Sécuriser l’administration #CyberSecMonth

Le CyberSecMonth touche bientôt à sa fin ! On espère que vous avez fait le plein d’articles pertinents et d’infographies intéressantes. De notre côté, il nous reste encore quelques CyberConseils à vous partager. On compte donc sur les plus gourmands d’entre vous pour être présents à nos rendez-vous (chaque lundi, mardi et jeudi) !

Sécuriser l’administration pour gérer son parc en toute sérénité

En tant qu’administrateurs, vous devez redoubler de vigilance lorsque vous exécutez des actions d’administration. En effet, il est primordial de garantir la sécurité de ces actions pour assurer l’intégrité du parc et du système. Une mauvaise gestion des droits d’administration peut engendrer de très graves répercussions pour une entité.

La sécurisation du système d’information passe impérativement par une bonne gestion des droits d’administration. Il existe de nombreuses bonnes pratiques permettant d’agir en toute sécurité et sans risquer de compromettre l’organisation.

Comment sécuriser l’administration sans risque ?

Sécuriser l’administration en l’isolant du reste du système :

Premièrement, les postes de travail et les serveurs utilisés pour les actions d’administration ne doivent pas pouvoir accéder à internet. La navigation sur le web peut représenter des risques en termes de cybersécurité. Les administrateurs ayant besoin d’accéder à internet doivent le faire depuis un poste de travail différent. L’utilisation d’outils bureautiques doit également se faire via une machine virtualisée distante. Tous ces efforts permettent de garantir l’intégrité du réseau.

Le réseau d’administration permet de connecter les postes et serveurs d’administration et les interfaces d’administration des équipements. Il s’avère nécessaire de cloisonner le réseau d’administration du réseau bureautique des collaborateurs. Cette pratique permet d’éviter la compromission par rebond depuis un poste utilisateur. Il est recommandé de mettre en place un cloisonnement physique des réseaux ou un cloisonnement cryptographique grâce à la mise en place de tunnels Ipsec. Le but de ce cloisonnement est de veiller à l’intégrité et la confidentialité des informations. Si une organisation ne peut mettre en place ces moyens, il reste important de créer à minima un cloisonnement par VLAN.

Restreindre les droits d’administration :

Il est fréquent que dans les organisations, certains collaborateurs souhaitent bénéficier de privilèges supplémentaires sur leurs postes de travail. Un utilisateur, peu importe sa position hiérarchique, ne doit pas se voir attribuer ces privilèges d’administration. En effet, il pourrait être la source de l’exécution de code malveillant. Il est donc recommandé de disposer d’un magasin d’applications répondant à des critères de sécurité définit par l’entité pour répondre aux besoins des collaborateurs. Il reste possible d’accorder des privilèges d’administration à un utilisateur. Cependant, cette pratique doit être exceptionnelle, tracée ainsi que limitée dans le temps (et donc vérifiée et mis à jour par la suite). De plus, ces comptes administrateur ne doivent être utilisés que pour des actions d’administration et non pour un usage quotidien. Il convient donc de créer des compte nominatifs d’administration tels que « gbouchard-admin ». Ainsi, vous conserverez une historisation nominative des actions d’administration du parc.

WAPT et Samba-AD, des alliés du quotidien !

Le déploiement d’application avec WAPT

WAPT est un outil de déploiement de logiciels pour Windows. WAPT permet d’automatiser la gestion de votre parc grâce à sa console de management centralisée. Notre solution permet d’installer, mettre à jour et désinstaller des logiciels et configurations en bénéficiant d’une remontée d’information fiable et instantanée. Ainsi, vous pouvez programmer à distance vos déploiements de logiciels sans déranger vos utilisateurs. WAPT vous permet aussi de mettre à disposition de vos utilisateurs un magasin de logiciels validés par vos soins en suivant vos politique de sécurité. Vos utilisateurs en droits restreins pourront donc installer depuis un store les logiciels qu’ils souhaitent en toute sécurité.

La sécurité de WAPT a été reconnue par l’ANSSI, qui lui a attribué la qualification standard à la version Enterprise (1.5) du logiciel.

Dans le cadre de la sécurisation de l’administration, WAPT est capable d’assurer la gestion des droits. Grâce à son système de signature de paquet, seul l’administrateur peut déployer des paquets sur le parc. Il est impossible d’entreprendre la moindre action d’administration sans clé de signature. Il est également possible de différencier les rôles des administrateurs de la console. Ainsi, les personnes en charge de déployer les paquets ne pourront pas en créer et risquer de compromettre l’infrastructure.

En effet, WAPT permet de créer simplement ses propres paquets grâce au package Wizard. Il est aussi possible de se rendre sur notre store, disposant de plus de 1 000 paquets, pour télécharger un paquet de manière sécurisée. Par la suite, vous pourrez l’éditer si besoin, le tester sur une machine isolée et finalement le déployer sur l’ensemble du parc.

Samba Active Directory, l’alternative Open Source

Tranquil IT est le premier intégrateur de Samba Active Directory en France. Notre expertise de plus de 13 ans sur Samba nous permet de réaliser efficacement des audits de parc informatique, des migrations d’Active Directory, des fusions de domaines et des transferts de compétences sur Samba Active Directory. Nous avons mené plus de 270 projets grâce à notre proximité avec la Samba Team.

Samba Active Directory permet d’organiser l’ensemble de votre réseau, définir des politiques de sécurité pour votre parc, de contrôler les autorisations et les droits d’accès, etc. Le tout au travers des mêmes consoles d’administration Windows RSAT. Les administrateurs systèmes habitués à l’environnement Microsoft Active Directory ne seront pas dépaysés. Les administrateurs systèmes Linux retrouveront les outils en ligne de commande permettant d’administrer l’annuaire centralisé efficacement.

Faites vous aider d’un expert pour sécuriser l’administration de votre parc

Animé par la volonté d’aider les organisations dans la gestion de leurs systèmes informatiques, nous assistons les administrateurs systèmes dans leurs missions du quotidien. De cette volonté résulte une expertise unique sur Samba Active Directory en France. Nous avons également développé WAPT, notre outil gestionnaire de paquet open source. Le fait d’avoir obtenu la qualification de l’ANSSI pour notre logiciel nous pousse à enrichir nos méthodologies DevSecOps.

Au sein de Tranquil IT, nous avons toujours eu la volonté de privilégier les outils Open Source. Leur fiabilité, leur maintenabilité et la liberté qu’ils apportent sont des critères de choix selon nous. Faire le choix de l’Open Source c’est choisir d’économiser des frais de licences et de faire confiance à nos experts !

Comprendre les enjeux de demain

C’est la thématique de cette quatrième semaine du CyberSecMonth. Jusqu’à la fin de l’évènement, le débat se tournera vers l’évolution des attaques, qui sont toujours plus sophistiquées, mieux élaborées et plus destructrices. Ainsi, les organisations participantes à ce mois européen de la cybersécurité s’intéresseront aux enjeux alliés aux objets connectés et à l’intelligence artificielle. C’est l’occasion de mettre en avant les spécialistes qui intègrent la sécurité numérique dans le développement des intelligences artificielles et produits connectés. Garantir la fiabilité de ces technologies est essentiel pour ne pas reproduire les erreurs du passé.

Les articles à ne pas manquer :

• La méthode EBIOS Risk Manager : Le guide – ANSSI
• Pourquoi votre smartphone est-il le maillon faible de la sécurité informatique – L’est éclair

Retrouvez toutes nos recommandations sur Twitter et LinkedIn et sur les hashtag : #TousSecNum, #CyberSecMonth, #ECSM2018 et #ECSM. Suivez aussi notre hashtag #CyberConseil pour suivre les conseils de Tranquil IT et découvrir les infographies suivantes.