oui: periferique de stockage: en lecture seule: pour eviter les fuite d'infos, avec des lecteurs cd qui font pas graveur. ^^
enfin ça c'est un axe possible, certain diront: parano, et pas cool a l'utilisation.
tu centre l'audit, sur une personne mal intentionnée, mais tu devrais lire MEHARI, car le risque peut tout aussi bien etre autre: risque naturel: en cas d'incendi: est ce que ma salle machine est inifugé, avec les bonbones de gaz antioxygene?risque pour le technicien qui bossait a ce moment?
si un avion veut atterir dans mon batiment, est ce que mes données sont dans un bunker? est ce qu'elle sont bien repliqué/sauvegardés/archivé sur un site distant? est ce que mes données stockées ailleurs sont fiables? en combien de temps je peut revenir a la normal?
bref y'a enormement d'interrogation autour de la secu, et pas que la personne malintentionnée.
sinon pour ton truc:
voici le scénario que j'ai imaginé avec les failles possibles:
- arrivée dans les locaux (contrôle de l'identité?) --> social engeniering
- repérage des baies et structures informatiques (accès physique? serrures?) --->visibilité des appel d'offre? ---> social engeniering, en se fesant passer pour un commercial qui pose plein de question (bonjour, cstorage nous ont dit que vous avez des baies CXblabla, nous avons justement un produit... ah non vous avez des baie netapp, quel model?)
- branchement au réseau avec un poste perso (repéré par la dsi? accès possible?) si il y a une machine dans le bureau: avec des commande style "wake on lan" on doit pouvoir recuperer et spoofer une adresse MAC, parfois l'@IP est mm marqué sur les cable ou les machines.autre? plus d'info aussi avec un keyloger harware avec transmition radio (à placer entre le clavier et la tour: facil, vite posé, discret moyen).
- récupération d'infos sur l'architecture (vue globale des vlan ou vue partielle?) pas facil ça.a part voler des shemas au reseau. poser des keyloger harware avec transmition radio?!
- exploitation des données sniffées (failles sérieuses ou non?) brancher un ordi portable sur le parking qui sniff si possible, puis aller en reunion (commerciale) avec un autre, en snifant aussi (à l'interieur penser aussi a sniffer/attaquer les bluetooths (manager, commerciaux,...).
pour l'attaquant 2) qui est de chez nous, et qui dispose d'un compte sur notre AD, j'ai procédé de la même façon en ajoutant des éléments:
- voir assaillant 1)
- trouver le pass admin local (pass protégé? pass crypté?)
keyloger harware avec transmition radio toujours entre clavier et tour, donc pas encore crypté. si crypté regarder le cryptage, mais c'est surement trop difficil ensuite.
- trouver les pass des autres users (politique de MDP sécurisée ou non?) a t on accès physique a l'ad, y a t il un serveur delivran un autre service alternatif en cas de perte de mot de passe? passer dans les bureau et regarder les post it ^^
- accéder à un poste en tant que qqn d'autre (plusieurs sessions avec un même login?) est ce que ça ne peut pas etre necessaire aussi d'avoir plusieurs sessions d'ouverte aussi?
- récupérer des données sensibles (protections autre que le login/mdp ?)
+1 sur rootshell sur la formation, et ne pas hesiter a en faire plusieurs regulierement.