Table des maTires

-IConnatre le systme dinformation et ses utilisateurs - II Matriser le rseau - III Mettre niveau les logiciels - IV Authentifier lutilisateur -VScuriser les quipements terminaux - VI Scuriser lintrieur du rseau - VII Protger le rseau interne de lInternet - VIII Surveiller les systmes - IX Scuriser ladministration du rseau -XContrler laccs aux locaux et la scurit physique - XI Organiser la raction en cas dincident - XII Sensibiliser - XIII Faire auditer la scurit
9 13 15 17 21 25 29 31 33 35 39 43 45

Guide dhyGine informatique

Guide dhyGine informatique

Prambule
Les formidables dveloppements de linformatique et dInternet ont rvolutionn nos manires de vivre et de travailler. La perte ou le vol de certaines informations ou lindisponibilit de son systme dinformation peuvent avoir de lourdes consquences pour lentreprise : perte de confiance des clients, des partenaires, avantage pris par un concurrent, perte dexploitation suite une interruption de la production. Les communications de lquipe dirigeante sont souvent une cible privilgie. Bien protger les informations confidentielles confies par des clients et des partenaires peut dsormais crer un avantage concurrentiel. Plus encore, protger ses donnes et son rseau informatique est crucial pour la survie de lentreprise et sa comptitivit. Si les erreurs humaines ou la malveillance dun salari peuvent tre lorigine dun incident, les agressions externes sont de plus en plus frquentes : attaque contre le site Internet de lentreprise, programmes informatiques malveillants cachs dans des pices jointes des courriels ou dans des cls USB piges, vol de mots de passe. Il est de la responsabilit des dirigeants de vrifier que les mesures de protection adaptes sont mises en place et oprationnelles. Elles doivent faire lobjet dune politique de scurit crite, comprise et connue de tous et dont lapplication doit tre rgulirement vrifie par lencadrement. Parmi ces mesures, il existe des mesures techniques simples, qualifies dhygine informatique car elles sont la transposition dans le monde numrique de rgles lmentaires de scurit sanitaire. La majeure partie des attaques informatiques sur lesquelles lANSSI est intervenue auraient pu tre vites si les mesures dhygine informatique dcrites dans ce guide avaient t appliques par les entreprises concernes. Sadressant aux personnes en charge de la scurit informatique, que ce soit un responsable de la scurit des systmes dinformation (RSSI) ou toute autre personne qui remplit cette fonction, ce document prsente les 40 rgles dhygine informatique incontournables. Elles ne prtendent pas avoir un caractre dexhaustivit. Elles constituent cependant le socle minimum des rgles respecter pour protger les informations dune entreprise. Ne pas les suivre expose lentreprise des risques dincidents majeurs, susceptibles de mettre sa comptitivit, voire sa prennit, en danger.

Guide dhyGine informatique

 destination des resPonsables informatiques

Vous tes responsable de la scurit des systmes dinformation de votre organisation ou, plus simplement, cest vous que revient la responsabilit du bon fonctionnement de son informatique. Vous le savez, en quelques annes, votre mtier a volu au rythme de larrive des technologies de linformation qui irriguent dsormais toutes les fonctions des entreprises, des administrations, des collectivits territoriales, comme de notre vie quotidienne. De nouveaux usages rendent galement plus complexe la matrise des systmes dont vous avez la charge. Bases de donnes des clients, contrats commerciaux ou brevets, donnes de production, dossiers des usagers, dmarches administratives, informations concernant un march public sont dsormais accessibles en ligne, le plus souvent via Internet travers des postes de travail ou des tlphones mobiles. Les consquences quauraient pour votre organisation la perte ou le vol de certaines informations ou lindisponibilit de son informatique peuvent tre extrmement lourdes. linverse, bien protger les informations confidentielles de lentreprise ou celles confies par des clients, des partenaires ou des fournisseurs gnre la confiance et fluidifie lactivit. Si les erreurs humaines ou la malveillance dun employ peuvent parfois tre lorigine dun incident, les agressions externes, des fins despionnage voire de sabotage, sont aujourdhui extrmement frquentes et discrtes. Toutefois, de nombreuses attaques informatiques, traites par lagence nationale de scurit des systmes dinformation (ANSSI), auraient pu tre vites si des mesures techniques essentielles avaient t appliques par les organisations victimes. Certaines de ces mesures peuvent tre qualifies de rgles lmentaires dhygine informatique . Ne pas les suivre expose inutilement votre organisation des risques dincidents majeurs, susceptibles de mettre son fonctionnement ou sa comptitivit en danger, voire dentraner larrt de son activit. Ce guide sadresse vous. Il vous prsente les 40 rgles dhygine informatique essentielles pour assurer la scurit de votre systme dinformation et le moyen de les mettre en uvre. Non exhaustives, ces rgles reprsentent cependant le socle minimum respecter pour protger les informations de votre organisation. Une fois ces rgles partages et appliques, vous aurez accompli une part importante de votre mission : permettre votre organisation dinteragir avec ses fournisseurs et ses partenaires, de servir ses clients, en respectant lintgrit et la confidentialit des informations qui les concernent.
6 Guide dhyGine informatique

Ce document se concentre sur les systmes de bureautique classiques. Bien quun certain nombre des recommandations dcrites ici sappliquent galement aux systmes industriels, lANSSI a publi un guide spcifique pour assurer la scurit des systmes de ce type1.

Voir sur le site de lanssi : www.ssi.gouv.fr/systemesindustriels.

Guide dhyGine informatique

Guide dhyGine informatique

Connatre le systme dinformation et ses utilisateurs

i - Connatre le sYstme dinformation et ses utilisateurs

La connaissance de son propre systme dinformation est un pralable important sa scurisation. En effet, si le systme dinformation comprend un quipement rgulirement omis des inventaires, cet quipement, qui deviendra rapidement obsolte, sera une cible de choix pour un attaquant.

disposer dune cartographie prcise informatique et la maintenir jour.

rgle 1

de

linstallation

Llaboration dune cartographie du systme dinformation est le premier pas vers une meilleure connaissance du systme dinformation. Elle permettra dlaborer plus facilement des mesures de scurit adaptes au systme, de garantir quaucun quipement nest oubli lors de lapplication dune mesure de scurit et de faciliter la raction en cas dincident. Cette cartographie doit au minimum comprendre les lments suivants : liste des ressources matrielles (avec leur modle) et logicielles (avec leur version) utilises. Il convient bien entendu dtre le plus prcis possible. Pour entamer la dmarche, ltablissement dune liste des machines dployes associes leurs attributaires et leurs paramtres techniques (adresse IP, adresse MAC) dune part, et des logiciels principaux dploys sur ces postes (suite bureautique, visionneuse PDF, navigateur, client de messagerie) avec leurs versions peut tre envisag. Par ailleurs, les postes dadministration doivent faire partie du primtre de la cartographie. Plus le parc est homogne, plus ltablissement et le maintien jour dune telle liste sont aiss ; architecture rseau sur laquelle sont identifis les points nvralgiques (connexions externes1, serveurs hbergeant des donnes ou des fonctions sensibles, etc.).

inventorier en particulier tous les accs internet du systme dinformation et toutes les interconnexions avec des rseaux partenaires (fournisseurs, partenaires commerciaux, etc.). Cet inventaire doit tre exhaustif. il doit comprendre les accs adsl ventuellement mis en place pour les besoins spciques des utilisateurs ainsi que les liaisons spcialises.

Guide dhyGine informatique

Connatre le systme dinformation et ses utilisateurs

Une fois cette cartographie tablie, elle doit tre maintenue jour et enrichie, notamment avec des lments lis aux protocoles mis en uvre (matrices de flux). Cette cartographie ne doit idalement pas tre stocke sur le rseau quelle reprsente, car il sagit de lun des lments que lattaquant va rechercher en premier lieu en cas dintrusion russie.

rgle 2
disposer dun inventaire exhaustif des comptes privilgis et le maintenir jour.
A minima, il est important de disposer de la liste : des utilisateurs qui disposent dun compte administrateur (ou de privilges suprieurs ceux dun utilisateur standard) sur le systme dinformation ; des utilisateurs qui disposent de privilges suffisants pour accder aux rpertoires de travail des dirigeants ou, a fortiori, de lensemble des utilisateurs ; des utilisateurs qui disposent dun poste non administr par le service informatique et donc non gr selon la politique de scurit gnrale de lorganisme.

Cette liste doit bien entendu tre maintenue jour. Par ailleurs, il est souhaitable de disposer de la liste des utilisateurs qui disposent de privilges suffisants pour lire la messagerie des dirigeants de la socit ou a fortiori de lensemble des utilisateurs. Ltablissement de la liste des personnes ayant rellement accs ces informations est cependant parfois extrmement difficile. Si la liste ne peut tre tablie de manire fiable, une journalisation des accs aux botes lettres et une vrification priodique de la liste des personnes ayant consult les botes lettres les plus sensibles devraient tre ralise (voir rgle 26). Sur un systme Windows, la plupart de ces informations peuvent tre obtenues par lanalyse de la configuration de lActive Directory. Le document Audit des permissions en environnement Active Directory2 disponible sur le site de lANSSI
2 Voir sur le site internet de lanssi : http://www.ssi.gouv.fr/active-directory.

10

Guide dhyGine informatique

Connatre le systme dinformation et ses utilisateurs

prcise un ensemble de mthodes permettant den raliser linventaire. Il est de plus trs fortement recommand dutiliser une nomenclature claire pour les noms de comptes (faire systmatiquement prcder les noms de comptes de service par le prfixe SRV, les comptes dadministration du prfixe ADM).

rgle 3
Rdiger et appliquer des procdures darrive et de dpart des utilisateurs (personnel, stagiaires).
Ces procdures sont destines garantir que les droits octroys sur le systme dinformation sont appliqus au plus juste. Notamment, il est important que lensemble des droits affects une personne soient rvoqus lors de son dpart. Les procdures doivent dcrire a minima : la gestion (cration / destruction) des comptes informatiques (et des botes lettres associes) et lattribution des droits associs ces comptes sur le systme dinformation, y compris pour les partenaires et les prestataires externes ; la gestion des accs aux locaux (perception et restitution des cartes daccs aux locaux notamment) ; la gestion des quipements mobiles ; la gestion des documents sensibles (dtention, ventuelles autorisations de sortie) ; la gestion du contrle des habilitations du personnel.

Il est important de bien grer les mutations de personnel, soit en les traitant comme un dpart suivi dune arrive soit en dfinissant une procdure adapte. On observe frquemment une inflation des privilges associs certains comptes utilisateur du fait de mouvements internes qui conduisent louverture de nouveaux droits sans suppression de ceux devenus inutiles.

Guide dhyGine informatique

11

12

Guide dhyGine informatique

matriser le rseau

ii - matriser le rseau
rgle 4
limiter le nombre daccs internet de lentreprise au strict ncessaire.
Il convient de connatre prcisment les points daccs Internet (box ADSL, etc.) et les interconnexions avec des rseaux partenaires et de les limiter au strict ncessaire de manire pouvoir plus facilement centraliser et rendre homogne la surveillance des changes.

rgle 5
Interdire la connexion dquipements personnels au systme dinformation de lorganisme.
La connexion des quipements personnels ne peut tre envisage que sur des rseaux ne contenant strictement aucune information sensible. Les quipements personnels (assistants personnels, tablettes, smartphones, lecteurs MP3, cls USB) sont en effet difficilement matrisables par lorganisme dans la mesure o ce sont les utilisateurs eux-mmes qui dcident du niveau de scurit de leurs quipements. Les mesures de scurit en vigueur au sein dun tablissement ou dune entreprise ne peuvent donc, par essence, pas sappliquer ce type dquipement. Cette rgle est le plus souvent perue comme une contrainte inacceptable voire rtrograde par de trs nombreux utilisateurs. Cependant, y droger facilite grandement le travail dun attaquant en fragilisant le rseau de lentreprise. En effet, sur une centaine dquipements personnels connects au rseau dune entreprise, on estime statistiquement quau minimum dix dentre eux sont compromis par un code malveillant gnrique (sans parler dattaque cible). Il est donc important dinterdire ou dempcher leur connexion au systme dinformation de lentreprise. Cette interdiction est dabord organisationnelle : mme si aucune rgle technique nempche leur connexion, il convient dinciter les utilisateurs ne pas recourir de telles pratiques par exemple au moyen de la charte dutilisation des moyens informatiques. Cette interdiction doit dans la mesure du possible tre complte par des mesures techniques, dont la mise en uvre peut toutefois savrer plus complexe (contrle systmatique daccs au rseau, dsactivation des ports USB).
13

Guide dhyGine informatique

matriser le rseau
Lorsque le travail distance est ncessaire, lorganisme doit fournir des moyens professionnels pour permettre de tels usages. Le transfert de messages des messageries professionnelles vers des messageries personnelles doit tre explicitement interdit.

14

Guide dhyGine informatique

mettre niveau les logiCiels

iii - mettre niVeau les loGiCiels

Chaque jour, des vulnrabilits sont mises en vidence dans de trs nombreux logiciels largement utiliss. Quelques heures sont parfois suffisantes pour que des codes malveillants exploitant ces vulnrabilits commencent circuler sur Internet. Il est donc trs important dutiliser en priorit des technologies prennes, dont le support est assur, dviter les technologies non matrises en interne et de respecter les recommandations du prsent chapitre.

rgle 6
Connatre les modalits de mises jour de lensemble des composants logiciels utiliss et se tenir inform des vulnrabilits de ces composants et des mises jour ncessaires.
Il est primordial de dterminer comment les composants logiciels utiliss par lentreprise peuvent tre mis jour. Si un composant ne peut tre mis jour, il ne doit pas tre utilis (voir la rgle 7 pour la gestion des exceptions en la matire). Par ailleurs, les mises jour (comme les logiciels) ne doivent tre tlcharges que depuis des sites de confiance (le site de leur diteur gnralement). Il est recommand de traiter en priorit les composants de base (systme dexploitation, suite bureautique, navigateur et outils ncessaires la navigation tels que la machine virtuelle Java ou le lecteur Flash, visionneuses de document) puis de complter linventaire avec lensemble des autres composants logiciels et dintgrer ces lments la cartographie. Il est par ailleurs ncessaire dinventorier et de suivre les sources dinformation susceptibles de remonter des vulnrabilits sur les composants identifis et de diffuser des mises jour (site des diteurs des logiciels considrs, sites des CERT).

Guide dhyGine informatique

15

mettre niveau les logiCiels

rgle 7
Dnir une politique de mise jour et lappliquer strictement.
Cette politique devra comprendre : les lments mettre jour ; les responsabilits des diffrents acteurs dans cette mise jour ; les moyens de rcupration et de qualification des mises jour. Elle pourra prendre la forme dun simple tableau comprenant ces lments.

Lorsquil en existe, il convient dutiliser un outil ddi (par exemple WSUS en environnement Microsoft) permettant dappliquer les mises jour de manire homogne sur lensemble du parc. Dune manire gnrale, une qualification des mises jour en termes dimpact sur le fonctionnement du systme doit tre ralise avant application. Il est impratif, en vertu de la rgle 6 ci-dessus, de nexclure aucun composant, et a fortiori aucun poste, de la politique de mise jour. Cependant, il est malheureusement frquent que des services informatiques maintiennent en fonctionnement des systmes obsoltes qui ne sont plus supports par leurs fabricants en raison dune adhrence particulire des applications ce systme. Dans ce cas, il est primordial disoler ces systmes : au niveau du rseau, laide dun filtrage trs strict nautorisant quun accs aux applications ncessaires ; au niveau de lauthentification, en nutilisant aucun mot de passe (systme et logiciel) commun avec le reste du systme dinformation ; au niveau des applications, en sassurant que ces systmes nutilisent pas de ressources partages avec le reste du systme dinformation.

Par ailleurs, les quipements isols (dconnects du rseau) ne doivent pas tre exclus de la politique de mise jour. Pour ces systmes, une mise jour manuelle simpose.

16

Guide dhyGine informatique

autHentifier lutilisateur

iV - autHentifier lutilisateur
Les mots de passe constituent souvent le talon dAchille des systmes dinformation. En effet, si les organismes dfinissent relativement frquemment une politique de mots de passe, il est rare quelle soit effectivement applique de manire homogne sur lensemble du parc informatique.

rgle 8
Identier nommment chaque personne ayant accs au systme.
Cette rgle dont lobjet est de supprimer les comptes et accs gnriques et anonymes est destine faciliter lattribution dune action sur le systme. Cela sera particulirement utile en cas dincident. Bien entendu, cette rgle ninterdit pas de conserver des comptes techniques (dits de service) non attribus une personne physique mais relis un service, un mtier ou une application (par exemple utilisateur apache pour un serveur web). Ces comptes doivent cependant tre grs avec une politique au moins aussi stricte que celle des comptes nominatifs.

rgle 9
Dnir des rgles de choix et de dimensionnement des mots de passe.
On trouvera les bonnes pratiques en matire de choix et de dimensionnement des mots de passe dans le document de lANSSI, Recommandations de scurit relatives aux mots de passe3. Parmi ces rgles, les plus critiques sont de sensibiliser les utilisateurs aux risques lis au choix dun mot de passe qui puisse se deviner trop facilement, et la rutilisation de mots de passe en particulier entre messageries personnelles et professionnelles.
3 Voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-postede-travail-et-des-serveurs/mot-de-passe.html.

Guide dhyGine informatique

17

autHentifier lutilisateur

rgle 10
Mettre en place des moyens techniques permettant de faire respecter les rgles relatives lauthentication.
Les moyens permettant de faire respecter la politique en matire dauthentification et de mots de passe pourront tre : le blocage des comptes tous les 6 mois tant que le mot de passe na pas t chang ; le blocage de toute configuration du poste qui permettrait le dmarrage du poste dans un mode sans mot de passe (autologon) ou depuis un compte invit ; la vrification que les mots de passe choisis ne sont pas faciles retrouver. Certains outils permettent par ailleurs nativement de vrifier au moment du changement de mot de passe que le nouveau mot de passe choisi nest pas trivialement simple retrouver partir de lancien mot de passe. Bien que lobjectif de ce type doutil soit louable (il est souvent facile de deviner le nouveau mot de passe dun utilisateur partir de la connaissance de ses autres mots de passe), il est fortement dconseill de les utiliser sauf lorsquils sont bien matriss car ils peuvent ncessiter de conserver un historique des anciens mots de passe.

rgle 11
Ne pas conserver les mots de passe en clair dans des chiers sur les systmes informatiques.
Par souci de simplicit, les utilisateurs ou les administrateurs crivent frquemment leurs mots de passe en clair dans des fichiers stocks sur leurs postes informatiques ou se les envoient par courriel. Ces pratiques sont proscrire. Les mots de passe ou les lments secrets stocks sur les machines des utilisateurs sont des lments recherchs et exploits en priorit par les attaquants. Il est en outre important de ne pas utiliser de mcanismes automatiques de sauvegarde des mots de passe (bouton toujours se souvenir du mot de passe dun navigateur par exemple). Si le nombre de mots de passe impose de recourir une solution de stockage centralis, il faut recourir un systme dont la scurit a t expertise. LANSSI a certifi des produits permettant ce type dusage4.

http://www.ssi.gouv.fr/fr/produits-et-prestataires/.

18

Guide dhyGine informatique

autHentifier lutilisateur

rgle 12
Renouveler systmatiquement les lments dauthentication par dfaut (mots de passe, certicats) sur les quipements (commutateurs rseau, routeurs, serveurs, imprimantes).
Les lments par dfaut sont systmatiquement connus des attaquants. Par ailleurs, ils sont bien souvent triviaux (mot de passe identique lidentifiant correspondant, mot de passe partag entre plusieurs quipements dune mme gamme, etc.). Ils doivent donc tre changs. Si la modification nest pas possible (certificat en dur dans un quipement par exemple), ce problme critique doit tre signal au constructeur afin quil corrige au plus vite cette vulnrabilit.

rgle 13
Privilgier lorsque cest possible une authentication forte par carte puce.
Il est fortement recommand de mettre en uvre une authentification forte reposant sur lemploi dune carte puce dont lutilisation ncessite la connaissance dun code PIN (voir annexe B.3 du rfrentiel gnral de scurit5). La mise en place dun mcanisme de contrle daccs par carte puce sur un systme nen disposant pas est cependant plus longue et coteuse que la mise en uvre des autres rgles dcrites dans ce document.

http://www.ssi.gouv.fr/rgs.

Guide dhyGine informatique

19

20

Guide dhyGine informatique

sCuriser les quipements terminaux

V - sCuriser les quiPements terminauX

Si, il y a encore quelques annes, les attaquants ciblaient en priorit les serveurs, lattaque dun poste client est aujourdhui lun des moyens les plus simples pour pntrer sur un rseau. En effet, il nest pas rare que les postes clients soient moins bien scuriss et surtout moins bien superviss que les serveurs.

rgle 14
mettre en place un niveau de scurit homogne sur lensemble du parc informatique.
Il est en particulier impratif, au minimum, de dsactiver les services inutiles et de restreindre les privilges des comptes utilisateurs. Lutilisation dun parefeu personnel configur au minimum pour bloquer les connexions entrantes non sollicites sur chaque poste client est gnralement indispensable. Sur les systmes qui le permettent (serveurs ou postes clients sous Linux par exemple), le durcissement du systme dexploitation par lajout de composants optionnels de scurit (GRSec, PaX etc.) doit tre envisag. Par ailleurs, le BIOS des machines doit tre verrouill avec un mot de passe non trivial et le dmarrage sur supports amovibles ou via le rseau (Wake On LAN) dsactiv. Au niveau applicatif, il convient de configurer le plus finement possible les clients de rception de courriel (forcer lmission et la rception de courrier en texte brut et non en HTML est par exemple une bonne pratique), les navigateurs (bloquer par dfaut certains contenus et nactiver le support quau cas par cas par exemple), ou les suites de bureautique (dsactiver les possibilits dexcution des macros). Concernant ce dernier point, il est noter que le blocage de certains contenus (javascript, flash), mme sil est primordial du point de vue de la scurit est souvent peru comme difficile voire impossible car laccs linformation ncessite lutilisation de ces technologies. Il est cependant important quau minimum, ces technologies soient dsactives sur les machines sur lesquelles leur utilisation nest pas strictement ncessaire.

Guide dhyGine informatique

21

sCuriser les quipements terminaux

rgle 15
Interdire techniquement la connexion des supports amovibles sauf si cela est strictement ncessaire ; dsactiver lexcution des autoruns depuis de tels supports.
Les supports amovibles sont un moyen privilgi de propagation des codes malveillants et dexfiltration de donnes. Il convient donc dessayer den limiter au maximum lusage. Il nest souvent pas raliste dinterdire compltement la connexion de supports amovibles sur lensemble des machines de lentreprise. La bonne dmarche est didentifier les machines sur lesquelles la connexion de support amovibles est ncessaire, de nautoriser la connexion que sur celles-ci et de reprendre frquemment cette liste dans une optique de minimisation du nombre de machines qui y figurent. De nombreuses organisations privilgient lutilisation de stations blanches (ou sas daccs ) par lesquelles doivent passer lensemble des supports amovibles avant dtre connects au systme de lentreprise. Si lobjectif est louable (effectuer un contrle de linnocuit des supports avant leur connexion), ces stations deviennent rapidement un point nvralgique du systme dinformation (elles sont accessibles tous les utilisateurs, elles sont elles-mmes trs exposes). Leur usage ne doit tre envisag que si elles peuvent tre matrises. En tout tat de cause, lexcution automatique de code depuis des supports amovibles (autorun) doit tre systmatiquement interdite techniquement. Par ailleurs, il est possible sur les systmes Microsoft partir de Windows XP, de restreindre la possibilit dexcuter des programmes selon divers critres, grce aux stratgies de restriction logicielle (Software Restriction Policies). Une telle politique peut tre mise en uvre dans le but de limiter le risque dimportation involontaire de virus, en particulier par cl USB.

22

Guide dhyGine informatique

sCuriser les quipements terminaux

rgle 16
Utiliser un outil de gestion de parc informatique permettant de dployer des politiques de scurit et les mises jour sur les quipements.
Lutilisation dun outil de gestion de parc est primordiale pour assurer le suivi des postes sur le rseau. Il est ncessaire dinclure un maximum dquipements informatiques dans le primtre des quipements grs par loutil en question.

rgle 17
Grer les terminaux nomades selon une politique de scurit au moins aussi stricte que celle des postes xes.
En cas de disparit de traitement entre les terminaux nomades et les postes fixes, le niveau rel de scurit du rseau est celui du maillon le plus faible. Les postes nomades doivent donc bnficier au moins des mmes mesures de scurit que les postes fixes (mises jour, restriction de privilges etc.). Les conditions dutilisation des postes nomades imposent de plus, souvent, le renforcement de certaines fonctions de scurit (chiffrement de disque, authentification renforce, voir rgle 19) mais la mise en place de telles fonctions sur les postes fixes est galement une bonne pratique au titre de la dfense en profondeur.

Guide dhyGine informatique

23

sCuriser les quipements terminaux

rgle 18
interdire dans tous les cas o cela est possible les connexions distance sur les postes clients.
Dans les cas o lapplication de cette rgle nest pas possible, respecter strictement les principes dcrits dans le document technique Recommandations de scurit relatives la tlassistance6.

rgle 19
Chiffrer les donnes sensibles, en particulier sur les postes nomades et les supports potentiellement perdables.
La perte ou le vol dun quipement (ou dun support) mobile ou nomade peut tre lourd de consquences pour lentreprise : en labsence de chiffrement, les donnes stockes sur le terminal (patrimoine technologique de lentreprise, base de donnes client) seront en effet compromises, et ce mme si le terminal est teint ou si la session utilisateur est ferme. Il est donc important de chiffrer les donnes sensibles. Plusieurs produits de chiffrement de disques ou de partitions (ou supports chiffrants) ont t qualifis par lANSSI7. Il convient de les utiliser en priorit. La qualification par lANSSI garantit la robustesse des mcanismes cryptographiques mis en uvre. Le chiffrement peut tre ralis sur lensemble du systme (on parle de chiffrement intgral), sur un sous-ensemble du systme (chiffrement de partitions) ou sur les fichiers les plus sensibles. Les mcanismes de chiffrement intgral de disque sont les plus efficaces du point de vue de la scurit et ne ncessitent pas pour lutilisateur didentifier les fichiers chiffrer. Dans les cas o la mise en uvre de ce type de systme de chiffrement savre trop complexe (par exemple pour une organisation de petite taille), il est impratif de mettre disposition des utilisateurs un systme de chiffrement de partitions.

6 7

Voir sur le site de lanssi : http://www.ssi.gouv.fr/imG/pdf/nP_teleassistance_notetech.pdf. Voir sur le site internet de lanssi : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produitsqualies/.

24

Guide dhyGine informatique

sCuriser lintrieur du rseau

Vi - sCuriser lintrieur du rseau

Il est important de ne pas se contenter de mettre en place des mesures primtriques (pare-feux, serveurs mandataires). En effet, si ces dernires sont indispensables (voir Section VII), il existe de nombreux moyens pour un attaquant de les contourner. Il est donc indispensable que le rseau se protge contre un attaquant qui aurait dj contourn ces mesures de dfense primtriques. Les services dannuaire (Active Directory, Lightweight Directory Access Protocol - LDAP) permettant dattribuer chaque utilisateur des droits sur un systme dinformation sont par ailleurs des lments cruciaux qui constituent une cible de choix pour les attaquants et dont il convient de vrifier frquemment lintgrit.

rgle 20
Auditer ou faire auditer frquemment la conguration de lannuaire central (Active Directory en environnement Windows ou annuaire ldaP par exemple)
Il est recommand de suivre les rgles nonces dans larticle Audit des permissions en environnement Active Directory8. Il convient notamment de vrifier intervalles rguliers si les droits daccs aux donnes des personnes cls de lentreprise (dirigeants notamment) sont correctement positionns.

Voir http://www.ssi.gouv.fr/active-directory.

Guide dhyGine informatique

25

sCuriser lintrieur du rseau

rgle 21
mettre en place des rseaux cloisonns. Pour les postes ou les serveurs contenant des informations importantes pour la vie de lentreprise, crer un sous-rseau protg par une passerelle dinterconnexion spcique.
Lorsque le rseau est plat 9, la compromission dun contrleur de domaine entrane systmatiquement la compromission de lensemble du rseau. Il est important de prendre en compte cette rgle en amont ds la conception du rseau. En effet, en fonction de ltendue du rseau et de sa complexit, il sera souvent trs difficile a posteriori de cloisonner le rseau. Pour les rseaux dont le cloisonnement ne serait pas ais, il est recommand : de prendre en compte les besoins de cloisonnement dans toute nouvelle extension du rseau ; dlaborer un plan de rflexion sur larchitecture du rseau qui sort du cadre strict de lhygine informatique.

rgle 22
viter lusage dinfrastructures sans l (Wi). Si lusage de ces technologies ne peut tre vit, cloisonner le rseau daccs Wi du reste du systme dinformation.
Lusage des technologies sans fil au sein dun rseau nest pas conseill (faibles garanties en matire de disponibilit, difficult de dfinition dune architecture daccs scurise faible cot, etc.). Si de telles technologies doivent tre employes, la segmentation de larchitecture rseau doit permettre de limiter les consquences dune intrusion depuis la voie radio un primtre dtermin. Le cloisonnement du rseau daccs Wifi du reste du rseau est fortement conseill : linterconnexion au rseau principal doit se
9 Un rseau plat est un rseau ne mettant en uvre aucun mcanisme de cloisonnement rseau en interne. Chaque machine du rseau a donc la possibilit daccder nimporte quelle autre machine du rseau.

26

Guide dhyGine informatique

sCuriser lintrieur du rseau

faire au travers dune passerelle matrise permettant de tracer les accs et de restreindre les changes aux seuls flux ncessaires. La conception dun tel rseau daccs sort du cadre des mesures lmentaires dhygine informatique. De plus, il est important davoir prioritairement recours un chiffrement des rseaux Wifi reposant sur WPA Entreprise (EAP-TLS avec chiffrement WPA2 CCMP) qui permet lauthentification des machines par certificats clients des machines accdant au rseau. Les mcanismes de protection bass sur une cl partage doivent tre proscrits ds lors que des prestataires externes ou un trop grand nombre dutilisateurs doivent tre amens accder ce rseau Wifi. Il convient galement dviter le recours aux technologies CPL (Courants Porteurs en Ligne) sans avoir recours des mcanismes de protection quivalents ceux recommands pour les technologies sans fil. Le primtre couvert par le rseau CPL est en effet difficile dfinir prcisment.

rgle 23
Utiliser systmatiquement des applications et des protocoles scuriss.
Lutilisation de protocoles scuriss, y compris sur le rseau interne, contribue la dfense en profondeur et complique la tche dun attaquant qui aurait dj compromis une machine sur le rseau et qui chercherait tendre son emprise sur ce dernier. Les protocoles non scuriss (telnet, FTP, POP, SMTP, HTTP) sont en rgle gnrale proscrire sur le rseau de lentreprise, et remplacer par leurs quivalents scuriss (SSH, SFTP, POPS, SMTPS, HTTPS, etc.). Par ailleurs, il est important que les applications mtier soient dveloppes en considrant les risques de scurit. Leur adhrence une technologie particulire (version donne dun systme dexploitation ou dune machine virtuelle Java typiquement) doit tre rduite, de manire ne pas limiter les capacits de maintien en conditions de scurit et de mises jour de ces applications.

Guide dhyGine informatique

27

28

Guide dhyGine informatique

protger le rseau interne de linternet

Vii - ProtGer le rseau interne de linternet

Si certaines attaques peuvent tre dorigine interne, lun des moyens principaux dattaque constats par lANSSI est linfection suite la connexion sur un site Internet compromis. Il est donc important, en complment des mesures de protection du rseau interne, dont la limitation du nombre dinterconnexions prsentes plus haut dans ce document, de mettre en place des mesures de dfense primtriques spcifiques.

rgle 24
scuriser les passerelles dinterconnexion avec internet.
Il faut pour cela mettre en place des services de scurit correctement configurs (par exemple, conformes aux recommandations du document Dnition dune architecture de passerelle dinterconnexion scurise10) permettant un cloisonnement entre laccs Internet, la zone de service (DMZ) et le rseau interne.

rgle 25
Vrier quaucun quipement du rseau ne comporte dinterface dadministration accessible depuis linternet.
De nombreux quipements comportent des interfaces dadministration (par exemple via un serveur web). Certaines de ces interfaces sont accessibles par dfaut et ne seront donc dsactives quen cas daction explicite de ladministrateur de lquipement. Ces interfaces sont souvent exploites par les attaquants dans le cadre dune intrusion, a fortiori si elles sont exposes sur Internet. Plusieurs milliers dentreprises exposent sur Internet ce type dinterface, le plus souvent sans en tre conscientes. Cette rgle concerne les imprimantes, les serveurs, les routeurs, les commutateurs rseau ainsi que les quipements industriels ou de supervision.
10 Voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-desreseaux/denition-d-une-architecture-de-passerelle-d-interconnexion-securisee.html.

Guide dhyGine informatique

29

30

Guide dhyGine informatique

surveiller les systmes

Viii - surVeiller les sYstmes

La plupart des mesures dcrites jusquici sont de nature prventive et destines rduire le risque dexploitation par un attaquant dune des vulnrabilits du systme. La mise en place de mesures prventives ne dispense jamais dune supervision du systme lors de son exploitation. Cette supervision doit respecter les rgles proposes dans ce chapitre.

rgle 26
Dnir concrtement les objectifs de la supervision des systmes et des rseaux.
Dans la majeure partie des cas, les vnements suivants doivent gnrer une alerte qui doit imprativement tre traite dans les 24 heures : connexion dun utilisateur hors de ses horaires habituels de travail ou pendant une priode dabsence dclare ; transfert massif de donnes vers lextrieur de lentreprise ; tentatives de connexions successives ou rptes sur un service ; tentatives de connexion sur un compte non actif ; tentatives de contournement de la politique de scurit (utilisation dun service interdit, connexion non autorise un service, etc.).

Guide dhyGine informatique

31

surveiller les systmes

rgle 27
Dnir les modalits danalyse des vnements journaliss.
Il est primordial de dfinir galement les procdures de vrification des journaux qui permettront de gnrer une alerte ds lors que lun des objectifs identifis nest pas rempli. Ces procdures devront garantir que les journaux sont frquemment analyss. Outre les lments mentionns dans la rgle 26, lanalyse des journaux pourra notamment se concentrer sur les points suivants : analyse de la liste des accs aux comptes de messagerie des personnes-cl de lentreprise ; analyse des accs aux machines ou aux ressources sensibles de lentreprise. Afin de faciliter la vrification des journaux, il est primordial que les machines soient synchronises sur la mme horloge.

32

Guide dhyGine informatique

sCuriser ladministration du rseau

iX - sCuriser ladministration du rseau

Dans de nombreux cas traits par lANSSI, les attaquants ont pris le contrle complet, via internet, des postes des administrateurs ou de comptes dadministration afin de bnficier des privilges les plus levs sur le systme.

rgle 28
Interdire tout accs dadministration. Internet depuis les comptes
Cette interdiction sapplique en particulier aux machines des administrateurs du systme. Cette rgle est gnralement mal accepte par les utilisateurs car elle peut gnrer des contraintes dexploitation (obligation dutiliser des comptes distincts en fonction des actions ralises). Le poids de cette contrainte peut tre notablement allg en quipant les administrateurs de deux postes distincts, afin de leur permettre par exemple de consulter la documentation sur le site dun constructeur avec un poste (en utilisant leur compte non privilgi) tout en administrant lquipement concern sur lautre (avec leur compte dadministrateur). Cela facilite en outre lapplication de la rgle 29.

rgle 29
Utiliser un rseau ddi ladministration des quipements ou au moins un rseau logiquement spar du rseau des utilisateurs.
Le cloisonnement du rseau dadministration vis--vis du rseau de travail des utilisateurs est impratif. Il est recommand (en fonction des capacits de lorganisme) : de privilgier un cloisonnement physique des rseaux ds que cela est possible ; dfaut, mettre en uvre un cloisonnement logique cryptographique bas

Guide dhyGine informatique

33

sCuriser ladministration du rseau

sur la mise en place de tunnels IPsec reposant sur un produit qualifi par lANSSI. Lintgrit et la confidentialit des informations vhicules sur le rseau dadministration sont ainsi assures vis--vis du rseau de travail courant de lentreprise ; a minima, de mettre en uvre un cloisonnement logique par VLAN. Les postes dadministration tant particulirement critiques, ils doivent tre suivis en priorit. La mise jour des postes du rseau dadministration est primordiale.

rgle 30
ne pas donner aux utilisateurs de privilges dadministration. ne faire aucune exception.
De nombreux utilisateurs, y compris au sommet des hirarchies, sont tents de demander leur service informatique de pouvoir disposer de privilges plus importants sur leurs machines (pouvoir installer des logiciels, pouvoir connecter des quipements personnels, etc.). De tels usages sont cependant excessivement dangereux et sont susceptibles de mettre en danger le rseau dans son ensemble.

rgle 31
Nautoriser laccs distance au rseau dentreprise, y compris pour ladministration du rseau, que depuis des postes de lentreprise qui mettent en uvre des mcanismes dauthentication forte et protgeant lintgrit et la condentialit des changes laide de moyens robustes.
Privilgier pour cela des mcanismes dauthentification et des moyens de protection de lintgrit et de la confidentialit qualifis par lANSSI.

34

Guide dhyGine informatique

Contrler laCCs aux loCaux et

la sCurit pHysique

X - Contrler laCCs auX loCauX et la sCurit PHYsique

La scurit du systme de contrle daccs aux locaux est bien souvent critique pour la scurit dune entreprise. En effet, ds lors quun attaquant parvient obtenir un accs au rseau interne de lentreprise, les mesures de scurit primtriques mises en place deviennent inefficaces. La mise en adquation des mesures de scurit physique avec les besoins de protection des systmes dinformation est dautant plus complexe que les quipes en charge de ces deux aspects sont bien souvent distinctes. Les responsabilits de chacune doivent tre clarifies et formalises.

rgle 32
utiliser imprativement des mcanismes robustes de contrle daccs aux locaux.
Le mcanisme de contrle daccs mis en uvre doit tre ltat de lart afin dassurer quil ne puisse pas tre contourn aisment par un attaquant. LANSSI a publi un guide permettant dassister les entreprises dans la slection dun mcanisme de contrle daccs robuste11.

rgle 33
Protger rigoureusement les cls permettant laccs aux locaux et les codes dalarme.
Les rgles suivantes doivent tre appliques : rcuprer systmatiquement les cls ou les badges dun employ son dpart dfinitif de lentreprise ; changer frquemment les codes de lalarme de lentreprise ;

11 Voir sur le site internet de lanssi : http://www.ssi.gouv.fr/sans-contact.

Guide dhyGine informatique

35

Contrler laCCs aux loCaux et

la sCurit pHysique

ne jamais donner de cl ou de code dalarme des prestataires extrieurs sauf sil est possible de tracer ces accs et de les restreindre techniquement des plages horaires donnes.

rgle 34
ne pas laisser de prises daccs au rseau interne accessibles dans les endroits ouverts au public.
Ces endroits publics peuvent tre des salles dattente, des placards ou des couloirs par exemple. Les attaquants peuvent par exemple rcuprer un accs au rseau de lentreprise en connectant une machine dattaque en lieu et place des quipements suivants, ds lors que ceux-ci sont connects au rseau :

imprimantes ou photocopieurs multifonctions entreposs dans un couloir ; crans daffichage diffusant des flux dinformation ; camras de surveillance ; tlphones : prises rseau dans une salle dattente.

Par ailleurs, les chemins de cbles du rseau interne ne devraient pas non plus tre accessibles dans les lieux publics. Sil est toutefois ncessaire de rendre ponctuellement accessible le rseau depuis une prise situe dans un espace public (pour une prsentation par exemple), la prise doit tre brasse pour loccasion et dbrasse ds que possible.

36

Guide dhyGine informatique

Contrler laCCs aux loCaux et

la sCurit pHysique

rgle 35
Dnir les rgles dutilisation des imprimantes et des photocopieuses.
Les rgles suivantes peuvent tre dfinies : utiliser des imprimantes disposant dun mcanisme dimpression ncessitant la prsence physique du demandeur pour dmarrer limpression ; dtruire en fin de journe les documents oublis sur limprimante ou la photocopieuse ; broyer les documents plutt que les mettre la corbeille papier. De manire similaire, il est souhaitable de mettre en place des procdures claires de destruction ou de recyclage des supports informatiques en fin de vie.

Guide dhyGine informatique

37

38

Guide dhyGine informatique

organiser la raCtion en Cas dinCident

Xi - orGaniser la raCtion en Cas dinCident

Lors de la dcouverte de la compromission dun quipement (ordinateur infect par un virus par exemple), il est ncessaire de dterminer rapidement, mais sans prcipitation, la dmarche qui permettra de juger de la gravit potentielle de lincident afin de prendre les mesures techniques, organisationnelles et juridiques proportionnes, dendiguer linfection et disoler les machines compromises. Il est important de rflchir avant dagir de manire ne pas prendre dans lurgence des dcisions qui pourraient savrer nfastes.

rgle 36
disposer dun plan de reprise et de continuit dactivit informatique, mme sommaire, tenu rgulirement jour dcrivant comment sauvegarder les donnes essentielles de lentreprise.
Disposer dun plan de reprise et de continuit dactivit informatique, comprenant idalement un volet ddi la raction en cas dattaque informatique, est primordial pour une entreprise. Lanalyse des consquences sur lactivit dun certain nombre dvnements catastrophiques peut tre un bon point de dpart : que se passe-t-il si laccs Internet ne fonctionne plus pendant deux jours ? Que se passe-t-il si un attaquant efface toutes les donnes stockes sur les serveurs ? Les donnes sensibles de lentreprise doivent tre sauvegardes priodiquement. Cette sauvegarde est de prfrence automatique sur les serveurs de fichiers et ne repose pas uniquement sur la bonne volont des utilisateurs qui risquent frquemment de ne pas prendre le temps deffectuer de telles sauvegardes. Les sauvegardes doivent tre vrifies priodiquement et idalement stockes dans un lieu distinct de celui o se trouvent les serveurs en fonctionnement.

Guide dhyGine informatique

39

organiser la raCtion en Cas dinCident

rgle 37
mettre en place une chane dalerte et de raction connue de tous les intervenants.
Tous les utilisateurs doivent au minimum pouvoir sadresser rapidement un interlocuteur rfrent, form la raction, pour signaler tout incident. Ils doivent pouvoir joindre cet interlocuteur facilement et doivent tre informs quil nest pas souhaitable quils tentent de rgler le problme par eux-mmes. Lorsque la taille de lentreprise le permet et ds lors que les enjeux le justifient, il est souhaitable que la chane dalerte comporte un mcanisme dastreinte voire de permanence permettant de garantir que les incidents constats puissent tre traits le plus efficacement possible.

rgle 38
Ne jamais se contenter de traiter linfection dune machine sans tenter de savoir comment le code malveillant a pu sinstaller sur la machine, sil a pu se propager ailleurs dans le rseau et quelles informations ont t manipules.
De nombreuses entreprises, en ne cherchant pas demble connatre le primtre rel dune infection, ont perdu plusieurs semaines, voire plusieurs mois, dans le traitement dun incident. Chaque traitement dincident doit de plus faire lobjet dun retour dexprience et dune capitalisation permettant dtre plus efficace lorsquun vnement similaire surgira lavenir. Les questions se poser sont par exemple les suivantes : quelle est la nature du poste compromis ? Y en a-t-il dautres du mme type, exposs aux mmes menaces sur le rseau ? quelles sont les informations auxquelles lattaquant est susceptible davoir eu accs ? le poste compromis a-t-il communiqu avec dautres postes ou serveurs ?

40

Guide dhyGine informatique

organiser la raCtion en Cas dinCident

En cas de compromission, et afin de faciliter le travail des quipes dinvestigations, les entits responsables pourront prendre les mesures suivantes : isoler les machines infectes du rseau (dbrancher le cble rseau) ; ne pas teindre lectriquement les machines infectes pour prserver les informations disponibles en mmoire sur le code malveillant ; raliser, ou faire raliser par des spcialistes, des copies des mmoires et des disques durs des machines infectes pour conduire les investigations. Vrifier la bonne intgrit des copies ralises avant toute opration de mise jour, de modification de la configuration, de tentative de nettoyage ou de rinstallation des machines compromises ; rinstaller intgralement la machine aprs copie des disques si elle doit tre remise en production. Ne jamais se contenter dune simple restauration ou dun nettoyage que peu dexperts seraient en mesure de pratiquer.

Guide dhyGine informatique

41

42

Guide dhyGine informatique

sensibiliser

Xii - sensibiliser

rgle 39
Sensibiliser les utilisateurs aux rgles dhygine informatique lmentaires.
Chaque utilisateur devrait en permanence (au minimum chaque anne) se voir rappeler : que les informations traites doivent tre considres comme sensibles ; que la scurit de ces informations repose, entre autres, sur lexemplarit de leur comportement et le respect des rgles lmentaires dhygine informatique (non-contournement de la politique de scurit, verrouillage systmatique de la session lorsque lutilisateur quitte sa position informatique, non-connexion dquipements personnels au rseau de lentreprise, non-divulgation de mots de passe un tiers, non rutilisation de mots de passe professionnels dans la sphre prive, signalement des vnements suspects, accompagnement des visiteurs et des intervenants extrieurs, etc.).

Le respect des rgles dhygine qui concernent les utilisateurs devraient figurer dans une charte dusage des moyens informatiques vise par chaque utilisateur.

Guide dhyGine informatique

43

44

Guide dhyGine informatique

faire auditer la sCurit

Xiii - faire auditer la sCurit

rgle 40
Faire raliser des audits de scurit priodiques (au minimum tous les ans). Chaque audit doit tre associ un plan daction dont la mise en uvre est suivie au plus haut niveau.
La ralisation daudits techniques sur un systme dinformation est essentielle. En effet, laudit est le seul moyen efficace de constater concrtement lefficacit des mesures mises en uvre sur le terrain. Chaque audit permettra de dfinir un plan dactions correctives mettre en uvre. Des runions de suivi de ce plan daction doivent tre organises frquemment. Pour une plus grande efficacit, lavancement du plan daction devra tre synthtis dans un indicateur du tableau de bord destination des plus hauts degrs de management.

Guide dhyGine informatique

45

46

Guide dhyGine informatique

 propos de lANSSI

LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet 2009 sous la forme dun service comptence nationale. En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011170 du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre. Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.

Guide dhyGine informatique

47

Version 1.0 - Janvier 2013 Licence information publique librement rutilisable (LIP V1 2010.04.02)

Agence nationale de la scurit des systmes dinformation

ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr Messagerie : communication [at] ssi.gouv.fr