Bonnes pratiques en SSI©sentation OZSSI - Bonnes pratiques SSI... · l’ANSSI, vulnérabilités des protocoles sans fil, les réseaux sociaux, la veille sécurité,

Présentation OzSSI - CDG 54 1

Bonnes pratiques en SSI


Sommaire

✔ Présentation de l’OZSSI Est✔ La sécurité informatique...quelques chiffres✔ Focus collectivités locales✔ Les bonnes pratiques en SSI✔ Les recommandations de l’ANSSI✔ Les recommandations de l’OZSSI Est✔ Pour aller plus loin...


OZSSI...en quelques mots

L’OZSSI existe depuis 15 ans, il est au service des administrations et services publics de la Zone de Défense Est (2 régions – 18 départements – 160 correspondants), et plus précisément :

✔ des services déconcentrés de l'Etat ;✔ des collectivités territoriales (mairies, conseils régionaux, conseils généraux, etc.) ;✔ des organismes ayant une mission de service public ;✔ des opérateurs d’importance vitale (énergie, communication, santé,...) ;✔ des organismes « métier » (chambres de commerce et de l’industrie).

19%

27%

4%

41%

9%

Panel entités

Administration

OIV

Chambre professionnelle

Collectivité locale

Rectorat/université


Animé par le Pôle Défense & SSI de la DSIC du SGAMI Est (Ministère de l’Intérieur), basé sur la participation volontaire, le partage, le soutien et la mise en commun de l’expérience et des connaissances, l’OZSSI contribue à la sécurité des systèmes d’information de manière globale :

✔ échange, expertise, formations ;

✔ alertes et mise à disposition de solutions après expertise CERT-FR et du COSSI ;

✔ audits SSI et conseils dans le cadre de la Commission Zonale de Défense et de Sécurité des Secteurs d’Activité d’Importance Vitale (CZDSSAIV) et pour le Comité Régional de l’Intelligence Economique Territorial de Lorraine et d’Alsace (CRIET)

sensibilisation des entreprises à la SSI dans le cadre des CRIET

OZSSI


OZSSI

Bilan des actions 2013/2014 :

✔ formation SSI en novembre 2014 (sujets abordés : sécurité des smartphones, rôle de l’ANSSI, vulnérabilités des protocoles sans fil, les réseaux sociaux, la veille sécurité, etc.)

✔ réunion plénière du 20 novembre 2013 : sensibilisation des décideurs

✔ divers : ➢ CRIET Alsace (avril 2014), CRIET Lorraine (mars 2014),➢ Cogito’Expo13 (novembre 2013), Cogito’Expo14 (octobre 2014)➢ colloque interrégional itinérant des universités, ➢ CLUSIR Alsace/Lorraine (décembre 2013).

https://www.ozssi.interieur.gouv.fr

https://www.ozssi.interieur.gouv.fr/


La sécurité informatique

Quelques chiffres...

90%des entreprises qui

subissent des pertes dedonnées significativesmettent la clé sous laporte dans les deux

ans qui suivent.

SourceCHAMBRE DE COMMERCE

DE LONDRES

61,5 % du trafic internet n’est pas d’origine humaine mais généré par des robots (bots) et la moitié est consacré à des actes

malveillants

85 % des utilisateurs

utilisent des supports personnels sans avoir obtenu une autorisation préalable de leur

hiérarchie

8 % (seulement!) de sites internet

français sont exempts de faille

(sur 100 sites audités)

50 % des menaces

sur la sécurité du système

d’information (SI) sont

provoquées par l’utilisateur

SourceATHENA GLOBAL SERVICES

SourceINCAPSULA et IRON MOUNTAIN


La sécurité informatique

Pourquoi les systèmes sont vulnérables :

✔ La sécurité est chère et parfois difficile à mettre en œuvre (les petites structures n’ont pas toujours les budgets nécessaires).

✔ La sécurité n’est pas efficace à 100 % :➢ de nouvelles technologies (et donc vulnérabilités) émergent en permanence➢ erreurs humaines : les systèmes de sécurité sont faits, gérés et configurés

par des hommes.

✔ La mise en place d’une politique de sécurité est complexe et basée sur des jugements humains.

✔ Les différentes organisations acceptent de courir le risque, la sécurité n’est pas une priorité.


Focus collectivités locales - contexte

Chaque année, des centaines de sites internet de mairies, de conseils généraux et de conseils régionaux sont victimes d’attaques informatiques.

Certaines données intéressent plus particulièrement les attaquants :

✔ documents budgétaires

✔ schémas d’aménagement

✔ État-civil

✔ études foncières

✔ messagerie électronique

✔ etc...


Focus collectivités locales – état des lieux

La majorité des collectivités locales rencontrent des difficultés pour :

✔ identifier les risques SSI liés à leur activité✔ évaluer les éventuelles pertes liées à un sinistre

La perception de la sécurité est la suivante :

✔ complexe : mise en place du politique de sécurité, sensibilisation du personnel, etc.

✔ peu compréhensible : architecture technique, règles,...✔ à priori coûteuse : matériel, ressource interne ou prestation,...

✔ et chronophage : la priorité étant donnée au métier (services au public,...)


Focus collectivités locales – les menaces

Une sécurisation du SI, pour pallier aux...

Menaces classiques :

✔ interruptions de service (pannes)

✔ virus et programmes malveillants

✔ vols de données

✔ escroqueries sur internet


Nouvelles menaces :

✔ BYOD (Bring Your Own Device) : utiliser son propre smartphone, tablette ou ordinateur au travail en se connectant au réseau professionnel.

Plusieurs dangers liés :

✔ au terminal : pas conçu pour un usage professionnel et, nativement, les données ne sont pas cryptées; le système d’exploitation, ainsi que le navigateur, ne sont pas sécurisés

✔ à la sécurité du SI de la collectivité vis-à-vis du terminal

✔ à l’utilisateur : perte ou vol du terminal (des données sensibles de la collectivité peuvent se retrouver « dans la nature »)



✔ Les réseaux sociaux : 15 % des salariés sont responsablesde fuites d’informations confidentielles (étude Lexi 2011)

✔ des attaques (cf. page suivante) de plus en plus sophistiquées(par le biais de la messagerie, des sites internet, des réseaux sociaux)

✔ la dématérialisation



Focus collectivités locales - attaques On peut classifier ces attaques en deux catégories...

Les attaques bien « visibles » :

✔ défiguration de site (modification frauduleuse de l’aspect du site internet)

✔ rançongiciel ou ransomware / filoutage ou phishing (blocage du PC par un virus et déblocage contre paiement)(arnaque dans le but de perpétrer une usurpation d'identité)

Les attaques « discrètes » :

✔ vol ou modification frauduleuse des données gérées par la collectivité (par ex. les données bancaires des administrés accédant aux services payants de la commune : cantine scolaire, etc.)

✔ utilisation abusive des systèmes informatiques de la collectivité à son insu (comme l’hébergement de données illicites : pédo-pornographie, terrorisme, etc.)


Focus collectivités locales - conséquences

Les conséquences peuvent être très graves pour la collectivité concernée :

✔ Perte d’image et de confiance

✔ Services indisponibles

✔ Responsabilité de l’autorité engagée


Comment réagir ? Se poser les bonnes questions avant d’agir :

✔ Maîtrise de la sécurité d’accès au SI ?✔ Quelles sont les données à protéger (sensibles) ?✔ Conséquences en cas de perte ou de vol des données ?✔ Budget pour la mise en place d’outils de sécurité ?✔ Y a-t-il une personne désignée au sein de la collectivité pour traiter les problèmes SSI ?✔ …

Lister les risques et le niveau d’acceptation :

✔ risque = vulnérabilité x menace x impact✔ lister de manière simple (tableau), ou mieux,

en utilisant une méthode d’analyse de risque : ✔ EBIOS (ANSSI), ✔ MEHARI (CLUSIF)

Prioriser les actions et agir (en se basant sur des bonnes pratiques SSI)

http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils-methodologiques/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite.html

https://clusif.fr/fr/production/mehari/presentation.asp


Comment se protéger ?

Guide d’hygiène informatique (ANSSI) - 13 chapitresRègles et mesures techniques simples (bonnes pratiques SSI).

I. Connaître le système d’information et ses utilisateursII. Maîtriser le réseauIII. Mettre à niveau les logicielsIV. Authentifier l’utilisateurV. Sécuriser les équipements terminauxVI. Sécuriser l’intérieur du réseauVII. Protéger le réseau interne de l’InternetVIII. Surveiller les systèmesIX. Sécuriser l’administration du réseauX. Contrôler l’accès aux locaux et la sécurité physiqueXI. Organiser la réaction en cas d’incidentXII. SensibiliserXIII. Faire auditer la sécurité


Les bonnes pratiques

I. Connaître le système d’information et ses utilisateurs :

1. Cartographie précise du SI :✔ liste des ressources matérielles, logicielles✔ architecture réseau✔ le tout devant être maintenu à jour

2. Inventaire des comptes :✔ administrateur✔ utilisateur avec privilèges✔ simple utilisateur

3. Circuit arrivée / départ pour la gestion :✔ des comptes (informatiques)✔ des accès aux locaux✔ des équipements mobiles✔ de l’accès aux documents sensibles✔ des habilitations du personnel


II. Maîtriser le réseau :

1. Limiter le nombre d’accès à internet

2. Connexion d’équipements personnels au SI (BYOD) :

✔ idéalement : interdiction

✔ à défaut, mettre en place des mesures :

✔ sensibilisation des employés

✔ solutions techniques sur les terminaux : antivirus, authentification,chiffrement des données,...

✔ contrôle des accès, contrôle des flux...sur le SI de la collectivité




✔ une alternative : le COPE (Corporate owned – personally enabled) :

✔ utilisation d’un terminal de la collectivité pour un usage personnel et professionnel

✔ gestion des terminaux grâce à une application de MDM (Mobile Device Management) : effacement de données, prise de contrôle, installation, restauration, mise à jour…


III. Mettre à niveau les logiciels : (99 % des attaques exploitent des failles liées aux mises à jour non faites) :

1. Modalités de mises à jour / information vulnérabilités :

✔ ne plus utiliser les composants logiciels qui ne sont / ne peuvent plus être mis à jour

✔ télécharger les mises à jour sur des sites de confiance (éditeurs)✔ suivre les sources d’information susceptibles de remonter des vulnérabilités

2. Définir une politique de mise à jour et l’appliquer :

✔ sous la forme d’un simple tableau (composants à mettre à jour, rôle et responsabilité des acteurs, moyens de récupération des mises à jour)

✔ dans la mesure du possible, utiliser un outil dédié (WSUS pour Microsoft)✔ isoler du réseau les systèmes obsolètes (fin du support Windows Server 2003 en

juillet 2015).



IV. Authentifier l’utilisateur :

1. Choix et dimensionnement du mot de passe :

✔ utiliser un mot de passe pour chaque service (distinguer messagerie personnelle / professionnelle, par application,...)

✔ ne doit pas être en lien avec votre personne (nom, prénom, date de naissance, etc.)

✔ modifier les mots de passe par défaut (du type « password »,...)

✔ renouveler votre mot de passe (90 jours), ne pas le stocker (dans un fichier), ne pas l’écrire, ne pas l’envoyer par messagerie

✔ configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se "souviennent" pas des mots de passe choisis



2. Identifier nommément chaque personne ayant accès au système :

✔ pas de compte générique✔ que des comptes personnels✔ possibilité d’utiliser des comptes techniques

(de service), non attribués à une personne physique, mais reliés à un service, un métier ou une application

.

✔ choisissez un mot de passe robuste : minimum 8 caractères (mieux 12) et combiner majuscules, minuscules, chiffres, caractères spéciaux.

✔ deux méthodes pour choisir vos mots de passe :✔ la méthode phonétique :

« J’ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am.

✔ la méthode des premières lettres : la même phrase donnera donnera J’aa8CDp100€cam.



3. Mettre en place des règles/outils pour l’authentification :

✔ blocage des comptes tous les 6 mois si MDP inchangé✔ pas de démarrage du poste de travail

sans identification au préalable (autologon)

4. Privilégier une authentification forte (si possible), par carte à puce



Les bonnes pratiques V. Sécuriser les terminaux :

1. Un niveau de sécurité homogène sur l’ensemble des terminaux :

✔ utilisation d’un pare-feu personnel (blocage des connexions entrantes)

✔ désactivation du démarrage sur supports amovibles✔ configuration fine au niveau applicatif : messagerie, navigateur, suites bureautique.

2. Gestion des supports amovibles :

✔ il n’est pas réaliste d’interdire leur connexion✔ mais, à minima, identifier les machines sur lesquelles

la connexion est nécessaire et interdire l’exécution automatique de code (AutoRUN) depuis des supports amovibles

✔ mise en place de stations blanches (pour le contrôle), attention que ces systèmes ne deviennent pas, à leur tour, un point névralgique du SI (les maîtriser !)


3. Gestion du parc informatique :

✔ utilisation d’un outil de gestion de parc (du type OCS-GLPI) afin d’assurer les suivi des terminaux

4. Terminaux nomades :

✔ les postes nomades doivent bénéficier au moins des mêmes mesures de sécurité que les postes fixes

✔ + le renforcement de certaines fonctions de sécurité :chiffrement du disque, authentification renforcée, etc.



5. Connexions à distance sur les postes clients ou serveurs de la collectivité :

✔ logiciels de prise de contrôle à distance (par ex.Teamviewer) : problème de sécurité et le PC piloté doit être sous tension

✔ mieux :

✔ services de partage de fichiers (Owncloud, etc.)✔ gestion électronique de documents✔ à défaut, mise en place d’un VPN (tunnel données chiffrées)✔

6. Chiffrement des données sensibles :

✔ la perte ou le vol d’un équipement (ou support) mobile ou nomade peut-être lourd de conséquences pour la collectivité :

Chiffrement de tout ou partie (partition) du disque (TrueCrypt, RealCrypt,...)



VI. Sécuriser l’intérieur du réseau :

1. WIFI :

✔ éviter l’usage d’infrastructure Wifi✔ si Wifi utilisé :

✔ cloisonner le réseau Wifi du reste du système d’information✔ chiffrement : avec une clé WPA ou WPA2 plutôt que WEP

2. Utiliser des applications et protocoles sécurisés :

✔ les applications métier doivent être développées en considérant les failles (audit de code)

✔ utiliser les protocoles sécurisés (SSH, HTTPS) sur le réseau de la collectivité



VII. Protéger le réseau interne de l’extérieur :

1. Sécuriser les passerelles d’interconnexion avec Internet (cloisonnement entre l’accès Internet, la zone de service DMZ et le réseau interne)

2. Pas d’interface d’administration accessible depuis internet :

de nombreux équipements (imprimantes, serveurs, routeurs, etc.) mais également certains équipements industriels comportent des interfaces d’administration (SCADA) qui sont activées par défaut

les activer qu’en cas d’action explicite de l’administrateur



VIII. Surveiller les systèmes :

1. Supervision des systèmes et des réseaux afin de réagir rapidement en cas de :

✔ connexion d’un utilisateur en dehors de ses horaires / congés

✔ transfert massif de données vers l’extérieur✔ tentatives de connexions répétées sur un service✔ ...

2. Journaliser les événements et plus particulièrement :

✔ la liste des accès aux comptes de messagerie✔ les accès aux machines ou aux ressources sensibles

de la collectivité




IX. Sécuriser l’administration du réseau :

1. Interdire tout accès à internet depuis les machines des administrateurs :

2. Réseau dédié pour l’administration des équipements :

✔ cloisonnement physique✔ à défaut, cloisonnement logique cryptographique

basé sur la mise en place de tunnel IPsec✔ à minima, cloisonnement logique par VLAN

3. Pas de droits administrateurs aux utilisateurs, afin d’éviter :

✔ l’installation de logiciels✔ la connexion d’équipements personnels,✔ etc...


X. Contrôler l’accès aux locaux et la sécurité physique :

1. Utiliser des mécanismes robustes de contrôle d’accès aux locaux :

✔ badges✔ à défaut : digicode, clés,...

2. Gestion des badges, clés et des codes d’alarme :

✔ penser à récupérer les badges, les clés d’un employé à son départ définitif du service

✔ changer fréquemment les codes des alarmes du service✔ ne jamais confier à des prestataires extérieurs un badge, une clé ou

un code d’alarme



3. Pas d’accès au réseau interne accessible dans les endroits publics :

✔ imprimantes ou photocopieurs entreposés dans un couloir

✔ téléphones✔ prises réseau dans une salle d’attente ✔ éviter également le passage de câble réseau

dans les lieux publics

4. Définir les règles d’utilisation des imprimantes et des photocopieurs :

✔ authentification avant impression✔ détruire les documents oubliés sur l’imprimante✔ broyer les documents plutôt que de les mettre à la corbeille



1. Sauvegarder les données essentielles du service :

✔ sauvegarde incrémentale journalière et totale chaque semaine✔ sauvegarde automatique sur les serveurs de fichiers✔ vérifier le bon déroulement des sauvegardes✔ stocker les sauvegardes (disques, bandes) dans un lieu distinct

et protégé (coffre, local sécurisé, etc.)

2. Réagir en cas d’infection (virale) d’un terminal :

✔ isoler les machines infectées (débrancher le câble réseau)✔ ne pas éteindre électriquement les machines infectées✔ réinstallation intégralement la machine après copie des disques si

elle doit être remise en service, ne pas se contenter d’une simple restauration ou d’un « nettoyage »

XI. Organiser la réaction en cas d’incident :



Les bonnes pratiques XII. Sensibiliser :

Chaque utilisateur devrait se voir rappeler (au minimum chaque année) que :

✔ les informations traitées doivent être considérées comme sensibles✔ la sécurité de ces informations repose, entre autres, sur l’exemplarité de leur

comportement et le respect des règles élémentaires d’hygiène informatique et notamment :✔ respect de la politique de sécurité (si elle existe...)✔ verrouillage systématique de la session lorsque l’utilisateur quitte son poste de

travail✔ non-connexion d’équipements personnels au réseau de la collectivité✔ signalement des événements suspects✔ etc...

Le respect des règles d’hygiène qui concernent les utilisateurs devraient figurer dans une charte d’usage des moyens informatiques visée par chaque utilisateur (cf.exemple).


XIII. Faire auditer la sécurité:

Réalisation d’audits techniques sur le SI afin de constater (ou non) l’efficacité des mesures mises en œuvre sur le terrain.

Chaque audit permettra de définir un plan d’actions correctives à mettre en œuvre et de faire un suivi (réunions).

Pour une plus grande efficacité, un tableau de bord (indicateurs) pourra synthétiser l’avancement du plan d’action



Cas particulier de l’infogérance Infogérance : lorsqu’une entité confie à un tiers tout ou partie de la

gestion de son SI.

1er cas : le prestataire intervient sur le SI interne de l’entité2ème cas : les données de l’entité sont hébergées par un prestataire

Cloud Computing

Les risques :

1) Risques de perte de la maîtrise du système d’information :

➢ fiabilité du prestataire, sous-traitance en cascade➢ localisation des données non maîtrisée➢ conséquences des choix techniques du prestataire


2) Risques liés aux interventions à distance :

➢ intrusion sur le SI en exploitant une faiblesse du dispositif➢ abus de droits par un technicien (prestataire)

peuvent entraîner l’indisponibilité du SI / atteintes à la confidentialité et à l’intégrité des données

3) Risques liés à l’hébergement mutualisé :

➢ partage des ressources (réseau, matériel, logiciel) avec d’autres clients

➢ confidentialité (accès aux données)➢ moyens insuffisants mis en place par le prestataire (sécurité, environnement,...)

Cas particulier de l’infogérance


Cas particulier de l’infogérance Se protéger :

➢ étudier attentivement les conditions des offres des prestataires (et les adapter à ses besoins spécifiques)

➢ imposer une liste d’exigences précises au prestataire :… du type

➢ hébergement sur serveurs dédiés➢ taux de disponibilité➢ délais d’intervention, accès au support technique➢ réversibilité du contrat : restitution des données➢ ...

➢ exiger un contrat de services (engagements du prestataire)


Pour résumé...

10 règles de base:

➢ Mots de passe robustes➢ Mise à jour des systèmes d’exploitation et des logiciels➢ Effectuer des sauvegardes régulières➢ Se méfier des supports externes➢ Sécurisez votre point d’accès Wi-Fi➢ Téléchargez les programmes sur les sites de leurs éditeurs➢ Séparez vos usages personnels de vos usages professionnels➢ Chiffrer les données sensibles de son poste de travail et l’intégralité du contenu d’un

équipement destiné au nomadisme➢ Soyez prudent lors de l’ouverture d’un mail (Spam, lien...)➢ Discrétion et méfiance vis à vis des réseaux sociaux (fuites d’informations)


Les recommandations ANSSI ✔ Guide d’hygiène informatique

http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf

✔ Se prémunir contre les attaques et comment réagir quand elles arriventhttp://www.ssi.gouv.fr/IMG/pdf/Fiche_des_bonnes_pratiques_en_cybersecurite.pdfhttp://www.ssi.gouv.fr/IMG/pdf/Fiche_d_information_Administrateurs.pdf

✔ Recommandations pour la sécurisation des sites webhttp://www.ssi.gouv.fr/IMG/pdf/NP_Securite_Web_NoteTech.pdf

✔ Sensibilisation collectivités localeshttp://www.ssi.gouv.fr/IMG/pdf/sensibilisation_collectivites_locales-ANSSI.pdf

✔ Passeport de conseils aux voyageurshttp://www.ssi.gouv.fr/IMG/pdf/passeport_voyageurs_anssi.pdf

✔ d’autres encore...http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/

http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf

http://www.ssi.gouv.fr/IMG/pdf/Fiche_des_bonnes_pratiques_en_cybersecurite.pdf

http://www.ssi.gouv.fr/IMG/pdf/Fiche_d_information_Administrateurs.pdf

http://www.ssi.gouv.fr/IMG/pdf/NP_Securite_Web_NoteTech.pdf

http://www.ssi.gouv.fr/IMG/pdf/sensibilisation_collectivites_locales-ANSSI.pdf

http://www.ssi.gouv.fr/IMG/pdf/passeport_voyageurs_anssi.pdf

http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/


Les recommandations de l’OZSSI-Est

SmartphonePoste de travail Ordinateurs portables et tablettes

Supports de stockageamovibles


Pour aller plus loin... ✔ CERT-FR : Centre gouvertemental de veille, d’alerte et de réponse

aux attaques informatiqueshttp://cert.ssi.gouv.fr/

✔ Site de l’OWASP (Open Web Application Security Project)et notamment le Top 10 des failles de sécuritéhttps://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013

✔ Tester la robustesse de son mot de passe :http://www.passwordmeter.com/

✔ Site du CLUSIFClub de la Sécurité de l’Information Françaishttps://www.clusif.asso.fr/http://www.clusir-est.org/

✔ Sites d’actualité SSI grand publichttp://www.zataz.com/

http://cert.ssi.gouv.fr/

https://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013

http://www.passwordmeter.com/

https://www.clusif.asso.fr/

http://www.clusir-est.org/

http://www.zataz.com/


Merci

des questions ?

contact : [email protected]@interieur.gouv.fr

mailto:[email protected]

Documents

Bonnes pratiques en SSI©sentation OZSSI - Bonnes pratiques SSI... · l’ANSSI, vulnérabilités des protocoles sans fil, les réseaux sociaux, la veille sécurité,