Apparu en ébauche en octobre dernier, le guide d’hygiène informatique de l’ANSSI (Agence nationale de la sécurité des systèmes d'information) est désormais publié dans sa version finale. Au total, ce ne sont pas moins de quarante points de contrôle qui représentent un « socle minimal » de règles de sécurité pour les entreprises. Le guide ne se veut donc pas exhaustif, mais il représente une bonne base de travail.
Les actualités concernant le monde de la sécurité sont nombreuses. Il s’agit le plus souvent de malwares et d’attaques menées par des tiers. Depuis deux ans environ, ces attaques ont basculé vers un modèle particulièrement poussé, les gouvernements investissant dans une nouvelle forme d’espionnage. De fait, la publication par l’ANSSI d’un guide d’hygiène informatique à destination des entreprises est particulièrement importante.
Le guide se décompose en quarante points de contrôles dont certains paraitront nécessairement triviaux. Ils sont regroupés en différents chapitres, et nous vous en proposons d’ailleurs un résumé dans la suite de cet article. Tous ont trait à la sécurité des données qui est aussi vitale pour les données internes des entreprises que celles qui proviennent des clients et dont l’entreprise a mathématiquement la charge.
L’ANSSI souligne que si le guide ne se veut pas exhaustif, il constitue un socle sur lequel toute entreprise devrait contrôler pour s’y conformer. Il s’agit d’une base de travail conçue pour affronter deux types de situation essentiellement : les problèmes de sécurité issus de l’erreur humaine, et ceux provenant directement de l’extérieur (attaques), les deux pouvant d’ailleurs être liés.
La connaissance du parc informatique
Les premières règles concernent avant tout la connaissance de l’environnement informatique de l’entreprise. Cela concerne aussi bien le matériel et les données associées (telles que les adresses MAC) que la configuration logicielle : système d’exploitation, suite bureautique, visionneuses diverses, navigateurs et ainsi de suite.
L’entreprise se doit de posséder une liste complète des comptes utilisateur disposant de privilèges. Les protocoles de gestion des arrivées et départs des employés doivent être documentés, de même que la gestion des accès aux locaux et celle, très importante, des équipements mobiles et documents sensibles. Le tout vise à produire une carte générale du système d’informations.
Limiter les accès
L’ANSSI recommande un point particulièrement sensible dans les réseaux d’entreprise : ne limiter la connexion Internet qu’aux postes où elle est réellement nécessaire. Dans la même veine, l’entreprise prendra soin de désactiver toute possibilité de connecter des équipements personnels tels que les lecteurs MP3. L’objectif est de limiter toute ingérence des vies personnelles des employés dans le fonctionnement de l’entreprise.
De la bonne gestion des mises à jour
L’entreprise devra impérativement effectuer un relevé complet de tous les logiciels impliqués dans son fonctionnement. Le responsable devra connaître les modalités de mise à jour de chacun de ces composants et surveiller l’actualité sur la sécurité, soit via les sites des éditeurs, soit en passant par des structures spécialisées telles que les CERT.
Un rythme d’application des mises à jour devra être défini et suivi scrupuleusement. Lorsque c’est possible, il sera d’ailleurs préférable d’utiliser un outil dédié, tel que WSUS en environnement Windows. À ce sujet, on comprend mieux d’ailleurs les avis positifs qui ont suivi l’annonce par Adobe du suivi des Patch Tuesdays de Microsoft pour les mises à jour de Flash. L’ANSSI recommande enfin d’isoler les éléments obsolètes et de procéder à leur mise à jour manuellement.
Identification : le pavé
La gestion de l‘identité des employés est clairement un tronçon important du guide de l’ANSSI. Premièrement, il est crucial que toute personne ayant accès au réseau doive s’authentifier : aucun accès anonyme ne doit être autorisé. D’autre part, des règles strictes de définition des mots de passe doivent être créées et les utilisateurs doivent y être sensibilisés. Ces règles doivent être appliquées via des mécanismes techniques ne laissant aucun choix, tel que le blocage automatique du compte si l’utilisateur rate la fenêtre de mise à jour du mot de passe.
D’autre part, aucune conservation des mots de passe ne doit avoir lieu en clair dans un fichier informatique quelconque. L’enregistrement automatique, en vue de ne plus avoir besoin de réécrire le mot de passe, doit quant à lui être désactivé. Les identifiants fournis par défaut avec les équipements tels que les routeurs doivent être impérativement changés. Enfin, si c’est possible, l’ANSSI recommande chaudement d’utiliser une authentification forte, par exemple via un système de cartes à puce.
La sécurité ne concerne plus seulement les serveurs
L’ANSSI insiste sur la notion d’homogénéité de la sécurité du parc informatique. Il y a longtemps que les serveurs ne sont plus les seules machines visées. Les postes clients sont d’excellents vecteurs d’attaques. C’est d’ailleurs grâce à ces postes que Duqu avait pu pénétrer les défenses du laboratoire nucléaire iranien où il avait fini par être repéré. Des règles de base s’imposent donc : désactivation des services inutiles (réduction de la surface d’attaque), restriction des privilèges pour les comptes utilisateur simples, mise en place d’un pare-feu bloquant au moins les connexions entrantes, verrouillage de l’accès au BIOS, désactivation du Wake On Lan, etc.
Exit les supports amovibles
Les supports amovibles, tels que les clés USB et les CD/DVD, doivent impérativement être bloqués. L’ANSSI est consciente du fait que cette mesure peut paraître fortement rétrograde par les employés, mais la sécurité reste plus importante que ces considérations. Si les clés USB doivent être autorisées, l’autorun devra en être désactivé. Idem pour les CD/DVD.
La sécurité des terminaux
Idéalement, un parc informatique devrait être équipé d’une solution permettant à la fois le déploiement des politiques de sécurité et celui des mises à jour. Plus les équipements pris en charge seront nombreux, mieux ce sera. Cela inclut notamment les terminaux nomades, qui devront être concernés par les mêmes règles de sécurité que les autres, voire davantage, comme le chiffrement intégral des données. Ce chiffrement des données reste dans tous les cas valable partout, en particulier pour les médias qui peuvent être perdus. Sur les postes fixes, il a également son intérêt.
Cloisonner l’infrastructure de sécurité
Dans le cas où des postes ou serveurs contiennent des données particulièrement sensibles, il est utile de créer un sous-réseau obéissant à des règles plus strictes et protégé du reste par une passerelle. Dans le même esprit, si un réseau Wi-Fi doit être déployé, il doit être isolé dans un sous-réseau spécifique. Plus globalement, l’entreprise devrait toujours privilégier les applications et les protocoles sécurisés.
Enfin, la sécurité générale devrait être auditée régulièrement, en particulier les annuaires centraux (Active Directory, LDAP).
« Sed quis custodiet ipsos custodes ? »
L’idée de garder les gardiens n’a pas échappé à l’ANSSI. Ainsi, l’administration du réseau doit être elle-même protégée, car la prise de contrôle d’une machine ou d’un compte administrateur peut faire tomber toute la sécurité d’une infrastructure. Première conséquence : tout compte administrateur doit être coupé d’Internet. Deuxièmement, le réseau d’administration des équipements devrait être séparé du reste. Conséquence logique : aucun utilisateur classique ne doit recevoir le moindre privilège, et ce, sans la moindre exception.
Ceux qui veulent connaître le document en détail pourront le lire depuis le site officiel de l’ANSSI. Notez cependant qu’il est connecté à une autre publication. Il s’agit d’un référentiel métier sur les compétences de l’architecte référent en sécurité des systèmes d’information. Plus précis que le premier, il concerne avant tout les responsables travaillant sur les infrastructures de sécurité.
Commentaires (46)
Et à part ça, avec quel produit faut-il nettoyer son clavier et sa souris ?
" />
Heu… ça fait un moment qu’il a été publié ce guide
Ha désolé, il s’agit de la version finalisée, je n’avais pas vu, mea culpa
Règle 9
Définir des règles de choix et de dimensionnement des mots de passe.
On trouvera les bonnes pratiques en matière de choix et de dimensionnement des mots de passe dans le document de l’ANSSI, Recommandations de sécurité relativesaux mots de passe. Parmi ces règles, les plus critiques sont de sensibiliser les utilisateurs aux risques liés au choix d’un mot de passe qui puisse se deviner trop facilement, et à la réutilisation de mots de passe en particulier entre messageries personnelles et professionnelles.
Ouais mais ça c’est un vrai problème et pas que dans le milieu de l’entreprise mais PARTOUT !
Ne pas partager un même mot-de-passe entre différents services est mission impossible ! Et qu’en plus il faut des mots de passe compliqués pour chacun des services, c’est tout simplement – à part capacité intellectuelle mémorielle hors normes – techniquement impossible.
Un utilisateur va potentiellement s’inscrire sur des dizaines de sites, prenons un inpactien de base:
ça fait déjà plus de 13 mots de passe qui doivent TOUS être différents les uns des autres et COMPLEXES à deviner, sans parler de ceux qu’on ne peut pas personnaliser (cartes VISA etc. ou ceux du boulot par exemple) !
Et encore j’ai été doucement, 13 c’est rien du tout, c’est plutôt autour des 100 ou 200 vu les nombreux sites et services auquel un utilisateur est appelé à utiliser !
Demander aux utilisateurs de mémoriser un énième mot de passe, complexe qui plus est, différent de tous ceux qu’ils utilisent déjà, est du pure délire, c’est ne pas voir la réalité en face, c’est IMPOSSIBLE, ce qu’il se passe (surtout en entreprise) c’est que le mot de passe se retrouve sur un post-it sur le bureau de l’employé tout simplement !
Après, c’est aux DSI et au PDG si aller vers plus de sécurité vaut le coup face à la probable perte en réactivité, et la hausse des coûts infra et humains induits par une telle politique (sans compter l’image donnée aux employés)
Conséquence logique : aucun utilisateur classique ne doit recevoir le moindre privilège, et ce, sans la moindre exception.
C’est bien joli, mais dans la pratique c’est souvent impossible….. quand un développeur à besoin d’installer ses petits logiciels à lui parce qu’il est plus efficace comme ça on fait comment?
En parlant de mot de passe, vous avez des recommandations pour un password-manager (éventuellement dans le cloud) ? Quelque chose de bien sécurisé avec chiffrement coté client… mais faut que les mots de passe soient facilement accessible (depuis une page web ?) en même temps donc pas évident !!
Je sais qu’il y a des solutions ingénieuses sur Linux avec clé privé/public etc. mais hormis le Password Manager de Firefox sur Windows vous recommanderiez quoi ?
Exit les supports amovibles
KeePass Password Safe couplé à Dropbox, pour l’instant, je n’ai pas trouvé d’autre solution, mais je continue de chercher…
Cool, je vais avoir un peut plus de lecture en provenance de l’ANSSI moi
" />
" />
En tous cas le regroupement est intéressant pour se faire une idée globale des préco de l’ANSSI
« Sed quis custodiet ipsos custodes ? »
A quoi je répondrais:
«In vino veritas»
Une fois bourré, personne n’y voit plus rien.
@Anonumous je tourne avec 1Password, couplé à dropbox : win/mac/android, chiffrement coté client, payant mais bien :)
pas testé KeePass, decouvert après avoir pris ma licence …
Encore une administration qui sert à rien, juste à caser des copains des politiques…
A croire que tout ce qui n’est pas organisé par une administration publique n’existe pas. L’amour n’existe pas, puisqu’il n’y a pas de ministère de l’amour…
Préconisations faites par des mecs qui n’ont jamais vraiment du travailler dans l’informatique dans le privé…
Je dois sans cesse ramener des documents chez moi pour les lires ou y travailler (ce qui est de plus en plus courant pour beaucoup de monde) et à l’inverse avoir accès sur mon lieu de travail à un certains nombres de documents perso, comment je fais sans clé USB (perso il va sans dire car ce n’est pas celui pour qui je bosse qui va me la fournir) ?
De même, un certains nombres de taches nécessites de rechercher des informations en lignes, comment on fait sans les accès internet ?
Surtout sachant que les RH accèdent régulièrement Facebook pour leur pêche aux infos, tout bloquer parait un peu abusé.
De plus en plus de boites ont des postes en open space, comment on fait quand on a besoin de me concentrer et que ça discute autour de soi si on ne peut pas utiliser de MP3 ?
Dans ces open spaces, les 3⁄4 des personnes sont des sous traitants indeps ou de SSII, comment ils font pour accéder à leurs informations ou mails situés sur les sites de leur propres boites ? Ils bossent chez eux le soir ?
On peut faire de la sécurité sans pour cela tout cloisonner au point que ça en devienne bloquant pour travailler correctement et efficacement mais c’est sur que c’est un peu plus compliquer à imaginer que ces règles en partie bidons.
L’ANSSI….
Une question de caractère
Il y a une méthode très simple pour retenir les mots de passe de tout les service en n’en ayant un différent pour chaque. Il suffit de générer chaque mot de passe avec un algorithme facile à retenir et à appliquer en utilisant comme base par exemple le nom du service ou tout autre chaîne de caractère s’y rapportant. Ainsi il est très facile de générer plein de mots de passe très complexes et facile à retenir .
Je n’ai pas trouvé le chapitre sur le pare-feu Office
" />
Ayant travaillé dans le support utilisateurs de base il y a quelques années, je peux vous dire que mémoriser ne serait-ce qu’un mot de passe de 8 caractères (à changer tous les 45⁄60 jours) est de trop.
Exemple : Toto@2012 était déjà compliqué pour ma population d’utilisateurs.
Comme on dit dans le métier pour les users : “deux boutons, un de trop”
Sortie de là il est possible de sectoriser ses mots de passe :
-Même mot de passe pour les sites de ventes
-Même mot de passe pour les sites “douteux”
-Même mot de passe pour les forums/news
-Même mot de passe pour toutes les applis relatives au boulot.
Cela me semble un bon compromis entre Risque et prise de tête.
Plus les règles seront contraignantes et moins les utilisateurs lambda s’y plieront !
Le coup du post-it : indémodable !
" /> 
" />
Les développeurs qui se font emmerder par le CORSIC (correspondant informatique) je connais !
Une politique SSI qui réduit les PC à des minitels où même un pauvre switch KVM est interdit, d’où l’empilement des écrans sur les bureaux je connais aussi !
Et surtout des SSI incapables de comprendre et d’interpréter la politique de sécurité dictée en haut-lieu, ils prônent et imposent des contraintes inutiles … ça craint
JM