GUIDE DHYGINE INFORMATIQUE

RENFORCER LA SCURIT DE SON SYSTME DINFORMATION EN 42 MESURES

1
 AVANT-PROPOS

Paru en janvier 2013 dans sa premire version, le Guide dhygine infor-

matique dit par lANSSI sadresse aux entits publiques ou prives dotes
dune direction des systmes dinformation (DSI) ou de professionnels dont la
mission est de veiller leur scurit. Il est n du constat que si les mesures qui
y sont dictes avaient t appliques par les entits concernes, la majeure
partie des attaques informatiques ayant requis une intervention de lagence
aurait pu tre vite.

Cette nouvelle version a fait lobjet dune mise jour portant la fois sur les
technologies et pratiques nouvelles ou croissantes avec lesquelles il sagit
de composer en matire de scurit (nomadisme, sparation des usages, etc.)
mais aussi sur la mise disposition doutils (indicateurs de niveau standard ou
renforc) pour clairer le lecteur dans lapprciation des mesures nonces.
Si lobjet de ce guide nest pas la scurit de linformation en tant que telle,
appliquer les mesures proposes maximise la scurit du systme dinforma-
tion, berceau des donnes de votre entit.

La scurit nest plus une option. ce titre, les enjeux de scurit numrique
doivent se rapprocher des proccupations conomiques, stratgiques ou
encore dimage qui sont celles des dcideurs. En contextualisant le besoin,
en rappelant lobjectif poursuivi et en y rpondant par la mesure concrte
correspondante, ce guide dhygine informatique est une feuille de route
qui pouse les intrts de toute entit consciente de la valeur de ses donnes.

1
 SOMMAIRE

Avant-propos
Mode demploi du guide

I - Sensibiliser et former - P.4

II - Connatre le systme dinformation - p.8
III - Authentifier et contrler les accs - p.13
IV - Scuriser les postes - p.20
V - Scuriser le rseau - p.26
VI - Scuriser ladministration - p.36
VII - Grer le nomadisme - p.40
VIII - Maintenir le systme dinformation jour - p.45
IX - Superviser, auditer, ragir - p.48
X - Pour aller plus loin - p.55

Outil de suivi
Bibliographie

2
 MODE DEMPLOI DU GUIDE

Le prsent document comporte 42 rgles de scurit simples. Chacune dentre

elles est importante et vous pouvez tout fait les considrer indpendamment
les unes des autres pour amliorer votre niveau de scurit sur quelques
points particuliers.

Cependant, nous vous conseillons dutiliser ce guide comme base pour dfinir
un plan dactions :
1. Commencez par tablir un tat des lieux pour chacune des rgles grce
loutil de suivi qui se trouve en annexe de ce document. Pour chaque
rgle, dterminez si votre organisme atteint le niveau standard et, le cas
chant, le niveau renforc.
2. Si vous ne pouvez pas faire cet tat des lieux par manque de connais-
sance de votre systme dinformation, nhsitez pas solliciter laide
dun spcialiste pour procder un diagnostic et assurer un niveau de
scurit lmentaire. ( lire : ANSSI-CGPME, Guide des bonnes pratiques
de linformatique, mars 2015).
3. partir du constat tabli cette premire tape, visez en priorit les
rgles pour lesquelles vous navez pas encore atteint le niveau standard ,
pour dfinir un premier plan dactions. Si les mesures de ce guide doivent
tre appliques dans le cadre dun rfrentiel publi par lANSSI et sauf
mention explicite, il sagit des mesures de niveau standard .
4. Lorsque vous avez atteint partout le niveau standard , vous pouvez
dfinir un nouveau plan dactions en visant le niveau renforc pour
les rgles concernes.

3
 I
SENSIBILISER ET FORMER

4
 I

sensibiliser et former
Former les quipes

1
oprationnelles la scurit
des systmes dinformation

/ standard
Les quipes oprationnelles (administrateurs rseau, scurit et systme, chefs
de projet, dveloppeurs, RSSI) ont des accs privilgis au systme dinforma-
tion. Elles peuvent, par inadvertance ou par mconnaissance des consquences
de certaines pratiques, raliser des oprations gnratrices de vulnrabilits.

Citons par exemple laffectation de comptes disposant de trop nombreux

privilges par rapport la tche raliser, lutilisation de comptes personnels

Guide dhygine informatique

pour excuter des services ou tches priodiques, ou encore le choix de mots
de passe peu robustes donnant accs des comptes privilgis.

Les quipes oprationnelles, pour tre ltat de lart de la scurit des systmes
dinformation, doivent donc suivre - leur prise de poste puis intervalles
rguliers - des formations sur :
>> la lgislation en vigueur ;
>> les principaux risques et menaces ;
>> le maintien en condition de scurit ;
>> lauthentification et le contrle daccs ;
>> le paramtrage fin et le durcissement des systmes ;
>> le cloisonnement rseau ;
>> et la journalisation.

Cette liste doit tre prcise selon le mtier des collaborateurs en considrant
des aspects tels que lintgration de la scurit pour les chefs de projet, le
dveloppement scuris pour les dveloppeurs, les rfrentiels de scurit
pour les RSSI, etc.
Il est par ailleurs ncessaire de faire mention de clauses spcifiques dans les
contrats de prestation pour garantir une formation rgulire la scurit des
systmes dinformation du personnel externe et notamment les infogrants.

5
 I
sensibiliser et former

2
Sensibiliser les utilisateurs aux
bonnes pratiques lmentaires
de scurit informatique

/ standard
Chaque utilisateur est un maillon part entire de la chane des systmes
dinformation. ce titre et ds son arrive dans lentit, il doit tre inform
des enjeux de scurit, des rgles respecter et des bons comportements
adopter en matire de scurit des systmes dinformation travers des actions
de sensibilisation et de formation.

Ces dernires doivent tre rgulires, adaptes aux utilisateurs cibls, peuvent
Guide dhygine informatique

prendre diffrentes formes (mails, affichage, runions, espace intranet ddi,

etc.) et aborder au minimum les sujets suivants :
>> les objectifs et enjeux que rencontre lentit en matire de scurit des
systmes dinformation ;
>> les informations considres comme sensibles ;
>> les rglementations et obligations lgales ;
>> les rgles et consignes de scurit rgissant lactivit quotidienne : respect
de la politique de scurit, non-connexion dquipements personnels au
rseau de lentit, non-divulgation de mots de passe un tiers, non-rutilisa-
tion de mots de passe professionnels dans la sphre prive et inversement,
signalement dvnements suspects, etc. ;
>> les moyens disponibles et participant la scurit du systme : verrouillage
systmatique de la session lorsque lutilisateur quitte son poste, outil de
protection des mots de passe, etc.

/ renforc
Pour renforcer ces mesures, llaboration et la signature dune charte des
moyens informatiques prcisant les rgles et consignes que doivent respecter
les utilisateurs peut tre envisage.

6
 I

sensibiliser et former
3 Matriser les risques
de linfogrance

/ standard
Lorsquune entit souhaite externaliser son systme dinformation ou ses
donnes, elle doit en amont valuer les risques spcifiques linfogrance
(matrise du systme dinformation, actions distance, hbergement mutualis,
etc.) afin de prendre en compte, ds la rdaction des exigences applicables au
futur prestataire, les besoins et mesures de scurit adapts.
Les risques SSI inhrents ce type de dmarche peuvent tre lis au contexte
de lopration dexternalisation mais aussi des spcifications contractuelles

Guide dhygine informatique

dficientes ou incompltes.

En faveur du bon droulement des oprations, il sagit donc :

>> dtudier attentivement les conditions des offres, la possibilit de les adapter
des besoins spcifiques et les limites de responsabilit du prestataire ;
>> dimposer une liste dexigences prcises au prestataire : rversibilit du
contrat, ralisation daudits, sauvegarde et restitution des donnes dans un
format ouvert normalis, maintien niveau de la scurit dans le temps, etc.

Pour formaliser ces engagements, le prestataire fournira au commanditaire

un plan dassurance scurit (PAS) prvu par lappel doffre. Il sagit dun
document contractuel dcrivant lensemble des dispositions spcifiques que
les candidats sengagent mettre en uvre pour garantir le respect des exi-
gences de scurit spcifies par lentit.

Le recours des solutions ou outils non matriss (par exemple hbergs dans
le nuage) nest pas ici considr comme tant du ressort de linfogrance et
par ailleurs dconseill en cas de traitement dinformations sensibles.

ANSSI, Guide de lexternalisation Matriser les risques de linfogrance, guide, dcembre 2010

7
 II
CONNATRE LE SYSTME DINFORMATION

8
 II

CONNATRE LE SYSTME DINFORMATION

4
Identifier les informations et
serveurs les plus sensibles et
maintenir un schma du rseau

/Standard
Chaque entit possde des donnes sensibles. Ces dernires peuvent porter
sur son activit propre (proprit intellectuelle, savoir-faire, etc.) ou sur ses
clients, administrs ou usagers (donnes personnelles, contrats, etc.). Afin
de pouvoir les protger efficacement, il est indispensable de les identifier.

partir de cette liste de donnes sensibles, il sera possible de dterminer

sur quels composants du systme dinformation elles se localisent (bases de

Guide dhygine informatique

donnes, partages de fichiers, postes de travail, etc.). Ces composants corres-
pondent aux serveurs et postes critiques pour lentit. ce titre, ils devront
faire lobjet de mesures de scurit spcifiques pouvant porter sur la sauve-
garde, la journalisation, les accs, etc.

Il sagit donc de crer et de maintenir jour un schma simplifi du rseau

(ou cartographie) reprsentant les diffrentes zones IP et le plan dadressage
associ, les quipements de routage et de scurit (pare-feu, relais applicatifs,
etc.) et les interconnexions avec lextrieur (Internet, rseaux privs, etc.) et
les partenaires. Ce schma doit galement permettre de localiser les serveurs
dtenteurs dinformations sensibles de lentit.

9
 II
CONNATRE LE SYSTME DINFORMATION

5
Disposer dun inventaire
exhaustif des comptes privilgis
et le maintenir jour

/Standard
Les comptes bnficiant de droits spcifiques sont des cibles privilgies par
les attaquants qui souhaitent obtenir un accs le plus large possible au systme
dinformation. Ils doivent donc faire lobjet dune attention toute particulire.
Il sagit pour cela deffectuer un inventaire de ces comptes, de le mettre jour
rgulirement et dy renseigner les informations suivantes :
>> les utilisateurs ayant un compte administrateur ou des droits suprieurs
ceux dun utilisateur standard sur le systme dinformation ;
Guide dhygine informatique

>> les utilisateurs disposant de suffisamment de droits pour accder aux

rpertoires de travail des responsables ou de lensemble des utilisateurs ;
>> les utilisateurs utilisant un poste non administr par le service infor-
matique et qui ne fait pas lobjet de mesures de scurit dictes par la
politique de scurit gnrale de lentit.

Il est fortement recommand de procder une revue priodique de ces

comptes afin de sassurer que les accs aux lments sensibles (notamment
les rpertoires de travail et la messagerie lectronique des responsables) soient
maitriss. Ces revues permettront galement de supprimer les accs devenus
obsoltes suite au dpart dun utilisateur par exemple.

Enfin, il est souhaitable de dfinir et dutiliser une nomenclature simple et

claire pour identifier les comptes de services et les comptes dadministration.
Cela facilitera notamment leur revue et la dtection dintrusion.

10
 II

CONNATRE LE SYSTME DINFORMATION

6
Organiser les procdures darrive,
de dpart et de changement de
fonction des utilisateurs

/Standard
Les effectifs dune entit, quelle soit publique ou prive, voluent sans cesse :
arrives, dparts, mobilit interne. Il est par consquent ncessaire que les
droits et les accs au systme dinformation soient mis jour en fonction de
ces volutions. Il est notamment essentiel que lensemble des droits affects
une personne soient rvoqus lors de son dpart ou en cas de changement
de fonction. Les procdures darrive et de dpart doivent donc tre dfinies,
en lien avec la fonction ressources humaines. Elles doivent au minimum

Guide dhygine informatique

prendre en compte :
>> la cration et la suppression des comptes informatiques et botes aux
lettres associes ;
>> les droits et accs attribuer et retirer une personne dont la fonction
change ;
>> la gestion des accs physiques aux locaux (attribution, restitution des
badges et des cls, etc.) ;
>> laffectation des quipements mobiles (ordinateur portable, cl USB,
disque dur, ordiphone, etc.) ;
>> la gestion des documents et informations sensibles (transfert de mots
de passe, changement des mots de passe ou des codes sur les systmes
existants).

/Renforc
Les procdures doivent tre formalises et mises jour en fonction du contexte.

11
 II
CONNATRE LE SYSTME DINFORMATION

7
Autoriser la connexion au
rseau de lentit aux seuls
quipements matriss

/Standard
Pour garantir la scurit de son systme dinformation, lentit doit matriser
les quipements qui sy connectent, chacun constituant un point dentre po-
tentiellement vulnrable. Les quipements personnels (ordinateurs portables,
tablettes, ordiphones, etc.) sont, par dfinition, difficilement matrisables dans
la mesure o ce sont les utilisateurs qui dcident de leur niveau de scurit.
De la mme manire, la scurit des quipements dont sont dots les visiteurs
chappe tout contrle de lentit.
Guide dhygine informatique

Seule la connexion de terminaux matriss par lentit doit tre autorise sur
ses diffrents rseaux daccs, quils soient filaire ou sans fil. Cette recom-
mandation, avant tout dordre organisationnel, est souvent perue comme
inacceptable ou rtrograde. Cependant, y droger fragilise le rseau de lentit
et sert ainsi les intrts dun potentiel attaquant.

La sensibilisation des utilisateurs doit donc saccompagner de solutions prag-

matiques rpondant leurs besoins. Citons par exemple la mise disposition
dun rseau Wi-Fi avec SSID ddi pour les terminaux personnels ou visiteurs.

/Renforc
Ces amnagements peuvent tre complts par des mesures techniques telles
que lauthentification des postes sur le rseau (par exemple laide du standard
802.1X ou dun quivalent).

12
 III
AUTHENTIFIER ET CONTRLER LES ACCS

13
 III
AUTHENTIFIER ET CONTROLER LES ACCS

Identifier nommment

8
chaque personne accdant au
systme et distinguer les rles
utilisateur/administrateur

/Standard
Afin de faciliter lattribution dune action sur le systme dinformation en cas
dincident ou didentifier dventuels comptes compromis, les comptes daccs
doivent tre nominatifs.

Lutilisation de comptes gnriques (ex : admin, user) doit tre marginale et ceux-
ci doivent pouvoir tre rattachs un nombre limit de personnes physiques.
Guide dhygine informatique

Bien entendu, cette rgle ninterdit pas le maintien de comptes de service,

rattachs un processus informatique (ex : apache, mysqld).

Dans tous les cas, les comptes gnriques et de service doivent tre grs selon
une politique au moins aussi stricte que celle des comptes nominatifs. Par
ailleurs, un compte dadministration nominatif, distinct du compte utilisa-
teur, doit tre attribu chaque administrateur. Les identifiants et secrets
dauthentification doivent tre diffrents (ex : pmartin comme identifiant
utilisateur, adm-pmartin comme identifiant administrateur). Ce compte dad-
ministration, disposant de plus de privilges, doit tre ddi exclusivement aux
actions dadministration. De plus, il doit tre utilis sur des environnements
ddis ladministration afin de ne pas laisser de traces de connexion ni de
condensat de mot de passe sur un environnement plus expos.

/Renforc
Ds que possible la journalisation lie aux comptes (ex : relev des connexions
russies/choues) doit tre active.

14
 III

AUTHENTIFIER ET CONTROLER LES ACCS

9
Attribuer les bons droits sur
les ressources sensibles du
systme dinformation

/Standard
Certaines des ressources du systme peuvent constituer une source dinfor-
mation prcieuse aux yeux dun attaquant (rpertoires contenant des don-
nes sensibles, bases de donnes, botes aux lettres lectroniques, etc.). Il est
donc primordial dtablir une liste prcise de ces ressources et pour chacune
dentre elles :
>> de dfinir quelle population peut y avoir accs ;
>> de contrler strictement son accs, en sassurant que les utilisateurs sont

Guide dhygine informatique

authentifis et font partie de la population cible ;
>> dviter sa dispersion et sa duplication des endroits non matriss ou
soumis un contrle daccs moins strict.

Par exemple, les rpertoires des administrateurs regroupant de nombreuses

informations sensibles doivent faire lobjet dun contrle daccs prcis. Il en
va de mme pour les informations sensibles prsentes sur des partages rseau :
exports de fichiers de configuration, documentation technique du systme
dinformation, bases de donnes mtier, etc. Une revue rgulire des droits
daccs doit par ailleurs tre ralise afin didentifier les accs non autoriss.

15
 III
AUTHENTIFIER ET CONTROLER LES ACCS

10
Dfinir et vrifier des rgles de
choix et de dimensionnement
des mots de passe

/Standard
LANSSI nonce un ensemble de rgles et de bonnes pratiques en matire de
choix et de dimensionnement des mots de passe. Parmi les plus critiques de
ces rgles figure la sensibilisation des utilisateurs aux risques lis au choix
dun mot de passe qui serait trop facile deviner, ou encore la rutilisation
de mots de passe dune application lautre et plus particulirement entre
messageries personnelles et professionnelles.
Guide dhygine informatique

Pour encadrer et vrifier lapplication de ces rgles de choix et de dimen-

sionnement, lentit pourra recourir diffrentes mesures parmi lesquelles :
>> le blocage des comptes lissue de plusieurs checs de connexion ;
>> la dsactivation des options de connexion anonyme ;
>> lutilisation dun outil daudit de la robustesse des mots de passe.

En amont de telles procdures, un effort de communication visant expli-

quer le sens de ces rgles et veiller les consciences sur leur importance est
fondamental.

ANSSI, Recommandations de scurit relatives aux mots de passe, note technique, juin 2012

16
 III

AUTHENTIFIER ET CONTROLER LES ACCS

11
Protger les mots de passe
stocks sur les systmes

/Standard
La complexit, la diversit ou encore lutilisation peu frquente de certains
mots de passe, peuvent encourager leur stockage sur un support physique
(mmo, post-it) ou numrique (fichiers de mots de passe, envoi par mail soi-
mme, recours aux boutons Se souvenir du mot de passe ) afin de pallier
tout oubli ou perte.

Or, les mots de passe sont une cible privilgie par les attaquants dsireux

Guide dhygine informatique

daccder au systme, que cela fasse suite un vol ou un ventuel partage du
support de stockage. Cest pourquoi ils doivent imprativement tre protgs au
moyen de solutions scurises au premier rang desquelles figurent lutilisation
dun coffre-fort numrique et le recours des mcanismes de chiffrement.

Bien entendu, le choix dun mot de passe pour ce coffre-fort numrique doit
respecter les rgles nonces prcdemment et tre mmoris par lutilisateur,
qui na plus que celui-ci retenir.

17
 III
AUTHENTIFIER ET CONTROLER LES ACCS

12
Changer les lments
dauthentification par dfaut
sur les quipements et services

/Standard
Il est impratif de partir du principe que les configurations par dfaut des
systmes dinformation sont systmatiquement connues des attaquants,
quand bien mme celles-ci ne le sont pas du grand public. Ces configurations
se rvlent (trop) souvent triviales (mot de passe identique lidentifiant,
mal dimensionn ou commun lensemble des quipements et services par
exemple) et sont, la plupart du temps, faciles obtenir pour des attaquants
capables de se faire passer pour un utilisateur lgitime.
Guide dhygine informatique

Les lments dauthentification par dfaut des composants du systme doivent

donc tre modifis ds leur installation et, sagissant de mots de passe, tre
conformes aux recommandations prcdentes en matire de choix, de dimen-
sionnement et de stockage.

Si le changement dun identifiant par dfaut se rvle impossible pour cause,

par exemple, de mot de passe ou certificat en dur dans un quipement,
ce problme critique doit tre signal au distributeur du produit afin que
cette vulnrabilit soit corrige au plus vite.

/Renforc
Afin de limiter les consquences dune compromission, il est par ailleurs
essentiel, aprs changement des lments dauthentification par dfaut, de
procder leur renouvellement rgulier.

18
 III

AUTHENTIFIER ET CONTROLER LES ACCS

13
Privilgier lorsque cest possible
une authentification forte

/Standard
Il est vivement recommand de mettre en uvre une authentification forte
ncessitant lutilisation de deux facteurs dauthentification diffrents parmi
les suivants :
>> quelque chose que je sais (mot de passe, trac de dverrouillage, signature) ;
>> quelque chose que je possde (carte puce, jeton USB, carte magntique,
RFID, un tlphone pour recevoir un code SMS) ;
>> quelque chose que je suis (une empreinte biomtrique).

Guide dhygine informatique

/Renforc
Les cartes puces doivent tre privilgies ou, dfaut, les mcanismes de
mots de passe usage unique (ou One Time Password) avec jeton physique.
Les oprations cryptographiques mises en place dans ces deux facteurs offrent
gnralement de bonnes garanties de scurit.

Les cartes puce peuvent tre plus complexes mettre en place car ncessitant
une infrastructure de gestion des cls adapte. Elles prsentent cependant
lavantage dtre rutilisables plusieurs fins : chiffrement, authentification
de messagerie, authentification sur le poste de travail, etc.

19
 IV
SCURISER LES POSTES

20
 IV

SCURISER LES POSTES

14
Mettre en place un niveau de
scurit minimal sur lensemble
du parc informatique

/Standard
Lutilisateur plus ou moins au fait des bonnes pratiques de scurit informatique
est, dans de trs nombreux cas, la premire porte dentre des attaquants vers
le systme. Il est donc fondamental de mettre en place un niveau de scurit
minimal sur lensemble du parc informatique de lentit (postes utilisateurs,
serveurs, imprimantes, tlphones, priphriques USB, etc.) en implmentant
les mesures suivantes :
>> limiter les applications installes et modules optionnels des navigateurs

Guide dhygine informatique

web aux seuls ncessaires ;
>> doter les postes utilisateurs dun pare-feu local et dun anti-virus (ceux-ci
sont parfois inclus dans le systme dexploitation) ;
>> chiffrer les partitions o sont stockes les donnes des utilisateurs ;
>> dsactiver les excutions automatiques (autorun).

En cas de drogation ncessaire aux rgles de scurit globales applicables

aux postes, ceux-ci doivent tre isols du systme (sil est impossible de mettre
jour certaines applications pour des raisons de compatibilit par exemple).

/Renforc
Les donnes vitales au bon fonctionnement de lentit que dtiennent les
postes utilisateurs et les serveurs doivent faire lobjet de sauvegardes rgulires
et stockes sur des quipements dconnects, et leur restauration doit tre
vrifie de manire priodique. En effet, de plus en plus de petites structures
font lobjet dattaques rendant ces donnes indisponibles (par exemple pour
exiger en contrepartie de leur restitution le versement dune somme cons-
quente (ranongiciel)).

21
 IV
SCURISER LES POSTES

15
Se protger des menaces
relatives lutilisation de
supports amovibles

/Standard
Les supports amovibles peuvent tre utiliss afin de propager des virus, voler
des informations sensibles et stratgiques ou encore compromettre le rseau
de lentit. De tels agissements peuvent avoir des consquences dsastreuses
pour lactivit de la structure cible.

Sil nest pas question dinterdire totalement lusage de supports amovibles au

sein de lentit, il est nanmoins ncessaire de traiter ces risques en identifiant
Guide dhygine informatique

des mesures adquates et en sensibilisant les utilisateurs aux risques que ces
supports peuvent vhiculer.

Il convient notamment de proscrire le branchement de cls USB inconnues

(ramasses dans un lieu public par exemple) et de limiter au maximum celui
de cls non matrises (dont on connait la provenance mais pas lintgrit)
sur le systme dinformation moins, dans ce dernier cas, de faire inspecter
leur contenu par lantivirus du poste de travail.

/Renforc
Sur les postes utilisateur, il est recommand dutiliser des solutions permettant
dinterdire lexcution de programmes sur les priphriques amovibles (par
exemple Applocker sous Windows ou des options de montage noexec sous Unix).

Lors de la fin de vie des supports amovibles, il sera ncessaire dimplmenter

et de respecter une procdure de mise au rebut stricte pouvant aller jusqu
leur destruction scurise afin de limiter la fuite dinformations sensibles.

ANSSI, Recommandations pour la mise en uvre dune politique de restrictions logicielles sous
Windows, note technique, dcembre 2013
ANSSI, Recommandations de configuration dun systme GNU/Linux, note technique, janvier
2016
22
 IV

SCURISER LES POSTES

16
Utiliser un outil de gestion
centralise afin dhomogniser
les politiques de scurit

/Standard
La scurit du systme dinformation repose sur la scurit du maillon le
plus faible. Il est donc ncessaire dhomogniser la gestion des politiques de
scurit sappliquant lensemble du parc informatique de lentit.

Lapplication de ces politiques (gestion des mots de passe, restrictions de

connexions sur certains postes sensibles, configuration des navigateurs Web,
etc.) doit tre simple et rapide pour les administrateurs, en vue notamment

Guide dhygine informatique

de faciliter la mise en uvre de contre-mesures en cas de crise informatique.

Pour cela, lentit pourra se doter dun outil de gestion centralise (par exemple
Active Directory en environnement Microsoft) auquel il sagit dinclure le plus
grand nombre dquipements informatiques possible. Les postes de travail
et les serveurs sont concerns par cette mesure qui ncessite ventuellement
en amont un travail dharmonisation des choix de matriels et de systmes
dexploitation.

Ainsi, des politiques de durcissement du systme dexploitation ou dapplications

pourront facilement sappliquer depuis un point central tout en favorisant la
ractivit attendue en cas de besoin de reconfiguration.

ANSSI, Recommandations de scurit relatives Active Directory, note technique, septembre

2014
23
 IV
SCURISER LES POSTES

17
Activer et configurer le pare-
feu local des postes de travail

/Standard
Aprs avoir russi prendre le contrle dun poste de travail ( cause, par
exemple, dune vulnrabilit prsente dans le navigateur Internet), un atta-
quant cherchera souvent tendre son intrusion aux autres postes de travail
pour, in fine, accder aux documents des utilisateurs.

Afin de rendre plus difficile ce dplacement latral de lattaquant, il est n-

cessaire dactiver le pare-feu local des postes de travail au moyen de logiciels
Guide dhygine informatique

intgrs (pare-feu local Windows) ou spcialiss.

Les flux de poste poste sont en effet trs rares dans un rseau bureautique
classique : les fichiers sont stocks dans des serveurs de fichiers, les applications
accessibles sur des serveurs mtier, etc.

/Renforc
Le filtrage le plus simple consiste bloquer laccs aux ports dadministration
par dfaut des postes de travail (ports TCP 135, 445 et 3389 sous Windows,
port TCP 22 sous Unix), except depuis les ressources explicitement identi-
fies (postes dadministration et dassistance utilisateur, ventuels serveurs
de gestion requrant laccs des partages rseau sur les postes, etc.).

Une analyse des flux entrants utiles (administration, logiciels dinfrastruc-

ture, applications particulires, etc.) doit tre mene pour dfinir la liste des
autorisations configurer. Il est prfrable de bloquer lensemble des flux par
dfaut et de nautoriser que les services ncessaires depuis les quipements
correspondants ( liste blanche ).

Le pare-feu doit galement tre configur pour journaliser les flux bloqus,
et ainsi identifier les erreurs de configuration dapplications ou les tentatives
dintrusion.
24
 IV

SCURISER LES POSTES

18
Chiffrer les donnes sensibles
transmises par voie Internet

/Standard
Internet est un rseau sur lequel il est quasi impossible dobtenir des garanties
sur le trajet que vont emprunter les donnes que lon y envoie. Il est donc tout
fait possible quun attaquant se trouve sur le trajet de donnes transitant
entre deux correspondants.

Toutes les donnes envoyes par courriel ou transmises au moyen doutils

dhbergement en ligne (Cloud) sont par consquent vulnrables. Il sagit

Guide dhygine informatique

donc de procder leur chiffrement systmatique avant de les adresser un
correspondant ou de les hberger.

La transmission du secret (mot de passe, cl, etc.) permettant alors de dchiffrer

les donnes, si elle est ncessaire, doit tre effectue via un canal de confiance
ou, dfaut, un canal distinct du canal de transmission des donnes. Ainsi, si
les donnes chiffres sont transmises par courriel, une remise en main propre
du mot de passe ou, dfaut, par tlphone doit tre privilgie.

Catalogue des produits et prestataires de service qualifis

25
 V
SCURISER LE RSEAU

26
 V

SCURISER LE RSEAU
19
Segmenter le rseau et mettre
en place un cloisonnement
entre ces zones

/Standard
Lorsque le rseau est plat , sans aucun mcanisme de cloisonnement,
chaque machine du rseau peut accder nimporte quelle autre machine.
La compromission de lune delles met alors en pril lensemble des machines
connectes. Un attaquant peut ainsi compromettre un poste utilisateur et
ensuite rebondir jusqu des serveurs critiques.

Il est donc important, ds la conception de larchitecture rseau, de raisonner

Guide dhygine informatique

par segmentation en zones composes de systmes ayant des besoins de scu-
rit homognes. On pourra par exemple regrouper distinctement des serveurs
dinfrastructure, des serveurs mtiers, des postes de travail utilisateurs, des
postes de travail administrateurs, des postes de tlphonie sur IP, etc.

Une zone se caractrise alors par des VLAN et des sous-rseaux IP ddis
voire par des infrastructures ddies selon sa criticit. Ainsi, des mesures de
cloisonnement telles quun filtrage IP laide dun pare-feu peuvent tre mises
en place entre les diffrentes zones. On veillera en particulier cloisonner au-
tant que possible les quipements et flux associs aux tches dadministration.

Pour les rseaux dont le cloisonnement a posteriori ne serait pas ais, il est
recommand dintgrer cette dmarche dans toute nouvelle extension du
rseau ou loccasion dun renouvellement dquipements.

ANSSI, Recommandations pour la dfinition dune politique de filtrage rseau dun pare-feu,
note technique, mars 2013
27
 V
SCURISER LE RSEAU

20
Sassurer de la scurit des
rseaux daccs Wi-Fi et de
la sparation des usages

/Standard
Lusage du Wi-Fi en milieu professionnel est aujourdhui dmocratis mais
prsente toujours des risques de scurit bien spcifiques : faibles garanties
en matire de disponibilit, pas de matrise de la zone de couverture pouvant
mener une attaque hors du primtre gographique de lentit, configuration
par dfaut des points daccs peu scurise, etc.

La segmentation de larchitecture rseau doit permettre de limiter les cons-

Guide dhygine informatique

quences dune intrusion par voie radio un primtre dtermin du systme

dinformation. Les flux en provenance des postes connects au rseau daccs
Wi-Fi doivent donc tre filtrs et restreints aux seuls flux ncessaires.

De plus, il est important davoir recours prioritairement un chiffrement

robuste (mode WPA2, algorithme AES CCMP) et une authentification
centralise, si possible par certificats clients des machines.

La protection du rseau Wi-Fi par un mot de passe unique et partag est d-

conseille. dfaut, il doit tre complexe et son renouvellement prvu mais
il ne doit en aucun cas tre diffus des tiers non autoriss.

Les points daccs doivent par ailleurs tre administrs de manire scurise
(ex : interface ddie, modification du mot de passe administrateur par dfaut).

Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs (ordinateurs

portables, ordiphones) doit tre spare des connexions Wi-Fi des terminaux
de lentit (ex : SSID et VLAN distincts, accs Internet ddi).

ANSSI, Recommandations de scurit relatives aux rseaux Wi-Fi, note technique, septembre
2013
28
 V

SCURISER LE RSEAU
21
Utiliser des protocoles rseaux
scuriss ds quils existent

/Standard
Si aujourdhui la scurit nest plus optionnelle, cela na pas toujours t le cas.
Cest pourquoi de nombreux protocoles rseaux ont d voluer pour intgrer
cette composante et rpondre aux besoins de confidentialit et dintgrit
quimpose lchange de donnes. Les protocoles rseaux scuriss doivent
tre utiliss ds que possible, que ce soit sur des rseaux publics (Internet par
exemple) ou sur le rseau interne de lentit.

Guide dhygine informatique

Bien quil soit difficile den dresser une liste exhaustive, les protocoles les plus
courants reposent sur lutilisation de TLS et sont souvent identifiables par
lajout de la lettre s (pour secure en anglais) lacronyme du protocole.
Citons par exemple https pour la navigation Web ou IMAPS, SMTPS ou
POP3S pour la messagerie.

Dautres protocoles ont t conus de manire scurise ds la conception pour

se substituer danciens protocoles non scuriss. Citons par exemple SSH
(Secure SHell) venu remplacer les protocoles de communication historiques
TELNET et RLOGIN.

ANSSI, Recommandations pour un usage scuris d[OPEN] SSH, note technique, aot 2016
29
 V
SCURISER LE RSEAU

22
Mettre en place une passerelle
daccs scuris Internet

/Standard
Laccs Internet, devenu indispensable, prsente des risques importants : sites
Web hbergeant du code malveillant, tlchargement de fichiers toxiques
et, par consquent, possible prise de contrle du terminal, fuite de donnes
sensibles, etc. Pour scuriser cet usage, il est donc indispensable que les ter-
minaux utilisateurs naient pas daccs rseau direct Internet.

Cest pourquoi il est recommand de mettre en uvre une passerelle scuri-

Guide dhygine informatique

se daccs Internet comprenant au minimum un pare-feu au plus prs de

laccs Internet pour filtrer les connexions et un serveur mandataire (proxy)
embarquant diffrents mcanismes de scurit. Celui-ci assure notamment
lauthentification des utilisateurs et la journalisation des requtes.

/Renforc
Des mcanismes complmentaires sur le serveur mandataire pourront tre
activs selon les besoins de lentit : analyse antivirus du contenu, filtrage par
catgories dURLs, etc. Le maintien en condition de scurit des quipements
de la passerelle est essentiel, il fera donc lobjet de procdures respecter.
Suivant le nombre de collaborateurs et le besoin de disponibilit, ces qui-
pements pourront tre redonds.

Par ailleurs, pour les terminaux utilisateurs, les rsolutions DNS en direct
de noms de domaines publics seront par dfaut dsactives, celles-ci tant
dlgues au serveur mandataire.

Enfin, il est fortement recommand que les postes nomades tablissent au

pralable une connexion scurise au systme dinformation de lentit pour
naviguer de manire scurise sur le Web travers la passerelle.

30
 V

SCURISER LE RSEAU
23
Cloisonner les services visibles
depuis Internet du reste du
systme dinformation

/Standard
Une entit peut choisir dhberger en interne des services visibles sur Internet
(site web, serveur de messagerie, etc.). Au regard de lvolution et du perfec-
tionnement des cyberattaques sur Internet, il est essentiel de garantir un
haut niveau de protection de ce service avec des administrateurs comptents,
forms de manire continue ( ltat de lart des technologies en la matire)
et disponibles. Dans le cas contraire, le recours un hbergement externalis
auprs de professionnels est privilgier.

Guide dhygine informatique

De plus, les infrastructures dhbergement Internet doivent tre physiquement
cloisonnes de toutes les infrastructures du systme dinformation qui nont
pas vocation tre visibles depuis Internet.

Enfin, il convient de mettre en place une infrastructure dinterconnexion de

ces services avec Internet permettant de filtrer les flux lis ces services de
manire distincte des autres flux de lentit. Il sagit galement dimposer le
passage des flux entrants par un serveur mandataire inverse (reverse proxy)
embarquant diffrents mcanismes de scurit.

ANSSI, Guide de dfinition dune architecture de passerelle dinterconnexion scurise, note

technique, dcembre 2011
ANSSI, Matriser les risques de linfogrance, guide, dcembre 2010
31
 V
SCURISER LE RSEAU

24
Protger sa messagerie
professionnelle

/Standard
La messagerie est le principal vecteur dinfection du poste de travail, quil
sagisse de louverture de pices jointes contenant un code malveillant ou du
clic malencontreux sur un lien redirigeant vers un site lui-mme malveillant.

Les utilisateurs doivent tre particulirement sensibiliss ce sujet : lexpditeur

est-il connu ? Une information de sa part est-elle attendue ? Le lien propos
est-il cohrent avec le sujet voqu ? En cas de doute, une vrification de lau-
Guide dhygine informatique

thenticit du message par un autre canal (tlphone, SMS, etc.) est ncessaire.

Pour se prmunir descroqueries (ex : demande de virement frauduleux

manant vraisemblablement dun dirigeant), des mesures organisationnelles
doivent tre appliques strictement.

Par ailleurs, la redirection de messages professionnels vers une messagerie

personnelle est proscrire car cela constitue une fuite irrmdiable dinfor-
mations de lentit. Si ncessaire des moyens matriss et scuriss pour laccs
distant la messagerie professionnelle doivent tre proposs.

Que lentit hberge ou fasse hberger son systme de messagerie, elle doit
sassurer :
>> de disposer dun systme danalyse antivirus en amont des botes aux
lettres des utilisateurs pour prvenir la rception de fichiers infects ;
>> de lactivation du chiffrement TLS des changes entre serveurs de mes-
sagerie (de lentit ou publics) ainsi quentre les postes utilisateur et les
serveurs hbergeant les botes aux lettres.

32
 V

SCURISER LE RSEAU
/Renforc
Il est souhaitable de ne pas exposer directement les serveurs de bote aux lettres
sur Internet. Dans ce cas, un serveur relai ddi lenvoi et la rception des
messages doit tre mis en place en coupure dInternet.

Alors que le spam - malveillant ou non - constitue la majorit des courriels

changs sur Internet, le dploiement dun service anti-spam doit permettre
dliminer cette source de risques.

Guide dhygine informatique

Enfin, ladministrateur de messagerie sassurera de la mise en place des
mcanismes de vrification dauthenticit et de la bonne configuration des
enregistrements DNS publics lis son infrastructure de messagerie (MX,
SPF, DKIM, DMARC).

ANSSI, Bonnes pratiques pour lacquisition et lexploitation de noms de domaine, guide, fvrier
2015
33
 V
SCURISER LE RSEAU

25
Scuriser les interconnexions
rseau ddies avec
les partenaires

/Standard
Pour des besoins oprationnels, une entit peut tre amene tablir une
interconnexion rseau ddie avec un fournisseur ou un client (ex : infog-
rance, change de donnes informatises, flux montiques, etc.).

Cette interconnexion peut se faire au travers dun lien sur le rseau priv de
lentit ou directement sur Internet. Dans le second cas, il convient dtablir
un tunnel site site, de prfrence IPsec, en respectant les prconisations
Guide dhygine informatique

de lANSSI.

Le partenaire tant considr par dfaut comme non sr, il est indispensable
deffectuer un filtrage IP laide dun pare-feu au plus prs de lentre des
flux sur le rseau de lentit. La matrice des flux (entrants et sortants) devra
tre rduite au juste besoin oprationnel, maintenue dans le temps et la
configuration des quipements devra y tre conforme.

/Renforc
Pour des entits ayant des besoins de scurit plus exigeants, il conviendra
de sassurer que lquipement de filtrage IP pour les connexions partenaires
est ddi cet usage. Lajout dun quipement de dtection dintrusions peut
galement constituer une bonne pratique.

Par ailleurs la connaissance dun point de contact jour chez le partenaire

est ncessaire pour pouvoir ragir en cas dincident de scurit.

ANSSI, Recommandations de scurit relatives IPsec pour la protection des flux rseau, note
technique, aot 2015
ANSSI, Recommandations pour la dfinition dune politique de filtrage rseau dun pare-feu,
note technique, mars 2013
34
 V

SCURISER LE RSEAU
26
Contrler et protger laccs
aux salles serveurs et aux
locaux techniques

/Standard
Les mcanismes de scurit physique doivent faire partie intgrante de la
scurit des systmes dinformation et tre ltat de lart afin de sassurer
quils ne puissent pas tre contourns aisment par un attaquant. Il convient
donc didentifier les mesures de scurit physique adquates et de sensibiliser
continuellement les utilisateurs aux risques engendrs par le contournement
des rgles.

Guide dhygine informatique

Les accs aux salles serveurs et aux locaux techniques doivent tre contrls
laide de serrures ou de mcanismes de contrle daccs par badge. Les
accs non accompagns des prestataires extrieurs aux salles serveurs et aux
locaux techniques sont proscrire, sauf sil est possible de tracer strictement
les accs et de limiter ces derniers en fonction des plages horaires. Une revue
des droits daccs doit tre ralise rgulirement afin didentifier les accs
non autoriss.

Lors du dpart dun collaborateur ou dun changement de prestataire, il est

ncessaire de procder au retrait des droits daccs ou au changement des
codes daccs.

Enfin, les prises rseau se trouvant dans des zones ouvertes au public (salle
de runion, hall daccueil, couloirs, placards, etc.) doivent tre restreintes ou
dsactives afin dempcher un attaquant de gagner facilement laccs au
rseau de lentreprise.

35
 VI
SCURISER LADMINISTRATION

36
 VI

SCURISER LADMINISTRATION
Interdire laccs Internet

27
depuis les postes ou serveurs
utiliss pour ladministration
du systme dinformation

/Standard
Un poste de travail ou un serveur utilis pour les actions dadministration ne
doit en aucun cas avoir accs Internet, en raison des risques que la navigation
Web ( travers des sites contenant du code malveillant) et la messagerie (au
travers de pices jointes potentiellement vroles) font peser sur son intgrit.

Pour les autres usages des administrateurs ncessitant Internet (consultation

de documentation en ligne, de leur messagerie, etc.), il est recommand de

Guide dhygine informatique

mettre leur disposition un poste de travail distinct. dfaut, laccs une
infrastructure virtualise distante pour la bureautique depuis un poste dad-
ministration est envisageable. La rciproque consistant fournir un accs
distant une infrastructure dadministration depuis un poste bureautique
est dconseille car elle peut mener une lvation de privilges en cas de
rcupration des authentifiants dadministration.

/Renforc
Concernant les mises jour logicielles des quipements administrs, elles
doivent tre rcupres depuis une source sre (le site de lditeur par
exemple), contrles puis transfres sur le poste ou le serveur utilis pour
ladministration et non connect Internet. Ce transfert peut tre ralis sur
un support amovible ddi.

Pour des entits voulant automatiser certaines tches, la mise en place dune
zone dchanges est conseille.

ANSSI, Recommandations relatives ladministration scurise des systmes dinformation, note

technique, fvrier 2015
37
 VI
SCURISER LADMINISTRATION

28
Utiliser un rseau ddi et
cloisonn pour ladministration
du systme dinformation

/Standard
Un rseau dadministration interconnecte, entre autres, les postes ou serveurs
dadministration et les interfaces dadministration des quipements. Dans la
logique de segmentation du rseau global de lentit, il est indispensable de
cloisonner spcifiquement le rseau dadministration, notamment vis--vis du
rseau bureautique des utilisateurs, pour se prmunir de toute compromission
par rebond depuis un poste utilisateur vers une ressource dadministration.
Guide dhygine informatique

Selon les besoins de scurit de lentit, il est recommand :

>> de privilgier en premier lieu un cloisonnement physique des rseaux ds
que cela est possible, cette solution pouvant reprsenter des cots et un
temps de dploiement importants ; /Renforc
>> dfaut, de mettre en uvre un cloisonnement logique cryptographique
reposant sur la mise en place de tunnels IPsec. Ceci permet dassurer
lintgrit et la confidentialit des informations vhicules sur le rseau
dadministration vis--vis du rseau bureautique des utilisateurs ; /Standard
>> au minimum, de mettre en uvre un cloisonnement logique par VLAN.
/Standard

ANSSI, Recommandations relatives ladministration scurise des systmes dinformation, note

technique, fvrier 2015
38
 VI

SCURISER LADMINISTRATION
Limiter au strict besoin

29
oprationnel les droits
dadministration sur les
postes de travail

/Standard
De nombreux utilisateurs, y compris au sommet des hirarchies, sont tents
de demander leur service informatique de pouvoir disposer, par analogie
avec leur usage personnel, de privilges plus importants sur leurs postes de
travail : installation de logiciels, configuration du systme, etc. Par dfaut,
il est recommand quun utilisateur du SI, quelle que soit sa position hirar-
chique et ses attributions, ne dispose pas de privilges dadministration sur
son poste de travail. Cette mesure, apparemment contraignante, vise limiter

Guide dhygine informatique

les consquences de lexcution malencontreuse dun code malveillant. La
mise disposition dun magasin toff dapplications valides par lentit du
point de vue de la scurit permettra de rpondre la majorit des besoins.

Par consquent, seuls les administrateurs chargs de ladministration des

postes doivent disposer de ces droits lors de leurs interventions.

Si une dlgation de privilges sur un poste de travail est rellement ncessaire

pour rpondre un besoin ponctuel de lutilisateur, celle-ci doit tre trace,
limite dans le temps et retire chance.

39
 VII
GRER LE NOMADISME

40
 VII

GRER LE NOMADISME
30
Prendre des mesures de
scurisation physique des
terminaux nomades

/Standard
Les terminaux nomades (ordinateurs portables, tablettes, ordiphones) sont,
par nature, exposs la perte et au vol. Ils peuvent contenir localement des
informations sensibles pour lentit et constituer un point dentre vers de
plus amples ressources du systme dinformation. Au-del de lapplication au
minimum des politiques de scurit de lentit, des mesures spcifiques de
scurisation de ces quipements sont donc prvoir.

Guide dhygine informatique

En tout premier lieu, les utilisateurs doivent tre sensibiliss pour augmenter
leur niveau de vigilance lors de leurs dplacements et conserver leurs qui-
pements porte de vue. Nimporte quelle entit, mme de petite taille,
peut tre victime dune attaque informatique. Ds lors, en mobilit, tout
quipement devient une cible potentielle voire privilgie.

Il est recommand que les terminaux nomades soient aussi banaliss que
possible en vitant toute mention explicite de lentit dappartenance (par
lapposition dun autocollant aux couleurs de lentit par exemple).

Pour viter toute indiscrtion lors de dplacements, notamment dans les

transports ou les lieux dattente, un filtre de confidentialit doit tre posi-
tionn sur chaque cran.

/Renforc
Enfin, afin de rendre inutilisable le poste seul, lutilisation dun support externe
complmentaire (carte puce ou jeton USB par exemple) pour conserver des
secrets de dchiffrement ou dauthentification peut tre envisage. Dans ce
cas il doit tre conserv part.

ANSSI-CDSE, Passeport de conseils aux voyageurs, bonnes pratiques, janvier 2010

41
VII
GRER LE NOMADISME

31
Chiffrer les donnes sensibles,
en particulier sur le matriel
potentiellement perdable

/Standard
Les dplacements frquents en contexte professionnel et la miniaturisation
du matriel informatique conduisent souvent la perte ou au vol de celui-ci
dans lespace public. Cela peut porter atteinte aux donnes sensibles de lentit
qui y sont stockes.

Il faut donc ne stocker que des donnes pralablement chiffres sur lensemble
des matriels nomades (ordinateurs portables, ordiphones, cls USB, disques
Guide dhygine informatique

durs externes, etc.) afin de prserver leur confidentialit. Seul un secret (mot
de passe, carte puce, code PIN, etc.) pourra permettre celui qui le possde
daccder ces donnes.

Une solution de chiffrement de partition, darchives ou de fichier peut tre

envisage selon les besoins. L encore, il est essentiel de sassurer de lunicit
et de la robustesse du secret de dchiffrement utilis.

Dans la mesure du possible, il est conseill de commencer par un chiffrement

complet du disque avant denvisager le chiffrement darchives ou de fichiers.
En effet, ces derniers rpondent des besoins diffrents et peuvent poten-
tiellement laisser sur le support de stockage des informations non chiffres
(fichiers de restauration de suite bureautique, par exemple).

Catalogue des produits et prestataires de service qualifis

42
 VII

GRER LE NOMADISME
32
Scuriser la connexion
rseau des postes utiliss en
situation de nomadisme

/Standard
En situation de nomadisme, il nest pas rare quun utilisateur ait besoin de se
connecter au systme dinformation de lentit. Il convient par consquent de
sassurer du caractre scuris de cette connexion rseau travers Internet.
Mme si la possibilit dtablir des tunnels VPN SSL/TLS est aujourdhui
courante, il est fortement recommand dtablir un tunnel VPN IPsec entre
le poste nomade et une passerelle VPN IPsec mise disposition par lentit.

Guide dhygine informatique

Pour garantir un niveau de scurit optimal, ce tunnel VPN IPsec doit tre
automatiquement tabli et ne pas tre dbrayable par lutilisateur, cest--dire
quaucun flux ne doit pouvoir tre transmis en dehors de ce tunnel.

Pour les besoins spcifiques dauthentification aux portails captifs, lentit peut
choisir de droger la connexion automatique en autorisant une connexion
la demande ou maintenir cette recommandation en encourageant lutilisateur
utiliser un partage de connexion sur un tlphone mobile de confiance.

/Renforc
Afin dviter toute rutilisation dauthentifiants depuis un poste vol ou perdu
(identifiant et mot de passe enregistrs par exemple), il est prfrable davoir
recours une authentification forte, par exemple avec un mot de passe et un
certificat stock sur un support externe (carte puce ou jeton USB) ou un
mcanisme de mot de passe usage unique (One Time Password).

ANSSI, Recommandations de scurit relatives IPsec pour la protection des flux rseau, note
technique, aot 2015
43
VII
GRER LE NOMADISME

33
Adopter des politiques
de scurit ddies aux
terminaux mobiles

/Standard
Les ordiphones et tablettes font partie de notre quotidien personnel et/ou
professionnel. La premire des recommandations consiste justement ne pas
mutualiser les usages personnel et professionnel sur un seul et mme terminal,
par exemple en ne synchronisant pas simultanment comptes professionnel
et personnel de messagerie, de rseaux sociaux, dagendas, etc.

Les terminaux, fournis par lentit et utiliss en contexte professionnel doivent

Guide dhygine informatique

faire lobjet dune scurisation part entire, ds lors quils se connectent

au systme dinformation de lentit ou quils contiennent des informations
professionnelles potentiellement sensibles (mails, fichiers partags, contacts,
etc.). Ds lors, lutilisation dune solution de gestion centralise des quipe-
ments mobiles est privilgier. Il sera notamment souhaitable de configurer
de manire homogne les politiques de scurit inhrentes : moyen de dver-
rouillage du terminal, limitation de lusage du magasin dapplications des
applications valides du point de vue de la scurit, etc.

Dans le cas contraire, une configuration pralable avant remise de lquipe-

ment et une sance de sensibilisation des utilisateurs est souhaitable.

/Renforc
Entre autres usages potentiellement risqus, celui dun assistant vocal intgr
augmente sensiblement la surface dattaque du terminal et des cas dattaque
ont t dmontrs. Pour ces raisons, il est donc dconseill.

ANSSI, Recommandations de scurit relatives aux ordiphones, note technique, juillet 2015
44
 VIII
MAINTENIR LE SYSTME DINFORMATION JOUR

45
VIII
MAINTENIR LE SYSTME DINFORMATION JOUR

34
Dfinir une politique de
mise jour des composants
du systme dinformation

/Standard
De nouvelles failles sont rgulirement dcouvertes au cur des systmes et
logiciels. Ces dernires sont autant de portes daccs quun attaquant peut
exploiter pour russir son intrusion dans le systme dinformation. Il est donc
primordial de sinformer de lapparition de nouvelles vulnrabilits (CERT-
FR) et dappliquer les correctifs de scurit sur lensemble des composants du
systme dans le mois qui suit leur publication par lditeur. Une politique de
mise jour doit ainsi tre dfinie et dcline en procdures oprationnelles.
Guide dhygine informatique

Celles-ci doivent notamment prciser :

>> la manire dont linventaire des composants du systme dinformation
est ralis ;
>> les sources dinformation relatives la publication des mises jour ;
>> les outils pour dployer les correctifs sur le parc (par exemple WSUS pour
les mises jour des composants Microsoft, des outils gratuits ou payants
pour les composants tiers et autres systmes dexploitation) ;
>> lventuelle qualification des correctifs et leur dploiement progressif
sur le parc.

Les composants obsoltes qui ne sont plus supports par leurs fabricants
doivent tre isols du reste du systme. Cette recommandation sapplique
aussi bien au niveau rseau par un filtrage strict des flux, quau niveau des
secrets dauthentification qui doivent tre ddis ces systmes.

CERT-FR : au sein du COSSI, le Centre gouvernemental de veille, dalerte et de rponse aux

attaques informatiques (CERT-FR) assure le rle de CERT (pour Computer Emergency Res-
ponse Team) gouvernemental franais. ce titre, il compte parmi ses missions principales
une action de veille technologique informant tout un chacun sur ltat de lart des systmes
et logiciels.
46
 VIII

MAINTENIR LE SYSTME DINFORMATION JOUR

Anticiper la fin de la

35
maintenance des logiciels
et systmes et limiter les
adhrences logicielles

/Standard
Lutilisation dun systme ou dun logiciel obsolte augmente significativement
les possibilits dattaque informatique. Les systmes deviennent vulnrables
ds lors que les correctifs ne sont plus proposs. En effet, des outils malveillants
exploitant ces vulnrabilits peuvent se diffuser rapidement sur Internet alors
mme que lditeur ne propose pas de correctif de scurit.

Pour anticiper ces obsolescences, un certain nombre de prcautions existent :

Guide dhygine informatique

>> tablir et tenir jour un inventaire des systmes et applications du sys-
tme dinformation ;
>> choisir des solutions dont le support est assur pour une dure corres-
pondant leur utilisation ;
>> assurer un suivi des mises jour et des dates de fin de support des logiciels ;
>> maintenir un parc logiciel homogne (la coexistence de versions diff-
rentes dun mme produit multiplie les risques et complique le suivi) ;
>> limiter les adhrences logicielles, cest--dire les dpendances de fonc-
tionnement dun logiciel par rapport un autre, en particulier lorsque
le support de ce dernier arrive son terme ;
>> inclure dans les contrats avec les prestataires et fournisseurs des clauses
garantissant le suivi des correctifs de scurit et la gestion des obsolescences ;
>> identifier les dlais et ressources ncessaires (matrielles, humaines,
budgtaires) la migration de chaque logiciel en fin de vie (tests de
non-rgression, procdure de sauvegarde, procdure de migration des
donnes, etc.).

47
 IX
SUPERVISER, AUDITER, RAGIR

48
 IX

SUPERVISER, AUDITER, RAGIR

36
Activer et configurer les
journaux des composants
les plus importants

/Standard
Disposer de journaux pertinents est ncessaire afin de pouvoir dtecter
dventuels dysfonctionnements et tentatives daccs illicites aux composants
du systme dinformation.

La premire tape consiste dterminer quels sont les composants critiques

du systme dinformation. Il peut notamment sagir des quipements rseau
et de scurit, des serveurs critiques, des postes de travail dutilisateurs sen-

Guide dhygine informatique

sibles, etc.

Pour chacun, il convient danalyser la configuration des lments journali-

ss (format, frquence de rotation des fichiers, taille maximale des fichiers
journaux, catgories dvnements enregistrs, etc.) et de ladapter en cons-
quence. Les vnements critiques pour la scurit doivent tre journaliss et
gards pendant au moins un an (ou plus en fonction des obligations lgales
du secteur dactivits).

Une tude contextuelle du systme dinformation doit tre effectue et les

lments suivants doivent tre journaliss :
>> pare-feu : paquets bloqus ;
>> systmes et applications : authentifications et autorisations (checs et
succs), arrts inopins ;
>> services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500
pour les services HTTP), traabilit des flux applicatifs aux interconnexions
(URL sur un relai HTTP, en-ttes des messages sur un relai SMTP, etc.) ;

Afin de pouvoir corrler les vnements entre les diffrents composants,

leur source de synchronisation de temps (grce au protocole NTP) doit tre
identique.

49
 IX
SUPERVISER, AUDITER, RAGIR

/Renforc
Si toutes les actions prcdentes ont t mises en uvre, une centralisation
des journaux sur un dispositif ddi pourra tre envisage. Cela permet de
faciliter la recherche automatise dvnements suspects, darchiver les jour-
naux sur une longue dure et dempcher un attaquant deffacer dventuelles
traces de son passage sur les quipements quil a compromis.
Guide dhygine informatique

ANSSI, Recommandations de scurit pour la mise en uvre dun systme de journalisation,

note technique, dcembre 2013
50
 IX

SUPERVISER, AUDITER, RAGIR

37
Dfinir et appliquer une
politique de sauvegarde des
composants critiques

/Standard
Suite un incident dexploitation ou en contexte de gestion dune intrusion,
la disponibilit de sauvegardes conserves en lieu sr est indispensable la
poursuite de lactivit. Il est donc fortement recommand de formaliser une
politique de sauvegarde rgulirement mise jour. Cette dernire a pour
objectif de dfinir des exigences en matire de sauvegarde de linformation,
des logiciels et des systmes.

Guide dhygine informatique

Cette politique doit au moins intgrer les lments suivants :
>> la liste des donnes juges vitales pour lorganisme et les serveurs concerns ;
>> les diffrents types de sauvegarde (par exemple le mode hors ligne) ;
>> la frquence des sauvegardes ;
>> la procdure dadministration et dexcution des sauvegardes ;
>> les informations de stockage et les restrictions daccs aux sauvegardes ;
>> les procdures de test de restauration ;
>> la destruction des supports ayant contenu les sauvegardes.

Les tests de restauration peuvent tre raliss de plusieurs manires :

>> systmatique, par un ordonnanceur de tches pour les applications im-
portantes ;
>> ponctuelle, en cas derreur sur les fichiers ;
>> gnrale, pour une sauvegarde et restauration entires du systme din-
formation.

/Renforc
Un fois cette politique de sauvegarde tablie, il est souhaitable de planifier au
moins une fois par an un exercice de restauration des donnes et de conserver
une trace technique des rsultats.

51
 IX
SUPERVISER, AUDITER, RAGIR

Procder des contrles et

38
audits de scurit rguliers
puis appliquer les actions
correctives associes

/Renforc
La ralisation daudits rguliers (au moins une fois par an) du systme din-
formation est essentielle car elle permet dvaluer concrtement lefficacit
des mesures mises en uvre et leur maintien dans le temps. Ces contrles et
audits permettent galement de mesurer les carts pouvant persister entre
la rgle et la pratique.

Ils peuvent tre raliss par dventuelles quipes daudit internes ou par des
Guide dhygine informatique

socits externes spcialises. Selon le primtre contrler, des audits tech-

niques et/ou organisationnels seront effectus par les professionnels mobiliss.
Ces audits sont dautant plus ncessaires que lentit doit tre conforme des
rglementations et obligations lgales directement lies ses activits.

lissue de ces audits, des actions correctives doivent tre identifies, leur
application planifie et des points de suivi organiss intervalles rguliers.
Pour une plus grande efficacit, des indicateurs sur ltat davancement du
plan daction pourront tre intgrs dans un tableau de bord ladresse de
la direction.

Si les audits de scurit participent la scurit du systme dinformation en

permettant de mettre en vidence dventuelles vulnrabilits, ils ne consti-
tuent jamais une preuve de leur absence et ne dispensent donc pas dautres
mesures de contrle.

Les prestataires daudit de la scurit des systmes dinformation (PASSI) qualifis par
lANSSI dlivrent des prestations daudit darchitecture, de configuration, de code source, de
tests dintrusion et daudit organisationnel et physique.
52
 IX

SUPERVISER, AUDITER, RAGIR

Dsigner un rfrent en

39
scurit des systmes
dinformation et le faire
connatre auprs du personnel

/Standard
Toute entit doit disposer dun rfrent en scurit des systmes dinformation
qui sera soutenu par la direction ou par une instance dcisionnelle spcialise
selon le niveau de maturit de la structure.

Ce rfrent devra tre connu de tous les utilisateurs et sera le premier contact
pour toutes les questions relatives la scurit des systmes dinformation :
>> dfinition des rgles appliquer selon le contexte ;

Guide dhygine informatique

>> vrification de lapplication des rgles ;
>> sensibilisation des utilisateurs et dfinition dun plan de formation des
acteurs informatiques ;
>> centralisation et traitement des incidents de scurit constats ou remon-
ts par les utilisateurs.

Ce rfrent devra tre form la scurit des systmes dinformation et la

gestion de crise.

Dans les entits les plus importantes, ce correspondant peut tre dsign
pour devenir le relais du RSSI. Il pourra par exemple signaler les dolances
des utilisateurs et identifier les thmatiques aborder dans le cadre des
sensibilisations, permettant ainsi dlever le niveau de scurit du systme
dinformation au sein de lorganisme.

53
 IX
SUPERVISER, AUDITER, RAGIR

40
Dfinir une procdure de
gestion des incidents de scurit

/Standard
Le constat dun comportement inhabituel de la part dun poste de travail ou
dun serveur (connexion impossible, activit importante, activits inhabi-
tuelles, services ouverts non autoriss, fichiers crs, modifis ou supprims
sans autorisation, multiples alertes de lantivirus, etc.) peut alerter sur une
ventuelle intrusion.

Une mauvaise raction en cas dincident de scurit peut faire empirer la

Guide dhygine informatique

situation et empcher de traiter correctement le problme. Le bon rflexe est

de dconnecter la machine du rseau, pour stopper lattaque. En revanche,
il faut la maintenir sous tension et ne pas la redmarrer, pour ne pas perdre
dinformations utiles pour lanalyse de lattaque. Il faut ensuite prvenir la
hirarchie, ainsi que le rfrent en scurit des systmes dinformation.

Celui-ci peut prendre contact avec un prestataire de rponse aux incidents

de scurit (PRIS) afin de faire raliser les oprations techniques ncessaires
(copie physique du disque, analyse de la mmoire, des journaux et dventuels
codes malveillants, etc.) et de dterminer si dautres lments du systme
dinformation ont t compromis. Il sagira galement dlaborer la rponse
apporter afin de supprimer dventuels codes malveillants et accs dont
disposerait lattaquant et de procder au changement des mots de passe
compromis. Tout incident doit tre consign dans un registre centralis. Une
plainte pourra galement tre dpose auprs du service judiciaire comptent.

Les prestataires de rponse aux incidents de scurit (PRIS) interviennent lorsquune concor-
dance de signaux permet de souponner ou dattester une activit informatique malveillante
au sein dun systme dinformation. La criticit de ces prestations engageant la prennit des
systmes dinformation, lANSSI a labor un rfrentiel dont lobjectif est dapporter aux
commanditaires de telles prestations les garanties ncessaires vis--vis de ces prestataires,
tant en termes de comptence que de confiance.
54
 X
POUR ALLER PLUS LOIN

55
 X
POUR ALLER PLUS LOIN

41
Mener une analyse de
risques formelle

/Renforc
Chaque entit volue dans un environnement informationnel complexe qui
lui est propre. Aussi, toute prise de position ou plan daction impliquant la
scurit du systme dinformation doit tre considr la lumire des risques
pressentis par la direction. En effet, quil sagisse de mesures organisationnelles
ou techniques, leur mise en uvre reprsente un cot pour lentit qui ncessite
de sassurer quelles permettent de rduire au bon niveau un risque identifi.
Guide dhygine informatique

Dans les cas les plus sensibles, lanalyse de risque peut remettre en cause
certains choix passs. Ce peut notamment tre le cas si la probabilit dap-
parition dun vnement et ses consquences potentielles savrent critiques
pour lentit et quil nexiste aucune action prventive pour le matriser.

La dmarche recommande consiste, dans les grandes lignes, dfinir le

contexte, apprcier les risques et les traiter. Lvaluation de ces risques sopre
gnralement selon deux axes : leur probabilit dapparition et leur gravit.
Sensuit llaboration dun plan de traitement du risque faire valider par
une autorit dsigne plus haut niveau.

Trois types dapproches peuvent tre envisags pour matriser les risques
associs son systme dinformation :
>> le recours aux bonnes pratiques de scurit informatique ;
>> une analyse de risques systmatique fonde sur les retours dexprience
des utilisateurs ;
>> une gestion structure des risques formalise par une mthodologie ddie.

56
 X

POUR ALLER PLUS LOIN

Dans ce dernier cas, la mthode EBIOS rfrence par lANSSI est recomman-
de. Elle permet dexprimer les besoins de scurit, didentifier les objectifs
de scurit et de dterminer les exigences de scurit.

Guide dhygine informatique

La mthode danalyse de risques EBIOS (Expression des Besoins et Identification des Objec-
tifs de Scurit) permet dapprcier et de traiter les risques relatifs la scurit des systmes
dinformation (SSI). Elle permet aussi de communiquer leur sujet au sein de lorganisme et
vis--vis de ses partenaires, constituant ainsi un outil complet de gestion des risques SSI.
57
 X
POUR ALLER PLUS LOIN

42
Privilgier lusage de produits et
de services qualifis par lANSSI

/Renforc
La qualification prononce par lANSSI offre des garanties de scurit et de
confiance aux acheteurs de solutions listes dans les catalogues de produits
et de prestataires de service qualifis que publie lagence.

Au-del des entits soumises rglementation, lANSSI encourage plus gn-

ralement lensemble des entreprises et administrations franaises utiliser
des produits quelle qualifie, seul gage dune tude srieuse et approfondie
Guide dhygine informatique

du fonctionnement technique de la solution et de son cosystme.

Sagissant des prestataires de service qualifis, ce label permet de rpondre

aux enjeux et projets de cyberscurit pour lensemble du tissu conomique
franais que lANSSI ne saurait adresser seule. valus sur des critres tech-
niques et organisationnels, les prestataires qualifis couvrent lessentiel des
mtiers de la scurit des systmes dinformation. Ainsi, en fonction de ses
besoins et du maillage national, une entit pourra faire appel un Prestataire
daudit de la scurit des systmes dinformation (PASSI), un Prestataire de
rponse aux incidents de scurit (PRIS), un Prestataire de dtection des
incidents de scurit (PDIS) ou un prestataire de service dinformatique
en nuage (SecNumCloud).

Catalogue des produits et prestataires de service qualifis

58
 OUTIL DE SUIVI

I - Sensibiliser et former Standard Renforc

Former les quipes oprationnelles la scurit

1
des systmes dinformation

Sensibiliser les utilisateurs aux bonnes pratiques

2
lmentaires de scurit informatique

3 Matriser les risques de linfogrance

II - Connaitre le systme dinformation Standard Renforc

Identifier les informations et serveurs les plus

4
sensibles et maintenir un schma du rseau

Disposer dun inventaire exhaustif des comptes

5
privilgis et le maintenir jour

Organiser les procdures darrive, de dpart et

6
de changement de fonction des utilisateurs

Autoriser la connexion au rseau de lentit aux

7
seuls quipements matriss

60
 III - Authentifier et contrler les accs Standard Renforc

Identifier nommment chaque personne

8 accdant au systme et distinguer les rles
utilisateur/administrateur

Attribuer les bons droits sur les ressources

9
sensibles du systme dinformation

Dfinir et vrifier des rgles de choix et de

10
dimensionnement des mots de passe

Protger les mots de passe stocks sur les

11
systmes

Changer les lments dauthentification par

12
dfaut sur les quipements et services

Privilgier lorsque cest possible une

13
authentification forte

IV - Scuriser les postes Standard Renforc

Mettre en place un niveau de scurit minimal

14
sur lensemble du parc informatique

Se protger des menaces relatives lutilisation

15
de supports amovibles

Utiliser un outil de gestion centralise afin

16
dhomogniser les politiques de scurit

61
 Activer et configurer le pare-feu local des postes
17
de travail

Chiffrer les donnes sensibles transmises par voie

18
Internet

V - Scuriser le rseau Standard Renforc

Segmenter le rseau et mettre en place un

19
cloisonnement entre ces zones

Sassurer de la scurit des rseaux daccs Wi-Fi

20
et de la sparation des usages

21 Utiliser des protocoles scuriss ds quils existent

Mettre en place une passerelle daccs scuris

22
Internet

Cloisonner les services visibles depuis Internet du

23
reste du systme dinformation

24 Protger sa messagerie professionnelle

Scuriser les interconnexions rseau ddies avec

25
les partenaires

Contrler et protger laccs aux salles serveurs et

26
aux locaux techniques

62
 VI - Scuriser ladministration Standard Renforc

Interdire laccs Internet depuis les postes ou

27 serveurs utiliss pour ladministration du systme
dinformation

Utiliser un rseau ddi et cloisonn pour

28
ladministration du systme dinformation

Limiter au strict besoin oprationnel les droits

29
dadministration sur les postes de travail

VII - Grer le nomadisme Standard Renforc

Prendre des mesures de scurisation physique des

30
terminaux nomades

Chiffrer les donnes sensibles, en particulier sur

31
le matriel potentiellement perdable

Scuriser la connexion rseau des postes utiliss

32
en situation de nomadisme

Adopter des politiques de scurit ddies aux

33
terminaux mobiles

63
 VIII - Maintenir jour le systme dinformation Standard Renforc

Dfinir une politique de mise jour des

34
composants du systme dinformation

Anticiper la fin de la maintenance des logiciels et

35
systmes et limiter les adhrences logicielles

IX - Superviser, auditer, ragir Standard Renforc

Activer et configurer les journaux des

36
composants les plus importants

Dfinir et appliquer une politique de sauvegarde

37
des composants critiques

Procder des contrles et audits de scurit

38 rguliers puis appliquer les actions correctives
associes

Dsigner un rfrent en scurit des systmes

39 dinformation et le faire connatre auprs du
personnel

Dfinir une procdure de gestion des incidents

40
de scurit

64
 X - Pour aller plus loin Standard Renforc

41 Mener une analyse de risques formelle

Privilgier lusage de produits et de services

42
qualifis par lANSSI

65
 BIBLIOGRAPHIE

Guides et mthodes

ANSSI, Bonnes pratiques pour lacquisition et lexploitation de noms de domaine,

guide, fvrier 2015
www.ssi.gouv.fr/guide-bonnes-pratiques/

ANSSI, Expression des Besoins et Identification des Objectifs de Scurit (EBIOS),

mthode, janvier 2010
www.ssi.gouv.fr/ebios/

ANSSI, Guide de lexternalisation Matriser les risques de linfogrance, guide,

dcembre 2010
www.ssi.gouv.fr/externalisation/

ANSSI, Matriser les risques de linfogrance, guide, dcembre 2010

www.ssi.gouv.fr/infogerance/

ANSSI-CDSE, Passeport de conseils aux voyageurs, bonnes pratiques, janvier 2010

www.ssi.gouv.fr/passeport-de-conseils-aux-voyageurs/

Notes techniques

ANSSI, Guide de dfinition dune architecture de passerelle dinterconnexion

scurise, note technique, dcembre 2011
www.ssi.gouv.fr/passerelle-interconnexion/

ANSSI, Recommandations de scurit relatives aux mots de passe, note tech-

nique, juin 2012
www.ssi.gouv.fr/mots-de-passe/

66
ANSSI, Recommandations pour la dfinition dune politique de filtrage rseau
dun pare-feu, note technique, mars 2013
www.ssi.gouv.fr/politique-filtrage-parefeu/

ANSSI, Recommandations de scurit relatives aux rseaux Wi-Fi, note tech-

nique, septembre 2013
www.ssi.gouv.fr/nt-wifi/

ANSSI, Recommandations pour la mise en uvre dune politique de restrictions

logicielles sous Windows, note technique, dcembre 2013
www.ssi.gouv.fr/windows-restrictions-logicielles/

ANSSI, Recommandations de scurit pour la mise en uvre dun systme de

journalisation, note technique, dcembre 2013
www.ssi.gouv.fr/journalisation/

ANSSI, Recommandations de scurit relatives Active Directory, note tech-

nique, septembre 2014
www.ssi.gouv.fr/Active-Directory/

ANSSI, Recommandations relatives ladministration scurise des systmes

dinformation, note technique, fvrier 2015
www.ssi.gouv.fr/securisation-admin-si/

ANSSI, Recommandations de scurit relatives aux ordiphones, note technique,

juillet 2015
www.ssi.gouv.fr/securisation-ordiphones/

ANSSI, Recommandations de scurit relatives IPsec pour la protection des

flux rseau, note technique, aot 2015
www.ssi.gouv.fr/ipsec/

ANSSI, Recommandations de configuration dun systme GNU/Linux, note

technique, janvier 2016
www.ssi.gouv.fr/reco-securite-systeme-linux/
67
 Ressources en ligne

Site Web de lANSSI

Catalogue des produits et prestataires de service qualifis
www.ssi.gouv.fr/qualifications/

Twitter
@ANSSI_FR
www.twitter.com/anssi_fr

CERT-FR
www.cert.ssi.gouv.fr

CNIL
www.cnil.fr

Rfrences

Douglas Adams, The Hitchhikers Guide to the Galaxy (ou H2G2), roman de
science-fiction, 1979

68
Version 2.0 - Janvier 2017
20170125-1458

Licence Ouverte/Open Licence (Etalab - V1)

agence nationale de la scurit des systmes dinformation

ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
www.ssi.gouv.fr / communication@ssi.gouv.fr