Activé » :
Description :
Ce paramètre de stratégie détermine si un membre de domaine doit tenter de négocier si tout
le trafic de canal sécurisé qu'il initie doit être signé numériquement. Les signatures
numériques empêchent le trafic d'être modifié par quiconque capture les données lorsqu'elles
traversent le réseau.
Vulnérabilités :
Lorsqu'un ordinateur rejoint un domaine, un compte d'ordinateur est créé. Après avoir rejoint
le domaine, l'ordinateur utilise le mot de passe de ce compte pour créer un canal sécurisé avec
le contrôleur de domaine pour son domaine à chaque redémarrage. Les demandes envoyées
sur le canal sécurisé sont authentifiées et les informations sensibles telles que les mots de
passe sont cryptées, mais l'intégrité du canal n'est pas vérifiée et toutes les informations ne
sont pas cryptées.
Valeur par défaut :
Activé. (Le membre du domaine demandera la signature numérique de tout le trafic du canal
sécurisé.)

Figure 36: crypter numériquement les données du canal sécurisé (si possible)

 S’assurer que « Membre du domaine : Désactiver les modifications du mot de

passe du compte machine » est défini sur « Désactivé » :
Description :
Ce paramètre de stratégie détermine si un membre du domaine peut modifier périodiquement
le mot de passe de son compte d'ordinateur.
Vulnérabilités :
Les ordinateurs qui ne peuvent pas modifier automatiquement les mots de passe de leurs
comptes sont potentiellement vulnérables, car un attaquant pourrait être en mesure de
déterminer le mot de passe du compte de domaine du système.
52
Valeur par défaut :
Désactivé.

Figure 37: Désactiver les modifications du mot de passe du compte machine

 S’assurer que « Membre du domaine : âge maximal du mot de passe du compte

machine » est défini sur « 30 jours ou moins, mais pas 0 » :
Description :
Ce paramètre de stratégie détermine l'âge maximal autorisé pour un mot de passe de compte
d'ordinateur. Par défaut, les membres du domaine changent automatiquement leurs mots de
passe de domaine tous les 30 jours.
Vulnérabilités :
Si on augmente cet intervalle de manière significative afin que les ordinateurs ne changent
plus leurs mots de passe, un attaquant aurait plus de temps pour entreprendre une attaque par
force brute contre l'un des comptes d'ordinateurs.
Valeur par défaut :
30 jours.

Figure 38: âge maximal du mot de passe du compte machine

 S’assurer que « Membre du domaine : nécessite une clé de session forte

(Windows 2000 ou version ultérieure) » est défini sur « Activé » :
Description :
Lorsque ce paramètre de stratégie est activé, un canal sécurisé ne peut être établi qu'avec des
contrôleurs de domaine capables de chiffrer les données du canal sécurisé avec une clé de
session forte (128 bits).

53
Vulnérabilités :
Les clés de session utilisées pour établir des communications par canal sécurisé entre les
contrôleurs de domaine et les ordinateurs membres sont beaucoup plus puissantes dans
Windows 2000 qu'elles ne l'étaient dans les systèmes d'exploitation Microsoft précédents.
Valeur par défaut :
Activé. (Le canal sécurisé ne sera pas établi à moins que le cryptage 128 bits puisse être
effectué.)

Figure 39: clé de session forte

 Connexion interactive :
 S’assurer que "Connexion interactive : ne nécessite pas CTRL+ALT+SUPPR"
est défini sur "Activé" :
Description :
Ce paramètre de stratégie détermine si les utilisateurs doivent appuyer sur CTRL+ALT+DEL
avant de se connecter.
Microsoft a développé cette fonctionnalité pour permettre aux utilisateurs souffrant de
certains types de handicaps physiques de se connecter plus facilement à des ordinateurs
exécutant Windows.
Vulnérabilités :
Toutefois, si les utilisateurs ne sont pas tenus d’appuyer sur CTRL + ALT + SUPPR, ils sont
vulnérables aux attaques qui tentent d’intercepter leurs mots de passe.
Si ce paramètre est activé, un attaquant pourrait installer un programme malveillant qui
ressemble à la boîte de dialogue de connexion standard du système d’exploitation Windows et
capturer le mot de passe de l’utilisateur. L’attaquant serait alors en mesure de se connecter au
compte compromis avec n’importe quel niveau de privilège dont dispose cet utilisateur.
Valeur par défaut :
Sous Windows 8.0 ou plus récent : Activé.

54
 Figure 40: Se connecter via CTRL+ALT+DEL

 S’assurer que "Connexion interactive : ne pas afficher la dernière connexion" est

défini sur "Activé" :
Description :
Ce paramètre de stratégie détermine si le nom de compte du dernier utilisateur à s'être
connecté aux ordinateurs clients de votre organisation sera affiché dans l'écran de connexion
Windows respectif de chaque ordinateur.
Vulnérabilités :
Un attaquant ayant accès à la console (par exemple, une personne ayant un accès physique ou
une personne capable de se connecter au serveur via les services Bureau à distance) pourrait
voir le nom du dernier utilisateur qui s'est connecté au serveur. L'attaquant pourrait alors
essayer de deviner le mot de passe, utiliser un dictionnaire ou utiliser une attaque par force
brute pour essayer de se connecter.
Valeur par défaut :
Désactivé. (Le nom du dernier utilisateur à s'être connecté s'affiche sur l'écran de connexion
Windows.)

Figure 41: la dernière connexion

 Configurer 'Connexion interactive : texte du message pour les utilisateurs tentant

de se connecter' :
Description :
Ce paramètre de stratégie spécifie un message texte qui s'affiche pour les utilisateurs lorsqu'ils
se connectent.

55
Vulnérabilités :
Les utilisateurs ne comprennent pas l’importance des pratiques de sécurité. Cependant,
l’affichage d’un message d’avertissement avant la connexion peut aider à prévenir une attaque
en avertissant les utilisateurs malveillants ou mal informés des conséquences de leur mauvaise
conduite avant qu’elle ne se produise.
Valeur par défaut :
Pas de message.

Figure 42: texte du message pour les utilisateurs tentant de se connecter

 S’assurer que "Connexion interactive : nombre de connexions précédentes au

cache (au cas où le contrôleur de domaine n'est pas disponible)" est défini sur "4
connexions ou moins :
Description :
Ce paramètre de stratégie détermine si un utilisateur peut se connecter à un domaine Windows
à l'aide des informations de compte mises en cache. Les informations de connexion pour les
comptes de domaine peuvent être mises en cache localement pour permettre aux utilisateurs
de se connecter même si un contrôleur de domaine ne peut pas être contacté.
Vulnérabilités :
Si cette valeur est définie sur 0, la fonctionnalité de cache de connexion est désactivée. Un
attaquant capable d'accéder au système de fichiers du serveur pourrait localiser ces
informations mises en cache et utiliser une attaque par force brute pour déterminer les mots de
passe des utilisateurs.
Valeur par défaut :
10 connexions.

Figure 43:nombre de connexions précédentes au cache

56
  S’assurer que "Connexion interactive : demander à l'utilisateur de changer de
mot de passe avant expiration" est défini sur "entre 5 et 14 jours" :
Description :
Ce paramètre de stratégie détermine combien de temps à l'avance les utilisateurs sont avertis
de l'expiration de leur mot de passe.
Vulnérabilités :
Si les mots de passe utilisateur sont configurés pour expirer périodiquement dans votre
organisation, les utilisateurs doivent être avertis avant l’expiration. Sinon, ils risquent d’être
verrouillés hors des appareils par inadvertance.
Valeur par défaut :
5 jours

Figure 44: Durée de changement du mot de passe avant expiration

 Accès réseau :
 Assurez-vous que « Accès au réseau : ne pas autoriser l'énumération anonyme
des comptes SAM » est défini sur « Activé » :
Description :
Ce paramètre de stratégie contrôle la capacité des utilisateurs anonymes à énumérer les
comptes dans le gestionnaire de comptes de sécurité (SAM). Si on active ce paramètre de
stratégie, les utilisateurs disposant de connexions anonymes ne pourront pas énumérer les
noms d'utilisateur des comptes de domaine sur les systèmes de votre environnement. Ce
paramètre de stratégie autorise également des restrictions supplémentaires sur les connexions
anonymes.
Vulnérabilités :
Un utilisateur non autorisé pourrait répertorier anonymement les noms de compte et utiliser
les informations pour effectuer des attaques d’ingénierie sociale ou tenter de deviner des mots
de passe. Les attaquants d’ingénierie sociale tentent de tromper les utilisateurs d’une manière
ou d’une autre pour obtenir des mots de passe ou une forme d’informations de sécurité.
Valeur par défaut :
57
Activé.

Figure 45: ne pas autoriser l'énumération anonyme des comptes SAM

 S’assurer que « Accès au réseau : ne pas autoriser le stockage des mots de passe
et des informations d'identification pour l'authentification réseau » est défini sur
« désactivé » :
Description :
Ce paramètre de stratégie détermine si Credential Manager (anciennement appelé Stored User
Names and Passwords) enregistre les mots de passe ou les informations d'identification pour
une utilisation ultérieure lorsqu'il obtient l'authentification de domaine.
Vulnérabilités :
Les mots de passe mis en cache sont accessibles par l’utilisateur lorsqu’il est connecté à
l’appareil. Bien que ces informations puissent sembler évidentes, un problème peut survenir si
l’utilisateur exécute sans le savoir un logiciel malveillant qui lit les mots de passe et les
transmet à un autre utilisateur non autorisé.
Valeur par défaut :
Désactivé.

Figure 46: ne pas autoriser le stockage des mots de passe

 S’assurer que l'option "Accès au réseau : laisser tout le monde s'appliquer aux
utilisateurs anonymes" est définie sur "Désactivé" :
Description :

58
Ce paramètre de stratégie détermine les autorisations supplémentaires attribuées pour les
connexions anonymes à l'ordinateur.
Vulnérabilités :
Un utilisateur non autorisé pourrait répertorier anonymement les noms de compte et les
ressources partagées et utiliser les informations pour tenter de deviner des mots de passe,
effectuer des attaques d'ingénierie sociale.
Valeur par défaut :
Désactivé.

Figure 47: ne pas laisser tout le monde s'appliquer aux utilisateurs anonymes

 S’assurer que « Accès au réseau : canaux nommés accessibles de manière

anonyme » est défini sur « Aucun » :
Description :
Ce paramètre de stratégie détermine quelles sessions de communication, ou canaux, auront
des attributs et des autorisations qui autorisent l'accès anonyme.
Vulnérabilités :
Si on ne limite pas les canaux nommés accessibles de manière anonyme, la surface d'attaque
du système ne sera pas réduite.
Valeur par défaut :
Aucun.

59
Figure 48: Pas de canaux nommés accessibles de manière anonyme

60
  S’assurer que "Accès réseau : chemins de registre accessibles à distance" est
configuré :
Description :
Ce paramètre de stratégie détermine les chemins de registre qui seront accessibles sur le
réseau.
Vulnérabilités :
Le registre est une base de données qui contient des informations sur la configuration de
l'ordinateur, et la plupart de ces informations sont sensibles. Un attaquant pourrait utiliser ces
informations pour faciliter des activités non autorisées.
Valeur par défaut :
System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server
Applications Software\Microsoft\Windows NT\CurrentVersion

Figure 49: chemins de registre accessibles à distance

 S’assurer que "Accès réseau : restreindre l'accès anonyme aux canaux nommés
et aux partages" est défini sur "Activé" :
Description :
Lorsqu'il est activé, ce paramètre de stratégie limite l'accès anonyme aux seuls partages et
canaux nommés. Il contrôle l'accès des sessions nulles aux partages sur les ordinateurs.
Vulnérabilités :
Les sessions nulles sont une faiblesse qui peut être exploitée via des partages (y compris les
partages par défaut) sur les ordinateurs d’un environnement.
Valeur par défaut :
Activé.

Figure 50: restreindre l'accès anonyme aux canaux nommés et aux partages

61
  S’assurer que « Accès au réseau : partages accessibles de manière anonyme » est
défini sur « Aucun » :
Description :
Ce paramètre de stratégie détermine les partages réseau accessibles aux utilisateurs
anonymes. La configuration par défaut de ce paramètre de stratégie a peu d'effet car tous les
utilisateurs doivent être authentifiés avant de pouvoir accéder aux ressources partagées sur le
serveur.
Vulnérabilités :
Il est très dangereux d'autoriser des valeurs dans ce paramètre. Tous les partages répertoriés
peuvent être consultés par n'importe quel utilisateur du réseau, ce qui pourrait entraîner
l'exposition ou la corruption de données sensibles.
Valeur par défaut :
Aucun.

Figure 51: partages accessibles de manière anonyme

 Sécurité du réseau :
 S’assurer que « Sécurité réseau : ne pas stocker la valeur de hachage LAN
Manager lors du prochain changement de mot de passe » est défini sur
« Activé » :
Description :
Ce paramètre de stratégie détermine si la valeur de hachage LAN Manager (LM) du nouveau
mot de passe est stockée lorsque le mot de passe est modifié.
Vulnérabilités :
Le fichier SAM peut être ciblé par des attaquants qui cherchent à accéder aux noms
d’utilisateur et aux hachages de mot de passe. Ces attaques utilisent des outils spéciaux pour
découvrir les mots de passe, qui peuvent ensuite être utilisés pour usurper l’identité des
utilisateurs et accéder aux ressources de votre réseau. Ces types d’attaques ne sont pas
empêchés par l’activation de ce paramètre de stratégie, car les hachages LAN Manager sont

62
beaucoup plus faibles que les hachages NTLM, mais il est beaucoup plus difficile pour ces
attaques de réussir.
Valeur par défaut :
Activé.

Figure 52: ne pas stocker la valeur de hachage LAN

 Contrôle du compte utilisateur :

 S’assurer que "Contrôle de compte d'utilisateur : détecter les installations
d'application et demander l'élévation" est défini sur "Activé" :
Description :
Ce paramètre de stratégie contrôle le comportement de la détection d'installation d'application
pour l'ordinateur.
Vulnérabilités :
Certains logiciels malveillants tenteront de s'installer après avoir reçu l'autorisation de
s'exécuter. Par exemple, un logiciel malveillant avec un Shell d'application de confiance.
Valeur par défaut :
Désactivé.

Figure 53: détecter les installations d'application

 S’assurer que "Contrôle de compte d'utilisateur : élever uniquement les

applications UIAccess installées dans des emplacements sécurisés" est défini sur
"Activé" :
63
Description :
Ce paramètre de stratégie contrôle si les applications qui demandent à s'exécuter avec un
niveau d'intégrité d'accessibilité de l'interface utilisateur (UIAccess) doivent résider dans un
emplacement sécurisé du système de fichiers. Les emplacements sécurisés sont limités aux
éléments suivants :
 …\Program Files\, y compris les sous-dossiers
 …\Windows\System32\
 …\Program Files (x86)\, y compris les sous-dossiers (pour les versions 64 bits de
Windows)
Vulnérabilités :
Les programmes UIA sont conçus pour interagir avec Windows et les programmes
d’application au nom d’un utilisateur. Ce paramètre permet aux programmes UIA de
contourner le bureau sécurisé pour augmenter la convivialité dans certains cas, mais il permet
aux demandes d’élévation d’apparaître sur le bureau interactif standard plutôt que sur le
bureau sécurisé. Cette apparence de requêtes augmente le risque qu’un programme
malveillant puisse intercepter des données transférées entre l’interface utilisateur et
l’application.
Valeur par défaut :
Activé

Figure 54: Sécuriser l'interface utilisateur

 Assurez-vous que "Contrôle de compte d'utilisateur : exécuter tous les

administrateurs en mode d'approbation administrateur" est défini sur "Activé" :
Description :
Ce paramètre de stratégie contrôle le comportement de tous les paramètres de stratégie de
contrôle de compte d'utilisateur pour l'ordinateur.
Vulnérabilités :

64
Si ce paramètre est désactivé, le compte d'utilisateur ne sera pas utilisé et les avantages de
sécurité et les atténuations des risques qui dépendent du compte d'utilisateur ne seront pas
présents sur le système.
Valeur par défaut :
Activé.

Figure 55:exécuter tous les administrateurs en mode d'approbation administrateur

c. Système :
 Service de temps Windows :
 Fournisseurs de temps :
 S’assurer que "Activer le client NTP Windows" est défini sur "Activé" :
Description :
Ce paramètre de stratégie spécifie si le client NTP Windows est activé. L'activation du client
NTP Windows permet à l’ordinateur de synchroniser son horloge avec d'autres serveurs NTP.
Valeur par défaut :
Désactivé.

Figure 56:Activer le client NTP Windows

 S’assurer que "Activer le serveur NTP Windows" est défini sur "Activé" :
Description :
Ce paramètre de stratégie spécifie si le serveur NTP Windows est activé.
Valeur par défaut :
65
Désactivé.

Figure 57: Activer le serveur NTP Windows

2. Debian :
Ce document fournit des conseils normatifs pour établir une position de configuration
sécurisée pour les systèmes Debian Linux 11 exécutés sur des plates-formes x64.
Les instructions fournies supposent généralement que les opérations sont effectuées en
tant qu'utilisateur racine. Les opérations effectuées à l'aide de sudo au lieu de l'utilisateur root
peuvent produire des résultats inattendus ou ne pas apporter les modifications prévues au
système. Les utilisateurs non root peuvent ne pas être en mesure d'accéder à certaines zones
du système, en particulier après l'exécution de la correction. Il est conseillé de vérifier
l'intégrité du chemin d'accès des utilisateurs root et l'intégrité de tous les programmes en cours
d'exécution avant l'exécution des commandes et des scripts.

a. Comptes utilisateurs et environnement :

 S'assurer que le nombre minimum de jours entre les changements de mot de
passe est configuré :
Description :
Le PASS_MIN_DAYS paramètre in /etc/login.defs permet à un administrateur
d'empêcher les utilisateurs de modifier leur mot de passe jusqu'à ce qu'un nombre minimum
de jours se soit écoulé depuis la dernière fois que l'utilisateur a modifié son mot de passe. Il
est recommandé de PASS_MIN_DAYS régler le paramètre sur 1 ou plusieurs jours.
Procédure d’audit :
Exécuter la commande suivante et examiner la liste des utilisateurs et
PASS_MIN_DAYS pour vérifier que les PASS_MIN_DAYS de tous les utilisateurs sont
conformes à la politique du site (au moins 1 jour) :

Figure 58: le nombre minimum de jours

66
  Procédure de correction :
Modifier les paramètres utilisateur pour tous les utilisateurs dont le mot de passe
correspond à :

Figure 59: Correction du nombre minimum de jours

Après la correction, aucun résultat s’affiche, donc pour s’assurer de la valeur :

Figure 60: Valeur de "PASS_MIN_DAYS"

 S’assurer que l'expiration du mot de passe est de 365 jours ou moins :

Description :
Le PASS_MAX_DAYS paramètre in /etc/login.defs permet à un administrateur de forcer
l'expiration des mots de passe lorsqu'ils atteignent un âge défini.
Procédure d’audit :
Exécutez la commande suivante et passez en revue la liste des utilisateurs
et PASS_MAX_DAYS vérifiez que tous les utilisateurs sont PASS_MAX_DAYS conformes
à la politique du site, ne dépassent pas 365 jours et ne sont pas inférieurs à
PASS_MIN_DAYS.

Figure 61: l'expiration du mot de passe

 Procédure de correction :
Modifier les paramètres utilisateur pour tous les utilisateurs dont le mot de passe
correspond à :

67
 Figure 62: Correction de l'expiration du mot de passe

 S’assurer que le nombre de jours d'avertissement d'expiration du mot de

passe est de 7 ou plus
Description :
Le PASS_WARN_AGE paramètre in /etc/login.defs permet à un administrateur d'avertir les
utilisateurs que leur mot de passe expirera dans un nombre défini de jours. Il est recommandé
de PASS_WARN_AGE régler le paramètre sur 7 jours ou plus.
Procédure d’audit :
Vérifier que tous les utilisateurs avec un mot de passe ont leur nombre de jours
d'avertissement avant l'expiration du mot de passe défini sur 7 ou plus : exécuter la commande
suivante et examiner la liste des utilisateurs et vérifier que tous les utilisateurs
sont PASS_WARN_AGE conformes à la politique du site (pas moins de 7 jours) :

Figure 63: Nombre de jours d'avertissement d'expiration du mot de passe

 S’assurer que le verrouillage du mot de passe inactif est de 30 jours ou

moins :
Description :
Les comptes d'utilisateurs qui sont restés inactifs pendant une période donnée peuvent être
automatiquement désactivés. Il est recommandé de désactiver les comptes inactifs pendant 30
jours après l'expiration du mot de passe.
Procédure d’audit :
Vérifier que tous les utilisateurs avec un mot de passe ont un mot de passe inactif pas plus de
30 jours après l'expiration du mot de passe :

68
 Figure 64: verrouillage du mot de passe inactif
Procédure de correction :
Exécuter la commande suivante pour définir la période d'inactivité du mot de passe par défaut
sur 30 jours puis réafficher le résultat:

Figure 65:Correction de verrouillage du mot de passe inactif

 S’assurer que le groupe par défaut pour le compte root est GID 0 :
Description :
L'utilisation du GID 0 pour le root compte permet d'éviter root que les fichiers appartenant à -
ne deviennent accidentellement accessibles aux utilisateurs non privilégiés.
Procédure d’audit :
Exécuter la commande suivante et vérifiez que le résultat est 0:

Figure 66: GID

b. Entretien du système
 Assurez-vous que les autorisations sur /etc/passwd sont configurées :
Description :
Le /etc/passwd fichier contient des informations de compte d'utilisateur qui sont utilisées par
de nombreux utilitaires système et doivent donc être lisibles pour que ces utilitaires
fonctionnent.
Procédure d’audit :
Exécuter la commande suivante pour vérifier /etc/passwd est le mode 644 ou plus
restrictif, Uidest 0/root et Gidest 0/root:

69
 Figure 67: les autorisations sur /etc/passwd

 S’assurer que les autorisations sur /etc/passwd- :

Description :
Le /etc/passwd- fichier contient des informations de compte d'utilisateur de sauvegarde.
Procédure d’audit :
Exécuter la commande suivante pour vérifier /etc/passwd- est le mode 644 ou plus
restrictif, Uidest 0/root et Gid est 0/root:

Figure 68: les autorisations sur /etc/passwd-

 S’assurer que les autorisations sur /etc/group sont configurées
Description :
Le /etc/group fichier contient une liste de tous les groupes valides définis dans le système. La
commande ci-dessous permet un accès en lecture/écriture pour root et un accès en lecture
pour tous les autres.
Procédure d’audit :
Exécuter la commande suivante pour vérifier /etc/group est le mode 644 ou plus
restrictif, Uidest 0/root et Gidest 0/root:

Figure 69: les autorisations sur /etc/group

 Assurez-vous que les autorisations sur /etc/group- sont configurées

Description :
Le /etc/group- fichier contient une liste de sauvegarde de tous les groupes valides définis dans
le système.
Procédure d’audit :

70
Exécuter la commande suivante pour vérifier /etc/group- est le mode 644 ou plus
restrictif, Uid est 0/root et Gidest 0/root:

Figure 70: les autorisations sur /etc/group-

Procédure de correction :
Pour définir /etc/group- en mode 644, on exécute la commande suivante :

Figure 71: Correction des autorisations sur /etc/group-

IV. Développement du script :

1. Windows 10 :
En utilisant la commande PS2EXE utilisée pour convertir un script PowerShell
(fichier.ps1) en un fichier exécutable (fichier.exe).
Les outils de cette commande sont :
-inputFile : Spécifie le chemin d'accès complet du fichier PowerShell (fichier.ps1) que vous
souhaitez convertir en exécutable.
-outputFile : Spécifie le chemin d'accès complet et le nom de fichier pour l'exécutable de
sortie (fichier.exe) généré par PS2EXE.

Figure 72: La commande PS2EXE

Puis on stocke le résultat dans un fichier texte via la commande « .\fichier.exe >resultat.txt »
qui est utilisée pour exécuter un fichier exécutable (fichier.exe) dans PowerShell et rediriger
la sortie vers un fichier texte (resultat.txt).

71
Lorsqu’on exécute cette commande, le fichier exécutable sera exécuté et toute sortie générée
sera redirigée vers le fichier texte spécifié.

Figure 73: stockage du résultat dans un fichier texte

 Le fichier Powershell :
Ce fichier regroupe tous les commandes de chaque point de contrôle pour faciliter l’audit au
consultant.

Figure 74:Le fichier Powershell :

Après l’exécution du fichier, on obtient ce résultat :

72
Figure 75: Le fichier résultat

73
Génération du rapport sous format HTML :

Figure 76: Générer rapport

Figure 77: Rapport HTML

2. Debian Linux 11 :
En tapant la commande « nano rapport.sh » qui est un fichier exécutable où j’ai développé
mon script

Figure 78: rapport Debian

74
En donnant les permissions par la commande chmod u+x nom du script (rapport.sh), on
exécute le script et on le stocke dans un fichier texte par la commande ./rapport.sh >
resultatRapport.txt puis in obtient le résultat :

Figure 79: L'exécution du rapport Debian

V. Conclusion :
En péroraison de ce chapitre, nous avons désormais que les objectifs demandés ont été atteints
et que la marge de progression de ce projet ne s’arrête pas ici.

75
 Conclusion générale :
En conclusion, ce stage de fin d'études a été une expérience enrichissante et
formatrice. J'ai eu l'opportunité de travailler au sein d'une entreprise dynamique et de
participer à un projet concret. Au cours de ce stage, j'ai pu mettre en pratique les
connaissances acquises tout au long de mon parcours universitaire et développer de nouvelles
compétences.
La présentation du stage a permis de situer le contexte dans lequel il s'est déroulé. J'ai
pu expliquer mon rôle et mes responsabilités en tant que stagiaire, ainsi que les équipes avec
lesquelles j'ai collaboré.
La présentation détaillée du projet a permis de comprendre les objectifs et l'importance
de celui-ci pour l'entreprise. J'ai décrit le contexte dans lequel le projet s'inscrit. L'analyse des
besoins a permis d'identifier les exigences fonctionnelles et techniques, tandis que la phase de
conception a permis d'élaborer une architecture adaptée au projet.
Les technologies utilisées ont joué un rôle clé dans la réalisation du projet. J'ai
expliqué les choix technologiques effectués et comment ils ont contribué à la réussite du
projet. La phase de réalisation a été l'occasion de mettre en pratique mes compétences
techniques, de relever des défis et de trouver des solutions pour mener à bien le projet.
Ce stage m'a également permis de développer des compétences transversales telles que
la gestion du temps, la communication au sein de l'équipe et la résolution de problèmes. J'ai
pu observer et apprendre de mes collègues et encadrants, ce qui a renforcé ma compréhension
du fonctionnement d'une entreprise.
En conclusion, ce stage de fin d'études a été une expérience positive qui m'a permis
d'acquérir de nouvelles compétences, d'approfondir mes connaissances et de me familiariser
avec le monde professionnel. Je suis reconnaissante envers toutes les personnes qui m'ont
soutenue et guidée tout au long de ce stage. Je suis confiante que cette expérience sera
bénéfique pour ma future carrière professionnelle.

76
 Webographies :
https://www.headmind.com/fr/introduction-a-la-monetique/
https://digitalis-sn.com/les-quatres-acteurs-de-la-monetique-et-leurs-relations
https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-FR.pdf
https://workbench.cisecurity.org/
Paramètres de stratégie de sécurité - Sécurité Windows | Microsoft Learn

77