Cabinet assurance Paris — Sécurité réseau & RGPD | INNOSYS Aller au contenu principal
Assurance

Cabinet d'assurance Paris

Audit de sécurité réseau, déploiement pfSense haute disponibilité et mise en conformité RGPD pour un cabinet d'assurance parisien de 80 collaborateurs.

Contexte et enjeux

Ce cabinet d'assurance parisien de 80 collaborateurs avait subi une cyberattaque de type ransomware 6 mois avant de faire appel à INNOSYS. L'attaque, contenue après 72h, avait chiffré plusieurs serveurs de fichiers et nécessité une restauration partielle depuis des sauvegardes. Si les données clients n'avaient pas été exfiltrées (confirmé par analyse forensique), l'incident avait mis en évidence des lacunes critiques dans l'architecture de sécurité.

Par ailleurs, en tant que cabinet traitant des données de santé et financières de ses assurés, la CNIL avait notifié le cabinet d'un risque de non-conformité RGPD. INNOSYS a été mandaté pour l'audit, la remédiation technique et l'accompagnement RGPD.

Ce que nous avons réalisé

Audit de sécurité réseau

Audit complet en boîte grise sur 3 jours : cartographie des flux réseau, analyse des règles de filtrage existantes, tests de pénétration interne (pivoting, élévation de privilèges), audit des mots de passe AD (utilisation de Hashcat sur les hashs NT), revue des droits utilisateurs. Le rapport d'audit a identifié 23 vulnérabilités dont 4 critiques.

Déploiement pfSense Haute Disponibilité

Remplacement du routeur/firewall Zyxel par deux firewalls pfSense CE en haute disponibilité (CARP), éliminant le Single Point of Failure réseau. Configuration des règles de filtrage par zone (DMZ, serveurs, postes, VoIP, réseau invité), déploiement du système de détection d'intrusion Snort avec règles Emerging Threats, et mise en place d'un portail captif pour le WiFi invité.

Segmentation VLAN

Segmentation du réseau plat existant en 6 VLANs distincts : serveurs, postes de travail, VoIP, imprimantes, réseau invité et supervision. Chaque VLAN est filtré par des règles pfSense strictes (least privilege). Les flux entre VLANs sont journalisés et auditables. Cette segmentation aurait contenu le ransomware au seul VLAN postes.

Accès distant sécurisé — OpenVPN

Déploiement d'un serveur OpenVPN avec authentification à deux facteurs (certificat + FreeRADIUS + Google Authenticator) pour les 12 collaborateurs en mobilité. Suppression des accès RDP directs exposés sur Internet, qui constituaient le vecteur d'entrée probable du ransomware précédent.

Conformité RGPD

Accompagnement à la mise en conformité RGPD : rédaction du registre des traitements, cartographie des données personnelles traitées, chiffrement des données sensibles au repos (BitLocker), révision des clauses contractuelles avec les sous-traitants, et procédure de notification CNIL en cas d'incident.

Résultats obtenus

  • 23 vulnérabilités identifiées, toutes remédiées
  • 0 incident de sécurité depuis le déploiement (18 mois)
  • Conformité RGPD attestée, clôture de la notification CNIL
  • Temps de basculement en cas de panne firewall : < 2 secondes (CARP)
  • Réduction de la surface d'attaque exposée sur Internet de 78%

Services fournis

Sécurité & Firewalling Audit de sécurité RGPD Systèmes & Réseaux

Technologies

pfSense CE 2.7 VLAN OpenVPN Snort IDS FreeRADIUS Zabbix

Un projet similaire ?

Discutons de vos besoins, nous avons l'expertise qu'il vous faut.

Nous contacter