Académique Documents
Professionnel Documents
Culture Documents
3
Guide dhygine informatique
Prambule
Les formidables dveloppements de linformatique et dInternet ont rvolutionn
nos manires de vivre et de travailler.
La perte ou le vol de certaines informations ou lindisponibilit de son systme
dinformation peuvent avoir de lourdes consquences pour lentreprise: perte
de confiance des clients, des partenaires, avantage pris par un concurrent, perte
dexploitation suite une interruption de la production. Les communications de
lquipe dirigeante sont souvent une cible privilgie.
Bien protger les informations confidentielles confies par des clients et des
partenaires peut dsormais crer un avantage concurrentiel. Plus encore, protger
ses donnes et son rseau informatique est crucial pour la survie de lentreprise et
sa comptitivit.
Si les erreurs humaines ou la malveillance dun salari peuvent tre lorigine dun
incident, les agressions externes sont de plus en plus frquentes: attaque contre le
site Internet de lentreprise, programmes informatiques malveillants cachs dans
des pices jointes des courriels ou dans des cls USB piges, vol de mots de
passe.
Il est de la responsabilit des dirigeants de vrifier que les mesures de protection
adaptes sont mises en place et oprationnelles. Elles doivent faire lobjet dune
politique de scurit crite, comprise et connue de tous et dont lapplication doit
tre rgulirement vrifie par lencadrement.
Parmi ces mesures, il existe des mesures techniques simples, qualifies dhygine
informatique car elles sont la transposition dans le monde numrique de rgles
lmentaires de scurit sanitaire.
La majeure partie des attaques informatiques sur lesquelles lANSSI est intervenue
auraient pu tre vites si les mesures dhygine informatique dcrites dans ce
guide avaient t appliques par les entreprises concernes.
Sadressant aux personnes en charge de la scurit informatique, que ce soit
un responsable de la scurit des systmes dinformation (RSSI) ou toute autre
personne qui remplit cette fonction, ce document prsente les 40 rgles dhygine
informatique incontournables.
Elles ne prtendent pas avoir un caractre dexhaustivit. Elles constituent
cependant le socle minimum des rgles respecter pour protger les informations
dune entreprise.
Ne pas les suivre expose lentreprise des risques dincidents majeurs, susceptibles
de mettre sa comptitivit, voire sa prennit, en danger.
5
Guide dhygine informatique
destination des responsables
informatiques
Vous tes responsable de la scurit des systmes dinformation de votre
organisation ou, plus simplement, cest vous que revient la responsabilit du
bon fonctionnement de son informatique. Vous le savez, en quelques annes,
votre mtier a volu au rythme de larrive des technologies de linformation qui
irriguent dsormais toutes les fonctions des entreprises, des administrations, des
collectivits territoriales, comme de notre vie quotidienne. De nouveaux usages
rendent galement plus complexe la matrise des systmes dont vous avez la
charge.
Bases de donnes des clients, contrats commerciaux ou brevets, donnes de
production, dossiers des usagers, dmarches administratives, informations
concernant un march public sont dsormais accessibles en ligne, le plus souvent
via Internet travers des postes de travail ou des tlphones mobiles.
Les consquences quauraient pour votre organisation la perte ou le vol de certaines
informations ou lindisponibilit de son informatique peuvent tre extrmement
lourdes. linverse, bien protger les informations confidentielles de lentreprise
ou celles confies par des clients, des partenaires ou des fournisseurs gnre la
confiance et fluidifie lactivit.
Si les erreurs humaines ou la malveillance dun employ peuvent parfois tre
lorigine dun incident, les agressions externes, des fins despionnage voire de
sabotage, sont aujourdhui extrmement frquentes et discrtes.
Toutefois, de nombreuses attaques informatiques, traites par lagence nationale
de scurit des systmes dinformation (ANSSI), auraient pu tre vites si des
mesures techniques essentielles avaient t appliques par les organisations
victimes.
Certaines de ces mesures peuvent tre qualifies de rgles lmentaires
dhygine informatique. Ne pas les suivre expose inutilement votre organisation
des risques dincidents majeurs, susceptibles de mettre son fonctionnement ou sa
comptitivit en danger, voire dentraner larrt de son activit.
Ce guide sadresse vous. Il vous prsente les 40 rgles dhygine informatique
essentielles pour assurer la scurit de votre systme dinformation et le moyen de
les mettre en uvre. Non exhaustives, ces rgles reprsentent cependant le socle
minimum respecter pour protger les informations de votre organisation.
Une fois ces rgles partages et appliques, vous aurez accompli une part
importante de votre mission: permettre votre organisation dinteragir avec ses
fournisseurs et ses partenaires, de servir ses clients, en respectant lintgrit et la
confidentialit des informations qui les concernent.
6
Guide dhygine informatique
Ce document se concentre sur les systmes de bureautique classiques. Bien quun
certain nombre des recommandations dcrites ici sappliquent galement aux
systmes industriels, lANSSI a publi un guide spcifique pour assurer la scurit
des systmes de ce type1.
7
Guide dhygine informatique
Connatre le systme dinformation et ses utilisateurs
I - Connatre le systme
dinformation et ses utilisateurs
La connaissance de son propre systme dinformation est un pralable important
sa scurisation. En effet, si le systme dinformation comprend un quipement
rgulirement omis des inventaires, cet quipement, qui deviendra rapidement
obsolte, sera une cible de choix pour un attaquant.
Rgle 1
Disposer dune cartographie prcise de linstallation
informatique et la maintenir jour.
Llaboration dune cartographie du systme dinformation est le premier pas vers
une meilleure connaissance du systme dinformation. Elle permettra dlaborer
plus facilement des mesures de scurit adaptes au systme, de garantir
quaucun quipement nest oubli lors de lapplication dune mesure de scurit et
de faciliter la raction en cas dincident.
Cette cartographie doit au minimum comprendre les lments suivants:
liste des ressources matrielles (avec leur modle) et logicielles (avec leur
version) utilises. Il convient bien entendu dtre le plus prcis possible. Pour
entamer la dmarche, ltablissement dune liste des machines dployes
associes leurs attributaires et leurs paramtres techniques (adresse IP,
adresse MAC) dune part, et des logiciels principaux dploys sur ces postes
(suite bureautique, visionneuse PDF, navigateur, client de messagerie) avec
leurs versions peut tre envisag. Par ailleurs, les postes dadministration
doivent faire partie du primtre de la cartographie. Plus le parc est homogne,
plus ltablissement et le maintien jour dune telle liste sont aiss;
architecture rseau sur laquelle sont identifis les points nvralgiques
(connexions externes1, serveurs hbergeant des donnes ou des fonctions
sensibles, etc.).
1 Inventorier en particulier tous les accs Internet du systme dinformation et toutes les
interconnexions avec des rseaux partenaires (fournisseurs, partenaires commerciaux, etc.). Cet
inventaire doit tre exhaustif. Il doit comprendre les accs ADSL ventuellement mis en place
pour les besoins spcifiques des utilisateurs ainsi que les liaisons spcialises.
9
Guide dhygine informatique
Connatre le systme dinformation et ses utilisateurs
Une fois cette cartographie tablie, elle doit tre maintenue jour et enrichie,
notamment avec des lments lis aux protocoles mis en uvre (matrices de flux).
Cette cartographie ne doit idalement pas tre stocke sur le rseau quelle
reprsente, car il sagit de lun des lments que lattaquant va rechercher en
premier lieu en cas dintrusion russie.
Rgle 2
Disposer dun inventaire exhaustif des comptes privilgis et le
maintenir jour.
A minima, il est important de disposer de la liste:
des utilisateurs qui disposent dun compte administrateur (ou de privilges
suprieurs ceux dun utilisateur standard) sur le systme dinformation;
des utilisateurs qui disposent de privilges suffisants pour accder aux
rpertoires de travail des dirigeants ou, a fortiori, de lensemble des utilisateurs;
des utilisateurs qui disposent dun poste non administr par le service
informatique et donc non gr selon la politique de scurit gnrale de
lorganisme.
Par ailleurs, il est souhaitable de disposer de la liste des utilisateurs qui disposent
de privilges suffisants pour lire la messagerie des dirigeants de la socit ou a
fortiori de lensemble des utilisateurs. Ltablissement de la liste des personnes
ayant rellement accs ces informations est cependant parfois extrmement
difficile. Si la liste ne peut tre tablie de manire fiable, une journalisation des
accs aux botes lettres et une vrification priodique de la liste des personnes
ayant consult les botes lettres les plus sensibles devraient tre ralise (voir
rgle 26).
10
Guide dhygine informatique
Connatre le systme dinformation et ses utilisateurs
Il est de plus trs fortement recommand dutiliser une nomenclature claire pour
les noms de comptes (faire systmatiquement prcder les noms de comptes de
service par le prfixe SRV, les comptes dadministration du prfixe ADM).
Rgle 3
Rdiger et appliquer des procdures darrive et de dpart des
utilisateurs (personnel, stagiaires).
Ces procdures sont destines garantir que les droits octroys sur le
systme dinformation sont appliqus au plus juste. Notamment, il est
important que lensemble des droits affects une personne soient
rvoqus lors de son dpart. Les procdures doivent dcrire a minima:
Il est important de bien grer les mutations de personnel, soit en les traitant comme
un dpart suivi dune arrive soit en dfinissant une procdure adapte. On observe
frquemment une inflation des privilges associs certains comptes utilisateur du
fait de mouvements internes qui conduisent louverture de nouveaux droits sans
suppression de ceux devenus inutiles.
11
Guide dhygine informatique
Matriser le rseau
II - Matriser le rseau
Rgle 4
Limiter le nombre daccs Internet de lentreprise au strict
ncessaire.
Il convient de connatre prcisment les points daccs Internet (box ADSL, etc.)
et les interconnexions avec des rseaux partenaires et de les limiter au strict
ncessaire de manire pouvoir plus facilement centraliser et rendre homogne la
surveillance des changes.
Rgle 5
Interdire la connexion dquipements personnels au systme
dinformation de lorganisme.
La connexion des quipements personnels ne peut tre envisage que sur des
rseaux ne contenant strictement aucune information sensible. Les quipements
personnels (assistants personnels, tablettes, smartphones, lecteurs MP3, cls USB)
sont en effet difficilement matrisables par lorganisme dans la mesure o ce sont les
utilisateurs eux-mmes qui dcident du niveau de scurit de leurs quipements.
Les mesures de scurit en vigueur au sein dun tablissement ou dune entreprise
ne peuvent donc, par essence, pas sappliquer ce type dquipement.
Cette rgle est le plus souvent perue comme une contrainte inacceptable
voire rtrograde par de trs nombreux utilisateurs. Cependant, y droger facilite
grandement le travail dun attaquant en fragilisant le rseau de lentreprise. En effet,
sur une centaine dquipements personnels connects au rseau dune entreprise,
on estime statistiquement quau minimum dix dentre eux sont compromis par un
code malveillant gnrique (sans parler dattaque cible).
Cette interdiction doit dans la mesure du possible tre complte par des mesures
13
Guide dhygine informatique
Matriser le rseau
techniques, dont la mise en uvre peut toutefois savrer plus complexe (contrle
systmatique daccs au rseau, dsactivation des ports USB).
Lorsque le travail distance est ncessaire, lorganisme doit fournir des moyens
professionnels pour permettre de tels usages. Le transfert de messages des
messageries professionnelles vers des messageries personnelles doit tre
explicitement interdit.
14
Guide dhygine informatique
Mettre niveau les logiciels
Rgle 6
Connatre les modalits de mises jour de lensemble
des composants logiciels utiliss et se tenir inform des
vulnrabilits de ces composants et des mises jour ncessaires.
15
Guide dhygine informatique
Mettre niveau les logiciels
Rgle 7
Dfinir une politique de mise jour et lappliquer strictement.
Elle pourra prendre la forme dun simple tableau comprenant ces lments.
au niveau du rseau, laide dun filtrage trs strict nautorisant quun accs
aux applications ncessaires;
au niveau de lauthentification, en nutilisant aucun mot de passe (systme et
logiciel) commun avec le reste du systme dinformation ;
au niveau des applications, en sassurant que ces systmes nutilisent
pas de ressources partages avec le reste du systme dinformation.
Par ailleurs, les quipements isols (dconnects du rseau) ne doivent pas tre
exclus de la politique de mise jour. Pour ces systmes, une mise jour manuelle
simpose.
16
Guide dhygine informatique
Authentifier lutilisateur
IV - Authentifier lutilisateur
Les mots de passe constituent souvent le talon dAchille des systmes dinformation.
En effet, si les organismes dfinissent relativement frquemment une politique de
mots de passe, il est rare quelle soit effectivement applique de manire homogne
sur lensemble du parc informatique.
Rgle 8
Identifier nommment chaque personne ayant accs au
systme.
Cette rgle dont lobjet est de supprimer les comptes et accs gnriques et
anonymes est destine faciliter lattribution dune action sur le systme. Cela
sera particulirement utile en cas dincident.
Bien entendu, cette rgle ninterdit pas de conserver des comptes techniques (dits
de service) non attribus une personne physique mais relis un service, un
mtier ou une application (par exemple utilisateur apache pour un serveur web).
Ces comptes doivent cependant tre grs avec une politique au moins aussi stricte
que celle des comptes nominatifs.
Rgle 9
Dfinir des rgles de choix et de dimensionnement des mots
de passe.
On trouvera les bonnes pratiques en matire de choix et de dimensionnement des
mots de passe dans le document de lANSSI, Recommandations de scurit relatives
aux mots de passe3. Parmi ces rgles, les plus critiques sont de sensibiliser les
utilisateurs aux risques lis au choix dun mot de passe qui puisse se deviner trop
facilement, et la rutilisation de mots de passe en particulier entre messageries
personnelles et professionnelles.
3 Voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-
de-travail-et-des-serveurs/mot-de-passe.html.
17
Guide dhygine informatique
Authentifier lutilisateur
Rgle 10
Mettre en place des moyens techniques permettant de faire
respecter les rgles relatives lauthentification.
Les moyens permettant de faire respecter la politique en matire dauthentification
et de mots de passe pourront tre:
le blocage des comptes tous les 6 mois tant que le mot de passe na pas t
chang;
le blocage de toute configuration du poste qui permettrait le dmarrage du
poste dans un mode sans mot de passe (autologon) ou depuis un compte
invit;
la vrification que les mots de passe choisis ne sont pas faciles retrouver.
Rgle 11
Ne pas conserver les mots de passe en clair dans des fichiers
sur les systmes informatiques.
Par souci de simplicit, les utilisateurs ou les administrateurs crivent frquemment
leurs mots de passe en clair dans des fichiers stocks sur leurs postes informatiques
ou se les envoient par courriel. Ces pratiques sont proscrire. Les mots de passe ou
les lments secrets stocks sur les machines des utilisateurs sont des lments
recherchs et exploits en priorit par les attaquants.
4 http://www.ssi.gouv.fr/fr/produits-et-prestataires/.
18
Guide dhygine informatique
Authentifier lutilisateur
Rgle 12
Renouveler systmatiquement les lments dauthentification
par dfaut (mots de passe, certificats) sur les quipements
(commutateurs rseau, routeurs, serveurs, imprimantes).
Les lments par dfaut sont systmatiquement connus des attaquants. Par
ailleurs, ils sont bien souvent triviaux (mot de passe identique lidentifiant
correspondant, mot de passe partag entre plusieurs quipements dune mme
gamme, etc.). Ils doivent donc tre changs. Si la modification nest pas possible
(certificat en dur dans un quipement par exemple), ce problme critique doit
tre signal au constructeur afin quil corrige au plus vite cette vulnrabilit.
Rgle 13
Privilgier lorsque cest possible une authentification forte par
carte puce.
La mise en place dun mcanisme de contrle daccs par carte puce sur un
systme nen disposant pas est cependant plus longue et coteuse que la mise en
uvre des autres rgles dcrites dans ce document.
5 http://www.ssi.gouv.fr/rgs.
19
Guide dhygine informatique
20
20
Guide dhygine informatique
Scuriser les quipements terminaux
Rgle 14
Mettre en place un niveau de scurit homogne sur lensemble
du parc informatique.
Par ailleurs, le BIOS des machines doit tre verrouill avec un mot de passe non
trivial et le dmarrage sur supports amovibles ou via le rseau (Wake On LAN)
dsactiv.
21
Guide dhygine informatique
Scuriser les quipements terminaux
Rgle 15
Interdire techniquement la connexion des supports amovibles
sauf si cela est strictement ncessaire; dsactiver lexcution
des autoruns depuis de tels supports.
Par ailleurs, il est possible sur les systmes Microsoft partir de Windows XP, de
restreindre la possibilit dexcuter des programmes selon divers critres, grce
aux stratgies de restriction logicielle (Software Restriction Policies). Une telle
politique peut tre mise en uvre dans le but de limiter le risque dimportation
involontaire de virus, en particulier par cl USB.
22
Guide dhygine informatique
Scuriser les quipements terminaux
Rgle 16
Utiliser un outil de gestion de parc informatique permettant de
dployer des politiques de scurit et les mises jour sur les
quipements.
Lutilisation dun outil de gestion de parc est primordiale pour assurer le suivi des
postes sur le rseau.
Rgle 17
Grer les terminaux nomades selon une politique de scurit
au moins aussi stricte que celle des postes fixes.
En cas de disparit de traitement entre les terminaux nomades et les postes fixes,
le niveau rel de scurit du rseau est celui du maillon le plus faible.
Les postes nomades doivent donc bnficier au moins des mmes mesures de
scurit que les postes fixes (mises jour, restriction de privilges etc.). Les conditions
dutilisation des postes nomades imposent de plus, souvent, le renforcement de
certaines fonctions de scurit (chiffrement de disque, authentification renforce,
voir rgle 19) mais la mise en place de telles fonctions sur les postes fixes est
galement une bonne pratique au titre de la dfense en profondeur.
23
Guide dhygine informatique
Scuriser les quipements terminaux
Rgle 18
Interdire dans tous les cas o cela est possible les connexions
distance sur les postes clients.
Dans les cas o lapplication de cette rgle nest pas possible, respecter strictement
les principes dcrits dans le document technique Recommandations de scurit
relatives la tlassistance6.
Rgle 19
Chiffrer les donnes sensibles, en particulier sur les postes
nomades et les supports potentiellement perdables.
La perte ou le vol dun quipement (ou dun support) mobile ou nomade peut
tre lourd de consquences pour lentreprise : en labsence de chiffrement, les
donnes stockes sur le terminal (patrimoine technologique de lentreprise, base
de donnes client) seront en effet compromises, et ce mme si le terminal est
teint ou si la session utilisateur est ferme. Il est donc important de chiffrer les
donnes sensibles. Plusieurs produits de chiffrement de disques ou de partitions
(ou supports chiffrants) ont t qualifis par lANSSI7. Il convient de les utiliser
en priorit. La qualification par lANSSI garantit la robustesse des mcanismes
cryptographiques mis en uvre.
Le chiffrement peut tre ralis sur lensemble du systme (on parle de chiffrement
intgral), sur un sous-ensemble du systme (chiffrement de partitions) ou sur les
fichiers les plus sensibles. Les mcanismes de chiffrement intgral de disque
sont les plus efficaces du point de vue de la scurit et ne ncessitent pas pour
lutilisateur didentifier les fichiers chiffrer. Dans les cas o la mise en uvre de
ce type de systme de chiffrement savre trop complexe (par exemple pour une
organisation de petite taille), il est impratif de mettre disposition des utilisateurs
un systme de chiffrement de partitions.
24
Guide dhygine informatique
Scuriser lintrieur du rseau
Rgle 20
Auditer ou faire auditer frquemment la configuration de
lannuaire central (Active Directory en environnement Windows
ou annuaire LDAP par exemple)
Il est recommand de suivre les rgles nonces dans larticle Audit des permissions
en environnement Active Directory8. Il convient notamment de vrifier intervalles
rguliers si les droits daccs aux donnes des personnes cls de lentreprise
(dirigeants notamment) sont correctement positionns.
8 Voir http://www.ssi.gouv.fr/Active-Directory.
25
Guide dhygine informatique
Scuriser lintrieur du rseau
Rgle 21
Mettre en place des rseaux cloisonns. Pour les postes ou les
serveurs contenant des informations importantes pour la vie de
lentreprise, crer un sous-rseau protg par une passerelle
dinterconnexion spcifique.
Rgle 22
viter lusage dinfrastructures sans fil (Wifi). Si lusage de ces
technologies ne peut tre vit, cloisonner le rseau daccs
Wifi du reste du systme dinformation.
Lusage des technologies sans fil au sein dun rseau nest pas conseill (faibles
garanties en matire de disponibilit, difficult de dfinition dune architecture
daccs scurise faible cot, etc.).
26
Guide dhygine informatique
Scuriser lintrieur du rseau
Rgle 23
Utiliser systmatiquement des applications et des protocoles
scuriss.
Lutilisation de protocoles scuriss, y compris sur le rseau interne, contribue
la dfense en profondeur et complique la tche dun attaquant qui aurait dj
compromis une machine sur le rseau et qui chercherait tendre son emprise sur
ce dernier.
Les protocoles non scuriss (telnet, FTP, POP, SMTP, HTTP) sont en rgle gnrale
proscrire sur le rseau de lentreprise, et remplacer par leurs quivalents
scuriss (SSH, SFTP, POPS, SMTPS, HTTPS, etc.).
Par ailleurs, il est important que les applications mtier soient dveloppes en
considrant les risques de scurit. Leur adhrence une technologie particulire
(version donne dun systme dexploitation ou dune machine virtuelle Java
typiquement) doit tre rduite, de manire ne pas limiter les capacits de maintien
en conditions de scurit et de mises jour de ces applications.
27
Guide dhygine informatique
Protger le rseau interne de linternet
Si certaines attaques peuvent tre dorigine interne, lun des moyens principaux
dattaque constats par lANSSI est linfection suite la connexion sur un site Internet
compromis. Il est donc important, en complment des mesures de protection du
rseau interne, dont la limitation du nombre dinterconnexions prsentes plus
haut dans ce document, de mettre en place des mesures de dfense primtriques
spcifiques.
Rgle 24
Scuriser les passerelles dinterconnexion avec Internet.
Il faut pour cela mettre en place des services de scurit correctement configurs
(par exemple, conformes aux recommandations du document Dfinition
dune architecture de passerelle dinterconnexion scurise10) permettant un
cloisonnement entre laccs Internet, la zone de service (DMZ) et le rseau interne.
Rgle 25
Vrifier quaucun quipement du rseau ne comporte dinterface
dadministration accessible depuis lInternet.
Cette rgle concerne les imprimantes, les serveurs, les routeurs, les commutateurs
rseau ainsi que les quipements industriels ou de supervision.
10 Voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-des-
reseaux/definition-d-une-architecture-de-passerelle-d-interconnexion-securisee.html.
29
Guide dhygine informatique
Surveiller les systmes
Rgle 26
Dfinir concrtement les objectifs de la supervision des
systmes et des rseaux.
Dans la majeure partie des cas, les vnements suivants doivent gnrer une
alerte qui doit imprativement tre traite dans les 24 heures:
31
Guide dhygine informatique
Surveiller les systmes
Rgle 27
Dfinir les modalits danalyse des vnements journaliss.
Outre les lments mentionns dans la rgle 26, lanalyse des journaux pourra
notamment se concentrer sur les points suivants:
Afin de faciliter la vrification des journaux, il est primordial que les machines soient
synchronises sur la mme horloge.
32
Guide dhygine informatique
Scuriser ladministration du rseau
IX - Scuriser ladministration du
rseau
Dans de nombreux cas traits par lANSSI, les attaquants ont pris le contrle complet,
via internet, des postes des administrateurs ou de comptes dadministration afin de
bnficier des privilges les plus levs sur le systme.
Rgle 28
Interdire tout accs Internet depuis les comptes
dadministration.
Cette interdiction sapplique en particulier aux machines des administrateurs du
systme. Cette rgle est gnralement mal accepte par les utilisateurs car elle
peut gnrer des contraintes dexploitation (obligation dutiliser des comptes
distincts en fonction des actions ralises). Le poids de cette contrainte peut tre
notablement allg en quipant les administrateurs de deux postes distincts,
afin de leur permettre par exemple de consulter la documentation sur le site
dun constructeur avec un poste (en utilisant leur compte non privilgi) tout en
administrant lquipement concern sur lautre (avec leur compte dadministrateur).
Cela facilite en outre lapplication de la rgle 29.
Rgle 29
Utiliser un rseau ddi ladministration des quipements
ou au moins un rseau logiquement spar du rseau des
utilisateurs.
33
Guide dhygine informatique
Scuriser ladministration du rseau
sur la mise en place de tunnels IPsec reposant sur un produit qualifi par
lANSSI. Lintgrit et la confidentialit des informations vhicules sur le rseau
dadministration sont ainsi assures vis--vis du rseau de travail courant de
lentreprise;
a minima, de mettre en uvre un cloisonnement logique par VLAN.
Les postes dadministration tant particulirement critiques, ils doivent tre suivis
en priorit. La mise jour des postes du rseau dadministration est primordiale.
Rgle 30
Ne pas donner aux utilisateurs de privilges dadministration.
Ne faire aucune exception.
De nombreux utilisateurs, y compris au sommet des hirarchies, sont tents
de demander leur service informatique de pouvoir disposer de privilges plus
importants sur leurs machines (pouvoir installer des logiciels, pouvoir connecter
des quipements personnels, etc.). De tels usages sont cependant excessivement
dangereux et sont susceptibles de mettre en danger le rseau dans son ensemble.
Rgle 31
Nautoriser laccs distance au rseau dentreprise, y
compris pour ladministration du rseau, que depuis des
postes de lentreprise qui mettent en uvre des mcanismes
dauthentification forte et protgeant lintgrit et la
confidentialit des changes laide de moyens robustes.
34
Guide dhygine informatique
Contrler laccs aux locaux et la scurit physique
Rgle 32
Utiliser imprativement des mcanismes robustes de contrle
daccs aux locaux.
Le mcanisme de contrle daccs mis en uvre doit tre ltat de lart afin
dassurer quil ne puisse pas tre contourn aisment par un attaquant. LANSSI
a publi un guide permettant dassister les entreprises dans la slection dun
mcanisme de contrle daccs robuste11.
Rgle 33
Protger rigoureusement les cls permettant laccs aux locaux
et les codes dalarme.
Les rgles suivantes doivent tre appliques:
rcuprer systmatiquement les cls ou les badges dun employ son dpart
dfinitif de lentreprise;
changer frquemment les codes de lalarme de lentreprise;
35
Guide dhygine informatique
Contrler laccs aux locaux et la scurit physique
Rgle 34
Ne pas laisser de prises daccs au rseau interne accessibles
dans les endroits ouverts au public.
Ces endroits publics peuvent tre des salles dattente, des placards ou des couloirs
par exemple. Les attaquants peuvent par exemple rcuprer un accs au rseau de
lentreprise en connectant une machine dattaque en lieu et place des quipements
suivants, ds lors que ceux-ci sont connects au rseau:
imprimantes ou photocopieurs multifonctions entreposs dans un couloir;
crans daffichage diffusant des flux dinformation;
camras de surveillance;
tlphones:
Par ailleurs, les chemins de cbles du rseau interne ne devraient pas non plus tre
accessibles dans les lieux publics.
Sil est toutefois ncessaire de rendre ponctuellement accessible le rseau depuis
une prise situe dans un espace public (pour une prsentation par exemple), la
prise doit tre brasse pour loccasion et dbrasse ds que possible.
36
Guide dhygine informatique
Contrler laccs aux locaux et la scurit physique
Rgle 35
Dfinir les rgles dutilisation des imprimantes et des
photocopieuses.
37
Guide dhygine informatique
Organiser la raction en cas dincident
Rgle 36
Disposer dun plan de reprise et de continuit dactivit
informatique, mme sommaire, tenu rgulirement jour
dcrivant comment sauvegarder les donnes essentielles de
lentreprise.
39
Guide dhygine informatique
Organiser la raction en cas dincident
Rgle 37
Mettre en place une chane dalerte et de raction connue de
tous les intervenants.
Tous les utilisateurs doivent au minimum pouvoir sadresser rapidement un
interlocuteur rfrent, form la raction, pour signaler tout incident. Ils doivent
pouvoir joindre cet interlocuteur facilement et doivent tre informs quil nest pas
souhaitable quils tentent de rgler le problme par eux-mmes.
Rgle 38
Ne jamais se contenter de traiter linfection dune machine sans
tenter de savoir comment le code malveillant a pu sinstaller
sur la machine, sil a pu se propager ailleurs dans le rseau et
quelles informations ont t manipules.
40
Guide dhygine informatique
Organiser la raction en cas dincident
41
Guide dhygine informatique
Sensibiliser
XII - Sensibiliser
Rgle 39
Sensibiliser les utilisateurs aux rgles dhygine informatique
lmentaires.
Chaque utilisateur devrait en permanence (au minimum chaque anne) se voir
rappeler:
Le respect des rgles dhygine qui concernent les utilisateurs devraient figurer
dans une charte dusage des moyens informatiques vise par chaque utilisateur.
43
43
Guide dhygine informatique
Faire auditer la scurit
Rgle 40
Faire raliser des audits de scurit priodiques (au minimum
tous les ans). Chaque audit doit tre associ un plan daction
dont la mise en uvre est suivie au plus haut niveau.
45
Guide dhygine informatique
Index des rgles
Rgle 1 - Disposer dune cartographie prcise de linstallation informatique et la
maintenir jour. p. 9
Rgle 11 - Ne pas conserver les mots de passe en clair dans des fichiers sur les
systmes informatiques. p. 18
Rgle 13 - Privilgier lorsque cest possible une authentification forte par carte
puce. p. 19
47
Guide dhygine informatique
Rgle 15 - Interdire techniquement la connexion des supports amovibles sauf si
cela est strictement ncessaire; dsactiver lexcution des autoruns depuis de tels
supports. p. 22
Rgle 17- Grer les terminaux nomades selon une politique de scurit au moins
aussi stricte que celle des postes fixes. p. 23
Rgle 18 - Interdire dans tous les cas o cela est possible les connexions distance
sur les postes clients. p. 24
Rgle 19 - Chiffrer les donnes sensibles, en particulier sur les postes nomades et
les supports potentiellement perdables. p. 24
Rgle 21 - Mettre en place des rseaux cloisonns. Pour les postes ou les serveurs
contenant des informations importantes pour la vie de lentreprise, crer un sous-
rseau protg par une passerelle dinterconnexion spcifique. p. 26
Rgle 22 - viter lusage dinfrastructures sans fil (Wifi). Si lusage de ces technologies
ne peut tre vit, cloisonner le rseau daccs Wifi du reste du systme dinformation.
p. 26
48
Guide dhygine informatique
Rgle 30 - Ne pas donner aux utilisateurs de privilges dadministration. Ne faire
aucune exception. p. 34
Rgle 33 - Protger rigoureusement les cls permettant laccs aux locaux et les
codes dalarme. p. 35
Rgle 34 - Ne pas laisser de prises daccs au rseau interne accessibles dans les
endroits ouverts au public. p. 36
Rgle 37 - Mettre en place une chane dalerte et de raction connue de tous les
intervenants. p. 40
Rgle 40 - Faire raliser des audits de scurit priodiques (au minimum tous les
ans). Chaque audit doit tre associ un plan daction dont la mise en uvre est
suivie au plus haut niveau. p. 45
49
Guide dhygine informatique
notes
50
Version 1.0 - Janvier 2013
20130621-1040