Vous êtes sur la page 1sur 449

UneréférencepourlesRSSI

Poursécuriserlessystèmesd’information,certainsagissentsurlatechniquealorsqued’autresprivilégientle

management.Quellequesoitl’approche,lesquestionsliéesàlasécuritéopérationnelleseposenttrèsvite:

quelsprocessusmettreenplace?Àquelniveaulesgérer,commentlesformaliser,comments’assurerque ces processus fonctionnent correctement dans la durée ? Cet ouvrage, très pragmatique, donne des exemplesconcretssurcommentsécuriserunSI.Illistelesprocessusopérationnelsàdéployerensignalant lespiègesconcretsàéviter.Ilcomporteenfinuncorpusdocumentairecomplet(exemplesdepolitiquesetde procédures)pouvantêtreappliquéenentreprise.

Enabordantdesquestionstellesquelasécuritédesréseaux,lamaîtriseducloud,lesaccèsdistants

oulasurveillancedusystème,celivredonnedescléspouraméliorerdefaçondurablelamaturitéde

lasécuritéduSI.

Ausommaire

Aspectsconcretsdelasécuritéopérationnelle•Lesdifférentsniveauxdesécurité•Lasécuritédes réseaux•Accèsdistants•Journalisation•Motsdepasse•Sécuritédupostedetravail•Antivirus• Sécuritédesservices•Sauvegardesetrestaurations•Maîtriserlesidentitésetlesaccès•RôleduRSSI danslacontinuitéetlareprised’activité•Gestiondestierssensibles•Lecloud•Gestiondesincidents de sécurité • Le RSSI face au juridique • Lutter contre les infrastructures spontanées • Gérer les expirationsbloquantes•Sensibilisation•Gérerlesaudits•Gérerletout-venant•Obstaclesàlasécurité

opérationnelle•IntégrationdanslanormeISO27001•LanormeISO27001•LanormeISO27002•

Intégrationdelasécuritéopérationnelleàl’ISO27001•SurveillanceduSIettableauxdebordsécurité•

Sort-onvraimentunjourdelazoned’humiliation?•Annexes

L’auteur

AlexandreFernandez-ToroestRSSIdansungrandgroupefrançais.IngénieurCNAM,ilaétédéveloppeur,

responsabledelaproduction,puisconsultantensécuritédesSIpendantplusdedixans.Cesexpérienceslui

ontdonnéunregardtrèsopérationnelsurlasécuritédessystèmesd’information.

Àquis’adressecelivre?

Auxresponsablessécurité(RSSI)desgrandscomptesetdesPME,ainsiqu’àleurséquipes

AuxpersonnesprenantlafonctiondeRSSI

AuxpersonneschargéesdesécuriserleSI

Auxchefsdeprojetchargésdemettreenplacedesprocessusdesécuritéopérationnelle

AuxexpertsdelagouvernancedesSI

Àtoutepersonneintéresséeparlesaspectsopérationnelsdelasécuritédel’information

ALEXANDRE FERNANDEZ-TORO

Sécurité

opérationnelle

ConseilspratiquespoursécuriserleSI

Sécurité opérationnelle ConseilspratiquespoursécuriserleSI

ÉDITIONSEYROLLES

61,bdSaint-Germain

75240ParisCedex05

Enapplicationdelaloidu11mars1957,ilestinterditdereproduireintégralementoupartiellementleprésentouvrage,

surquelquesupportquecesoit,sansl’autorisationdel’ÉditeurouduCentreFrançaisd’exploitationdudroitdecopie,

20,ruedesGrandsAugustins,75006Paris.

©GroupeEyrolles,2015,ISBN:978-2-212-13963-1

DANSLAMÊMECOLLECTION

F.MATTATIA.–Traitementdesdonnéespersonnelles.

N°13594,2013,188pages.

Y.CONSTANTINIDIS,M.VOLLE.–ExpressiondesbesoinspourleSI.

N°13653,2013,294pages.

D.MOUTON.–Sécuritédeladématérialisation.

N°13418,2012,314pages.

A.FERNANDEZ-TORO.–Managementdelasécuritédel’information.

N°12697,2012,480pages.

S.BOHNKÉ.–Modernisersonsystèmed’information.

N°12764,2010,290pages.

A.LUPFER.–Gestiondesrisquesensécuritédel’information.

N°12593,2010,230pages.

SURLEMÊMETHÈME

C.PERNET.–Sécuritéetespionnageinformatique.

N°13965,2014,240pages.

A.JUMELET,S.QUASTANA,P.SAULIERE.–SécuritéetmobilitéWindows8pourlesutilisateursnomades.

N°13642,2013,246pages.

M.UNTERSINGER.–AnonymatsurInternet.

N°14021,2eédition,2014,264pages.

Jedédiecelivreàtousmescollègues.

Parleursqualitéspersonnellesetprofessionnelles,ilsm’infligentauquotidienuneleçondemodestieetmetirentchaque

jourunpeuplusverslehaut.

Tabledesmatières

Avant-propos Àquis’adressecetouvrage? Structuredel’ouvrage Remerciements PartieI–Aspectsconcretsdelasécuritéopérationnelle

Chapitre1–Lesdifférentsniveauxdesécurité

Connaîtreleniveaudesécuritéréel Différentsniveauxdesécurité Quelschantierslancer?

Chapitre2–Lasécuritédesréseaux

Cartographierleréseau Sécuriserleréseau

Chapitre3–Accèsdistants

Enjeuxdesaccèsdistants Àchaqueusagesasolutiontechnique Aspectsorganisationnels

Chapitre4–Journalisation

Usagesdelajournalisation Laproblématiquedelajournalisation Centralisationdesjournaux Quesurveiller? Principauxfournisseursdejournaux Commenttraiterlesjournaux?

Chapitre5–Motsdepasse

Différentstypesdecomptes

Qualitédesmotsdepasse

Gestiondesmotsdepasse

Idéesreçuessurlesmotsdepasse

Chapitre6–Sécuritédupostedetravail

Mesuresincontournables Mesuressouhaitables Casparticuliers Agirauniveaudumaster Sécuriserlepostedetravaila-t-ilencoreunsens?

Chapitre7–Antivirus

Pourquoiparlerencored’antivirusdenosjours? Limitesdesantivirusetsolutions Atoutsdesantivirus

Chapitre8–Sécuritédesservices

Freinsàlasécuritédesservices Principesdebase Sécuriserlesserveurs

Chapitre9–Sauvegardesetrestaurations

EnquoileRSSIpeut-ilêtreutilepourlessauvegardes? Cartographierlessauvegardes Restaurations

Chapitre10–Maîtriserlesidentitésetlesaccès

Complexitédelagestiondesidentités Approchespourgérercettecomplexité Différentspointsàcontrôler Contrôlecomplémentaire:l’accèsauxsallesmachines

Chapitre11–RôleduRSSIdanslacontinuitéetlareprised’activité

Questionspréalables Dispositionsdecontinuitéetdereprise RôleduRSSIentempsdepaix RôleduRSSIentempsdeguerre

Chapitre12–Gestiondestierssensibles

Qu’entendons-nouspartierssensible?

Principauxpointsd’attention

Chapitre13–Lecloud

Conséquencesducloudpourlasécurité Sécuriserlecloudspontané Sécuriserlepetitcloud Sécuriserlegrandcloud Principalesmesuresdesécurisation

Chapitre14–Gestiondesincidentsdesécurité

Nécessitéd’unprocessusdegestiondesincidents Pointsclésd’unprocessusdegestiond’incidents

Chapitre15–LeRSSIfaceaujuridique

Enjeuxjuridiques Basesdocumentairesincontournables Quelquespointssensibles

Chapitre16–Luttercontrelesinfrastructuresspontanées

Qu’entendons-nousparinfrastructurespontanée? Uneentorseàl’urbanisationdesSI Commentéradiquerlesinfrastructuresspontanées Unautretyped’infrastructurespontanée

Chapitre17–Gérerlesexpirationsbloquantes

Certificats Nomsdedomaines Licences Commentéviterlesexpirationsbloquantes? Pourquoilagestiondesexpirationsbloquantesrelève-t-elledelasécurité?

Chapitre18–Sensibilisation

Importancedelasensibilisation Différentsniveauxdesensibilisation Encomplémentàlasensibilisation

Chapitre19–Gérerlesaudits

L’importancedesaudits

Commentrecevoirlesauditeurs Pourfaciliterlesaudits

Chapitre20–Gérerletout-venant

Généralités Différentstypesdedemandes Traitementdesdemandes

Chapitre21–Obstaclesàlasécuritéopérationnelle

FreinsàlasécurisationduSI Unbesoinflagrant

PartieII–IntégrationdanslanormeISO27001

Chapitre22–LanormeISO27001

Multiplicitédesréférentiels Lessystèmesdemanagement

PrésentationdelanormeISO27001

Conclusion

Chapitre23–LanormeISO27002

Présentation Utilisationsdelanorme

PrésentationdelanormeISO27002

Chapitre24–Intégrationdelasécuritéopérationnelleàl’ISO27001

CarencesdesnormesISO Risquesliésàlasécuritéopérationnelle

Cequ’apportel’ISO27001àlasécuritéopérationnelle

Processuscomplémentaires

Chapitre25–SurveillanceduSIettableauxdebordsécurité

Uneforteressesanssentinelles Outilstechniquesdesurveillance Tableauxdebord

Chapitre26–Sort-onvraimentunjourdelazoned’humiliation?

Sortirdelazoned’humiliation

PartieIII–Annexes

Annexe1–Répartitiondesrôlesenmatièredesécurité

1–Introduction

2–PersonnesayantunrôleenmatièredesécuritéduSI

3–InstancesdedécisionenmatièredesécuritéduSI

Annexe2–Politiquedesécuritédusystèmed’information

1–Préambule

2–Périmètre

3–Personnel

4–Sécuritéphysique

5–Contrôled’accès

6–ExploitationduSI

7–Sécuritédupostedetravail

8–Sécuritédescommunications

9–Sécuritédanslesprojets

10–Tiers

11–Incidentsdesécurité

12–Continuitéd’activité

13–Conformité

14–Infrastructuresspontanées

Annexe3–Procéduredecadragedesactionsdesadministrateurs

1–Définitions

2–Créationd’unaccèsadministrateur

3–Cadragedesactions

4–Cadrageréglementaire

5–Séparationdesrôles

6–Retraitdesaccès

Annexe4–ProcéduredesensibilisationàlasécuritéduSI

1–Différentsniveauxdesensibilisation

2–Sensibilisationgénérale

3–Communicationsciblées

Annexe5–ProcéduredegestiondestierssensiblespourleSI

1–Définitiond’untierssensiblepourleSI

2–Processus

Annexe6–Règlesàrespecterparlestiers

1–Introduction

2–Exigencesapplicablesàtouslestiers

3–Exigencesapplicablesauxintégrateurs

4–ExigencesapplicablesauxtiersfournissantdessolutionsenmodeSaaS

5–Exigencesapplicablesauxtiersoffrantdesservicesdedéveloppement

logiciel

Annexe7–FichesdesécuritéduSIpourlestiers

Annexe8–Procéduredevuegénéraledesdroits

1–Différentsdomainesconcernés

2–Processusgénéralpourchaquedomaine

3–Structuredurapport

4–Divers

Annexe9–Politiquedesmotsdepasse

1–Champd’application

2–Motsdepasseapplicatifs

3–Motsdepassedesinfrastructurestechniques

4–Contrôledequalitédesmotsdepasse

Annexe10–Procéduredegestiondespare-feu

1–Principesgénéraux

2–Créationetmodificationderègles

Annexe11–Procéduredegestiondescorrectifsdesécurité

1–Gestiondescorrectifsdesécurité

2–Postesdetravail

3–ServeursWindowsinstallésavantlemasterV512

4–ServeursWindowsinstallésàpartirdumasterV512etsuivants

5–Correctifsurgents

6–Responsabilités

Annexe12–Procéduredegestiondesantivirus

1–Surlespostesdetravail

2–Surlesserveurs

3–Alertesvirales

4–Exploitation

5–Attaquesvirales

Annexe13–Procéduredegestiondesjournaux

1–Différentsjournaux

2–JournauxduproxyHTTPsortant

3–Journauxdupare-feu

4–Journauxapplicatifs

5–Journauxsystème

Annexe14–Procéduredegestiondesaccèsdistants

1–Différentstypesd’accèsdistant

2–LesliaisonsVPNsiteàsite

3–LiaisonsVPNd’administration

4–Portaildepublicationdesaccèsdistants

5–APNprivée

Annexe15–Procéduredegestiondesincidentsdesécurité

1–Processusgénéral

2–Veille

3–Détection

4–Mesuresd’urgence

5–Analyseettraitement

6–Alertesécurité

7–Bilan

Annexe16–Fiched’incident1

Annexe17–Fiched’incident2

Annexe18–Ficheréflexe1.Conduiteàtenirencasd’attaquevirale

1–Grandesétapes

2–Compréhensiontechniquedel’attaque

4–Contentionetéradication

5–Rôlesetresponsabilités

Annexe19–Ficheréflexe2.Conduiteàtenirencasd’attaquepar

hameçonnage

1–Vérification

2–Encasd’hameçonnageavéré

3–Rôlesetresponsabilités

Annexe20–Plandesecoursinformatique

1–Définitions

2–Généralités

3–Plandesecours,horssituationd’urgence

4–Plandesecours,ensituationd’urgence

5–Responsabilités

Annexe21–Plandecontrôlesécurité

Fiche«charteutilisateur»

Fiche«appréciationdesrisques»

Fiche«sensibilisationàlasécuritéduSI»

Fiche«sauvegardesetrestaurations»

Fiche«communicationsaveclestiers»

Fiche«plandesecoursinformatique»

Index

Avant-propos

Plusieursapprochespeuventêtreadoptéespoursécuriserlessystèmesd’information. Selonleurcultureetleurtempérament,certainsresponsablesdelasécuritédessystèmes d’information(RSSI)privilégientlemanagementpourdescendreprogressivementversla technique. À l’inverse, d’autres préfèrent lancer des actions techniques produisant directement des résultats palpables, avant de remonter progressivement vers le management.Quellequesoitl’approche,lesquestionsliéesàlasécuritéopérationnelle seposenttrèsrapidement:quelsprocessusmettreenplace?Àquelniveaulesgérer, commentlesformaliser,comments’assurerquecesprocessusfonctionnentcorrectement dansladurée?Lebutdecetouvrageestprécisémentderépondredefaçonpratiqueàces questions.

Àquis’adressecetouvrage?

Cetouvrages’adressed’abordauxRSSIchargésdemettreenplacedesprocessusde sécuritéopérationnelle.Ilintéresseraaussileschefsdeprojetconstruisantunsystèmede management de la sécurité de l’information (SMSI) conforme à l’ISO 27001. Par ailleurs, ce livre sera utile aux personnes souhaitant formaliser les processus opérationnelsliésàlasécurité.Enfin,cetouvrageestuneaideàlaprisedefonctionde RSSI.

Structuredel’ouvrage

Cetouvrageestdiviséentroisparties.Lapremièreprésentedansledétaillesprincipaux processus opérationnels que l’on peut mettre en place pour sécuriser le système d’information. La seconde partie aborde les normes ISO 27001 et ISO 27002, puis explique en quoi elles peuvent contribuer concrètement à augmenter le niveau de maturitédelasécurité.Ladernièrepartieestunrecueild’exemplespratiques,illustrant très précisément les documents pouvant être rédigés en support de la sécurité opérationnelle.

Remerciements

JeremerciemonDSIpoursonsoutiensansfailletoutlelongdemonaction,poursa

visiondessystèmesd’informationetpoursesconseilsdanslarédactiondecetouvrage.

Aspectsconcretsdelasécurité

opérationnelle

Parmilesdifférentesfaçonsd’appréhenderlasécurité,ilyenadeuxquiressortentplus quelesautres.Certainsl’abordentparlemanagementetlaconformité.Ilssebasentpour

celasurdesréférentielstelsqueCOBIToul’ISO27001.D’autresontuneapproche

radicalementopposée,sefondantsurdescompétencestrèstechniques.Ilsprivilégientles actionstechniques,affinantlesparamétragesdesdifférentsdispositifsduSI,ensebasant sur des guides de sécurisation technique ou sur les recommandations détaillées de consultantstechniques.

Ilestindiscutablequecesdeuxapproches,bienqueradicalementdifférentes,contribuent

fortementàsécuriserleSI.Cependant,elleslaissententreellesunvideimportantqui

renddifficilelemaintiendelasécuritédansladurée.Cevide,c’estceluidelasécurité

opérationnelle.Eneffet,ilnesuffitpasdemettreenplaceundispositifdegouvernance

pourassurerlasécurité,oudeparamétrercorrectementunserveurpourl’empêcherdese

fairepirater.C’estunensembledeprocessusqu’ilfautfairevivreauquotidienpourque

lasécuritéatteigneréellementunniveaudematuritésatisfaisant.

C’estprécisémentcedomainedelasécuritéopérationnellequecettepartieseproposede traiter.Pourétudiercettequestion,nousallonscommencerparprésenterlesdifférents niveaux de sécurité généralement constatés dans les systèmes d’information. Nous passeronsensuiteenrevuelesprincipauxprocessusopérationnelsliésàlasécurité.Nous concluronscettepartieenmontrantlesdifficultésrencontréesdansleurmiseenœuvre.

Chapitre1

Lesdifférentsniveauxdesécurité

Pourappréhenderlanotiondesécuritéopérationnelle,mettons-nousdanslasituation d’unresponsabledelasécuritédessystèmesd’information(RSSI)prenantsafonction dans une entreprise. Il découvre l’organisation dans laquelle il vient d’arriver, ses métiers,sesdirections,lesinstancesquilacomposentetsesdifférentesimplantations géographiques.Ilsefocaliserarapidementsurlesystèmed’information(SI)pours’en faireuneidéeetsavoircommentlesécuriser.Pourcela,ilprocéderaendeuxétapes.La premièrepermettrad’évaluerleniveaudesécuritéréeldusystèmed’information,en identifiantprécisémentlesvulnérabilitéslesplusgraves.Lasecondeétapeconsisteraà élaborerunplandetraitementdesrisques,énuméranttouslesprojetsàlancerpour sécuriserlesystèmed’information.Cen’estqu’aprèscesdeuxétapespréalablesquele RSSIpourraselancerdanslasécurisationréelledesonSI.

Connaîtreleniveaudesécuritéréel

PourconnaîtreleniveaueffectifdelasécuritéduSIdontilprendlacharge,leRSSI

commenceraparrencontrersesacteurslesplusessentiels,àcommencerparleDSI,puis

leresponsabledelaproductionainsiqueleresponsableréseau,sansoublierlapersonne

encadrantlesadministrateurs,leresponsabledesétudesetlapersonneenchargedu

supportdel’assistanceauxutilisateurs.Illuifaudraplusieursentretiensavantd’obtenir

unevisionpertinentedel’organisationduSI.Lorsdecesséances,ilnesecontenterapas

d’apprendrecommentestorganiséleSI;ildemanderaàchacun,selonsafonctionetses

compétences,quellessontlespratiquesenmatièredesécurité.

Après ces échanges, il aura suffisamment d’éléments pour rédiger un « rapport d’étonnement»,c’est-à-direundocumentmettantclairementenévidencelesfaillesde sécuritédanschaqueaspectduSI.Ensomme,cedocumentpréciseleniveauréelde sécuritéduSI.

Mêmesichaquecasestparticulier,ondistinguegénéralementtroisniveauxdesécurité

différents.Leniveauleplusbaspeutêtrenomméla«zoned’humiliation».Unniveaude

sécuritéunpeuplusélevééquivaudraitau«niveaudesécuritéélémentaire»et,enfin,le

plusélevéseraitle«niveaudesécuritémaîtrisée».

Les actions que le RSSI entreprendra et l’ordre dans lequel elles seront lancées dépendrontbeaucoupdeceniveaudesécurité.Eneffet,letravailneserapaslemême s’ilaaffaireàunSIsituédansla«zoned’humiliation»ousi,aucontraire,desprocessus desécuritésontdéjàinstallésavecunematuritéavancée.Lasécuritéopérationnelleaura doncunvisagedifférentselonleniveau.

Différentsniveauxdesécurité

IlesttrèsimportantdesavoiràquelniveaudesécuritésetrouveleSIdontnousavonsla charge. Les trois niveaux de sécurité qui viennent d’être évoqués ont une typologie particulière,détailléeci-après.

Lazoned’humiliation

Leniveaudesécuritéleplusbaspeutêtreappelé«zoned’humiliation».Qu’entendons-

nous par-là ? C’est un état dans lequel le SI présente de nombreuses vulnérabilités connues,simplesàexploiter(voiretriviales),etce,àtouslesniveaux.Cesvulnérabilités sontautantdepointsd’expositionpermettantàunattaquantdeprendretrèsfacilementle contrôletotalduSI.Desattaquesdanscettesituationpeuventavoirdesconséquences catastrophiques pour l’entreprise : destruction irréversible d’information, pillage en profondeurdupatrimoineinformationnel,perturbationdurabledesopérations.

Illustration

Pourillustrerlazoned’humiliation,onpeutfairelacomparaisonavecunparticulierquiseferaitcambrioler

alorsquelaportedesonappartementn’estpasblindée,quesaserrureestsimpleetqu’aumomentdes

faits,ellen’étaitmêmepasverrouillée.Danscesconditions,aucuneassurancen’accepterad’indemniser

ceparticulier,cariln’aurapasprislesmesuresminimalesnécessairespoursécurisersonappartement.

Aussiétonnantquecelapuisseparaître,cettesituationesttrèsrépandue.

Les systèmes d’information situés dans la zone d’humiliation correspondent généralementausignalementsuivant.

Lecontrôleurdedomaineesttrèsenretarddesescorrectifsdesécurité.Ilestdonc vulnérableàdesattaquessimples.Deplus,l’organisationdel’annuairen’apasété revuedepuisplusieursannées.Ilestdoncfortprobablequ’ilregorgedecomptesà privilègesdontpersonnen’aconnaissance. LesaccèsàInternetsontmultiples.Lesfilialesoulesagencesdel’entrepriseontleur propreaccès,etcertainsservicesontmêmedesaccèsADSL.

Les postes de travail ne sont jamais patchés et les utilisateurs sont souvent administrateursdeleurmachine. Lesserveurslesplusexposésnesontpasàjourdeleurscorrectifsdesécurité.propreaccès,etcertainsservicesontmêmedesaccèsADSL. Les mots de passe d’administration des serveurs, des bases

Les mots de passe d’administration des serveurs, des bases de données, des applicationsoudeséquipementsréseausonttriviaux. Deslistesdemotsdepasseenclair,etaccessiblesàtous,sontoubliéesdansles serveursdefichiers. Lecloisonnementdesréseauxestfaibleet,s’ilyenaun,lesrèglesdupare-feusont illisibleset,aufinal,extrêmementpermissives. Lesprotocolesd’authentificationsonttriviaux. Aucunerevuedesdroitssystèmeouapplicatifsn’estjamaiseffectuée. Aucunesupervisionspécifiqueàlasécuritén’estexercée.sont souvent administrateursdeleurmachine. Lesserveurslesplusexposésnesontpasàjourdeleurscorrectifsdesécurité.

Lesapplicationssontdéveloppéessansaucunepriseencomptedelasécurité. Etc.

Lesapplicationssontdéveloppéessansaucunepriseencomptedelasécurité.

Etc.

Lessystèmesd’informationsituésdanslazoned’humiliationsecontententgénéralement

demesuresdesécuritéélémentairestellesquedesmotsdepassepouraccéderauréseau

etauxapplications,desantivirusdanslespostesdetravailetunpare-feupourfiltrerles

fluxentrel’intérieuretl’extérieurduSI.Lesmesuresdesécurités’arrêtentsouventlà.

Ainsi,unsystèmed’informationsituédanslazoned’humiliationestextrêmementexposé

auxactesdemalveillance.Encasd’incidentdesécurité,nileRSSI,nileDSInila

directiongénéralen’ontlamoindreexcuseauprèsdespartiesprenantes,carilsn’auront

pasentreprislesactionsélémentairesàmettreenplacepoursécuriserleSI.

Exemple

Uneentreprises’étantfaitvolersonfichierclientèlesuiteàuneintrusionréseaun’aurastrictementaucune

excusesi,aprèsenquête,ons’aperçoitqueleserveurwebdirectementexposéàInternetnes’étaitjamais

vuappliquerdescorrectifsdesécuritéetquelescomptespouradministrerlesbasesdedonnéesavaient

desmotsdepassetriviaux.

Niveaudesécuritéélémentaire

Leniveaudesécuritéélémentaireestjusteau-dessusdelazoned’humiliation.Ilpermet

auSIderésisterauxattaqueslesplustriviales.Nenoustromponspas,cen’estpasparce

queceniveauestconsidérécomme«élémentaire»qu’ilestàpeinemeilleurquelazone

d’humiliation.Bienaucontraire.L’effortpourpasserdelazoned’humiliationauniveau

desécuritéélémentaireesttrèsimportant.

VoicilesmesuresdesécuritégénéralementconstatéesdansunSIsituéauniveaude

sécuritéélémentaire.

LesaccèsàInternetontétérationnalisés,centralisésetcontrôlés.

LessystèmeslesplusexposésàInternetontétépatchésetsécurisés.

Lespostesdetravailontaussiétésécurisés,ousontenpassedel’être.

Iln’yaplusdemotsdepassetriviauxdansleséquipementslesplussensibles.

Ilexisteundébutdesupervisiondelasécurité,maiselleestencoreembryonnaire.

Elleselimitepourlemomentàsurveillervraimentlesantivirusetàjeteruncoup

d’œiloccasionnelauxjournauxdupare-feu.

Unepremièrerevuedescomptesdudomaineapermisdesupprimerlescomptesde

personnesayantquittédepuislongtempsl’entreprise.Deplus,celaapermisderetirer

dugroupe«administrateurdudomaine»desutilisateursquin’avaientaucuneraison

d’yêtre.

Cesmesurescontribuentàdiminuersensiblementlasurfaced’expositionauxmenaces.

Cependant,ilfautêtreconscientqu’àcestade,lesystèmed’informationestencoreloin

d’êtresûr.Unepersonnemalintentionnéeprenantletempsdelefairen’aurapasde

difficultémajeurepourtrouverunebrèchedesécuritéetconcevoiruneattaqueciblée.

Prenonsl’exempled’uneentrepriseayantfaitl’effortdecentralisertoussesaccèsàInternetsurunpoint uniqueetmaîtrisé,ayantsécurisétoussespostesdetravailetayantfaitensortequelesmotsdepasse permettantd’administrerlesserveurssoientcomplexes.CettesituationpeutdonnerauRSSIuneillusion desécurité.Eneffet,sileshyperviseurspermettantdepiloterlesmachinesvirtuellesontétéoubliésdans leprojetdecomplexificationdesmotsdepasse(cequiarrivesouvent),ilestfortprobablequ’ilsaient gardé des mots de passe triviaux. Aussi, malgré tous les efforts consentis pour sécuriser le SI, une personnemalveillantedécouvrantcemotdepassecommunpourratrèssimplementprovoquerdesdégâts importantsenbloquantd’uncouptouslesserveursvirtuelsetlestraitementsquileursontassociés.

La persistance de risques résiduels sur ces SI s’explique par les carences que l’on constategénéralementdansleniveaudesécuritéélémentaire.

LesrèglesdefiltrageentrelesdifférentsréseauxetDMZsonttropcomplexes,même siunpremiertravaildeclarificationaétéeffectué,sibienquelesréseauxsontencore perméables. Iln’existetoujourspasdegestionfiabledesidentités(revuesdescomptessystème, applicatifs, des droits, etc.). Les utilisateurs bénéficiant d’accès privilégiés aux ressourcessontencorebientropnombreux. Siuneffortaétéconsentipouradopterdebonsmotsdepassepourlesutilisateurs,on trouveencoretropfacilementdeséquipementssystèmeetréseauprotégéspardes motsdepassetriviaux,oupardéfaut. Lesapplicationssontvulnérablesauxattaquesdecrosssitescripting,injectionsSQL, etc. Lesutilisateursetlesapplicationsaccèdenttoujoursauxbasesdedonnéesentant qu’administrateur. Silessystèmeslesplusexposéssontpatchés,lesplussensiblesnelesonttoujours pas. Lasupervisiondelasécuritéestencoreartisanale.

En somme, il reste encore d’importants efforts pour arriver à un niveau de sécuritésatisfaisant. Néanmoins, si, à ce stade, les atteintes graves au système d’informationsontencorepossibles,ellessontunpeuplusdifficilesàréaliserquedansla zoned’humiliation.

Nouspouvonsdirequesi,àceniveau,leRSSIafaitleminimumindispensablepour sécuriser son SI, ce dernier est encore exposé à de trop nombreuses menaces. Sa responsabilitéetcelledesahiérarchiesontmoinsengagées,maiscelaneledispensepas depoursuivreleseffortsdesécurisation.

Niveaudesécuritémaîtrisée

Dansleniveaudesécuritémaîtrisée,toutcequ’ilétaitraisonnablederéaliseravecles

moyensetletempsdisponiblesaétéfait.Lespropriétéslistéesci-aprèsdénotentunSI

ayantatteintuntelniveau.

Les informaticiens (administrateurs système et développeurs) ont acquis les bons réflexes.L’aspectleplusflagrant(maispasleseul)estl’usagepartousdebonsmots depasse. Lesutilisateurssontsensibilisésauxbonnespratiques.Ilstombentmoinssouventdans

depasse. Lesutilisateurssontsensibilisésauxbonnespratiques.Ilstombentmoinssouventdans

lespiègeshabituels(piècesjointespiégées,hameçonnage,etc.)etilscollaborentavec laDSIencasd’incident. Desrevuesrégulièressurlesaccèsauxinfrastructures(pare-feu,serveurs,basesde données, contrôleurs de baies, de disques, etc.) et sur les accès aux applications donnentuneassuranceraisonnablequeseuleslespersonneshabilitéesaccèdentaux ressources. LespointsclésduSIsontsurveillés,permettantdedétecteretdequalifierrapidement lesévénementsdesécurité.Cecisefaitgénéralementparlemoyend’unSOC. Chacunsaitcommentagirencasd’incidentdesécurité,carunprocessusdegestion d’incidentsestformalisé,exploitéetaméliorérégulièrement. Enfin,unvéritablecontrôleinternedelasécuritéestappliquéafindes’assurerqueles mesuresdesécuritétechniquessontopérationnellesetefficaces.

Ces mesures font en sorte que le SI résiste bien aux atteintes élémentaires. Pour compromettre le SI, l’attaquant doit maintenant concevoir des attaques bien plus complexes,nécessitantunevéritableexpertise.Etmêmedanscecas,lesdispositifsde surveillanceetdegestiond’incidentspermettentdedétecter,puisdelimiterl’impactde tellesattaques.

Malheureusement, certaines situations chroniques dans toutes les entreprises doivent tempérernotreenthousiasme.

LacomplexitéatteintedenosjoursparlesSIarenduimpossibleunesécurisation complète. Même si les identités sont très bien gérées, il est impossible d’avoir la certitude absoluequ’aucuncompteindûmentprivilégién’estpasséàtraverslesmaillesdes revues. Certainssystèmesouapplicationshistoriqueséchappenttotalementàlasécurité,car ils sont tellement anciens, et les compétences pour les maintenir sont tellement absentes,qu’ilestsouventplusrisquéd’ytoucherquedenerienfaire. Ilarrivequecertainesdirectionsdel’entrepriserésistentencoreauxbonnespratiques; des raisons politiques nécessitent d’attendre la retraite ou la mutation de certains responsablescléspourévoluer.

Faceàcettesituation,leRSSIdoitprocéderàuninventairedetouscesrisquesrésiduels et,pourchacun,proposersoitleuracceptation,soitleurcontournement.L’acceptationde certainsrisquesrésiduelspeutêtremotivéepardesconsidérationséconomiques,ouparce que les impacts sont jugés acceptables, ou bien encore par des considérations conjoncturelles.

ou bien encore par des considérations conjoncturelles. Exemple

Exemple

Unevieilleapplicationmétierstockantdansunfichiertouslesmotsdepassedetouslesutilisateursestun

dangerimportantpourl’entreprise.Pourtant,s’ilestprévuderemplacercetteapplicationdanslessixmois

quiviennent,ladirectionpeutparfaitementjugeracceptablelefaitdenerienentreprendrepoursécuriser

l’ancienneapplication.Eneffet,lecoûtetlerisqueopérationneldemodifierl’ancienneapplicationsont

disproportionnéssil’ontientcomptedesadisparitionprochaine.

C’estpourcetteraisonqu’engénéral,leniveaudesécuritémaîtriséeesttrèsrarement

atteint.Danslaréalité,seulsquelquesîlotstrèssensiblesduSIsontportésàceniveau.

Quelschantierslancer?

Considéronsquel’étatdeslieuxréaliséparleRSSImetteenévidencequeleSIestdans lazoned’humiliation.LaprioriténumérounduRSSIseradequittercettezoneaussivite que possible. Cette volonté d’en sortir doit être quasi obsessionnelle. Pour cela, il réaliseraunpland’action.

Cepland’actionestsouventappelé«plandetraitementdesrisques».Ilsetraduit

concrètementparundocumentreprenantlalistedetouslesprojetsàlancer.Unplande

traitementdesrisquescompileunensembledefiches(uneparlancementdeprojet)

présentantaumoinslesrubriquessuivantes.

Nomduprojet:l’idéeestd’identifiertrèsclairementleprojetenquestion. Rappelducontexte:ils’agiticiderappelerlasituationdanslaquellesetrouveleSI dans le domaine concerné, en explicitant le problème qui se pose, pour faire comprendrepourquoileprojetestnécessaire. Objectifs:lesobjectifsconcretsàatteindredoiventêtreprécisésdelafaçonlaplus clairepossible,pouraideràcalibrerleprojet.

Priorité : plusieurs niveaux de priorité peuvent être attribués, en fonction de la plusieurs niveaux de priorité peuvent être attribués, en fonction de la sensibilitéetdel’urgenceduprojet.Chacunpeutdéfinirsapropreéchelledepriorité.

Charge : elle permettra de provisionner les moyens nécessaires en temps, en compétencesetenargentpourmeneràbienleprojet. elle permettra de provisionner les moyens nécessaires en temps, en compétencesetenargentpourmeneràbienleprojet.

Précisions supplémentaires : d’autres points peuvent être ajoutés, comme des d’autres points peuvent être ajoutés, comme des relationsd’ordreentrelesdifférentsprojets,d’éventuellesdépendances,desrisques particuliers,etc.

Cettelistederubriquesn’estpasexhaustive.Noussommesicidansledomaineclassique

delagestiondeprojet.Rienn’empêchedecompléterceplanparundiagrammedeGantt

ouundiagrammedePert.

Quelssontconcrètementcesprojetsdesécuritéopérationnellequel’onretrouveradans

leplandetraitementdesrisques?Uneréponsegénériqueconsisteraitàdirequetout

projetpermettantderéduirelasurfaced’expositionauxrisquesatoutesaplacedansce

plan.

Defaçonplusconcrète,voicilesprincipauxchantiersàlancer.

Réseaux:ilssontdevenustellementcomplexesque,trèssouvent,personneeninterne n’enconnaîtlatopologieexacte.Danscesconditions,ilesttrèsdifficiledegarantirla sécurité.Lasécuritéduréseauseradoncundestoutpremierschantiersàlancer. Accèsdistants:avecl’informatiquemobile,lessolutionsd’accèsdistantsesont multipliées,sibienqu’ellesonttendanceàsedisperser.LaDSIpeinesouventàgarder lamaîtrisedecesaccès,cequiprésenteunrisqueimportantenmatièredesécurité.

Journalisation : elle permet soit de détecter des actes de malveillance, soit de elle permet soit de détecter des actes de malveillance, soit de comprendrelanatureetlaprofondeurdesattaques.Encesens,mettreenplaceune journalisationbienstructuréeestunpréalableàlagestiondesincidents.

Motsdepasse:unautrechantiertrèsprioritaireestceluidesmotsdepassecar,bien que des mécanismes permettent d’imposer de bonnes pratiques dans le domaine, l’expériencemontrequelesmotsdepassesontencoreunesourcedevulnérabilités majeuredanslessystèmesd’information. Postesdetravail:alorsquedenombreusesattaquesciblentlepostedetravail,la seulebarrièredeprotectionestsouventl’antivirusqui,àluiseul,peineàprotéger efficacementl’utilisateur.Lasécurisationdupostedetravailneselimitepourtantpas àl’antivirus. Gestiondesantivirus:cetoutilestsouventlapremièrelignededéfensefaceaux actes de malveillance. Il est donc capital qu’il soit correctement déployé et opérationnel. Nous verrons que, contrairement aux idées reçues, ce n’est malheureusementpastoujoursfacile. Serveurs:silesresponsablesdespostesdetravailsontréticentsàsécuriserleparc, c’estencoreplusvraipourlesserveurs,quelesresponsablesdelaproductionhésitent àprotéger,depeurdegénérerdesrégressionsdeservice.LeRSSIdoitfairepreuvede déterminationpoursécuriserlesserveurs. Sauvegardes:touslessystèmesd’informationontdesdispositifsdesauvegardedes données.Cependant,peud’exploitantstestentdefaçonrégulièrelesrestaurations. Gestiondesidentitésetdesdroits:cedomainecouvrelacréation/suppressiondes comptes ainsi que l’attribution/modification des droits. La formalisation de ces processuslaissegénéralementàdésireretonconstatesouventdescarencesgravesen matièredesuividesdroitsapplicatifs. Continuitédel’activité:mettreenplaceunplandecontinuitéd’activitéouunplan dereprised’activitéestunprojetàpartentièrequinécessiteuninvestissementtrès fortdelaDSIetdesmétiers.Ilesttrèsfréquentquelesorganismesnes’impliquent pasautantqu’illefaudrait. Tiers:àl’èredelasous-traitanceetducloud,plusunseulSInefonctionneen autarcie.LestierssontsouventamenésàopérerdespansentiersduSI.Aussiest-il capitaldebiencadreraveceuxlesrèglesetlespratiquesenmatièredesécurité.Nous verronsqu’ilseranécessairedemettreenplaceunprocessusdecontrôledestiers. Cloud:lescontraintesliéesaucloudsonttrèsspécifiquesetdoiventêtretraitéesle plusenamontpossible. Incidentsdesécurité:commeilestcertainque,tôtoutard,toutSIsubiraunjourun incidentdesécurité,ilestessentieldesavoirréagirrapidementetavecpertinence. C’estpourquoicechantierdevraêtrelancé. Juridique:leRSSIestrégulièrementamenéàopérerdesprocessusextrêmement cadrésréglementairement.Ilestdoncimportantdes’intéresseràlaquestionjuridique.

Infrastructures spontanées : ces infrastructures, déployées spontanément par les ces infrastructures, déployées spontanément par les utilisateurs,présententdenombreuxrisques.Ilfautsavoirgérercephénomène.

Expirations bloquantes : certificats, noms de domaines et licences, voici trois certificats, noms de domaines et licences, voici trois élémentspouvantposerdegravesproblèmesdeproductions’ilsnesontpasgérés correctement.

Sensibilisation: s’il ne s’agit pas à proprement parler d’une mesure de sécurité s’il ne s’agit pas à proprement parler d’une mesure de sécurité opérationnelle,lasensibilisationpermetderendrelesutilisateursplusméfiantsface

auxpiègesclassiquesquileursonttendus.Deplus,lacollaborationdesutilisateursest indispensable pour construire la sécurité. Un chantier de sensibilisation est donc nécessaire. Audits:lesRSSIsontconfrontésàdesauditstellementfréquentsqueleurgestionest devenueunprocessusopérationnelàpartentière. Letout-venant:ils’agiticideservirtouteslesdemandesensécuritén’entrantpas danslecadredeprocessusstandards.Ilfautsavoiryrépondre.

C’estparl’accomplissementdeces«petits»chantiersqueleSIsortiraprogressivement

delazoned’humiliation.Ilseraalorspossibledepasserauxniveauxdematuritéplus

élevés.

Leschapitressuivantsdétaillentchacundeschantiersévoquésprécédemment.Dansle dernier chapitre, nous reviendrons sur cette classification à trois niveaux et nous la confronteronsàlaréalitédesSId’aujourd’hui.

Chapitre2

Lasécuritédesréseaux

LesréseauxsontunpointnévralgiqueduSIetlessécuriserestuneprioritéabsolue.

C’estpourcetteraisonquecechantierestundestoutpremiersàlancer.Lapremière

étapeconsisteraàcartographierleréseau.Cen’estquedansunsecondtempsqueles

actionsconcrètesdesécurisationpourrontêtreentreprises.L’objetdecechapitreestde

détaillercesdeuxétapes.

Cartographierleréseau

Deuxphénomènesontmarquélesréseauxcesdernièresannées:l’interconnexionetla complexification. Les réseaux sont aujourd’hui massivement interconnectés : tout d’abordauseindel’entreprise,pourrelierlesprincipauxcentresainsiquelesdifférents sites secondaires, mais aussi avec les différents partenaires et sous-traitants. Cette interconnexion s’accompagne d’une complexification des protocoles : VLAN routés, VLANnonroutés,protocolesderoutagedivers,traductiond’adresse,adressagevirtuel, dispositifsdehautedisponibilitédédoublantleschémaréseau,protocolesWANvariés, protocoles de qualité de service, technologies de liaison WAN point-à-point. Si pris unitairementtouscesdispositifssontassezlisibles,ilsdeviennenttrèscomplexesdufait deleurcumul.Interconnexionetcomplexificationontainsirenduleréseaudifficileà lire.Dèsquel’organismedépasselatailled’unePME,sonréseaudevienttrèscompliqué àappréhender.Cettesituationestflagrantedanslesbanques,lesassurances,ainsique danscertainesgrandesadministrations,àtelpointque,souvent,pluspersonneeninterne neconnaîtlatopologieréelleetcomplèteduréseau.

Remarque

Danslestrèsgrandesstructures,ilarrivequeseulsquelquesconsultantsexternes,régulièrementamenés àintervenirpourdesprestationsd’architectureoudesécurité,aientunevisionclaireetglobaleduréseau. S’il n’y a naturellement aucun problème à externaliser l’expertise ainsi que la réalisation, il est très inquiétant de perdre la maîtrise de l’architecture. Réinternaliser la maîtrise du réseau devrait être une priorité.

Poursécuriser,ilestd’abordindispensabledeconnaître.Lapremièretâcheàréaliserest

doncdecartographierleréseauenfaisantfigurertantlesdifférentsLANquelesliaisons

WANéventuellesquilesrelient.Ilconvientd’observerdeuxpoints.

Niveautrois:lapremièrerègleàrespecterestdefaireabstractiondelacouche

liaison(couche2dumodèleOSI).Ainsi,siplusieursVLANsontroutésentreeux,il

fautlesreprésentercommeunseulréseau.Sefocalisersurlacoucheréseau(couche3

dumodèleOSI)simplifiegrandementlalisibilitédesflux. Pasderedondance:depuisl’avènementdesprotocolesdehautedisponibilité,tous leséquipementssensiblessontdoublésafind’assurerlacontinuitédeserviceencas depanned’unélément.Cephénomènetoucheautantlescommutateurs,lespare-feu, les routeurs que les répartiteurs de charge. Plus un réseau n’échappe à ces mécanismes.Laformalisationdecesélémentsd’architecturesurunschémaaune conséquencedommageable.Ellerendleschémaillisible,carremplidecroix.Pour corriger cet effet, il suffit d’ignorer la redondance, sans la faire figurer sur les schémas.

Unefoislatopologieconnue,ilfautrepérertouslespointsd’architecturepouvantcourir

desrisques.Danscedomaine,ils’agitsurtoutd’unequestionde«coupd’œil».Voici

quelquespistespourrepérercespointsàrisque.

LesaccèsmultiplesàInternet:s’ilyaunpointàformaliser,c’estbienlesaccèsà

Internet.Ilarriverégulièrementquedesentitésimportantesd’unesociétédisposentde

leurpropreaccès,multipliantainsil’expositionduSIparrapportàl’extérieur.Iln’est pasrarenonplusquedepetitesentités,voiredesagencesoumêmedesservicesdans unsiègefournissantpourtantunaccès,achètentunaccèsInternet(detypeADSL grandpublic)pourfaciliterlescommunications.L’expositionduSIsetrouveencore plusélargie. Lesraccourcisréseau:lorsquel’onformaliseleréseau,onobtientprogressivement unschémasurplusieurscouches,lacouchesupérieureétantInternetetlacouche inférieureétantleLANdusiteenquestion.Entrelesdeux,différentsniveauxde sécuritéetdeservicessesuperposentparstrates.Sileréseauestbienformalisé,on pourrarepérertrèsfacilementdes«flèches»reliantdirectementl’intérieurduréseau avecInternet,sanstransiterparlesstratesintermédiaires.Cesontdesliaisonsdirectes, sortes de courts-circuits entre deux réseaux. Ces liaisons sont autant de portes ouvertes.Siellessontsouventjustifiéespardesraisonsfonctionnellesplusoumoins pertinentes,ilarriveparfoisqu’onneserappellemêmepluspourquoiellessontlà. Ces courts-circuits doivent faire l’objet d’une grande vigilance. Un flux qui ne traversepaslesstratesappropriéesdoitavoirdetrèsbonnesraisonspourleséviter, sinonildoitemprunterlecheminclassiqueenrebondissantsuraumoinsuneDMZ. Lesredondancesasymétriques:nousvenonsdedireplushautquelamodélisation doitfaireabstractiondessystèmesdehautedisponibilité,carilsrendentlesschémas illisibles.Enrevanche,unefoisquelamodélisationaétéréalisée,ilconvientde vérifierqueleséquipementsdoublésdanslebutd’assurerdelahautedisponibilitéont bienlesmêmesfonctions.Eneffet,ilpeutarriverquedeuxéquipementsréseauen apparenceidentiques,vouésuniquementàsesecourirmutuellement,remplissentdes fonctionsdifférentesetn’aientpaslemêmenombredeliaisons.

Sécuriserleréseau

Unefoisquelacartographieestréalisée,lasécurisationduréseaudevientpossible.Cette

sectioncommenceparprésenterl’approcheclassique,quiestdeloinlaplusrépandue.

Toutefois,denouvellesapprochesdesécurisationvoientlejour,liéesàl’évolutiondu

contextedesentreprises.Ilestintéressantdelesprésenter.

Démarcheclassique

Leslevierslesplusclassiquespoursécuriserleréseauconsistentàunifierlesaccèsà

Internet,àsupprimerlesaccèsspontanésetàrevoirlajustificationdesliaisonscourt-

circuitant les différentes strates intermédiaires du réseau. Enfin, un travail de rationalisationdesDMZestsouhaitable.Toutescesactionssontdétailléesci-après.

Unifier les accès à Internet, qui sont autant de points d’entrée sur le système , qui sont autant de points d’entrée sur le système d’information.Ilconvientdelescentraliserenunpointunique.Laraisonprincipale avancée par les entités qui choisissent d’avoir leur propre accès à Internet est la performance.Ellesseplaignentsouventdeslenteurschroniquesdel’accèscentral. Aussi,pourréussiràfédérertouslesaccèsenunseul,ilestcapitaldeproposerun débittrèssatisfaisant,répondantauxexigencesdeperformanceetdedisponibilitéde touteslesentitésavec,enplus,unemargedemanœuvresuffisantepoursatisfaireaux besoinsàvenir.Sansdesperformancesetunequalitédeservicesupérieures,l’accès centralisén’auraaucunsuccès. Supprimerlesaccès«spontanés»:nousavonsvudanslasectionprécédenteque certaines petites agences, voire certains services dans l’entreprise, prenaient l’initiativedemettreenplacedesaccèsàInternetdetypegrandpublic.Lamotivation de ce choix est souvent la même, c’est-à-dire les performances et la volonté d’échapperaufiltragecentraljugétropcontraignantpourcertains.Ceslignesn’étant pastoujoursofficiellementdéclarées,ilestdonctrèsdifficilepourleRSSId’enfaire un inventaire fiable ; et c’est surtout par le bouche à oreille qu’on arrive à les identifier.LeRSSIdoitd’abordfairepreuved’autorité,enopposantlapolitiquede sécurité aux contrevenants, mais il doit aussi convaincre que l’accès centralisé à Internetesttoutaussiperformantqu’unaccèsADSLgrandpublic.

Remettre en question les courts-circuits : les courts-circuits sont des liaisons les courts-circuits sont des liaisons directesentrel’intérieuretl’extérieurduréseau,ignorantsesstratesintermédiaires. Lacartographieduréseaulesfaitclairementressortir.Cescourts-circuitssontsouvent justifiéspardesbesoinstechniques:accèsprivilégiépourlesadministrateurssystème et réseau, applications ne supportant pas de traverser un proxy, régressions de fonctionnalités en traversant les strates du réseau. Ces justifications doivent être réexaminéesuneparune.Souvent,onconstatequec’estdavantageparconfortque parnécessitéquecesaccèsdirectsontétéétablisetilsuffitdequelquesséancesde travailpourproposerdesalternatives.LetravailduRSSIconsisteradoncàconvaincre lesunsetlesautresquecesaccèsnesontplusnécessaires,quelesfluxpeuvent rebondirparlesdifférentesstratesprévuesàceteffet,sanspourautantréduireles performancesnirégresserdanslesfonctionnalités.

RationaliserlesDMZ:ils’agitdesréseauxintermédiaires,généralementraccordés aupare-feu.Ellesserventàrebondirentredeuxniveauxd’unréseau.Enprincipe,les DMZ ne sont pas de simples zones de rebond. Elles sont censées apporter des fonctionnalitésdesécuritétellesquelefiltragefindesfluxenentréeetensortiede DMZ,l’authentificationetlatraçabilitédesaccèsapplicatifs,lalimitationdecertaines fonctionnalitésutilisateur,oulamiseàdispositionpartielledesdonnéesconsultables depuisl’extérieur(basesLDAP,basesdedonnées,etc.).Or,l’expériencemontreque lesDMZsontsouventutiliséescommedesimpleszonesderebond,parcequ’ilest communémentacquisqu’ilnefautpasdeliensdirectsentrel’intérieuretl’extérieur. Cependant,siuneDMZnefournitaucunautreservicequederelayerlesflux,ellea peud’intérêt,puisqu’encasd’attaque,ellesecontentedelarelayerversladestination. Iln’estdoncpasinsensédesupprimercesDMZquinefontriend’autrequedu rebond.UnautrepointproblématiquesurlesDMZestleurmultiplication.Unerevue générale des DMZ et de leur fonctionnalité doit être réalisée. Cette revue peut conduireàréunirenuneseuleplusieursDMZdestinéesàdesusagessimilairesetde mêmeniveaudesensibilité.Cettemutualisationcontribueraàsimplifierl’architecture réseauetàfaciliterlamaintenancedesrèglesdefiltrage.Naturellement,ilnefautpas tomberdansl’excèsquiconsisteraitàmutualiserindistinctementtouteslesDMZen uneseule. Rationaliserlesaccèsdistants:souvent,lessolutionsd’accèsdistantonttendanceà secumulerdansletemps,sibienqueleréseaudisposesimultanémentdeplusieurs

pointsd’entréeprivilégiés.Ilestimportantderationnalisercesaccès.Lechapitre3de

celivredétaillecettequestion.Lelecteurintéresséestinvitéàleconsulter.

Remarque

Le terme DMZ signifie « zone démilitarisée », allusion à la bande neutre séparant les deux Corées. Comme son nom l’indique, c’est une zone sans armements. Du point de vue strictement linguistique, utiliserletermeDMZpourprotégerlesréseauxestunnon-sens,puisqueprécisément,lesDMZsontdes zones ultra-militarisées, avec des dispositifs de sécurité variés. Ces DMZ sont en fait des « zones militarisées».

Enplusdecesactionspurementtechniques,ilconvientdeformaliserunprocessusde gestion des règles pour les pare-feu. Le but est de pouvoir justifier les demandes d’ouvertureoudemodificationdeflux.Onpeutrecourirpourcelaàunformulaireque leséquipesprojetdevrontimpérativementrempliravanttouteouvertureoumodification deflux.Onferafigurerdansceformulairelasuitequiaétédonnéeàlademande (acceptation/refus/adaptation)etsamotivation.L’archivagedecesformulairesseratrès utilelorsqu’onaurabesoindecomprendre,plusieursmoisaprèsleurmiseenœuvre, quelle est la raison d’être de telle ou telle règle. De plus, ces fiches faciliteront grandementletravaildesexploitantslorsquedesauditeursviendrontlesinterrogersur lesrèglesdefiltrage.

La démarche qui vient d’être présentée est très classique et encore très répandue. Cependant, certains organismes estiment que malgré cet effort de simplification, les réseaux sont encore bien trop complexes. Multiplier des pare-feu pour protéger les différentssitesetdifférentesentitésaseslimites.

Les pare-feu sont-ils réellement surveillés ? Aujourd’hui, tous les réseaux sont protégés en entrée par un pare-feu. Un des avantages de Aujourd’hui, tous les réseaux sont protégés en entrée par un pare-feu. Un des avantages de ces équipements est de permettrederepérerlesévénementssuspects(tentativedeconnexionàunportdonné, scansd’adressesIP).Ilssontgénéralementconfiguréspourtracercertainsévénements jugéssensibles.Souvent,ilstracentmêmetoutel’activitéréseauquilestraverse. Hormis celles ayant mis en place un SOC et/ou un SIEM, très peu de sociétés surveillentl’activitédeleurspare-feu.Danscesconditions,lesattaquesnesontpas repérées,mêmesielleslaissentdestracesdanslesjournaux. Lesrèglessont-ellesvraimentlisibles?Lespare-feupermettentgénéralementde regrouperlesrèglesdefiltrageparcatégoriesafind’enfaciliterlalecture.Malgré cela, les règles ont tendance à se multiplier jusqu’à atteindre un nombre à partir duquel on perd toute lisibilité. Les règles sont tellement nombreuses que plus personnenesaitcommenttransitentlesflux.Unepersonnemalveillantepeutprofiter delacomplexitédesfluxpourtrouverunebrèchedanslabasederèglesetpénétrer dansleréseau. ÀquoibonfiltrerpuisquetoutpasseparHTTP?Unautreargumentavancépar les détracteurs des pare-feu est que, même si tous les flux non autorisés sont correctement bloqués, les flux HTTP et HTTPS sont toujours ouverts puisque quasimenttouslesfluxindispensablesaufonctionnementduSIontdésormaisrecours àcesprotocoles.Cesfluxsontaussiutilisésparlespersonnesmalveillantes,quiy encapsulentleursattaques.Celalimitegrandementl’intérêtdupare-feu.

Au-delà de ces limitations techniques, les détracteurs des pare-feu avancent deux inconvénientsmajeursdecesdispositifs.

Coût d’exploitation : ces équipements ont un coût d’acquisition et un coût d’exploitation.Deplus,ilfautrégulièrementmettreàjourleur ces équipements ont un coût d’acquisition et un coût d’exploitation.Deplus,ilfautrégulièrementmettreàjourleurfirmwarepourpouvoir bénéficierdusupportdel’assistance.Cesmisesàjoursontsouventdesinterventions délicates, avec un risque non négligeable de régression de service, et donc de paralysiegénéraleduréseau. Entraveàl’intercommunication:parnature,unpare-feusertàbloquertoutcequi n’estpasexplicitementautorisé.Ainsi,dèsqu’unchangementsurvient,qu’ils’agisse d’unenouvelleapplicationàfairecommuniqueroud’uneévolutiond’infrastructure,il est nécessaire de créer des règles spécifiques. La déclaration et l’application des nouvellesrèglesprennentparfoisduretard,ralentissantainsileséquipesprojet.

Autresdémarches

Ceréquisitoire,difficileàcontester,aconduitcertainessociétésàsetournerversune

autreapprochepoursécuriserlesréseaux.Elleconcernesurtoutlestrèsgrandsréseaux,

répartissurplusieurssitesetplusieursentités.L’approcheconsisteàinterconnectertous

lessitesdelasociétéparunWANunique,enfaisantdisparaîtretouslespare-feuen

interne.

Cette approche conserve l’accès unique à Internet comme dans la démarche de sécurisationclassique.Lescentresdeproduction,répartissurplusieurssitesetentités différentes,sontcentraliséssurunoudeuxpointscentraux.Touslesserveursdetoutes lesentitéssontconcentrésdanscescentresdetraitement.Naturellement,cespointssont protégés au niveau réseau par des pare-feu. En revanche, les entités et les sites n’hébergeantplusdemoyensdetraitementsevoientsupprimerleurspare-feu.

Quelssontlesavantagesprincipalementescomptésdanscetteapproche?Ilssontau

moinsaunombrededeux.

Fluidification des applications : le déploiement de nouvelles applications et de nouvellesinfrastructuresestgrandementfluidifié,puisqueplusaucundispositifde filtrageréseaunevientbloquerlesdéploiementseninterne. Réductiondescoûts:laconcentrationdespare-feudanslesquelquescentresde traitementpermetderationaliserlescoûtsdemiseenconditionsopérationnelles.

Cetteapprochen’estpassansrisque,carlessitesnesontplusprotégéslesunspar

rapportauxautres.Uneattaquesurunsitepeutsepropagertrèsfacilementsurtoutle

resteduréseau,puisqueleséquipementsdefiltrageinterneontdisparu.C’estpourcela

qu’ilestvivementconseilléquelamiseenplacedecetteapproches’accompagnede

deuxmesuresdesécurité.

Sécurisationdespostesdetravail:lepostedetravail,quiétaitjusqu’alorsprotégé

parunpare-feu,seretrouveexposé.Ilestdoncindispensabledesécurisertoutleparc

pourrésisterauxattaquesréseau.Cettesécurisationdoitêtrefaiteavantlasuppression

desfiltreseninterneetelledoits’accompagnerd’unsuiviattentifdelasécuritédu

parc,notammentpardesindicateursrégulièrementconsultés.

parc,notammentpardesindicateursrégulièrementconsultés.

Détectiond’intrusion:ceséquipementssontcontroverséscarilsontlaréputation,

d’unepart,d’êtretrèsdifficilesàrégleret,d’autrepart,d’êtrerelativementfacilesà

contourner.Celasefaitgénéralementensubmergeantledétecteurd’intrusiond’une

pluiedefauxpositifs,cequipermetdefairepasserlavéritableattaqueinaperçue.

Certainsorganismespoussentladémarcheencoreplusloin.Ilsvontjusqu’àsupprimer

purementetsimplementleWANpourleremplacerparInternet.Lesliaisonsintersites

sontalorsprotégéesparl’établissementdecommunicationschiffréesetauthentifiées.

Cenesontnaturellementpasdesconsidérationssécuritairesquiincitentlesorganismesà

opterpourcetteapproche.C’estsurtoutpourdesraisonsderéductiondescoûts,de

fiabilisationetdeflexibilitéqu’ilss’yprêtent.Eneffet,cetteapprocheesttrèsenphase

avecl’hyperévolutivitédesentreprisesd’aujourd’hui.Ellesontunbesoincontinueldese

restructurer,deseréorganiseretdesedéplacerpourvivre.Lefaitdesedispenserdu

carcand’unréseaugéréeninterneesttrèsintéressantpourelles.

Naturellement, cette approche induit de nouveaux risques qu’il faut étudier avant le déploiement.

Chapitre3

Accèsdistants

Lesévolutionstechniquesontconduitàunetellemutationdanslafaçondetravaillerque

l’onnetrouveplusdenosjoursuneseuleentreprisequinesoitreliéeàdespartenairesou

quinefournisseunaccèsdistantàsescollaborateurs.Lesaccèssesontainsimultipliés,

créantautantdepointsd’entréesurlesystèmed’information,queleRSSIsedoitde

protéger.L’objetdecechapitreestderappelerlesprincipalessolutionsd’accèsdistant

puisdefaireunfocussurlesprécautionsàprendredansledomaine.

Enjeuxdesaccèsdistants

Nousverronsplusloinquelesmoyensd’accéderauSIàdistancenemanquentpas.Ilva

doncfalloirchoisir,maisàl’heurederetenirunesolutionplutôtqu’uneautre,ilfauttenir

compted’uncertainnombred’enjeuxpropresauxaccèsdistants.Parmicesenjeux,on

pensespontanémentàl’authentificationetauchiffrementdeséchanges,maisilenexiste

d’autres.

Authentification : les deux parties impliquées dans la communication doivent les deux parties impliquées dans la communication doivent s’authentifier.Cetteauthentificationpeutvarierdelasimplesaisied’unidentifiantet d’unmotdepasse,àl’usaged’undispositifphysique(onditaussitoken).

Confidentialité des échanges : si, en principe, le chiffrement des échanges est si, en principe, le chiffrement des échanges est facultatif,ilparaîtaujourd’huiimpensabledefournirunaccèsdistantsanschiffrerles flux.Lesprotocolesdechiffrementsontnombreux. Limitationdesressourcesaccédées:unequestionquel’ondoitseposeràl’heurede fournirunaccèsdistantestlasuivante:àquellesressourcesduSIa-t-ondroitunefois quel’ons’estauthentifiéetquelacommunicationestétablie? Traçabilitédesactions:bienquecontrôlé,l’accèsdistantestuneported’entréevers leSI.Ilestdoncimportantdetracerlesactions,aumoinslesconnexionsetles déconnexions.Unetracedesobjetsauxquelsonaaccédéestunplus.

Les protocoles pour assurer ces fonctions sont aujourd’hui fiables, sûrs et très satisfaisants,surtoutdansledomainedel’authentificationetdelaconfidentialité.De plus,lemarchéregorgedesolutionsgratuitesoupayantes,adaptéesàchaquebesoin.Du pointdevuetechnique,leproblèmedesaccèsdistantsn’estdoncplusauniveaudu protocoleoudelasolution.Ilestessentiellementcentrésurlechoixd’implémentation dansl’entreprise,surl’usagequienestfaitetlesoinquel’onporteàlaconfiguration. Lesaspectsorganisationnelssontaussitrèsimportantsetilsserontabordésplusloindans cechapitre.

Àchaqueusagesasolutiontechnique

LessolutionstechniquespouraccéderàdistanceauSIsonttrèsvariées,etreposentsur des choix techniques très différents. Chaque solution correspond à un besoin. Nous allonspasserenrevuelesprincipalessolutions.

Réseauxprivésvirtuels

Unepremièresolutiond’accèsdistantconsisteàdéployerunréseauprivévirtuel.Cet usageestappropriépourlesbesoinsdeconnectivitéIPétendueetdurableentredeux sites distants. Ainsi, toute machine d’un site (serveur ou poste de travail) peut communiquerenIPavectoutemachinedusitedistant(serveuroupostedetravail).Pour cela,ilestpossiblesoitd’utiliserunréseaud’opérateur,soitdetransiterviaInternet.On peutmêmerecouriràuneliaisonpointàpoint,siseulsdeuxsitesdoiventêtrereliés.

Terminologie

Enprincipe,l’acronymepour«réseauprivévirtuel»devraitlogiquementêtreRPV.Cependant,c’estVPN

quis’estimposé,pourVirtualPrivateNetwork.

LesVPNsontindiquésessentiellementpourlesinterconnexionsauseind’unemême

entreprise,ouauseindedifférentesentitésd’unmêmegroupe.

Réseau d’opérateur : MPLS est aujourd’hui le protocole le plus utilisé pour MPLS est aujourd’hui le protocole le plus utilisé pour interconnecterenIPplusieurssites.Lepremieravantaged’untelréseauestqu’il présente un excellent taux de disponibilité, vu que les flux empruntent le réseau fortementmaillédel’opérateur(doncrésistantauxpannes).Deplus,lefaitqueles flux transitent exclusivement par le réseau privé de l’opérateur, et entièrement maîtriséparlui,estunpointpositifentermesdeconfidentialité.Notonspourterminer qu’ilestpossibledecontracterdelaqualitédeservice,cequiestunpointimportant pourcertainsusagescommelatéléphonieoulavidéo.

RéseauInternet : une solution plus flexible consiste à transiter via Internet, en : une solution plus flexible consiste à transiter via Internet, en utilisantleprotocoleIPSec,enmode«siteàsite».Ainsi,bienqu’ilstraversent l’infrastructurepubliqueetnonsécuriséequ’estInternet,lesfluxentrelesdeuxsites sontmutuellementauthentifiésetchiffrés.Cettesolutionprésentel’avantagedenepas nécessiterd’abonnementàunréseauMPLS.Enrevanche,ilestquasimentimpossible degarantirlaqualitédeservicedeboutenbout. Lignepoint-à-point:silesanciennesligneslouées(commeTransfix)n’existentplus, ousontenpassededisparaître,desévolutionstechniquesontpermisauxopérateurs de proposer des lignes spécialisées point-à-point de niveau deux, prolongeant la connectivitéEthernetentredeuxsites.Ainsi,desfluxdetouttype,mêmenonIP, peuventêtreéchangés,avecdesdébitsadaptésauxbesoinsactuels.

Dans le cas où l’interconnexion a pour but de relier le SI de l’entreprise avec un partenaire,unprestataireouunclient,ilfautimpérativementquelesfluxprovenantdece tiersaboutissentdansuneDMZauseindelaquelledesrelaisapplicatifsassurerontdes fonctions de sécurité, telles que l’authentification des utilisateurs, la limitation des

possibilitésderebond(viadesrèglesdefiltrage),ainsiquedeslimitationsapplicatives.

Enrèglegénérale,ilnefautjamaisoffriruneconnectivitéIPtotaleàuntiers.Ilfautle

cloisonneraustrictnécessaire.Untravailsoigneuxd’architecturedoitdoncêtreentrepris

aupréalable.D’ailleurs,rienn’empêchedeprendrecetteprécautionpourlesconnexions

entredeuxentitésdumêmegroupe.

Ilfautsignalerquetoutescessolutionsnécessitentunéquipementspécifiquesurchaque

site(routeur,têtedetunnel,etc.),avecuneconcertationpréalableentrelesdifférentes

entitésamenéesàcommuniquer.

Publicationd’applicationssurInternet

Touslesutilisateursdistantsnerequièrentpasforcémentd’avoiraccèsàl’intégralitédu SI.D’ailleurs,ilsn’ontpourlaplupartbesoind’accéderqu’àunensembletrèslimitéde ressources. Il s’agit généralement d’utiliser la messagerie, de consulter l’intranet et d’accéderàquelquesapplicationsmétierincontournables.

Enrevanche,l’utilisateurdistantestsusceptibledeseconnecterdepuissondomicileou

endéplacement.Onnepeutdoncpasl’identifierparsonadresseIPouparunrouteur

spécifiquespécialementconfigurépourlui.

Pour répondre à ce besoin, la solution courante consiste à publier sur Internet les applications nécessaires. Le serveur s’authentifie auprès du client en présentant son certificat.Àsontour,leclients’authentifieauprèsduserveurensaisissantsonidentifiant puissonmotdepasse.LasuitedeséchangesestchiffréevialesprotocolesSSLouTLS.

Pouraccéderàdesservicesjugéssensibles,ilestpossiblederenforcerl’authentification

duclient,soitenluiimposantuncertificatclient,soitenutilisantuntoken(quece

derniersoitphysiqueoulogique).

LapublicationdecesapplicationssurInternetoffreunegrandeflexibilité,maiselleles

exposedirectementauxattaques.Unsoinparticulierdoitêtreportésurleurrésistance

auxtentativesdecrosssitescripting,d’injectionsSQLetautresattaquescourantes.Les

serveursfournissantleservicedoiventêtreinstallésdansdesDMZ.Laconfigurationde

ceséquipementsdoitêtresoignée.

Tunnelclient

Certains utilisateurs distants ne peuvent se contenter d’un accès aussi restreint aux ressourcesduSI.C’estlecasdesadministrateursqui,parlanaturedeleurfonction,sont amenésàaccéderàtoutleSI.

Danscecas,unesolutionconsisteàmonteruntunnelentrel’utilisateurdistantetleSI.

Bienquetransitantviaunréseaupublic,lesfluxsontencapsulésdansletunnel.Ainsi,

l’utilisateurdisposed’uneadressepublique,qu’ilutilisepouraccéderàladestination,et

d’uneadresseinterneauSI,encapsuléedansletunnel.Ilpeutdoncaccéderàtoutle

réseaucommes’ilétaitàl’intérieurdel’entreprise,pourpeuqu’aucundispositifde

filtrageexplicitementplacéàceteffetnel’enempêche.

Commepourlasolutionprécédente,leserveurs’authentifiegénéralementauprèsdu

clientenprésentantuncertificat.Quantàl’utilisateurdistant,ilpeuts’identifiersoiten

saisissantunmotdepasse,soitenutilisantunesolutionplussolideàbasedetoken.

Cettesolutionnécessitegénéralementd’installersurlepostedetravaildel’utilisateurun jeu de clés publique et privée pour s’authentifier. Il est important que les fichiers contenantlesclésprivées(oulemotdepasseprotégeantlesclés)soientbienprotégésen lecture.

Lessolutions,payantesougratuites,sonttrèsnombreuses.Ilestconseilléderetenir

cellesquiutilisentlesprotocoleséprouvésquesontIPSecouSSL/TLS.

Dansdenombreusessolutions,uneinterfaced’administrationpermetaubesoind’activer

oudedésactiverindividuellementlesutilisateurs.Celaaideàlimiterlesaccèsaustrict

nécessaire.

Accèsprivés3G/4G

Unesolutionquinevientpasforcementàl’espritestl’utilisationduréseau3G/4Gprivé.

Touslesopérateursoffrenteneffetdessolutionsditesavec«APNprivée».

Lefonctionnementeststrictementlemêmequepourun«accèsdata»grandpublic. L’utilisateurdisposeainsid’unecarteSIMqu’ilinsèredirectementsursonordinateur portableouunecléUSB.AprèsavoirtapélecodePIN,ildoitsaisirunnomd’utilisateur etunmotdepasse.Ensuite,l’opérateurluioctroieuneadresseIP.Ladifférenceavecles offresgrandpublicestquel’accèsquiluiestfournin’estpasconnectéàInternet,maisau SIdel’entreprise.Uneautredifférenceestquel’adressequiluiestattribuéeesttoujours lamêmeetestréservéeauclient(lasociétédanslaquelletravaillel’employé).Enfait,

cesréseauxsontdessortesderéseauMPLSen3G.

Cesréseauxsontextrêmementpratiquespourlespersonnelstechniquesamenésàfaire destournéesdansunerégionetquiontbesoind’accéderàdesapplicationsinternesde l’entreprise. Cela fournit un accès sur tout le territoire sans pour autant publier d’applicationssensiblessurInternet.

Bienquetrèspratique,cettesolutionn’estpassansposerquelquesproblèmessérieuxen matièredesécurité.Lepremierestquerienn’empêchel’utilisateurdechangersoncode

PINetdelepositionneràunevaleurtrivialetelleque0000.Lesecondproblèmeestque

lasaisiedel’identifiantetdumotdepasseestsouventeffectuéedefaçontransparente

parl’utilitairedecommunication,pourfaciliterleprocessusdeconnexion.L’utilisateur

n’aainsirienàsaisir.Cependant,encasdevoldel’équipement,levoleurn’aqu’àouvrir

unesessionsurl’ordinateurportablevolépourdisposerd’unaccèsdirectauSI.

UndernierinconvénientestquelagestiondescartesSIMpourcesaccès3Gesttout

aussiapproximativequelagestiondescartesSIMpourlestéléphones.Lespersonnes

quittantl’entrepriseoublientsouventderestituerlacarteSIM.D’autreslaconfientàdes

collèguesavantd’êtremutés,sibienque,rapidement,ilesttrèsdifficiledesavoirqui

détientréellementquellecarteSIM.

Aspectsorganisationnels

En matière d’accès distant, l’aspect organisationnel est encore plus important que l’aspecttechnique.Eneffet,laprioriténumérounduRSSIdanscedomaineestde réduirel’expositionduSIauxrisquesd’intrusion.Pourcela,ildisposedeplusieurs leviers,commelasuppressionpureetsimpledesaccèsreposantsurdestechnologies obsolètes.Ilpeutaussiprocéderàdesrevuesdedroitsafind’évincertoutcompten’ayant plusaucuneraisond’accéderàdistanceauSI.Avantcelatoutefois,ildevracommencer parcentraliserlesprocessusd’attribution.

Centraliserl’attributiondesaccès

Lepassageenrevuedessolutionstechniquesfourniesauxutilisateurspouraccéderà distanceauSInesuffitpasàreprendrelamain.LeRSSIdoitserapprocherdeplusieurs usagersdechacunedecessolutionspourprendreconnaissanceduprocessusd’attribution des accès. Ici, le côté relationnel est très important. En parlant avec les gens, on s’aperçoit vite que les accès sont souvent attribués de façon décentralisée, par des cheminstrèsdifférents.Certainsdecescanauxsonttrèsstricts;d’autres,enrevanche, sont étonnamment laxistes quant aux vérifications du besoin réel et de l’identité du demandeur.

Leserviced’assistance:c’estsouventparluiquelesutilisateursobtiennentdes comptespouraccéderauSIàdistance.LeRSSIdoitprendreconnaissancedela procédure, vérifier qu’une validation des demandes est prévue et qu’elle est réellementeffectuée. Certainschefsdeprojet:onasouventconstatéqueleschefsdeprojetayantpiloté la mise en place d’une nouvelle solution d’accès distant détiennent toutes les autorisations (contacts téléphoniques avec les fournisseurs, droits applicatifs, etc.) pourattribuerdesaccèsdistants.Sicesdroitssontparfaitementjustifiéslorsdes phasesdemaquette,testetdéploiementdelasolution(ilfautbienquelechefde projetpuissecommanderdesaccèspourluietsonéquipe),ilsnesontplusnécessaires une fois la solution en production. Pourtant, l’expérience montre qu’un circuit informeld’attributiond’accèssemetspontanémentenplaceautourdeceschefsde projet.Lesaccèsattribuéséchappentalorsàtoutcontrôle. Lesacheteurs:unautreacteurimpliquédansl’attributiondesaccèsestl’acheteur, c’est-à-direceluiquicommandelaligne,lacarteSIMoulemodemaufournisseur. Commepourlechefdeprojet,ilarrivequ’onluidemandedirectementd’acquérirun accès,alorsquecettedemanden’asubiaucuncontrôlenivalidation. Les services : enfin, certains services n’hésitent pas à contacter directement les opérateurspourcommanderdesaccès.Tropcontentsdevendredessolutionsàleurs clients,cesderniersnes’encombrentpastoujoursdeprocédurespourvérifierquela demandeestpasséeparlecircuitofficieldevalidationétabliparleclient.

Nousvoyonsdoncqueleprocessusd’attributiondescontrôlesd’accèsesttrèsdiffuset

qu’iln’estpasforcémentcontrôléparuneentitéunique.Pire,leprocessusdevalidation

qu’iln’estpasforcémentcontrôléparuneentitéunique.Pire,leprocessusdevalidation

desdemandessonttrèsvariables,allantd’unevérificationrigoureuseavecdescritères

bienétablis,àuneattributioninformelle,pourpeuquel’onsympathiseaveclesbonnes

personnes.

Surcettequestion,ilesttrèsimportantqueleRSSIreprennelecontrôleduprocessus d’attribution des accès distants. Si ce n’est pas forcément à lui de valider chaque demande,c’estàluid’établirlesschémasdevalidationainsiquelesrevuesdesaccès. Pourcela,unecentralisationestnécessaire.

Pouraideràcetterepriseenmaindesaccèsdistants,ilesttrèsutilededisposerd’un article très clair abordant cette question dans la politique de sécurité du système d’information(PSSI).LeRSSIpourraainsiopposercedocumentréglementaireàtoute personneouservicequisouhaiteraitgarderlapossibilitéd’attribuerdesaccèsdistants. Naturellement,unePSSIvalidéeparladirectiongénéraleauraplusdepoidsqu’unePSSI validéeuniquementauniveaudelaDSI.

Exemple

LaclausesuivantepermetdelégitimerladémarcheduRSSIdanssarepriseenmaindesprocessus

d’attributiondesaccèsdistants:

«Toutaccèsdistantausystèmed’informationdoitêtreréalisédanslecadred’unprocessusvalidéparla

DSI.

Tout accès distant au système d’information doit faire l’objet d’une validation répondant à des critères précisetétablis.

Ilestinterditd’attribuerdesaccèsdistantsendehorsd’unprocessusvalidéparlaDSI.»

Supprimerlesaccèsobsolètes

Certainessolutionsd’accèsdistantsonttrèsanciennes,remontantpourcertainesàplusde septouhuitans.Avecletemps,cesaccèssontsouventdélaissésparlesutilisateurs,qui leurpréfèrentlesnouvellessolutions,plusperformantesetplussimples,fourniesdepuis parlaDSI.Ainsivoit-onsouventdesaccèsàlafoistrèspeuutilisésettrèsvulnérables car reposant sur des technologies anciennes et non maintenues, pour lesquelles de nombreusesvulnérabilitéssontsouventpubliées.Cesaccèsdistantssontautantdeportes ouvertesnonsurveilléessurleSI.Afindediminuerlasurfaced’expositionauxrisques, leRSSIatoutintérêtàlesdésactiver.Ladémarchen’estpastrèscompliquéeetpeutêtre menéeenquelquesétapestrèssimples.

Inventairedesaccès: la première chose à faire consiste à obtenir une liste des personnes ayant un accès. Il arrive fréquemment que plusieurs de ces comptes correspondentàdespersonnesayantquittélasociété(parfoisdepuislongtemps).Il arrive aussi que certains comptes aient été transférés à d’autres collaborateurs, à l’occasiondemobilitésinternesoudemutations.Enfin,ilestconseilléd’identifierles comptes correspondant aux VIPafin de prévenir personnellement ces derniers de l’imminentesuppressionduservice. Premièrecommunication:ilconvientensuitedelancerunecommunicationàtoutle personnelenannonçantlafinprochaineduserviced’accèsàdistance.Lebutdece messageest,d’unepart,deprévenirlesutilisateursconcernéset,d’autrepart,deles motiver à prendre contact avec l’équipe du RSSI (souvent par l’intermédiaire du

motiver à prendre contact avec l’équipe du RSSI (souvent par l’intermédiaire du

serviced’assistance)poursignalertoutproblèmequiseraitcauséparlasuppressionde

cetaccès.

Exemple

Letexteci-aprèsproposeunexempledemessageàenvoyerpourannoncerlafind’unserviced’accès

distantappeléKARINE:

« Nous vous informons que le 1 er décembre prochain, le service d’accès à distance KARINE sera supprimé.Àcettedate,plusaucunaccèsàdistanceneserapossibleparcemoyen.

Nousvousinvitonsàprendrecontactavecleserviced’assistancepournoussignalertoutproblèmeque

vouscauseraitlasuppressiondeceservice.»

Priseencomptedesréponses:pendantunesemaine,leserviced’assistancepourra prendrelesappelsdespersonnespourlesquelleslasuppressionduserviceposeraitun problème.Généralement,lesusageslespluscourantssontl’accèsàdistanceàun partageréseau,oul’accèsàuneapplicationbienprécise,nonpubliéesurInternet.Le RSSIdoitcollectertouslesusagesrésiduels.Ilexistepresquetoujoursunealternative trèssimplepourchacundecesusages:utilisationd’unautreserviced’accèsdistant, plusmoderneetmieuxgéré,publicationd’applicationsurunextranet,etc.L’équipe Sécurité contactera ainsi chaque personne pour leur proposer des alternatives appropriées. Secondecommunication:deuxsemainesavantlafinduservice,ilserapossible d’envoyerànouveaulemessageannonçantlafinduservice. Priseencomptedesréponses:leserviced’assistanceprendraànouveaulesappels despersonnesconcernées. Dernièrecommunication:laveilledelasuppressionduservice,underniermessage notifiantsasuppressiondéfinitivepourraêtreenvoyé. Suppressiondesaccès:l’accèsdistantpourraenfinêtremisàlaréforme.

Fairedesrevuespériodiques

MaintenantqueleRSSIafaitl’inventairedessolutionsd’accèsdistantproposéesen interneetqu’ilareprislecontrôledesprocessusdevalidation,illuiesttechniquement possibledeprocéderàdesrevuespériodiques.Lebutdecesrevuesestdelimiterautant quepossiblelasurfaced’expositionauxrisquesensupprimanttouslesaccèsindividuels n’ayantplusderaisond’être.Pourcela,ildemanderaàchaqueresponsabletechniquede solutiond’accèsdistantunelistedecomptes,ainsiqueladatededernièreconnexionde chaque utilisateur. Cette revue périodique servira à identifier concrètement les cas suivants.

Comptesdormants:larecherchedescomptesnonconnectésdepuisplusd’unan permettrad’identifierlespersonnesneseservantplusdecettesolution.Cescomptes serontsuppriméssansrisques. Comptes orphelins : généralement, le processus de suppression des comptes fonctionnebienauniveaudel’annuairecentrald’entreprise,sibienquelorsqu’un collaborateurquittel’entreprise,soncompteADetsesprincipauxcomptesapplicatifs sont rapidement supprimés. Cependant, il est rare que cette suppression soit

sont rapidement supprimés. Cependant, il est rare que cette suppression soit

répercutéesurlesaccèsdistants,quisontsouventgérésparunprocessusindépendant.

Siaucunerevuen’estjamaisréalisée,onseretrouverapidementavecunelistenon

négligeabledecomptesorphelins.

Légitimité:unefoislescomptesdormantsetlescomptesorphelinssupprimés,il

resteàpasserenrevuelalégitimitédescomptesrestantspourconfirmerourévoquer

l’accès.

Certainessolutionsd’accèsdistantnécessitentderemettreuntokenàl’utilisateur. Il s’agit généralement d’une calculette, d’une carte à puce ou bien d’une clé USB comportantdesclésprivéesetpubliquesdel’utilisateur,protégéeparuncodePIN.Le processusderestitutiondecesarticlesesttrèssouventdéficient,sibienque,suiteàune revue,ilesttrèsdifficilederevenirversunutilisateurpourluiréclamersontoken.C’est d’autantplusdifficilepourlespersonnelsayantquittél’entreprise.Lasolutionlaplus simpleàceproblèmeconsisteàrévoquerletoken.Àpartirdecemoment-là,peuimporte queletokensoitperduouquequelqu’unessaiedes’enservir.L’accèsseradetoutefaçon refusé.

Validerlasécuritédessolutions

Laprioritédesintégrateurs,qu’ilssoientinternesàlaDSIousous-traitants,estquela solution qu’ils déploient fonctionne et donne satisfaction aux utilisateurs. Ces déploiementssefontgénéralemententempscontraint,sibienquelesintégrateursne prennentpastoujoursletempsnécessairepouraffinerlesconfigurations.Deplus,ils n’ontpastoujourslescompétencespouroptimiserleparamétragedanslesensdela sécurité.

Ceciconduitsouventàcequelesplates-formesd’accèsdistantnesoientpastoujours biensécurisées.Iln’estpasraredeconstaterdesfaillesimportantesdanslasécuritéde cessolutions,tellesqu’ellessontdéployéesenentreprise:acceptationdeprotocolesde chiffrement faibles, authentifications faibles, versions logicielles vulnérables à des attaquesconnuesetpubliéessurInternet,manquementsgravesdanslagestiondesdroits, etc.

Unregardextérieurparunexperttechniques’imposedonc.Cetexamenpeutêtreassuré

soitviadesaudits,soitpardestestsd’intrusion.Lerecoursàdescabinetsdeconseil

spécialisésesticiindispensable.Lesconsultantschargésdevaliderlasolutiond’accès

distantfournirontaucommanditaireunrapportidentifianttouteslesvulnérabilitéset

proposantdesactionscorrectives.

Onpeutsedemandercequevientfairecettepartiepurementtechniquedanslasection décrivantlesactionsorganisationnelles.Cequijustifiecetinsertestquel’audittechnique ne suffit pas en soi pour sécuriser la solution. Il est capital de lancer des actions correctivesetpréventivespourprotégerl’accèsdistantenquestion.Lepilotagedeces actionsrelèveclairementdel’organisationnel.

Chapitre4

Journalisation

Personnenedoutequelesjournauxsoientl’outilleplusappropriépoursurveillerla sécurité du système d’information. Néanmoins, à l’heure de choisir ce qu’il faut journaliser,leRSSIal’embarrasduchoix.Ici,leproblèmen’estpasdesavoircequi peutêtrejournalisé,maisplutôtcequel’onsouhaitejournaliser,etpourquellesraisons. Une fois ces deux points clarifiés, il sera possible d’organiser la journalisation conformémentauxobjectifs.Cechapitreprésentel’approchequel’onpeutadopterpour faireensortequelesjournauxaidentvraimentàaméliorerlasécuritéopérationnelle.Un focusestfaitenfindechapitresurlebigdata,technologieappeléeàchangerladonne dansledomainedelajournalisation.

Usagesdelajournalisation

En raison de ses missions, le RSSI est régulièrement confronté à quatre besoins différents.

Détecter:parmilesmissionsduRSSI,unedesplusimportantesconsisteàdétecter

lesincidentsaussivitequepossible,carplusunincidentestdétectérapidement,plus

sesconséquencessontlimitées.Desdispositifstechniquesdedétections’imposent.

Enquêter:ilarriverégulièrementqu’uneenquêtesoitnécessairepourleverledoute

surunévénementsuspect.Seulement,pourenquêter,encorefaut-ildisposerdetraces.

Aussidestracestechniquessurlesactivitésclésdusystèmes’avèrentnécessaires.

Répondreauxexigenceslégales:enmargedesincidentsdesécurité,toutorganisme

publicouprivéesttenudemettreàladispositiondelajusticeuncertainnombre

d’informations.Desdispositionsdoiventimpérativementêtreprisesencesens,sous

peined’êtreeninfractionaveclaloi.

Revues:leRSSIestenchargedesuperviserlesrevuespériodiquessurlescompteset

surlesdroitsdesélémentslesplussensiblesduSI.Pourréalisercesrevues,ilest

nécessairededisposerdestracesdel’activitédesdifférentsutilisateursconcernés.

Lajournalisationrépondprécisémentàcesbesoins.Ellepeutêtreutiliséepourdétecter

entempsréeldesévénementssuspectsoubienpourenquêteraprèscoup.Ellepermet

aussiderépondreauxobligationslégales.

Laproblématiquedelajournalisation

Avantdemettreenœuvreuneinfrastructuredegestiondesjournaux,ilestimportantde

bienconnaîtrelesdifficultésliéesàlajournalisation,puisdeprépareruneapproche

cohérente.

Difficultéspropresauxjournaux

Lebesoindejournalisationesttelquelesfournisseursdesystèmesetleséditeursde logicielsontintégrépresquesystématiquementdansleursproduitsdesfonctionnalités permettant de journaliser tout type d’événement. Toutefois, cette situation qui, en principe,esttrèsfavorableauRSSI,n’estpassansluiposerquelquesdifficultés.

Multiplicité:chaquesystème,chaqueapplicationasespropresjournaux.Ilenexiste tellement qu’il arrive souvent qu’on ne sache plus ni où ils sont, ni ce qu’ils contiennent. Partialité:lesjournauxpermettentdeconsigneruncertainnombred’événements.Il peut s’agir des connexions, des déconnexions, des accès à des objets, des faits marquantsauniveaudulogicieloudusystème;bref,touteunefamilled’événements quin’intéressentpasforcémentleRSSI.L’informationutilesetrouvesouventnoyée dansunocéand’événementssansintérêt. Configuration:laconfigurationdesjournauxestsouventlaisséepardéfaut.Les paramètressontdoncceuxquiontétémisaumomentdel’installationduproduit. Souvent,ceparamétragen’estpassatisfaisant.Lapartitionréservéeauxjournaux n’estpasassezgrande,lapolitiquederafraîchissementfaitquelesjournauxlesplus ancienssontécrasésparlesnouveauxavecunefréquencetropélevée,etc. Répartition:commechaquesystème,chaquelogicielgèresespropresjournaux,le RSSIseretrouvetrèsrapidementfaceàunerépartitionmassivedesjournauxdans toutleSI,rendantquasimentimpossibleunegestioncohérented’ensemble. Protection:lesjournauxsontsouventlaissésàl’abandon,c’est-à-direquepersonne nelesconsultejamais.Deplus,onnefaitpasforcémentattentionàleursdroitsde lecture et de modification, si bien que souvent, il n’est pas très difficile de les consulteroudelesmodifier. Difficultéderapprochement:enfin,lorsque,suiteàunincident,leRSSIréussità consulterlesjournaux,ilaleplusgrandmalàlesrapprocherlesunsparrapportaux autres car la référence de temps n’est pas forcément la même pour chaque équipement.Unedérived’uneminuteentredifférentsjournauxsuffitàrendretrès péniblel’exercicedecorrélation.

Toutescesdifficultésontpourconséquencequ’unepersonnemalveillanten’asouvent

aucunmalàfalsifierlesjournauxafindecacherlestracesdesonforfaitetbrouillerainsi

lespistesdel’enquêteurquichercheraitàcomprendre.

Approchepourmaîtriserlesjournaux

Comptetenudecequivientd’êtreditplushaut,leRSSIdoitconsidérerlesjournaux

commeuneressourcebrutequinesert,ensoi,strictementàrien.Cetteressource,ildevra

latravaillerpourqu’ellelivrelesinformationsutilesqui,elles,permettrontd’identifier

lesévénementsdesécuritéintéressants.Pourmaîtriserlesjournaux,plusieursétapes

s’imposent.

Clarifier le besoin : la première chose à faire est de clarifier l’objectif de la journalisation. S’agit-il de détecter la première chose à faire est de clarifier l’objectif de la journalisation. S’agit-il de détecter les incidents ou, simplement, de tracer pour d’éventuelles enquêtes ultérieures ? La réponse à la question est souvent une compositiondesdeux.

Sélectionner les éléments à tracer : nous avons vu que les journaux sont si nombreuxqu’ilestutopiquedelessurveillertous.Maintenantquelebesoinaété nous avons vu que les journaux sont si nombreuxqu’ilestutopiquedelessurveillertous.Maintenantquelebesoinaété clairement spécifié, il est possible de sélectionner les sources correspondant précisémentaubesoinréel.Cepeutêtrelesjournauxdespare-feu,ceuxdesproxy HTTP,lesjournauxdesbasesdedonnéesoudesserveursHTTP,etc.Entoutcas,ilest prudentdenesélectionnerquelestrictnécessaire. Identifiercequel’onveuttracer:quelquesoitleurdomaine,lesjournauxont tendanceàconsigneruntrèsgrandnombred’éléments.Ilnefautpastomberdans l’erreur qui consiste à regarder le type d’éléments que propose le journal pour sélectionnerensuiteceuxquinousintéressent.Ilfautd’abordidentifiersoi-mêmece quel’onveuttracer,puisvérifierquelejournalconsignebienlestracesquel’on attend. Configureretmettreenforme:l’étapesuivanteconsisteàconfigurerunitairement chaque journal sélectionné comme source d’information afin qu’il consigne les élémentsvoulus.Unautrepointàconfigurerseralatailledesfichierscontenantles journaux,leurformatainsiquelapolitiquedecyclage(écrasementdesévénementsles plusanciens,écrasementtotaldufichier,archivageautomatiquedufichier).Ilsera aussi possible d’envoyer en temps réel les événements vers un serveur de centralisation.

Centraliser : si la centralisation n’est techniquement pas nécessaire, elle est souhaitable à plus d’un titre. Cette si la centralisation n’est techniquement pas nécessaire, elle est souhaitable à plus d’un titre. Cette centralisation nécessite l’installation d’un (ou plusieurs)serveurdestinéàcollecterlesjournaux.Laqualitédelaconfigurationdece serveuresttrèsimportante. Exploiter:lesmoyensd’analyse,plusoumoinsavancés,pourrontmaintenantêtre misenplace.Celapeutallerdusimplearchivagepourconsultationponctuelleen modetexte,audéploiementd’unSIEMnécessitantunepérioded’apprentissageet d’affinement.

Centralisationdesjournaux

Nousavonsvuqu’unedesétapespresqueincontournablesdelajournalisationconsisteà

centraliserlesjournauxdansuneouplusieursmachines.Cettecentralisationn’estpas

forcémentnécessaire,maiselleprésenteplusieursavantages.

Facilitéd’exploitation:lefaitquetouslesjournaux(oulaplupartd’entreeux)soient centraliséssurunseulsystèmepermetdelestraiterplusfacilement.Ondisposeainsi danslamêmemachinedetouslesjournaux,provenantdetouteslessources.Ilest doncpossibledelesfusionner,reformater,concaténer,filtrer,etc. Espacedisque:lefaitquelesjournauxsoientcentralisésdansunseulsystèmelibère mécaniquementdelaplacedanslesdisquesdesdifférentssystèmesfournisseursde journaux. Ce point est appréciable. Naturellement, cet avantage nécessite de bien calibrerl’espacedestockageduserveurquicentraliseralesjournaux. Sécurité:enfin,l’undesplusgrandsavantagesdelacentralisationestlasécuritécar, pourpeuqueleserveurcentralsoitbiensécurisé,trèspeudepersonnesaurontaccès aux journaux, pas même les administrateurs. De cette façon, une personne malveillanteauraleplusgrandmalàmasquersonpassage.

Lasimpleinstallationd’unemachinedecentralisationdesjournauxnesuffirapaspour

tirerprofitdecesavantages.Ilfaudraenpluspenseràlasupervisiondelamachine,àla

récupérationdesjournaux,àleurarchivage,àleurprotectionainsiqu’àleurtraitement;

bref,toutunprojetensoi.Voicilespointsqu’ilseraindispensabled’aborder.

Type de machine : la machine destinée à recevoir les journaux n’a pas à être particulièrement puissante. Il suffit la machine destinée à recevoir les journaux n’a pas à être particulièrement puissante. Il suffit qu’elle dispose de partitions bien taillées, par rapportaubesoinimportantdestockagequiseraprévisible.Onchoisitgénéralement une machine sous Linux, disposant des services minimaux pour récupérer les journaux.Onpeutéventuellementyinstallerdessystèmesd’analysedejournauxplus oumoinsévolués. Récupérationdesjournaux:selonletyped’équipementfournissantlesjournaux, leurrécupérationpeutseréalisersoitviaFTPouSSH,soitaufildel’eauparun protocoledelafamillesyslog.D’autresprotocolesplusspécialisésdanslesjournaux existent. Archivage:ilnefautpasoublierquelebutpremierd’unserveurdecentralisationdes journauxestprécisémentdelescentraliserpourlestraiter.Or,uneerreurcommune consisteàconsidérercettemachinecommeundispositifd’archivagedesjournaux. Ainsi,ilss’accumulentjusqu’àremplirl’espacedestockage.Enfait,laduréede rétentionnécessairedoitvarierenfonctiondujournaletdesvolumesgénérés.Hormis pourlesjournauxsoumisàdesobligationslégalesoucontractuelles,uneduréede rétentiondeplusieursmoisesttrèssouventacceptable.Cedélaiestuncompromis entrelebesoinderemonterdansletempspourenquêterdefaçonpertinenteetle besoind’économiedel’espacedestockage.

Protection : le serveur de journaux doit faire l’objet de mesures de protection le serveur de journaux doit faire l’objet de mesures de protection particulières,surtoutenmatièredecontrôled’accèsetdetraçabilité.Parsaraison

d’être,ceserveurdoitgarantirautantquepossiblequeseulesquelquespersonnessont autorisées à y accéder. Ainsi, outre les mesures de protection classiques de durcissementdusystème,ilconvientdeplacerceserveurdansunréseauisolé,bien filtré.Seulslespostesdetravailhabilitésàaccéderàcettemachinedoiventpouvoirla joindre.Deplus,lemotdepasserootnedoitêtreconnud’aucunadministrateur. Naturellement, les accès à cette machine doivent être nominatifs, tracés et non privilégiés.Lesmotsdepassedecescomptesdoiventêtredetrèsbonnequalité. Supervision:lapuissanceduserveurdejournauxarelativementpeud’importance (notonstoutefoisquepourlessolutionsàbasedebigdata,lapuissancedetraitement compte réellement). En revanche, il est essentiel de surveiller l’espace disque disponibledeceserveur.Superviserceparamètreestimportant. Synchronisation des horloges : il peut paraître trivial de rappeler que tous les systèmesfournissantdesjournauxdoiventêtresynchronisés.Pourtant,l’expérience montrequelesserveursnesontpastoujourstouscaléssurlamêmeréférencede temps.Celaestdûaufaitquetousleséquipementsnesontpasinstallésparlesmêmes équipes.Certainesconfigurentavecsoinlasynchronisationhoraire,alorsqued’autres l’ignorentcomplétement,sibienquel’adresseduserveurNTPn’estpastoujours correctementrenseignée.Ilestdoncprudentdevérifiercepointsurchaquesystème concerné. Traitementdejournaux:lesformatsdefichiersétanttrèsnombreux,ilestsouvent nécessairededévelopperdesscriptspourlesconsolideravecd’autresjournaux.Ce travailpeutaussiêtrefaitpardesagentsspécifiquesdestinésàceteffet.

Unefoisenplace,lamiseenroutedel’analysedejournauxseferaprogressivement.On commenceraparrécupérerunseuljournal,parexemplelejournalduproxyHTTP.Cela permettradevaliderl’envoidujournalversleserveurdelogs,sontraitementpuisson archivage,ainsiqueleséventuelsscripts(ouagents)deconversiondeformat.L’équipe duRSSIpourraainsi«sefairelamain»surlesprocédurestechniquesdeconsultationet d’analyse.Lorsqueleprocessusserastabilisé,ildeviendrapossibled’yjoindreunautre type de journal, par exemple celui des accès aux bases de données centrales. Les procéduresserontalorsadaptéesàcejournal.Lesautresjournauxpourrontêtreajoutés progressivement,aufuretàmesuredel’intégrationsatisfaisantedesprécédents.

progressivement,aufuretàmesuredel’intégrationsatisfaisantedesprécédents.

Quesurveiller?

Quelesjournauxsoientconçuspourunedétectionrapidedesincidents(presqueen tempsréel)oupouruneanalyseaposteriori,ilestimportantdeprendreletempsde définir précisément ce que l’on veut surveiller. Généralement, on se centre sur la surveillancedestentativesd’attaque.Nousverronscependantqu’ilpeutêtreencoreplus intéressantdesurveillerlesactesdemalveillanceavérés.Nousproposonsicideuxaxes d’événementsàtracer.D’abordlesincongruitésdanslesconnexions,puislasurveillance desfluxsortants.

Traquerlesincongruités

Pourdétecterlesattaquessurlesystèmed’information,onatendanceàjournaliserles tentatives échouées de connexion au réseau, au domaine, aux applications ou aux systèmes.Eneffet,ilesttrèsfréquentquelesattaquantslancentdesautomatesessayant deseconnecterauxdifférentsdispositifsduSIententantlesmotsdepasselesplus fréquents.Parlatechniqueutilisée,cesattaquesgénèrentbeaucoupdetracesavantde réussir.Ainsi,toutsystèmesurveillantcestentativeséchouéesdétecterarapidementles attaquesdecegenre.Letraçagedecesévénementsestdoncimportant.

S’ilestpertinentdetracerleséchecsdeconnexionauxsystèmes,ilestencoreplus

intéressantdetracerlesconnexionsavecsuccès.Celapeutparaîtresurprenantaupremier

abord.Pourtant,c’estbienenjournalisantlesconnexionsavecsuccèsqu’ondétecterale

plusd’actionsmalveillantes.Voicitroisillustrationsconcrètes.

Connexionssimultanées:lajournalisationdesconnexionspermetderévélerdes connexionssimultanéesauSIdepuisdesadressesIPdifférentes.Parexemple,siles journauxmontrentqu’unepersonnes’estauthentifiéeaudomaineADàlafoisdepuis le réseau interne et depuis l’extérieur, cela dénote certainement un événement de sécurité.Untelévénementjustifieuneenquêtecomplémentaire. Connexionsdepuisl’étranger:unautreévénementquelesjournauxpeuventmettre enévidenceestlaconnexionauxsystèmesdepuisuneadresseIPcorrespondantàune localisationàl’étranger.Certes,certainessociétéssontimplantéesàl’internationalet iln’estpasétonnantdanscescasd’avoirdesconnexionsprovenantdel’étranger,mais cen’estpaslecasdetouteslesentreprises.Est-ilnormalqu’unePMEimplantée uniquement en France, avec des partenaires uniquement français présente des connexionsprovenantdel’étranger? Connexions aux heures inhabituelles : un dernier point intéressant à tracer est l’heuredesconnexions.Lefaitqu’unepersonneaccèdeauxsystèmesenpleinmilieu de la nuit justifie des vérifications complémentaires. Il s’agit très souvent de personnestravaillantàlivrerunprojetouàcorrigerunproblèmedeproduction.Ce peutaussiêtredupersonneld’astreinte.Celapeutaussiêtreunactedemalveillance. Danstouslescas,unevérificationestloind’êtreinutile.

Danstouslescas,unevérificationestloind’êtreinutile. Surveillerlesfluxsortants

Surveillerlesfluxsortants

Ilpeutparaîtreétonnantdechercheràtraquerlesfluxsortantspuisqu’aprèstout,pour exfiltrer des données de l’entreprise, il faut d’abord commencer par y entrer. Une surveillancedesfluxentrantsseraitdoncpluslogique.C’estvraidansl’absolu.Pourtant, surveillerlesfluxentrantsnepermetderepérerquelestentativesd’intrusionsurle système,cequiestdéjàutile.Ilestencoreplusutilederepérerlesintrusionsréelles, c’est-à-direcellesquiontréussi.Etlameilleurefaçondelefaireconsisteàsurveillerles flux sortants, puisque c’est par ces flux que les attaquants cherchent à exfiltrer les données.

La façon la plus classique d’exfiltrer des données ou de passer discrètement des commandes à distance consiste à prendre le contrôle d’une machine en interne (par exemple,enpiégeantunepagewebouunfichierPDF),puisdemonteruntunnelsortant versl’extérieur.

Commentdétecterdetelstunnels?Lesdeuxexemplessuivantssoulignentlescasles

plusfacilesàdétecter.

Premiercas:siuneoudeuxmachinesconcentrentàellesseulesl’essentieldesflux sortantsenHTTPouHTTPS,c’estquedesdonnéessontmassivementexportéesvers l’extérieur.Cen’estpasensoilapreuved’unactedemalveillance,maislaprobabilité quecesmachinessoientdestêtesdetunnelcontrôléespardespersonnesmalveillantes n’estpasnulle.Uneenquêtesupplémentaires’impose. Secondcas:ilpeutarriverqu’unnombreconséquentdepostesdetravail(voiredes serveurs)commencentàcommuniquerversdesserveursweboudesmachinesn’ayant aucunrapportavecuneactivitélicite,professionnelleounon.Unsystèmeanalysant les journaux et détectant ce comportement générera légitimement une alerte, qui motiveraaussiuneenquêtecomplémentaire.

Pour l’essentiel, les tunnels sortants se glissent dans les flux HTTP ou HTTPS. Cependant,toutprotocoleautoriséàsortirversl’extérieurduSIpeutêtrevictimed’un tunnel.C’estnotammentlecasduDNS,carceprotocoleestlargementautoriséàsortiret lesfluxqu’ilgénèrenesontquasimentjamaissurveillés.

Ladétectiondecetyped’attaquereposesuruneanalysestatistiquedescomportementset

surladétectiondeschangementsbrusquesdecescomportements.Unprocessusmanuel

oubasésurdesscriptsartisanauxatteindratrèsviteseslimites.Desoutilsappropriéssont

nécessaires.

Il faut signaler que les cas qui viennent d’être exposés sont les plus « bruyants ». Aujourd’hui,lesattaquantsontmisaupointdestechniquesd’exfiltrationdedonnées beaucoupplusfurtives,endistribuantetrépartissantdansletempslestransfertssortants afindenepassefaireremarquerpardesoutilsd’analysestatistique.Uneveillesurles techniquesd’attaqueestdoncnécessaire.

Principauxfournisseursdejournaux

Lessourcesdejournauxsontnombreuses,chaquecasestparticulieretlesusagesainsi

quelesévénementsrecherchésdiffèrentd’uneentrepriseàl’autre.Pourtant,certains

systèmesetéquipementssontdesfournisseursincontournablesdejournaux.Nousallons

lespasserenrevue.

Lesjournauxdespare-feusontunesourcetrèsimportanted’enregistrementsrelatifsàla sécurité.Trèssouvent,ceséquipementssontconfiguréspourtracerl’intégralitédesflux les traversant. Aussi ces journaux sont-ils extrêmement volumineux ; ce volume est incompatibleavecunstockagesurplusieursmoisetuneanalyseefficace.Ilestpertinent delimiterlenombredetraces.Est-ilréellementnécessairedejournalisertouslesflux verstouteslesDMZ?Aprèsuneanalysedesflux,ilestgénéralementsuffisantdese contenterdetracerlesfluxversquelquessegmentsduréseaustratégiquesetquelques éléments clés de l’infrastructure. Les flux correspondant à ces règles pourront être envoyésauserveurdejournalisation.

L’activitédu(oudes)proxyHTTPestimportanteàjournaliser,neserait-cequepourdes raisons réglementaires. En effet, en tant que fournisseur d’accès à Internet pour ses employés,l’entrepriseestconsidéréecommeunopérateur.Elleestdonctenued’archiver pendantunanlestracesdecesaccès.Encasderequêtejudiciaire,elledoitprésenterles éléments demandés à la justice. L’impossibilité de fournir ces éléments est un manquementgraveauxobligationslégales.Enconséquence,lesjournauxHTTPdoivent êtreprotégéscontrelesaccèsillicites,d’autantplusqu’ilsconsignentdesdonnéesà caractèrepersonnel(identifiantouadresseIPdesutilisateurs).Outrecetaspectlégal,les journaux du proxy contribuent à détecter des comportements suspects (utilisateurs malveillants,virus,tunnelsortant,etc.).

Comme les bases de données sont dépositaires du patrimoine informationnel de l’entreprise,leuractivitéestintéressanteàjournaliser.Cependant,cetteactivitéesttelle quecelaconduittropsouventàtracertropd’événements.Pourlimiterlevolumedes journaux, on pourra se focaliser uniquement sur le traçage des actions des administrateurs.D’ailleurs,lescommissairesauxcomptes(ainsiquelesauditeursSOX) exercentunefortepressionsurlesDSIpourquecesdernierstracentaumoinslesaccès desadministrateursauxbasesdedonnées.

Les applications métier sont aussi une source intéressante de journaux. Malheureusement,leursjournauxneconsignentpastoujourstouslesélémentsquel’on souhaiteraitobtenir:unidentifiantdelapersonneaccédantàl’application,sonadresse IP,ladateetl’heure,etc.

Qu’elles aient été développées spécifiquement pour l’entreprise ou qu’il s’agisse de progiciels,cesapplicationsmétierdoiventsouventêtreadaptéespourtenircomptedeces élémentssouhaitésparleRSSI.Cedernierdevraserapprocherdesétudespourfaire correspondrelesjournauxàsesbesoins.

Commenttraiterlesjournaux?

La façon de traiter les journaux varie beaucoup selon la complexité du SI et les appétencestechniquesdeséquipesquilesgèrent.Certainesadoptentuneapprochetrès empiriquealorsqued’autrestendentversdessolutionsdeniveauindustriel.Nousallons passerenrevuequatredecesapproches.

Laméthodeartisanale

La première approche pour traiter les journaux peut être appelée la « méthode artisanale».Latentationestgrandededéveloppersoi-mêmedesscriptspourtraiterles journauxafinderepérerlesévénementsciblésévoquésprécédemment.Lesscriptsshell, awkouautresprogrammesperlontuneflexibilitéinfinie.Leséquipesdesécuritéayant uneappétencetechniquedévelopperontsansdifficultédetelsscripts.Cetteapproche présentedeuxavantages.

Maîtriseenprofondeur:l’approcheartisanaleestenprincipelameilleure,puisque l’équipedesécuritémaîtrisedeboutenboutleprocessusd’analysedesjournauxetde détectiondesincidents.Eneffet,ellesaittrèsprécisémentcequ’elleveutdétecteret commentlefaire.

Coût : comme les développements sont souvent réalisés en interne et presque exclusivement à base d’outils open comme les développements sont souvent réalisés en interne et presque exclusivement à base d’outils open source, le coût strictement financier de cette solutionestimbattable,surtoutsionnetientpascomptedutempspassé(etdoncdu salaireversé)àdévelopperlesoutils.Iln’estdoncpasnécessaired’avoirunbudget pouranalyserlesscripts,pourpeuqu’onaitdutempsàyconsacrer.

Malheureusement,cetavantageesttempéréparlestroisinconvénientssuivants.

Temps:l’inconvénientmajeurdecetteapprocheestquelestempsdedéveloppement et d’affinement des scripts explosent très rapidement, occupant les équipes à développerettester,audétrimentd’autrestâchestoutaussiimportantes,sicen’est plus. Évolutivitédifficile:commelesscriptssontdéveloppéssurmesure,ilestnécessaire delesretesterdèsqu’unemodificationsurvientdanslastructuredesjournaux.De plus,l’intégrationdenouveauxjournauxobligeàdévelopperdenouveauxscripts. Cettesituationn’estpastenableàlongterme.

Horaires : enfin, une fois les scripts en production, les équipes de sécurité ont enfin, une fois les scripts en production, les équipes de sécurité ont tendanceànepassurveillersystématiquementlesjournaux.D’ailleurs,leshorairesde surveillance se limitent souvent aux heures ouvrables. Qu’en est-il des incidents repérésendehorsdecesplageshoraires?

Nouspouvonsconclurequecettedémarcheartisanaleestappropriéelorsquelesjournaux

àanalysersontpeunombreux.Enrevanche,lorsqueceux-cisemultiplient,uneautre

approches’avèrenécessaire.

LesSIEM

Constatantleslimitesdesméthodesartisanalespourdétecterlesévénements,leséditeurs ontdéveloppédessolutionsspécialisées.Ellessontbaséessurdesagentsquis’occupent de charger, convertir, uniformiser, corréler et interpréter les journaux provenant de sourceshétéroclites.

Terminologie

SIEMestl’acronymeanglo-saxondeSecurityInformationandEventManagement.

LessolutionsdeSIEMprésententlesavantagessuivants.

Progicieldédié:commeils’agitdesolutionsdédiéesàl’étudedesjournaux,elles présententdesfonctionsparfaitementadaptées.Iln’estpasnécessairededévelopper soi-mêmedesscripts. Évolutivité:cetoutilestconçupours’adapteràtouttypedejournal,reconnaissantde nombreuxformatsdefichiers.L’intégrationdenouveauxjournauxestdoncbeaucoup plussimplequepourl’approcheartisanale. Fonctionnalités:enplusdesfonctionsd’agrégationdejournaux,decorrélationet d’alerte, les SIEM fournissent des fonctionnalités complémentaires, telles que les tableauxdebordetdesrapportsdeconformité.

Malgrécesqualités,lesSIEMcomportentégalementquelquesinconvénients.Voiciles

principaux.

Périoded’adaptation:mêmesilesSIEMsontconçuspourlireplusieursformatsde

journauxetpourcorrélerlesévénements,celanedispensepasl’organismequilemet

enplacedepasseruntempsimportantàaffinerleréglagedel’outilavantdelepasser

réellementenproduction.

Horaires:toutcommepourladémarcheartisanale,unSIEMestpeuutilesiles

alertesqu’ilgénèrenesontsurveilléesqu’auxheuresouvrables.

NousvoyonsbienquelesSIEMapportentunplusparrapportàl’approcheartisanale,

maisunpassupplémentairedanslamaturitédelagestiondejournauxpeutencoreêtre

fait.

LesSOC

Aujourd’hui,lebesoinn’estplusseulementd’exploiterlesjournauxexistants,ilestaussi d’en intégrer régulièrement de nouveaux, au rythme des évolutions du système d’information.Or,lesdeuxapprochesprécédentespeinentàsuivrelacadence.

Parailleurs,lesentreprisescommencentenfinàcomprendrequepourlimiterl’impact desattaques,ilfautsavoirlesdétecterrapidement,quelsquesoientlejouretl’heurede l’événement.CetteexigenceestparfaitementincompatibleavecunSIEMexploitéen interne aux seules heures ouvrables, et encore plus incompatible avec l’approche artisanale.

CesdeuxconstatsnousconduisentlogiquementverslesSOC.

SOC est l’acronyme de SecurityOperationCenter. Il désigne le centre de supervision de la sécurité,

chargédedétecterlesincidents24heuressur24et7jourssur7.Cescentressontdeplusenplus

souventgéréspardesprestatairesdeservicespécialisés.

Les SOC apportent une dimension industrielle aux SIEM précédemment exposés. Attention,lesSOCdépassentstrictosensuledomainequinousintéresseici,carilsnese limitentpasàlaseuleanalysedesjournaux.Ilscouvrentaussiladétection/prévention d’intrusion,lesalertesviralesetbiend’autresparamètresdesécurité.

Longtempsréservésàunmarchédeniche,lesSOCconnaissentaujourd’huiunsuccès

grandissant,principalementdûauxavantagessuivants.

Industrialisation:commecelavientd’êtredit,lesSOCapportentunedimension industrielleàlasurveillancedesjournaux. Évolutivité:leSOCétantunprestatairespécialisé,l’intégrationdenouvellessources dedonnéesetl’adaptationpermanentedesévénementsàciblerfaitpartieintégrante desesprocessusd’exploitation.

Réactivité:enfin,dufaitdeleurorganisationenmode«24/7»,lesSOCpermettent

deréagirauplusviteauxincidents,quelsquesoientl’heureetlejourdesévénements.

Silesavantagessontcertains,ilnefautpasenoublierpourautantcertainsinconvénients

nonnégligeables.

Coût: cette solution est clairement la plus chère puisqu’elle revient à payer un service.Dansl’étatactueldumarché,ceserviceestconsidéréàfortevaleurajoutée.Il n’estdoncpasbonmarché. Pertedemaîtrise:àl’opposédelasolutionartisanale,leclientduSOCatendanceà déléguer le savoir-faire en matière d’analyse de journaux. Si cette situation est parfaitementacceptableàuncertainniveau,ellenedoittoutefoispasconduireàune délégationtotaledusavoir-faire. Qualitéduservice:commetoutservice,leSOCdoitêtrecontrôléafindevérifierla pertinence et l’effectivité des procédures d’analyse des journaux. Des audits du prestatairepeuventêtrecommandités.Onpeutaussiréaliserdesexercicesengénérant desfaussesalertesafindes’assurerdelaréactivitéduSOC.

LesSOCpeuventêtremisenplaceavecdesressourcesexclusivementinternes.C’estle casdecertainessociétésimplantéesdansplusieurspays.Danscecas,leséquipessont répartiessurplusieurspointsdelaplanèteetserelayentdanslasurveillanceduSIafinde

couvrirlasécurité24heuressur24.

D’autresgrandesstructures,ainsiquelesorganismesplusmodestes,onttendanceàsous-

traitercetteactivitéàunspécialiste.

Danstouslescas,lamiseenplaced’unSOCestprogressiveetnécessiteuntempsavant

demonterenpuissance.

demonterenpuissance. Lebigdata

Lebigdata

Touteslesdémarchesprésentéesjusqu’icisont,sommetoute,trèstraditionnelles.Ils’agit d’identifier les journaux, de spécifier leur format et de développer des outils, soit

artisanaux,soitdumarché,pouranalyserdescasdefigureprédéfinis.Cetteapproche buttesurdeuxlimites.Lapremièreestquelestempsd’analysesontsouventtrèslongs.Il

fautdelonguesminutes,voiredesheurespouranalyserunfichierde40Go.Laseconde

estquesilesjournauxsontrelativementbientraitéspourleséquipementsréseauetles

systèmes,ilssontnettementmoinsmaîtrisésauniveauapplicatif.Chaquedéveloppeur

génèredesjournauxavecdesformatsdifférents,cequifaitdutravaildecorrélationune

tâchepresqueimpossibleàgrandeéchelle.

Unenouvelleapprocheradicalementdifférentepourlagestiondesjournauxavulejour cesdernièresannées.Ils’agitdubigdata.Aprèsunelonguepériodedegestation,le service commence à devenir mature, avec des offres de conseil intéressantes et des éditeursspécialisés.OncommencemêmeàvoirdesRSSItémoigneravecsatisfactionde leurretourd’expériencesurlebigdata.

L’intérêtdubigdataestqu’ilmobilisedestechnologiesetdesprotocolespermettantle

stockagesécuriséetdistribuépourdegrandesquantitésdedonnées.Lesperformances

sontoptimiséesparladistributionducalcul.Desoutilsdetraitementspécifiqueontété

développés,tantpourlesanalysesenbatchquepourlesanalysesentempsréel.

Leplusdubigdataestsacapacitédetraitertrèsrapidementdegrandsvolumesde données. Par sa conception, l’effort de typage et de structuration des journaux est nettementmoindrequepourlesapprochestraditionnelles.Celaapourconséquenceque lessolutionsbaséessurlebigdatasontcapablesd’analyserdefaçonpertinentedes journaux de formats très variés. Ainsi, il devient enfin possible de surveiller non seulementl’activitéauniveausystèmeouréseau,maisaussiauniveaudesapplications.

Les solutions de sécurité basées sur le big data proposent par ailleurs des bases de signaturesd’attaques.Ainsi,ellessaventrepérer(quelquesoitlejournal)lesadressesIP suspectes,lesURLmalveillantesetautressignaturesdecomportementssuspects.Ces outilssaventdoncétablirdescorrélationsimpossiblesàfaireautrementetconduisentà détecternotammentlestunnelssortants.

NotonsenfinuneffetsecondairetoutàfaitutileauRSSI.Bienquelesoutilsd’IAM

évoquésdanslechapitresurlagestiondesidentitéssoientefficaces,ilsneparviennent

pasàdire,entempsréel,quiavraimentaccèsàquelleinformation.Parleurconception,

lesoutilsdebigdatas’enchargenttrèsbien.

Touscesargumentslaissentàpenserqueledomainedelagestiondesjournauxva

massivementmigrerverscettetechnologie.LeRSSIatoutintérêtàsetenirinformédes

évolutionsdansledomaine.

Remarque

Uneprocéduredegestiondesjournauxestfournieàtitred’exempleenannexedecetouvrage.

Chapitre5

Motsdepasse

Pirateruncompteestlemoyenidéaldecompromettrelesystèmed’information,surtout sicecompteadesprivilègesparticuliers.Lescomptessontdoncdesciblesdechoixet lesmotsdepasseformentlapremièrelignededéfense.Delaqualitédecesderniers dépend la résistance du SI aux attaques. C’est donc logiquement que le RSSI s’appliquera à durcir les mots de passe autant que possible. Toutefois, derrière l’apparentesimplicitédecetteintroductionsecacheunevariétédecasquecechapitreva détailler.

Différentstypesdecomptes

Lesmotsdepasseserventàcontrôlerl’accèsauxcomptesenauthentifiantl’utilisateur. Renforcer les mots de passe commence donc par identifier les différents types de comptes.Lafaçondesécuriserlesmotsdepasseneserapaslamêmepourlescomptes applicatifsquepourlescomptesd’administration.

Cette partie explique, pour chaque type de compte, ce qui peut être réalisé pour le sécuriser.

Comptesapplicatifs

Pour des raisons de simplicité, les DSI font tous pression pour que la gestion des authentificationssoitcentraliséeautantquepossible.Cetteciblen’estmalheureusement jamaisatteintecarlesapplicationsontplusieursmanièresd’authentifierleursutilisateurs. Nousprésentonsci-aprèslescaslesplusclassiques.

Applicationsutilisantl’annuaireAD:dansundomaineWindows,toututilisateur doits’authentifierauprèsd’unannuaireActiveDirectory.Cetannuairecontrôletous lescomptesayantbesoind’accéderàdesressourcesdudomaine.Undesservices fournisparlescontrôleursdedomaineestdepermettreauxapplicationsderéaliser leursauthentificationsdefaçontransparentepourl’utilisateur(c’estlafonctionnalité appeléecommunément«SSOWindows»).Ainsi,unutilisateurs’étantauthentifié initialementdansledomaineendébutdejournéen’auraplusàsaisirsonidentifiantni sonmotdepasselorsqu’ilsollicitelesapplicationsquiutilisentleSSOWindows.Le seulmotdepasseàsécuriserestceluiquel’utilisateursaisitpourseconnecterle matin.Or,cemotdepassedoitrespecterlescontraintesimposéesparlaGPOdu domaine;c’estdonctoutsimplementàceniveauqu’ilfautintervenir.

Applications utilisant un autre annuaire : on peut souhaiter se passer de ce mécanisme de « SSO Windows » pour des on peut souhaiter se passer de ce mécanisme de « SSO Windows » pour des raisons techniques ou d’urbanisme applicatif,toutengardantlesavantagesd’unannuairecentralisé.Danscecas,ilest possibled’installerunannuaire,généralementdetypeLDAP.Deuxcassontalors possibles : soit l’annuaire assure lui-même l’authentification, en demandant à l’utilisateurdes’authentifier,soitilfaitsuivrelademandeaucontrôleurdedomaine. Danscederniercas,ilsertd’intermédiaire.Lessolutionsàbased’annuairepermettent degérerdefaçonhomogèneetefficacelescomptesetlesmotsdepasse.

Applications gérant leur propre base : malheureusement, certaines vieilles applicationsmaison,ainsiquequelquesprogicielsmaldéveloppés,n’offrentpasla malheureusement, certaines vieilles applicationsmaison,ainsiquequelquesprogicielsmaldéveloppés,n’offrentpasla possibilitédedéporterl’authentificationsurunannuaireADouLDAP.Ellesdisposent deleurproprebasedecomptes,entièrementgéréeeninterne,sansaucuneliaison possible avec les référentiels centralisés. Dans ce cas, la gestion des comptes, et notammentdesmotsdepasse,estlocale.C’estdoncauniveaudecesapplicationsque serèglelapolitiquedemotsdepasse.LeRSSIdevravérifier,pourchaqueapplication decetype,quelapolitiquedemotsdepasseestconformeàcelledel’entreprise. Autrescas:certainessociétésconfrontéesaucasprécédent(applicationgéranten

locallescomptesetlesmotsdepasse)rusentpourcontournercettelimitation.Elles exportentpériodiquementlescomptesdel’annuairepourlesintégrerensuitedansles basesdesprogiciels,viadesscriptsoudesprocéduresstockées.Decettefaçon,les progiciels disposent des mêmes comptes que les annuaires. Cette solution a l’inconvénientmajeurqu’ellenécessitedestockerlesmotsdepassesoitenclair,soit de façon réversible, ce qui revient au même. En effet, l’algorithme utilisé par l’annuaire pour générer l’empreinte n’est pas forcément le même que celui de l’application.Ici,letravailduRSSIconsisteàéradiquercettepratiqueextrêmement dangereuse. Pour corriger cette situation, le RSSI doit souvent faire pression sur l’éditeurdelasolution,oufairedévelopperunealternativequiévitederecouriraux motsdepasseréversibles.Toutcelaprenddutemps.

Comptestechniques

Lescomptesd’administrationsontdescomptesnonnominatifs,présentsdanstousles

systèmes,quel’onnepeutgénéralementnisupprimer,nimodifier.Commeilsdisposent

desdroitslesplusélevés,laqualitédesmotsdepasselesprotégeantestvitale.Pourtant,

onrencontretrèssouventlesmêmeserreursgrossières.

Mot de passe par défaut : trop souvent, les mots de passe des comptes d’administrationdeséquipementsoudessystèmessontlaissésavecleurvaleurpar défautaumomentdeleurinstallation.Or,cesmotsdepassesontconnusetpubliéssur Internet.Ilnefautpasplusdequelquesminutesderecherchepourlesobtenir. Motdepassetrivial:uneautreerreurcouranteestlerecoursàdesmotsdepasse triviaux tels que password, 12345 ou secret. Là encore, des outils très simples disponiblesgratuitementsurInternetpermettentdetesterautomatiquementsurune cibletouslesmotsdepassetriviaux.Lepourcentagedesuccèsetlavitessedeces attaquesestspectaculaire. Motdepasseunique:cettepratiqueconsisteàchoisirtoujourslemêmemotde passesurlecompted’administrationdechaquesystème.Ainsi,lesadministrateurs n’ontqu’unseulmotdepasseàretenir.Malheureusement,sicederniervientàêtre découvert,l’attaquantauraluiaussiaccèsàtouslesserveurs. Motdepassetrivialetunique:cettesituationconsisteàcumulerlesdeuxpoints précédents,c’est-à-direl’usagegénéralisésurtouslessystèmesdumêmemotde passetrivial.

L’objectifduRSSIserad’éradiquercespratiquesenimposantunepolitiquedemotsde passelongs,complexesetvariés.Pourréussir,ilfautvérifiertouslessystèmes(dumoins lesplussensibles).Or,l’expériencemontrequel’onoubliesouventcertainséquipements. Voici les systèmes les plus importants dont il faut durcir le mot de passe d’administration.

Comptesd’administrationsystème:lespremierscomptesauxquelsonpensesont ceux qui permettent d’administrer les serveurs, quels que soient les systèmes d’exploitation.ToutsystèmeWindowsauncomptelocald’administration;quantaux serveursUnix,ilsonttousuncompteroot. Comptesd’administrationdesbasesdedonnées:unautretypedecomptequel’on

serveursUnix,ilsonttousuncompte root . Comptesd’administrationdesbasesdedonnées: unautretypedecomptequel’on

oubliesouventestceluiquipermetd’administrerlesbasesdedonnées.

Comptesd’infrastructureréseau:auniveauduréseau,ilconvientdecontrôlerla

qualitédesmotsdepassedesprincipauxcommutateursdel’entreprise,notammentles

cœursderéseau.Lespare-feudoiventaussiêtrevérifiés,ainsiquelesrouteurslesplus

importants.

Comptesd’administrationmiddleware:ilestpluscourantd’oublierd’identifierles

comptespermettantd’administrerleparamétragedesserveursapplicatifs,desserveurs

d’intermédiation(ESB,ETL,EAI,etc.)etdetouslesautresdispositifsàchevalentre

lesystèmeetlesapplications.C’estsouventenexploitantlesfaiblessesdecesmotsde

passequelespiratesfontleplusdedégâts.

Autrescomptesd’infrastructure:onoublietropsouventdetraiterlesmotsdepasse

desélémentsclésdel’infrastructurecommeleshyperviseursdesmachinesvirtuelles,

lescontrôleursdedisquesoulesrépartiteursdecharge.Pourtant,négligerdedurcir

lesmotsdepassed’administrationdecescomptesrendleSIextrêmementvulnérable

auxactesdemalveillance.

Illustration

Ilarrivedetrouverdessystèmesd’informationmassivementvirtualisés,ayantrenforcélesmotsdepasse

descomptesd’administrationdetouslesserveurs,maisayantcomplètementomisdechangerlemotde

passetrivialdeshyperviseurspermettantdecontrôlertouteslesmachinesvirtuelles.

Si ce travail semble assez simple, on constate que sans un pilotage très actif, la sécurisationdescomptesaunetendancenaturelleàs’étalerdansletempspuisàperdre del’élan.Ilestvivementconseillédetracerchaquechangementdemotdepasseparun ticketetdefaireunpointhebdomadairedel’avancementduprojet.

Qualitédesmotsdepasse

Dans la section précédente, nous avons évoqué à plusieurs reprises la notion de

«durcissement»dumotdepasseetde«politiquedemotsdepasse».Qu’entendons-

nousparlà?Nousallonsleprécisericiavantd’évoquerlaréelledifficultéàsécuriserles

motsdepasse.

Généralités

Leterme«politiquedemotsdepasse»désigneunpeupompeusementlesrèglesdebase

quelesmotsdepassedoiventrespecter.«Durcir»unmotdepasse,c’estluiappliquer

cesrègles.Leparamétragedecesrèglesestplussouventbasésurunusagegénéraliséet

accepté,plutôtquesuruneréflexionpréciseausujetducontexteréeldanslequelces

motsdepasseserontutilisés.Voicilesprincipalesrèglesconstatées.

Complexité:lalongueurminimalegénéralementacceptéepourunmotdepasse utilisateurestdehuitcaractères.Ildoitcombinerdeschiffres,deslettresmajuscules, deslettresminuscules,voiredescaractèresspéciaux.Ilestconvenuquelalongueur du mot de passe soit plus longue pour les comptes donnant accès à des droits d’administration. Verrouillage:unefonctionnalitépeutbloquerlecompteauboutden tentatives infructueuses.Lebutestd’éviterlesattaquesinteractivespardesautomates.Lavaleur généralementadmiseestentretroisetcinqtentativesavantleblocage.Encasde verrouillage,cedernierpeutdurerentrecinqminutesetunquartd’heure. Historique:certainssystèmesempêchentdechoisirunmotdepassedéjàutilisépar le passé. Le nombre d’anciens mots de passe mémorisés (et donc impossibles à réutiliser)estsouventcomprisentretroisetdix. Duréedevie:l’usageveutquelesmotsdepassesoientrenouvelésrégulièrement.

Leurduréedeviemaximaleestgénéralementde90jours.Certainssystèmesimposent

mêmeuneduréedevieminimaledanslebutd’éviterquelesutilisateurschangent successivement leurs mots de passe jusqu’à récupérer celui qu’ils utilisent habituellement.

L’impossiblesécurisationdesmotsdepasse

LesparamètresprésentésprécédemmentsonttellementadmisqueleRSSIneprendra aucun risque en les appliquant dans son SI. Les différents auditeurs SOX et autres commissaires aux comptes qui viendront le contrôler n’y verront rien à redire. Ils encouragentmêmetrèsofficiellementleursauditésàappliquercettepolitique.Pourtant, l’expériencesuivantedevraitdonneràréfléchir.

Expérience

UnRSSI,décidéàtesterlaqualitéréelledesmotsdepassechoisisparsescollaborateurs,extraitlabase

d’empreintesducontrôleurdedomaineetluiappliqueunprogrammedecassagedemotsdepasse.Il

s’agitdeJohntheripper,undesoutilslesplusanciensetlesplusutiliséspourcettetâche.Voiciunextrait

durésultatobtenu:

C :\home\sorel\John\>john --rules --wordlist=Dictionnaire-Francais.txt Extraction-AD.txt Loaded 2323 password hashes […] Bonjour1 (sorel) Charlotte123 (frollot) Gandalf9 (aleman) Tenis444 (boulangeon) […]

Quellesleçonspouvons-noustirerdecetexemple?Lapremièreestqu’uneproportion

trèsélevéed’utilisateurssefontcasserleurmotdepassetrèsfacilementparlesoutils

spécialisés.C’estlecasnotammentdesutilisateursconstruisantleurmotdepasseen

composantunnom(qu’ils’agissed’unnomcommunouunnompropre)etdeschiffres.

Lasecondeleçonàtirerdecetexempleestque100%desmotsdepassedécouverts

respectent scrupuleusement les règles de complexité si généralement reconnues et si chèresauxmauvaisauditeursdesécurité.

Anecdote

Un RSSI a rapporté qu’un jour, à l’occasion d’un audit SOX, l’auditeur avait failli lui notifier une non- conformitémajeure,auprétextequeleRSSIavaitcontrôlélaqualitédesmotsdepassed’uneapplication financière par le moyen d’un outil de cassage. Or, cette démarche n’était ni connue de l’auditeur, ni répertoriéedanssonguided’audit.LorsqueleRSSIluieutsignaléquetouslesmotsdepassetombés lorsdecetestrespectaientscrupuleusementlapolitiquepréconiséeparlecabinetdel’auditeur,cedernier préféralâcherprise,depeurd’uneescaladequimettraitenévidencesonincompétencetechnique.

Enfait,respecterlesrèglescommunémentadmisesnesuffitpas.Lesmotsdepasse doivent être plus complexes que cela. Sur les systèmes Windows, cette nécessité s’explique pour des raisons techniques et historiques. La plus ancienne méthode de stockage des mots de passe sur Windows (appelée empreinte LM) consistait à ne considérerquelesquatorzepremierscaractères.Lessuivantsétaientignorés.Tousles caractèresétaientensuitepassésenmajuscules.Enfin,lemotdepasseétaittronquéen deuxsegmentsdeseptcaractères.Ainsi,toutmotdepassedépassantseptcaractèresétait décomposéendeuxpetitsmotsdepassedeseptcaractères,eux-mêmescryptés,maistrès facilesàattaquer.

Unsystèmecorrigeantcesfaiblesses(appeléempreinteNTLM)aétéconçudepuis.Le problèmeestqu’ilestencorefréquentdetrouverdessystèmesstockant,enplusdes empreintes NTLM plus sécurisées, les vieilles empreintes LM vulnérables, pour des raisonsdecompatibilité.

Voicilespointsqu’ilfautretenirdecesconsidérationstechniques.

Complexitéréelle:lesmotsdepassenedoiventpasêtrebaséssurdesnoms,qu’il s’agisse de noms communs ou de noms propres. Ils doivent être réellement complexes. Configurationsystème:s’ils’agitdesystèmesWindows,ilconvientdevérifier qu’ilssontconfigurésdetellesortequ’aucuneempreinteLMnesoitstockée. Longueurminimale:idéalement,maisc’esttrèsdifficileàfaireaccepterauprèsdes utilisateurs,ilconvientquelesmotsdepassefassentaumoinsquinzecaractères. Naturellement,cetterecommandationn’estpasréalistepourdesutilisateurs,maiselle

doitêtreobservéepourlessystèmessensiblesetlescomptesd’administration.

Cesprécautionssupplémentairessuffisent-ellesàgarantirlasécurité?Ellesycontribuent grandement,maisellesnesontmalheureusementpaslasolutionultime,carlacapacitéde stockage et la puissance de traitement atteintes de nos jours sont telles qu’il est aujourd’huipossibledeconstruireunebaseavectouteslesempreintespossiblesdetous lesmotsdepassed’unelongueurdonnée.Cettetechnique,fréquemmentappeléerainbow tablespermetàtouteentités’endonnantlesmoyensdecasseràpeuprèstouslesmotsde passe.Lessociétésdeconseil,lesétatset,naturellement,lesgroupesmalveillantsvisant à pénétrer les systèmes d’information ne se privent pas de se doter de telles infrastructuresdecassage.

Enfin,ilfautciterl’attaqueappeléepassthehash,quipermetdes’authentifiersansavoir

àcasserlemotdepassedelavictime.Cetteattaquenécessitetoutefoisd’avoirunaccès

deniveauadministrateur.

Quepeut-onconcluredecettelonguedémonstrationd’impuissance?Que,malgrétout,

lesmotsdepassesontréellementindispensables.Ilsnousprotègentcontreunnombre

trèsimportantd’actesdemalveillance.

Gestiondesmotsdepasse

Dans un service d’exploitation, les administrateurs ont besoin de récupérer très facilementlemotdepassedesdispositifssurlesquelsilsdoiventintervenir.Ilfautdonc allierlaprotectiondecesmotsdepasseavecunemiseàdispositionsimpleetrapide. Pourrésoudrecetteproblématique,plusieursapprochesdegestiondesmotsdepassesont envisageables.

LessystèmesUnixontgénéralementvocationàêtredesserveurs.Aussirelativementpeu d’utilisateurssontdéclarésdanscessystèmes.Pardéfaut,lessystèmesUnixentreposent lesempreintesdesmotsdepassedanslefichier /etc/shadow,quin’estpasenlecture pourtous.

Attention

Aussiétonnantquecelapuisseparaître,ilarriveencorequecertainssystèmestrèsanciensstockentles empreintesdanslefichier /etc/passwd.Or,ilsetrouvequecefichierestenlecturepourtous.Ainsi,tout unchacunpeutlancersurcefichierunoutildecassagepourrécupérerlesmotsdepassedescomptes.Il n’estpasinutilequeleRSSIidentifielestrèsvieuxsystèmes,carilssontsusceptiblesdeprésentercette vulnérabilité.

Lemécanisme/etc/shadowapourconséquencequ’ilfautdéclarerchaqueutilisateursur chacundesserveurs.Sicettelogiqueestacceptableàtrèspetiteéchelle(unedizainede machines, tout au plus), elle devient très rapidement ingérable, car le moindre changement dans la liste des utilisateurs doit être répercuté à la main sur tous les serveurs.Danslecontexted’exploitationd’unparcdeplusieurscentainesdeserveurs, voiredeplusieursmilliers,uneautresolutionestnécessaire.Cetteautresolutionconsiste àrecouriràunannuairecentralisanttouslescomptesetlesempreintesquileursont associées.Lorsqu’unepersonneveutseconnectersurunserveur,cedernierconsulte l’annuaire avant de donner l’accès à l’utilisateur. Sur le principe, c’est une solution prochedecelledescontrôleursdedomaineWindows.

Unautreproblèmequiseposeestqu’ilfautbienstockerquelquepartlesmotsdepasse descomptesadministrateurlocaldesserveursWindows,ainsiquelesmotsdepassedes comptes root dechaquesystèmeUnix.Dansuncontexted’exploitationdeparc,ilfaut donc centraliser tous ces éléments dans un fichier unique, connu de tous les administrateursetpartagépareux.Denombreuxoutilsgratuitsetpayants,dédiésàcet usage,permettentdechiffrerlefichiercentralcontenanttouslesmotsdepassesensibles. L’accèsàcefichierestprotégéparunsystèmed’authentification,quivadusimplemot depasse,connudetouslesadministrateurs,auxcertificatsclients,gérésdanslecadre d’unePKI.

Cesoutilssontdetrèsbonnequalitéetontamplementfaitleurspreuves.Cependant,ils ont leurs limites lorsque les administrateurs sont nombreux et qu’ils sont amenés à changertrèsrégulièrement.Lemotdepasseuniquepartagépartouspouraccéderau fichiercentraldesmotsdepassed’administrationdevraitenprincipeêtrechangéchaque foisqu’unadministrateurquittelasociété.Desoncôté,lasolutionbaséesurunePKI nécessiteunevéritablegestionquipeuts’avérertrèslourdeàl’usage.D’autresapproches

sontnécessaires.

Conscientsdecetteproblématique,plusieurséditeursontconçudessolutionsconsistantà

placerunintermédiaireentrel’administrateuretleserveurauquelilveutaccéder.On

appellecelaunbastiond’authentification.Cetintermédiaire,généralementimplémenté

souslaformed’unboîtierindépendantoud’unemachinevirtuelle,contientlemotde

passed’administrationdechaqueserveur.Lorsqu’unadministrateursouhaiteaccéderà

unserveurparticulier,ilcommencepars’authentifierauprèsduboîtier.Ensuite,leboîtier

seconnectesurleserveur,généralementenSSHouenRDP,puisrelaielesfluxentre

l’administrateuretleserveur.Decettefaçon,aucunadministrateurneconnaîtlesmotsde

passed’administrationd’aucunserveur.Naturellement,cetyped’équipementpermetde

créerdesgroupesetdesprofilsd’administrateurs,limitantaussifinementquepossible

lespossibilitésdeconnexionaustrictnécessaire.Déclareretrévoquerunadministrateur

devientunjeud’enfant,surtoutvialesinterfaceswebdecesdispositifs.

Remarque

Unepolitiquedegestiondesmotsdepasseestfournieàtitred’exempleenannexedecetouvrage.

Idéesreçuessurlesmotsdepasse

Pour terminer ce chapitre, il n’est pas inutile de démonter quelques idées reçues concernantlesmotsdepasse.Cesdernièressontsinombreusesqu’ilseraittroplongde lesexposertoutesici.Enrevanche,deuxd’entreellesméritentd’êtreévoquées.

Lerenouvellement:onditsouventquelesmotsdepassedoiventêtrerenouvelés régulièrement. La période de renouvellement la plus courante est de 90 jours. L’argumentavancépourjustifiercettepratiqueestquetoutmotdepassefinittoujours parêtredécouvert,unjouroul’autre.Quelleétudescientifiquea-t-elleprouvécela? L’effetPost-it:lasecondeidéereçueestquelesmotsdepassenedoiventpasêtre excessivementcomplexescarlesutilisateursrisquentdelesnotersurunPost-it,sous leurclavier,voiredirectementcollésuruncôtédel’écran.Onditmêmequeles auditeursensécuritésontentraînésàrepérerlejaunetypiqueduPost-itlorsqu’ilsse déplacent dans les bureaux de leurs audités. Cela est vrai, surtout pour les très mauvaisauditeurs,quin’ontquecettetechniquepoursemettreenvaleur.

Cesdeuxidéesreçuesnerésistentpourtantpastrèslongtempsàlaquestionsuivante:

contrequinosmotsdepassesont-ilscensésnousprotéger?

Contrenosproprescollègues?Danscecas,lasécuritéabsolueconsisteànejamais partagersonmotdepasse.Lafréquencederenouvellementn’ychangerien.Ilsuffit dechangersonmotdepasseuniquementlorsquel’onpensequequelqu’unaregardé volontairementpar-dessusnotreépaulependantqu’onletapait. Contredespiratesréussissantàrécupérerlabased’empreintes?Danscecas,il estpréférabledechoisirdesmotsdepasselongsetvraimentcomplexes,cequiest

totalementincompatibleavecunchangementtousles90jours.

Contreleskeyloggers?Ceslogicielsinstallésdefaçonmalveillantesurlessystèmes «reniflent»lesmotsdepassesaisisetlesenvoientauxattaquants.Danscetype d’attaque,lesmotsdepasseseronttransmisauxpiratesdanstouslescas,quelleque soitleurcomplexitéetleurfréquencederenouvellement.Lesmotsdepassechangés trois fois par jour seront envoyés trois fois par jour aux pirates. Dans ce type d’attaque,laréponseefficaceestplusducôtédelasécuritédupostedetravailquedu côtédelapolitiquedemotdepasse. Contreuneattaqueterroriste?Desterroristesvoulantprendrelecontrôled’un systèmesensible,commeunecentralenucléaireouunbarrage,n’hésiterontpasà recourirauxarmes.Danscecas,laseulesolutionintelligenteconsisteàdonnerlemot depasseauxterroristesquivoustiennentenjoue.Lagestiondecetypedecrise dépasseamplementlecadredelaqualitédumotdepasse,etmêmedelasécuritédes systèmesd’information.Elleestduressortdesforcesantiterroristes.

Paradoxalement,cetteobligationobsessionnelleetdogmatiqueàrenouvelerlesmotsde

passequelquesoitlecontexteconduitprécisémentlesgensàlesnotersurdesPost-it!

Ensomme,dansdenombreuxcasilestpréférabledenepasimposerdechangementde

motdepasse,pourpeuquel’utilisateursoitcontraintd’enchoisirunbon.Ilfauttoujours

considérerlecontexteavantdedéciderdelapolitiquedemotsdepasse.

Exemple

Considéronsuneusinedeproductionetdedistributiond’énergie.Pouraccéderaupostedecommande depuislequell’usineestpilotée,ilestnécessairedefranchiraumoinsdeuxcontrôlesd’accèsphysique (sas, porte à badge, tourniquet, etc.). Très peu de personnes sont habilitées à pénétrer dans cette enceinte et, en général, ces quelques personnes ont toutes les mêmes droits sur les applications de pilotage.Danscetexemple,cequiprime,c’estlaqualitédesmotsdepassepourrésistercontredes cyberattaques.Lesmotsdepassedoiventdoncêtrelongsetcomplexes.Leurrenouvellementn’apas vraimentd’importance.Avoirdesmotsdepassefaiblespourpiloteruneusine,c’estcommeafficherun Post-itgéantsurInternetàl’attentiondescyberterroristes.

Chapitre6

Sécuritédupostedetravail

Uneexpressiontrèsdésobligeanteausujetdesutilisateursditque«leproblèmeesttrès souvententrelachaiseetleclavier».Celasous-entendquelesintrusionsréussissentle plussouventàcausedesmauvaisréflexesdesutilisateurslorsqu’ilssontciblésparune attaque (pages web malveillantes, pièces jointes piégées, hameçonnage, clés USB infectées,etc.).Entantquepointd’entréedel’utilisateurdanslesystèmed’information, lepostedetravaildoitcompensercesmauvaisréflexespourrésisterauxattaques.En somme,ilfautlesécuriser.

Mesuresincontournables

Lesmesurespoursécuriserlespostesdetravailsontsimplesetparfaitementconnues. Certainespeuventêtreréaliséesrapidementpardesimplesaffinementsdeparamétrage. D’autres,commel’applicationdescorrectifsdesécurité,impliquentlamiseenplace préalable d’une organisation bien concertée avec les exploitants. C’est pourquoi la sécurisations’opéreragénéralementendeuxtemps.

Premièresactions

Nousabordonsicilesactionstechniquementtrèssimples,etgénéralementpeurisquées pour le service, qui peuvent être menées facilement pour commencer sans délai à sécuriserleparcdepostesdetravail.

Compted’administrateurlocaldelamachine:toutsystèmeWindowsdisposed’un compte local permettant d’administrer la machine. Ce compte s’appelle historiquement«Administrateur»bienque,danslesversionsrécentesdeWindows,il puisseêtrerenommé.D’ordinaire,cecompten’apasvocationàêtreutilisé.Onne s’ensertquelorsquedestechniciensontbesoind’intervenirsurlaconfigurationdu système.Pourfaciliterletravaildestechniciens,l’usageleplusrépanduconsisteà mettreexactementlemêmemotdepassesurchacundespostesdetravail.Ainsi, lorsqueletechnicienabesoind’intervenir,illuisuffitdetapercemotdepassepour administrerleposteenquestion.Laconséquencedecechoixestqu’unepersonne malveillante réussissant à deviner ce mot de passe peut littéralement prendre le contrôledetoutleparcdepostesdetravail.Celaluioffrelapossibilitéd’installerdes outilsmalveillantsetce,entoutediscrétion.Or,ilsetrouvequecemotdepasseest souventtrivial.Lasituationestlapirequisoit,puisquel’attaqueesttrèssimpleà réaliseretquesonsuccèsesthautementprobable.LeRSSIdoitdoncimposerunmot de passe complexe. On peut aussi choisir plusieurs mots de passe différents, en fonctiondutypedeposteoudusitedanslequellespostessetrouvent.Celasertà cloisonner les postes en cas d’attaque. Changer le mot de passe d’administration locale est une action techniquement très simple à réaliser et qui ne pose pas de problèmederégressiondeservice. Droitsdel’utilisateursurleposte:dansleurtravailquotidien,lesutilisateursn’ont aucuneraisond’installerdeslogicielsoudemodifierlaconfigurationdeleurpostede travail.Cestâchessontduressortdeséquipestechniques.Aussi,l’utilisateurn’apasà êtreadministrateurdesonposte.Pourtant,lesystèmeestsouventconfigurédetelle sortequelesutilisateursaientdesdroitsétendussurleurposte.Lerisquedecette pratiqueestque,sil’utilisateurouvreunepiècejointepiégéeouexécuteàsoninsuun programmemalveillant,sonposteseracompromis.Sanslesdroitsd’administration, lesconséquencesdetellesattaquessontnettementmoindres.Retirerauxutilisateursle droitd’administrationlocaldeleurposteesttrèssimpleàréaliser.Toutefois,ilfaut s’attendreàdefortesréticencesdecertainesdirections,notammentcellesutilisantde très anciennes applications nécessitant, soi-disant, les droits d’administration pour fonctionner. Ces exemples doivent donc être étudiés au cas par cas et il faudra

certainementfairedesexceptions,dumoinsdansunpremiertemps. Antivirus:s’ilexisteunemesuredesécurisationquepersonnenediscuterajamais, c’estbienl’antivirus.C’estunedesplusanciennesprécautionsprisespourprotéger lespostesdetravail.Aujourd’hui,lesantivirusnesecontententplusdebloquerles virus,ilsfournissentdetrèsnombreuxservicescomplémentairespouraméliorerla sécuritédupostedetravail.Ilestdoncinconscientd’endéployerunsansantivirus. Attentiontoutefoisauxrisques,carlasituationestparadoxale.Eneffet,l’antivirus, quiactualisesesbasesdesignaturesplusieursfoisparjourprésenteunrisquenon négligeable de régression de service. Étonnamment, ce risque est accepté par la production,sibienqueleRSSInerencontrejamaisderésistanceaudéploiement généraliséd’unteloutil.

Remarque

Unchapitredecetouvragedétaillelaquestiondesantivirus.

Unchapitredecetouvragedétaillelaquestiondesantivirus. Automontage de volumes : les systèmes Windows permettent

Automontage de volumes : les systèmes Windows permettent de monter automatiquementdesvolumes,qu’ils’agissededisquesdursamovibles,declésUSB ou de partages réseau. Une fonctionnalité très répandue consiste à exécuter automatiquement un programme lorsqu’un volume est monté sur le système. Ce mécanisme sert par exemple à lancer un visualiseur d’images pour les volumes contenantdesphotos.Ilestaussitrèsutiliséparlespersonnesmalveillantespour infecterfacilementlespostesdetravail.Enfait,lesvolumesdisposentàleurracine d’unfichierappeléautorun.inf.Lecontenudecefichierpointesurleprogrammeà exécuter. Heureusement, il est possible d’inhiber l’exécution automatique de ce fichier.Celapeutêtreeffectuédirectementenpositionnantlabonnevaleurdansla basederegistres.Naturellement,ilestaussipossibledegénéraliserceparamétragesur toutleparcdudomaineviauneGPO.L’actiondesécurisationestdonctrèssimpleà réaliseretlerisquederégressiondeserviceestquasimentnul.

Exemple

Siunpirateparvientàplacerunfichier autorun.inf etuncodemalveillantàlaracined’unvolumedestiné àêtremontépartouslesutilisateurslorsqu’ilsseconnectent(unpartageréseau,parexemple),ilarrivera àpropagertrèsrapidementsoncodedèsquelesutilisateursseconnecteront,surtoutsicesderniersont lesdroitsd’administrationsurleurposte.

Remarque

Bienquel’inhibitiondufichier autorun.inf soitnécessaire,ilfautsavoirqu’uneattaquecontourneassez simplement cette précaution. Il suffit de programmer une clé USB pour qu’elle se déclare auprès du système,nonpascommeunvolume,maiscommeunclavier.Unefoisbranchéesurlepostedetravail,la cléestprogramméepourlanceruninterpréteurdecommandesettaperdescommandesmalveillantes. Bienquecorrectementconfigurépourbloquerlesexécutionsautomatiques,lepostedetravailcroitque c’estunclavierquitapecescommandes.Ilnecomprenddoncpasquec’estuneattaque.

Bien que ces mesures ne suffisent pas à elles seules, elles permettent déjà d’élever sensiblementleniveaudesécuritédupostedetravail.

Correctifsdesécurité

L’application des correctifs de sécurité sur les postes de travail est au moins aussi importantequel’installationd’unantivirus.

Lesoutilsnemanquentpaspourlesdiffuseràtoutleparc.Entreceuxproposéspar Microsoftetceuxdelaconcurrence,leRSSIal’embarrasduchoix.Pourtant,illui faudra faire preuve de ténacité avant de réussir à mettre en place un processus de diffusion de correctifs car il rencontrera de fortes résistances. Pour justifier leur opposition,lesresponsablesdelagestiondespostesdetravailavancentlerisqueélevéde régressiondeservice.Ilsredoutentpar-dessustoutque,dujouraulendemain,plusaucun postedetravailnefonctionnesuiteàl’applicationd’uncorrectif.Cetteterreurdela régressiondeservicedoitêtreprisetrèsausérieux,d’autantplusqu’ilpeutêtretrès difficilederevenirenarrièreencasdeproblème.

Remarque

Il est curieux de constater que si les responsables ont peur d’une régression de service suite à l’applicationdescorrectifsdesécurité,ilsn’exigentaucunevalidationpréalablepourdiffuser,defaçon transparenteetplusieursfoisparjour,desbasesdesignaturesetdesmisesàjourd’antivirusqui,elles, provoquentrégulièrementdesrégressionsdeservice.

LamissionduRSSIconsisted’abordàconvaincrelesexploitantsqueceprocessuspeut

êtremisenplaceenréduisantaumaximumlesrisquesderégressiondeservice.

Identifierlescorrectifsàappliquer:Microsoftproposeunpanelvariédecorrectifs. Celavadelamiseàjourdepiloteaucorrectifdesécuritécritique.Pourrassurerla production,leRSSIdoitbienfairecomprendrequeleseultypedecorrectifqu’il souhaitedéployerestlecorrectifdesécurité.Celaréduitconsidérablementlespectre delarégressiondeservice.Deplus,auseinmêmedescorrectifsdesécurité,ilexiste plusieursclassifications.S’ilestindiscutablequelescorrectifsqualifiésdecritiqueset d’importants doivent être appliqués, le RSSI peut renoncer aux correctifs moins prioritaires,dumoinsdansunpremiertemps.Leserveurdemisesàjourpourraalors êtreconfiguré. Expérimentersurunebasedepostes:lesecondleviersurlequelleRSSIpeutjouer pourfaciliterl’acceptationduprojetconsisteàtesterlescorrectifssurunpanelde postes. Généralement, il choisira les postes des responsables du parc, pour qu’ils constatentpareux-mêmesqueceprocessusn’estpasplusrisquéqu’unautre. Préparerlamiseenproduction:cen’estquedansuntroisièmetempsquel’on pourraréellementpréparerlamiseenproductiondescorrectifs.Ladémarcheselon laquelleondiviseleparcdepostesdetravailendifférentsgroupes,puisonapplique successivementlescorrectifssurcesgroupesafaitsespreuves.

Àproprementparler,appliquerdescorrectifsdesécuritésurtoutunparc,celarevientà

modifierl’étatduSI.EtquiditmodificationduSI,ditqualificationpréalable.Or,ilest

difficiled’effectuerchaquemoistouteunebatteriedetestspourvaliderformellementla

non-régressionsurlespostes.Uneapprocheplusempiriquepermetderésoudrecette

difficulté.Elleaaujourd’huiamplementprouvésonefficacitéetconsistesimplementà

diviserleparcdepostesdetravailenplusieursgroupes,généralementdeuxoutrois.

Unpremiergroupe,assezrestreint,sevoitappliquerautomatiquementlescorrectifs desécuritédèsleurmiseàdispositionparl’éditeur.Ilconvientdeplacerdansce groupeunpaneldepostesreprésentatifs.L’idéalestdesélectionnerdeuxoutrois postespourchaqueprofilmétier.Ainsi,siunerégressiondeserviceestconstatée,les utilisateursconcernéspeuventalerterlaproduction.Onpeutyajouterquelquespostes del’équipesécuritéetdelaproduction.Ladétectiondelarégressionn’enseraque plusrapide. Unsecondgroupe,plusconsistant,sevoitappliquerlescorrectifsunesemaineaprès lepremier.Danslecasoùlepremiergroupeauraitconstatéunerégressiondeservice, l’applicationdescorrectifssurcesecondgroupeseraitgelée,letempsdecomprendre la raison de la régression. Il convient de placer dans ce groupe une proportion relativementréduite,maisnonnégligeable,depostesdetravail.

Un troisième groupe concerne tout le reste du parc. Si aucun problème n’a été concerne tout le reste du parc. Si aucun problème n’a été signalédanslesétapesprécédentes,ilrecevralescorrectifsunesemaineaprèsle secondgroupe.

Àl’usage,onconstatedetrèsraresrégressionsdeserviceenrespectantcettedémarche

et,quandilyena,lemécanismeenplusieursétapeslesbloqueefficacement.

Attention,cetteapprocheneselimitepasuniquementàunprojettechnique,quisegère entre informaticiens. Elle nécessite impérativement la collaboration active des utilisateurs.Lespersonnesdesdeuxpremiersgroupesdoiventêtreinforméesqu’ellesen fontpartie.Ellesdoiventbiencomprendreleurrôleetsavoirquiprévenirencasde problème. En principe, ce sera le service d’assistance qui, à son tour, fera suivre l’incidentàlaproductionetauRSSI.

Ilestcurieuxdeconstaterque,autantlaréticencedelaproductionestinitialementgrande audébutduprojet,autantsaconfianceestexagéréeunefoisqu’elleconstatequele processusdescorrectifsfonctionnecorrectement.Pourtantsansunevigilancedetousles instants, le processus de correctifs de sécurité peut perdre très rapidement de son efficacité sans que personne ne s’en aperçoive, et ce pour des raisons purement techniques.

Serveur saturé : quelle que soit la solution technique retenue pour diffuser les quelle que soit la solution technique retenue pour diffuser les correctifs,leserveurchargédelesrécupérerchezl’éditeurdoitd’abordlesstockeren local.Cen’estqu’ensuitequ’ilpeutpropagerlescorrectifs.Ainsi,plusletempspasse, pluslevolumecontenantlescorrectifsseremplit,jusqu’àarriverunjouràsaturation. Unefoisplein,leserveurnepeutpluschargerlesnouveauxcorrectifs.Ilcessedonc defonctionner.Sipersonnenesurveillel’activitéduserveur,cettepannedecorrectifs peutpassertoutàfaitinaperçue,laissantcroireàtortauxéquipesqueleparcdes postesdetravailestàjour. Groupesmalconfigurés:uneautreerreurcouranteestlamauvaiseintégrationdes postesdetravaildansledispositifdemisesàjour.Ilyamilleetunefaçonsde déclarerunposteauprèsduserveurdemisesàjour.L’administrateurpeutjouersurles groupes AD, ou sur les GPO, ou sur les groupes au niveau du serveur. C’est généralementsurunecombinaisondestroisquelespostessontintégrés.Quandon connaîtlacomplexitédesgroupesetdesGPOdansundomaine,oncomprendquedes erreurs soient fréquentes (oublis, erreurs d’assignation de groupe, incompatibilités

entregroupesouentreGPO,cumulsconduisantàunrésultatincohérent,etc.).La conséquencedecettecomplexitéestquecertainescatégoriesdepostesseretrouvent excluesdesmisesàjour.Iln’estpasinutiledanscecasdefaireappelàuncabinetde conseilexternepourvérifierlabonneconfigurationgénérale.Unregardextérieurest toujourssalutaire. Machines pointant sur le mauvais serveur : comme les postes de travail sont distribuéssurtouslessitesdel’entreprise,ilestsouventpratiquededéployersur chaquesiteimportantunserveurrelaispourdiffuserlescorrectifs.Cesserveursse synchronisentauprèsduserveurprincipal,puisdiffusentenlocallescorrectifsde sécurité.Celapermetauxpostesdechaquesitedesemettreàjoursanspourautant saturerlesliaisonsWANd’interminablesfluxdetéléchargementdecorrectifs.Une erreurcommuneconsisteàdéployerlespostesdetravailenoubliantdeconfigurer l’adresseduserveurlocaldediffusiondescorrectifs.Celaapourconséquencesoit unesaturationpériodiquedeslignesWANpuisquelesmachinescherchentàjoindrele serveurcentral,soitlanon-applicationdescorrectifs,silesfluxsontfiltrésparun pare-feu. Ici aussi, un travail d’audit externe peut déceler facilement ces erreurs. Encorefaut-ilypenser.

Ces trois points montrent combien ce processus est fragile. Pour s’assurer qu’il fonctionnecorrectementdansladurée,denombreuxorganismesl’ontcomplétéparun dispositif purement organisationnel. Il s’agit de publier périodiquement un état de l’applicationdescorrectifs.Cetétat,généréaumoinsquatrefoisparan,metenévidence les entités dont les postes présentent des déficiences en matière d’application de correctifsdesécurité.Ils’agitgénéralementdecamembertsdétaillant,pourchaqueentité del’entreprise,lepourcentagedepostesàjourenvert,etceluidespostesenretarddans leurscorrectifsenrouge.C’estcequel’onappelleun«murdelahonte».Lesplus mauvaisesentitéssontsomméesdes’expliquersurl’inefficacitédeleursmisesàjour.Ce processusmotivelesresponsablesdeparcàsurveillerlebonfonctionnementdesmisesà jour.

jour. Remarque Une procédure de gestion des correctifs de

Remarque

Une procédure de gestion des correctifs de sécurité est fournie à titre d’exemple en annexe de cet ouvrage.

Mesuressouhaitables

Nousvenonsd’aborderlesmesuresincontournablesaugmentantsensiblementlasécurité

dupostedetravail.Pourtant,pourassurerunniveaudesécuritéoptimal,ilconvientd’en

ajouterd’autres.

Suitesbureautiques:lessuitesbureautiques,surtoutcelledeMicrosoft,sontciblées parlescodesmalveillants.Leurmiseàjourestimportanteetpeutêtreintégréedansle mêmemécanismeàplusieursgroupesexposéprécédemment. Visualiseursdefichiers:lebesoinincontournabled’afficherdesfichiersauformat PDFaconduitlaplupartdessociétésàintégrerunlecteurdePDFdanslemasterdes postesdetravail.Unefoisinstallé,lelecteurn’estjamaismisàjour.Peudegens saventquelesfichiersPDFpeuventvéhiculerducodemalveillant.Ilssontmême devenusunesourceimportanted’attaque.Appliquerlescorrectifsdesécuritésurces utilitaires de visualisation PDF est donc important. Malheureusement, le RSSI rencontreraunerésistanceforteàcesmisesàjour,carilestfréquentquecertaines applicationsmétierimposentuneversiontrèspréciseduvisualiseurpourfonctionner. Unemiseàjourrisqueraitdefairerégresserleservice. MachinesJava:deplusenplusd’applicationsnécessitentlaprésencesurlepostede travail d’une machine virtuelle Java. Or, ces machines virtuelles sont devenues tellementcomplexesetrichesenfonctionnalitésqu’ellesprésententdenombreuses vulnérabilités,découvertesmoisaprèsmois.Ellesnécessitentdoncdesmisesàjour trèsrégulières.

Naturellement, toutes ces mesures ne feront pas du poste de travail une forteresse imprenable,maisenlesmettantenœuvre,leRSSIauravraimentfaittoutcequiétaiten sonpouvoirpouréleverautantquepossibleleniveaudesécuritédesonparc.

Casparticuliers

Ladémarchequenousavonsadoptéejusqu’àmaintenantpoursécuriserlespostesde travailsupposaitqu’ilssoientintégrésdansundomaine,quelaversiondeleursystème d’exploitation soit maintenue par l’éditeur et qu’ils soient raccordés au réseau bureautique. Il arrive pourtant qu’au moins une de ces trois conditions ne soit pas satisfaite.Danscecas,ilfautadopterd’autresapprochesdesécurisation.

Systèmesobsolètes

Certainesmachinessonttellementanciennesquelessystèmesqu’ellesexploitentnesont plusmaintenusdepuislongtemps.Iln’estmalheureusementpaspossibledelesmettreà niveau car les applications qu’ils font tourner ne fonctionnent que sur ces systèmes anciens.

Cesmachinessontstructurellementnonsécurisables,carleséditeursnepublientplus

depuislongtempsdecorrectifspourlessystèmesd’exploitationqu’ellesutilisent.De

plus,lesvulnérabilitéssurcessystèmessemultiplientetlescodespourlesexploiter

foisonnentsurInternet.LaprésencedansleSIdecessystèmesobsolètesestdoncun

véritabledanger.

Comment faire, alors, pour les sécuriser ? La stratégie consiste d’abord à faire le minimum indispensable, puis à les isoler avec tout leur écosystème dans un environnementaussicloisonnéquepossible.

Appliquerlesactionsdebase:onpeutdanstouslescasdurcirlemotdepassede l’administrateurlocal.Rienn’empêchenonplusderetirerlesdroitsd’administration auxutilisateursdéclarésdecesystème. Isoler l’environnement : il s’agit ici de placer le système en question dans un environnementisolé,avectouslesautresélémentsdontilabesoinpourfonctionner (serveurdefichiers,serveurd’imprimantes,périphérique,etc.).Lesrèglesdefiltrage nelaisserontpasserversleresteduSIquelesfluxstrictementnécessairespourle fonctionnementdel’application.

Cetteapprochetrèsfacileàdécrireest,enfait,assezcompliquéeàmettreenœuvre,mais le risque de laisser dans le SI de tels systèmes obsolètes justifie l’effort de cloisonnement.

systèmes obsolètes justifie l’effort de cloisonnement. Systèmestrèssensibles

Systèmestrèssensibles

Nousavonsvuquel’approcheclassiquepoursécuriserlespostesdetravailnécessite l’applicationrégulièredecorrectifsdesécuritéainsiquel’installationd’unantivirus. Chacundecesoutilsobligeàavoiruneliaisonversunserveurdesignaturesetde distribution de correctifs. Or, dans des milieux très sensibles, comme les systèmes industriels,ilestlégitimedenepassouhaitercommuniqueravecl’extérieur,mêmesice n’est que pour aller chercher des mises à jour. Pour sécuriser ces systèmes, deux approchessontalorspossibles.

La première approche consiste à créer une forêt Active Directory entièrement indépendantedelaforêtbureautiqueetdesesnombreuxdomaines.Oninstalledanscette forêtunserveurd’antivirus,unserveurdediffusiondecorrectifsdesécuritéettousles systèmes(serveursoupostesdetravail)nécessairesaupilotagedesactivitéssensibles. Naturellement,touslessystèmesdecetteforêtsontdansunréseauentièrementdédié.Le systèmeestainsicloisonnéparrapportauréseaubureautique.Malgrécesprécautions, cettearchitecturerencontredesréticencesfortesauprèsdesexploitantsindustrielscar ellenécessitetoutdemêmed’ouvrirunfluxversInternet,neserait-cequepouraller chercherlesmisesàjouretlessignaturesd’antivirus.Unautreinconvénientdecette solutionestqu’ellemetenplaceunvéritableurbanismeduSIauquellesindustrielsne sontpasencorehabitués.

La seconde approche, moins élégante mais plus pragmatique, est plus facilement acceptableparleséquipesd’informatiqueindustrielle.Ils’agitdesécuriserlespostesde lafaçonsuivante.

Appliquerlesactionsdebase:ilfaut,dansunpremiertemps,durcirlemotdepasse del’administrateurlocaldelamachine,s’assurerquelesutilisateursdéclaréssur chaqueposten’ontpaslesdroitsd’administrationetparamétrerlesystèmepourqu’il n’exécutepaslefichierautorun.infaumontaged’unvolume.Toutescesactionsont étédétailléesplushaut. Appliquerlescorrectifsdesécurité:ilconvientensuited’appliquerlesmisesàjour de sécurité sur les postes concernés. Ainsi, ils seront au moins à jour de leurs correctifsàl’instantdeleursécurisation.C’estmieuxquerien. Isoler le poste : une fois les machines à jour, il faut les isoler dans un réseau spécifique,dédiéaupilotageindustriel,sansaucuneliaisonversInternetnimêmevers leréseaubureautique.Ilestentenduqu’àpartirdecemoment-là,ellesnerecevront pluslesmisesàjourdesécurité. Désactiverleserviceserveur:silespostesdetravailenquestionnefontpaspartie d’undomaine(cequiestgénéralementlecas)ets’ilsnesontpasamenésàpartager desfichiers(cequiestgénéralementlecas),ilestpossiblededésactiverleservice serveurdechaqueposte.Ladésactivationdeceservicediminuerasensiblementleur surfaced’expositionauxrisques. Rendreimpossiblel’introductiondeclésUSB:l’attaquestuxsnetquiavaitinfecté plusieurssitesindustrielsauraitréussienpartiegrâceaufaitquedesclésUSBavaient étéinséréessurdespostesopérateursensibles.LadésactivationdesportsUSBest donc souhaitable. Malheureusement, elle n’est pas toujours possible, vu que les claviersetlessourisutilisentcesports. Alternativeauxantivirus:sionnepeutdéployerunantivirusdufaitqu’Internetest proscrit,ilesttoutdemêmepossibled’installerunlogicieldescellementdefichiers. Ceslogicielsprennentuneempreintedechaquefichieretfontremonterdesalarmessi undecesfichiersvientàchanger,ousiunnouveaufichiervientd’êtrecréé.C’estune bonnefaçondedétecterl’installationd’uncodemalveillantsanspourautantdisposer d’unantivirus.Dessolutionsgratuitesoupayantesdecesutilitairesexistent.

Ilestentenduquecettefaçondesécurisern’estpasidéale,maisellepermettoutefois d’élever sensiblement le niveau de sécurité des systèmes Windows dans les milieux

d’élever sensiblement le niveau de sécurité des systèmes Windows dans les milieux

industriels.Enfait,cettesecondeapprochedoitêtreconsidéréecommeunephasede transition, en attendant que les équipes d’informaticiens industriels acceptent la démarcheplusclassiqued’intégrationdansundomaine.

Agirauniveaudumaster

L’essentiel du travail de sécurisation du parc de postes de travail est du ressort de l’équipechargéedelesgérer.L’idéalestdecouplerlasécurisationdespostesavecle renouvellementduparc.Celapermetd’agirauniveaudumaster.

Les master des postes de travail doivent intégrer tous les correctifs de sécurité disponiblesaumomentdelaconstitutionduditmaster.Deplus,ilsdoiventintégrerpar défautl’antivirus,correctementconfiguré,ainsiqueleparamétragepertinentpourquele postesemetteàjourdesescorrectifsdesécurité.

Lorsqu’unposteestinstalléàpartirdumaster,untravailcomplémentairedoitêtrefait pour intégrer le poste dans son contexte d’exploitation. Il faut lui donner un nom, l’affecter à un groupe, etc. Un soin particulier doit être apporté au paramétrage de l’antivirusainsiqueàceluidescorrectifsdesécurité.Letechnicieninstallantleposte doits’assurerqu’ilpointebiensurlesbonsserveurs.Sansuneconfigurationsoignéeet systématique,lasécuritéseraapproximative.

Sécuriserlepostedetravaila-t-ilencoreunsens?

Onnepeutterminercechapitresansattirerl’attentiondulecteursurlefaitquelesusages du SI font que de plus en plus d’utilisateurs disposent de plusieurs terminaux pour travailler(ordinateurdebureau,ordinateurportable,tablette,smartphone,etc.).Ilya doncuneexplosiondesdispositifsàsécuriser.Lasécurisationdupostedetravailest d’autant plus difficile à réaliser que certains de ces équipements appartiennent aux collaborateurs,etnonàl’entreprise.Cettedernièren’adoncpaslamaîtrisedetoutcequi estinstallé.CertainsRSSIvontjusqu’àdirequ’ilfautabandonnerlasécuritédupostede travailpoursecentrersurlasécuritédesdonnées.Cettephrasequi,surlefond,n’estpas insenséeatoutefoisdumalàsetraduireconcrètementpardesfaits.Enattendant,et mêmesilabataillepeutsemblerperdued’avance,leRSSIatoutintérêtàmaîtriserautant quepossibleleparcdepostesdetravailquiestsoussaresponsabilité.Iln’yauradonc plusunegestionuniquedelasécuritédespostesdetravail,maisplusieursgestions différentes, spécifiques pour chaque type de poste de travail. À la démarche de sécurisationtraditionnelledupostedetravailprésentéeprécédemment,ilfaudraajouter la sécurisation du parc mobile via une solution de MDM. Il conviendra aussi de complétercetravailenresponsabilisantlesutilisateursparlemoyend’unechartesurles équipementspersonnels.

Chapitre7

Antivirus

Cela peut paraître complètement anachronique de consacrer un chapitre entier aux antivirusdansunlivreactuelsurlasécuritédessystèmesd’information.Nousallonsvoir que,mêmesil’antivirusaperdudepuislongtempssonrôlecentral,ilconstituetoujours unoutilimportantpourlasécuritéduSI.LeRSSInedoitpassepriverdes’enservir.

Pourquoiparlerencored’antivirusdenosjours?

L’antivirusestprobablementl’outillogicielleplusancienenmatièredesécuritédesSI.

IlestissuduvieuxmondePC,oùlespostesdetravailn’étaientpasencorereliésparun

réseauetoùleprincipal,voirel’uniquevecteurdecontaminationétaitladisquette.Dans

cesconditions,onpeutsedemandercommentunoutilsiancienpeutencoretrouversa

placedanslapanopliedesolutionsdesécuritédontdisposeleRSSI.

Enfait,lesantivirusportentaujourd’huitrèsmalleurnom.Eneffet,avecl’évolutiondes menaces,cesoutilssesontdiversifiésetoffrentmaintenantdenombreuxservicesde sécurité, non directement liés aux virus : pare-feu, détection d’intrusion réseau, préventiond’intrusionréseau,blocagedefenêtrespublicitaires,scellementdefichiers, exécutionsélectivedescriptssurlepostedetravail,chiffrementdedisquedur,etc.On voit bien que la fonctionnalité d’antivirus est presque devenue accessoire, mais, par habitude,oncontinued’appelercesoutils«antivirus»,malgréleseffortsincessantsdes éditeursàimposerletermedeEndPointProtection.

Lamutationdesantivirusneselimitepasauxseulesfonctionnalités.Leurarchitecture

généraleaconsidérablementchangé.Autrefoisinstalléunitairementsurchaqueposte,

sansaucuneadministrationcentrale,l’antivirusestaujourd’huiuneplate-formelogicielle

distribuéesurlabased’agentsrépartissurlespostesdetravailainsiquesurlesserveurs.

Unserveurcentralpermetdecontrôlertouscesagents.Souvent,onestamenéàinstaller desserveurspivotsàdespointsstratégiquesduSIafindefaciliterl’administrationdu parcainsiqueladistributiondessignaturesdevirus.Uneplate-formed’administration fournitdenombreuxétatssurleniveaudeprotectiondechaqueéquipementetpropose une multitude d’indicateurs (souvent fort inutiles). Des messages quotidiens et hebdomadaires envoyés aux administrateurs récapitulent le nombre d’attaques subies danslapériode,leurétatainsiqueleséquipementsconcernés.Deplus,encasd’attaque, cesserveurssontcapablesd’alerterl’administrateur.Bref,c’estbienunoutilmoderneet puissantquel’ondéploie.

Limitesdesantivirusetsolutions

Les antivirus comportent deux problèmes fondamentaux. Les ignorer peut avoir des conséquences graves pour le SI. Nous commencerons donc par présenter ces deux problèmes,puisnousverronscommentyremédierafinquecetoutilrendeeffectivement lesservicesdesécuritéqu’ilestcensénousfournir.

Problèmesposésparlesantivirus

Lesdeuxproblèmesfondamentauxdesantivirussont,d’unepart,leurcaractèrelénifiant

et,d’autrepart,lesproblèmesdedéploiementquel’onpeutrencontrer.

Unoutillénifiant

Lapremièrelimitedel’antivirusestsoncaractèrelénifiant.Parsanature,cetoutila tendance à « endormir » les personnes chargées de la sécurité. En effet, lorsque l’antivirusdétecteuneattaque,illasignaleauxadministrateurspuislabloque.Très souvent,ilestcapabled’éradiquerautomatiquementlecodemalveillantqu’iladétecté. En somme, lorsqu’une attaque est détectée par l’antivirus, les administrateurs n’ont quasimentrienàfaire.

Le problème est que la détection des attaques est basée sur une base de signatures d’attaquesconnues,surunepolitiqueousurdesrèglesdecomportementprédéfinies. Uneattaquenerépondantàaucundecescritèrespasseraàtraverslesmaillesdufilet.Ne générantaucunealerte,elleproliférerasansquelesadministrateursnes’enaperçoivent. Pire,touslesantivirusenvoientquotidiennementdesétatssurlasécuritéduparc.Aussi, les administrateurs seront-ils rassurés de voir que l’antivirus leur fournit un état rassurant,nerapportantaucuneattaque,alorsqu’enfait,uneattaquesévit.

C’estencesensquel’antivirusestunoutillénifiant:lorsqu’uncodemalveillantest

détecté,iln’yarienàfaire.Lorsqu’aucuneattaquen’estdétectée,iln’yarienàfairecar

onnes’enrendpascompte.Ensomme,iln’yajamaisrienàfaire.Pourrésumer,

l’antivirusdonnel’illusionquetoutvatoujoursbien.

Ceproblèmen’estpaspropreauxantivirus.Onrencontrelemêmephénomènesurles dispositifs de détection/prévention d’intrusion ainsi que sur les systèmes avancés de surveillancedesjournaux;ensomme,touslesoutilsbaséssurladétectiondesactesde malveillanceutilisantunebasedeconnaissancesontconcernés.

Ce que l’on peut conclure de cet argument est que, s’il est réellement très utile, l’antivirusnepeutplusêtreconsidérécommel’outildesécuritéparexcellence.

Outilbasésurdesagents

Uneautrelimitationtrèsimportantedel’antivirusestquec’estunoutilbasésurunparc

d’agentsdistribuéssurlespostesdetravailetsurlesserveurs.Enthéorie,cemodèleest

trèspuissantpuisqu’ilrépartitladétectiondesincidentsainsiquelaréactionàceux-ciau

plusprochedesutilisateurs.Lapratiqueestmalheureusementplusnuancée.Unrapide

coupd’œilsurlaconsoled’administrationestsouventédifiant.Lorsquel’oncomparele nombredepostesdéclaréscommeprotégésparl’antivirusaveclenombretotaldepostes duparc,onconstatesouventunedifférence.Ilyatoujoursplusdepostesdansleparc quedepostesdéclaréscommeprotégésparl’antivirus.Selonleniveaudematuritédes SI, cette différence peut atteindre 40 %. Cela revient à dire qu’alors qu’on se croit

parfaitementprotégéparl’antivirus,seuls60%duparclesontréellement.

Comment se fait-il qu’un nombre non négligeable de machines ne soient pas correctementprotégéesparl’antivirus?Lescausessontmultiples.

Agentsmaldéployés:lesantivirussontpresquetoujoursintégrésauxmastersdes postesdetravailetdesserveursWindows.Celapermetdèsl’installationdedisposer d’unantiviruscorrectementinstalléetopérationnel.Pourtant,uneerreurestsouvent commisedanscetypededéploiement.Chaqueagentinstallédisposed’unnuméroqui luiestpropreetquiidentifiedefaçoncertainelamachineprotégéeauprèsdela consoled’administration(bienquelefonctionnementvaried’unéditeuràl’autre,le principe reste partout le même). Ceci permet au serveur central de pousser les politiquesetlesbasesdesignaturesdefaçontrèsciblée,ainsiquedelancerdes actionssurteloutelposte.Leproblèmeestque,siaucuneprécautionn’estpriseau momentdelaconstitutiondumaster,cetidentifiantcenséêtreuniqueestrépliquésur touslespostesettouslesserveursinstallésparlemaster.Aussi,mêmesil’antivirus estdéployésurtouteslesmachines,lesagentspartagenttouslemêmeidentifiant (celuidumaster).Concrètement,bienquel’antivirussoitdéployépartout,laconsole d’administrationnevoitqu’uneseulemachine(puisqu’iln’yaqu’unseulidentifiant). Agentsmalinstallés:unproblèmesimilaireauprécédentestlamauvaiseinstallation del’antivirussurleposteouleserveur.Lesparamètressontmalconfigurés,sibien quel’agentn’arrivepasàjoindreleserveurpivotleplusproche,censéluienvoyerles basesdesignaturesetlesinstructions.Ilarriveaussiquedespostesdetravailmal installéscherchentàjoindreunserveurpivotsituédansunautresite,nonjoignableau niveauduréseau.Biend’autrescasd’erreursdeconfigurationsontpossibles. Agentsanciens:commetousleséditeursdelogiciels,leséditeursd’antivirusmettent régulièrementàjourleursinfrastructures.Ilestdoncsouventnécessairedemettreà jour,soitlaconsoled’administration,soitlesserveurspivots,soitlesagentsdistribués surleparc.Lesmisesàjourmineuresneposentgénéralementpasdeproblème,mais lorsqu’unemiseàjourmajeurearrive,notammentconcernantlesagentsdistribués,les problèmescommencent.Eneffet,lamiseàjourdesagentsestloind’êtreanodineet doitêtremenéeenmodeprojet.Forceestdeconstaterque,trèssouvent,cesprojetsne sontpassuivisavecrigueurjusqu’aubout.Ainsi,onseretrouvetropsouventavecun parcdisposantd’unreliquatimportantd’agentsnonàjour.Or,auboutd’uncertain temps, les anciens agents ne sont plus pris en compte par la console centrale d’administration. Les postes correspondants ne sont donc plus protégés. On se retrouveaufinalavecunparcpartiellementsécurisé. Agentsdésactivés:lorsquel’oninspectedefaçondétailléel’étatdesagents,on constatequecertainsdecesdernierssontdésactivés.Ilssontbienprésentssurleposte detravailousurleserveur,maisilsnesontpasopérationnels.Danscetétat,autant direqu’ilsneserventàrien.Lesraisonsdecesdésactivationssonttrèsvariées.Elles vont de la désactivation ponctuelle suite à une action d’administration, à la

désactivationsuiteàuneattaquevirale.Ilestimportantdeconnaîtrelesdifférentes causesdedésactivationdesagentspouryremédier. Basedesignaturespérimée:lalectureattentivedelaconsoled’administrationmet souventenévidencecertainspostesdontl’agentestbienactif,maisdontlabasede signatures est périmée. Ces postes sont donc vulnérables aux attaques les plus récentes.Lesraisonsexpliquantpourquoicespostesn’arriventpasàsemettreàjour sontnombreuses.Notonsque,souvent,celaestdûàlapartitioncontenantlesmisesà jourquiestpleine.Celaarrivesurlespostesanciens.Biend’autrescausespeuvent empêcherlamiseàjourdesbasesdesignatures.Làaussi,ilestimportantdeles étudier. Licencepérimée:bienquelemodedelicencevariebeaucoupd’unéditeuràl’autre, onconstateque,lorsquelenombremaximald’agentsprévusparlalicenceestatteint, ilesttoujourspossibledepoursuivreledéploiement;soitlesnouveauxagentsne serontpasactivés,soitilsnepourrontpasrecevoirlesnouvellessignatures.

Touscescas,ajoutéslesunsauxautresconduisentàuneprotectiontrèspartielleduparc

parl’antivirus.

Notonsquecesproblèmesnesontpaspropresauxantivirus.Touslesoutilsconstruitssur

lemodèled’agentsdistribuéssontexposésauxmêmesquestions.Celaconcernedoncles

agentsd’inventairedeparc,ceuxservantàdistribuerdesélémentslogiciels,commeceux

permettantlaprisedemainàdistance.

Solutionsopérationnelles

Nous venons de voir que les agents d’antivirus sont susceptibles de rencontrer de nombreuxproblèmeslesempêchantd’êtrepleinementopérationnels.Cettequestiondoit êtreprisetrèsausérieuxparleRSSI.Pourrésoudreceproblème,ildoitcommencerpar différencierleparctotalcenséêtreprotégéetlenombredemachinesdéclaréesprotégées dans la console d’administration de l’antivirus. Ce chiffre donnera très rapidement l’ampleurdutravailàréaliser.

Lasecondeétapeconsisteàrésoudre(s’ilexiste)leproblèmedel’identifiantmultiple

présentéplushaut,dûàunemauvaiseinstallationdanslemaster.Engénéral,l’exécution

d’unscriptcorrectifinstallantunidentifiantuniquepourchaqueagentconcernésuffità

résoudrerapidementleproblème.

Onpourraalorss’attaquerauxagentsmalinstallés,anciensoudésactivés.L’idéalestde procéderenmodeprojet,avecunresponsabledésigné,chargédusuividel’avancement. L’expériencemontrequelespremiersagentsàcorrigerserontfacilementremisenétatet, plusleprojetavancera,pluslespostesayantunagentd’antivirusàremettreenétatseront

difficilesàtraiter.Ilestdoncillusoiredepenserque100%despostesserontunjour

protégésparl’antivirus.Enrevanche,iln’estpasprudentd’accepterplusde5%d’écart

entreleparcréeletleparceffectivementprotégé.

Notonsqueceprojetdemiseenordredetouslesagentsd’antivirusdéfectueuxpeut prendreplusieursmois.Pendantcetemps,desattaquesviralesnemanquerontpasde survenir. Comment connaître les conséquences de ces attaques sur les postes non protégés?Ilconvientdeprocéderendeuxtemps.

Identifierlasignatureducodemalveillant:touslesvirusontunesignaturetrès précise.Généralement,ellesecaractériseparlacréationd’unfichierdansunpoint précisdel’arborescencesystèmedel’hôteinfecté.Deplus,lesviruscréentsouvent desclésdanslabasederegistres.Ainsi,lorsqu’unvirusestdétecté,ilestimpératifde prendretrèsrapidementconnaissancedesasignatureprécise.LessitesInternetdes éditeursd’antivirusregorgentdebasesdeconnaissancespécialisées,trèsclaireset disponiblespourtous. Contrôlerleparcparunmoyenalternatif:lasecondechoseàfaireestdecontrôler l’étendueréelleduvirusdansleparcdepostesdetravailetdeserveurs.Puisquel’on saitquedenombreuxagentsd’antivirusnesontpasopérationnels,ilfaututiliserun moyen alternatif à l’antivirus. Le plus pratique consiste à exécuter un script sur chaquepostedetravailpourtesterl’existencedeteloutelfichiersuspect,oudetelle outelleclésuspectedanslabasederegistres.Silescriptdétecteunposteinfecté,il écritsonnometsonadresseIPdansunfichiertexte.LeRSSIn’aplusqu’àconsulter cefichiertextepourconnaîtrel’étendueréelleduvirus.

Enfin,unefoisleparcdeserveursetdepostesdetravailbienprotégé,notonsqueles antivirusnécessitentunesurveillancetrèsattentive.Lenombredepostesnonprotégés, dontl’agentnefonctionnepas,ouquinerécupèrentpaslesmisesàjourdoitêtrerelevé touslesjours.Chacundecespostesdéfectueuxdoitfairel’objetd’uncontrôle.Ilest doncimportantdedésigneruneéquipeetdemettreenplacedesprocéduresappropriées.

Onpeutconclurequefaireensortequelenombredepostesprotégéstendevers100%

estpresqueaussiimportantquedesurveillerlesattaquesvirales.C’estuntravaildetous les jours et le RSSI a la responsabilité de s’assurer que ces efforts ne sont jamais relâchés.

Atoutsdesantivirus

Revenonsàlaquestionposéeinitialementdanscechapitre.Quelestl’intérêtd’untel

outilaujourd’hui?Onpeutavancerplusieursélémentsderéponse.

Toutd’abord,l’antivirusestleseuloutildéployépartoutdanslemondeWindows,quece

soitdanslespostesdetravailousurlesserveurs.L’antivirusestdoncunagentimportant

pourleRSSIcarilaideàagirrapidementsurleparc.Concrètement,cetoutilpermetde

distribuerdespolitiquestrèscibléessurtoutoupartieduparc:interdictiond’exécutertel

outeltypedefichier,remontéesélectived’alerte,exécutiondescript,etc.Cesontautant

deleviersd’actionrapide,trèsutilespourleRSSI.

Notonsaupassagequel’antivirusestprobablementleseuloutilappliquantdesmisesà

jour(soitdesignatures,soitdesagentssurlespostes)sansaucunequalificationpréalable

etsansquelaproductionseposelaquestiondelarégressiondeservice.

Remarque

Àcesujet,ilestintéressantderappelerlesfrilositésrencontréeslorsqueleRSSIsouhaiteappliquerdes correctifs de sécurité sur le parc de serveurs et sur les postes de travail. En comparaison, aucune résistancen’estrencontréepourlesantivirus.

Pourtant,detellesrégressionsdeservicenesontpasrares,etiln’estpasuneannéesans qu’un éditeur majeur d’antivirus ne se fasse remarquer lorsqu’une mise à jour de signaturesgénèreunblocagetotalduparc.Moinsspectaculairemaistoutaussifréquent, unemodificationdanslapolitiquedel’antiviruspeutbloquertouteunepopulationde l’entreprise.

Exemple

L’applicationmétierlaplusimportanted’unesociétéutilisaitunefenêtredetypepop-uppourlancerune

fonctionnalitéessentielledel’applicatif.Cetteapplicationfutbloquéedujouraulendemainsuiteàune

toutepetitemodificationdelapolitiquedel’antivirusparl’administrateur.Ilvenaitsimplementd’ordonnerà

touslespostesdetravaild’interdirelesfenêtrespop-up.Unepartimportantedesemployésfutbloquéele

tempsdecomprendrequecettemodificationdelapolitiquedel’antivirusenétaitlacause.

L’atoutprincipaldesantivirusestqu’ilssontparfaitementintégrésdanslemodèlede défenseenprofondeur.Eneffet,leprincipedeladéfenseenprofondeurpréconiselamise enplacedeplusieurslignesdedéfense.L’idéeestque,lorsqu’unattaquantparvientà traverserlapremièrelignededéfense(parexemplelepare-feu),illuiresteencoreau moins une ligne supplémentaire à franchir avant d’atteindre son but. L’antivirus est clairementladernièrelignededéfense.Parsesfonctionnalitésdedétection/prévention d’intrusion,deprotectiondesfichiersexécutables,etc.,ilcombleleséventuelsmanques desmesuresdesécuritésituéesenamontduSI.Cetteaideestindéniableetdoitêtreprise trèsausérieux.

En un mot, on peut conclure sur les antivirus avec la phrase suivante : certes, les antivirussontdevenustrèscomplexes,certesilsontuneutilitépartielle,maisonestbien contentdepouvoircomptersureuxlorsquel’onestconfrontéàdesincidentsdesécurité.

Remarque

Uneprocéduredegestiondesantivirusestfournieàtitred’exempleenannexedecetouvrage.

Chapitre8

Sécuritédesservices

Le titre « Sécurité des services » peut surprendre quelque peu. On aurait plutôt dû s’attendreauterme«sécuritédesserveurs».Certes,lesservicesrendusparlaDSIàtous lesutilisateursdel’entreprisesontassurésparcequel’onappellecommunémentles «serveurs».Enfait,cesserveurssontaujourd’huipresqueexclusivementvirtualisés,les seuls serveurs physiques que l’on trouve encore étant les très vieux dispositifs impossibles à virtualiser. Ainsi, sécuriser ces serveurs (qu’ils soient physiques ou virtuels)revientdoncàprotégerlesystèmed’exploitationquilesfaitfonctionner,mais aussilesbasesdedonnéesettouslesserviceslogicielscontribuantàfournirleservice renduàl’utilisateur.Ilestdoncpluspertinentdeparlerde«sécuritédesservices» puisqu’onneselimitepasauseulsystèmed’exploitation.

Freinsàlasécuritédesservices

Dansl’absolu,lasécurisationdesservicesnedevraitplusposerdeproblèmedepuis longtemps,cartouslesgrandséditeursdesystèmesd’exploitationetdebasesdedonnées proposent maintenant des modes d’installation sécurisée ainsi que des dispositifs de misesàjourdesécurité.Deplus,cesmêmeséditeurs,maisaussidesorganismespublics, mettentgratuitementàladispositiondesadministrateursdesguidesdesécurisationtrès précisetdetrèsbonnequalité.LeRSSIn’aquel’embarrasduchoixàl’heuredechoisir unguide.Enfin,silasécurisationdesserveurss’opéraitjusqu’àrécemmentdefaçon artisanale,serveurparserveur,desoutilstrèsperformantsontpermisd’industrialiserce processussurtoutunparc.

Pourtant,malgrétouscespointspositifs,àl’heuredesécuriserlesserveurs,leRSSIdoit affronterunetrèsforterésistancetantdelapartdelaproductionquedelapartdes équipesprojet.Eneffet,prisespardesdélaistoujoursdeplusenplustendus,leséquipes projetvoientd’unmauvaisœillescontraintesliéesàlasécurité.Ellesredoutentquela sécurisation des systèmes limite les fonctionnalités, rendant plus difficile le développement, le test puis l’intégration des solutions qu’elles sont chargées de construire.Quantàlaproduction,elleredoutepar-dessustoutquelasécurisationentraîne unerégressiondeservice.Cetteappréhensionestbienlégitimeetnemanquepasde fondement.Notonstoutefoisquecerisquederégressiondeserviceesttropsouvent invoquépournerienfaire…

Faceàcesrésistances,leRSSIdoitjoueràlafoisdefermeté,pourfaireavancerla

sécurité,etdeflexibilité,pourgagnerlaconfiancedeséquipes.Pourcela,ildoitmettre

enavantdesprécautionspourrassurerlesunsetlesautres.Ilmontreraqu’iln’estpasun

intégristedelasécuritéetproposeradesmodesopératoiresréduisantaumaximumles

risquesderégression,letoutdefaçontrèssimple,pournepascompliquerlatâchedes

exploitants.

Principesdebase

Lesactionspossiblespoursécuriserunsystèmeoulesservicesqu’ilhébergesonttrès

nombreuses.Voicilesprincipesdebasequ’ilconvientd’appliquerauminimum.

Minimisation:lesserveursdoiventêtreinstallésaveclemoinsdefonctionnalités possibles.Commechaqueserviceestpotentiellementvulnérable,moinsdeservices seront mis en place dans un système, moins ce dernier sera vulnérable. Quel est l’intérêtd’installerunserveurFTPetunserveurHTTPsurunemachinedontl’unique raisond’êtreestderelayerlesmessagesenSMTP?Cependant,cetteminimisationa seslimitescar,sionécoutecertainsconsultantsensécurité,chaqueserveurdevrait êtreuneforteressenefournissantqu’unseulservice.Sicelaestvraidansunmonde idéal, ce n’est pas réaliste dans le contexte de l’entreprise. La minimisation des systèmesestdoncnécessaire,maisellenedoitpasêtrepousséetroploin. Correctifs:desvulnérabilitéssontrégulièrementrévéléespourchaqueserviceet pourchaquesystème.Ladécouvertedecesvulnérabilitésdonnelieuàlapublication de correctifs de sécurité qu’il convient d’appliquer régulièrement pour réduire considérablementsasurfaced’expositionauxattaques. Configuration:lasécurisationdusystèmeetdesservicesquiysonthébergésest inutilesiaucuntravailn’estréaliséauniveaudelaconfiguration.Parexemple,des droitstroppermissifssurunsystèmedefichiersautorisentàmodifierlecontenudes donnéesdefaçonillicite.Unserveurdefichiersacceptantdesconnexionsanonymes ouvre la porte à des fuites d’information. La configuration par défaut de chaque servicedoitdoncêtreadaptéeaucasparcas,pourévitertouteintrusionoufuite d’information. Comptespardéfaut:tousleslogiciels,qu’ils’agissedusystème,desbasesde données,desserveursdefichiersoudesserveursHTTP,installentpardéfautdes comptesqui,biensouvent,nesontjamaisutilisés.Pouréviterqu’unmalfaiteurs’en servecommeagentd’attaque,ilconvientdelesdésactiver.Deplus,ilestimpératifde changertouslesmotsdepassepardéfaut.Nepaslefaireestunefautegrave.Sila minimisationdesservicesetl’applicationdescorrectifsdesécuriténécessitentun certainsensducompromisdelapartduRSSI,lechangementdemotsdepassepar défautestunemesurequ’ilfautappliquersystématiquement,sansaucuneconcession. Aucunmotdepassepardéfautnedoitêtrelaissésurunsystème. Fluxd’administration:lesprotocolesutiliséspouradministrerlesserveursdoivent êtrechiffrésafind’éviterlesécoutesmalveillantesquipermettraientderécupérerles accréditionsdel’administrateur. Imputabilité:unedernièremesuredebaseconsisteàconfigurerlessystèmesdetelle sortequel’onpuisseimputerlesactions,surtoutcellesd’administration.Celapasse parl’utilisationdecomptesnominatifs.Ilconvientdoncquelesadministrateurssur Windowsadministrentavecuncomptenominatif,dédiéàl’administration.Notons quepourlessystèmesUnix,l’usagedesudoesttrèsrecommandé.

Certes,denombreusesautresactionspeuventêtreréalisées,maisl’applicationdeces

principesgénérauxassuredéjàunniveaudesécuritéacceptable.Pourlamiseenœuvre

de ces principes, le lecteur est invité à se reporter aux très nombreux guides de sécurisation dédiés à chaque système, base de données, application ou service qu’il souhaitesécuriser.

Sécuriserlesserveurs

Silesréticencesexpriméesparleséquipesprojetetparlesresponsablesdelaproduction

nesontpasdénuéesdefondement,leRSSIpeutparfaitementproposerunedémarche

prudentepermettantdesécuriserlesservicessanspourautantretarderlesprojetsni

provoquerlesrégressionsdeservicetellementredoutées.Nousallonsvoircomment.

Lesnouveauxserveurs

Lasécurisationdesserveursnouvellementmisenproductionestlaplussimple.Onpeut se permettre de les sécuriser, car ils ne risquent pas de provoquer de régression de service,étantdonnéqu’ilsnesontpasencoreenproduction.

Limitationdesmodules:tousleséditeursdesystèmesd’exploitationainsiqueles principaux éditeurs de bases de données proposent des options d’installation minimisées.Aumomentdel’installation,l’administrateursélectionneuniquementles modules nécessaires en fonction de l’usage auquel le serveur est destiné. Cette sélection peut naturellement être réalisée de façon interactive, ou bien être préconfiguréepourêtreexécutéedefaçonautomatique,àgrandeéchelle. Masterisation:lamasterisationconsisteàconcevoirunsoclesurlemodèleduquel touslesserveursserontdéployés.Sicesocleestsécurisé,touslesserveursdéployésle seront,dumoinsaumomentdeleurinstallation.Sécuriserlemasterestdoncune tâcheimportantequ’ilconvientdeconfieràunspécialistedusystèmeàinstaller. Commelesoptionsdesécurisationvarientd’uneversiondesystèmeàl’autre,ilne faut pas hésiter à faire appel à un consultant spécialisé qui, d’une part, saura configurerlesbonsparamètrespourlasécurisationet,d’autrepart,tiendracomptedes contraintes d’exploitation. Parmi les actions de sécurisation, il y a naturellement l’applicationdetouslescorrectifsdesécuritédisponiblesaumomentdel’élaboration dumaster. Affinement:commenousvenonsdelevoir,leprincipedelamasterisationconsisteà développerdessoclesassezfermésdupointdevuedesfonctionnalités.Aumoment de la mise en production, il reste à ouvrir sélectivement les fonctionnalités et à positionnerlesparamètrespourrendreleserviceopérationnel.Lespersonneschargées decettetâchedoiventdonctrèsbienconnaîtrelesactionsàréaliser.Nousvoyonsici l’importance de disposer d’expertise en interne ainsi que de modes opératoires détaillésetàjour.Untravailrégulierdevérificationetdemiseàjourdecesmodes opératoiresestindispensable.

Ces trois étapes garantissent que les serveurs nouvellement installés répondent aux critèresdebasedelasécurité.Ilnefautpasoublier,cependant,quecettesécuritésedoit d’êtremaintenuedansladurée.Nousverronscelaplusloin.

Lesserveursdéjàenproduction

Sil’ons’entientexclusivementàl’appréciationdesrisques,sécuriserleparcdeserveurs

existantsdevraitêtrelaprioriténumérounduRSSI.Ildevraitdonclogiquementse

lancer tête baissée dans la sécurisation des serveurs, en commençant par les plus sensibles.Pourtant,procédercommecelaestlagarantied’unéchecpresqueimmédiat. Eneffet,c’estsurceparcdeserveursqu’ilrencontreralesplusgrandesréticencesdela partdeséquipesdeproduction.LeRSSIdoitdoncjouersurplusieursleviers.

Dédramatiser:lapremièreprioritéseradedédramatiserlasécurisationdesserveurs.

Ilfaudramontrerquesécuriserunserveurnegénèrequetrèsrarementdesrégressions

deservice.

Motiver:leRSSIatoutintérêtàmotiverleséquipesdeproductionpourqu’elles

s’impliquentdanslasécurisationdesserveurs.

S’adapteràlaproduction:lasécurisationdevraimpérativementsefondredansle

courantdestâchesprioritairesréaliséesparlaproduction.LeRSSIdoitdoncproposer

unedémarcheprogressive,adaptableauxcontraintesdeséquipesdeproduction.

Paradoxalement,lameilleurefaçondedédramatiserlasécurisationdesserveursconsiste à attendre… Attendre que les mises à jour des postes de travail soient installées et opérationnelles.Cecimontreraàlaproductiondefaçonfactuellequ’appliquerlesmisesà journegénèrepasforcémentderégressiondeservice.

Ensuite,leRSSIdemanderaàlaproductiond’identifierdeuxoutroisserveursjugéspeu sensibles.C’estparcesserveursquel’oncommenceralasécurisation.Lebutestqueles équipes chargées de la sécurisation « se fassent la main » sur ces systèmes, puis procèdentàunretourd’expérience.Leconstatserafaitqu’aucunerégressiondeservice n’aétérencontrée.

Unefoiscesmachinestémoinstraitées,ilresteàmotiverleséquipesdeproductionpour

qu’elless’impliquentdansleprojetdesécurisation.Pourcela,leRSSIdisposededeux

leviersdontilnedoitpassepriver.

Premierlevier:leRSSIcommenceraparsensibilisertoutel’équipedeproduction. L’idéalestderecouriràdesdémonstrationsdepiratagesurunserveur,soitenles réalisantlui-même,soitenlesdéléguantàdesexperts.Lebuticiestdemontrer l’incroyablefacilitédepiraterunserveurnonsécuriséetdefairecomprendrequecela n’arrive pas qu’aux autres. Cette démonstration mettra en évidence que le désagrémentpourleséquipesàsefairepiraterestbiensupérieuràceluidesécuriser lesserveurs. Secondlevier:encomplémentdelasensibilisation,leRSSIdoitconvaincreleDSI d’intégrer la sécurisation du parc des serveurs dans les objectifs annuels du responsabledelaproduction.Ainsi,leresponsabledelaproductionauraunintérêt personnelàfaireavancerleprojet.Iln’hésiteraplusàs’impliqueretrépercuteracet objectifsurseséquipes.

Maintenantquel’onsait,d’aprèslesfaits,quelasécurisationdesserveursestpeurisquée et que les équipes de production sont motivées, on peut enfin commencer la vraie sécurisationduparc.Cettesécurisationdoits’opérerenmodeprojet,c’est-à-direqu’un responsableseradésigné.Ildisposerad’unelisteprécisedesserveurs,avecleurnom, adresseIP,versiondesystèmed’exploitationetfonction.Unticketd’interventionsera créépourchaquemachineàtraiter(ougroupedemachines),pourunbonsuividela sécurisationduparc.Touteslessemaines,leRSSI,accompagnéduresponsabledela

production,passeraenrevuel’avancementduprojetdesécurisation.Cemodeopératoire

permetdes’adapterauxcontraintesdelaproduction.Leprojetavanceraplusvitedans

lespériodescreusesetralentiralorsquedestâchesplusurgentesserontnécessaires.Le

toutestquelasécurisationdesserveursnes’arrêtepas.

Une question se pose alors logiquement : par quelles machines commencer la sécurisation?L’idéeestdetraiterenprioritélesmachineslesplussensibles.Pourcela, onutiliseradeuxcritères:celuiduniveaud’expositiondesmachinesauxrisques,etcelui delasensibilitépourl’entreprise.

Systèmesexposés:sécuriserlessystèmeslesplusexposésestuneprioritécarcesont lesplussusceptiblesdesubirdesattaquesdepuisl’extérieur.Ilestdoncimportant d’identifiercesserveurs.Attention,ilnefautpasselimiterauxsystèmesvisibles depuis Internet, il convient aussi d’intégrer les systèmes auxquels les partenaires accèdent.Eneffet,nulneconnaîtleniveaudesécuritédespartenaires. Systèmessensibles:enmargedeleurexpositionauxmenacesextérieures,certains serveurs sont plus sensibles que d’autres. Par exemple, les serveurs assurant la téléphoniedansuncentred’appelsontcapitaux.Lesserveursdefacturationsontun élément clé pour la trésorerie de l’entreprise. Il va sans dire que les serveurs directementimpliquésdanslaproductionindustriellesonteuxaussiessentiels.

Pourréduirelesrisquesderégressiondeservice,ilestprudentden’appliquerqueles correctifs de sécurité jugés critiques par les éditeurs. De plus, l’application de ces correctifs concernera d’abord les environnements de développement puis de préproduction.Cen’estqu’aprèsdestestsdenon-régression,ouplusieurssemainesde préproductionsansincident,quecesmêmescorrectifspourrontenfinêtreexécutéssur lesplates-formesdeproduction.

Maintiendelasécurité

Lasécurisationdesserveursnouvellementdéployésainsiquecelledesserveursdéjàen

productionnesertàriensiaucuneactiondemaintiendelasécuritén’estentreprise.

Celacommenceparl’applicationdescorrectifsdesécurité.Or,uncorrectifdesécuriténe

s’appliquepasaussisystématiquementsurunserviceenproductionquesurleparcde

postesdetravail.

Mise à jourpériodique des masters : comme cela a été indiqué plus haut, les masterspermettentdedéployerrapidementdesserveurs,conformémentàunmodèle adaptéàl’entreprise.Nousavonsvuqu’ilconvientquecesmasterssoientsécuriséset disposent(entreautresparamètres)desdernierscorrectifsdesécurité.Or,laduréede viedesmasterspeutêtredeplusieursmois,voiredeplusieursannées.Si,parexemple, oninstalleunserveursurlabased’unmasterconstituéilyadix-huitmois,celaveut direqueleserveurauraungrandretardsurlescorrectifsdesécurité.Pluslemaster sera ancien, plus le risque sera grand. Pour éviter cette situation, il convient de reconstruirepériodiquementlesmastersenleurappliquantlesdernierscorrectifsen date.Unemiseàjourparsemestre,voirepartrimestreestsouhaitable.Cettepratique garantitquelesnouveauxserveursinstallésdisposentd’uneversionraisonnablementà jourdescorrectifsdesécurité.

garantitquelesnouveauxserveursinstallésdisposentd’uneversionraisonnablementà jourdescorrectifsdesécurité.

Mise à jour périodique des serveurs : s’il est peu risqué de mettre à jour les correctifs d’un master, la situation est bien différente pour les serveurs déjà en production.Unecampagneannuelle,ousemestrielle,d’applicationdescorrectifsde sécuritéestsouhaitable.Naturellement,lesprécautionsévoquéesplushautsontde rigueur:traitementdesserviceslesmoinsimportantspourvérifierlanon-régression, puistraitementdesservicesentest,suivisdelapréproduction,pourtermineravecles servicesenproduction.

Ilnefautpaslimiterlasécuritédesservicesàlabonneapplicationdescorrectifsde

sécurité.Aulongdelavied’unserveur,desélémentsapplicatifspeuventêtreintégrés,de

nouveauxcomptestechniquesdéclarés,desfichiersajoutés,etc.Chacunedecesactions

nécessairesaumaintienenconditionsopérationnellesestsusceptibled’engendrerune

régressionduniveaudesécurité.Cesmodificationssontgénéralementencadréesparun

processusformeldemiseenproduction.Ilestdoncimportantquel’équipeduRSSIsoit

impliquéedansceprocessus.Celapermettrades’assurerquelesmodificationsn’ontpas

d’influencenégativesurlasécurité.

Unemesurecomplémentaireconsisteàvérifierpériodiquementlasécuritéduparcde serveursetdesservicesqu’ilshébergent.Malheureusement,cecontrôleestquasiment impossible à réaliser de façon systématique sur tout le parc. Une approche par échantillonnageestbeaucouppluspragmatique.Ils’agitdesélectionnerunefoisparan uncertainnombredeservicesàsurveiller,puisdelesfaireauditerpardesconsultants spécialisésensécurité.Cetteapprochedonneunavispertinentetindépendantsurle niveau de sécurité des services les plus essentiels. On peut aussi utiliser un service d’auditautomatiquedevulnérabilitéssurtouteuneplaged’adresses.Lesrapportsde vulnérabilités sont moins poussés que ceux des audits faits manuellement par des consultants,maisilspeuventêtrelancésplussouventetsurunebasebeaucoupplus large.

Plusconcrètement,cesauditsdecontrôlepermettentd’inspecterlesserveurscibléspour vérifierqu’ilssontconformesauxpolitiquespubliéesparleRSSI:absencedeservice inutile,contrôledesmotsdepassetriviauxpourlescomptespardéfaut,applicationdes correctifsdesécurité,etc.Ensomme,leRSSIdoittoujoursréserverunepartiedeson budgetpourauditerunéchantillondeserveurs.Lasélection dessystèmesàvérifier dépendradelasensibilitédesdispositifsenproductionainsiqueducontextedumoment (présenced’incidentsdesécuritérécents,faillesdétectées,etc.).Unelisted’actionsde sécurisationseramiseaupointentenantcomptedurapportd’audit.Naturellement,ces actionspourrontêtreextrapoléesauxautresserveurs.

Rappelonsenfinquelemaintiendelasécuritédesservices,qu’ils’agissedessystèmes d’exploitation, des bases de données, des serveurs FTP, HTTP, SMTP ou autres applications,dépendgrandementdelarigueurenmatièred’administration.Aussiest-il fortement recommandé de recourir à un mécanisme de contrôle des accès d’administration.Lemarchéregorgedesolutionsgratuitesoupayantes.

de recourir à un mécanisme de contrôle des accès d’administration.Lemarchéregorgedesolutionsgratuitesoupayantes.

Chapitre9

Sauvegardesetrestaurations

Lessauvegardessontunedisciplineàpartentièrequidépasseamplementledomainede la sécurité des SI. Le propos de ce chapitre n’est donc pas d’expliquer comment organiserlessauvegardes,carcelajustifieraitensoiunouvragetoutentier.Cechapitre viseplutôtàdécrireenquoileRSSIpeutcontribuerconcrètementàcequeleprocessus dessauvegardes,siimportantpourleSI,soitdignedeconfiance.

EnquoileRSSIpeut-ilêtreutilepourles

sauvegardes?

Onatendanceàcroirequelessauvegardessontuneproblématiqueexclusivedela

production.Ilnefautpourtantpasoublierlescontraintesdumétier,quidoiventêtreen

principeàl’originedessauvegardes.Danslesfaits,onestenprésencededeuxélans:

d’une part celui des besoins réels de sauvegarde/restauration, directement issus des métiers,etd’autrepartceluidespratiqueseffectivesdesauvegarde/restauration,issues deprocessuspurementtechniquesmisenplaceprogressivementparlesinformaticiens, aufuretàmesuredel’évolutionduSI.Cesdeuxélansonttendanceàdivergerl’unde l’autre,alorsqu’ilssontcensésconvergersanscesse.Cetteévolutiondivergenteconduit àtroisrisquestrèsconcrets.

Omission : les sauvegardes sont un processus technique, mis en place par des architectesetopéréspardesadministrateurs.Ellessontenrichiesprogressivement,à mesurequeleSIévolue,etilarrivefréquemmentquecertainsélémentsduSIsoient oubliésduprocessusdesauvegarde,sibienqu’encasd’incidentsurceséléments,il esttrèsdifficiledelesrestaurer. Mauvaiseduréederétention:unsecondrisqueestdenepasretenirsuffisamment longtempslessauvegardes.Unefoisdeplus,ilfautconsidérernonseulementles besoinstechniques,maisaussilesbesoinsmétierpourdéciderladuréederétention dessauvegardes.Onneserendcomptedecetteinadéquationquelejouroùona besoinderestaureruneinformationquin’existeplus. Impossibilitéderestaurer:untroisièmerisquetrèsrépanduconsisteànepassavoir restaureruneinformationquel’oncroyaitpourtantbiensauvegardée.Celaarriveavec lesinformationsquel’onestrarementamenéàrestaurer.

Face à ces problèmes, en quoi le RSSI peut-il être utile ? Par son positionnement transverseauniveauduSI,leRSSIestàlafoistournéverslemétier,toutenrestantau contactdelatechnique.Ilestobligéd’avoirunevisiond’ensembleetunepartiedeson travail consiste à modéliser différents aspects du SI. Il a donc les compétences appropriées pour vérifier l’adéquation entre les pratiques techniques de sauvegarde/restaurationetlesbesoinsréels.

Pour réaliser ce travail, il commencera par dresser une cartographie précise des sauvegardes,cequiluipermettraensuitedevérifierquelesrestaurationssonteffectives.

Cetravailconduiraàcequelessauvegardessoientunprocessusfiable.Ainsi,encasde

sinistremajeur,deperteaccidentellededonnéesouencasdedestructionmalveillante

d’informations,leséquipesdelaDSIaurontlapossibilitédereconstruirefacilementles

donnéessinistrées.

d’informations,leséquipesdelaDSIaurontlapossibilitédereconstruirefacilementles donnéessinistrées.

Cartographierlessauvegardes

Nousallonsvoirquelesmécanismespoursauvegarderlesdonnéessontnombreuxet complexes. Les documents opératoires existent, mais ils sont épars, rédigés à des époquesdifférentesetrarementtenusàjour.Desurcroît,lorsquel’onquestionneles sachants,oncomprendvitequesichacunasavisiondessauvegardespropreàson domaine,personnenedisposed’unevued’ensemble.Danscesconditions,comment savoirsilessauvegardessontvraimentdignesdeconfiance?Commentgarantiraux utilisateursque,quoiqu’ilarrive,encasdeproblème,onsauraremettrelesdonnéesdans unétatcorrectetcomplet?

C’est pourquoi dresser une cartographie de haut niveau sur les sauvegardes est la premièrechoseàentreprendre.

Surquoiportentlessauvegardes?

Pour commencer la cartographie, le RSSI rencontrera tous les acteurs de la DSI concernésafindepasserenrevuechaquepointcenséfairel’objetd’unesauvegarde.Son butestdevérifierqu’aucundispositifimportantn’aétéoublié.Lesdifférentsdomainesà parcourirsontlessuivants.

Lesbasesdedonnées:cesontlesdonnéesfaisantl’objetdessauvegardeslesplus soigneuses.Ilconvientd’enfairel’inventairetantd’unpointdevuemétier(base clients,basesmétier,basesfinancières…)quetechnique(Oracle,Sybase,MySQL, SQLServer…).Ilestaussitrèsimportantdesavoirsousquelleformecesbasesde données sont instanciées. Sont-elles portées par un cluster physique ? Sont-elles hébergéesauseind’unemachinevirtuelle?Surquellesbaiesetàquelsendroitsse trouventphysiquementlesdonnées? Lesserveursdefichiers:lespartagescontiennenttouslesfichiersmanipulésparles utilisateursdetouteslesdirections.Ilfautsavoirquelssontlesserveursfournissant cesservices(partagesSAMBA,NFS,CIFS…)etlocaliserprécisémentlesvolumes partagés. Lesserveursvirtualisés:lesDSIconcentrentdeplusenplusleursserveursdansdes infrastructures de virtualisation, basées sur des châssis et des lames assurant le traitement.Lesmachinesvirtuellessont,enfait,desfichierschargésenmémoire.Il est donc très important d’identifier où sont stockées ces machines virtuelles, qui prennentunepartimportantedanslesbaiesdestockage. Lesserveursphysiques:àforcedetoutvirtualiser,onatendanceàoubliercertaines machines physiques qui, pour quelque raison que ce soit, ont échappé à la virtualisation.Cesmachinesassurentpourtantdesfonctionsimportantes.Ilnefaut doncpaslesoublier. Les équipements d’infrastructure : enfin, il faut penser à sauvegarder la configuration des équipements sensibles de l’infrastructure, sans lesquels aucun servicenepourraitêtrerendu.C’estlecasdescœursderéseau,desrouteurscentraux, maisaussidesrépartiteursdecharge,despare-feu,sansoublierlescontrôleursde

maisaussidesrépartiteursdecharge,despare-feu,sansoublierlescontrôleursde

baies de disque ou les systèmes de pilotage de l’infrastructure de virtualisation. Certainsdecesélémentssontrégulièrementoubliés.

Différentsniveauxdesauvegarde

Identifierlesobjetsdelasauvegardenesuffitpas.Ilfautaussiconnaître,pourchacun

d’eux,parquelmoyentechniqueestréaliséelasauvegarde.Unepalettetrèsvastede

solutionss’offreànous.

Niveau système : tous les systèmes d’exploitation intègrent des mécanismes de tous les systèmes d’exploitation intègrent des mécanismes de sauvegarde.SurlessystèmesUnix,ilesttrèsfréquentd’utiliserlesmécanismestels que dd, rsync,outoutsimplementlacopieviaSCPouFTP.LesserveursWindows disposent quant à eux d’un utilitaire de sauvegarde. De nombreux objets sont sauvegardéstoutsimplementenutilisantcesmécanismesélémentairesetrépandus. Niveaubasesdedonnées:lessystèmesdegestiondebasesdedonnéesproposent d’innombrablesmécanismespoursauvegarderlesbases.

Niveau contrôleurde disques : certains dispositifs pilotant les baies de disques peuvent être configurés pour recopier simultanément, et en certains dispositifs pilotant les baies de disques peuvent être configurés pour recopier simultanément, et en temps réel, toutes les écrituressurdeuxbaiesdedisquesdifférentes.C’estcequel’onappelle«l’écriture en Y ». Ce mécanisme n’est pas à proprement parler un mécanisme de sauvegarde/restauration,maisilpeutêtreinvoquédanslecadredessauvegardes. Outilsdédiésmulti-plates-formes:denombreuxéditeursproposentdesprogiciels spécialisésdanslessauvegardesmulti-plates-formes.Ilssontbaséssuruneconsole centrale,quisechargedepiloterl’ensembledessauvegardes,etdesagentsdistribués sur les différents systèmes (voire directement sur les baies de disques ou les hyperviseurs de machines virtuelles). Les opérateurs programment des politiques ciblantdifférentsobjetsàsauvegarderetcelles-cisontexécutéesaumomentspécifié. Cessolutionsontl’avantagedefonctionnersurquasimenttouteslesinfrastructuresde tousleséditeurs.Unautreavantagedecesprogicielsestqu’ilsfournissentaussiun servicetrèssimplederestaurationdesdonnées.

Enplusdecesniveaux,lessauvegardespeuventêtrefaitesentempsréelouàintervalles réguliers.Ellespeuventêtrecomplètesouincrémentielles.Onpeutleseffectuersous formed’exportdedonnéespuisdecopieversunautrevolume.Bref,lasituationserait presque lisible si une seule de ces solutions était utilisée pour l’ensemble des sauvegardes.Malheureusement,ils’agitpresquetoujoursd’unecombinaisoncomplexe detouscesmoyens,accumulésaufildutemps,àmesuredesévolutionssuccessivesdu SI.Nousarrivonsdonctoujoursàunesituationtrèscomplexe.

Cartographier

Touteslesconnaissancesnécessairesàlacartographiedessauvegardessontmaintenant

réuniespourformaliserleprocessusdanssonentier.Deuxoptiquescomplémentaires

vontêtreretenues,cequinousconduiralogiquementàréaliserdeuxschémas.

Le premier schéma met en évidence les objets sauvegardés, les outils et protocoles utiliséspoureffectuerlessauvegardesainsiqueladestinationdessauvegardes(baiesde disques,VTLoubandephysique).Cetypedeschémapermetdeparcourirleséléments

réellementsauvegardés,cequisertauRSSIpourvérifierqu’aucunélémentimportantde

l’infrastructuren’aétéoublié.

Lesecondschémamodéliseladuréederétentiondechaquesauvegardeainsiqueson modedestockage.Enformalisantladuréederétentiondesdonnées,cesecondschéma permet de s’assurer que cette durée de rétention est compatible avec les exigences applicativesetdumétier.

Autrespointsàvérifier

Àcestade,letravailpours’assurerquelessauvegardesfonctionnentestpresqueterminé.

Ilrestetoutefoisdeuxpointscomplémentairesàvérifier.

Preuvesdesauvegarde:ilparaîttrivialdedirequ’exécuterlessauvegardesnesuffit pas. Encore faut-il vérifier qu’elles se sont correctement déroulées. Pourtant, les sauvegardessontdevenuestellementcomplexes,sesuperposantlesunesauxautres, seglissantentredeuxprocéduresbatch,quelesincidentssontnombreux.Ainsi,une vérificationsystématiquedespreuvesdesauvegardedoitêtreétablie. Modesopératoires: pour chaque objet sauvegardé (base de données, groupe de machines virtuelles, équipement, système…), il convient de vérifier que le mode opératoiredétailléexiste,qu’ilestàjouretconnudetouslesopérateurs.

Àpartirdecemoment-là,onpeutavoiruneassuranceraisonnablequelessauvegardes

sontbieneffectuées,qu’ellesportentsurlesbonnesdonnées,qu’aucuneinformation

importanten’aétéoubliéeetquelesduréesderétentionsontappropriéesparrapportaux

besoinstechniquesetauxbesoinsmétier.

importanten’aétéoubliéeetquelesduréesderétentionsontappropriéesparrapportaux besoinstechniquesetauxbesoinsmétier.

Restaurations

Avoirl’assurancedubondéroulementdessauvegardespeuts’avérerparfaitementinutile

sionn’arrivepasàrestaurerlesdonnéesencasdebesoin.Celaarrivesurtoutpourles

donnéesquel’onn’estd’ordinairejamaisamenéàrestaureretpourlesquellessoitonne

disposeplusdesmodesopératoires,soitilssontobsolètes.Desexercicesréguliersde

restaurations’avèrentdoncnécessaires.

Différentstypesderestaurations

On pourrait penser que les restaurations de données ne sont réalisées qu’exceptionnellement,justeencasdeproblèmeimportant.Enfait,lesoccasionsde restaurernesontpassirares.Enobservantbienl’activitédelaproduction,ons’aperçoit mêmequelesactionsderestaurationsontassezfréquentes.Ellespeuventêtrefaites systématiquement,àunepériodedonnéeoudefaçonopportuniste,encasdebesoin.

Recopiessystématiques:pourcertainesapplicationsparticulièrementimportantes, les bases de données de production sont périodiquement copiées vers un autre environnement, de façon quotidienne ou hebdomadaire. Ceci est réalisé par un ordonnanceurdetâches,uneprocédurestockéeoutoutautremécanismebatch.Lebut decetteopérationestdecréerunenvironnementbis,contenanttouteslesdonnéesde productionetaidantàexécuterenavancedephaselestraitementssensibles.Cela permetdecorrigerleséventuelleserreurs.Decettefaçon,lorsqueplusieursheures plus tard, les traitements s’effectueront pour de vrai, dans les bases réelles de production,lesrisquesd’un«plantage»serontminimes.Unautreusagepossiblede cescopiessystématiquesd’environnementsestletestd’évolutionsapplicativesdans unenvironnementtrèsprochedeceluideproduction.L’effetsecondairedecesdeux exemplesestquelesbasesdedonnéesenquestionsontsauvegardéesetrestauréestrès fréquemment. Restaurations ponctuelles occasionnelles : il arrive régulièrement que les utilisateurs effacent par erreur des fichiers dans les volumes partagés. Lorsqu’ils s’aperçoiventdel’erreur,ilscontactentleserviced’assistance,quiouvreunticket avantderelayerlademandederestaurationauxéquipestechniques.Ceprocessus fonctionne très bien car il est techniquement géré par des progiciels spécialisés. Certainsdecesoutilsvontjusqu’àpermettreauxutilisateursdepilotereux-mêmesla restauration,viauneinterfaceweb. Restaurationsgénéralesopportunistes:certainsprojetsinformatiquesnécessitent deréaliserdessauvegardes/restaurationsdepansentiersdusystèmed’information. C’est le cas lorsque les équipements d’infrastructure doivent être physiquement déménagésd’unsiteversunautre.C’estaussilecaslorsdestestsdeplandesecours informatiqueoulorsdesévolutionsmajeuresdansl’infrastructure.Touscesprojets sontd’excellentesoccasionspourtesterengrandeurréelleleprocessusderestauration dedonnées.

Si,pourundomaineimportant(telqu’unebasededonnéesmétiersensible)aucune restauration n’a été effectuée dans l’année, la programmation d’un exercice de

restauration n’a été effectuée dans l’année, la programmation d’un exercice de

restaurations’impose.

Laréalisationdestestspeuts’accomplirentroistemps.

Spécificationdutest:sil’aspecttechniqueestextrêmementimportant,ilnefautpas oublierlemétier.Aussi,pourlestestsderestaurationdebasesdedonnéesmétier,il estimportantdedemanderàunutilisateurdespécifierdefaçonformellecomment vérifierlerésultatdelarestauration.Cepeutêtrefaitsimplementencomparantune captured’écranapplicatiffaiteavant,puisaprèsletestouenexécutantunerequête effectuant des calculs avant, puis après le test. Bien entendu, pour les tests de restaurationdedispositifspurementd’infrastructure(serveurs,commutateurs…)un jeudeteststechniquesdevraêtreréalisé. Exercice:ils’agiticid’exécuterlarestaurationdesdonnéesetdegarderunetrace techniquedesrésultats. Validation : pour les restaurations d’éléments d’infrastructure, une validation formelle de la non-régression du service est souhaitable. Pour ce qui est de la restaurationdesbasesdedonnéesmétier,lavalidationparlemétierestnécessaire.En effet,cettevalidationestexigéepardetrèsnombreuxréférentielsd’audit.

Enfin, il peut être utile que le RSSI, aidé de l’exploitation, dresse annuellement un programme de restauration. Il s’agit d’un document synthétisant les actions de restaurationprévuesparlaproduction,ainsiqueleurpérimètre.Celapermetdeplanifier lesexercicessurlesélémentsmanquants.

Àcestade,onpeutaffirmerquelesrestaurationsfonctionnementcorrectement.

lesexercicessurlesélémentsmanquants. Àcestade,onpeutaffirmerquelesrestaurationsfonctionnementcorrectement.

Chapitre10

Maîtriserlesidentitésetlesaccès

Nousabordonsdanscechapitreledomainelepluspénibledanslavied’unRSSI:la

gestiondesidentitésetdesaccès.Cedomaineprésentequasimenttoujoursdescarences

chroniquesrendantinutilesleseffortsdesécurisationfaitsàd’autresniveaux.C’estpour

celaquetouslesRSSIconsententdeseffortstrèsimportantspouraméliorercedomaine,

maisforceestdeconstaterquelessuccèssonttrèsmitigés.Cechapitrecommencerapar

montrerenquoilagestiondesidentitésetdesdroitsestsicomplexe.Ilproposeraensuite

unensembled’actionssimplesetpragmatiquespourmaîtrisercedomaineautantque

fairesepeut.

Complexitédelagestiondesidentités

LagestiondesidentitésestsansaucundouteleprojetleplusdélicatàgérerpourleRSSI

etceàplusd’untitre.

C’estd’abordparcequec’estundomainetrèsimportantenmatièredesécurité.Onpeut fairetousleseffortspoursécuriserlesréseaux,lessystèmesetlesapplications,siaucun contrôlen’esteffectuéauniveaudescomptes,c’estlaporteouverteàtouteslesattaques. Eneffet,uncomptenonsuppriméoudesdroitsmalpositionnéspeuventêtreexploités parunepersonnemalveillante,surtoutsilecompteenquestiondisposedeprivilèges.De plus, la gestion des comptes figure systématiquement dans tous les référentiels de sécurité.C’estpourquoitouslesauditeurs,qu’ilssoienttechniquesouorganisationnels, demanderontdescomptesauRSSIdanscedomaine.

Nousallonsdétaillerdanscettesectionlesraisonsquifontdelagestiondesidentitésun

vraicasse-têtepourleRSSI.Nousverronsquecen’estpasseulementlagestionde

l’identitéquiposeproblème,maisaussilagestiondesdroitsd’accès.

Fonctionnalitéssimples

En principe, rien n’est compliqué dans la gestion des identités et des droits. En simplifiant à l’extrême le processus, on pourrait le réduire à quatre fonctions fondamentales. Nous allons voir que deux de ces fonctions présentent quelques difficultés.

Créationducompte:ils’agiticidecréeruncomptepourl’utilisateurafinqu’il

puisseaccéderàl’applicationouàl’environnementenquestion.Malgrécertaines

imperfections,ceprocessusfonctionnecorrectementparlaforcedeschoses.Eneffet,

toutepersonneabesoind’uncomptepourtravailler.

Attributiondedroits:presquetouslesenvironnementspermettentdedistinguer

plusieursclassesd’accès.Lesplusarchaïquesdistinguentl’accèsillimitéenlecture-

écriture(appelésouvent«modeadministrateur»)etl’accèsenlectureseule.Les systèmesplusévoluéspermettentdespécifierdesgroupesoudesprofilsavecdes droitstrèsfinementpositionnés.Associéeàlacréationducompte,l’attributiondes droitsestgénéralementbienopérée. Modificationdedroits:leschangementsdefonctiondescollaborateursimpliquent lebesoindemodifierleursdroitsd’accès.Forceestdeconstaterquesansdesactions fortes de management, cette fonction n’est pas très efficace. Concrètement, les utilisateursonttendanceàcumulerlesdroitsd’accèstoutaulongdeleurviedansle SIcarilsacquièrentdenouveauxdroitssanspourautantperdreceuxdontilsn’ont plusbesoin. Suppression du compte : la mutation ou le départ d’un collaborateur doit, en principe,déclencherlasuppressiondesescomptes.Làaussi,onconstatesouventque denombreuxcomptesdemeurentactifsalorsqueleurtitulaireaquittésesfonctions.

denombreuxcomptesdemeurentactifsalorsqueleurtitulaireaquittésesfonctions. Complexitédel’identité

Complexitédel’identité

La gestion des identités couvre deux niveaux : le niveau technique (comptes de l’annuaire, de l’AD, d’administration aux bases de données, d’administration des équipementsréseau,etc.)etleniveauapplicatif.

Lescomptesdeniveautechniquesontglobalementsouslaresponsabilitédirectedela

DSI.Cependant,nousnepouvonspasparlerd’unegestiondel’identitéunique,mais

plutôtdeplusieursgestionsdesidentités.Eneffet,lesbasesdedonnéessontgéréespar

deséquipesdifférentesdecellesquisechargentdel’annuaired’accèsauréseau,qui

diffèrentdeséquipesadministrantlescomptessurlessystèmesd’exploitation.Onvoitici

queleRSSIaaffaireàunemultituded’interlocuteursdifférents.

La situation au niveau applicatif n’est pas plus claire, car les applications couvrent plusieursmétiersetplusieursservices.Laresponsabilitédelacréationetlasuppression des comptes est donc massivement répartie sur quasiment toutes les directions de l’entreprise.Danscesconditions,ilestdifficilepourleRSSId’avoirunevueclairedela question.

Complexitédesdroits

Créerousupprimerdescomptesestunechose,gérerleursdroitsenestuneautre.Là

aussi,lesdifficultéssemultiplient.

Lapremièredifficultéestd’ordreorganisationnel.Eneffet,chaqueapplicationdisposede

différentsniveauxd’habilitation.Cesniveaux,plusoumoinscomplexes,sontgérésde

façontrèsvariée,soitenattribuantdirectementlesdroitsauxutilisateurs,soitencréant

desgroupes,oudesprofilsauxquelslesutilisateursdoiventadhérer.Certainesfonctions

nécessitentlecroisementdeplusieursprofils,cequipeutrapidementcréerdescumulsde

droitsthéoriquementincompatibles.

Enfin,notonsquelesujetestaussicomplexedufaitqu’ilfautgérerl’historiquedes applications. Souvent, les anciennes applications gèrent les droits de façon moins rigoureusequelesplusrécentes,cequicompliqueencoreplusletravailduRSSIquidoit entenircompte.

Approchespourgérercettecomplexité

Surmonterlesdifficultésissuesdesfacteursdecomplexitéexposésci-dessusn’estpas impossible.Deuxgrandesapprochesaidentàmaîtriserautantquepossiblelesquestions liées à l’identité et aux accès. Nous aborderons d’abord l’approche structurée que proposel’IAM,puisnousdétailleronsuneapprocheplusempirique.

L’approchestructuréedel’IAM

Toutescesdifficultésontétéinitialementtraitéesunitairementdefaçonartisanale,mais

unedisciplineaprogressivementvulejour.Ils’agitdel’IAM.

Vocabulaire

IAM est l’acronyme de Identity and Access Management. Ce terme désigne toutes les dispositions techniques et organisationnelles déployées dans le but de maîtriser les identités et les accès aux données.

Cettedisciplineviseàtraiterlesquestionsdedroitsetd’identitédefaçonrationnelleet

intégrée.L’IAMconduitsouventàmodéliserl’ensembleducycledeviedesidentités

pourmieuxcontrôlerlescomptesetleursdroits.Naturellement,desoutilsdédiésàces

tâchesontétédéveloppés.Leséditeursdelogicielsetlescabinetsdeconseilspécialisé

onttrèsvitecomprisqu’ilspouvaientaiderleRSSIdansledomaine.

Outilsd’IAM:l’offred’outilsestfoisonnante.Leséditeursproposentpourlaplupart desoutilsdemodélisationdesfluxdegestiondesidentités.Souvent,ilsyassocient desdispositifsdesuividesdemandes.Lesoffressontcomplétéespardeslogiciels dressantdesétatsdeshabilitations,cequifacilitegrandementlesrevuesdesdroits. CertainséditeursassocientàcesoutilsdesdispositifsdeSSOdanslebutd’allégerles authentificationsauniveaudel’utilisateur. ConseilenIAM:lacomplexitédelagestiondesidentitésesttellequ’ilnesuffitpas deseprocurerunoutild’IAMpourréglerleproblème.Uneassistancedelapartd’un expertestpresquetoujoursnécessaire.Aussi,lescabinetsdeconseilproposentde nombreux services allant de l’étude de cadrage du projet d’IAM à l’assistance à l’intégration,enpassantparlaconduiteduchangement.

L’IAM apporte donc une réponse rationnelle à la problématique des identités. Elle permetainsides’affranchirdeladémarcheartisanalesilimitée.L’outillagetechniqueet méthodologiquequ’elleproposeestparfaitementjustifiéàpartird’unecertainemasse critiqued’identitésàgérer.

Remarque

Cechapitren’apaspourobjetdeprésentercequ’estunprojetd’IAM.Lelecteurestinvitéàapprofondirce

pointdanslesnombreuxouvragesconsacrésàcettequestion.

Alorsquel’IAMrépondspécifiquementàlaproblématiqueabordéedanscechapitre,on

peutsedemanderpourquoiellen’estpassystématiquementappliquéedanstoutesles

entreprises.ÉcouterattentivementlesRSSIsurcettequestionestédifiant.Lorsquel’on assisteauxconférencesfièrementintitulées«Commentréussirsonprojetd’IAM»,on s’aperçoitenquestionnantl’orateurqueleprojetdontilparleagénéralementdurébien pluslongtempsqueprévu,coûtébienpluscherqueprévu,etcouvertnettementmoins d’applications que prévu initialement. En fait, les projets d’IAM sont extrêmement complexesetsontsoumisàdenombreuxrisquesd’enlisementtechnique,financieret administratif.Laréussitedecesprojetsestbiensouventdiscutable.LeRSSIdoitdonc êtreextrêmementprudentaumomentdeselancerdansunprojetd’IAM.Avantdele lancer,ildoits’assurerque:

ildisposedesmoyensfinanciersnécessaires;

lecadrageduprojetestpertinent;

ilaidentifiélebonchefdeprojetetlesbonsconsultants,réellementexpérimentés

danscesquestions;

ildisposedusoutiendeladirection.

Afinderéduirelesrisquesliésàcetypedeprojet,certainsRSSIprudentsprocèdentpar

étapes.Ilscommencentparlancerunprojetd’IM,c’est-à-direqu’ilsnes’intéressentdans

unpremiertempsqu’àlagestiondesidentités.Ilsnes’attaquentauAdel’IAMquedans

unsecondtemps.Pourlimiterencorepluslesrisquesduprojet,cesRSSIprivilégientles

phasesimpliquantuniquementlebackofficedanslebutderendreleprojetleplus

transparentpossibleparrapportauxutilisateursetauxdirectionsmétier.Enfin,notons

quesileprojetd’IAMs’accompagnedelamiseenplacedeSSO,celafaciliteson

acceptationparlesutilisateurs,quin’aurontplusqu’unseulmotdepasseàsaisirpour

touteslesapplications.AttentiontoutefoisauSSO,quilui-mêmevéhiculesouventde

nombreuxrisquesprojet…

Approchepragmatiquedel’IAM

L’IAM,tellequeprésentéeprécédemment,n’estpasl’uniquefaçondetraiterlaquestion des identités et des droits. Le RSSI peut opter pour une approche beaucoup plus pragmatique,baséesurdesprocessustrèssimples.

LeRSSIcommencerapardéterminerunpérimètreprécissurlequelilfocaliserases

efforts.Ilestinutiledesedisperserenprétendantmaîtrisertouteslesidentitésdetoutes

lesapplications.Ils’attaqueraensuiteauniveaudematuritédesprocessusdegestiondes

comptesetdesdroitssurcepérimètre.Pourcompléterl’ensemble,ilprocéderaàdes

contrôlespériodiques.

Cadrage

Quasimenttoutenvironnementinformatique(dusimplesystèmeàl’applicationlaplus sensible)permetdeseconnecteretdeprocéderàdesactionsplusoumoinsavancéesen fonction d’un profil. Donc, dans l’absolu, chacun des environnements devrait théoriquementêtreintégrédansleprocessusgénéraldegestiondesidentitésetdesdroits. Danslesfaits,seulsquelques-unsdecesenvironnementssontréellementtrèssensibles. C’estsureuxqueleRSSIdoitsefocaliser.Lapremièreétapeconsistedoncàidentifier les environnements les plus stratégiques. On commencera par les environnements

techniques,telsquel’annuaireinterne(s’ilyenaun),l’annuaireAD,ainsiquelesbases

dedonnéeslesplusimportantesdel’entreprise.Onpourraaussiincluredanscedomaine

lesaccèsdistants.

Ilfaudraensuitesepositionnerauniveauapplicatif.Lacartographieapplicativedes

entreprisesreprésenteplusieursdizaines,voireplusieurscentainesd’applications.Ilest

nécessairedesélectionnerlesplusimportantesd’entreelles.

Applicationspilotantdesactivitéscritiques:ilvadesoiqu’unegestioncorrecte desidentitésesttrèsimportantedanscesapplications.C’estnotammentlecaspourles applicationsdepilotageindustriel. Applicationscomportantdesdonnéessensibles:nousparlonsicidesapplications manipulantdesdonnéesàcaractèrepersonnelainsiquecellescomportantdessecrets industrielsoucommerciaux. Applicationsfinancières:lessociétéssontpourlaplupartsoumisesrégulièrementà des audits de commissaires aux comptes. Ces auditeurs se focalisent sur les applicationsfinancières.Ainsi,ilconvientquetouteapplicationengendrantdesflux financierssoitintégréedansleprocessusdegestiondescomptes.Celaconcerneles applicationsdecomptabilité,defacturation,decommandes,etc.

Unefoiscesenvironnementstechniquesetcesapplicationssensiblesbienidentifiées,le RSSI peut dresser une liste officielle de domaines qui feront l’objet d’une attention particulièreenmatièredegestiondescomptesetdesdroits.

Niveaudematurité

Pour chacun de ces environnements identifiés, il faudra ensuite passer en revue les processus de création, suppression de compte, vérifier le niveau de maturité de la documentation,ainsiqueleurtraçabilité.

Processusdecréation:leRSSIcommencepars’informerdelafaçondontlecompte

estcréé.Ilregardenotammentsileprocessussuittoujourslemêmecheminousi

plusieurscassontpossibles.Ilvérifieaussiquelescomptesnesontcréésqu’aprèsla

validationparunepersonnehabilitéeàenfairelademande.

Existencededocumentation:danscertainscas,ladocumentationpourcréerun

compteselimiteàunsimpleschémadeflux.Dansd’autres,onpeuttrouverdes

modesopératoiresdétaillés.LeRSSIdoitvérifierl’existencededocumentation,qu’il

s’agissed’uneprocéduregénéraleoud’unmodeopératoiredétaillé.Ils’assureaussi

quecesdocumentssontbienàjouretqu’ilssontconnusdetous.

Traçabilité:undernierpointàcontrôlerestlatraçabilitéduprocessus.L’entreprise

doitêtrecapablederenseignerquiademandéquelaccèsetquandcetaccèsaétécréé.

Généralement,cettetraçabilitéesteffectuéesoitparcourrierélectronique,soitviaun

outildegestiondetickets.

Généralement,lacréationdecompteestrelativementbienopéréeetdocumentée.Le RSSI devra vérifier ces mêmes points (processus, documentation, traçabilité) pour l’attributionetlamodificationdesdroits,ainsiquepourlasuppressiondescomptes.

Contrôlespériodiques

Ils’agitdelaphaselaplusimportantedecettedémarchepuisqu’elleconsisteàvérifier

lescomptesetlesdroits,puisàfairecorrigerlesanomalies.Pourcela,descontrôles

périodiquessurdifférentsaspectsdel’identitéetdesdroitsserontréalisés.Ilsprendront

laformederevuesgénérales,domainepardomaine.

Lesrevuescouvrirontessentiellementlesdomainessuivants:

Lesrevuescouvrirontessentiellementlesdomainessuivants: lesutilisateursdesdifférentsannuairesdel’entreprise;

lesutilisateursdesdifférentsannuairesdel’entreprise;

lesaccèsdistantsauSI;

lesaccèsàl’administrationdesinfrastructurescritiquesduSI;

lesapplicationsidentifiéescommetrèssensibles.

Pourchacundecesdomaines,lespointssuivantsserontvérifiés:

contrôledesadministrateursdudomaineenquestion;

contrôledescomptesgénériques;

contrôledescomptespartagés;

identificationdescomptesdormants;

revuedétailléedesdroits.

Chacunedecesrevuesdonneralieuàunrapportrépondantauplansuivant.

Partie1-Étatdescomptesavantlarevue:ils’agiticidelisterlescomptesen

question (et si nécessaire leurs droits). La date d’extraction devra être précisée. Naturellement,silescomptessonttropnombreuxpourêtrelistés,ilserapossiblede joindrecettelistedansunfichierenannexe.Letoutestdepouvoiryaccéderencasde besoin.

Partie2-Décisionsprisesparlesvalidateurs:leRSSIferasuivrecettelisteaux

différentespersonneshabilitéesàvaliderlesdroitsetlesidentités.Lesnomsdes

validateurs,ledétaildeleursdécisionsetladatedesdécisionsserontconsignés.

Exemple

Concrètement,levalidateurpourlecontrôledesdroitsd’administrationauxbasesdedonnéesserale

responsabledesadministrateurs.Levalidateurpourlecontrôledesdroitsd’accèsdistantsauSIserala

(oules)personne(s)habilitée(s)àattribuercesdroits.Levalidateurpourlescomptesduméta-annuaire

seratrèslogiquementunmembredelaDRH.

Partie3-Étatdescomptesaprèslarevue:unefoislesmisesàjoureffectuées,un

nouvel état est généré. Son but est de vérifier que toutes les décisions ont été correctementappliquées.

Nousdevinonssansdifficultéque,s’ilestréaliséàlamain,cetravailderevueesttrès

fastidieuxetnécessiteunsuivitrèsattentif.Siaucunoutiln’accompagnecetravail,ilne

serapaspossibledemeneràbienplusd’unerevueannuelle.Heureusement,certains

outilsdumarchéindustrialisentceprocessusenautomatisantlesrapprochements,les

relancesetengénérantdesétatsappropriés.SiunteloutilassisteleRSSI,unerevue

trimestrielledevientenvisageable.Enrèglegénérale,pluslarevueserafréquente,plus

lesidentitésserontmaîtrisées.

Différentspointsàcontrôler

Nous venons de voir que des contrôles périodiques sont nécessaires. Il nous reste maintenantàpréciserplusendétailquelssontlespointsàcontrôler.

N’oublions pas que le but fondamental des revues est de s’assurer des trois points suivants.

Lescomptesdoiventcorrespondreàdespersonnesréellementprésentesetactives

dansl’entreprise.

Lesdroitsassociésàcescomptesdoiventêtrepertinents.

Lescomptesnesontutilisésqueparuneseulepersonne.

Aussilescontrôlesci-aprèsvisent-ilsàs’assurerquecestroisrèglessontbienappliquées

etqueleséventuellesexceptionssontdûmentjustifiées.

Confirmerlesdroitsd’administration

Lesdroitsd’administrationsonttrèsconvoitésparlesattaquantscarilspermettentde nuire fortement au SI. Nous devons distinguer ici les droits d’administration aux infrastructurestechniquesetlesdroitsd’administrationapplicative.

Droitsd’administrationtechnique:certainsenvironnementstechniques,commeles systèmesd’exploitation,lesbasesdedonnées,lesplates-formesdevirtualisation,les équipements réseau sensibles ou les contrôleurs de disques ont une importance critiquepourtoutleSI.Ilestcapitalqueseuleslespersonneshabilitéesyaientaccès. Le RSSI doit donc procéder à une revue très précise des droits sur tous ces équipements.Pourcela,ildoitobtenirdesextractionssurchaqueenvironnementet confirmeraveclesdifférentsresponsables(responsabledesadministrateurssystème, responsable réseau…) que les comptes sont pertinents et qu’ils détiennent les privilègesappropriés.Touteerreurouomissiondevraêtrecorrigée. Droitsd’administrationapplicative:leRSSIn’apasàcontrôlerlesdroitsattribués auxutilisateursdanslesapplications,carcetravailrevientauxservicesmétier.Donc, dansl’absolu,ilpeutsedésintéresserdecettequestion.Cependant,ilpeutêtreutilede s’assurerquelesrevuesdedroitssontbienréalisées.Ilpourranotammentvérifierque lescomptespermettantd’administrerlesapplicationsontbienfaitl’objetd’unerevue.

Un SI maîtrisant bien les populations ayant des droits d’administration sur les infrastructuresetsurlesapplicationsréduitconsidérablementsasurfaced’expositionaux attaques.

Contrôlerlesdroitsapplicatifs

LeRSSIn’apasvocationàvérifierquelesdroitsauxapplicationssontcorrectement

positionnés.Cetteresponsabilitérevientauxservicesutilisateurs.Cependant,leRSSI

peutjouerunrôledecoordinationpours’assurerquechacunavérifiélesdroitsdontila

laresponsabilité.

Contrôlerl’annuaireinternedel’entreprise

Àpartird’unecertainetaille,touteslesentreprisesdisposentd’unannuaire,quiestle

pointd’entréedel’identitédesutilisateursdansleSI.Ilconstituedoncunpointessentiel

àvérifierlorsd’unerevuededroits.

L’annuaireinternedel’entrepriseestsouventbasésurunannuaireLDAP.Ilcontient

pourchaquecollaborateurdel’entrepriseunensembled’informationsallantdunuméro

dematriculeàl’adressedusiteoùtravaillelecollaborateur,sonnumérodetéléphone,

sonadresseélectronique,leserviceauquelilappartient,etc.Larichessedesinformations

placéesdansl’annuairedépenddechaqueentreprise.

Cetannuaireestdoncstratégiquecarilcontientdesinformationsimportanteset,surtout,

ilconditionnel’accèsauSI.Généralement,ilfautêtreprésentdansl’annuairepouravoir

accèsauSI.

Pourcontrôlerl’annuaire,leRSSIcommenceraparobtenirlalistedescollaborateurs habilités à y apporter des modifications techniques. Il s’agit généralement d’administrateurssystèmerompusàLDAP.Ilpourraalorsvérifierquecettelisteest pertinente,auprèsduresponsabledelaproductionouauprèsdelaDSI.

LeRSSIdemanderaensuitelalistedesutilisateursautorisésàajouter,supprimerou

modifierdesentréesdel’annuaire.Généralement,cesontlespersonnelsdelaDRHmais,

parfois,latâched’administrationfonctionnelleestdéléguéeàdespersonnelsrépartis

danslesservices.Entoutétatdecause,leRSSIferavalidercettelisteàlaDRH.

Une fois ces vérifications préliminaires effectuées, on pourra extraire la liste des utilisateursactifsdéclarésdansl’annuaire.Cettelistepourraêtrerapprochéedecelledu logicieldepaie.LaDRHidentifieratrèsvitelespersonnesayantquittél’entreprisemais encoreprésentesdansl’annuaire.

Cesvérificationsnepermettentdecontrôlerquelesentréesdel’annuaireconcernantle personnelsalarié.Malheureusement,danslagrandemajoritédescas,laDRHn’aaucune connaissance des prestataires embauchés par les services. Il faut donc identifier ces populationsdansl’annuaireetenvoyeràchaqueservicelalistedesprestatairesdéclarés afindevérifierquecespersonnessonttoujoursprésentes.Cettepartiedelarevueestla plusdélicatecarelleobligeleRSSIàsollicitertouslesservices,dontlaréactivitéesttrès variable,nécessitantuntravailimportantdesuivietderelance.

À la fin de cette revue, l’annuaire n’est plus censé contenir que des utilisateurs réellementprésentsetactifsdanslasociété.Cependant,letravailn’estpasterminépour autantcar,enprincipe,l’annuaireestcenséêtremisàjourentempsréel,aufuretà mesuredesarrivéesetdesdéparts.Silarevueamisenévidencedesentréesàsupprimer, c’estqueleprocessusdemiseàjourdel’annuaireprésentedesdéficiences.LeRSSIdoit doncchercheràcomprendrepourquoiteloutelutilisateurn’apasétésupprimé.

Contrôlerlescomptesgénériquesetlescomptespartagés

Nousavonsvuendébutdesectionquelescomptesdoiventêtrenominatifsetutiliséspar

uneseulepersonne.Cen’estmalheureusementpastoujourslecas.Or,lapratiquedes

comptesgénériquesetdescomptespartagésrendtrèsdifficilel’imputationdesactions,

compliquantainsiladétectiondesactesdemalveillance.

Comptestechniquesgénériques : tous les systèmes, bases de données et autres servicesinstallentdescomptespardéfaut.Cescomptessontgénériques,encesensoù ilsnesontpasattribuésàunepersonneenparticulier.Comptetenudecequiaétédit plushaut,ilfaudraitenprincipelesdésactiver.Pourtant,certainsd’entreeux(bien connus)sontnécessairesetnetolèrentaucunemodification.Enrevanche,d’autres peuvent être désactivés sans aucun risque. Le RSSI doit donc demander la justification de chacun de ces comptes et faire supprimer ceux qui ne sont pas strictementindispensables.

Exemple

IlestfortprobablequelecomptenomméVNCsoitliéàl’usagedel’outildepriseenmainàdistancedu mêmenom.LecompteApacheasûrementunrapportavecleserveurHTTP.LeRSSIdoitvérifiersices comptes sont justifiés et s’il est réellement nécessaire de leur accorder les droits d’administrateur du domaine.

Enrevanche,lescomptesAdministrateursurlessystèmesWindowsourootsurlessystèmesUnixne

peuventenaucuncasêtresupprimés.

Comptesutilisateurgénériques:cescomptessontrelativementfacilesàdétectercar leurnomestsouventtrèsexplicite.Ilssecaractérisentparlefaitqu’ilssontutilisés parplusieurspersonnes,cequiconduitàunegrandedifficultéàimputerlesactions faitessurcecompte.C’estpourcelaquelespolitiquesdesécuritéduSI(PSSI) interdisentleplussouventlescomptesgénériques.Forceestdeconstaterquecette pratique perdure malgré les interdictions. La persistance chronique des comptes applicatifsgénériquess’expliquesouventparle besoind’attribuerrapidementdes accèsàdespersonnesquiviennentd’arriverdansl’organisation.Eneffet,lesservices reprochentsouventàlaDSId’imposerunprocessusdecréationdecomptetroplong (plusieurs jours), alors que cette durée est incompatible avec des personnels intérimaires,dontlesservicesutilisateurdécouvrentlenomlematinmêmedeleur arrivée.Attention,sil’usagedescomptesgénériquesesttrèsfortementdéconseillé,il n’estpaspourautantàproscrire.Lesservicesutilisateurrecourantàcestypesde comptepeuventmettreenplacedesdispositifspalliatifsindiquantmalgrétoutquia faitquoiaveccecompte,etdoncpermettantd’imputerlesactionsencasdelitige.Les services les plus susceptibles d’utiliser des comptes génériques sont ceux qui recourentàunemaind’œuvretrèsvolatile.

Exemple

LescomptesnommésCompta-1,Compta-2,Compta-3,Formation-1,Formation-2,parlentd’eux-mêmes.

Comptespartagés:cettepratiqueconsisteàpartagerentreplusieursutilisateursun

comptenominatif.Enfait,noussommespresquedanslecasprécédent,maisaulieu

d’utiliseruncomptegénérique,c’estuncomptenominatifquiestutilisé.Cetusagene

peutpasêtrerepéréparunesimplerevuedescomptes.LeRSSIdoitsurveillerles

adressesIPdepuislesquelleslescomptessontutilisés.S’ilrepèreuncompteconnecté

simultanémentdepuisplusieursadressesIPinternes,c’estqu’ils’agitcertainement

d’uncomptepartagé.Néanmoins,cepeutaussiêtrelasignatured’uneusurpation

frauduleused’identité.LeRSSIn’aaucunmoyendeledistinguer.Aussifaut-ilêtre

trèsstrictdansl’interdictiondescomptespartagés.

Traquerlescomptesdormants

Uncomptedormantestuncompten’ayantpasétéutilisédepuisuntempsdéfini.Ilest importantdetraquercescomptescarunepersonnemalveillanteenutilisantunpassera inaperçue,alorsquesiellearecoursàuncompteactif,l’utilisateurconcernéremarquera tôtoutardlecomportementsuspectdesoncompte.Enfait,lescomptesdormantssont une porte d’entrée abandonnée, que le cambrioleur du SI peut forcer sans se faire remarquer.

Àpartirdequanduncomptepeut-ilêtreconsidérécommedormant?Celadépendde

nombreuxparamètres.

Del’application: