Règle d’hygiène informatique

By 13 juin 2013Article IT

Comment protéger simplement les données des entreprises


L’informatique et Internet ont changé considérablement nos manières de vivre et de travailler. Nous l’utilisons aussi bien dans la vie courante qu’au travail.
Aujourd’hui les entreprises ne peuvent plus se passer de l’informatique et d’Internet et la perte, le vol d’information ou un incident du système informatique peut avoir de lourdes conséquences pour les entreprises (moins de productivité, perte d’argent, de compétitivité…).
C’est pourquoi, il est important de mettre en place des protections pour les informations confidentielles, les données et le réseau informatique.
Les causes d’incidents peuvent être multiples. Cela peut provenir d’erreurs humaines, d’acte de malveillance, mais les agressions externes sont les plus fréquentes.
Pour éviter ce problème, les dirigeants doivent mettre en place une politique de sécurité opérationnelle comprise par tous. Les mesures minimum que les entreprises peuvent mettre en place sont des règles d’hygiène informatique simple, permettant de protéger leurs informations.
Selon l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), il existe 40 règles d’hygiène informatique incontournable, permettant de garantir la compétitivité et la pérennité des entreprises.

 

I. Connaître le système d’information et ses utilisateurs

Afin d’avoir son système informatique sécurisé, il est important de faire l’inventaire de tous les équipements se connectant dessus.

Règle 1 : Disposer d’une cartographie précise de l’installation informatique et la maintenir à jour. Un inventaire du système informatique permet de n’oublier aucun équipement et de réagir rapidement en cas d’incident. Elle doit faire l’objet d’une liste des ressources matérielles et logicielles déployé sur les postes et une identification de l’architecture réseau. Cet inventaire doit être mis à jour régulièrement, enrichi et stocké dans un lieu autre que sur le réseau.

Règle 2 : Disposer d’une liste des utilisateurs ayant des accès privilégiés (un compte administrateur sur le système informatique, un accès aux répertoires de travail des dirigeants, un accès aux messageries des autres utilisateurs, etc.).

Règle 3 : Gérer les procédures d’arrivée et de départ des utilisateurs
Il est important d’attribuer des droits à une personne lors de son arrivée mais il faut les révoquer lors de son départ pour éviter des incidents ou des fuites d’informations.

II. Maîtriser le réseau

Règle 4: Limiter les accès de l’entreprise à Internet au strict nécessaire pour pouvoir facilement centraliser et rendre homogène la surveillance des échanges.

Règle 5 : Inciter les utilisateurs à ne pas connecter leurs équipements personnels au système informatique de l’entreprise. En effet, beaucoup d’équipements personnels sont infectés par des virus ou des attaques car ce sont les utilisateurs qui décident du niveau de sécurité pour les équipements. Il faut donc inciter le personnel à ne pas utiliser les équipements personnels sur les systèmes informatique (par le moyen d’une charte d’utilisation par exemple) car ils contiennent des données sensibles et confidentielles.
Pour les collaborateurs travaillant à distance, l’entreprise doit mettre à disposition des moyens professionnels pour permettre de tels usages (ordinateur professionnel, connexion à distance, etc.).

III. Mettre à niveau les logiciels

Beaucoup de logiciels sont vulnérables et il suffit de quelques heures pour qu’un logiciel soit infecté par un virus ou une attaque malveillante. Il faut donc utiliser en priorité des technologies pérennes et qui sont maîtrisés en interne.

Règle 6 : Déterminer les modalités de mises à jour des composants logiciels et inventorier les vulnérabilités qu’il peut y avoir sur ces logiciels pour effectuer les mises à jour.

Règle 7 : Définir une politique de mise à jour et l’appliquer (mise à jour d’éléments, responsabilité des différents acteurs appliquant les mises à jour, les moyens de récupérer et de qualifier les mises à jour). Les mises à jour doivent être effectuées sur l’ensemble des composants et des postes du système informatique.

 

IV. Authentifier l’utilisateur

Règle 8 : Identifier les utilisateurs ayant un accès au système par un compte nominatif
Il est préférable d’attribuer des comptes nominatifs ou par services, plutôt que des comptes à accès générique et anonyme.

Règle 9 : Définir des règles de choix et du nombre de caractère d’un mot de passe
Pour limiter les risques, il convient de sensibiliser les utilisateurs sur le choix du mot de passe qui ne doit pas se deviner trop facilement et qui ne doit pas être le même sur des adresses emails personnels.

Règle 10 : Mettre en place des moyens techniques permettant de faire respecter la politique d’authentification et de mot de passe en bloquant par exemple des comptes à une période si le mot de passe n’a pas été changé.

Règle 11 : Ne pas garder des mots de passe en clair sur des fichiers stockés sur les postes informatique.

Règle 12 : Renouveler systématiquement les mots de passe et certificats par défaut car ils sont connus des attaquants.

Règle 13 : Privilégier une authentification forte par carte à puce, nécessitant un code PIN.

 

V. Sécuriser les équipements terminaux

Le poste client est le moyen le plus simple pour entrer sur un réseau car il est souvent moins bien sécurisé et supervisé qu’un serveur.

Règle 14 : Mettre en place un niveau de sécurité homogène sur l’ensemble du parc informatique.
Voici quelques règles à suivre :
– Désactiver les services inutiles;
– Mettre en place un pare-feu personnel sur chaque poste client permettant de bloquer les connexions entrantes non souhaitées;
– Ajouter des composants optionnel de sécurité (sur serveur ou poste Linux par exemple);
– Configurer le plus finement possible les clients de réception de courriels, les navigateurs, les suites bureautiques, etc.

Règle 15 : Essayer d’interdire techniquement la connexion des supports amovibles sauf si cela est nécessaire
Les supports amovibles permettent la propagation de virus et d’exfiltration des données. Il faut donc en limiter l’usage pour minimiser les risques.

Règle 16 : Utiliser un outil de gestion de parc informatique pour déployer des politiques de sécurité et les mises à jour sur les équipements.

Règle 17 : Sécuriser les terminaux nomades au même niveau au moins que sur les postes fixes.

Règle 18 : Inciter les utilisateurs à ne pas se connecter à distance sur les postes fixes quand cela est possible.

Règle 19 : Chiffrer les données sensibles, en particulier sur les équipements nomades ou mobiles.
En cas de perte ou de vol d’un appareil mobile ou nomade, les données peuvent être compromises même si le terminal est éteint. Le chiffrement peut être réalisé sur l’ensemble du système, sur un sous-ensemble du système ou sur les fichiers les plus sensibles.

VI. Sécuriser l’intérieur du réseau

Malgré la nécessité des pare-feux et autres moyens de sécurité externes, cela ne suffit pas à sécuriser le réseau interne. De plus, les services d’annuaires (Active Directory, LDAP) permettant d’attribuer des droits aux utilisateurs, sont souvent la cible d’attaque. Il faut donc vérifier fréquemment la configuration des annuaires.

Règle 20 : Vérifier régulièrement la configuration de l’annuaire central pour les droits d’accès.

Règle 21 : Mettre en place des réseaux cloisonnés et créer un sous-réseau pour les postes ou serveurs contenant des informations critiques.

Règle 22 : Segmenter et cloisonner l’architecture réseau WIFI du reste du système d’information pour limiter les intrusions depuis la voie radio.
Si votre entreprise utilise le WIFI, il est important de tracer les accès et de restreindre les échanges aux seuls flux nécessaires.

Règle 23 : Utiliser des applications métier et des protocoles sécurisés (SSH, SFTP, HTTPS, Etc.)

 

VII. Protéger le réseau interne d’Internet

Bien qu’il y ait des attaques d’origine interne, la plupart des attaques proviennent d’Internet suite à une connexion sur un site infecté. Il faut donc mettre en place des mesures spécifiques.

Règle 24 : Sécuriser les passerelles d’interconnexion (DMZ, réseau interne) avec Internet.

Règle 25 : Vérifier et sécuriser les équipements du réseau comportant des interfaces d’administration depuis Internet (via un serveur Web par exemple).

 

VIII. Surveiller les systèmes

Règle 26 : Définir les objectifs de la supervision des systèmes et des réseaux et générer des alertes sur certaines actions (connexion d’un utilisateur hors de ses horaires de travail, tentative de connexion sur un service ou un compte inactif, etc.).

Règle 27 : Définir des procédures d’analyses journalisés sur des événements (par exemple, analyser la liste d’accès au compte de messagerie de l’entreprise, analyser des accès aux machines, etc.).

IX. Sécuriser l’administration du réseau

Règle 28 : Interdire ou déconseiller tout accès à Internet depuis les comptes d’administration, en particulier sur les machines des administrateurs du système.
Une des solutions serait d’équiper les administrateurs de deux postes distincts.

Règle 29 : Cloisonner si possible le réseau d’administration des équipements à celui du réseau des utilisateurs.
Pour cela, les entreprises peuvent choisir de cloisonner physiquement les réseaux, de faire un cloisonnement logique cryptographique ou encore de mettre en place un cloisonnement logique par VLAN. Dans tous les cas, la mise à jour des postes du réseau d’administration est primordiale.

Règle 30 : Ne pas donner aux utilisateurs de privilèges d’administration car cela peut mettre en danger le réseau dans son ensemble.

Règle 31 : Privilégier l’accès à distance au réseau de l’entreprise que depuis des postes de l’entreprise sécurisés, avec une authentification et des paramètres de confidentialité fortes.

X. Contrôler l’accès aux locaux et la sécurité physique

Règle 32 : Utiliser des mécanismes robustes de contrôle d’accès aux locaux.

Règle 33 : Protéger les clés ou les badges permettant l’accès aux locaux (récupérer les accès des employés lorsqu’ils quittent la société, donner les accès aux prestataires extérieurs que sous conditions, etc.) et les codes d’alarme (changer fréquemment les codes de l’entreprise).

Règle 34 : Ne pas laisser, dans la mesure du possible, de prises d’accès au réseau interne, accessible dans les lieux publics (salle d’attente, couloir, etc.).

Règle 35 : Définir des règles d’utilisation des imprimantes et des photocopieuses (par exemple, détruire en fin de journée des documents oubliés sur l’imprimante).

XI. Réfléchir aux moyens à mettre en oeuvre en cas d’incident

Lorsqu’une entreprise découvre un équipement infecté par un virus ou autre, il est nécessaire de réfléchir aux moyens que l’entreprise va mettre en place sans prendre des mesures dans l’urgence qui pourrait être dangereuse.

Règle 36 : Disposer d’un plan de reprise et de continuité d’activité informatique rédigé, décrivant comment sauvegarder les données sensibles de l’entreprise.
Il est préférable de sauvegarder les données périodiquement, de manière automatique et de les stocker dans un endroit distinct de celui où se trouvent les serveurs.

Règle 37 : Désigner un référent qu’il faudra joindre en cas d’incident, et communiquer son nom aux utilisateurs pour qu’ils sachent à qui s’adresser.

Règle 38 : Connaître le périmètre réel de l’infection avant de traiter l’infection d’un équipement.
Il est important pour l’entreprise de voir dans quelles mesures l’infection s’est propagée avant de vouloir traiter l’incident. Pour cela, des mesures peuvent être mise en place :
– Isoler les équipements infectés du réseau;
– Faire des copies des mémoires et des disques durs des machines infectées pour pouvoir connaître l’identité de l’infection;
– Réinstaller intégralement la machine après copie des disques si elle doit être remise en production.

XII. Sensibiliser

Règle 39 : Sensibiliser les utilisateurs aux règles d’hygiène informatique
Il est important que les entreprises sensibilisent les utilisateurs par le moyen d’une charte d’usage car ce sont principalement sur eux que repose la sécurité des données et des informations.

 

XIII. Faire auditer la sécurité

Règle 40 : Faire réaliser des audits de sécurité (idéalement tous les ans).
L’audit est le seul moyen efficace de constater si les procédures mises en œuvre dans l’entreprise sont efficaces ou non. L’audit devra être associé à un plan d’action que l’entreprise devra suivre scrupuleusement.

 

Voir nos autres articles :
Tendances IT de 2013
Le travail collaboratif et le nomadisme