Vous êtes sur la page 1sur 52

guide dhygine informatique

Agence nationale de la scurit des systmes dinformation

Table des matires


-IConnatre le systme dinformation et ses utilisateurs
- II Matriser le rseau
- III Mettre niveau les logiciels
- IV Authentifier lutilisateur
-VScuriser les quipements terminaux
- VI Scuriser lintrieur du rseau
- VII Protger le rseau interne de lInternet
- VIII Surveiller les systmes
- IX Scuriser ladministration du rseau
-XContrler laccs aux locaux et la scurit physique
- XI Organiser la raction en cas dincident
- XII Sensibiliser
- XIII Faire auditer la scurit

9
13
15
17
21
25
29
31
33
35
39
43
45

GUIDE DHYGINE INFORMATIQUE

PRAMBULE
Les formidables dveloppements de linformatique et dInternet ont rvolutionn
nos manires de vivre et de travailler.
La perte ou le vol de certaines informations ou lindisponibilit de son systme
dinformation peuvent avoir de lourdes consquences pour lentreprise: perte
de confiance des clients, des partenaires, avantage pris par un concurrent, perte
dexploitation suite une interruption de la production. Les communications de
lquipe dirigeante sont souvent une cible privilgie.
Bien protger les informations confidentielles confies par des clients et des
partenaires peut dsormais crer un avantage concurrentiel. Plus encore, protger
ses donnes et son rseau informatique est crucial pour la survie de lentreprise et
sa comptitivit.
Si les erreurs humaines ou la malveillance dun salari peuvent tre lorigine dun
incident, les agressions externes sont de plus en plus frquentes: attaque contre le
site Internet de lentreprise, programmes informatiques malveillants cachs dans
des pices jointes des courriels ou dans des cls USB piges, vol de mots de
passe.
Il est de la responsabilit des dirigeants de vrifier que les mesures de protection
adaptes sont mises en place et oprationnelles. Elles doivent faire lobjet dune
politique de scurit crite, comprise et connue de tous et dont lapplication doit
tre rgulirement vrifie par lencadrement.
Parmi ces mesures, il existe des mesures techniques simples, qualifies dhygine
informatique car elles sont la transposition dans le monde numrique de rgles
lmentaires de scurit sanitaire.
La majeure partie des attaques informatiques sur lesquelles lANSSI est intervenue
auraient pu tre vites si les mesures dhygine informatique dcrites dans ce
guide avaient t appliques par les entreprises concernes.
Sadressant aux personnes en charge de la scurit informatique, que ce soit
un responsable de la scurit des systmes dinformation (RSSI) ou toute autre
personne qui remplit cette fonction, ce document prsente les 40 rgles dhygine
informatique incontournables.
Elles ne prtendent pas avoir un caractre dexhaustivit. Elles constituent
cependant le socle minimum des rgles respecter pour protger les informations
dune entreprise.
Ne pas les suivre expose lentreprise des risques dincidents majeurs, susceptibles
de mettre sa comptitivit, voire sa prennit, en danger.

GUIDE DHYGINE INFORMATIQUE

DESTINATION DES RESPONSABLES


INFORMATIQUES
Vous tes responsable de la scurit des systmes dinformation de votre
organisation ou, plus simplement, cest vous que revient la responsabilit du
bon fonctionnement de son informatique. Vous le savez, en quelques annes,
votre mtier a volu au rythme de larrive des technologies de linformation qui
irriguent dsormais toutes les fonctions des entreprises, des administrations, des
collectivits territoriales, comme de notre vie quotidienne. De nouveaux usages
rendent galement plus complexe la matrise des systmes dont vous avez la
charge.
Bases de donnes des clients, contrats commerciaux ou brevets, donnes de
production, dossiers des usagers, dmarches administratives, informations
concernant un march public sont dsormais accessibles en ligne, le plus souvent
via Internet travers des postes de travail ou des tlphones mobiles.
Les consquences quauraient pour votre organisation la perte ou le vol de certaines
informations ou lindisponibilit de son informatique peuvent tre extrmement
lourdes. linverse, bien protger les informations confidentielles de lentreprise
ou celles confies par des clients, des partenaires ou des fournisseurs gnre la
confiance et fluidifie lactivit.
Si les erreurs humaines ou la malveillance dun employ peuvent parfois tre
lorigine dun incident, les agressions externes, des fins despionnage voire de
sabotage, sont aujourdhui extrmement frquentes et discrtes.
Toutefois, de nombreuses attaques informatiques, traites par lagence nationale
de scurit des systmes dinformation (ANSSI), auraient pu tre vites si des
mesures techniques essentielles avaient t appliques par les organisations
victimes.
Certaines de ces mesures peuvent tre qualifies de rgles lmentaires
dhygine informatique. Ne pas les suivre expose inutilement votre organisation
des risques dincidents majeurs, susceptibles de mettre son fonctionnement ou sa
comptitivit en danger, voire dentraner larrt de son activit.
Ce guide sadresse vous. Il vous prsente les 40 rgles dhygine informatique
essentielles pour assurer la scurit de votre systme dinformation et le moyen de
les mettre en uvre. Non exhaustives, ces rgles reprsentent cependant le socle
minimum respecter pour protger les informations de votre organisation.
Une fois ces rgles partages et appliques, vous aurez accompli une part
importante de votre mission: permettre votre organisation dinteragir avec ses
fournisseurs et ses partenaires, de servir ses clients, en respectant lintgrit et la
confidentialit des informations qui les concernent.
6

GUIDE DHYGINE INFORMATIQUE

Ce document se concentre sur les systmes de bureautique classiques. Bien quun


certain nombre des recommandations dcrites ici sappliquent galement aux
systmes industriels, lANSSI a publi un guide spcifique pour assurer la scurit
des systmes de ce type1.

Voir sur le site de lANSSI : www.ssi.gouv.fr/systemesindustriels.

GUIDE DHYGINE INFORMATIQUE

Connatre le systme dinformation et ses utilisateurs

I - CONNATRE LE SYSTME
DINFORMATION ET SES UTILISATEURS
La connaissance de son propre systme dinformation est un pralable important
sa scurisation. En effet, si le systme dinformation comprend un quipement
rgulirement omis des inventaires, cet quipement, qui deviendra rapidement
obsolte, sera une cible de choix pour un attaquant.

Rgle 1
Disposer dune cartographie prcise
informatique et la maintenir jour.

de

linstallation

Llaboration dune cartographie du systme dinformation est le premier pas vers


une meilleure connaissance du systme dinformation. Elle permettra dlaborer
plus facilement des mesures de scurit adaptes au systme, de garantir
quaucun quipement nest oubli lors de lapplication dune mesure de scurit et
de faciliter la raction en cas dincident.
Cette cartographie doit au minimum comprendre les lments suivants:
liste des ressources matrielles (avec leur modle) et logicielles (avec leur
version) utilises. Il convient bien entendu dtre le plus prcis possible. Pour
entamer la dmarche, ltablissement dune liste des machines dployes
associes leurs attributaires et leurs paramtres techniques (adresse IP,
adresse MAC) dune part, et des logiciels principaux dploys sur ces postes
(suite bureautique, visionneuse PDF, navigateur, client de messagerie) avec
leurs versions peut tre envisag. Par ailleurs, les postes dadministration
doivent faire partie du primtre de la cartographie. Plus le parc est homogne,
plus ltablissement et le maintien jour dune telle liste sont aiss;
architecture rseau sur laquelle sont identifis les points nvralgiques
(connexions externes1, serveurs hbergeant des donnes ou des fonctions
sensibles, etc.).

1 Inventorier en particulier tous les accs Internet du systme dinformation et toutes les
interconnexions avec des rseaux partenaires (fournisseurs, partenaires commerciaux, etc.). Cet
inventaire doit tre exhaustif. Il doit comprendre les accs ADSL ventuellement mis en place
pour les besoins spcifiques des utilisateurs ainsi que les liaisons spcialises.

GUIDE DHYGINE INFORMATIQUE

Connatre le systme dinformation et ses utilisateurs


Une fois cette cartographie tablie, elle doit tre maintenue jour et enrichie,
notamment avec des lments lis aux protocoles mis en uvre (matrices de flux).
Cette cartographie ne doit idalement pas tre stocke sur le rseau quelle
reprsente, car il sagit de lun des lments que lattaquant va rechercher en
premier lieu en cas dintrusion russie.

Rgle 2
Disposer dun inventaire exhaustif des comptes privilgis et le
maintenir jour.
A minima, il est important de disposer de la liste:
des utilisateurs qui disposent dun compte administrateur (ou de privilges
suprieurs ceux dun utilisateur standard) sur le systme dinformation;
des utilisateurs qui disposent de privilges suffisants pour accder aux
rpertoires de travail des dirigeants ou, a fortiori, de lensemble des utilisateurs;
des utilisateurs qui disposent dun poste non administr par le service
informatique et donc non gr selon la politique de scurit gnrale de
lorganisme.

Cette liste doit bien entendu tre maintenue jour.


Par ailleurs, il est souhaitable de disposer de la liste des utilisateurs qui disposent
de privilges suffisants pour lire la messagerie des dirigeants de la socit ou a
fortiori de lensemble des utilisateurs. Ltablissement de la liste des personnes
ayant rellement accs ces informations est cependant parfois extrmement
difficile. Si la liste ne peut tre tablie de manire fiable, une journalisation des
accs aux botes lettres et une vrification priodique de la liste des personnes
ayant consult les botes lettres les plus sensibles devraient tre ralise (voir
rgle 26).
Sur un systme Windows, la plupart de ces informations peuvent tre obtenues
par lanalyse de la configuration de lActive Directory. Le document Audit des
permissions en environnement Active Directory2 disponible sur le site de lANSSI
prcise un ensemble de mthodes permettant den raliser linventaire.
2

10

Voir sur le site Internet de lANSSI: http://www.ssi.gouv.fr/Active-Directory.

GUIDE DHYGINE INFORMATIQUE

Connatre le systme dinformation et ses utilisateurs


Il est de plus trs fortement recommand dutiliser une nomenclature claire pour
les noms de comptes (faire systmatiquement prcder les noms de comptes de
service par le prfixe SRV, les comptes dadministration du prfixe ADM).

Rgle 3
Rdiger et appliquer des procdures darrive et de dpart des
utilisateurs (personnel, stagiaires).
Ces procdures sont destines garantir que les droits octroys sur le
systme dinformation sont appliqus au plus juste. Notamment, il est
important que lensemble des droits affects une personne soient
rvoqus lors de son dpart. Les procdures doivent dcrire a minima:
la gestion (cration / destruction) des comptes informatiques (et des botes
lettres associes) et lattribution des droits associs ces comptes sur le
systme dinformation, y compris pour les partenaires et les prestataires
externes;
la gestion des accs aux locaux (perception et restitution des cartes daccs
aux locaux notamment);
la gestion des quipements mobiles;
la gestion des documents sensibles (dtention, ventuelles autorisations de
sortie);
la gestion du contrle des habilitations du personnel.

Il est important de bien grer les mutations de personnel, soit en les traitant comme
un dpart suivi dune arrive soit en dfinissant une procdure adapte. On observe
frquemment une inflation des privilges associs certains comptes utilisateur du
fait de mouvements internes qui conduisent louverture de nouveaux droits sans
suppression de ceux devenus inutiles.

GUIDE DHYGINE INFORMATIQUE

11

Matriser le rseau

II - MATRISER LE RSEAU
Rgle 4
Limiter le nombre daccs Internet de lentreprise au strict
ncessaire.
Il convient de connatre prcisment les points daccs Internet (box ADSL, etc.)
et les interconnexions avec des rseaux partenaires et de les limiter au strict
ncessaire de manire pouvoir plus facilement centraliser et rendre homogne la
surveillance des changes.

Rgle 5
Interdire la connexion dquipements personnels au systme
dinformation de lorganisme.
La connexion des quipements personnels ne peut tre envisage que sur des
rseaux ne contenant strictement aucune information sensible. Les quipements
personnels (assistants personnels, tablettes, smartphones, lecteurs MP3, cls USB)
sont en effet difficilement matrisables par lorganisme dans la mesure o ce sont les
utilisateurs eux-mmes qui dcident du niveau de scurit de leurs quipements.
Les mesures de scurit en vigueur au sein dun tablissement ou dune entreprise
ne peuvent donc, par essence, pas sappliquer ce type dquipement.
Cette rgle est le plus souvent perue comme une contrainte inacceptable
voire rtrograde par de trs nombreux utilisateurs. Cependant, y droger facilite
grandement le travail dun attaquant en fragilisant le rseau de lentreprise. En effet,
sur une centaine dquipements personnels connects au rseau dune entreprise,
on estime statistiquement quau minimum dix dentre eux sont compromis par un
code malveillant gnrique (sans parler dattaque cible).
Il est donc important dinterdire ou dempcher leur connexion au systme
dinformation de lentreprise. Cette interdiction est dabord organisationnelle:
mme si aucune rgle technique nempche leur connexion, il convient dinciter
les utilisateurs ne pas recourir de telles pratiques par exemple au moyen de la
charte dutilisation des moyens informatiques.
Cette interdiction doit dans la mesure du possible tre complte par des mesures

GUIDE DHYGINE INFORMATIQUE

13

Matriser le rseau
techniques, dont la mise en uvre peut toutefois savrer plus complexe (contrle
systmatique daccs au rseau, dsactivation des ports USB).
Lorsque le travail distance est ncessaire, lorganisme doit fournir des moyens
professionnels pour permettre de tels usages. Le transfert de messages des
messageries professionnelles vers des messageries personnelles doit tre
explicitement interdit.

14

GUIDE DHYGINE INFORMATIQUE

Mettre niveau les logiciels

III - METTRE NIVEAU LES LOGICIELS


Chaque jour, des vulnrabilits sont mises en vidence dans de trs nombreux
logiciels largement utiliss. Quelques heures sont parfois suffisantes pour que des
codes malveillants exploitant ces vulnrabilits commencent circuler sur Internet.
Il est donc trs important dutiliser en priorit des technologies prennes, dont
le support est assur, dviter les technologies non matrises en interne et de
respecter les recommandations du prsent chapitre.

Rgle 6
Connatre les modalits de mises jour de lensemble
des composants logiciels utiliss et se tenir inform des
vulnrabilits de ces composants et des mises jour ncessaires.
Il est primordial de dterminer comment les composants logiciels utiliss par
lentreprise peuvent tre mis jour. Si un composant ne peut tre mis jour, il ne
doit pas tre utilis (voir la rgle 7 pour la gestion des exceptions en la matire).
Par ailleurs, les mises jour (comme les logiciels) ne doivent tre tlcharges que
depuis des sites de confiance (le site de leur diteur gnralement).
Il est recommand de traiter en priorit les composants de base (systme
dexploitation, suite bureautique, navigateur et outils ncessaires la navigation
tels que la machine virtuelle Java ou le lecteur Flash, visionneuses de document)
puis de complter linventaire avec lensemble des autres composants logiciels et
dintgrer ces lments la cartographie.
Il est par ailleurs ncessaire dinventorier et de suivre les sources dinformation
susceptibles de remonter des vulnrabilits sur les composants identifis et de
diffuser des mises jour (site des diteurs des logiciels considrs, sites des CERT).

GUIDE DHYGINE INFORMATIQUE

15

Mettre niveau les logiciels

Rgle 7
Dfinir une politique de mise jour et lappliquer strictement.
Cette politique devra comprendre:
les lments mettre jour;
les responsabilits des diffrents acteurs dans cette mise jour;
les moyens de rcupration et de qualification des mises jour.
Elle pourra prendre la forme dun simple tableau comprenant ces lments.

Lorsquil en existe, il convient dutiliser un outil ddi (par exemple WSUS en


environnement Microsoft) permettant dappliquer les mises jour de manire
homogne sur lensemble du parc. Dune manire gnrale, une qualification des
mises jour en termes dimpact sur le fonctionnement du systme doit tre ralise
avant application.
Il est impratif, en vertu de la rgle 6 ci-dessus, de nexclure aucun composant, et
a fortiori aucun poste, de la politique de mise jour.
Cependant, il est malheureusement frquent que des services informatiques
maintiennent en fonctionnement des systmes obsoltes qui ne sont plus supports
par leurs fabricants en raison dune adhrence particulire des applications ce
systme. Dans ce cas, il est primordial disoler ces systmes :
au niveau du rseau, laide dun filtrage trs strict nautorisant quun accs
aux applications ncessaires;
au niveau de lauthentification, en nutilisant aucun mot de passe (systme et
logiciel) commun avec le reste du systme dinformation ;
au niveau des applications, en sassurant que ces systmes nutilisent
pas de ressources partages avec le reste du systme dinformation.

Par ailleurs, les quipements isols (dconnects du rseau) ne doivent pas tre
exclus de la politique de mise jour. Pour ces systmes, une mise jour manuelle
simpose.

16

GUIDE DHYGINE INFORMATIQUE

Authentifier lutilisateur

IV - AUTHENTIFIER LUTILISATEUR
Les mots de passe constituent souvent le talon dAchille des systmes dinformation.
En effet, si les organismes dfinissent relativement frquemment une politique de
mots de passe, il est rare quelle soit effectivement applique de manire homogne
sur lensemble du parc informatique.

Rgle 8
Identifier nommment chaque personne ayant accs au
systme.
Cette rgle dont lobjet est de supprimer les comptes et accs gnriques et
anonymes est destine faciliter lattribution dune action sur le systme. Cela
sera particulirement utile en cas dincident.
Bien entendu, cette rgle ninterdit pas de conserver des comptes techniques (dits
de service) non attribus une personne physique mais relis un service, un
mtier ou une application (par exemple utilisateur apache pour un serveur web).
Ces comptes doivent cependant tre grs avec une politique au moins aussi stricte
que celle des comptes nominatifs.

Rgle 9
Dfinir des rgles de choix et de dimensionnement des mots
de passe.
On trouvera les bonnes pratiques en matire de choix et de dimensionnement des
mots de passe dans le document de lANSSI, Recommandations de scurit relatives
aux mots de passe3. Parmi ces rgles, les plus critiques sont de sensibiliser les
utilisateurs aux risques lis au choix dun mot de passe qui puisse se deviner trop
facilement, et la rutilisation de mots de passe en particulier entre messageries
personnelles et professionnelles.

Voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-postede-travail-et-des-serveurs/mot-de-passe.html.

GUIDE DHYGINE INFORMATIQUE

17

Authentifier lutilisateur

Rgle 10
Mettre en place des moyens techniques permettant de faire
respecter les rgles relatives lauthentification.
Les moyens permettant de faire respecter la politique en matire dauthentification
et de mots de passe pourront tre:
le blocage des comptes tous les 6 mois tant que le mot de passe na pas t
chang;
le blocage de toute configuration du poste qui permettrait le dmarrage du
poste dans un mode sans mot de passe (autologon) ou depuis un compte
invit;
la vrification que les mots de passe choisis ne sont pas faciles retrouver.
Certains outils permettent par ailleurs nativement de vrifier au moment du
changement de mot de passe que le nouveau mot de passe choisi nest pas
trivialement simple retrouver partir de lancien mot de passe. Bien que lobjectif
de ce type doutil soit louable (il est souvent facile de deviner le nouveau mot de
passe dun utilisateur partir de la connaissance de ses autres mots de passe), il
est fortement dconseill de les utiliser sauf lorsquils sont bien matriss car ils
peuvent ncessiter de conserver un historique des anciens mots de passe.

Rgle 11
Ne pas conserver les mots de passe en clair dans des fichiers
sur les systmes informatiques.
Par souci de simplicit, les utilisateurs ou les administrateurs crivent frquemment
leurs mots de passe en clair dans des fichiers stocks sur leurs postes informatiques
ou se les envoient par courriel. Ces pratiques sont proscrire. Les mots de passe ou
les lments secrets stocks sur les machines des utilisateurs sont des lments
recherchs et exploits en priorit par les attaquants.
Il est en outre important de ne pas utiliser de mcanismes automatiques de
sauvegarde des mots de passe (bouton toujours se souvenir du mot de passe
dun navigateur par exemple). Si le nombre de mots de passe impose de recourir
une solution de stockage centralis, il faut recourir un systme dont la scurit a
t expertise. LANSSI a certifi des produits permettant ce type dusage4.
4

18

http://www.ssi.gouv.fr/fr/produits-et-prestataires/.

GUIDE DHYGINE INFORMATIQUE

Authentifier lutilisateur

Rgle 12
Renouveler systmatiquement les lments dauthentification
par dfaut (mots de passe, certificats) sur les quipements
(commutateurs rseau, routeurs, serveurs, imprimantes).

Les lments par dfaut sont systmatiquement connus des attaquants. Par
ailleurs, ils sont bien souvent triviaux (mot de passe identique lidentifiant
correspondant, mot de passe partag entre plusieurs quipements dune mme
gamme, etc.). Ils doivent donc tre changs. Si la modification nest pas possible
(certificat en dur dans un quipement par exemple), ce problme critique doit
tre signal au constructeur afin quil corrige au plus vite cette vulnrabilit.

Rgle 13
Privilgier lorsque cest possible une authentification forte par
carte puce.
Il est fortement recommand de mettre en uvre une authentification forte reposant
sur lemploi dune carte puce dont lutilisation ncessite la connaissance dun
code PIN (voir annexe B.3 du rfrentiel gnral de scurit5).
La mise en place dun mcanisme de contrle daccs par carte puce sur un
systme nen disposant pas est cependant plus longue et coteuse que la mise en
uvre des autres rgles dcrites dans ce document.

http://www.ssi.gouv.fr/rgs.

GUIDE DHYGINE INFORMATIQUE

19

20
20

GUIDE DHYGINE INFORMATIQUE

Scuriser les quipements terminaux

V - SCURISER LES QUIPEMENTS


TERMINAUX
Si, il y a encore quelques annes, les attaquants ciblaient en priorit les serveurs,
lattaque dun poste client est aujourdhui lun des moyens les plus simples
pour pntrer sur un rseau. En effet, il nest pas rare que les postes clients
soient moins bien scuriss et surtout moins bien superviss que les serveurs.

Rgle 14
Mettre en place un niveau de scurit homogne sur lensemble
du parc informatique.
Il est en particulier impratif, au minimum, de dsactiver les services inutiles et
de restreindre les privilges des comptes utilisateurs. Lutilisation dun parefeu personnel configur au minimum pour bloquer les connexions entrantes
non sollicites sur chaque poste client est gnralement indispensable. Sur les
systmes qui le permettent (serveurs ou postes clients sous Linux par exemple), le
durcissement du systme dexploitation par lajout de composants optionnels de
scurit (GRSec, PaX etc.) doit tre envisag.
Par ailleurs, le BIOS des machines doit tre verrouill avec un mot de passe non
trivial et le dmarrage sur supports amovibles ou via le rseau (Wake On LAN)
dsactiv.
Au niveau applicatif, il convient de configurer le plus finement possible les clients
de rception de courriel (forcer lmission et la rception de courrier en texte brut
et non en HTML est par exemple une bonne pratique), les navigateurs (bloquer par
dfaut certains contenus et nactiver le support quau cas par cas par exemple), ou
les suites de bureautique (dsactiver les possibilits dexcution des macros).
Concernant ce dernier point, il est noter que le blocage de certains contenus
(javascript, flash), mme sil est primordial du point de vue de la scurit est
souvent peru comme difficile voire impossible car laccs linformation ncessite
lutilisation de ces technologies. Il est cependant important quau minimum, ces
technologies soient dsactives sur les machines sur lesquelles leur utilisation
nest pas strictement ncessaire.

GUIDE DHYGINE INFORMATIQUE

21

Scuriser les quipements terminaux

Rgle 15
Interdire techniquement la connexion des supports amovibles
sauf si cela est strictement ncessaire; dsactiver lexcution
des autoruns depuis de tels supports.
Les supports amovibles sont un moyen privilgi de propagation des codes
malveillants et dexfiltration de donnes. Il convient donc dessayer den limiter
au maximum lusage. Il nest souvent pas raliste dinterdire compltement la
connexion de supports amovibles sur lensemble des machines de lentreprise.
La bonne dmarche est didentifier les machines sur lesquelles la connexion de
support amovibles est ncessaire, de nautoriser la connexion que sur celles-ci et
de reprendre frquemment cette liste dans une optique de minimisation du nombre
de machines qui y figurent.
De nombreuses organisations privilgient lutilisation de stations blanches (ou sas
daccs) par lesquelles doivent passer lensemble des supports amovibles avant
dtre connects au systme de lentreprise. Si lobjectif est louable (effectuer un
contrle de linnocuit des supports avant leur connexion), ces stations deviennent
rapidement un point nvralgique du systme dinformation (elles sont accessibles
tous les utilisateurs, elles sont elles-mmes trs exposes). Leur usage ne doit tre
envisag que si elles peuvent tre matrises.
En tout tat de cause, lexcution automatique de code depuis des supports
amovibles (autorun) doit tre systmatiquement interdite techniquement.
Par ailleurs, il est possible sur les systmes Microsoft partir de Windows XP, de
restreindre la possibilit dexcuter des programmes selon divers critres, grce
aux stratgies de restriction logicielle (Software Restriction Policies). Une telle
politique peut tre mise en uvre dans le but de limiter le risque dimportation
involontaire de virus, en particulier par cl USB.

22

GUIDE DHYGINE INFORMATIQUE

Scuriser les quipements terminaux

Rgle 16
Utiliser un outil de gestion de parc informatique permettant de
dployer des politiques de scurit et les mises jour sur les
quipements.
Lutilisation dun outil de gestion de parc est primordiale pour assurer le suivi des
postes sur le rseau.
Il est ncessaire dinclure un maximum dquipements informatiques dans le
primtre des quipements grs par loutil en question.

Rgle 17
Grer les terminaux nomades selon une politique de scurit
au moins aussi stricte que celle des postes fixes.
En cas de disparit de traitement entre les terminaux nomades et les postes fixes,
le niveau rel de scurit du rseau est celui du maillon le plus faible.
Les postes nomades doivent donc bnficier au moins des mmes mesures de
scurit que les postes fixes (mises jour, restriction de privilges etc.). Les conditions
dutilisation des postes nomades imposent de plus, souvent, le renforcement de
certaines fonctions de scurit (chiffrement de disque, authentification renforce,
voir rgle 19) mais la mise en place de telles fonctions sur les postes fixes est
galement une bonne pratique au titre de la dfense en profondeur.

GUIDE DHYGINE INFORMATIQUE

23

Scuriser les quipements terminaux

Rgle 18
Interdire dans tous les cas o cela est possible les connexions
distance sur les postes clients.
Dans les cas o lapplication de cette rgle nest pas possible, respecter strictement
les principes dcrits dans le document technique Recommandations de scurit
relatives la tlassistance6.

Rgle 19

Chiffrer les donnes sensibles, en particulier sur les postes


nomades et les supports potentiellement perdables.
La perte ou le vol dun quipement (ou dun support) mobile ou nomade peut
tre lourd de consquences pour lentreprise : en labsence de chiffrement, les
donnes stockes sur le terminal (patrimoine technologique de lentreprise, base
de donnes client) seront en effet compromises, et ce mme si le terminal est
teint ou si la session utilisateur est ferme. Il est donc important de chiffrer les
donnes sensibles. Plusieurs produits de chiffrement de disques ou de partitions
(ou supports chiffrants) ont t qualifis par lANSSI7. Il convient de les utiliser
en priorit. La qualification par lANSSI garantit la robustesse des mcanismes
cryptographiques mis en uvre.
Le chiffrement peut tre ralis sur lensemble du systme (on parle de chiffrement
intgral), sur un sous-ensemble du systme (chiffrement de partitions) ou sur les
fichiers les plus sensibles. Les mcanismes de chiffrement intgral de disque
sont les plus efficaces du point de vue de la scurit et ne ncessitent pas pour
lutilisateur didentifier les fichiers chiffrer. Dans les cas o la mise en uvre de
ce type de systme de chiffrement savre trop complexe (par exemple pour une
organisation de petite taille), il est impratif de mettre disposition des utilisateurs
un systme de chiffrement de partitions.

6
7

24

Voir sur le site de lANSSI: http://www.ssi.gouv.fr/IMG/pdf/NP_Teleassistance_NoteTech.pdf.


Voir sur le site Internet de lANSSI : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produitsqualifies/ .

GUIDE DHYGINE INFORMATIQUE

Scuriser lintrieur du rseau

VI - SCURISER LINTRIEUR DU RSEAU


Il est important de ne pas se contenter de mettre en place des mesures primtriques
(pare-feux, serveurs mandataires). En effet, si ces dernires sont indispensables
(voir Section VII), il existe de nombreux moyens pour un attaquant de les contourner.
Il est donc indispensable que le rseau se protge contre un attaquant qui aurait
dj contourn ces mesures de dfense primtriques.
Les services dannuaire (Active Directory, Lightweight Directory Access Protocol
- LDAP) permettant dattribuer chaque utilisateur des droits sur un systme
dinformation sont par ailleurs des lments cruciaux qui constituent une cible de
choix pour les attaquants et dont il convient de vrifier frquemment lintgrit.

Rgle 20
Auditer ou faire auditer frquemment la configuration de
lannuaire central (Active Directory en environnement Windows
ou annuaire LDAP par exemple)
Il est recommand de suivre les rgles nonces dans larticle Audit des permissions
en environnement Active Directory8. Il convient notamment de vrifier intervalles
rguliers si les droits daccs aux donnes des personnes cls de lentreprise
(dirigeants notamment) sont correctement positionns.

Voir http://www.ssi.gouv.fr/Active-Directory.

GUIDE DHYGINE INFORMATIQUE

25

Scuriser lintrieur du rseau

Rgle 21
Mettre en place des rseaux cloisonns. Pour les postes ou les
serveurs contenant des informations importantes pour la vie de
lentreprise, crer un sous-rseau protg par une passerelle
dinterconnexion spcifique.
Lorsque le rseau est plat 9, la compromission dun contrleur de domaine
entrane systmatiquement la compromission de lensemble du rseau.
Il est important de prendre en compte cette rgle en amont ds la conception du
rseau. En effet, en fonction de ltendue du rseau et de sa complexit, il sera
souvent trs difficile a posteriori de cloisonner le rseau. Pour les rseaux dont le
cloisonnement ne serait pas ais, il est recommand:
de prendre en compte les besoins de cloisonnement dans toute nouvelle
extension du rseau;
dlaborer un plan de rflexion sur larchitecture du rseau qui sort du cadre
strict de lhygine informatique.

Rgle 22
viter lusage dinfrastructures sans fil (Wifi). Si lusage de ces
technologies ne peut tre vit, cloisonner le rseau daccs
Wifi du reste du systme dinformation.
Lusage des technologies sans fil au sein dun rseau nest pas conseill (faibles
garanties en matire de disponibilit, difficult de dfinition dune architecture
daccs scurise faible cot, etc.).
Si de telles technologies doivent tre employes, la segmentation de larchitecture
rseau doit permettre de limiter les consquences dune intrusion depuis la voie
radio un primtre dtermin. Le cloisonnement du rseau daccs Wifi du reste
du rseau est fortement conseill: linterconnexion au rseau principal doit se
9

26

Un rseau plat est un rseau ne mettant en uvre aucun mcanisme de cloisonnement


rseau en interne. Chaque machine du rseau a donc la possibilit daccder nimporte quelle
autre machine du rseau.

GUIDE DHYGINE INFORMATIQUE

Scuriser lintrieur du rseau


faire au travers dune passerelle matrise permettant de tracer les accs et de
restreindre les changes aux seuls flux ncessaires. La conception dun tel rseau
daccs sort du cadre des mesures lmentaires dhygine informatique.
De plus, il est important davoir prioritairement recours un chiffrement des
rseaux Wifi reposant sur WPA Entreprise (EAP-TLS avec chiffrement WPA2 CCMP)
qui permet lauthentification des machines par certificats clients des machines
accdant au rseau. Les mcanismes de protection bass sur une cl partage
doivent tre proscrits ds lors que des prestataires externes ou un trop grand
nombre dutilisateurs doivent tre amens accder ce rseau Wifi.
Il convient galement dviter le recours aux technologies CPL (Courants Porteurs
en Ligne) sans avoir recours des mcanismes de protection quivalents ceux
recommands pour les technologies sans fil. Le primtre couvert par le rseau
CPL est en effet difficile dfinir prcisment.

Rgle 23
Utiliser systmatiquement des applications et des protocoles
scuriss.
Lutilisation de protocoles scuriss, y compris sur le rseau interne, contribue
la dfense en profondeur et complique la tche dun attaquant qui aurait dj
compromis une machine sur le rseau et qui chercherait tendre son emprise sur
ce dernier.
Les protocoles non scuriss (telnet, FTP, POP, SMTP, HTTP) sont en rgle gnrale
proscrire sur le rseau de lentreprise, et remplacer par leurs quivalents
scuriss (SSH, SFTP, POPS, SMTPS, HTTPS, etc.).
Par ailleurs, il est important que les applications mtier soient dveloppes en
considrant les risques de scurit. Leur adhrence une technologie particulire
(version donne dun systme dexploitation ou dune machine virtuelle Java
typiquement) doit tre rduite, de manire ne pas limiter les capacits de maintien
en conditions de scurit et de mises jour de ces applications.

GUIDE DHYGINE INFORMATIQUE

27

Protger le rseau interne de linternet

VII - PROTGER LE RSEAU INTERNE DE


LINTERNET
Si certaines attaques peuvent tre dorigine interne, lun des moyens principaux
dattaque constats par lANSSI est linfection suite la connexion sur un site Internet
compromis. Il est donc important, en complment des mesures de protection du
rseau interne, dont la limitation du nombre dinterconnexions prsentes plus
haut dans ce document, de mettre en place des mesures de dfense primtriques
spcifiques.

Rgle 24
Scuriser les passerelles dinterconnexion avec Internet.
Il faut pour cela mettre en place des services de scurit correctement configurs
(par exemple, conformes aux recommandations du document Dfinition
dune architecture de passerelle dinterconnexion scurise10) permettant un
cloisonnement entre laccs Internet, la zone de service (DMZ) et le rseau interne.

Rgle 25
Vrifier quaucun quipement du rseau ne comporte dinterface
dadministration accessible depuis lInternet.
De nombreux quipements comportent des interfaces dadministration (par
exemple via un serveur web). Certaines de ces interfaces sont accessibles par
dfaut et ne seront donc dsactives quen cas daction explicite de ladministrateur
de lquipement. Ces interfaces sont souvent exploites par les attaquants dans le
cadre dune intrusion, a fortiori si elles sont exposes sur Internet. Plusieurs milliers
dentreprises exposent sur Internet ce type dinterface, le plus souvent sans en tre
conscientes.
Cette rgle concerne les imprimantes, les serveurs, les routeurs, les commutateurs
rseau ainsi que les quipements industriels ou de supervision.
10 Voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-desreseaux/definition-d-une-architecture-de-passerelle-d-interconnexion-securisee.html.

GUIDE DHYGINE INFORMATIQUE

29

Surveiller les systmes

VIII - SURVEILLER LES SYSTMES


La plupart des mesures dcrites jusquici sont de nature prventive et destines
rduire le risque dexploitation par un attaquant dune des vulnrabilits du
systme. La mise en place de mesures prventives ne dispense jamais dune
supervision du systme lors de son exploitation. Cette supervision doit respecter
les rgles proposes dans ce chapitre.

Rgle 26
Dfinir concrtement les objectifs de la supervision des
systmes et des rseaux.
Dans la majeure partie des cas, les vnements suivants doivent gnrer une
alerte qui doit imprativement tre traite dans les 24 heures:
connexion dun utilisateur hors de ses horaires habituels de travail ou pendant
une priode dabsence dclare;
transfert massif de donnes vers lextrieur de lentreprise;
tentatives de connexions successives ou rptes sur un service;
tentatives de connexion sur un compte non actif;
tentatives de contournement de la politique de scurit (utilisation dun
service interdit, connexion non autorise un service, etc.).

GUIDE DHYGINE INFORMATIQUE

31

Surveiller les systmes

Rgle 27
Dfinir les modalits danalyse des vnements journaliss.
Il est primordial de dfinir galement les procdures de vrification des journaux
qui permettront de gnrer une alerte ds lors que lun des objectifs identifis nest
pas rempli. Ces procdures devront garantir que les journaux sont frquemment
analyss.
Outre les lments mentionns dans la rgle 26, lanalyse des journaux pourra
notamment se concentrer sur les points suivants:
analyse de la liste des accs aux comptes de messagerie des personnes-cl
de lentreprise;
analyse des accs aux machines ou aux ressources sensibles de lentreprise.
Afin de faciliter la vrification des journaux, il est primordial que les machines soient
synchronises sur la mme horloge.

32

GUIDE DHYGINE INFORMATIQUE

Scuriser ladministration du rseau

IX - SCURISER LADMINISTRATION DU
RSEAU
Dans de nombreux cas traits par lANSSI, les attaquants ont pris le contrle complet,
via internet, des postes des administrateurs ou de comptes dadministration afin de
bnficier des privilges les plus levs sur le systme.

Rgle 28
Interdire tout accs
dadministration.

Internet

depuis

les

comptes

Cette interdiction sapplique en particulier aux machines des administrateurs du


systme. Cette rgle est gnralement mal accepte par les utilisateurs car elle
peut gnrer des contraintes dexploitation (obligation dutiliser des comptes
distincts en fonction des actions ralises). Le poids de cette contrainte peut tre
notablement allg en quipant les administrateurs de deux postes distincts,
afin de leur permettre par exemple de consulter la documentation sur le site
dun constructeur avec un poste (en utilisant leur compte non privilgi) tout en
administrant lquipement concern sur lautre (avec leur compte dadministrateur).
Cela facilite en outre lapplication de la rgle 29.

Rgle 29
Utiliser un rseau ddi ladministration des quipements
ou au moins un rseau logiquement spar du rseau des
utilisateurs.
Le cloisonnement du rseau dadministration vis--vis du rseau de travail
des utilisateurs est impratif. Il est recommand (en fonction des capacits de
lorganisme):
de privilgier un cloisonnement physique des rseaux ds que cela est
possible;
dfaut, mettre en uvre un cloisonnement logique cryptographique bas

GUIDE DHYGINE INFORMATIQUE

33

Scuriser ladministration du rseau


sur la mise en place de tunnels IPsec reposant sur un produit qualifi par
lANSSI. Lintgrit et la confidentialit des informations vhicules sur le rseau
dadministration sont ainsi assures vis--vis du rseau de travail courant de
lentreprise;
a minima, de mettre en uvre un cloisonnement logique par VLAN.
Les postes dadministration tant particulirement critiques, ils doivent tre suivis
en priorit. La mise jour des postes du rseau dadministration est primordiale.

Rgle 30
Ne pas donner aux utilisateurs de privilges dadministration.
Ne faire aucune exception.
De nombreux utilisateurs, y compris au sommet des hirarchies, sont tents
de demander leur service informatique de pouvoir disposer de privilges plus
importants sur leurs machines (pouvoir installer des logiciels, pouvoir connecter
des quipements personnels, etc.). De tels usages sont cependant excessivement
dangereux et sont susceptibles de mettre en danger le rseau dans son ensemble.

Rgle 31
Nautoriser laccs distance au rseau dentreprise, y
compris pour ladministration du rseau, que depuis des
postes de lentreprise qui mettent en uvre des mcanismes
dauthentification forte et protgeant lintgrit et la
confidentialit des changes laide de moyens robustes.
Privilgier pour cela des mcanismes dauthentification et des moyens de protection
de lintgrit et de la confidentialit qualifis par lANSSI.

34

GUIDE DHYGINE INFORMATIQUE

Contrler laccs aux locaux et

la scurit physique

X - CONTRLER LACCS AUX LOCAUX ET


LA SCURIT PHYSIQUE
La scurit du systme de contrle daccs aux locaux est bien souvent critique pour
la scurit dune entreprise. En effet, ds lors quun attaquant parvient obtenir
un accs au rseau interne de lentreprise, les mesures de scurit primtriques
mises en place deviennent inefficaces. La mise en adquation des mesures de
scurit physique avec les besoins de protection des systmes dinformation
est dautant plus complexe que les quipes en charge de ces deux aspects sont
bien souvent distinctes. Les responsabilits de chacune doivent tre clarifies et
formalises.

Rgle 32
Utiliser imprativement des mcanismes robustes de contrle
daccs aux locaux.
Le mcanisme de contrle daccs mis en uvre doit tre ltat de lart afin
dassurer quil ne puisse pas tre contourn aisment par un attaquant. LANSSI
a publi un guide permettant dassister les entreprises dans la slection dun
mcanisme de contrle daccs robuste11.

Rgle 33
Protger rigoureusement les cls permettant laccs aux locaux
et les codes dalarme.
Les rgles suivantes doivent tre appliques:
rcuprer systmatiquement les cls ou les badges dun employ son dpart
dfinitif de lentreprise;
changer frquemment les codes de lalarme de lentreprise;
ne jamais donner de cl ou de code dalarme des prestataires extrieurs
sauf sil est possible de tracer ces accs et de les restreindre techniquement
des plages horaires donnes.

11 Voir sur le site Internet de lANSSI: http://www.ssi.gouv.fr/sans-contact.

GUIDE DHYGINE INFORMATIQUE

35

Contrler laccs aux locaux et

la scurit physique

Rgle 34
Ne pas laisser de prises daccs au rseau interne accessibles
dans les endroits ouverts au public.
Ces endroits publics peuvent tre des salles dattente, des placards ou des couloirs
par exemple. Les attaquants peuvent par exemple rcuprer un accs au rseau de
lentreprise en connectant une machine dattaque en lieu et place des quipements
suivants, ds lors que ceux-ci sont connects au rseau:
imprimantes ou photocopieurs multifonctions entreposs dans un couloir;
crans daffichage diffusant des flux dinformation;
camras de surveillance;
tlphones:
prises rseau dans une salle dattente.

Par ailleurs, les chemins de cbles du rseau interne ne devraient pas non plus tre
accessibles dans les lieux publics.
Sil est toutefois ncessaire de rendre ponctuellement accessible le rseau depuis
une prise situe dans un espace public (pour une prsentation par exemple), la
prise doit tre brasse pour loccasion et dbrasse ds que possible.

36

GUIDE DHYGINE INFORMATIQUE

Contrler laccs aux locaux et

la scurit physique

Rgle 35
Dfinir les rgles dutilisation des imprimantes et des
photocopieuses.
Les rgles suivantes peuvent tre dfinies:
utiliser des imprimantes disposant dun mcanisme dimpression ncessitant
la prsence physique du demandeur pour dmarrer limpression;
dtruire en fin de journe les documents oublis sur limprimante ou la
photocopieuse;
broyer les documents plutt que les mettre la corbeille papier.
De manire similaire, il est souhaitable de mettre en place des procdures claires
de destruction ou de recyclage des supports informatiques en fin de vie.

GUIDE DHYGINE INFORMATIQUE

37

Organiser la raction en cas dincident

XI - ORGANISER LA RACTION EN CAS


DINCIDENT
Lors de la dcouverte de la compromission dun quipement (ordinateur infect
par un virus par exemple), il est ncessaire de dterminer rapidement, mais sans
prcipitation, la dmarche qui permettra de juger de la gravit potentielle de
lincident afin de prendre les mesures techniques, organisationnelles et juridiques
proportionnes, dendiguer linfection et disoler les machines compromises. Il est
important de rflchir avant dagir de manire ne pas prendre dans lurgence des
dcisions qui pourraient savrer nfastes.

Rgle 36
Disposer dun plan de reprise et de continuit dactivit
informatique, mme sommaire, tenu rgulirement jour
dcrivant comment sauvegarder les donnes essentielles de
lentreprise.
Disposer dun plan de reprise et de continuit dactivit informatique, comprenant
idalement un volet ddi la raction en cas dattaque informatique, est primordial
pour une entreprise.
Lanalyse des consquences sur lactivit dun certain nombre dvnements
catastrophiques peut tre un bon point de dpart: que se passe-t-il si laccs
Internet ne fonctionne plus pendant deux jours? Que se passe-t-il si un attaquant
efface toutes les donnes stockes sur les serveurs?
Les donnes sensibles de lentreprise doivent tre sauvegardes priodiquement.
Cette sauvegarde est de prfrence automatique sur les serveurs de fichiers
et ne repose pas uniquement sur la bonne volont des utilisateurs qui risquent
frquemment de ne pas prendre le temps deffectuer de telles sauvegardes. Les
sauvegardes doivent tre vrifies priodiquement et idalement stockes dans un
lieu distinct de celui o se trouvent les serveurs en fonctionnement.

GUIDE DHYGINE INFORMATIQUE

39

Organiser la raction en cas dincident

Rgle 37
Mettre en place une chane dalerte et de raction connue de
tous les intervenants.
Tous les utilisateurs doivent au minimum pouvoir sadresser rapidement un
interlocuteur rfrent, form la raction, pour signaler tout incident. Ils doivent
pouvoir joindre cet interlocuteur facilement et doivent tre informs quil nest pas
souhaitable quils tentent de rgler le problme par eux-mmes.
Lorsque la taille de lentreprise le permet et ds lors que les enjeux le justifient, il
est souhaitable que la chane dalerte comporte un mcanisme dastreinte voire
de permanence permettant de garantir que les incidents constats puissent tre
traits le plus efficacement possible.

Rgle 38
Ne jamais se contenter de traiter linfection dune machine sans
tenter de savoir comment le code malveillant a pu sinstaller
sur la machine, sil a pu se propager ailleurs dans le rseau et
quelles informations ont t manipules.
De nombreuses entreprises, en ne cherchant pas demble connatre le primtre
rel dune infection, ont perdu plusieurs semaines, voire plusieurs mois, dans le
traitement dun incident. Chaque traitement dincident doit de plus faire lobjet dun
retour dexprience et dune capitalisation permettant dtre plus efficace lorsquun
vnement similaire surgira lavenir.
Les questions se poser sont par exemple les suivantes:
quelle est la nature du poste compromis? Y en a-t-il dautres du mme type,
exposs aux mmes menaces sur le rseau?
quelles sont les informations auxquelles lattaquant est susceptible davoir
eu accs?
le poste compromis a-t-il communiqu avec dautres postes ou serveurs?

40

GUIDE DHYGINE INFORMATIQUE

Organiser la raction en cas dincident

En cas de compromission, et afin de faciliter le travail des quipes dinvestigations,


les entits responsables pourront prendre les mesures suivantes:
isoler les machines infectes du rseau (dbrancher le cble rseau);
ne pas teindre lectriquement les machines infectes pour prserver les
informations disponibles en mmoire sur le code malveillant;
raliser, ou faire raliser par des spcialistes, des copies des mmoires et des
disques durs des machines infectes pour conduire les investigations. Vrifier
la bonne intgrit des copies ralises avant toute opration de mise jour, de
modification de la configuration, de tentative de nettoyage ou de rinstallation
des machines compromises ;
rinstaller intgralement la machine aprs copie des disques si elle doit tre
remise en production. Ne jamais se contenter dune simple restauration ou dun
nettoyage que peu dexperts seraient en mesure de pratiquer.

GUIDE DHYGINE INFORMATIQUE

41

Sensibiliser

XII - SENSIBILISER
Rgle 39
Sensibiliser les utilisateurs aux rgles dhygine informatique
lmentaires.
Chaque utilisateur devrait en permanence (au minimum chaque anne) se voir
rappeler:
que les informations traites doivent tre considres comme sensibles;
que la scurit de ces informations repose, entre autres, sur lexemplarit de
leur comportement et le respect des rgles lmentaires dhygine informatique
(non-contournement de la politique de scurit, verrouillage systmatique de
la session lorsque lutilisateur quitte sa position informatique, non-connexion
dquipements personnels au rseau de lentreprise, non-divulgation de mots
de passe un tiers, non rutilisation de mots de passe professionnels dans la
sphre prive, signalement des vnements suspects, accompagnement des
visiteurs et des intervenants extrieurs, etc.).

Le respect des rgles dhygine qui concernent les utilisateurs devraient figurer
dans une charte dusage des moyens informatiques vise par chaque utilisateur.

GUIDE DHYGINE INFORMATIQUE

43
43

Faire auditer la scurit

XIII - FAIRE AUDITER LA SCURIT

Rgle 40
Faire raliser des audits de scurit priodiques (au minimum
tous les ans). Chaque audit doit tre associ un plan daction
dont la mise en uvre est suivie au plus haut niveau.
La ralisation daudits techniques sur un systme dinformation est essentielle.
En effet, laudit est le seul moyen efficace de constater concrtement lefficacit
des mesures mises en uvre sur le terrain. Chaque audit permettra de dfinir un
plan dactions correctives mettre en uvre. Des runions de suivi de ce plan
daction doivent tre organises frquemment. Pour une plus grande efficacit,
lavancement du plan daction devra tre synthtis dans un indicateur du tableau
de bord destination des plus hauts degrs de management.

GUIDE DHYGINE INFORMATIQUE

45

Index des rgles


Rgle 1 - Disposer dune cartographie prcise de linstallation informatique et la
maintenir jour. 

p. 9

Rgle 2 - Disposer dun inventaire exhaustif des comptes privilgis et le


maintenir jour. 

p. 10

Rgle 3 - Rdiger et appliquer des procdures darrive et de dpart des utilisateurs


(personnel, stagiaires). 

p. 11

Rgle 4 - Limiter le nombre daccs Internet de lentreprise au strict ncessaire.




p.13

Rgle 5 - Interdire la connexion dquipements personnels au systme dinformation


de lorganisme. 

p. 13

Rgle 6 - Connatre les modalits de mises jour de lensemble des composants


logiciels utiliss et se tenir inform des vulnrabilits de ces composants et des
mises jour ncessaires. 
p. 15

Rgle 7 - Dfinir une politique de mise jour et lappliquer strictement. 

p. 16

Rgle 8 - Identifier nommment chaque personne ayant accs au systme.  p. 17


Rgle 9 - Dfinir des rgles de choix et de dimensionnement des mots de passe.


p. 17

Rgle 10 - Mettre en place des moyens techniques permettant de faire respecter


les rgles relatives lauthentification.

p. 18

Rgle 11 - Ne pas conserver les mots de passe en clair dans des fichiers sur les
systmes informatiques.

p. 18

Rgle 12 - Renouveler systmatiquement les lments dauthentification par

dfaut (mots de passe, certificats) sur les quipements (commutateurs rseau,


routeurs, serveurs, imprimantes).
p.19

Rgle 13 - Privilgier lorsque cest possible une authentification forte par carte
puce.

p. 19

Rgle 14 - Mettre en place un niveau de scurit homogne sur lensemble du parc


informatique. 

p. 21

GUIDE DHYGINE INFORMATIQUE

47

Rgle 15 - Interdire techniquement la connexion des supports amovibles sauf si

cela est strictement ncessaire; dsactiver lexcution des autoruns depuis de tels
supports.
p. 22

Rgle 16 - Utiliser un outil de gestion de parc informatique permettant de dployer


des politiques de scurit et les mises jour sur les quipements.

p. 23

Rgle 17- Grer les terminaux nomades selon une politique de scurit au moins
aussi stricte que celle des postes fixes.

p. 23

Rgle 18 - Interdire dans tous les cas o cela est possible les connexions distance
sur les postes clients.

p. 24

Rgle 19 - Chiffrer les donnes sensibles, en particulier sur les postes nomades et
les supports potentiellement perdables.

p. 24

Rgle 20 - Auditer ou faire auditer frquemment la configuration de lannuaire central


(Active Directory en environnement Windows ou annuaire LDAP par exemple). p. 25

Rgle 21 - Mettre en place des rseaux cloisonns. Pour les postes ou les serveurs

contenant des informations importantes pour la vie de lentreprise, crer un sousrseau protg par une passerelle dinterconnexion spcifique.
p. 26

Rgle 22 - viter lusage dinfrastructures sans fil (Wifi). Si lusage de ces technologies

ne peut tre vit, cloisonner le rseau daccs Wifi du reste du systme dinformation.

p. 26

Rgle 23 - Utiliser systmatiquement des applications et des protocoles scuriss.

p. 27

Rgle 24 - Scuriser les passerelles dinterconnexion avec Internet.

p. 29

Rgle 25 - Vrifier quaucun quipement du rseau ne comporte dinterface


dadministration accessible depuis lInternet.

p. 29

Rgle 26 - Dfinir concrtement les objectifs de la supervision des systmes et des


rseaux.

p. 31

Rgle 27 - Dfinir les modalits danalyse des vnements journaliss.

p. 32

Rgle 28 - Interdire tout accs Internet depuis les comptes dadministration.p. 33


Rgle 29 - Utiliser un rseau ddi ladministration des quipements ou au moins
un rseau logiquement spar du rseau des utilisateurs.

48

GUIDE DHYGINE INFORMATIQUE

p. 33

Rgle 30 - Ne pas donner aux utilisateurs de privilges dadministration. Ne faire


aucune exception.

p. 34

Rgle 31 - Nautoriser laccs distance au rseau dentreprise, y compris pour


ladministration du rseau, que depuis des postes de lentreprise qui mettent
en uvre des mcanismes dauthentification forte et protgeant lintgrit et la
confidentialit des changes laide de moyens robustes.
p. 34

Rgle 32 - Utiliser imprativement des mcanismes robustes de contrle daccs


aux locaux.

p. 35

Rgle 33 - Protger rigoureusement les cls permettant laccs aux locaux et les
codes dalarme.

p. 35

Rgle 34 - Ne pas laisser de prises daccs au rseau interne accessibles dans les
endroits ouverts au public.

p. 36

Rgle 35 - Dfinir les rgles dutilisation des imprimantes et des photocopieuses.




p. 37

Rgle 36 - Disposer dun plan de reprise et de continuit dactivit informatique,

mme sommaire, tenu rgulirement jour dcrivant comment sauvegarder les


donnes essentielles de lentreprise. 
p. 39

Rgle 37 - Mettre en place une chane dalerte et de raction connue de tous les
intervenants. 

p. 40

Rgle 38 - Ne jamais se contenter de traiter linfection dune machine sans tenter


de savoir comment le code malveillant a pu sinstaller sur la machine, sil a pu se
propager ailleurs dans le rseau et quelles informations ont t manipules. p. 40

Rgle 39 - Sensibiliser les utilisateurs aux rgles dhygine informatique


lmentaires.

p. 43

Rgle 40 - Faire raliser des audits de scurit priodiques (au minimum tous les

ans). Chaque audit doit tre associ un plan daction dont la mise en uvre est
suivie au plus haut niveau. 
p. 45

GUIDE DHYGINE INFORMATIQUE

49

NOTES

50

Version 1.0 - Janvier 2013


20130621-1040

Licence Ouverte/Open Licence (Etalab - V1)

Agence nationale de la scurit des systmes dinformation


ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr
Messagerie : communication@ssi.gouv.fr