Challenge C104 12/02/2026
Pitch de lâexercice đ§âđ«
Challenge C104 : hhttps://gist.github.com/stephdl/8b39256712f17ec1c183ea9aee2c3266#%C3%A9nonc%C3%A9-e4
đĄïž Mini-PRA/PCA : Projet Infra Campus
1. Le ScĂ©nario de Crise : "Ransom-Chocolatine" đ„
L'Incident : Lundi matin, 8h30. Une secrétaire ouvre une piÚce jointe nommée Facture_Croissants.exe. Le ransomware "Ransom-Chocolatine" se déploie.
Les SymptĂŽmes :
- Tous les fichiers du NAS (Dossiers Admin & Pédago) sont chiffrés et renommés en .miam.
- Le fond d'Ă©cran des PC affiche : "Pas de bras, pas de chocolat. Payez 5 Bitcoins ou vos cours disparaissent".
- Le serveur d'authentification (Active Directory) est tombé : plus personne ne peut se loguer ni accéder au Wi-Fi.
Impact : ArrĂȘt total de l'activitĂ© numĂ©rique du campus (500 personnes bloquĂ©es).
2. Mesures Préventives
Basé sur la Fiche 1 (Maßtriser ses SI) et Fiche 2 (Socle de résilience) du guide ANSSI.
| Type | Mesure | DĂ©tail Technique |
|---|---|---|
| Technique | Stratégie de Sauvegarde 3-2-1 | C'est la rÚgle d'or. 3 copies des données (Prod + Local + Cloud), 2 supports différents (NAS Synology + Stockage Objet) et 1 copie hors site (Cloud chiffré et Immuable). |
| Technique | Sauvegardes DĂ©connectĂ©es ("Cold Backup") | Chaque nuit, le NAS envoie une copie chiffrĂ©e vers un Cloud souverain (ex: OVH/Scaleway) avec l'option "Lock" activĂ©e. MĂȘme si l'admin est piratĂ©, personne ne peut supprimer ces backups avant 30 jours. |
| Technique | Segmentation RĂ©seau (VLAN) | Comme vu dans le Challenge prĂ©cĂ©dent, les VLANs "Admin" et "Ătudiants" sont sĂ©parĂ©s par le Firewall. Si un Ă©tudiant infecte le rĂ©seau, l'Admin est protĂ©gĂ© (et inversement). |
| Humain | Sensibilisation | Formation des 15 salariés permanents à ne pas ouvrir les piÚces jointes douteuses (Phishing). |
| Orga. | Documents "Papiers" | Une copie papier de l'annuaire de crise (numéros des profs, du directeur, du support FAI) est stockée dans le bureau de la Direction. |
3. Procédure de Reprise
Basé sur la Phase 2 (Réagir) et Phase 3 (Relancer).
Phase A : Réaction Immédiate (0h - 4h)
-
Action 1 (Endiguement) : DĂBRANCHER TOUT ! L'alternant court en salle serveur et dĂ©branche les cĂąbles rĂ©seaux des switchs pour empĂȘcher la propagation. Le Wi-Fi est coupĂ©.
-
Action 2 (Mode Dégradé) : La Direction annonce le passage en mode "Papier". Les profs font cours au tableau blanc. Les émargements se font sur feuille.
-
Action 3 (Diagnostic) : Le Responsable IT identifie la souche du virus et confirme que la sauvegarde Cloud n'est pas touché (grùce à l'immuabilité).
Phase B : Reconstruction & Reprise (4h - 48h)
Suivant la Fiche 16 de l'ANSSI.
-
Isolement : On ne réutilise PAS les disques infectés tout de suite. On installe un environnement propre.
-
Restauration Prioritaire (Tier 1) :
- Téléchargement prioritaire de la sauvegarde Cloud de la veille (J-1) pour :
- RĂ©installation du Serveur d'Authentification (pour que les gens puissent se loguer).
- Restauration du Dossier "Admin/Compta" depuis la sauvegarde froide (pour payer les factures et salaires).
- Téléchargement prioritaire de la sauvegarde Cloud de la veille (J-1) pour :
-
Restauration Secondaire (Tier 2) :
- Restauration des dossiers "PĂ©dagogie/Cours".
- RĂ©ouverture progressive du Wi-Fi (VLAN par VLAN) aprĂšs scan antivirus des postes.
4. Responsables & DĂ©lais (RTO / RPO)
DĂ©finitions issues du glossaire ANSSI.
| Indicateur | Valeur Cible | Description |
|---|---|---|
| RPO (Perte de données max acceptée) | 24 Heures | On accepte de perdre le travail de la journée en cours, mais on récupÚre tout ce qui a été sauvegardé la veille au soir sur le Cloud. |
| RTO (Durée max d'interruption) | 48 Heures | L'école peut fonctionner 2 jours en mode "papier". Au-delà , l'impact administratif devient critique. |
| Responsable IT | DĂ©cide de la coupure, valide la sauvegarde, lance la restauration depuis le Cloud coordonne la crise. | |
| Exécutant | L'Alternant | Débranche les cùbles, réinstalle les OS, passe sur les postes pour scanner. |
5. Indicateurs de SuccĂšs (KPI)
Comment saura-t-on que le PRA a réussi ?
- Intégrité des données critiques : 100% des fichiers comptables et administratifs sont récupérés et lisibles.
- Respect du RTO : Le réseau Admin est opérationnel en moins de 48h grace à la Fibre et au Cloud.
- Non-Réinfection : Aucune nouvelle alerte "Ransom-Chocolatine" dans les 7 jours suivant la remise en route (preuve que la faille est bouchée).