GUDE DHYGNE NFORMATQUE

AGENCE NATONALE DE LA SCURT DES SYSTMES DNFORMATON

Guide dhyGine informatique
3
Table des maTires
- I -
Connatre le systme dinformation et ses utilisateurs 9
- II -
Matriser le rseau 13
- III -
Mettre niveau les logiciels 15
- IV -
Authentifer lutilisateur 17
- V -
Scuriser les quipements terminaux 21
- VI -
Scuriser lintrieur du rseau 25
- VII -
Protger le rseau interne de lInternet 29
- VIII -
Surveiller les systmes 31
- IX -
Scuriser ladministration du rseau 33
- X -
Contrler laccs aux locaux et la scurit physique 35
- XI -
Organiser la raction en cas dincident 39
- XII -
Sensibiliser 43
- XIII -
Faire auditer la scurit 45
Guide dhyGine informatique
5
Prambule
Les formidables dveloppements de linformatique et dInternet ont rvolutionn
nos manires de vivre et de travailler.
La perte ou le vol de certaines informations ou lindisponibilit de son systme
dinformation peuvent avoir de lourdes consquences pour lentreprise : perte
de confance des clients, des partenaires, avantage pris par un concurrent, perte
dexploitation suite une interruption de la production. Les communications de
lquipe dirigeante sont souvent une cible privilgie.
Bien protger les informations confdentielles confes par des clients et des
partenaires peut dsormais crer un avantage concurrentiel. Plus encore, protger
ses donnes et son rseau informatique est crucial pour la survie de lentreprise et
sa comptitivit.
Si les erreurs humaines ou la malveillance dun salari peuvent tre lorigine dun
incident, les agressions externes sont de plus en plus frquentes : attaque contre le
site Internet de lentreprise, programmes informatiques malveillants cachs dans
des pices jointes des courriels ou dans des cls USB piges, vol de mots de
passe.
Il est de la responsabilit des dirigeants de vrifer que les mesures de protection
adaptes sont mises en place et oprationnelles. Elles doivent faire lobjet dune
politique de scurit crite, comprise et connue de tous et dont lapplication doit
tre rgulirement vrife par lencadrement.
Parmi ces mesures, il existe des mesures techniques simples, qualifes dhygine
informatique car elles sont la transposition dans le monde numrique de rgles
lmentaires de scurit sanitaire.
La majeure partie des attaques informatiques sur lesquelles lANSSI est intervenue
auraient pu tre vites si les mesures dhygine informatique dcrites dans ce
guide avaient t appliques par les entreprises concernes.
Sadressant aux personnes en charge de la scurit informatique, que ce soit
un responsable de la scurit des systmes dinformation (RSSI) ou toute autre
personne qui remplit cette fonction, ce document prsente les 40 rgles dhygine
informatique incontournables.
Elles ne prtendent pas avoir un caractre dexhaustivit. Elles constituent
cependant le socle minimum des rgles respecter pour protger les informations
dune entreprise.
Ne pas les suivre expose lentreprise des risques dincidents majeurs, susceptibles
de mettre sa comptitivit, voire sa prennit, en danger.
Guide dhyGine informatique
6
destination des resPonsables
informatiques
Vous tes responsable de la scurit des systmes dinformation de votre
organisation ou, plus simplement, cest vous que revient la responsabilit du
bon fonctionnement de son informatique. Vous le savez, en quelques annes,
votre mtier a volu au rythme de larrive des technologies de linformation qui
irriguent dsormais toutes les fonctions des entreprises, des administrations, des
collectivits territoriales, comme de notre vie quotidienne. De nouveaux usages
rendent galement plus complexe la matrise des systmes dont vous avez la
charge.
Bases de donnes des clients, contrats commerciaux ou brevets, donnes de
production, dossiers des usagers, dmarches administratives, informations
concernant un march public sont dsormais accessibles en ligne, le plus souvent
via Internet travers des postes de travail ou des tlphones mobiles.
Les consquences quauraient pour votre organisation la perte ou le vol de certaines
informations ou lindisponibilit de son informatique peuvent tre extrmement
lourdes. linverse, bien protger les informations confdentielles de lentreprise
ou celles confes par des clients, des partenaires ou des fournisseurs gnre la
confance et fuidife lactivit.
Si les erreurs humaines ou la malveillance dun employ peuvent parfois tre
lorigine dun incident, les agressions externes, des fns despionnage voire de
sabotage, sont aujourdhui extrmement frquentes et discrtes.
Toutefois, de nombreuses attaques informatiques, traites par lagence nationale
de scurit des systmes dinformation (ANSSI), auraient pu tre vites si des
mesures techniques essentielles avaient t appliques par les organisations
victimes.
Certaines de ces mesures peuvent tre qualifes de rgles lmentaires
dhygine informatique . Ne pas les suivre expose inutilement votre organisation
des risques dincidents majeurs, susceptibles de mettre son fonctionnement ou sa
comptitivit en danger, voire dentraner larrt de son activit.
Ce guide sadresse vous. Il vous prsente les 40 rgles dhygine informatique
essentielles pour assurer la scurit de votre systme dinformation et le moyen de
les mettre en uvre. Non exhaustives, ces rgles reprsentent cependant le socle
minimum respecter pour protger les informations de votre organisation.
Une fois ces rgles partages et appliques, vous aurez accompli une part
importante de votre mission : permettre votre organisation dinteragir avec ses
fournisseurs et ses partenaires, de servir ses clients, en respectant lintgrit et la
confdentialit des informations qui les concernent.
Guide dhyGine informatique
7
Ce document se concentre sur les systmes de bureautique classiques. Bien quun
certain nombre des recommandations dcrites ici sappliquent galement aux
systmes industriels, lANSSI a publi un guide spcifque pour assurer la scurit
des systmes de ce type
1
.
1 Voir sur le site de lanssi : www.ssi.gouv.fr/systemesindustriels.
Connatre le systme dinformation et ses utilisateurs
Guide dhyGine informatique
9
Connatre le systme dinformation et ses utilisateurs
i - Connatre le systme
dinformation et ses utilisateurs
La connaissance de son propre systme dinformation est un pralable important
sa scurisation. En effet, si le systme dinformation comprend un quipement
rgulirement omis des inventaires, cet quipement, qui deviendra rapidement
obsolte, sera une cible de choix pour un attaquant.
rgle 1

disposer dune cartographie prcise de linstallation
informatique et la maintenir jour.
Llaboration dune cartographie du systme dinformation est le premier pas vers
une meilleure connaissance du systme dinformation. Elle permettra dlaborer
plus facilement des mesures de scurit adaptes au systme, de garantir
quaucun quipement nest oubli lors de lapplication dune mesure de scurit et
de faciliter la raction en cas dincident.
Cette cartographie doit au minimum comprendre les lments suivants :
liste des ressources matrielles (avec leur modle) et logicielles (avec leur
version) utilises. Il convient bien entendu dtre le plus prcis possible. Pour
entamer la dmarche, ltablissement dune liste des machines dployes
associes leurs attributaires et leurs paramtres techniques (adresse IP,
adresse MAC) dune part, et des logiciels principaux dploys sur ces postes
(suite bureautique, visionneuse PDF, navigateur, client de messagerie) avec
leurs versions peut tre envisag. Par ailleurs, les postes dadministration
doivent faire partie du primtre de la cartographie. Plus le parc est homogne,
plus ltablissement et le maintien jour dune telle liste sont aiss ;
architecture rseau sur laquelle sont identifs les points nvralgiques
(connexions externes
1
, serveurs hbergeant des donnes ou des fonctions
sensibles, etc.).
1 inventorier en particulier tous les accs internet du systme dinformation et toutes les
interconnexions avec des rseaux partenaires (fournisseurs, partenaires commerciaux, etc.). Cet
inventaire doit tre exhaustif. il doit comprendre les accs adsl ventuellement mis en place
pour les besoins spcifques des utilisateurs ainsi que les liaisons spcialises.
Guide dhyGine informatique
10
Connatre le systme dinformation et ses utilisateurs Connatre le systme dinformation et ses utilisateurs
Une fois cette cartographie tablie, elle doit tre maintenue jour et enrichie,
notamment avec des lments lis aux protocoles mis en uvre (matrices de fux).
Cette cartographie ne doit idalement pas tre stocke sur le rseau quelle
reprsente, car il sagit de lun des lments que lattaquant va rechercher en
premier lieu en cas dintrusion russie.

rgle 2
A minima, il est important de disposer de la liste :
des utilisateurs qui disposent dun compte administrateur (ou de privilges
suprieurs ceux dun utilisateur standard) sur le systme dinformation ;
des utilisateurs qui disposent de privilges suffsants pour accder aux
rpertoires de travail des dirigeants ou, a fortiori, de lensemble des utilisateurs ;
des utilisateurs qui disposent dun poste non administr par le service
informatique et donc non gr selon la politique de scurit gnrale de
lorganisme.
Cette liste doit bien entendu tre maintenue jour.
Par ailleurs, il est souhaitable de disposer de la liste des utilisateurs qui disposent
de privilges suffsants pour lire la messagerie des dirigeants de la socit ou a
fortiori de lensemble des utilisateurs. Ltablissement de la liste des personnes
ayant rellement accs ces informations est cependant parfois extrmement
diffcile. Si la liste ne peut tre tablie de manire fable, une journalisation des
accs aux botes lettres et une vrifcation priodique de la liste des personnes
ayant consult les botes lettres les plus sensibles devraient tre ralise (voir
rgle 26).
Sur un systme Windows, la plupart de ces informations peuvent tre obtenues
par lanalyse de la confguration de lActive Directory. Le document Audit des
permissions en environnement Active Directory
2
disponible sur le site de lANSSI
prcise un ensemble de mthodes permettant den raliser linventaire.
2 Voir sur le site internet de lanssi : http://www.ssi.gouv.fr/active-directory.
disposer dun inventaire exhaustif des comptes privilgis et le
maintenir jour.
Guide dhyGine informatique
11
Connatre le systme dinformation et ses utilisateurs Connatre le systme dinformation et ses utilisateurs
Il est de plus trs fortement recommand dutiliser une nomenclature claire pour
les noms de comptes (faire systmatiquement prcder les noms de comptes de
service par le prfxe SRV, les comptes dadministration du prfxe ADM).
rgle 3
rdiger et appliquer des procdures darrive et de dpart des
utilisateurs (personnel, stagiaires).
Ces procdures sont destines garantir que les droits octroys sur le
systme dinformation sont appliqus au plus juste. Notamment, il est
important que lensemble des droits affects une personne soient
rvoqus lors de son dpart. Les procdures doivent dcrire a minima :
la gestion (cration / destruction) des comptes informatiques (et des botes
lettres associes) et lattribution des droits associs ces comptes sur le
systme dinformation, y compris pour les partenaires et les prestataires
externes ;
la gestion des accs aux locaux (perception et restitution des cartes daccs
aux locaux notamment) ;
la gestion des quipements mobiles ;
la gestion des documents sensibles (dtention, ventuelles autorisations de
sortie) ;
la gestion du contrle des habilitations du personnel.
Il est important de bien grer les mutations de personnel, soit en les traitant comme
un dpart suivi dune arrive soit en dfnissant une procdure adapte. On observe
frquemment une infation des privilges associs certains comptes utilisateur du
fait de mouvements internes qui conduisent louverture de nouveaux droits sans
suppression de ceux devenus inutiles.
matriser le rseau
Guide dhyGine informatique
13
matriser le rseau
ii - matriser le rseau
rgle 4
limiter le nombre daccs internet de lentreprise au strict
ncessaire.

Il convient de connatre prcisment les points daccs Internet (box ADSL, etc.)
et les interconnexions avec des rseaux partenaires et de les limiter au strict
ncessaire de manire pouvoir plus facilement centraliser et rendre homogne la
surveillance des changes.
rgle 5
interdire la connexion dquipements personnels au systme
dinformation de lorganisme.



La connexion des quipements personnels ne peut tre envisage que sur des
rseaux ne contenant strictement aucune information sensible. Les quipements
personnels (assistants personnels, tablettes, smartphones, lecteurs MP3, cls USB)
sont en effet diffcilement matrisables par lorganisme dans la mesure o ce sont les
utilisateurs eux-mmes qui dcident du niveau de scurit de leurs quipements.
Les mesures de scurit en vigueur au sein dun tablissement ou dune entreprise
ne peuvent donc, par essence, pas sappliquer ce type dquipement.
Cette rgle est le plus souvent perue comme une contrainte inacceptable
voire rtrograde par de trs nombreux utilisateurs. Cependant, y droger facilite
grandement le travail dun attaquant en fragilisant le rseau de lentreprise. En effet,
sur une centaine dquipements personnels connects au rseau dune entreprise,
on estime statistiquement quau minimum dix dentre eux sont compromis par un
code malveillant gnrique (sans parler dattaque cible).
Il est donc important dinterdire ou dempcher leur connexion au systme
dinformation de lentreprise. Cette interdiction est dabord organisationnelle :
mme si aucune rgle technique nempche leur connexion, il convient dinciter
les utilisateurs ne pas recourir de telles pratiques par exemple au moyen de la
charte dutilisation des moyens informatiques.
Cette interdiction doit dans la mesure du possible tre complte par des mesures
Guide dhyGine informatique
14
mettre niveau les logiCiels matriser le rseau
techniques, dont la mise en uvre peut toutefois savrer plus complexe (contrle
systmatique daccs au rseau, dsactivation des ports USB).
Lorsque le travail distance est ncessaire, lorganisme doit fournir des moyens
professionnels pour permettre de tels usages. Le transfert de messages des
messageries professionnelles vers des messageries personnelles doit tre
explicitement interdit.
Guide dhyGine informatique
15
mettre niveau les logiCiels matriser le rseau
iii - mettre niVeau les logiCiels
Chaque jour, des vulnrabilits sont mises en vidence dans de trs nombreux
logiciels largement utiliss. Quelques heures sont parfois suffsantes pour que des
codes malveillants exploitant ces vulnrabilits commencent circuler sur Internet.
Il est donc trs important dutiliser en priorit des technologies prennes, dont
le support est assur, dviter les technologies non matrises en interne et de
respecter les recommandations du prsent chapitre.
rgle 6
Connatre les modalits de mises jour de lensemble
des composants logiciels utiliss et se tenir inform des
vulnrabilits de ces composants et des mises jour ncessaires.
Il est primordial de dterminer comment les composants logiciels utiliss par
lentreprise peuvent tre mis jour. Si un composant ne peut tre mis jour, il ne
doit pas tre utilis (voir la rgle 7 pour la gestion des exceptions en la matire).
Par ailleurs, les mises jour (comme les logiciels) ne doivent tre tlcharges que
depuis des sites de confance (le site de leur diteur gnralement).
Il est recommand de traiter en priorit les composants de base (systme
dexploitation, suite bureautique, navigateur et outils ncessaires la navigation
tels que la machine virtuelle Java ou le lecteur Flash, visionneuses de document)
puis de complter linventaire avec lensemble des autres composants logiciels et
dintgrer ces lments la cartographie.
Il est par ailleurs ncessaire dinventorier et de suivre les sources dinformation
susceptibles de remonter des vulnrabilits sur les composants identifs et de
diffuser des mises jour (site des diteurs des logiciels considrs, sites des CERT).
Guide dhyGine informatique
16
authentifier lutilisateur mettre niveau les logiCiels
rgle 7

Dfnir une politique de mise jour et lappliquer strictement.

Cette politique devra comprendre :
les lments mettre jour ;
les responsabilits des diffrents acteurs dans cette mise jour ;
les moyens de rcupration et de qualifcation des mises jour.
Elle pourra prendre la forme dun simple tableau comprenant ces lments.
Lorsquil en existe, il convient dutiliser un outil ddi (par exemple WSUS en
environnement Microsoft) permettant dappliquer les mises jour de manire
homogne sur lensemble du parc. Dune manire gnrale, une qualifcation des
mises jour en termes dimpact sur le fonctionnement du systme doit tre ralise
avant application.
Il est impratif, en vertu de la rgle 6 ci-dessus, de nexclure aucun composant, et
a fortiori aucun poste, de la politique de mise jour.
Cependant, il est malheureusement frquent que des services informatiques
maintiennent en fonctionnement des systmes obsoltes qui ne sont plus supports
par leurs fabricants en raison dune adhrence particulire des applications ce
systme. Dans ce cas, il est primordial disoler ces systmes :
au niveau du rseau, laide dun fltrage trs strict nautorisant quun accs
aux applications ncessaires ;
au niveau de lauthentifcation, en nutilisant aucun mot de passe (systme et
logiciel) commun avec le reste du systme dinformation ;
au niveau des applications, en sassurant que ces systmes nutilisent
pas de ressources partages avec le reste du systme dinformation.
Par ailleurs, les quipements isols (dconnects du rseau) ne doivent pas tre
exclus de la politique de mise jour. Pour ces systmes, une mise jour manuelle
simpose.
Guide dhyGine informatique
17
authentifier lutilisateur mettre niveau les logiCiels
iV - authentifier lutilisateur
Les mots de passe constituent souvent le talon dAchille des systmes dinformation.
En effet, si les organismes dfnissent relativement frquemment une politique de
mots de passe, il est rare quelle soit effectivement applique de manire homogne
sur lensemble du parc informatique.


rgle 8
Identifer nommment chaque personne ayant accs au
systme.


Cette rgle dont lobjet est de supprimer les comptes et accs gnriques et
anonymes est destine faciliter lattribution dune action sur le systme. Cela
sera particulirement utile en cas dincident.
Bien entendu, cette rgle ninterdit pas de conserver des comptes techniques (dits
de service) non attribus une personne physique mais relis un service, un
mtier ou une application (par exemple utilisateur apache pour un serveur web).
Ces comptes doivent cependant tre grs avec une politique au moins aussi stricte
que celle des comptes nominatifs.
rgle 9
Dfnir des rgles de choix et de dimensionnement des mots
de passe.

On trouvera les bonnes pratiques en matire de choix et de dimensionnement des
mots de passe dans le document de lANSSI, Recommandations de scurit relatives
aux mots de passe
3
. Parmi ces rgles, les plus critiques sont de sensibiliser les
utilisateurs aux risques lis au choix dun mot de passe qui puisse se deviner trop
facilement, et la rutilisation de mots de passe en particulier entre messageries
personnelles et professionnelles.
3 Voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-
de-travail-et-des-serveurs/mot-de-passe.html.
Guide dhyGine informatique
18
authentifier lutilisateur authentifier lutilisateur
rgle 10
mettre en place des moyens techniques permettant de faire
respecter les rgles relatives lauthentifcation.

Les moyens permettant de faire respecter la politique en matire dauthentifcation
et de mots de passe pourront tre :
le blocage des comptes tous les 6 mois tant que le mot de passe na pas t
chang ;
le blocage de toute confguration du poste qui permettrait le dmarrage du
poste dans un mode sans mot de passe (autologon) ou depuis un compte
invit ;
la vrifcation que les mots de passe choisis ne sont pas faciles retrouver.
Certains outils permettent par ailleurs nativement de vrifer au moment du
changement de mot de passe que le nouveau mot de passe choisi nest pas
trivialement simple retrouver partir de lancien mot de passe. Bien que lobjectif
de ce type doutil soit louable (il est souvent facile de deviner le nouveau mot de
passe dun utilisateur partir de la connaissance de ses autres mots de passe), il
est fortement dconseill de les utiliser sauf lorsquils sont bien matriss car ils
peuvent ncessiter de conserver un historique des anciens mots de passe.
rgle 11
Ne pas conserver les mots de passe en clair dans des fchiers
sur les systmes informatiques.
Par souci de simplicit, les utilisateurs ou les administrateurs crivent frquemment
leurs mots de passe en clair dans des fchiers stocks sur leurs postes informatiques
ou se les envoient par courriel. Ces pratiques sont proscrire. Les mots de passe ou
les lments secrets stocks sur les machines des utilisateurs sont des lments
recherchs et exploits en priorit par les attaquants.
Il est en outre important de ne pas utiliser de mcanismes automatiques de
sauvegarde des mots de passe (bouton toujours se souvenir du mot de passe
dun navigateur par exemple). Si le nombre de mots de passe impose de recourir
une solution de stockage centralis, il faut recourir un systme dont la scurit a
t expertise. LANSSI a certif des produits permettant ce type dusage
4
.
4 http://www.ssi.gouv.fr/fr/produits-et-prestataires/.
Guide dhyGine informatique
19
authentifier lutilisateur authentifier lutilisateur

rgle 12
Renouveler systmatiquement les lments dauthentifcation
par dfaut (mots de passe, certifcats) sur les quipements
(commutateurs rseau, routeurs, serveurs, imprimantes).

Les lments par dfaut sont systmatiquement connus des attaquants. Par
ailleurs, ils sont bien souvent triviaux (mot de passe identique lidentifant
correspondant, mot de passe partag entre plusieurs quipements dune mme
gamme, etc.). Ils doivent donc tre changs. Si la modifcation nest pas possible
(certifcat en dur dans un quipement par exemple), ce problme critique doit
tre signal au constructeur afn quil corrige au plus vite cette vulnrabilit.
rgle 13
Privilgier lorsque cest possible une authentifcation forte par
carte puce.


Il est fortement recommand de mettre en uvre une authentifcation forte reposant
sur lemploi dune carte puce dont lutilisation ncessite la connaissance dun
code PIN (voir annexe B.3 du rfrentiel gnral de scurit
5
).
La mise en place dun mcanisme de contrle daccs par carte puce sur un
systme nen disposant pas est cependant plus longue et coteuse que la mise en
uvre des autres rgles dcrites dans ce document.
5 http://www.ssi.gouv.fr/rgs.
sCuriser les quipements terminaux
Guide dhyGine informatique
20
20
sCuriser les quipements terminaux
Guide dhyGine informatique
21
sCuriser les quipements terminaux sCuriser les quipements terminaux
V - sCuriser les quiPements
terminaux
Si, il y a encore quelques annes, les attaquants ciblaient en priorit les serveurs,
lattaque dun poste client est aujourdhui lun des moyens les plus simples
pour pntrer sur un rseau. En effet, il nest pas rare que les postes clients
soient moins bien scuriss et surtout moins bien superviss que les serveurs.
rgle 14
mettre en place un niveau de scurit homogne sur lensemble
du parc informatique.


Il est en particulier impratif, au minimum, de dsactiver les services inutiles et
de restreindre les privilges des comptes utilisateurs. Lutilisation dun pare-
feu personnel confgur au minimum pour bloquer les connexions entrantes
non sollicites sur chaque poste client est gnralement indispensable. Sur les
systmes qui le permettent (serveurs ou postes clients sous Linux par exemple), le
durcissement du systme dexploitation par lajout de composants optionnels de
scurit (GRSec, PaX etc.) doit tre envisag.
Par ailleurs, le BIOS des machines doit tre verrouill avec un mot de passe non
trivial et le dmarrage sur supports amovibles ou via le rseau (Wake On LAN)
dsactiv.
Au niveau applicatif, il convient de confgurer le plus fnement possible les clients
de rception de courriel (forcer lmission et la rception de courrier en texte brut
et non en HTML est par exemple une bonne pratique), les navigateurs (bloquer par
dfaut certains contenus et nactiver le support quau cas par cas par exemple), ou
les suites de bureautique (dsactiver les possibilits dexcution des macros).
Concernant ce dernier point, il est noter que le blocage de certains contenus
(javascript, fash), mme sil est primordial du point de vue de la scurit est
souvent peru comme diffcile voire impossible car laccs linformation ncessite
lutilisation de ces technologies. Il est cependant important quau minimum, ces
technologies soient dsactives sur les machines sur lesquelles leur utilisation
nest pas strictement ncessaire.
Guide dhyGine informatique
22
sCuriser les quipements terminaux sCuriser les quipements terminaux
rgle 15
interdire techniquement la connexion des supports amovibles
sauf si cela est strictement ncessaire ; dsactiver lexcution
des autoruns depuis de tels supports.
Les supports amovibles sont un moyen privilgi de propagation des codes
malveillants et dexfltration de donnes. Il convient donc dessayer den limiter
au maximum lusage. Il nest souvent pas raliste dinterdire compltement la
connexion de supports amovibles sur lensemble des machines de lentreprise.
La bonne dmarche est didentifer les machines sur lesquelles la connexion de
support amovibles est ncessaire, de nautoriser la connexion que sur celles-ci et
de reprendre frquemment cette liste dans une optique de minimisation du nombre
de machines qui y fgurent.
De nombreuses organisations privilgient lutilisation de stations blanches (ou sas
daccs ) par lesquelles doivent passer lensemble des supports amovibles avant
dtre connects au systme de lentreprise. Si lobjectif est louable (effectuer un
contrle de linnocuit des supports avant leur connexion), ces stations deviennent
rapidement un point nvralgique du systme dinformation (elles sont accessibles
tous les utilisateurs, elles sont elles-mmes trs exposes). Leur usage ne doit tre
envisag que si elles peuvent tre matrises.
En tout tat de cause, lexcution automatique de code depuis des supports
amovibles (autorun) doit tre systmatiquement interdite techniquement.
Par ailleurs, il est possible sur les systmes Microsoft partir de Windows XP, de
restreindre la possibilit dexcuter des programmes selon divers critres, grce
aux stratgies de restriction logicielle (Software Restriction Policies). Une telle
politique peut tre mise en uvre dans le but de limiter le risque dimportation
involontaire de virus, en particulier par cl USB.
Guide dhyGine informatique
23
sCuriser les quipements terminaux sCuriser les quipements terminaux
rgle 16
utiliser un outil de gestion de parc informatique permettant de
dployer des politiques de scurit et les mises jour sur les
quipements.
Lutilisation dun outil de gestion de parc est primordiale pour assurer le suivi des
postes sur le rseau.
Il est ncessaire dinclure un maximum dquipements informatiques dans le
primtre des quipements grs par loutil en question.
rgle 17
grer les terminaux nomades selon une politique de scurit
au moins aussi stricte que celle des postes fxes.
En cas de disparit de traitement entre les terminaux nomades et les postes fxes,
le niveau rel de scurit du rseau est celui du maillon le plus faible.
Les postes nomades doivent donc bnfcier au moins des mmes mesures de
scurit que les postes fxes (mises jour, restriction de privilges etc.). Les conditions
dutilisation des postes nomades imposent de plus, souvent, le renforcement de
certaines fonctions de scurit (chiffrement de disque, authentifcation renforce,
voir rgle 19) mais la mise en place de telles fonctions sur les postes fxes est
galement une bonne pratique au titre de la dfense en profondeur.
Guide dhyGine informatique
24
sCuriser lintrieur du rseau sCuriser les quipements terminaux

rgle 18
interdire dans tous les cas o cela est possible les connexions
distance sur les postes clients.
Dans les cas o lapplication de cette rgle nest pas possible, respecter strictement
les principes dcrits dans le document technique Recommandations de scurit
relatives la tlassistance
6
.
rgle 19
Chiffrer les donnes sensibles, en particulier sur les postes
nomades et les supports potentiellement perdables.
La perte ou le vol dun quipement (ou dun support) mobile ou nomade peut
tre lourd de consquences pour lentreprise : en labsence de chiffrement, les
donnes stockes sur le terminal (patrimoine technologique de lentreprise, base
de donnes client) seront en effet compromises, et ce mme si le terminal est
teint ou si la session utilisateur est ferme. Il est donc important de chiffrer les
donnes sensibles. Plusieurs produits de chiffrement de disques ou de partitions
(ou supports chiffrants) ont t qualifs par lANSSI
7
. Il convient de les utiliser
en priorit. La qualifcation par lANSSI garantit la robustesse des mcanismes
cryptographiques mis en uvre.
Le chiffrement peut tre ralis sur lensemble du systme (on parle de chiffrement
intgral), sur un sous-ensemble du systme (chiffrement de partitions) ou sur les
fchiers les plus sensibles. Les mcanismes de chiffrement intgral de disque
sont les plus effcaces du point de vue de la scurit et ne ncessitent pas pour
lutilisateur didentifer les fchiers chiffrer. Dans les cas o la mise en uvre de
ce type de systme de chiffrement savre trop complexe (par exemple pour une
organisation de petite taille), il est impratif de mettre disposition des utilisateurs
un systme de chiffrement de partitions.
6 Voir sur le site de lanssi : http://www.ssi.gouv.fr/img/pdf/nP_teleassistance_notetech.pdf.
7 Voir sur le site internet de lanssi : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-
qualifes/ .
Guide dhyGine informatique
25
sCuriser lintrieur du rseau sCuriser les quipements terminaux
Vi - sCuriser lintrieur du rseau
Il est important de ne pas se contenter de mettre en place des mesures primtriques
(pare-feux, serveurs mandataires). En effet, si ces dernires sont indispensables
(voir Section VII), il existe de nombreux moyens pour un attaquant de les contourner.
Il est donc indispensable que le rseau se protge contre un attaquant qui aurait
dj contourn ces mesures de dfense primtriques.
Les services dannuaire (Active Directory, Lightweight Directory Access Protocol
- LDAP) permettant dattribuer chaque utilisateur des droits sur un systme
dinformation sont par ailleurs des lments cruciaux qui constituent une cible de
choix pour les attaquants et dont il convient de vrifer frquemment lintgrit.
rgle 20
Auditer ou faire auditer frquemment la confguration de
lannuaire central (Active Directory en environnement Windows
ou annuaire ldaP par exemple)
Il est recommand de suivre les rgles nonces dans larticle Audit des permissions
en environnement Active Directory
8
. Il convient notamment de vrifer intervalles
rguliers si les droits daccs aux donnes des personnes cls de lentreprise
(dirigeants notamment) sont correctement positionns.
8 Voir http://www.ssi.gouv.fr/active-directory.
Guide dhyGine informatique
26
sCuriser lintrieur du rseau sCuriser lintrieur du rseau
rgle 21
mettre en place des rseaux cloisonns. Pour les postes ou les
serveurs contenant des informations importantes pour la vie de
lentreprise, crer un sous-rseau protg par une passerelle
dinterconnexion spcifque.
Lorsque le rseau est plat
9
, la compromission dun contrleur de domaine
entrane systmatiquement la compromission de lensemble du rseau.
Il est important de prendre en compte cette rgle en amont ds la conception du
rseau. En effet, en fonction de ltendue du rseau et de sa complexit, il sera
souvent trs diffcile a posteriori de cloisonner le rseau. Pour les rseaux dont le
cloisonnement ne serait pas ais, il est recommand :
de prendre en compte les besoins de cloisonnement dans toute nouvelle
extension du rseau ;
dlaborer un plan de rfexion sur larchitecture du rseau qui sort du cadre
strict de lhygine informatique.
rgle 22
viter lusage dinfrastructures sans fl (Wif). Si lusage de ces
technologies ne peut tre vit, cloisonner le rseau daccs
Wif du reste du systme dinformation.
Lusage des technologies sans fl au sein dun rseau nest pas conseill (faibles
garanties en matire de disponibilit, diffcult de dfnition dune architecture
daccs scurise faible cot, etc.).
Si de telles technologies doivent tre employes, la segmentation de larchitecture
rseau doit permettre de limiter les consquences dune intrusion depuis la voie
radio un primtre dtermin. Le cloisonnement du rseau daccs Wif du reste
du rseau est fortement conseill : linterconnexion au rseau principal doit se
9 un rseau plat est un rseau ne mettant en uvre aucun mcanisme de cloisonnement
rseau en interne. Chaque machine du rseau a donc la possibilit daccder nimporte quelle
autre machine du rseau.
Guide dhyGine informatique
27
sCuriser lintrieur du rseau sCuriser lintrieur du rseau
faire au travers dune passerelle matrise permettant de tracer les accs et de
restreindre les changes aux seuls fux ncessaires. La conception dun tel rseau
daccs sort du cadre des mesures lmentaires dhygine informatique.
De plus, il est important davoir prioritairement recours un chiffrement des
rseaux Wif reposant sur WPA Entreprise (EAP-TLS avec chiffrement WPA2 CCMP)
qui permet lauthentifcation des machines par certifcats clients des machines
accdant au rseau. Les mcanismes de protection bass sur une cl partage
doivent tre proscrits ds lors que des prestataires externes ou un trop grand
nombre dutilisateurs doivent tre amens accder ce rseau Wif.
Il convient galement dviter le recours aux technologies CPL (Courants Porteurs
en Ligne) sans avoir recours des mcanismes de protection quivalents ceux
recommands pour les technologies sans fl. Le primtre couvert par le rseau
CPL est en effet diffcile dfnir prcisment.
rgle 23
utiliser systmatiquement des applications et des protocoles
scuriss.
Lutilisation de protocoles scuriss, y compris sur le rseau interne, contribue
la dfense en profondeur et complique la tche dun attaquant qui aurait dj
compromis une machine sur le rseau et qui chercherait tendre son emprise sur
ce dernier.
Les protocoles non scuriss (telnet, FTP, POP, SMTP, HTTP) sont en rgle gnrale
proscrire sur le rseau de lentreprise, et remplacer par leurs quivalents
scuriss (SSH, SFTP, POPS, SMTPS, HTTPS, etc.).
Par ailleurs, il est important que les applications mtier soient dveloppes en
considrant les risques de scurit. Leur adhrence une technologie particulire
(version donne dun systme dexploitation ou dune machine virtuelle Java
typiquement) doit tre rduite, de manire ne pas limiter les capacits de maintien
en conditions de scurit et de mises jour de ces applications.
protger le rseau interne de linternet
Guide dhyGine informatique
29
protger le rseau interne de linternet
Vii - Protger le rseau interne de
linternet
Si certaines attaques peuvent tre dorigine interne, lun des moyens principaux
dattaque constats par lANSSI est linfection suite la connexion sur un site Internet
compromis. Il est donc important, en complment des mesures de protection du
rseau interne, dont la limitation du nombre dinterconnexions prsentes plus
haut dans ce document, de mettre en place des mesures de dfense primtriques
spcifques.
rgle 24
scuriser les passerelles dinterconnexion avec internet.

Il faut pour cela mettre en place des services de scurit correctement confgurs
(par exemple, conformes aux recommandations du document Dfnition
dune architecture de passerelle dinterconnexion scurise
10
) permettant un
cloisonnement entre laccs Internet, la zone de service (DMZ) et le rseau interne.



rgle 25

Vrifer quaucun quipement du rseau ne comporte dinterface
dadministration accessible depuis linternet.
De nombreux quipements comportent des interfaces dadministration (par
exemple via un serveur web). Certaines de ces interfaces sont accessibles par
dfaut et ne seront donc dsactives quen cas daction explicite de ladministrateur
de lquipement. Ces interfaces sont souvent exploites par les attaquants dans le
cadre dune intrusion, a fortiori si elles sont exposes sur Internet. Plusieurs milliers
dentreprises exposent sur Internet ce type dinterface, le plus souvent sans en tre
conscientes.
Cette rgle concerne les imprimantes, les serveurs, les routeurs, les commutateurs
rseau ainsi que les quipements industriels ou de supervision.
10 Voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-des-
reseaux/defnition-d-une-architecture-de-passerelle-d-interconnexion-securisee.html.
surveiller les systmes
Guide dhyGine informatique
31
surveiller les systmes
Viii - surVeiller les systmes
La plupart des mesures dcrites jusquici sont de nature prventive et destines
rduire le risque dexploitation par un attaquant dune des vulnrabilits du
systme. La mise en place de mesures prventives ne dispense jamais dune
supervision du systme lors de son exploitation. Cette supervision doit respecter
les rgles proposes dans ce chapitre.
rgle 26
Dfnir concrtement les objectifs de la supervision des
systmes et des rseaux.
Dans la majeure partie des cas, les vnements suivants doivent gnrer une
alerte qui doit imprativement tre traite dans les 24 heures :
connexion dun utilisateur hors de ses horaires habituels de travail ou pendant
une priode dabsence dclare ;
transfert massif de donnes vers lextrieur de lentreprise ;
tentatives de connexions successives ou rptes sur un service ;
tentatives de connexion sur un compte non actif ;
tentatives de contournement de la politique de scurit (utilisation dun
service interdit, connexion non autorise un service, etc.).
Guide dhyGine informatique
32
sCuriser ladministration du rseau surveiller les systmes
rgle 27
Dfnir les modalits danalyse des vnements journaliss.
Il est primordial de dfnir galement les procdures de vrifcation des journaux
qui permettront de gnrer une alerte ds lors que lun des objectifs identifs nest
pas rempli. Ces procdures devront garantir que les journaux sont frquemment
analyss.
Outre les lments mentionns dans la rgle 26, lanalyse des journaux pourra
notamment se concentrer sur les points suivants :
analyse de la liste des accs aux comptes de messagerie des personnes-cl
de lentreprise ;
analyse des accs aux machines ou aux ressources sensibles de lentreprise.
Afn de faciliter la vrifcation des journaux, il est primordial que les machines soient
synchronises sur la mme horloge.
Guide dhyGine informatique
33
sCuriser ladministration du rseau surveiller les systmes
ix - sCuriser ladministration du
rseau
Dans de nombreux cas traits par lANSSI, les attaquants ont pris le contrle complet,
via internet, des postes des administrateurs ou de comptes dadministration afn de
bnfcier des privilges les plus levs sur le systme.
rgle 28
interdire tout accs internet depuis les comptes
dadministration.

Cette interdiction sapplique en particulier aux machines des administrateurs du
systme. Cette rgle est gnralement mal accepte par les utilisateurs car elle
peut gnrer des contraintes dexploitation (obligation dutiliser des comptes
distincts en fonction des actions ralises). Le poids de cette contrainte peut tre
notablement allg en quipant les administrateurs de deux postes distincts,
afn de leur permettre par exemple de consulter la documentation sur le site
dun constructeur avec un poste (en utilisant leur compte non privilgi) tout en
administrant lquipement concern sur lautre (avec leur compte dadministrateur).
Cela facilite en outre lapplication de la rgle 29.




Le cloisonnement du rseau dadministration vis--vis du rseau de travail
des utilisateurs est impratif. Il est recommand (en fonction des capacits de
lorganisme) :
de privilgier un cloisonnement physique des rseaux ds que cela est
possible ;
dfaut, mettre en uvre un cloisonnement logique cryptographique bas
rgle 29
utiliser un rseau ddi ladministration des quipements
ou au moins un rseau logiquement spar du rseau des
utilisateurs.
Guide dhyGine informatique
34
Contrler laCCs aux loCaux et la sCurit physique sCuriser ladministration du rseau
sur la mise en place de tunnels IPsec reposant sur un produit qualif par
lANSSI. Lintgrit et la confdentialit des informations vhicules sur le rseau
dadministration sont ainsi assures vis--vis du rseau de travail courant de
lentreprise ;
a minima, de mettre en uvre un cloisonnement logique par VLAN.
Les postes dadministration tant particulirement critiques, ils doivent tre suivis
en priorit. La mise jour des postes du rseau dadministration est primordiale.
rgle 30
ne pas donner aux utilisateurs de privilges dadministration.
ne faire aucune exception.
De nombreux utilisateurs, y compris au sommet des hirarchies, sont tents
de demander leur service informatique de pouvoir disposer de privilges plus
importants sur leurs machines (pouvoir installer des logiciels, pouvoir connecter
des quipements personnels, etc.). De tels usages sont cependant excessivement
dangereux et sont susceptibles de mettre en danger le rseau dans son ensemble.
rgle 31

nautoriser laccs distance au rseau dentreprise, y
compris pour ladministration du rseau, que depuis des
postes de lentreprise qui mettent en uvre des mcanismes
dauthentifcation forte et protgeant lintgrit et la
confdentialit des changes laide de moyens robustes.
Privilgier pour cela des mcanismes dauthentifcation et des moyens de protection
de lintgrit et de la confdentialit qualifs par lANSSI.
Guide dhyGine informatique
35
Contrler laCCs aux loCaux et la sCurit physique sCuriser ladministration du rseau
x - Contrler laCCs aux loCaux et
la sCurit Physique
La scurit du systme de contrle daccs aux locaux est bien souvent critique pour
la scurit dune entreprise. En effet, ds lors quun attaquant parvient obtenir
un accs au rseau interne de lentreprise, les mesures de scurit primtriques
mises en place deviennent ineffcaces. La mise en adquation des mesures de
scurit physique avec les besoins de protection des systmes dinformation
est dautant plus complexe que les quipes en charge de ces deux aspects sont
bien souvent distinctes. Les responsabilits de chacune doivent tre clarifes et
formalises.
rgle 32
utiliser imprativement des mcanismes robustes de contrle
daccs aux locaux.
Le mcanisme de contrle daccs mis en uvre doit tre ltat de lart afn
dassurer quil ne puisse pas tre contourn aisment par un attaquant. LANSSI
a publi un guide permettant dassister les entreprises dans la slection dun
mcanisme de contrle daccs robuste
11
.
rgle 33
Protger rigoureusement les cls permettant laccs aux locaux
et les codes dalarme.

Les rgles suivantes doivent tre appliques :
rcuprer systmatiquement les cls ou les badges dun employ son dpart
dfnitif de lentreprise ;
changer frquemment les codes de lalarme de lentreprise ;
ne jamais donner de cl ou de code dalarme des prestataires extrieurs
sauf sil est possible de tracer ces accs et de les restreindre techniquement
des plages horaires donnes.
11 Voir sur le site internet de lanssi : http://www.ssi.gouv.fr/sans-contact.
Guide dhyGine informatique
36
Contrler laCCs aux loCaux et la sCurit physique Contrler laCCs aux loCaux et la sCurit physique

rgle 34
ne pas laisser de prises daccs au rseau interne accessibles
dans les endroits ouverts au public.

Ces endroits publics peuvent tre des salles dattente, des placards ou des couloirs
par exemple. Les attaquants peuvent par exemple rcuprer un accs au rseau de
lentreprise en connectant une machine dattaque en lieu et place des quipements
suivants, ds lors que ceux-ci sont connects au rseau :
imprimantes ou photocopieurs multifonctions entreposs dans un couloir ;
crans daffchage diffusant des fux dinformation ;
camras de surveillance ;
tlphones :
prises rseau dans une salle dattente.
Par ailleurs, les chemins de cbles du rseau interne ne devraient pas non plus tre
accessibles dans les lieux publics.
Sil est toutefois ncessaire de rendre ponctuellement accessible le rseau depuis
une prise situe dans un espace public (pour une prsentation par exemple), la
prise doit tre brasse pour loccasion et dbrasse ds que possible.
Contrler laCCs aux loCaux et la sCurit physique
Guide dhyGine informatique
37
Contrler laCCs aux loCaux et la sCurit physique Contrler laCCs aux loCaux et la sCurit physique Contrler laCCs aux loCaux et la sCurit physique
rgle 35
Dfnir les rgles dutilisation des imprimantes et des
photocopieuses.
Les rgles suivantes peuvent tre dfnies :
utiliser des imprimantes disposant dun mcanisme dimpression ncessitant
la prsence physique du demandeur pour dmarrer limpression ;
dtruire en fn de journe les documents oublis sur limprimante ou la
photocopieuse ;
broyer les documents plutt que les mettre la corbeille papier.
De manire similaire, il est souhaitable de mettre en place des procdures claires
de destruction ou de recyclage des supports informatiques en fn de vie.
organiser la raCtion en Cas dinCident
Guide dhyGine informatique
39
organiser la raCtion en Cas dinCident
xi - organiser la raCtion en Cas
dinCident
Lors de la dcouverte de la compromission dun quipement (ordinateur infect
par un virus par exemple), il est ncessaire de dterminer rapidement, mais sans
prcipitation, la dmarche qui permettra de juger de la gravit potentielle de
lincident afn de prendre les mesures techniques, organisationnelles et juridiques
proportionnes, dendiguer linfection et disoler les machines compromises. Il est
important de rfchir avant dagir de manire ne pas prendre dans lurgence des
dcisions qui pourraient savrer nfastes.
rgle 36

disposer dun plan de reprise et de continuit dactivit
informatique, mme sommaire, tenu rgulirement jour
dcrivant comment sauvegarder les donnes essentielles de
lentreprise.
Disposer dun plan de reprise et de continuit dactivit informatique, comprenant
idalement un volet ddi la raction en cas dattaque informatique, est primordial
pour une entreprise.
Lanalyse des consquences sur lactivit dun certain nombre dvnements
catastrophiques peut tre un bon point de dpart : que se passe-t-il si laccs
Internet ne fonctionne plus pendant deux jours ? Que se passe-t-il si un attaquant
efface toutes les donnes stockes sur les serveurs ?
Les donnes sensibles de lentreprise doivent tre sauvegardes priodiquement.
Cette sauvegarde est de prfrence automatique sur les serveurs de fchiers
et ne repose pas uniquement sur la bonne volont des utilisateurs qui risquent
frquemment de ne pas prendre le temps deffectuer de telles sauvegardes. Les
sauvegardes doivent tre vrifes priodiquement et idalement stockes dans un
lieu distinct de celui o se trouvent les serveurs en fonctionnement.
Guide dhyGine informatique
40
organiser la raCtion en Cas dinCident organiser la raCtion en Cas dinCident

rgle 37
mettre en place une chane dalerte et de raction connue de
tous les intervenants.

Tous les utilisateurs doivent au minimum pouvoir sadresser rapidement un
interlocuteur rfrent, form la raction, pour signaler tout incident. Ils doivent
pouvoir joindre cet interlocuteur facilement et doivent tre informs quil nest pas
souhaitable quils tentent de rgler le problme par eux-mmes.
Lorsque la taille de lentreprise le permet et ds lors que les enjeux le justifent, il
est souhaitable que la chane dalerte comporte un mcanisme dastreinte voire
de permanence permettant de garantir que les incidents constats puissent tre
traits le plus effcacement possible.

rgle 38
ne jamais se contenter de traiter linfection dune machine sans
tenter de savoir comment le code malveillant a pu sinstaller
sur la machine, sil a pu se propager ailleurs dans le rseau et
quelles informations ont t manipules.
De nombreuses entreprises, en ne cherchant pas demble connatre le primtre
rel dune infection, ont perdu plusieurs semaines, voire plusieurs mois, dans le
traitement dun incident. Chaque traitement dincident doit de plus faire lobjet dun
retour dexprience et dune capitalisation permettant dtre plus effcace lorsquun
vnement similaire surgira lavenir.
Les questions se poser sont par exemple les suivantes :
quelle est la nature du poste compromis ? Y en a-t-il dautres du mme type,
exposs aux mmes menaces sur le rseau ?
quelles sont les informations auxquelles lattaquant est susceptible davoir
eu accs ?
le poste compromis a-t-il communiqu avec dautres postes ou serveurs ?
Guide dhyGine informatique
41
organiser la raCtion en Cas dinCident organiser la raCtion en Cas dinCident
En cas de compromission, et afn de faciliter le travail des quipes dinvestigations,
les entits responsables pourront prendre les mesures suivantes :
isoler les machines infectes du rseau (dbrancher le cble rseau) ;
ne pas teindre lectriquement les machines infectes pour prserver les
informations disponibles en mmoire sur le code malveillant ;
raliser, ou faire raliser par des spcialistes, des copies des mmoires et des
disques durs des machines infectes pour conduire les investigations. Vrifer
la bonne intgrit des copies ralises avant toute opration de mise jour, de
modifcation de la confguration, de tentative de nettoyage ou de rinstallation
des machines compromises ;
rinstaller intgralement la machine aprs copie des disques si elle doit tre
remise en production. Ne jamais se contenter dune simple restauration ou dun
nettoyage que peu dexperts seraient en mesure de pratiquer.
sensibiliser sensibiliser
Guide dhyGine informatique
43
43
sensibiliser sensibiliser
xii - sensibiliser
rgle 39
sensibiliser les utilisateurs aux rgles dhygine informatique
lmentaires.
Chaque utilisateur devrait en permanence (au minimum chaque anne) se voir
rappeler :
que les informations traites doivent tre considres comme sensibles ;
que la scurit de ces informations repose, entre autres, sur lexemplarit de
leur comportement et le respect des rgles lmentaires dhygine informatique
(non-contournement de la politique de scurit, verrouillage systmatique de
la session lorsque lutilisateur quitte sa position informatique, non-connexion
dquipements personnels au rseau de lentreprise, non-divulgation de mots
de passe un tiers, non rutilisation de mots de passe professionnels dans la
sphre prive, signalement des vnements suspects, accompagnement des
visiteurs et des intervenants extrieurs, etc.).

Le respect des rgles dhygine qui concernent les utilisateurs devraient fgurer
dans une charte dusage des moyens informatiques vise par chaque utilisateur.

faire auditer la sCurit
Guide dhyGine informatique
45
faire auditer la sCurit
xiii - faire auditer la sCurit

rgle 40
faire raliser des audits de scurit priodiques (au minimum
tous les ans). Chaque audit doit tre associ un plan daction
dont la mise en uvre est suivie au plus haut niveau.


La ralisation daudits techniques sur un systme dinformation est essentielle.
En effet, laudit est le seul moyen effcace de constater concrtement leffcacit
des mesures mises en uvre sur le terrain. Chaque audit permettra de dfnir un
plan dactions correctives mettre en uvre. Des runions de suivi de ce plan
daction doivent tre organises frquemment. Pour une plus grande effcacit,
lavancement du plan daction devra tre synthtis dans un indicateur du tableau
de bord destination des plus hauts degrs de management.
Guide dhyGine informatique
47
index des rgles
rgle 1 - Disposer dune cartographie prcise de linstallation informatique et la
maintenir jour. p. 9
rgle 2 - Disposer dun inventaire exhaustif des comptes privilgis et le
maintenir jour. p. 10
rgle 3 - Rdiger et appliquer des procdures darrive et de dpart des utilisateurs
(personnel, stagiaires). p. 11
rgle 4 - Limiter le nombre daccs Internet de lentreprise au strict ncessaire.
p. 13
rgle 5 - Interdire la connexion dquipements personnels au systme dinformation
de lorganisme. p. 13
rgle 6 - Connatre les modalits de mises jour de lensemble des composants
logiciels utiliss et se tenir inform des vulnrabilits de ces composants et des
mises jour ncessaires. p. 15
rgle 7 - Dfnir une politique de mise jour et lappliquer strictement. p. 16
rgle 8 - Identifer nommment chaque personne ayant accs au systme. p. 17
rgle 9 - Dfnir des rgles de choix et de dimensionnement des mots de passe.
p. 17
rgle 10 - Mettre en place des moyens techniques permettant de faire respecter
les rgles relatives lauthentifcation. p. 18
rgle 11 - Ne pas conserver les mots de passe en clair dans des fchiers sur les
systmes informatiques. p. 18
rgle 12 - Renouveler systmatiquement les lments dauthentifcation par
dfaut (mots de passe, certifcats) sur les quipements (commutateurs rseau,
routeurs, serveurs, imprimantes). p.19
rgle 13 - Privilgier lorsque cest possible une authentifcation forte par carte
puce. p. 19
rgle 14 - Mettre en place un niveau de scurit homogne sur lensemble du parc
informatique. p. 21
Guide dhyGine informatique
48
rgle 15 - Interdire techniquement la connexion des supports amovibles sauf si
cela est strictement ncessaire ; dsactiver lexcution des autoruns depuis de tels
supports. p. 22
rgle 16 - Utiliser un outil de gestion de parc informatique permettant de dployer
des politiques de scurit et les mises jour sur les quipements. p. 23
rgle 17- Grer les terminaux nomades selon une politique de scurit au moins
aussi stricte que celle des postes fxes. p. 23
rgle 18 - Interdire dans tous les cas o cela est possible les connexions distance
sur les postes clients. p. 24
rgle 19 - Chiffrer les donnes sensibles, en particulier sur les postes nomades et
les supports potentiellement perdables. p. 24
rgle 20 - Auditer ou faire auditer frquemment la confguration de lannuaire central
(Active Directory en environnement Windows ou annuaire LDAP par exemple). p. 25
rgle 21 - Mettre en place des rseaux cloisonns. Pour les postes ou les serveurs
contenant des informations importantes pour la vie de lentreprise, crer un sous-
rseau protg par une passerelle dinterconnexion spcifque. p. 26
rgle 22 - viter lusage dinfrastructures sans fl (Wif). Si lusage de ces technologies
ne peut tre vit, cloisonner le rseau daccs Wif du reste du systme dinformation.
p. 26
rgle 23 - Utiliser systmatiquement des applications et des protocoles scuriss.
p. 27
rgle 24 - Scuriser les passerelles dinterconnexion avec Internet. p. 29
rgle 25 - Vrifer quaucun quipement du rseau ne comporte dinterface
dadministration accessible depuis lInternet. p. 29
rgle 26 - Dfnir concrtement les objectifs de la supervision des systmes et des
rseaux. p. 31
rgle 27 - Dfnir les modalits danalyse des vnements journaliss. p. 32
rgle 28 - Interdire tout accs Internet depuis les comptes dadministration. p. 33
rgle 29 - Utiliser un rseau ddi ladministration des quipements ou au moins
un rseau logiquement spar du rseau des utilisateurs. p. 33

Guide dhyGine informatique
49
rgle 30 - Ne pas donner aux utilisateurs de privilges dadministration. Ne faire
aucune exception. p. 34
rgle 31 - Nautoriser laccs distance au rseau dentreprise, y compris pour
ladministration du rseau, que depuis des postes de lentreprise qui mettent
en uvre des mcanismes dauthentifcation forte et protgeant lintgrit et la
confdentialit des changes laide de moyens robustes. p. 34
rgle 32 - Utiliser imprativement des mcanismes robustes de contrle daccs
aux locaux. p. 35
rgle 33 - Protger rigoureusement les cls permettant laccs aux locaux et les
codes dalarme. p. 35
rgle 34 - Ne pas laisser de prises daccs au rseau interne accessibles dans les
endroits ouverts au public. p. 36
rgle 35 - Dfnir les rgles dutilisation des imprimantes et des photocopieuses.
p. 37
rgle 36 - Disposer dun plan de reprise et de continuit dactivit informatique,
mme sommaire, tenu rgulirement jour dcrivant comment sauvegarder les
donnes essentielles de lentreprise. p. 39
rgle 37 - Mettre en place une chane dalerte et de raction connue de tous les
intervenants. p. 40
rgle 38 - Ne jamais se contenter de traiter linfection dune machine sans tenter
de savoir comment le code malveillant a pu sinstaller sur la machine, sil a pu se
propager ailleurs dans le rseau et quelles informations ont t manipules. p. 40
rgle 39 - Sensibiliser les utilisateurs aux rgles dhygine informatique
lmentaires. p. 43
rgle 40 - Faire raliser des audits de scurit priodiques (au minimum tous les
ans). Chaque audit doit tre associ un plan daction dont la mise en uvre est
suivie au plus haut niveau. p. 45
notes
50
Version 1.0 - Janvier 2013
20130621-1040
Licence Ouverte/Open Licence (Etalab - V1)
Agence nationale de la scurit des systmes dinformation
ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr
Messagerie : communication@ssi.gouv.fr