Beruflich Dokumente
Kultur Dokumente
AVANT-PROPOS
Paru en janvier 2013 dans sa premire version, le Guide dhygine informatique dit par lANSSI sadresse aux entits publiques ou prives dotes
dune direction des systmes dinformation (DSI) ou de professionnels dont la
mission est de veiller leur scurit. Il est n du constat que si les mesures qui
y sont dictes avaient t appliques par les entits concernes, la majeure
partie des attaques informatiques ayant requis une intervention de lagence
aurait pu tre vite.
Cette nouvelle version a fait lobjet dune mise jour portant la fois sur les
technologies et pratiques nouvelles ou croissantes avec lesquelles il sagit
de composer en matire de scurit (nomadisme, sparation des usages, etc.)
mais aussi sur la mise disposition doutils (indicateurs de niveau standard ou
renforc) pour clairer le lecteur dans lapprciation des mesures nonces.
Si lobjet de ce guide nest pas la scurit de linformation en tant que telle,
appliquer les mesures proposes maximise la scurit du systme dinformation, berceau des donnes de votre entit.
La scurit nest plus une option. ce titre, les enjeux de scurit numrique
doivent se rapprocher des proccupations conomiques, stratgiques ou
encore dimage qui sont celles des dcideurs. En contextualisant le besoin,
en rappelant lobjectif poursuivi et en y rpondant par la mesure concrte
correspondante, ce guide dhygine informatique est une feuille de route
qui pouse les intrts de toute entit consciente de la valeur de ses donnes.
SOMMAIRE
Avant-propos
Mode demploi du guide
Outil de suivi
Bibliographie
I
SENSIBILISER ET FORMER
sensibiliser et former
/ standard
Cette liste doit tre prcise selon le mtier des collaborateurs en considrant
des aspects tels que lintgration de la scurit pour les chefs de projet, le
dveloppement scuris pour les dveloppeurs, les rfrentiels de scurit
pour les RSSI, etc.
Il est par ailleurs ncessaire de faire mention de clauses spcifiques dans les
contrats de prestation pour garantir une formation rgulire la scurit des
systmes dinformation du personnel externe et notamment les infogrants.
5
sensibiliser et former
/ standard
sensibiliser et former
/ standard
ANSSI, Guide de lexternalisation Matriser les risques de linfogrance, guide, dcembre 2010
II
CONNATRE LE SYSTME DINFORMATION
II
/Standard
Chaque entit possde des donnes sensibles. Ces dernires peuvent porter
sur son activit propre (proprit intellectuelle, savoir-faire, etc.) ou sur ses
clients, administrs ou usagers (donnes personnelles, contrats, etc.). Afin
de pouvoir les protger efficacement, il est indispensable de les identifier.
II
/Standard
Les comptes bnficiant de droits spcifiques sont des cibles privilgies par
les attaquants qui souhaitent obtenir un accs le plus large possible au systme
dinformation. Ils doivent donc faire lobjet dune attention toute particulire.
Il sagit pour cela deffectuer un inventaire de ces comptes, de le mettre jour
rgulirement et dy renseigner les informations suivantes :
>> les utilisateurs ayant un compte administrateur ou des droits suprieurs
ceux dun utilisateur standard sur le systme dinformation ;
>> les utilisateurs disposant de suffisamment de droits pour accder aux
rpertoires de travail des responsables ou de lensemble des utilisateurs ;
>> les utilisateurs utilisant un poste non administr par le service informatique et qui ne fait pas lobjet de mesures de scurit dictes par la
politique de scurit gnrale de lentit.
Il est fortement recommand de procder une revue priodique de ces
comptes afin de sassurer que les accs aux lments sensibles (notamment
les rpertoires de travail et la messagerie lectronique des responsables) soient
maitriss. Ces revues permettront galement de supprimer les accs devenus
obsoltes suite au dpart dun utilisateur par exemple.
Enfin, il est souhaitable de dfinir et dutiliser une nomenclature simple et
claire pour identifier les comptes de services et les comptes dadministration.
Cela facilitera notamment leur revue et la dtection dintrusion.
10
II
Les effectifs dune entit, quelle soit publique ou prive, voluent sans cesse :
arrives, dparts, mobilit interne. Il est par consquent ncessaire que les
droits et les accs au systme dinformation soient mis jour en fonction de
ces volutions. Il est notamment essentiel que lensemble des droits affects
une personne soient rvoqus lors de son dpart ou en cas de changement
de fonction. Les procdures darrive et de dpart doivent donc tre dfinies,
en lien avec la fonction ressources humaines. Elles doivent au minimum
prendre en compte :
>> la cration et la suppression des comptes informatiques et botes aux
lettres associes ;
>> les droits et accs attribuer et retirer une personne dont la fonction
change ;
>> la gestion des accs physiques aux locaux (attribution, restitution des
badges et des cls, etc.) ;
>> laffectation des quipements mobiles (ordinateur portable, cl USB,
disque dur, ordiphone, etc.) ;
>> la gestion des documents et informations sensibles (transfert de mots
de passe, changement des mots de passe ou des codes sur les systmes
existants).
/Standard
/Renforc
11
II
Autoriser la connexion au
rseau de lentit aux seuls
quipements matriss
/Standard
Ces amnagements peuvent tre complts par des mesures techniques telles
que lauthentification des postes sur le rseau (par exemple laide du standard
802.1X ou dun quivalent).
12
III
AUTHENTIFIER ET CONTRLER LES ACCS
13
III
Identifier nommment
chaque personne accdant au
systme et distinguer les rles
utilisateur/administrateur
/Standard
Lutilisation de comptes gnriques (ex : admin, user) doit tre marginale et ceuxci doivent pouvoir tre rattachs un nombre limit de personnes physiques.
Bien entendu, cette rgle ninterdit pas le maintien de comptes de service,
rattachs un processus informatique (ex : apache, mysqld).
Dans tous les cas, les comptes gnriques et de service doivent tre grs selon
une politique au moins aussi stricte que celle des comptes nominatifs. Par
ailleurs, un compte dadministration nominatif, distinct du compte utilisateur, doit tre attribu chaque administrateur. Les identifiants et secrets
dauthentification doivent tre diffrents (ex : pmartin comme identifiant
utilisateur, adm-pmartin comme identifiant administrateur). Ce compte dadministration, disposant de plus de privilges, doit tre ddi exclusivement aux
actions dadministration. De plus, il doit tre utilis sur des environnements
ddis ladministration afin de ne pas laisser de traces de connexion ni de
condensat de mot de passe sur un environnement plus expos.
/Renforc
Ds que possible la journalisation lie aux comptes (ex : relev des connexions
russies/choues) doit tre active.
14
III
Certaines des ressources du systme peuvent constituer une source dinformation prcieuse aux yeux dun attaquant (rpertoires contenant des donnes sensibles, bases de donnes, botes aux lettres lectroniques, etc.). Il est
donc primordial dtablir une liste prcise de ces ressources et pour chacune
dentre elles :
>> de dfinir quelle population peut y avoir accs ;
>> de contrler strictement son accs, en sassurant que les utilisateurs sont
authentifis et font partie de la population cible ;
>> dviter sa dispersion et sa duplication des endroits non matriss ou
soumis un contrle daccs moins strict.
Par exemple, les rpertoires des administrateurs regroupant de nombreuses
informations sensibles doivent faire lobjet dun contrle daccs prcis. Il en
va de mme pour les informations sensibles prsentes sur des partages rseau :
exports de fichiers de configuration, documentation technique du systme
dinformation, bases de donnes mtier, etc. Une revue rgulire des droits
daccs doit par ailleurs tre ralise afin didentifier les accs non autoriss.
/Standard
15
III
10
/Standard
ANSSI, Recommandations de scurit relatives aux mots de passe, note technique, juin 2012
16
11
III
/Standard
Or, les mots de passe sont une cible privilgie par les attaquants dsireux
daccder au systme, que cela fasse suite un vol ou un ventuel partage du
support de stockage. Cest pourquoi ils doivent imprativement tre protgs au
moyen de solutions scurises au premier rang desquelles figurent lutilisation
dun coffre-fort numrique et le recours des mcanismes de chiffrement.
Bien entendu, le choix dun mot de passe pour ce coffre-fort numrique doit
respecter les rgles nonces prcdemment et tre mmoris par lutilisateur,
qui na plus que celui-ci retenir.
17
III
12
/Standard
Il est impratif de partir du principe que les configurations par dfaut des
systmes dinformation sont systmatiquement connues des attaquants,
quand bien mme celles-ci ne le sont pas du grand public. Ces configurations
se rvlent (trop) souvent triviales (mot de passe identique lidentifiant,
mal dimensionn ou commun lensemble des quipements et services par
exemple) et sont, la plupart du temps, faciles obtenir pour des attaquants
capables de se faire passer pour un utilisateur lgitime.
Les lments dauthentification par dfaut des composants du systme doivent
donc tre modifis ds leur installation et, sagissant de mots de passe, tre
conformes aux recommandations prcdentes en matire de choix, de dimensionnement et de stockage.
Si le changement dun identifiant par dfaut se rvle impossible pour cause,
par exemple, de mot de passe ou certificat en dur dans un quipement,
ce problme critique doit tre signal au distributeur du produit afin que
cette vulnrabilit soit corrige au plus vite.
/Renforc
18
13
III
Les cartes puces doivent tre privilgies ou, dfaut, les mcanismes de
mots de passe usage unique (ou One Time Password) avec jeton physique.
Les oprations cryptographiques mises en place dans ces deux facteurs offrent
gnralement de bonnes garanties de scurit.
/Standard
Les cartes puce peuvent tre plus complexes mettre en place car ncessitant
une infrastructure de gestion des cls adapte. Elles prsentent cependant
lavantage dtre rutilisables plusieurs fins : chiffrement, authentification
de messagerie, authentification sur le poste de travail, etc.
19
IV
SCURISER LES POSTES
20
14
IV
/Standard
21
IV
15
/Standard
Les supports amovibles peuvent tre utiliss afin de propager des virus, voler
des informations sensibles et stratgiques ou encore compromettre le rseau
de lentit. De tels agissements peuvent avoir des consquences dsastreuses
pour lactivit de la structure cible.
Sil nest pas question dinterdire totalement lusage de supports amovibles au
sein de lentit, il est nanmoins ncessaire de traiter ces risques en identifiant
des mesures adquates et en sensibilisant les utilisateurs aux risques que ces
supports peuvent vhiculer.
Il convient notamment de proscrire le branchement de cls USB inconnues
(ramasses dans un lieu public par exemple) et de limiter au maximum celui
de cls non matrises (dont on connait la provenance mais pas lintgrit)
sur le systme dinformation moins, dans ce dernier cas, de faire inspecter
leur contenu par lantivirus du poste de travail.
/Renforc
Sur les postes utilisateur, il est recommand dutiliser des solutions permettant
dinterdire lexcution de programmes sur les priphriques amovibles (par
exemple Applocker sous Windows ou des options de montage noexec sous Unix).
Lors de la fin de vie des supports amovibles, il sera ncessaire dimplmenter
et de respecter une procdure de mise au rebut stricte pouvant aller jusqu
leur destruction scurise afin de limiter la fuite dinformations sensibles.
ANSSI, Recommandations pour la mise en uvre dune politique de restrictions logicielles sous
Windows, note technique, dcembre 2013
ANSSI, Recommandations de configuration dun systme GNU/Linux, note technique, janvier
2016
22
16
IV
/Standard
23
IV
17
/Standard
Aprs avoir russi prendre le contrle dun poste de travail ( cause, par
exemple, dune vulnrabilit prsente dans le navigateur Internet), un attaquant cherchera souvent tendre son intrusion aux autres postes de travail
pour, in fine, accder aux documents des utilisateurs.
Afin de rendre plus difficile ce dplacement latral de lattaquant, il est ncessaire dactiver le pare-feu local des postes de travail au moyen de logiciels
intgrs (pare-feu local Windows) ou spcialiss.
Les flux de poste poste sont en effet trs rares dans un rseau bureautique
classique : les fichiers sont stocks dans des serveurs de fichiers, les applications
accessibles sur des serveurs mtier, etc.
/Renforc
18
IV
/Standard
Internet est un rseau sur lequel il est quasi impossible dobtenir des garanties
sur le trajet que vont emprunter les donnes que lon y envoie. Il est donc tout
fait possible quun attaquant se trouve sur le trajet de donnes transitant
entre deux correspondants.
25
V
SCURISER LE RSEAU
26
19
SCURISER LE RSEAU
/Standard
Pour les rseaux dont le cloisonnement a posteriori ne serait pas ais, il est
recommand dintgrer cette dmarche dans toute nouvelle extension du
rseau ou loccasion dun renouvellement dquipements.
ANSSI, Recommandations pour la dfinition dune politique de filtrage rseau dun pare-feu,
note technique, mars 2013
27
SCURISER LE RSEAU
20
/Standard
ANSSI, Recommandations de scurit relatives aux rseaux Wi-Fi, note technique, septembre
2013
28
21
SCURISER LE RSEAU
/Standard
Bien quil soit difficile den dresser une liste exhaustive, les protocoles les plus
courants reposent sur lutilisation de TLS et sont souvent identifiables par
lajout de la lettre s (pour secure en anglais) lacronyme du protocole.
Citons par exemple https pour la navigation Web ou IMAPS, SMTPS ou
POP3S pour la messagerie.
ANSSI, Recommandations pour un usage scuris d[OPEN] SSH, note technique, aot 2016
29
SCURISER LE RSEAU
22
/Standard
30
23
SCURISER LE RSEAU
Une entit peut choisir dhberger en interne des services visibles sur Internet
(site web, serveur de messagerie, etc.). Au regard de lvolution et du perfectionnement des cyberattaques sur Internet, il est essentiel de garantir un
haut niveau de protection de ce service avec des administrateurs comptents,
forms de manire continue ( ltat de lart des technologies en la matire)
et disponibles. Dans le cas contraire, le recours un hbergement externalis
auprs de professionnels est privilgier.
De plus, les infrastructures dhbergement Internet doivent tre physiquement
cloisonnes de toutes les infrastructures du systme dinformation qui nont
pas vocation tre visibles depuis Internet.
Enfin, il convient de mettre en place une infrastructure dinterconnexion de
ces services avec Internet permettant de filtrer les flux lis ces services de
manire distincte des autres flux de lentit. Il sagit galement dimposer le
passage des flux entrants par un serveur mandataire inverse (reverse proxy)
embarquant diffrents mcanismes de scurit.
/Standard
31
SCURISER LE RSEAU
24
Protger sa messagerie
professionnelle
/Standard
32
SCURISER LE RSEAU
/Renforc
Il est souhaitable de ne pas exposer directement les serveurs de bote aux lettres
sur Internet. Dans ce cas, un serveur relai ddi lenvoi et la rception des
messages doit tre mis en place en coupure dInternet.
ANSSI, Bonnes pratiques pour lacquisition et lexploitation de noms de domaine, guide, fvrier
2015
33
SCURISER LE RSEAU
25
/Standard
Pour des besoins oprationnels, une entit peut tre amene tablir une
interconnexion rseau ddie avec un fournisseur ou un client (ex : infogrance, change de donnes informatises, flux montiques, etc.).
Cette interconnexion peut se faire au travers dun lien sur le rseau priv de
lentit ou directement sur Internet. Dans le second cas, il convient dtablir
un tunnel site site, de prfrence IPsec, en respectant les prconisations
de lANSSI.
Le partenaire tant considr par dfaut comme non sr, il est indispensable
deffectuer un filtrage IP laide dun pare-feu au plus prs de lentre des
flux sur le rseau de lentit. La matrice des flux (entrants et sortants) devra
tre rduite au juste besoin oprationnel, maintenue dans le temps et la
configuration des quipements devra y tre conforme.
/Renforc
Pour des entits ayant des besoins de scurit plus exigeants, il conviendra
de sassurer que lquipement de filtrage IP pour les connexions partenaires
est ddi cet usage. Lajout dun quipement de dtection dintrusions peut
galement constituer une bonne pratique.
Par ailleurs la connaissance dun point de contact jour chez le partenaire
est ncessaire pour pouvoir ragir en cas dincident de scurit.
ANSSI, Recommandations de scurit relatives IPsec pour la protection des flux rseau, note
technique, aot 2015
ANSSI, Recommandations pour la dfinition dune politique de filtrage rseau dun pare-feu,
note technique, mars 2013
34
26
SCURISER LE RSEAU
/Standard
Les accs aux salles serveurs et aux locaux techniques doivent tre contrls
laide de serrures ou de mcanismes de contrle daccs par badge. Les
accs non accompagns des prestataires extrieurs aux salles serveurs et aux
locaux techniques sont proscrire, sauf sil est possible de tracer strictement
les accs et de limiter ces derniers en fonction des plages horaires. Une revue
des droits daccs doit tre ralise rgulirement afin didentifier les accs
non autoriss.
35
VI
SCURISER LADMINISTRATION
36
27
SCURISER LADMINISTRATION
VI
/Standard
/Renforc
37
SCURISER LADMINISTRATION
VI
28
/Standard
38
29
SCURISER LADMINISTRATION
VI
/Standard
39
VII
GRER LE NOMADISME
40
30
GRER LE NOMADISME
VII
/Standard
En tout premier lieu, les utilisateurs doivent tre sensibiliss pour augmenter
leur niveau de vigilance lors de leurs dplacements et conserver leurs quipements porte de vue. Nimporte quelle entit, mme de petite taille,
peut tre victime dune attaque informatique. Ds lors, en mobilit, tout
quipement devient une cible potentielle voire privilgie.
Il est recommand que les terminaux nomades soient aussi banaliss que
possible en vitant toute mention explicite de lentit dappartenance (par
lapposition dun autocollant aux couleurs de lentit par exemple).
Pour viter toute indiscrtion lors de dplacements, notamment dans les
transports ou les lieux dattente, un filtre de confidentialit doit tre positionn sur chaque cran.
/Renforc
Enfin, afin de rendre inutilisable le poste seul, lutilisation dun support externe
complmentaire (carte puce ou jeton USB par exemple) pour conserver des
secrets de dchiffrement ou dauthentification peut tre envisage. Dans ce
cas il doit tre conserv part.
41
GRER LE NOMADISME
VII
31
/Standard
42
32
Scuriser la connexion
rseau des postes utiliss en
situation de nomadisme
GRER LE NOMADISME
VII
/Standard
Pour garantir un niveau de scurit optimal, ce tunnel VPN IPsec doit tre
automatiquement tabli et ne pas tre dbrayable par lutilisateur, cest--dire
quaucun flux ne doit pouvoir tre transmis en dehors de ce tunnel.
Pour les besoins spcifiques dauthentification aux portails captifs, lentit peut
choisir de droger la connexion automatique en autorisant une connexion
la demande ou maintenir cette recommandation en encourageant lutilisateur
utiliser un partage de connexion sur un tlphone mobile de confiance.
/Renforc
ANSSI, Recommandations de scurit relatives IPsec pour la protection des flux rseau, note
technique, aot 2015
43
GRER LE NOMADISME
VII
33
/Standard
Entre autres usages potentiellement risqus, celui dun assistant vocal intgr
augmente sensiblement la surface dattaque du terminal et des cas dattaque
ont t dmontrs. Pour ces raisons, il est donc dconseill.
ANSSI, Recommandations de scurit relatives aux ordiphones, note technique, juillet 2015
44
VIII
MAINTENIR LE SYSTME DINFORMATION JOUR
45
VIII
34
/Standard
46
35
Anticiper la fin de la
maintenance des logiciels
et systmes et limiter les
adhrences logicielles
VIII
/Standard
47
IX
SUPERVISER, AUDITER, RAGIR
48
36
IX
/Standard
IX
/Renforc
50
37
IX
/Standard
51
IX
38
/Renforc
La ralisation daudits rguliers (au moins une fois par an) du systme dinformation est essentielle car elle permet dvaluer concrtement lefficacit
des mesures mises en uvre et leur maintien dans le temps. Ces contrles et
audits permettent galement de mesurer les carts pouvant persister entre
la rgle et la pratique.
Ils peuvent tre raliss par dventuelles quipes daudit internes ou par des
socits externes spcialises. Selon le primtre contrler, des audits techniques et/ou organisationnels seront effectus par les professionnels mobiliss.
Ces audits sont dautant plus ncessaires que lentit doit tre conforme des
rglementations et obligations lgales directement lies ses activits.
lissue de ces audits, des actions correctives doivent tre identifies, leur
application planifie et des points de suivi organiss intervalles rguliers.
Pour une plus grande efficacit, des indicateurs sur ltat davancement du
plan daction pourront tre intgrs dans un tableau de bord ladresse de
la direction.
Si les audits de scurit participent la scurit du systme dinformation en
permettant de mettre en vidence dventuelles vulnrabilits, ils ne constituent jamais une preuve de leur absence et ne dispensent donc pas dautres
mesures de contrle.
Les prestataires daudit de la scurit des systmes dinformation (PASSI) qualifis par
lANSSI dlivrent des prestations daudit darchitecture, de configuration, de code source, de
tests dintrusion et daudit organisationnel et physique.
52
39
Dsigner un rfrent en
scurit des systmes
dinformation et le faire
connatre auprs du personnel
IX
/Standard
Ce rfrent devra tre connu de tous les utilisateurs et sera le premier contact
pour toutes les questions relatives la scurit des systmes dinformation :
>> dfinition des rgles appliquer selon le contexte ;
>> vrification de lapplication des rgles ;
>> sensibilisation des utilisateurs et dfinition dun plan de formation des
acteurs informatiques ;
>> centralisation et traitement des incidents de scurit constats ou remonts par les utilisateurs.
Toute entit doit disposer dun rfrent en scurit des systmes dinformation
qui sera soutenu par la direction ou par une instance dcisionnelle spcialise
selon le niveau de maturit de la structure.
53
IX
40
/Standard
54
X
POUR ALLER PLUS LOIN
55
41
/Renforc
56
Dans ce dernier cas, la mthode EBIOS rfrence par lANSSI est recommande. Elle permet dexprimer les besoins de scurit, didentifier les objectifs
de scurit et de dterminer les exigences de scurit.
La mthode danalyse de risques EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) permet dapprcier et de traiter les risques relatifs la scurit des systmes
dinformation (SSI). Elle permet aussi de communiquer leur sujet au sein de lorganisme et
vis--vis de ses partenaires, constituant ainsi un outil complet de gestion des risques SSI.
57
42
/Renforc
58
OUTIL DE SUIVI
I - Sensibiliser et former
1
Standard
Renforc
Standard
Renforc
60
10
11
12
13
15
16
Standard
Renforc
Standard
Renforc
61
17
18
V - Scuriser le rseau
62
19
20
21
22
23
24
25
26
Standard
Renforc
VI - Scuriser ladministration
27
28
29
31
32
33
Standard
Renforc
Standard
Renforc
63
35
64
36
37
38
39
40
Standard
Renforc
Standard
Renforc
42
Standard
Renforc
65
BIBLIOGRAPHIE
Guides et mthodes
ANSSI, Bonnes pratiques pour lacquisition et lexploitation de noms de domaine,
guide, fvrier 2015
www.ssi.gouv.fr/guide-bonnes-pratiques/
ANSSI, Expression des Besoins et Identification des Objectifs de Scurit (EBIOS),
mthode, janvier 2010
www.ssi.gouv.fr/ebios/
ANSSI, Guide de lexternalisation Matriser les risques de linfogrance, guide,
dcembre 2010
www.ssi.gouv.fr/externalisation/
ANSSI, Matriser les risques de linfogrance, guide, dcembre 2010
www.ssi.gouv.fr/infogerance/
ANSSI-CDSE, Passeport de conseils aux voyageurs, bonnes pratiques, janvier 2010
www.ssi.gouv.fr/passeport-de-conseils-aux-voyageurs/
Notes techniques
ANSSI, Guide de dfinition dune architecture de passerelle dinterconnexion
scurise, note technique, dcembre 2011
www.ssi.gouv.fr/passerelle-interconnexion/
ANSSI, Recommandations de scurit relatives aux mots de passe, note technique, juin 2012
www.ssi.gouv.fr/mots-de-passe/
66
Ressources en ligne
Site Web de lANSSI
Catalogue des produits et prestataires de service qualifis
www.ssi.gouv.fr/qualifications/
Twitter
@ANSSI_FR
www.twitter.com/anssi_fr
CERT-FR
www.cert.ssi.gouv.fr
CNIL
www.cnil.fr
Rfrences
Douglas Adams, The Hitchhikers Guide to the Galaxy (ou H2G2), roman de
science-fiction, 1979
68