Les chantiers à lancer

Les projets de sécurité à lancer afin de corriger une

situation problématique de sécurité
  La sécurité des réseaux
 Accès distants
Sommaire des  Journalisation
projets du  Mots de passe
RSSI  Postes de travail
(Liste non  Sauvegardes
exhaustive)  Gestion des identités et des droits
 Gestion des incidents de sécurité
  La sécurité des réseaux
 Accès distants
 Journalisation
 Mots de passe
Sujet  Postes de travail
 Sauvegardes
 Gestion des identités et des droits
 Gestion des incidents de sécurité
La sécurité des réseaux
  Les réseaux sont un point névralgique
du SI:
 les sécuriser est une priorité absolue.
La sécurité des
réseaux  C’est le premier chantier à lancer:
 La première étape : cartographier le
réseau.
 La seconde étape : entreprendre des
actions concrètes de sécurisation.
  À partir de schémas et documents.
 Doit figurer dans le schéma tous les réseaux
LAN et les liaisons WAN.
 Découpage au niveau de la couche 3.
Cartographier
 Faire figurer les redondances dans un schéma
le réseau distinct pour plus de lisibilité.

 Résultat : schéma clair et précis (identifiant

chaque segment LAN et toutes les liaisons)
  Identifier les points d’architecture à risque : comment ?
 Quelques pistes à suivre :
 Les accès multiples à Internet : aucun accès ne doit vous
échapper:
 Unifier les accès à Internet,
 Pas d’accès spontané,

Analyser la  Le RSSI doit faire preuve d’autorité (à mettre dans une politique de
sécurité)
topologie  Rationaliser les DMZ : éviter la multiplication des DMZ
 Accès partiel aux ressources depuis l’extérieur (bases LDAP, bases de
données, etc.)
 Rationaliser les accès distants : connexions via tunnel VPN.
 Formaliser un processus de gestion des règles pour les pare-feu.
  La sécurité des réseaux
 Accès distants
 Journalisation
 Mots de passe
Sujet  Sécurité du poste de travail
 Sauvegardes
 Gestion des identités et des droits
 Gestion des incidents de sécurité
Les accès distants
  Les entreprises sont de plus en plus reliée
par accès distants à :
 des partenaires ou ses collaborateurs,
Problématique  les accès distants se sont ainsi multipliés
et solution
créant des points d’entrée sur le
système d’information
  Authentification : les deux parties impliquées dans la
communication doivent s’authentifier.
 Confidentialité des échanges : chiffrement des
échanges requis.
Les  Limitation des ressources accédées.
précautions à  Traçabilité des actions : il est important de tracer les
prendre vis-à- actions (connexions, déconnexions et des objets
vis des accès accédés).
 Existe plusieurs protocoles fiables et sûrs (payant ou
distants Open)
 Problème dans le volet configuration ou aspect
organisationnel.
  Un accès distant doit toujours aboutir dans une DMZ.
 Authentification client par certificat numérique doit être
requis.
 Pas d’accès total au SI (sauf pour les administrateurs prévoir
Les une authentification robuste).
précautions à  Aspect organisationnel : tout accès distants doit être autorisé
prendre vis-à- par le RSSI et validé par la DSI.
 Faire des revues périodiques : confirmer les accès actifs
vis des accès valides.
distants  Regard d’un expert technique externe s’impose dans
certaines situations:
 Soit via des audits, soit par des tests d’intrusion.
 Le recours à des cabinets de conseil spécialisés est ici indispensable.
  La sécurité des réseaux
 Accès distants
 Journalisation
 Mots de passe
Sujet  Sécurité du poste de travail
 Sauvegardes
 Gestion des identités et des droits
 Gestion des incidents de sécurité
Journalisation
  Détecter : détecter les incidents aussi vite que possible,
 Des dispositifs techniques de détection s’imposent.
 Enquêter : enquête requise pour lever le doute sur un événement
suspect.
 Il faut disposer de traces : des traces techniques sur les activités clés
Usages des du système s’avèrent nécessaires.
 Répondre aux exigences légales : tout organisme public ou privé
journaux et est tenu de mettre à la disposition de la justice un certain nombre
missions du d’informations.
 Des dispositions doivent impérativement être prises en ce sens,
RSSI sous peine d’être en infraction avec la loi.
 Revues : le RSSI est en charge de superviser les revues
périodiques sur les comptes et sur les droits des éléments les plus
sensibles du SI.
 Pour réaliser ces revues, il est nécessaire de disposer des traces de
l’activité des différents utilisateurs concernés.
  Clarifier le besoin : pourquoi les fichiers journaux : détecter les
incidents , faire enquêtes ultérieures, suivi les des comptes et
droits d’accès sur les systèmes sensibles.
 Sélectionner les éléments à tracer : quels systèmes, quels
équipements, quels applications :
Approche pour  journaux des pare-feu, ceux des proxy HTTP, les journaux des bases
de données ou des serveurs HTTP, etc.
maîtriser les  Identifier ce que l’on veut tracer : quelle information tracer ?
journaux  Centraliser : cette centralisation nécessite l’installation d’un (ou
plusieurs) serveur destiné à collecter les journaux.
 Exploiter : les moyens d’analyse, plus ou moins avancés,
 Analyse manuelle avec des scripts ou par l’utilisation d’un SIEM ou
un SOC.
  La sécurité des réseaux
 Accès distants
 Journalisation
 Mots de passe
Sujet  Sécurité du poste de travail
 Sauvegardes
 Gestion des identités et des droits
 Gestion des incidents de sécurité
Mots de passe
L’objectif du  Les mots de passe servent à contrôler
RSSI sera l’accès aux comptes en authentifiant
d’imposer une l’utilisateur.
politique de  identifier les différents types de comptes
mots de passe  comptes applicatifs,
longs,  comptes d’administration.
complexes et
variés
 Gestion centralisée : service d’annuaire
 Exiger/utiliser des applications qui peuvent
communiquer avec le service d’annuaire.
  Serveurs et contrôleurs,
 Les bases de données,
 Les équipements réseaux (routeurs,
Il ne faut commutateurs),
oublier aucun  Comptes d’administration middleware (ETL,
mot de passe SAP, etc.),
 Hyperviseurs contrôlant les machines
virtuelles,
 Dispositifs HIDS, NIDS/IPS.
  La sécurité des réseaux
 Accès distants
 Journalisation
 Mots de passe
Sujet  Sécurité du poste de travail
 Sauvegardes
 Gestion des identités et des droits
 Gestion des incidents de sécurité
Sécurité du poste de
travail
 Beaucoup des intrusions réussissent le plus
souvent à cause des mauvais réflexes des
utilisateurs.
 Ils sont ciblés par une attaque (pages web
malveillantes, pièces jointes piégées,
hameçonnage, clés USB infectées, etc.).
 La sécurité du poste de travail doit compenser
les mauvais réflexes de l’utilisateur pour
résister aux attaques.
  1) Premières actions:
 Compte d’administrateur local de la machine :
uniquement réservé aux techniciens,
 Droits de l’utilisateur sur le poste : Retirer aux
utilisateurs le droit d’administration local de leur
poste,
2 types  Antivirus : correctement installé et correctement
d’actions configuré,
 Auto-montage de volumes : bloquer l’auto-
montage des volumes – disques amovibles, clés
USB ou partages réseau,
 Appliquer des stratégies de groupes : pour
contrôler les postes.
  2) Correctifs de sécurité:
2 types  Identifier les correctifs à appliquer :
surtout les correctifs de sécurité,
d’actions  Tester les correctifs : sur des postes de
tests avant déploiement en production.
  Suites bureautiques : les suites bureautiques
(Microsoft), sont ciblées par les codes malveillants.
 La mise à jour est importante.
 Visualiseurs de fichiers : les fichiers PDF peuvent
Autres véhiculer du code malveillant.
 Appliquer les correctifs de sécurité sur ces utilitaires de
mesures visualisation PDF.
 Machines Java : nécessaires pour les application
 Elles présentent de nombreuses vulnérabilités. Elles
nécessitent des mises à jour très régulières.
  Il existe deux approches :
 La première approche:
 créer une forêt Active Directory entièrement
Mesures avec indépendante de la forêt bureautique,
systèmes très  installer dans cette forêt un serveur d’antivirus, un
sensibles serveur de diffusion de correctifs de sécurité et
tous les systèmes (serveurs ou postes de travail)
comme les systèmes
nécessaires au pilotage des activités sensibles.
industriels
 Le système est ainsi cloisonné (isolé)par rapport au
réseau bureautique.
  La deuxième approche:
 Appliquer les actions de base sur les postes.
 Appliquer les correctifs de sécurité.
 Isoler le poste : une fois les machines à jour, les isoler dans un
Mesures avec réseau dédié au pilotage industriel, sans aucune liaison vers
systèmes très Internet ni même vers le réseau bureautique.
 Désactiver le service serveur : La désactivation de ce service
sensibles diminuera leur surface d’exposition aux risques.
comme les systèmes  Rendre impossible l’introduction de clés USB : La désactivation
industriels (suite …) des ports USB.
 Alternative aux antivirus : installer un logiciel de scellement de
fichiers. Ces logiciels prennent une empreinte de chaque fichier et
font remonter des alarmes si un de ces fichiers vient à changer.
  Utilisateurs disposant de plusieurs terminaux pour travailler
(ordinateur de bureau, ordinateur portable, tablette,
smartphone, etc.).
 Ou dans un environnement BYOD (Bring Your Own Device),
 Complique la sécurisation du poste de travail,
Pour terminer  Le RSSI a tout intérêt à maîtriser autant que possible le parc de
avec les postes postes de travail qui est sous sa responsabilité.
de travail  À la démarche de sécurisation traditionnelle du poste de travail, il
faudra ajouter la sécurisation du parc mobile.
 Il conviendra aussi de compléter ce travail en responsabilisant les
utilisateurs par le moyen d’une charte sur les équipements
personnels.
  La sécurité des réseaux
 Accès distants
 Journalisation
 Mots de passe
Sujet  Sécurité du poste de travail
 Sauvegardes
 Gestion des identités et des droits
 Gestion des incidents de sécurité
Sauvegardes et
restaurations
  Les sauvegardes sont une discipline à part
entière,
 Dépasse amplement le domaine de la sécurité
Préambule des SI,
 Ce n’est pas la tâche du RSSI mais il doit
s’assurer que le processus des sauvegardes, si
important pour le SI, soit digne de confiance.
  Le RSSI rencontrera tous les acteurs de la DSI pour
identifier les données à sauvegarder :
 Les bases de données : (Oracle, Sybase, MySQL, SQL
Rôle du RSSI: Server…),
Cartographier  Les serveurs de fichiers : (partages SAMBA, NFS,
les CIFS…),
 Les serveurs virtualisés : machines virtuelles,
sauvegardes
 Les équipements d’infrastructure : routeurs,
commutateurs, pare-feu, etc.
  Le premier schéma met en évidence :
 les objets sauvegardés, les outils et protocoles utilisés,
 la destination des sauvegardes (baies de disques ou bande
physique).
 Le second schéma modélise :
Cartographier  la durée de rétention de chaque sauvegarde (compatible avec les
exigences applicatives et du métier),
Deux optiques  son mode de stockage.
complémentaires  Deux points à vérifier :
 Preuves de sauvegarde : vérification systématique des preuves de
sauvegarde doit être établie,
 Modes opératoires : opératoire détaillé et connu de tous les
opérateurs.
  La sécurité des réseaux
 Accès distants
 Journalisation
 Mots de passe
Sujet  Sécurité du poste de travail
 Sauvegardes
 Gestion des identités et des droits
 Gestion des incidents de sécurité
Gestion des identités et
des droits
  Création du compte : opération facile,
 Attribution de droits : par l’intermédiaire
d’appartenance à des groupes,
 Modification de droits : des comptes peuvent
Fonctions cumuler des droits durant toute leur existence
dans le SI,
 Suppression du compte : la mutation ou le
départ d’un collaborateur doit, en principe,
déclencher la suppression de ses comptes.
  Comptes de niveau technique : comptes d’annuaire,
comptes de base de données, comptes d’équipements:
 Sous la responsabilité de la DSI (admin de l’annuaire peuvent
être différents des DBA),
A quel niveau
se situe la  Comptes de niveau applicatif : les applications
complexité de couvrent plusieurs métiers et plusieurs services :
 Administrateurs des accès à ces applications peuvent être
l’identité différents (les chefs de service)

Ce qui complique le travail du RSSI

  L’approche structurée de l’IAM
 IAM : Identity and Access Management (Outils
payants)
 Ce terme désigne toutes les dispositions techniques
Approches et organisationnelles déployées dans le but de
pour gérer maîtriser les identités et les accès aux données.
 les projets d’IAM sont extrêmement complexes et sont
cette soumis à de nombreux risques d’enlisement technique,
complexité financier et administratif.
 Fait appel à un cabiniet experts.

 Existe aussi d’autres démarches pour traiter la question des

identités et des accès.
Le RSSI avant  il dispose des moyens financiers nécessaires ;
de se lancer  le cadrage du projet est pertinent ;
dans un projet  il a identifié le bon chef de projet et les bons
d’IAM, il doit consultants, réellement expérimentés dans
s’assurer que : ces questions ;
 il dispose du soutien de la direction.
  La sécurité des réseaux
 Accès distants
 Journalisation
 Mots de passe
Sujet  Sécurité du poste de travail
 Sauvegardes
 Gestion des identités et des droits
 Gestion des incidents de sécurité
Gestion des incidents
de sécurité
  Jamais le terme « responsable de la sécurité
du SI » n’a autant de sens que lorsqu’un
incident survient.
En cas  Le RSSI doit répondre de la sécurité du SI
d’incident dont il a la responsabilité.
 Le RSSI doit apprendre à gérer cette situation
très délicate.
  Absence totale de processus de gestion d’incidents :
 Improvisation,
 Personne ne sait quoi faire

Trois cas de  Présence d’un processus, nouvel incident :

figure sont  Procédure de gestion des incidents existe,
 Réaction immédiate et cohérente,
possibles  Après l’incident réaliser une enquête.

 Présence d’un processus, incident connu :

 Existe des fiches reflexes pour gérer l’incident,
 Impact négatif minimal.
  La veille, ou la détection d’incidents
potentiels :
 Identifier les vulnérabilités,
Points clés  S’abonner à des listes de diffusion, alertes du
d’un CERT, flux RSS, etc.
processus de
gestion  Détection et signalement des incidents :
canaux de détection
d’incidents  Les utilisateurs, membres de la DSI,
 Outils de sécurité : anti-virus, IPS, SIEM
 Outil SOC
  Importance des procédures :
 Vitesse de réaction,
Points clés  Pertinence de la réaction,
d’un  Procédure générale de gestion des incidents,
 Fiches reflexes.
processus de
gestion  Comprendre l’attaque pour bien réagir:
 Analyser l’attaque en profondeur avant de réagir.
d’incidents
 Clôture et bilan de l’incident :
(suite …)  Évaluer ses procédures pour les améliorer.
Merci de votre
attention