Principes de base en entreprise

On ne peut pas gérer la sécurité informatique d'une entreprise de la même façon qu'un particulier, de façon évidente. Difficile également de faire le tour du sujet en une seule rubrique, mais certains grands principes et grandes questions reviendront dans tous les services ayant à traiter de SSI.

Le NCSC (National Cyber Security Center) publie régulièrement des guides pour se poser les bonnes questions ou pour s'informer sur le sujet, et leur propos est assez clair quoique en anglais. Je vais essayer de résumer. Il y a cinq grandes questions à se poser, avec des pistes pour y répondre.

Source : https://www.ncsc.gov.uk/guidance/board-toolkit-five-questions-your-boards-agenda

Comment se protéger du phishing ?

En rappelant que le mail[1] constitue le principal vecteur d'attaque, car il permet tout un éventail d'opérations malveillantes (ingénierie sociale, vol de données, installation de malwares, etc.).

Filtrage des mails de phishing

Les fournisseurs de service mail proposent souvent un service de filtrage, également incorporable dans un système d'entreprise, A côté de cela, il convient d'interdire sur ses serveurs de messagerie de relayer des mails externes comportant le nom de domaine de la messagerie.

Marquer les mails externes

En relation avec ce qui est dit au dessus, bien différencier les mails internes des mails externes peut aider à les analyser plus efficacement. Les utilisateurs verront également la provenance externe, ce qui doit conduire à redoubler de vigilance.

Empêcher le spoofing

Il s'agit de détecter les mails usurpant des noms de domaine connus et réputés.

  • DMARC (Domain-based Message Authentication, Reporting and Conformance)
  • SPF (Sender Policy Framework)
  • DKIM (Domain-Keys Identified Mail)
Former, sensibiliser et accompagner

On ne se moque pas de quelqu'un qui a été pris au piège, mais au contraire en profiter pour lui expliquer quels sont les indices permettant de suspecter du phishing. Former et sensibiliser en continu est indispensable. S'il est quasi-impossible de bloquer tous les mails suspects, les plus grossiers devraient être identifiés sans problème par les utilisateurs.

Comment l'entreprise protège ses comptes à privilèges ?

Si tout le monde possède les droits administrateur, votre entreprise est mal partie. Si votre population est bien séparée, quelques précautions doivent quand même être prises.

Moindre privilège

Ne signifie pas : aucun privilège. Oui, les administrateurs ont par nature besoin de droits plus élevés. Mais pas tous les droits, ni tout le temps.

Utiliser à bon escient

Dérivé du précédent : ne pas utiliser un compte administrateur pour naviguer sur le web ou lire son courrier (on peut également appliquer cette règle sur son PC perso). Si un programme malveillant est téléchargé (par exemple), il pourra s'installer sans problème ou modifier des paramètres de sécurité.

Lier RH et IT

Pour le commissionnement des utilisateurs, l'IT et la RH (les Ressources Humaines) doivent être le plus synchrones possibles : un compte ne doit pas être ouvert avant l'arrivée d'une ressource, et doit ne plus être actif dès son départ.

Comment s'assurer que tout est mis-à-jour ?

La mise-à-jour du système d'exploitation et des logiciels principaux (au minimum) est impérative, selon moi.

Avoir une politique de gestion des patchs et s'y tenir

Tout patcher tout de suite est impossible dans le monde réel ; mais avoir une politique de traitement des vulnérabilité, d'installation de patchs, et surveiller son application l'est.

Planifier l'obsolescence

Inévitable, notamment pour les matériels, mais aussi pour le socle logiciel, il ne faut pas attendre le dernier moment (ou plus...) pour renouveler des actifs trop anciens et donc qui ne sont plus maintenus ou mis-à-jour. Planifier les renouvellements est une bonne pratique.

Pouvoir stopper les propagations réseaux

Le réseau (qui ne doit pas être à plat sans aucune cloisonnement) doit permettre de stopper une propagation de la menace. Il faut donc bien le connaître, le cloisonner, et le surveiller. L'isolation doit être un processus connu et maîtrisé.

Faire bon usage de l'externalisation

Externaliser, c'est ajouter du risque (ou au moins en modifier la nature). Cela peut aussi être l'occasion d'améliorer la fiabilité de son IT en profitant du savoir-faire du prestataire, qui peut être parfois bien supérieur à ce qu'on a en interne.

Comment s'assurer que nos partenaires et fournisseurs protègent l'information qu'on partage ?

S'assurer que ses partenaires sont de confiance

Facile à dire, plus dur à faire. Il faut le faire contractuellement, dès qu'il y a accès aux données, sans oublier de vérifier et contrôler périodiquement le niveau de sécurité si besoin.

Se prémunir de la compromission externe

La compromission d'un partenaire est toujours possible, quoi qu'on fasse et quel que soit sont niveau de maturité en SSI. Du point de vue technique, il faut :

  • Limiter les échanges à ce qui est strictement nécessaire ;
  • Authentification et habilitation systématiquement mis en place ;
  • Audit et suivi des actions les plus sensibles.

Quelles sont les méthodes d'authentification qui protègent les accès à nos systèmes ?

Mots de passe

Ils doivent être sûr mais sans exagérer la complexité de leur usage, qui doit être adapté à ce qu'ils protègent. Des mots de passe trop compliqués et qu'on doit changer trop souvent sont contre-productifs. Pas de prêt de mot de passe, pas de réutilisation (au moins sur les fonctions ou sur les sites sensibles).

Point intéressant : le NCSC recommande de ne pas changer les mots de passe périodiquement ! Ils ne devraient être changés que si on suspecte leur compromission (= qu'ils aient été découverts, utilisés dans d'autres attaques, etc.). Les gestionnaires de mots de passe sont recommandés.

Trouver des alternatives (en interne)

Face à la profusion des mots de passe pas toujours critiques, il faut étudier les alternatives ; le Single Sign-On, les solutions alternatives (token, OTP ou logiciel sur smartphones, etc.).

Protéger le mot de passe

L'authentification renforcée par un 2e facteur sécurise l'usage du mot de passe. Il en existe désormais de nombreuses implémentations.

  1. (en) « New Report Details Rise, Spread of Email-based Attacks », sur Dark Reading,