Authentifier et contrôler les accès #CyberSecMonth

Alors que la seconde semaine thématique du CyberSecMonth s’achève progressivement, nous continuons de vous délivrer nos CyberConseils. Nous concluons cette semaine, centrée sur la découverte des métiers du numérique, avec une infographie sur l’importance d’authentifier et de contrôler les accès à votre système. C’est ainsi l’occasion de mettre en avant le poste de Responsable de la Sécurité des Systèmes d’Information (ou RSSI), comme vous le verrez plus bas !

Authentifier et contrôler les accès, un réflexe naturel ?

Le contrôle des accès est devenu un véritable enjeu pour les organisations, chaque vulnérabilité peut se transformer en brèche et donc être source d’une cyberattaque. Authentifier et contrôler les accès numériques doit donc devenir aussi naturel que de fermer la porte de chez soi à double tour avant d’aller dormir.

Malgré l’importance de telles actions, authentifier et contrôler les accès n’est pas nécessairement chose aisée. Il est cependant possible d’agir efficacement à deux niveaux. Tout d’abord, il est important de mettre en place des outils permettant de contrôler les différents accès. Il est, par la suite, nécessaire de sensibiliser les collaborateurs à la protection de leurs données (comme les mots de passe) pour véhiculer efficacement les bonnes pratiques en interne.

Les bonnes pratiques :

La gestion des comptes :

Les éléments d’authentification doivent être modifiés dès leurs installations. En effet, les mots de passe par défaut sont faciles à obtenir. Une authentification forte est une étape de plus vers un système sécurisé. Il est donc judicieux d’utiliser une authentification à double facteurs pour empêcher les intrusions. Ainsi, vous venez de changer la serrure de votre porte et vous êtes le seul à en avoir la clé !

Les comptes accédant au système d’information doivent être nominatifs pour identifier plus facilement l’origine des incidents ou des failles potentielles. L’utilisation des comptes génériques est donc à proscrire. Ces comptes doivent être soumis à une politique de protection des données encore plus stricte. Les identifiants, mots de passe ainsi que les traces de connexion doivent rester secrets. Iriez-vous donner un double de vos clés à un inconnu en qui vous ne pouvez avoir pleinement confiance ? Vous avez envie de répondre « Non » de manière instinctive ? Eh bien pour les mots de passe c’est pareil.

La gestion des mots de passe :

Des éléments comme les répertoires, les bases de données ou les boites aux lettres électroniques peuvent être sources d’informations précieuses et donc sujets à une cyberattaque. Ces éléments requièrent la plus haute vigilance de la part du Responsable Sécurité des Systèmes d’Information (RSSI). Le listing des éléments sensibles n’est pas suffisamment efficace, il est nécessaire de définir, authentifier et contrôler les accès au système. Il faut également éviter la duplication et la dispersion de ces éléments pour garantir la sécurité du système d’information. Sans trop d’effort, vous venez de rajouter un verrou à votre si précieuse porte ! Mais à quoi ça sert d’avoir une porte verrouillée si la fenêtre est restée ouverte ?

La première porte d’entrée pour un hacker, c’est le poste de l’utilisateur. Ainsi, même si du côté admin vous avez tout verrouillé, il vous faut aussi contrôler vos utilisateurs et surtout leurs mots de passe. Une mauvaise gestion des mots de passe représente un risque énorme pour les organisations, il est donc important de sensibiliser vos utilisateurs pour que leur session soit protégée. Les mots de passe recyclés ou trop faciles à deviner sont à bannir. Au-delà des actions de sensibilisation, il est possible de prendre des mesures restrictives comme le blocage de compte après plusieurs échecs de connexion ou la réalisation d’un audit concernant la robustesse des mots de passe. Le stockage de ces mots de passe doit impérativement se faire via des solutions sécurisées incluant des mécanismes de chiffrement.

Quels moyens pour authentifier et contrôler les accès ?

Le RSSI est l’expert qui garantit la sécurité et l’intégrité du système d’information. Souvent aussi en charge de la protection des données de l’organisation (quand il n’y a pas de DPD), il est souvent la personne vers qui se tourner en cas d’interrogation sur la gestion des accès.

Keepass permet de gérer efficacement et de manière sécurisée les mots de passe. Le petit plus c’est qu’il est gratuit et Open Source. Bien qu’il soit optimisé pour Windows, Keepass supporte également les systèmes d’exploitation macOS et Linux. Les fichiers chiffrés peuvent ainsi contenir les noms d’utilisateurs, les mots de passe, les notes ou même les pièces jointes.

Votre Active Directory gère les authentifications et les droits sur votre réseau puisqu’il recense toutes les informations sur le réseau, les utilisateurs, les machines, les groupes et votre système en général. Vous pouvez utiliser pour cela Microsoft Active Directory ou son équivalent Open Source, Samba-AD. Ces deux Active Directory sont manageables via les mêmes outils, à savoir la console MMC et les RSAT. Les RSAT permettent de contrôler les droits des utilisateurs mais aussi leurs entrées et sorties. Il est donc plus simple d‘identifier les sources de vulnérabilité et d’agir localement avant qu’un drame ne se produise.

Pourquoi choisir un Active Directory Open Source ?

En France, Tranquil IT est le premier intégrateur de Samba Active Directory, l’équivalent Open Source de Microsoft Active Directory. Cette expertise, de plus de 13 ans sur Samba, nous permet de réaliser efficacement des audits de parc informatique, des migrations d’Active Directory, des fusions de domaines et même des transferts de compétences sur Samba Active Directory. Notre proximité avec la SambaTeam nous a permis de réussir plus de 270 projets au cours de ces années. Faire le choix de l’Open Source c’est choisir d’économisez des frais de licences et de faire confiance à nos experts !

Chez Tranqui IT, nous privilégions les outils Open Source pour leur fiabilité, leur maintenabilité et aussi pour la liberté qu’ils apportent. Pourquoi s’embarquer dans des contrats à rallonge avec des coûts de licences exorbitants avec Microsoft ? Placez votre argent intelligemment dans des améliorations directes en finançant le développement d’une solution Open Source.

La France relève le challenge ECSC !

Nous profitons de cet article pour apporter notre soutien à l’équipe de France qui participe pour la première fois au challenge ECSC. En effet, l’European CyberSecurity Challenge se déroule du 14 au 17 octobre et oppose 17 équipes nationales de jeunes hackers éthiques et entraîneurs professionnels. Les équipes doivent surmonter plusieurs épreuves comme de la cryptographie, du reverse engineering ou même de la recherche de vulnérabilité pour espérer remporter la compétition. Vous pouvez manifester votre soutien à notre équipe nationale sur les réseaux (#ECSC2018 ; #TeamFR) ou en téléchargeant le kit de l’ECSC mis à disposition par l’ANSSI, qui finance l’événement en association avec HackerZvoice.

Ce qu’il ne fallait pas manquer :

Les articles à ne pas manquer :

• Chiffrement des données : Mode d’emploi – Stormshield
• Google ferme son réseau social après une faille de sécurité – Les échos 

Retrouvez toutes nos recommandations sur Twitter et LinkedIn et sur les hashtag : #TousSecNum, #CyberSecMonth, #ECSM2018 et #ECSM. Suivez aussi notre hashtag #CyberConseil pour suivre les conseils de Tranquil IT et découvrir les infographies suivantes.