Sécuriser l’administration #CyberSecMonth

par | Oct 22, 2018 | Actualités, CyberSecMonth

Le CyberSecMonth touche bientôt à sa fin, on espère que vous avez fait le plein d’articles pertinents et d’infographies intéressantes. De notre côté, il nous reste encore quelques CyberConseils à vous partager et on compte sur les plus gourmands d’entre vous pour être présents à nos rendez-vous (chaque lundi, mardi et jeudi) !

Comprendre les enjeux de demain

C’est la thématique de cette quatrième semaine du CyberSecMonth. Jusqu’au 29 octobre, le débat se tournera vers l’évolution des attaques, qui sont toujours plus sophistiquées, mieux élaborées et plus destructrices. Ainsi les organisations participant à ce mois européen de la cybersécurité s’intéresseront aux enjeux alliés aux objets connectés et à l’intelligence artificielle. C’est l’occasion de mettre en avant les spécialistes qui intègrent la sécurité numérique dans le développement des intelligences artificielles et produits connectés. Garantir la fiabilité de ces technologies est essentiel pour ne pas reproduire les erreurs du passé.

Administrer son parc en toute sérénité

Les administrateurs doivent redoubler de vigilance lorsqu’ils exécutent des actions d’administration. En effet, il est primordial de garantir la sécurité de ces actions pour assurer l’intégrité du parc et du système. Une mauvaise gestion des droits d’administration peut engendrer de très graves répercussions pour une entité.

La sécurisation du système d’information passe impérativement par une bonne gestion des droits d’administration. Il existe de nombreuses bonnes pratiques et solutions permettant d’agir en toute sécurité et sans risquer de compromettre l’organisation.

Comment agir sans risque ?

Isoler l’administration du reste du système :

Les postes de travail et les serveurs utilisés pour les actions d’administration ne doivent pas pouvoir accéder à internet, la navigation sur le web pouvant présenter des risques en termes de cybersécurité. Les administrateurs ayant besoin d’accéder à internet doivent le faire depuis un poste de travail différent. L’utilisation d’outils bureautiques doit se faire via une machine virtualisée distante pour garantir l’intégrité du réseau.

Le réseau d’administration permet de connecter les postes et serveurs d’administration et les interfaces d’administration des équipements. Il s’avère nécessaire de cloisonner le réseau d’administration du réseau bureautique des collaborateurs pour éviter la compromission par rebond depuis un poste utilisateur. Il est recommandé de mettre en place un cloisonnement physique des réseaux ou un cloisonnement cryptographique grâce à la mise en place de tunnels Ipsec pour veiller à l’intégrité et la confidentialité des informations. Si ces actions s’avèrent impossibles à mettre en place, il reste important de créer à minima un cloisonnement par VLAN.

Restreindre les droits d’administration :

Il est fréquent que dans les organisations, certains collaborateurs souhaitent bénéficier de privilèges supplémentaires sur leurs postes de travail (installation de logiciels, configuration du système…). Un utilisateur, peu importe sa position hiérarchique, ne doit pas se voir attribuer ces privilèges d’administration puisqu’il pourrait être la source de l’exécution de code malveillant. Il est recommandé de disposer d’un magasin d’applications répondant à des critères de sécurité définit par l’entité pour répondre à la plupart des besoins des collaborateurs. Il reste possible d’accorder des privilèges d’administration à un utilisateur cependant cette pratique doit être exceptionnelle, tracée ainsi que limitée dans le temps (et donc vérifiée et mis à jour par la suite). De plus, ces comptes administrateur ne doivent être utilisés que pour des actions d’administration et non pour un usage quotidien. Il convient donc de créer des compte nominatifs d’administration tels que gbouchard-admin afin de conserver une historisation nominative des actions d’administration du parc.

WAPT et Samba-AD, des alliés du quotidien !

Le déploiement d’application avec WAPT

WAPT est un outil de déploiement de logiciels pour Windows qui permet d’automatiser la gestion de parc grâce à sa console de management centralisée. Notre solution permet d’installer, mettre à jour et désinstaller des logiciels et configurations en bénéficiant d’une remontée d’information fiable et instantanée. Ainsi, vous pouvez programmer à distance vos déploiements de logiciels sans déranger vos utilisateurs. WAPT vous permet aussi de mettre à disposition de vos utilisateurs un magasin de logiciels validés par vos soins en suivant vos politique de sécurité. Vos utilisateurs en droits restreins pourront donc installer depuis un store les logiciels qu’ils souhaitent en toute sécurité.

La sécurité de WAPT a été reconnue par l’ANSSI, qui lui a attribué la qualification standard à la version Enterprise (1.5) du logiciel.

Dans le cadre de la sécurisation de l’administration, WAPT est capable d’assurer la gestion des droits. Grâce à son système de signature de paquet, seul l’administrateur peut déployer des paquets sur le parc, il est impossible d’entreprendre la moindre action d’administration sans clé de signature. Il est également possible de différencier les rôles des administrateurs de la console, ainsi les personnes en charge de déployer les paquets ne pourront pas en créer et risquer de compromettre l’infrastructure.

En effet, WAPT permet de créer simplement ses propres paquets grâce au package Wizard. Il est aussi possible de se rendre sur notre store, disposant de plus de 1 000 paquets, pour télécharger un paquet de manière sécurisée, l’éditer si besoin, le tester sur une machine isolée et finalement le déployer sur l’ensemble du parc.

 

Vous avez besoin de déployer rapidement des logiciels et des configurations sur votre parc ?

Samba Active Directory, l’alternative Open Source 

Tranquil IT est le premier intégrateur de Samba Active Directory en France. Notre expertise de plus de 13 ans sur Samba nous permet de réaliser efficacement des audits de parc informatique, des migrations d’Active Directory, des fusions de domaines et des formations labellisées datadock. Nous avons mené plus de 270 projets grâce à notre proximité avec la Samba Team.

Samba Active Directory permet d’organiser l’ensemble de votre réseau, définir des politiques de sécurité pour votre parc, de contrôler les autorisations et les droits d’accès, le tout au travers des mêmes consoles d’administration Windows RSAT. Les administrateurs systèmes habitués à l’environnement Microsoft Active Directory ne seront pas dépaysés alors que les administrateurs systèmes Linux retrouveront les outils en ligne de commande permettant d’administrer l’annuaire centralisé efficacement. 

Faites vous aider par un expert

Animé par la volonté d’aider les organisations dans la gestion de leurs systèmes informatiques, nous assistons les administrateurs systèmes dans leurs missions du quotidien. De cette volonté résulte une expertise unique sur Samba Active Directory en France mais aussi le développement de WAPT, notre outil gestionnaire de paquet open source. Le fait d’avoir obtenu la qualification de l’ANSSI pour notre logiciel nous pousse à enrichir nos méthodologies DevSecOps

Au sein de Tranquil IT, nous avons toujours eu la volonté de privilégier les outils Open Source pour leur fiabilité, leur maintenabilité et notamment pour la liberté qu’ils apportent. Faire le choix de l’Open Source c’est choisir d’économiser des frais de licences et de faire confiance à nos experts !

Vous avez besoin de sécuriser votre parc informatique ?

Ce qu’il ne fallait pas manquer :

Qui suivre pendant le #CyberSecMonth ?

Les articles à ne pas manquer :

Retrouvez toutes nos recommandations sur Twitter et LinkedIn et sur les hashtag : #TousSecNum, #CyberSecMonth, #ECSM2018 et #ECSM. Suivez aussi notre hashtag #CyberConseil pour suivre les conseils de Tranquil IT et découvrir les infographies suivantes.

Active Directory pour votre GIA

Active Directory pour votre GIA

Chez Tranquil IT, nous sommes experts Samba Active Directory et conseillons de manière systématique la mise en place d'un AD chez nos clients. Pourquoi Active Directory est-il votre allié du quotidien ? Nous allons tenter de vous l'expliquer. Gérer l'authentification...

Tranquil IT est référencée à l’UGAP

Tranquil IT est référencée à l’UGAP

Tranquil IT est maintenant référencée à l'UGAP par l'intermédiaire du contrat multi-éditeur porté par SCC. Derrière tous ces termes un peu bureaucratiques se cache une très bonne nouvelle pour ceux et celles qui veulent acheter les produits et services innovants...