Sensibiliser et former
1 – Formez les équipes opérationnelles à la sécurité des systèmes d’information
- la législation en vigueur ;
- les principaux risques et menaces ;
- le maintien en condition de sécurité ;
- l’authentification et le contrôle d’accès ;
- le paramétrage fin et le durcissement des systèmes ;
- le cloisonnement réseau ;
- et la journalisation.
10- Sensibilisez les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique
Chaque utilisateur est un maillon à part entière de la chaine des systèmes d’information. A ce titre, dès son arrivée dans l’entreprise, il doit être informé des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information à travers des actions de sensibilisation et de formation.
Ces dernières doivent être régulières, adaptées aux utilisateurs ciblés, et peuvent prendre différentes formes (mails, affichage, réunions, espace intranet dédié, etc).
19- Maîtrisez les risques de l’infogérance
Si vous souhaitez externaliser votre système d’information ou vos données, vous devez avant tout, en amont, évaluer les risques spécifiques à l’infogérance (maîtrise du système d’information, actions à distance, hébergement mutualisé, etc). Vous devez prendre en compte, dès la rédaction des exigences applicables à votre futur prestataire, les besoins et mesures de sécurité adaptés.
Pour assurer un bon déroulement des opérations, il est nécessaire :
- D’étudier attentivement les conditions des offres, la possibilité de les adapter à des besoins spécifiques et les limites de responsabilité de votre prestataire.
- D’imposer une liste d’exigences précises à votre prestataire : réversibilité du contrat, réalisation d’audits, sauvegarde et restitution des données dans un format ouvert normalisé, maintien à niveau de la sécurité dans le temps, etc.
Connaître le système d’information
20- Identifiez les informations et serveurs les plus sensibles et maintenez un schéma du réseau
Chaque entreprise possède des données sensibles. Elles portent sur votre activité propre (propriété intellectuelle, savoir-faire, etc), vos clients, vos administrés, vos clients (données personnelles, contrats, etc). Pour les bien protéger, il est indispensable de les identifier.
La liste de ces données permet de déterminer sur quels composants du SI elles se localisent (bases de données, partages de fichiers, postes de travail, etc). ces composants correspondent aux serveurs et postes crtiques pour votre entreprise. Ils devront donc faire l’objet de mesures de sécurité spécifiques pouvant porter sur la sauvegarde, la journalisation, les accès, etc.
2- Disposez d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour
Les comptes bénéficiant de droits spécifiques sont des cibles privilégiées par les attaquants qui souhaitent obtenir un accès le plus large possible à votre SI. ils doivent donc faire l’objet d’une attention toute particulière. Vous devez donc effectuer un inventaire de ces comptes, le mettre à jour régulièrement et y renseigner les informations suivantes :
- Les utilisateurs ayant un compte administrateur ou des droits supérieurs à ceux d’un utilisateur standard sur le SI
- Les utilisateurs disposant de suffisamment de droits pour accéder aux répertoires de travail des responsables ou de l’ensemble des utilisateurs.
- Les utilisateurs utilisant un poste non administré par votre service informatique et qui ne fait pas l’objet de mesures de sécurité édictées par votre politique de sécurité générale.
11- Autorisez la connexion au réseau de l’entreprise aux seuls équipements maîtrisés
Pour garantir la sécurité de votre SI, vous devez maîtriser les équipements qui s’y connectent, chacun constituant un point d’entrée potentiellement vulnérable. Les équipements personnels (ordinateurs portables, tablettes, etc) sont par définition, difficilement maitrisables dans la mesure où ce sont les utilisateurs qui décident de leur niveau de sécurité.
Seule la connexion de terminaux maîtrisés par votre entreprise doit être autorisée sur vos différents réseaux d’accès, qu’ils soient filaires ou sans fil. Déroger à cette règle fragilise le réseau de votre entreprise et sert ainsi les intérêts d’un potentiel attaquant.
Authentifier et contrôler les accès
12- Identifiez nommément chaque personne accédant au système et distinguez les rôles utilisateurs/administrateurs
Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs.
Dans tous les cas, les comptes génériques (ex : admin, user) et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration.
3- Attribuez les bons droits sur les ressources sensibles du SI
Certaines des ressources de votre système peuvent constituer une source d’information précieuse aux yeux d’un attaquant (répertoires contenant des données sensibles, bases de données, boîtes aux lettres électroniques, etc). Il est donc primordial d’établir une liste précise de ces ressources et pour chacune d’entre elles :
- De définir quelle population peut y avoir accès
- De contrôler strictement son accès, en s’assurant que les utilisateurs sont authentifiés et font partie de la population ciblée
- D’éviter sa dispersion et sa duplication à des endroits non maîtrisés ou soumis à un contrôle d’accès moins strict.
21- Changez les éléments d’authentification par défaut sur les équipements et services
Partez toujours du principe que les configurations par défaut des systèmes d’information sont systématiquement connues des attaquants, quand bien même celles-ci ne le sont pas du grand public. Ces configurations sont bien souvent triviales (mot de passe identique à l’identifiant, mal dimensionné ou commun à l’ensemble des équipements et services par exemple) et sont la plupart du temps faciles à obtenir pour des attaquants capables de se faire passer pour un utilisateur légitime.
Afin de limiter les conséquences d’une compromission, il est essentiel, après changement des éléments d’authentification par défaut, de procéder à leur renouvellement régulier.
Sécuriser les postes
22- Protégez-vous des menaces relatives à l’utilisation de supports amovibles
Les supports amovibles peuvent être utilisés afin de propager des virus, voler des informations sensibles et stratégiques ou encore compromettre le réseau de votre entreprise. De tels agissements peuvent avoir des conséquences désastreuses pour votre activité. S’il n’est pas question d’interdire totalement l’usage de supports amovibles, il est néanmoins nécessaire de traiter ces risques en identifiant des mesures adéquates et en sensibilisant les utilisateurs aux risques que ces supports peuvent véhiculer.
Pensez par exemple à proscrire le branchement de clés USB inconnues (ramassées dans un lieu public par exemple) ou à limiter au maximum celui des clés non maîtrisées sur le SI.
13- Activez et configurez le pare-feu local des postes de travail
Après avoir réussi à prendre le contrôle d’un poste de travail (à cause par exemple d’une vulnérabilité présente dans le navigateur internet), un attaquant cherchera souvent à étendre son intrusion aux postes de travail pour, in fine, accéder aux documents des utilisateurs.
Afin d’éviter de telles situations, vous devez activer le pare-feu local des postes de travail au moyen de logiciels intégrés ou spécialisés.
Sécuriser le réseau
14- Assurez-vous de la sécurité des réseaux d’accès wifi et de la séparation des usages
L’usage du wifi en milieu professionnel est aujourd’hui démocratisé mais présente toujours des risques de sécurité bien spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de votre entreprise, configuration par défaut des points d’accès peu sécurisée, etc.
La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès wifi doivent donc être filtrés et restreints aux seuls flux nécessaires.
23- Cloisonnez les services visibles depuis internet du reste du sustème d’information
Votre entreprise peut choisir d’héberger en interne des services visibles sur internet (site web, serveur de messagerie, etc). Au regard de l’évolution et du perfectionnement des cyberattaques, il est essentiel de garantir un haut niveau de protection de ce service par des administrateurs compétents, formés de manière continue et disponibles. Dans le cas contraire, le recours à un hébergement externalisé auprès de professionnels est à privilégier.
5- Protégez votre messagerie professionnelle
La messagerie est le principal vecteur d’infection du poste de travail, qu’il s’agisse de l’ouverture de pièces jointes contenant un code malveillant ou du clic malencontreux sur un lien redirigeant vers un site lui-même malveillant.
Chaque collaborateur doit être sensibilisé à ce sujet : l’expéditeur est-il connu ? Une information de sa part est-elle attendue ? Le lien proposé est-il cohérent avec le sujet évoqué ? En cas de doute, une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc) est nécessaire.
Pour se prémunir d’escroqueries (ex : demande de virement frauduleux émanant vraisemblablement d’un dirigeant), des mesures organisationnelles doivent être appliquées strictement.
Sécuriser l’administration
15- Utilisez un réseau dédié et cloisonné pour l’administration du système d’information
Un réseau d’administration interconnecte, entre autres, les postes ou serveurs d’administration et les interfaces d’administration des équipements. Dans la logique de segmentation du réseau global de votre entreprise, il est indispensable de cloisonner spécifiquement le réseau d’administration, notamment vis-à-vis du réseau bureautique des utilisateurs, pour se prémunir de toute compromission par rebond depuis un poste utilisateur vers une ressource d’administration.
6- Limitez au strict besoin opérationnel les droits d’administration sur les postes de travail
De nombreux utilisateurs sont tentés de demander au service informatique de pouvoir disposer, par analogie avec leur usage personnel, de privilèges plus importants sur leur poste de travail : installation de logiciels, configuration du système, etc. par défaut, il est recommandé qu’un utilisateur du SI, quelle que soit sa position hiérarchique et ses attributions, ne dispose pas de privilèges d’administration sur son poste de travail. Cette mesure vise à limiter les conséquences de l’exécution malencontreuse d’un code malveillant. La mise à disposition d’un magasin étoffé d’applications validées par votre entreprise du point de vue de la sécurité permettra de répondre à la majorité des besoins
Gérer le nomadisme
24- Prenez des mesures de sécurisation physique des terminaux nomades
Les terminaux nomades sont par nature, exposés à la perte et au vol. ils peuvent contenir localement des informations sensibles pour l’entreprise, et constituer un point d’entrée vers de plus amples ressources du SI. Au-delà de l’application au minimum des politiques de sécurité de l’entreprise, des mesures spécifiques de sécurisation de ces équipements sont donc à prévoir.
N’importe quelle entité, même de petite taille, peut être victime d’une attaque informatique. Dès lors, en mobilité, tout équipement devient une cible potentielle voire privilégiée.
16- Adoptez des politiques de sécurité dédiées aux terminaux mobiles
Les smartphones et les tablettes font partie de notre quotidien personnel et/ou professionnel. La première recommandation consiste justement à ne pas mutualiser les usages personnels et professionnels sur un seul et même terminal, par exemple en ne synchronisant pas simultanément comptes professionnels et personnels de messagerie, de réseaux sociaux, d’agendas, etc.
Les terminaux fournis par l’entreprise et utilisés dans un contexte professionnel doivent faire l’objet d’une sécurisation à part entière, dès lors qu’ils se connectent au SI de l’entreprise ou qu’ils contiennent des informations professionnelles potentiellement sensibles (mails, fichiers partagés, contacts, etc).
7- Chiffrez les données sensibles, en particulier sur le matériel potentiellement perdable
Les déplacements fréquents en contexte professionnel et la miniaturisation du matériel informatique conduisent souvent à la perte ou au vol de celui-ci dans l’espace public. Cela peut porter atteinte aux données sensibles de l’entreprise qui y sont stockées.
Il faut donc ne stocker que des données préalablement chiffrées sur l’ensemble des matériels nomades (ordinateurs portables, smartphones, clés USB, disques durs externes, etc) afin de préserver leur confidentialité. Une solution de chiffrement de partition, d’archives ou de fichier peut être envisagée selon les besoins. Là encore, il est essentiel de s’assurer de l’unicité et de la robustesse du secret de déchiffrement utilisé.
Maintenir le système d’information à jour
17- Définissez une politique de mise à jour des composants du système d’information
De nouvelles failles sont régulièrement découvertes au cœur des systèmes et logiciels. Ces dernières sont autant de portes d’accès qu’un attaquant peut exploiter pour réussir son intrusion dans le SI. il est donc primordial de s’informer de l’apparition de nouvelles vulnérabilités et d’appliquer les correctifs sur l’ensemble des composants du système dans le mois qui suit leur publication par l’éditeur. Une politique de mise à jour doit ainsi être définie et déclinée en procédures opérationnelles. Celles-ci doivent notamment préciser :
- La manière dont l’inventaire des composants du SI est réalisé
- Les sources d’information relatives à la publication des mises à jour
- Les outils pour déployer les correctifs sur le parc
- L’éventuelle qualification des correctifs et leur déploiement progressif sur le parc
8- Anticipez la fin de la maintenance des logiciels et systèmes et limitez les adhérences logicielles
L’utilisation d’un système ou d’un logiciel obsolète augmente significativement les possibilités d’attaque informatique. Les systèmes deviennent vulnérables dès lors que les correctifs ne sont plus proposés. En effet, des outils malveillants exploitant ces vulnérabilités peuvent se diffuser rapidement sur internet alors même que l’éditeur ne propose pas de correctif de sécurité.
Superviser, auditer, réagir
18- Définissez et appliquez une politique de sauvegarde des composants critiques
Suite à un incident d’exploitation ou en contexte de gestion d’une intrusion, la disponibilité de sauvegardes conservées en lieu sûr est indispensable à la poursuite de votre activité. Il est donc fortement recommandé de formaliser une politique de sauvegarde régulièrement mise à jour. Cette dernière a pour objectif de définir des exigences en matière de sauvegarde de l’information, des logiciels et des systèmes.
4- Procédez à des contrôles et audits réguliers puis appliquez les actions correctives associées
La réalisation d’audits réguliers (au moins une fois par an) du SI est essentielle car elle permet d’évaluer concrètement l’efficacité des mesures mises en œuvre et leur maintien dans le temps. Ces contrôles et audits permettent également de mesurer les écarts pouvant persister entre la règle et la pratique.
9- Définissez une procédure de gestion des incidents de sécurité
Le constat d’un comportement inhabituel de la part d’un poste de travail ou d’un serveur (connexion impossible, activité importante, activités inhabituelles, services ouverts non autorisés, fichiers créés, modifiés ou supprimés sans autorisation, multiples alertes de l’antivirus, etc) peut alerter sur une éventuelle intrusion.
Une mauvaise réaction en cas d’incident de sécurité peut faire empirer la situation et empêcher de traiter correctement le problème.
© Guide d’hygiène informatique – ANSSI