L’ANSSI publie son guide d’hygiène informatique pour les entreprises

Apparu en ébauche en octobre dernier, le guide d’hygiène informatique de l’ANSSI (Agence nationale de la sécurité des systèmes d'information) est désormais publié dans sa version finale. Au total, ce ne sont pas moins de quarante points de contrôle qui représentent un « socle minimal » de règles de sécurité pour les entreprises. Le guide ne se veut donc pas exhaustif, mais il représente une bonne base de travail.

Les actualités concernant le monde de la sécurité sont nombreuses. Il s’agit le plus souvent de malwares et d’attaques menées par des tiers. Depuis deux ans environ, ces attaques ont basculé vers un modèle particulièrement poussé, les gouvernements investissant dans une nouvelle forme d’espionnage. De fait, la publication par l’ANSSI d’un guide d’hygiène informatique à destination des entreprises est particulièrement importante.

Le guide se décompose en quarante points de contrôles dont certains paraitront nécessairement triviaux. Ils sont regroupés en différents chapitres, et nous vous en proposons d’ailleurs un résumé dans la suite de cet article. Tous ont trait à la sécurité des données qui est aussi vitale pour les données internes des entreprises que celles qui proviennent des clients et dont l’entreprise a mathématiquement la charge.

L’ANSSI souligne que si le guide ne se veut pas exhaustif, il constitue un socle sur lequel toute entreprise devrait contrôler pour s’y conformer. Il s’agit d’une base de travail conçue pour affronter deux types de situation essentiellement : les problèmes de sécurité issus de l’erreur humaine, et ceux provenant directement de l’extérieur (attaques), les deux pouvant d’ailleurs être liés.

La connaissance du parc informatique

Les premières règles concernent avant tout la connaissance de l’environnement informatique de l’entreprise. Cela concerne aussi bien le matériel et les données associées (telles que les adresses MAC) que la configuration logicielle : système d’exploitation, suite bureautique, visionneuses diverses, navigateurs et ainsi de suite.

L’entreprise se doit de posséder une liste complète des comptes utilisateur disposant de privilèges. Les protocoles de gestion des arrivées et départs des employés doivent être documentés, de même que la gestion des accès aux locaux et celle, très importante, des équipements mobiles et documents sensibles. Le tout vise à produire une carte générale du système d’informations.

Limiter les accès

L’ANSSI recommande un point particulièrement sensible dans les réseaux d’entreprise : ne limiter la connexion Internet qu’aux postes où elle est réellement nécessaire. Dans la même veine, l’entreprise prendra soin de désactiver toute possibilité de connecter des équipements personnels tels que les lecteurs MP3. L’objectif est de limiter toute ingérence des vies personnelles des employés dans le fonctionnement de l’entreprise.

De la bonne gestion des mises à jour

L’entreprise devra impérativement effectuer un relevé complet de tous les logiciels impliqués dans son fonctionnement. Le responsable devra connaître les modalités de mise à jour de chacun de ces composants et surveiller l’actualité sur la sécurité, soit via les sites des éditeurs, soit en passant par des structures spécialisées telles que les CERT.

Un rythme d’application des mises à jour devra être défini et suivi scrupuleusement. Lorsque c’est possible, il sera d’ailleurs préférable d’utiliser un outil dédié, tel que WSUS en environnement Windows. À ce sujet, on comprend mieux d’ailleurs les avis positifs qui ont suivi l’annonce par Adobe du suivi des Patch Tuesdays de Microsoft pour les mises à jour de Flash. L’ANSSI recommande enfin d’isoler les éléments obsolètes et de procéder à leur mise à jour manuellement.

Identification : le pavé

La gestion de l‘identité des employés est clairement un tronçon important du guide de l’ANSSI. Premièrement, il est crucial que toute personne ayant accès au réseau doive s’authentifier : aucun accès anonyme ne doit être autorisé. D’autre part, des règles strictes de définition des mots de passe doivent être créées et les utilisateurs doivent y être sensibilisés. Ces règles doivent être appliquées via des mécanismes techniques ne laissant aucun choix, tel que le blocage automatique du compte si l’utilisateur rate la fenêtre de mise à jour du mot de passe.

D’autre part, aucune conservation des mots de passe ne doit avoir lieu en clair dans un fichier informatique quelconque. L’enregistrement automatique, en vue de ne plus avoir besoin de réécrire le mot de passe, doit quant à lui être désactivé. Les identifiants fournis par défaut avec les équipements tels que les routeurs doivent être impérativement changés. Enfin, si c’est possible, l’ANSSI recommande chaudement d’utiliser une authentification forte, par exemple via un système de cartes à puce.

La sécurité ne concerne plus seulement les serveurs

L’ANSSI insiste sur la notion d’homogénéité de la sécurité du parc informatique. Il y a longtemps que les serveurs ne sont plus les seules machines visées. Les postes clients sont d’excellents vecteurs d’attaques. C’est d’ailleurs grâce à ces postes que Duqu avait pu pénétrer les défenses du laboratoire nucléaire iranien où il avait fini par être repéré. Des règles de base s’imposent donc : désactivation des services inutiles (réduction de la surface d’attaque), restriction des privilèges pour les comptes utilisateur simples, mise en place d’un pare-feu bloquant au moins les connexions entrantes, verrouillage de l’accès au BIOS, désactivation du Wake On Lan, etc.

Exit les supports amovibles 

Les supports amovibles, tels que les clés USB et les CD/DVD, doivent impérativement être bloqués. L’ANSSI est consciente du fait que cette mesure peut paraître fortement rétrograde par les employés, mais la sécurité reste plus importante que ces considérations. Si les clés USB doivent être autorisées, l’autorun devra en être désactivé. Idem pour les CD/DVD.

La sécurité des terminaux

Idéalement, un parc informatique devrait être équipé d’une solution permettant à la fois le déploiement des politiques de sécurité et celui des mises à jour. Plus les équipements pris en charge seront nombreux, mieux ce sera. Cela inclut notamment les terminaux nomades, qui devront être concernés par les mêmes règles de sécurité que les autres, voire davantage, comme le chiffrement intégral des données. Ce chiffrement des données reste dans tous les cas valable partout, en particulier pour les médias qui peuvent être perdus. Sur les postes fixes, il a également son intérêt.

Cloisonner l’infrastructure de sécurité

Dans le cas où des postes ou serveurs contiennent des données particulièrement sensibles, il est utile de créer un sous-réseau obéissant à des règles plus strictes et protégé du reste par une passerelle. Dans le même esprit, si un réseau Wi-Fi doit être déployé, il doit être isolé dans un sous-réseau spécifique. Plus globalement, l’entreprise devrait toujours privilégier les applications et les protocoles sécurisés.

Enfin, la sécurité générale devrait être auditée régulièrement, en particulier les annuaires centraux (Active Directory, LDAP).

« Sed quis custodiet ipsos custodes ? »

L’idée de garder les gardiens n’a pas échappé à l’ANSSI. Ainsi, l’administration du réseau doit être elle-même protégée, car la prise de contrôle d’une machine ou d’un compte administrateur peut faire tomber toute la sécurité d’une infrastructure. Première conséquence : tout compte administrateur doit être coupé d’Internet. Deuxièmement, le réseau d’administration des équipements devrait être séparé du reste. Conséquence logique : aucun utilisateur classique ne doit recevoir le moindre privilège, et ce, sans la moindre exception.

Ceux qui veulent connaître le document en détail pourront le lire depuis le site officiel de l’ANSSI. Notez cependant qu’il est connecté à une autre publication. Il s’agit d’un référentiel métier sur les compétences de l’architecte référent en sécurité des systèmes d’information. Plus précis que le premier, il concerne avant tout les responsables travaillant sur les infrastructures de sécurité.