Sécuriser le réseau (partie 1) #CyberSecMonth

par | Oct 16, 2018 | Actualités, CyberSecMonth

Cette semaine l’équipe de France participe pour la première fois à l’European CyberSecurity Challenge, la compétition bat son plein dans la ville de Londres et notre équipe fait tout pour rester dans le haut de classement et remporter la victoire.

Une semaine dédiée à la sécurisation du réseau

Nous poursuivons la diffusion de nos #CyberConseils avec un nouveau sujet : La sécurisation du réseau. Le guide d’hygiène de l’ANSSI préconise 8 mesures permettant de sécuriser son réseau, c’est donc un sujet dense et complexe. Ainsi, nous avons préféré le couper en deux parties pour plus de lisibilité et de simplicité. Retrouvez la seconde infographie et nos préconisations d’ici quelques jours. Ne vous inquiétez pas, cet article devrait vous donner de quoi vous occuper en attendant la suite !

Protéger son réseau pour plus de sécurité

L’accès à internet est devenu quasiment indispensable dans un contexte professionnel. Un accès non sécurisé à internet peut devenir la source de bien des problèmes  : code malveillant, téléchargement de fichiers dangereux, prise de contrôle du terminal ou même la si terrifiante fuite de données sensibles. Sécuriser le réseau de l’organisation revient donc à s’assurer de l’intégrité du système d’information !

Pour mieux se protéger, les organisations doivent être plus que vigilantes quant à la connexion à Internet. Il est important de mettre en place des « barrières », que ce soit pour accéder au réseau ou entre les postes, pour s’assurer de la sécurité du système et pouvoir agir plus aisément en cas de cyberattaque.

Que faire pour sécuriser le réseau ?

Segmenter et cloisonner :

Un réseau sans cloisonnement permet à n’importe quelle machine d’accéder à une autre machine connectée sur le même réseau. Si l’une d’entre elle est compromise, l’ensemble des machines connectées sont elles aussi menacées. La conception de l’architecture réseau doit donc être pensée par segmentation en zones composées de systèmes ayant des besoins de sécurité homogènes. Il est recommandé de segmenter les différents serveurs (infrastructures, métiers…) et les différents rôles sur le réseau (utilisateurs, administrateurs). Ces zones se composent de VLAN, de sous réseaux IP dédiés et d’infrastructures dédiées si besoin. Le filtrage IP et le pare-feu permettent de favoriser le cloisonnement des zones. Il est également important de cloisonner les équipements et flux associés aux tâches d’administration.

Les organisations doivent mettre en place une passerelle sécurisée d’accès à Internet. Cette mesure de protection doit contenir un pare-feu filtrant les connexions et un proxy assurant l’authentification des utilisateurs et la journalisation des requêtes. Ainsi, vous aurez un réseau cloisonné et sécurisé. En cas d’attaque, grâce à la journalisation, vous trouverez rapidement l’origine de la faille.

L’utilisation de protocoles réseaux sécurisés et courants, comme ceux reposant sur l’utilisation de TLS, permet de garantir l’intégrité du réseau.

Contrôler les réseaux d’accès Wi-Fi

L’usage du Wi-Fi peut présenter un risque dans un milieu professionnel, notamment par rapport à la faible maîtrise de la zone de couverture ou la configuration par défaut d’accès peu sécurisés.  Ainsi, la segmentation de l’architecture réseau limite les conséquences d’une intrusion à un périmètre déterminé du système d’information. Ce qu’il est important de faire :

  • Les flux des postes se connectant au réseau Wi-Fi doivent impérativement être filtrés et restreints.
  • Il est également important de mettre en place un chiffrement robuste ainsi qu’une authentification centralisée, notamment par le biais des certificats clients des machines.
  • Le réseau Wi-Fi ne doit pas être sécurisé par un seul mot de passe partagé. Si c’est impossible, cet unique mot de passe doit être complexe et renouvelé régulièrement.
  • Les mots de passe de connexion ne doivent pas être communiqué à des tiers non autorisés.
  • Les points d’accès doivent être administrés de manière sécurisée.
  • Les connexions Wi-Fi des terminaux personnels ou des visiteurs doivent être différenciées des connexions Wi-Fi des terminaux de l’organisation (généralement avec un Wifi guest).

Comment appliquer ces solutions ?

La sécurisation du réseau informatique n’est pas chose aisée sans compétence particulière. Pour agir efficacement, il vous faut de bonnes méthodologies et des outils adéquats . Les outils peuvent s’obtenir facilement et rapidement, à l’inverse des méthodologies qui sont plus complexes à aborder. Ces méthodologies, vous pouvez les obtenir par le biais de formations en interne, ou par une assistance d’un expert tel que Tranquil IT.

Pour commencer, nous préconisons de contacter un PASSI pour réaliser un audit de votre parc. Les audits sont classés en plusieurs catégories :

  • Audit architecture
  • Audit de configuration
  • Audit de code source
  • Tests d’intrusion
  • Audit organisationnel et physique

L’ANSSI certifie les organismes d’audit sur chacun de ces critères, individuellement. Tous les PASSI ne sont pas qualifiés pour la totalité des critères, reportez vous à la liste des PASSI pour plus d’informations. Une fois votre audit effectué, nous pouvons vous aider à appliquer les préconisations de l’organisme d’audit afin de sécuriser votre réseau.

Faites vous aider par un expert

Tranquil IT a une expérience de plus de 15 ans dans la sécurisation du réseau local. Faites vous auditer par un Prestataire d’Audit de la Sécurité des Systèmes d’Information (PASSI) et confiez nous la mise en oeuvre des préconisations. Nous combinons les SRP (Software Restriction Policies) pour établir des barrières de sécurité, Samba Active Directory pour la gestion des droits utilisateurs et WAPT pour le contrôle des applications afin de garantir la sécurité de votre parc informatique. Cette « combinaison gagnante » et nos méthodologies DevSecOps nous permettent d’agir efficacement et de manière sécurisée sur un parc.

Vous avez besoin de sécuriser votre parc informatique ?

Ce qu’il ne fallait pas manquer :

Qui suivre pendant le #CyberSecMonth ?

Les articles à ne pas manquer :

Retrouvez toutes nos recommandations sur Twitter et LinkedIn et sur les hashtag : #TousSecNum, #CyberSecMonth, #ECSM2018 et #ECSM. Suivez aussi notre hashtag #CyberConseil pour suivre les conseils de Tranquil IT et découvrir les infographies suivantes.

Active Directory pour votre GIA

Active Directory pour votre GIA

Chez Tranquil IT, nous sommes experts Samba Active Directory et conseillons de manière systématique la mise en place d'un AD chez nos clients. Pourquoi Active Directory est-il votre allié du quotidien ? Nous allons tenter de vous l'expliquer. Gérer l'authentification...

Tranquil IT est référencée à l’UGAP

Tranquil IT est référencée à l’UGAP

Tranquil IT est maintenant référencée à l'UGAP par l'intermédiaire du contrat multi-éditeur porté par SCC. Derrière tous ces termes un peu bureaucratiques se cache une très bonne nouvelle pour ceux et celles qui veulent acheter les produits et services innovants...