Sensibiliser et former

 

 

1 – Formez les équipes opérationnelles à la sécurité des systèmes d’information

Les équipes opérationnelles (administrateurs réseau, sécurité et système, chefs de projet, développeurs, RSSI) ont des accès privilégiés au système d’information. Elles peuvent, par inadvertance ou par méconnaissance des conséquences de certaines pratiques, réaliser des opérations génératrices de vulnérabilités.
Les équipes opérationnelles, pour être à l’état de l’art de la sécurité des systèmes d’information, doivent donc suivre – à leur prise de poste puis à intervalles réguliers des formations sur :
  • la législation en vigueur ;
  • les principaux risques et menaces ;
  • le maintien en condition de sécurité ;
  • l’authentification et le contrôle d’accès ;
  • le paramétrage fin et le durcissement des systèmes ;
  • le cloisonnement réseau ;
  • et la journalisation.

10- Sensibilisez les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique

Chaque utilisateur est un maillon à part entière de la chaine des systèmes d’information. A ce titre, dès son arrivée dans l’entreprise, il doit être informé des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information à travers des actions de sensibilisation et de formation.

Ces dernières doivent être régulières, adaptées aux utilisateurs ciblés, et peuvent prendre différentes formes (mails, affichage, réunions, espace intranet dédié, etc).

 

19-

 

Connaître le système d’information

 

 

20-

 

2- Disposez d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour

Les comptes bénéficiant de droits spécifiques sont des cibles privilégiées par les attaquants qui souhaitent obtenir un accès le plus large possible à votre SI. ils doivent donc faire l’objet d’une attention toute particulière. Vous devez donc effectuer un inventaire de ces comptes, le mettre à jour régulièrement et y renseigner les informations suivantes :

  • Les utilisateurs ayant un compte administrateur ou des droits supérieurs à ceux d’un utilisateur standard sur le SI
  • Les utilisateurs disposant de suffisamment de droits pour accéder aux répertoires de travail des responsables ou de l’ensemble des utilisateurs.
  • Les utilisateurs utilisant un poste non administré par votre service informatique et qui ne fait pas l’objet de mesures de sécurité édictées par votre politique de sécurité générale.

 

11- Autorisez la connexion au réseau de l’entreprise aux seuls équipements maîtrisés

Pour garantir la sécurité de votre SI, vous devez maîtriser les équipements qui s’y connectent, chacun constituant un point d’entrée potentiellement vulnérable. Les équipements personnels (ordinateurs portables, tablettes, etc) sont par définition, difficilement maitrisables dans la mesure où ce sont les utilisateurs qui décident de leur niveau de sécurité.

Seule la connexion de terminaux maîtrisés par votre entreprise doit être autorisée sur vos différents réseaux d’accès, qu’ils soient filaires ou sans fil. Déroger à cette règle fragilise le réseau de votre entreprise et sert ainsi les intérêts d’un potentiel attaquant.

 

Authentifier et contrôler les accès

 

 

12- Identifiez nommément chaque personne accédant au système et distinguez les rôles utilisateurs/administrateurs

Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs.

Dans tous les cas, les comptes génériques (ex : admin, user) et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration.

3- Attribuez les bons droits sur les ressources sensibles du SI

Certaines des ressources de votre système peuvent constituer une source d’information précieuse aux yeux d’un attaquant (répertoires contenant des données sensibles, bases de données, boîtes aux lettres électroniques, etc). Il est donc primordial d’établir une liste précise de ces ressources et pour chacune d’entre elles :

  • De définir quelle population peut y avoir accès
  • De contrôler strictement son accès, en s’assurant que les utilisateurs sont authentifiés et font partie de la population ciblée
  • D’éviter sa dispersion et sa duplication à des endroits non maîtrisés ou soumis à un contrôle d’accès moins strict.

21-

 

Sécuriser les postes

 

 

22-

 

13- Activez et configurez le pare-feu local des postes de travail

Après avoir réussi à prendre le contrôle d’un poste de travail (à cause par exemple d’une vulnérabilité présente dans le navigateur internet), un attaquant cherchera souvent à étendre son intrusion aux postes de travail pour, in fine, accéder aux documents des utilisateurs.

Afin d’éviter de telles situations, vous devez activer le pare-feu local des postes de travail au moyen de logiciels intégrés ou spécialisés.

Sécuriser le réseau

 

14- Assurez-vous de la sécurité des réseaux d’accès wifi et de la séparation des usages

L’usage du wifi en milieu professionnel est aujourd’hui démocratisé mais présente toujours des risques de sécurité bien spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de votre entreprise, configuration par défaut des points d’accès peu sécurisée, etc.

La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès wifi doivent donc être filtrés et restreints aux seuls flux nécessaires.

23-

 

5- Protégez votre messagerie professionnelle

La messagerie est le principal vecteur d’infection du poste de travail, qu’il s’agisse de l’ouverture de pièces jointes contenant un code malveillant ou du clic malencontreux sur un lien redirigeant vers un site lui-même malveillant.

Chaque collaborateur doit être sensibilisé à ce sujet : l’expéditeur est-il connu ? Une information de sa part est-elle attendue ? Le lien proposé est-il cohérent avec le sujet évoqué ? En cas de doute, une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc) est nécessaire.

Pour se prémunir d’escroqueries (ex : demande de virement frauduleux émanant vraisemblablement d’un dirigeant), des mesures organisationnelles doivent être appliquées strictement.

 

 

Sécuriser l’administration

 

15- Utilisez un réseau dédié et cloisonné pour l’administration du système d’information

Un réseau d’administration interconnecte, entre autres, les postes ou serveurs d’administration et les interfaces d’administration des équipements. Dans la logique de segmentation du réseau global de votre entreprise, il est indispensable de cloisonner spécifiquement le réseau d’administration, notamment vis-à-vis du réseau bureautique des utilisateurs, pour se prémunir de toute compromission par rebond depuis un poste utilisateur vers une ressource d’administration.

6- Limitez au strict besoin opérationnel les droits d’administration sur les postes de travail

De nombreux utilisateurs sont tentés de demander au service informatique de pouvoir disposer, par analogie avec leur usage personnel, de privilèges plus importants sur leur poste de travail : installation de logiciels, configuration du système, etc. par défaut, il est recommandé qu’un utilisateur du SI, quelle que soit sa position hiérarchique et ses attributions, ne dispose pas de privilèges d’administration sur son poste de travail. Cette mesure vise à limiter les conséquences de l’exécution malencontreuse d’un code malveillant. La mise à disposition d’un magasin étoffé d’applications validées par votre entreprise du point de vue de la sécurité permettra de répondre à la majorité des besoins

Gérer le nomadisme

 

24-

 

16- Adoptez des politiques de sécurité dédiées aux terminaux mobiles

Les smartphones et les tablettes font partie de notre quotidien personnel et/ou professionnel. La première recommandation consiste justement à ne pas mutualiser les usages personnels et professionnels sur un seul et même terminal, par exemple en ne synchronisant pas simultanément comptes professionnels et personnels de messagerie, de réseaux sociaux, d’agendas, etc.

Les terminaux fournis par l’entreprise et utilisés dans un contexte professionnel doivent faire l’objet d’une sécurisation à part entière, dès lors qu’ils se connectent au SI de l’entreprise ou qu’ils contiennent des informations professionnelles potentiellement sensibles (mails, fichiers partagés, contacts, etc).

7- Chiffrez les données sensibles, en particulier sur le matériel potentiellement perdable

Les déplacements fréquents en contexte professionnel et la miniaturisation du matériel informatique conduisent souvent à la perte ou au vol de celui-ci dans l’espace public. Cela peut porter atteinte aux données sensibles de l’entreprise qui y sont stockées.

Il faut donc ne stocker que des données préalablement chiffrées sur l’ensemble des matériels nomades (ordinateurs portables, smartphones, clés USB, disques durs externes, etc) afin de préserver leur confidentialité. Une solution de chiffrement de partition, d’archives ou de fichier peut être envisagée selon les besoins. Là encore, il est essentiel de s’assurer de l’unicité et de la robustesse du secret de déchiffrement utilisé.

Maintenir le système d’information à jour

 

17-

 

8- Anticipez la fin de la maintenance des logiciels et systèmes et limitez les adhérences logicielles

L’utilisation d’un système ou d’un logiciel obsolète augmente significativement les possibilités d’attaque informatique. Les systèmes deviennent vulnérables dès lors que les correctifs ne sont plus proposés. En effet, des outils malveillants exploitant ces vulnérabilités peuvent se diffuser rapidement sur internet alors même que l’éditeur ne propose pas de correctif de sécurité.

Superviser, auditer, réagir

 

18-

 

4- Procédez à des contrôles et audits réguliers puis appliquez les actions correctives associées

La réalisation d’audits réguliers (au moins une fois par an) du SI est essentielle car elle permet d’évaluer concrètement l’efficacité des mesures mises en œuvre et leur maintien dans le temps. Ces contrôles et audits permettent également de mesurer les écarts pouvant persister entre la règle et la pratique.

 

9- Définissez une procédure de gestion des incidents de sécurité

Le constat d’un comportement inhabituel de la part d’un poste de travail ou d’un serveur (connexion impossible, activité importante, activités inhabituelles, services ouverts non autorisés, fichiers créés, modifiés ou supprimés sans autorisation, multiples alertes de l’antivirus, etc) peut alerter sur une éventuelle intrusion.

Une mauvaise réaction en cas d’incident de sécurité peut faire empirer la situation et empêcher de traiter correctement le problème.

© Guide d’hygiène informatique – ANSSI

Hélène Toutchkov

Hélène Toutchkov
Content Manager

Oodrive, le partenaire de confiance pour la gestion de vos données sensibles.

En savoir plus Nous contacter