Revue du nouveau guide d’hygiène informatique de l’ANSSI (1/3)

3 Mar 2017
David Berthonneau, Ingénieur SSI
1314
0

Avant-propos

Le nouveau guide de l’hygiène informatique de l’ANSSI est depuis janvier disponible sur le site officiel avec 42 règles (contre précédemment 40). Quatre ans passés la dernière mouture, et après avoir mis quelque peu de côté la sécurité des PME/ETI au profit des organismes d’importance vitale dans un contexte d’état d’urgence, l’agence a mis à jour son référentiel, qui est rappelé aux entreprises de suivre pour éviter les cas les plus basiques d’incidents de sécurité. L’organisme d’État le rappelle d’ailleurs lui-même : « Il est né du constat que si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence aurait pu être évitée. ».

Le ton est donné et les lecteurs, avertis…

Sommaire

I – Sensibiliser et former
II – Connaître le système d’information
III – Authentifier et contrôler les accès
IV – Sécuriser les postes
V – Sécuriser le réseau
VI – Sécuriser l’administration
VII – Gérer le nomadisme
VIII – Maintenir le système d’information à jour
IX – Superviser, auditer, réagir
X – Pour aller plus loin

Les 13 anciens chapitres sont réduits à 10, mais les grandes lignes restent : sécurisation des machines, authentification, administration. Et pour cause: les principaux enjeux de sécurité n’ont pas changé; ils ont plutôt « évolué ».

I – Sensibiliser et former … Tout le monde

Illustration : Sensibiliser et former à la cybersécurité

Précédemment reléguées en fin de guide, la sensibilisation et la formation des utilisateurs sont mises en avant en se plaçant en tête des actions à mener. Et comme pour insister sur ces aspects, cette version apporte non pas une règle (cf. version 2013 du guide), mais 3 :

#1 : Former les équipes opérationnelles à la sécurité des systèmes d’information

Les premiers concernés sont les utilisateurs privilégiés du système d’information (administrateurs, chefs de projets, RSSI) qui ont de facto une responsabilité accrue dans le maintien en conditions de sécurité de leur système d’information. C’est pourquoi est privilégié un ensemble de formations techniques et organisationnelles à destination de ce personnel en particulier.

#2 : Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique

Cette règle reprend et améliore sa grande sœur de l’ancien référentiel (règle 39) en y ajoutant des détails aux obligations de sensibilisation et formation des employés. A l’instar de l’ancienne version du référentiel, on y parle de sensibilité des informations mais sans la définir clairement.

Vient ensuite le niveau renforcé qui « envisage » l’élaboration d’une charte informatique rappelant la bonne conduite à adopter sur le système d’information qui engage cette fois la responsabilité des utilisateurs, car signée par chacun d’entre eux.

#3 : Maîtriser les risques de l’infogérance

La sous-traitance des activités d’administration des systèmes d’information devient de plus en plus répandue, et c’est dans le cadre de cette tendance que l’ANSSI souhaite sensibiliser les directions aux risques liés à l’infogérance. Il s’agit là de mettre en place plus un arsenal contractuel encadrant les prestations que de réelles contraintes techniques envers les prestataires.

II – Connaître le système d’information – Nosce te ipsum

Illustration : connaître le système d'information

#4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau

Si la cartographie du réseau était déjà une priorité dans l’ancien guide, il apparaît dans cette version un aspect qui aurait été intéressant de développer : l’identification des actifs (matériels et immatériels) les plus sensibles, à savoir les données et machines les plus critiques pour le maintien de l’activité. Cette étape est notamment fondamentale pour l’élaboration d’une analyse de risques, incontournable lorsqu’on souhaite avoir une vision globale des menaces et risques de sécurité pesant sur son activité.

#5 : Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour.

Peu ou pas de changement par rapport à son équivalent n°2 dans l’ancienne version. La mention portant sur le guide audit Active Directory est cette fois-ci absente, mais toujours utile dans le cas d’utilisation d’un annuaire Windows.

#6 : Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs.

Là aussi, très peu de modifications par rapport à l’ancienne règle #3. Précisons que la règle s’applique aussi aux utilisateurs externes (prestataires, fournisseurs, sous-traitants, clients…).

Au niveau renforcé,  la gestion des comptes et habilitations doit être formalisée : la DSI n’est pas forcément garante de tous les aspects relatifs à l’entrée/sortie du personnel. Les ressources humaines, services généraux ou encore direction financière sont impliqués de près ou de loin dans ces processus. Aussi, si personne ne dispose d’un référentiel d’actions à mener cohérent et synchronisé entre toutes ces directions, ces procédures ne seront jamais exhaustivement appliquées.

#7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés

A demi-mot, l’ANSSI déconseille la connexion des équipements personnels au SI (BYOD – Bring your own device) alors qu’aujourd’hui, il est bien difficile d’interdire aux utilisateurs d’utiliser leur smartphone dans un contexte professionnel. C’est pourquoi il est préconisé de mettre à disposition des solutions répondant à ces besoins, et d’inciter à les utiliser de manière la plus pédagogique.

Au niveau renforcé, un contrôle supplémentaire est suggéré, à l’instar de l’authentification 802.1x, RADIUS ou encore par adresse MAC.

III- Authentifier et contrôler les accès – Multipass

Illustration : Authentifier et contrôler les accès

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur

L’ancienne règle #8 évolue et met en avant la traçabilité des accès, dans le but d’identifier nominativement chaque personne utilisant n’importe quel compte utilisateur. La notion de ségrégation entre les comptes utilisateurs et administrateurs est aussi développée pour insister sur les principes de séparation des besoins impliquant une séparation des environnements.

#9 : Attribuer les bons droits sur  les ressources sensibles du  système d’information

L’attribution, modification et la révocation des droits font partie des tâches d’administration classiques dans une entreprise. La sécurisation des accès aux données s’articule d’ailleurs souvent autour des contrôles systèmes, parfois au détriment de la sécurisation du réseau. Pourtant, il convient de rappeler les bonnes pratiques relatives à la gestion fine des accès, surtout quand ceux-ci permettent d’accéder aux ressources stratégiques de l’entreprise (données RH, d’administration, commerciales, etc.).

#10 : Définir et vérifier les règles de choix et de dimensionnement des mots de passe

Au fil des années, le top 10 des mots de passe les plus utilisés n’évolue guère, au grand regret des spécialistes sécurité. La mauvaise utilisation des mots de passe en entreprise constitue l’un des plus grands défis de sensibilisation. Prêt à d’autres utilisateurs, réutilisation, absence de renouvellement ou de complexité sont autant de pratiques à bannir, au travail comme à la maison. Les attaquants profitent souvent de la présence d’un mot de passe facilement devinable (par déduction ou bruteforce) pour initier leur intrusion sur le système d’information ciblé. Un équilibre entre la sensibilisation des utilisateurs et la mise en place de restrictions techniques est souvent dur à trouver, pour des utilisateurs qui minimisent trop fréquemment les impacts qu’entrainerait la divulgation de leurs informations secrètes.

#11 : Protéger les mots de passe stockés sur les systèmes

Les mots de passe consciencieusement définis, encore faut-il les conserver de manière sécurisée. Alors que l’ancienne règle 11 se limitait à « Ne pas conserver les mots de passe en clair dans les fichiers sur les systèmes informatiques », la nouvelle règle identifie d’autres comportements à risques (post-it, mails, …) et porte l’attention sur le recours à des solutions dédiées de conservation des mots de passe (coffre-fort numérique – Keepass, Teampass, etc.) ou de chiffrement de ces derniers (à l’instar des autres données jugées « sensibles »).

On notera l’absence de note relative à l’utilisation de produits qualifiés par l’ANSSI, autrefois présente.

#12 : Changer les éléments d’authentification par défaut sur les équipements et services

L’implémentation de nouvelles solutions matérielles et logicielles sur le système d’information ne s’accompagne que trop rarement du changement de la configuration par défaut. Comptes, mots de passe ou encore certificats, le paramétrage usine est bien souvent laissé inchangé, soit pour des facilités de support, soit pour s’assurer de sa non-régression. Cette habitude, les attaquants savent l’exploiter en listant l’ensemble des produits disposant de ces paramètres par défaut. L’effort est bien moindre que de multiplier les tentatives infructueuses d’accès avec un outil automatique. Cette mesure de sécurité peut s’avérer coûteuse en terme de temps mais doit être exhaustive : un seul maillon faible peut conduire à la compromission de tout le système. Ensuite, il convient de s’assurer que ces paramètres suivent la même politique de durcissement que les mots de passe utilisateurs (complexité, renouvellement, droits).

#13 : Privilégier lorsque c’est possible une authentification forte

Exit le recours particulier à la carte à puce pour l’authentification forte ; cette fois-ci, l’ANSSI encourage toute forme de moyens mis à disposition (code OTP, biométrie, certificat, jeton, etc.) pour authentifier les utilisateurs et ce, quelle que soit la finalité : accès locaux ou distants, messagerie ou poste de travail.  Il est vrai que l’implémentation d’une infrastructure de gestion de clés à l’échelle d’une PME pouvait sembler surdimensionnée non seulement par rapport aux besoins de l’entreprise, mais aussi par rapport à ses ressources humaines et financières.

Conclusion

Cette première partie clôt les trois premiers chapitres du guide. Les grandes lignes de l’ancienne version du référentiel sont conservées sur le fond ; sur la forme, l’ANSSI a volontairement nuancé ou étendu le périmètre pour inclure le maximum de pratiques encourageant la sécurisation du système d’information. Et c’est bien là le but du document : établir une feuille de route et des conseils, techniques et organisationnels,  pour améliorer le niveau de sécurité de l’ensemble du système d’information : ressources humaines, matérielles et logicielles.

Sources

Guide d’hygiène informatique