Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'ANSSI publie son guide d'hygiène informatique pour les entreprises

Une base de travail minimale

Apparu en ébauche en octobre dernier, le guide d’hygiène informatique de l’ANSSI (Agence nationale de la sécurité des systèmes d'information) est désormais publié dans sa version finale. Au total, ce ne sont pas moins de quarante points de contrôle qui représentent un « socle minimal » de règles de sécurité pour les entreprises. Le guide ne se veut donc pas exhaustif, mais il représente une bonne base de travail.

Les actualités concernant le monde de la sécurité sont nombreuses. Il s’agit le plus souvent de malwares et d’attaques menées par des tiers. Depuis deux ans environ, ces attaques ont basculé vers un modèle particulièrement poussé, les gouvernements investissant dans une nouvelle forme d’espionnage. De fait, la publication par l’ANSSI d’un guide d’hygiène informatique à destination des entreprises est particulièrement importante.

 

Le guide se décompose en quarante points de contrôles dont certains paraitront nécessairement triviaux. Ils sont regroupés en différents chapitres, et nous vous en proposons d’ailleurs un résumé dans la suite de cet article. Tous ont trait à la sécurité des données qui est aussi vitale pour les données internes des entreprises que celles qui proviennent des clients et dont l’entreprise a mathématiquement la charge.

 

L’ANSSI souligne que si le guide ne se veut pas exhaustif, il constitue un socle sur lequel toute entreprise devrait contrôler pour s’y conformer. Il s’agit d’une base de travail conçue pour affronter deux types de situation essentiellement : les problèmes de sécurité issus de l’erreur humaine, et ceux provenant directement de l’extérieur (attaques), les deux pouvant d’ailleurs être liés.

 

La connaissance du parc informatique

Les premières règles concernent avant tout la connaissance de l’environnement informatique de l’entreprise. Cela concerne aussi bien le matériel et les données associées (telles que les adresses MAC) que la configuration logicielle : système d’exploitation, suite bureautique, visionneuses diverses, navigateurs et ainsi de suite.

 

L’entreprise se doit de posséder une liste complète des comptes utilisateur disposant de privilèges. Les protocoles de gestion des arrivées et départs des employés doivent être documentés, de même que la gestion des accès aux locaux et celle, très importante, des équipements mobiles et documents sensibles. Le tout vise à produire une carte générale du système d’informations.

Limiter les accès

L’ANSSI recommande un point particulièrement sensible dans les réseaux d’entreprise : ne limiter la connexion Internet qu’aux postes où elle est réellement nécessaire. Dans la même veine, l’entreprise prendra soin de désactiver toute possibilité de connecter des équipements personnels tels que les lecteurs MP3. L’objectif est de limiter toute ingérence des vies personnelles des employés dans le fonctionnement de l’entreprise.

De la bonne gestion des mises à jour

L’entreprise devra impérativement effectuer un relevé complet de tous les logiciels impliqués dans son fonctionnement. Le responsable devra connaître les modalités de mise à jour de chacun de ces composants et surveiller l’actualité sur la sécurité, soit via les sites des éditeurs, soit en passant par des structures spécialisées telles que les CERT.

 

Un rythme d’application des mises à jour devra être défini et suivi scrupuleusement. Lorsque c’est possible, il sera d’ailleurs préférable d’utiliser un outil dédié, tel que WSUS en environnement Windows. À ce sujet, on comprend mieux d’ailleurs les avis positifs qui ont suivi l’annonce par Adobe du suivi des Patch Tuesdays de Microsoft pour les mises à jour de Flash. L’ANSSI recommande enfin d’isoler les éléments obsolètes et de procéder à leur mise à jour manuellement.

Identification : le pavé

La gestion de l‘identité des employés est clairement un tronçon important du guide de l’ANSSI. Premièrement, il est crucial que toute personne ayant accès au réseau doive s’authentifier : aucun accès anonyme ne doit être autorisé. D’autre part, des règles strictes de définition des mots de passe doivent être créées et les utilisateurs doivent y être sensibilisés. Ces règles doivent être appliquées via des mécanismes techniques ne laissant aucun choix, tel que le blocage automatique du compte si l’utilisateur rate la fenêtre de mise à jour du mot de passe.

 

D’autre part, aucune conservation des mots de passe ne doit avoir lieu en clair dans un fichier informatique quelconque. L’enregistrement automatique, en vue de ne plus avoir besoin de réécrire le mot de passe, doit quant à lui être désactivé. Les identifiants fournis par défaut avec les équipements tels que les routeurs doivent être impérativement changés. Enfin, si c’est possible, l’ANSSI recommande chaudement d’utiliser une authentification forte, par exemple via un système de cartes à puce.

La sécurité ne concerne plus seulement les serveurs

L’ANSSI insiste sur la notion d’homogénéité de la sécurité du parc informatique. Il y a longtemps que les serveurs ne sont plus les seules machines visées. Les postes clients sont d’excellents vecteurs d’attaques. C’est d’ailleurs grâce à ces postes que Duqu avait pu pénétrer les défenses du laboratoire nucléaire iranien où il avait fini par être repéré. Des règles de base s’imposent donc : désactivation des services inutiles (réduction de la surface d’attaque), restriction des privilèges pour les comptes utilisateur simples, mise en place d’un pare-feu bloquant au moins les connexions entrantes, verrouillage de l’accès au BIOS, désactivation du Wake On Lan, etc.

Exit les supports amovibles 

Les supports amovibles, tels que les clés USB et les CD/DVD, doivent impérativement être bloqués. L’ANSSI est consciente du fait que cette mesure peut paraître fortement rétrograde par les employés, mais la sécurité reste plus importante que ces considérations. Si les clés USB doivent être autorisées, l’autorun devra en être désactivé. Idem pour les CD/DVD.

La sécurité des terminaux

Idéalement, un parc informatique devrait être équipé d’une solution permettant à la fois le déploiement des politiques de sécurité et celui des mises à jour. Plus les équipements pris en charge seront nombreux, mieux ce sera. Cela inclut notamment les terminaux nomades, qui devront être concernés par les mêmes règles de sécurité que les autres, voire davantage, comme le chiffrement intégral des données. Ce chiffrement des données reste dans tous les cas valable partout, en particulier pour les médias qui peuvent être perdus. Sur les postes fixes, il a également son intérêt.

Cloisonner l’infrastructure de sécurité

Dans le cas où des postes ou serveurs contiennent des données particulièrement sensibles, il est utile de créer un sous-réseau obéissant à des règles plus strictes et protégé du reste par une passerelle. Dans le même esprit, si un réseau Wi-Fi doit être déployé, il doit être isolé dans un sous-réseau spécifique. Plus globalement, l’entreprise devrait toujours privilégier les applications et les protocoles sécurisés.

 

Enfin, la sécurité générale devrait être auditée régulièrement, en particulier les annuaires centraux (Active Directory, LDAP).

« Sed quis custodiet ipsos custodes ? »

L’idée de garder les gardiens n’a pas échappé à l’ANSSI. Ainsi, l’administration du réseau doit être elle-même protégée, car la prise de contrôle d’une machine ou d’un compte administrateur peut faire tomber toute la sécurité d’une infrastructure. Première conséquence : tout compte administrateur doit être coupé d’Internet. Deuxièmement, le réseau d’administration des équipements devrait être séparé du reste. Conséquence logique : aucun utilisateur classique ne doit recevoir le moindre privilège, et ce, sans la moindre exception.

 

Ceux qui veulent connaître le document en détail pourront le lire depuis le site officiel de l’ANSSI. Notez cependant qu’il est connecté à une autre publication. Il s’agit d’un référentiel métier sur les compétences de l’architecte référent en sécurité des systèmes d’information. Plus précis que le premier, il concerne avant tout les responsables travaillant sur les infrastructures de sécurité.

46 commentaires
Avatar de MorganStern INpactien
Avatar de MorganSternMorganStern- 28/01/13 à 17:05:32

Signaler ce commentaire aux modérateurs :

Et à part ça, avec quel produit faut-il nettoyer son clavier et sa souris ?

Avatar de aztazt INpactien
Avatar de aztaztaztazt- 28/01/13 à 17:15:57

Signaler ce commentaire aux modérateurs :

Heu... ça fait un moment qu'il a été publié ce guide

Avatar de anonumus INpactien
Avatar de anonumusanonumus- 28/01/13 à 17:16:33

Signaler ce commentaire aux modérateurs :

MorganStern a écrit :

Et à part ça, avec quel produit faut-il nettoyer son clavier et sa souris ?

C'était la question que je me posais mais apparemment on parle d'un autre type d'hygiène !

Avatar de aztazt INpactien
Avatar de aztaztaztazt- 28/01/13 à 17:20:33

Signaler ce commentaire aux modérateurs :

Ha désolé, il s'agit de la version finalisée, je n'avais pas vu, mea culpa

Avatar de anonumus INpactien
Avatar de anonumusanonumus- 28/01/13 à 17:33:33

Signaler ce commentaire aux modérateurs :

Règle 9
Définir des règles de choix et de dimensionnement des mots de passe.

On trouvera les bonnes pratiques en matière de choix et de dimensionnement des mots de passe dans le document de l’ANSSI, Recommandations de sécurité relativesaux mots de passe. Parmi ces règles, les plus critiques sont de sensibiliser les utilisateurs aux risques liés au choix d’un mot de passe qui puisse se deviner trop facilement, et à la réutilisation de mots de passe en particulier entre messageries personnelles et professionnelles.

Ouais mais ça c'est un vrai problème et pas que dans le milieu de l'entreprise mais PARTOUT !

Ne pas partager un même mot-de-passe entre différents services est mission impossible ! Et qu'en plus il faut des mots de passe compliqués pour chacun des services, c'est tout simplement – à part capacité intellectuelle mémorielle hors normes – techniquement impossible.

Un utilisateur va potentiellement s'inscrire sur des dizaines de sites, prenons un inpactien de base:

  • PCInpact/Clubic/autre...
  • LDLC/Materiel.net/autre...
  • Amazon/autre...
  • Gmail-Google/Live/Yahoo/autre...
  • Facebook
  • Wikipedia/Ubuntu-fr/HFR/autre...
  • GoogleCode/Github/autre...
  • Free/Orange/SFR/autre...
  • Compte en ligne EDF/GDF/autre...
  • Compte en ligne LBP/autre...
  • Carte VISA/Mastercard...
  • Carte de retrait Livret A...
  • Compte email du boulot/Poste de travail du boulot

ça fait déjà plus de 13 mots de passe qui doivent TOUS être différents les uns des autres et COMPLEXES à deviner, sans parler de ceux qu'on ne peut pas personnaliser (cartes VISA etc. ou ceux du boulot par exemple) !

Et encore j'ai été doucement, 13 c'est rien du tout, c'est plutôt autour des 100 ou 200 vu les nombreux sites et services auquel un utilisateur est appelé à utiliser !

Demander aux utilisateurs de mémoriser un énième mot de passe, complexe qui plus est, différent de tous ceux qu'ils utilisent déjà, est du pure délire, c'est ne pas voir la réalité en face, c'est IMPOSSIBLE, ce qu'il se passe (surtout en entreprise) c'est que le mot de passe se retrouve sur un post-it sur le bureau de l'employé tout simplement !

Édité par anonumus le 28/01/2013 à 17:37
Avatar de mckro INpactien
Avatar de mckromckro- 28/01/13 à 17:34:36

Signaler ce commentaire aux modérateurs :

Après, c'est aux DSI et au PDG si aller vers plus de sécurité vaut le coup face à la probable perte en réactivité, et la hausse des coûts infra et humains induits par une telle politique (sans compter l'image donnée aux employés)

Avatar de illidanPowa INpactien
Avatar de illidanPowaillidanPowa- 28/01/13 à 17:38:19

Signaler ce commentaire aux modérateurs :

Conséquence logique : aucun utilisateur classique ne doit recevoir le moindre privilège, et ce, sans la moindre exception.

C'est bien joli, mais dans la pratique c'est souvent impossible..... quand un développeur à besoin d'installer ses petits logiciels à lui parce qu'il est plus efficace comme ça on fait comment?

Avatar de anonumus INpactien
Avatar de anonumusanonumus- 28/01/13 à 17:43:42

Signaler ce commentaire aux modérateurs :

En parlant de mot de passe, vous avez des recommandations pour un password-manager (éventuellement dans le cloud) ? Quelque chose de bien sécurisé avec chiffrement coté client... mais faut que les mots de passe soient facilement accessible (depuis une page web ?) en même temps donc pas évident !!

Je sais qu'il y a des solutions ingénieuses sur Linux avec clé privé/public etc. mais hormis le Password Manager de Firefox sur Windows vous recommanderiez quoi ?

Avatar de illidanPowa INpactien
Avatar de illidanPowaillidanPowa- 28/01/13 à 17:46:12

Signaler ce commentaire aux modérateurs :

Exit les supports amovibles
comment tu fais pour transférer des fichiers sur un poste qui n'est justement pas connecté à un réseau pour des raisons de sécurité

Avatar de aztazt INpactien
Avatar de aztaztaztazt- 28/01/13 à 17:54:16

Signaler ce commentaire aux modérateurs :

KeePass Password Safe couplé à Dropbox, pour l'instant, je n'ai pas trouvé d'autre solution, mais je continue de chercher...

Il n'est plus possible de commenter cette actualité.
Page 1 / 5