1.

1- Sécurisez l’architecture du Système d'Information

Concevez l’architecture du système d’information

Dans ce chapitre, je vous présenterai les principes d'architecture indispensables pour

sécuriser une infrastructure et limiter de manière efficace les principales actions d'un
attaquant.

Faites l'inventaire de votre parc informatique

On ne protège que ce que l'on connaît ! C'est une évidence de le dire, mais les cas
sont fréquents où le parc informatique est mal maîtrisé. Si les principaux systèmes
sont bien connus, il arrive souvent que d'autres soient présents pour plusieurs
raisons :

 Pour des raisons historiques, même s'ils ne sont plus utilisés.

 Par manque de partage de l'information au sein des équipes informatiques.
 Parce que certains systèmes sont installés sans passer par la DSI (par
exemple, une direction métier qui fait installer une application métier sans
passer par la DSI, achète une liaison ADSL, branche un point d'accès Wifi,
etc.).
Le prérequis est donc de bien maîtriser son parc, de s'outiller pour identifier sur le
réseau les composants qui ne sont pas de confiance, voire de mettre en place
un contrôle pour accéder au réseau (802,1x, NAC).
Catégorisez vos systèmes
Les systèmes inventoriés doivent ensuite être catégorisés dans des groupes qui
permettront ensuite de les allouer dans une zone réseau. Deux critères principaux
doivent être pris en compte pour définir ces groupes :

 le rôle du système,
 les flux réseau dont ils dont destinataires ou dont ils sont à l'initiative et
globalement, leur surface d'exposition à l'externe.
L'étude des scénarios d'attaque et en particulier des étapes des APT nous montrent
que les systèmes qui ont le rôle suivant doivent être particulièrement protégés :

 Les serveurs d'infrastructure qui permettent de contrôler ensuite l'ensemble

des autres composants, parmi lesquels les serveurs Active Directory, les
serveurs de déploiement de logiciels ou de leurs mises à jour, les serveurs de
sauvegarde/restauration.
 Les postes des administrateurs.
 Les équipements de sécurité.
Concernant les flux réseau, il faudra distinguer :

 Les systèmes qui sont par nature exposés à l'extérieur : serveur Web, relais
entrant de messagerie, Webmail, publication de DNS externe, accès distant
par VPN.
 Les systèmes qui communiquent vers l'extérieur (mais sans avoir besoin
d'être joint de l'extérieur) : relais sortant de messagerie, relais Web, relais
DNS).
Ces systèmes devront être positionnés en DMZ, c'est à dire dans une zone
cloisonnée et filtrée, interconnectée à l'extérieur, mais dont les échanges avec le
réseau interne sont fortement restreints.

Appliquez les grandes règles d'architectures

Isolez les systèmes d'administration
Lors de la description d'une APT, nous avons vu que l'attaquant recherche en
premier lieu à rebondir sur un poste d'administration pour compromettre ensuite le
plus grand nombre d'équipements.

Cela met en évidence le besoin de mettre ces systèmes dans une zone dédiée et
configurer le filtrage pour que seuls les flux depuis les postes d'administration vers
les systèmes administrés soient autorisés. Les flux à l'initiative d'un quelconque
système vers un poste d'administration doivent être interdits.

De manière générale, les interfaces d'administration de l'ensemble des systèmes

ne doivent être accessibles que depuis la ou les zones d'administration. Cela est
particulièrement vrai pour les équipements de sécurité, où l'interface d'administration
ne doit pas être exposée sur une des interfaces réseau de moindre confiance.
Privilégiez l'initiative du serveur d'infrastructure
Les équipements d'infrastructure sont souvent exposés au réseau interne par
nature. C'est le cas d'Active Directory, où seuls les services réseaux utiles doivent
être autorisés.

Lorsqu'un produit d'infrastructure est choisi, il est préférable de privilégier ceux pour
lesquelles les flux réseau sont à l'initiative du serveur d'infrastructure et non du
poste de travail vers le serveur d'infrastructure. Par exemple, il est préférable pour un
serveur de sauvegarde que ce soit le serveur qui se connecte à un agent installé sur
chaque poste, plutôt que d'avoir un service réseau du serveur de sauvegarde exposé
depuis l'ensemble du réseau interne.

Séparez les usages en plusieurs DMZ

Pour les systèmes en DMZ, une zone réseau de DMZ devrait être définie pour
chaque usage. Lorsqu'une zone de DMZ est mutualisée entre plusieurs serveurs, il
faut les regrouper par type de flux et ne pas mélanger un serveur qui communique
de l'interne vers l'externe avec un serveur qui reçoit des flux externes. Cette mesure
permet d'éviter, en cas de compromission d'un serveur exposé depuis l'extérieur, que
l'attaquant puisse rebondir sur le réseau interne.

Un cas particulier est celui de l'accès VPN qui, pour répondre à son usage, doit
permettre ensuite d'accéder au réseau interne. Dans ce cas, il faut définir les
applications internes pour lesquelles il est accepté que les utilisateurs connectés de
l'extérieur au travers du VPN puisse accéder.

La même règle pourrait être appliquée pour les postes connectés depuis l'interne,
mais au travers d'un réseau Wifi.
APT - Comment les bloquer ou en limiter l'impact ?
Dans une optique de défense en profondeur et pour limiter la possibilité de
propagation latérale, les postes et serveurs du réseau interne méritent également
d'être cloisonnés les uns par rapport aux autres. Il faut noter qu'il est rare qu'un poste
de travail interne doive se connecter sur un autre poste de travail : les échanges
sont usuellement réalisés au travers d'un serveur.
Cloisonnez les systèmes et filtrez les flux
Différents moyens de cloisonnement et de filtrage peuvent être appliqués.

 En premier lieu, un pare-feu réseau, en appliquant une politique de filtrage

par liste blanche : seuls les flux nécessaires sont autorisés. C'est le moyen
général qui doit être adopté.
 Pour les systèmes qui sont exposés à l'extérieur, il est souhaitable d'avoir
un proxy applicatif qui va compléter le filtrage réseau par un filtrage
applicatif.
 Un filtrage applicatif par signature peut également être appliqué au travers
d'un IPS (Intrusion Prevention System, Système de Prévention des
Intrusions), qui va bloquer certaines attaques lorsqu'un flux réseau correspond
à une de ses signatures. Ce système peut être judicieux à l'entrée d'un site ou
 aux interfaces avec l'extérieur, mais il faudra être précautionneux de ne pas
bloquer un flux légitime (en cas de faux positif de la détection).
 Pour la défense en profondeur, il est possible pour réduire les coûts et être
en capacité de traiter un volume important de systèmes de n'appliquer un
cloisonnement qu'au travers des switchs, en configuration des VLAN ou
PVLAN.
Dans le prochain chapitre, après avoir traité des mesures cyber d'architecture, nous
étudierons les mesures équivalentes de sécurité physique à adopter.
En résumé
 Un cloisonnement et un filtrage particulièrement restrictif doivent être
appliqués pour les postes d'administrateurs, équipements d'infrastructure et
de sécurité.
 La conception des DMZ doit permettre d'empêcher un attaquant
de rebondir d'un service exposé à l'externe vers le réseau interne.
 Partant du postulat qu'un poste interne peut être compromis, une défense en
profondeur basée sur un cloisonnement du réseau interne permet de limiter
la propagation latérale d'un attaquant.