Consultant.e.s - Stage de fin d'études - Nantes – CYB - Etat de l'art des attaques par latéralisation entre les environnements on-prem / Cloud

Au sein du bureau de Nantes, vous intervenez aux côtés de 150 consultant·e·s sur des missions variées qui accompagnent nos clients, vous permettant de développer vos compétences ainsi que votre connaissance des expertises du cabinet. 

Nos consultant.e.s interviennent au sein d'entreprises de référence implantées dans toute la région Grand Ouest, et accompagnent en proximité nos clients dans leurs transformations digitales et leurs décisions stratégiques.

Le bureau de Nantes adresse une grande majorité des savoir-faire du cabinet Wavestone, et offre l’opportunité d’intervenir sur des missions variées et à forte valeur ajoutée, du cadrage stratégique à la réalisation du projet.

Nous intervenons en particulier sur les domaines de compétences suivants répartis en communautés :  

• Cybersécurité : stratégie et conformité Cybersécurité (risque, gestion de crise, vie privée, infrastructures critiques, réglementations), sécurisation de la transformation digitale (big data, cloud, IoT, SOC, IT Security), identité numérique et services de confiance (IAM, CIAM, PAM, PKI, MFA, fédération d'identités), audit, tests d'intrusion et réponse aux incidents (pentest, audit PASSI, redteam, forensics, gestion de crise) 

• Transformation de l'IT-CIO : business transformation (open architecture), industrial IoT (embedded system, IoT platforms), data (gouvernance de données, data analytics, plateformes nouvelle génération), Next GenIT (cloud, devops, automation, container, serverless, laC), Next GenIT (smart networks, telecoms), digital workplace (New Waysof Working, change, employee experience, workplace, communication), business transformation (UX, design thinking), industrial IoT (LoRa, Sigfox, lpwan), transformations organisationnelles et managériales, transformation agile, conduite du changement…. 

• Transformation durable (environnementale et sociale) des organisations – Sustainability – STB : Numérique Responsable (sensibilisation, rédaction de politiques, gestion de l’obsolescence...), accompagnement à la transition écologique et sociétale, décarbonisation (Bilan Carbone et plan de transition), performance durable (gouvernance et stratégie RSE, conformité et reporting ESG), adaptation au changement climatique, inclusivité...

Sujet de stage :  

Contexte : 

L’adoption massive du cloud computing a profondément transformé les architectures des systèmes d’information (SI) des entreprises. Si certaines ont choisi de migrer l’entièreté de leur SI dans le Cloud, beaucoup ont opté pour des solutions hybrides, associant des infrastructures on-premise (locales) avec des services hébergés dans le Cloud (GCP, Azure, AWS, etc.).  

Ces solutions hybrides, bien qu’offrant souplesse et performance, introduisent de nouveaux vecteurs d’attaque. Un attaquant ayant compromis un composant local (par exemple, un poste utilisateur) ou cloud (par exemple, via un document stocké sur Microsoft 365) peut ensuite se déplacer latéralement entre les environnements pour étendre son accès. Il pourrait ainsi compromettre les applications déployées sur le Cloud ou installer un malware sur l’ensemble des postes du SI. Ces attaques sont possibles grâce à des configurations faibles, des comptes à privilèges non exhaustifs, un manque de contrôle sur les échanges entre les environnements et l’obsolescence de certains composants. 

Wavestone cherche à formaliser et développer ses connaissances sur ces scénarios d’attaques hybrides. Pour cela, le cabinet souhaite réaliser un état de l’art sur les attaques par latéralisation entre les environnements on-premise et Cloud ainsi que les solutions pour mitiger les risques. Ce travail permettra aux consultants de mieux sensibiliser les clients à ce type d’attaque et leur offrir de meilleures recommandations. 

Objectif du stage : 

L’objectif de ce stage est de rédiger un état de l’art portant sur les attaques par latéralisation entre les environnements on-prem / Cloud ainsi que sur les solutions qui peuvent être mise en œuvre pour mitiger les risques. Le stagiaire sera amené à étudier les dernières publications, échanger avec les experts Wavestone de ces sujets et identifier les solutions de cyberdéfense existantes.  Le stagiaire pourra également être amener à construire une démonstration d’une ou plusieurs de ces attaques en environnement dédié à cet effet.  

Le résultat de cette étude sera réutilisé par le cabinet pour les propositions de pitchs, des démonstrations, l’exécution de missions et le développement d’outils d’audit. Ce stage est aussi l’occasion de monter en compétence sur la sécurité des environnements hybrides et d’apporter une nouvelle expertise au sein du cabinet. 

Travaux à réaliser : 

Accompagné par un.e tuteur.rice et un.e expert.e du sujet, le/la stagiaire devra effectuer un travail de recherche, à partir de sources d’informations externes et internes, sur ces différentes thématiques 

• Réalisation d’un état de l’art des architectures hybrides (on-prem / cloud), avec une cartographie des modèles les plus courants dans les environnements clients ; 

• Recensement des vulnérabilités et des attaques connues permettant le déplacement latéral entre les deux environnements et réalisation d’une veille active sur le sujet ; 

• Mise en place d’un environnement de démonstration d’une ou plusieurs attaques de latéralisation entre les environnements On-Premise et Cloud ; 

• Centralisation et propositions de bonnes pratiques pour limiter les risques d’attaques par latéralisation et production d’un support pour sensibiliser les entreprises ; 

Ce travail sera ensuite partagé avec le reste des collaborateurs pour enrichir les connaissances du cabinet. 

L’intitulé exact du sujet de stage ou du travail à effectuer sera confirmé en début de stage. 

En parallèle, vous participerez à une ou plusieurs missions de conseil auprès de nos clients, en étant intégré dans une équipe de consultants placée sous la responsabilité d’un directeur de mission.  

Vous pourrez être amené(e) à interroger des entreprises, des éditeurs, et le travail réalisé pourra faire l’objet de publication(s) et être partagé au sein du bureau.