Cabinet d'assurance Paris
Audit de sécurité réseau, déploiement pfSense haute disponibilité et mise en conformité RGPD pour un cabinet d'assurance parisien de 80 collaborateurs.
Contexte et enjeux
Ce cabinet d'assurance parisien de 80 collaborateurs avait subi une cyberattaque de type ransomware 6 mois avant de faire appel à INNOSYS. L'attaque, contenue après 72h, avait chiffré plusieurs serveurs de fichiers et nécessité une restauration partielle depuis des sauvegardes. Si les données clients n'avaient pas été exfiltrées (confirmé par analyse forensique), l'incident avait mis en évidence des lacunes critiques dans l'architecture de sécurité.
Par ailleurs, en tant que cabinet traitant des données de santé et financières de ses assurés, la CNIL avait notifié le cabinet d'un risque de non-conformité RGPD. INNOSYS a été mandaté pour l'audit, la remédiation technique et l'accompagnement RGPD.
Ce que nous avons réalisé
Audit de sécurité réseau
Audit complet en boîte grise sur 3 jours : cartographie des flux réseau, analyse des règles de filtrage existantes, tests de pénétration interne (pivoting, élévation de privilèges), audit des mots de passe AD (utilisation de Hashcat sur les hashs NT), revue des droits utilisateurs. Le rapport d'audit a identifié 23 vulnérabilités dont 4 critiques.
Déploiement pfSense Haute Disponibilité
Remplacement du routeur/firewall Zyxel par deux firewalls pfSense CE en haute disponibilité (CARP), éliminant le Single Point of Failure réseau. Configuration des règles de filtrage par zone (DMZ, serveurs, postes, VoIP, réseau invité), déploiement du système de détection d'intrusion Snort avec règles Emerging Threats, et mise en place d'un portail captif pour le WiFi invité.
Segmentation VLAN
Segmentation du réseau plat existant en 6 VLANs distincts : serveurs, postes de travail, VoIP, imprimantes, réseau invité et supervision. Chaque VLAN est filtré par des règles pfSense strictes (least privilege). Les flux entre VLANs sont journalisés et auditables. Cette segmentation aurait contenu le ransomware au seul VLAN postes.
Accès distant sécurisé — OpenVPN
Déploiement d'un serveur OpenVPN avec authentification à deux facteurs (certificat + FreeRADIUS + Google Authenticator) pour les 12 collaborateurs en mobilité. Suppression des accès RDP directs exposés sur Internet, qui constituaient le vecteur d'entrée probable du ransomware précédent.
Conformité RGPD
Accompagnement à la mise en conformité RGPD : rédaction du registre des traitements, cartographie des données personnelles traitées, chiffrement des données sensibles au repos (BitLocker), révision des clauses contractuelles avec les sous-traitants, et procédure de notification CNIL en cas d'incident.
Résultats obtenus
- 23 vulnérabilités identifiées, toutes remédiées
- 0 incident de sécurité depuis le déploiement (18 mois)
- Conformité RGPD attestée, clôture de la notification CNIL
- Temps de basculement en cas de panne firewall : < 2 secondes (CARP)
- Réduction de la surface d'attaque exposée sur Internet de 78%
Services fournis
Technologies
Un projet similaire ?
Discutons de vos besoins, nous avons l'expertise qu'il vous faut.
Nous contacterNos autres références
Refonte complète de l'infrastructure IT de la direction régionale Île-de-France : migratio...
Voir la ficheDéveloppement de la plateforme de gestion de contrats d'assurance en marque blanche : back...
Voir la ficheConception et développement de l'application mobile de pronostics sportifs : backend Larav...
Voir la fiche