Superviser, auditer, réagir #CyberSecMonth

par | Oct 30, 2018 | Actualités, CyberSecMonth

C’est déjà la fin de l’édition 2018 du CyberSecMonth, on espère que vous continuerez de sensibiliser votre entourage et resterez vigilant quant aux enjeux de la sécurité numérique. De notre côté, nous souhaitons conclure nos CyberConseils en vous partageant une dernière infographie.

Cybersécurité : Rendez-vous en novembre !

Bien que la cybersécurité soit le centre des préoccupations durant le mois d’octobre, le véritable objectif du CyberSecMonth est de sensibiliser un maximum d’individus aux enjeux de la sécurité numérique. Le but de cet évènement se construit donc à long terme puisqu’il vise à développer ces conseils et bons réflexes tout au long de l’année. C’est dans cette dynamique de sensibilisation quotidienne que l’European Cyber Week vient ponctuer l’actualité du mois de novembre ! Cette année, l’évènement se déroule à Rennes du 19 au 22 novembre et se focalise sur l’intelligence artificielle et la cybersécurité.

Veiller à la sécurité du système d’information

Mettre en place les mesures précédemment conseillées n’est pas suffisant pour garantir la sécurité d’un système d’information. En effet, il est, par la suite, important de définir et d’utiliser des moyens de contrôle par le biais de veilles de sécurité, d’audits de contrôle, de formations en interne et de collaborations avec des prestataires extérieurs qualifiés. Ces derniers conseils permettent ainsi de pouvoir réagir rapidement et de manière sécurisée sur le parc informatique.

Toutes les bonnes pratiques, et ce peu importe le domaine d’activité, sont inefficaces sans moyens de contrôle et sans analyse des actions effectuées. Ce travail de veille permet de s’assurer du bon fonctionnement des moyens mis en place mais aussi de détecter plus rapidement les quelques failles subsistantes, et donc de réagir de manière quasi-instantanée. La sécurisation du système d’information d’une organisation est soumise à ce même procédé.

Les moyens de contrôle à utiliser

Journaliser les composants les plus importants :

La centralisation et l’analyse de journaux pertinents est plus que recommandée car ils permettent de détecter des dysfonctionnements potentiels ou des tentatives d’accès illicites pouvant nuire à l’intégrité du système d’information. La mise en place d’un outil de centralisation de ces journaux permet d’analyser en temps réel les composants vitaux du système d’information tel que les équipements réseaux et de sécurité, les serveurs et les postes de travail utilisateurs. Tous ces éléments doivent être sujets à une analyse de la configuration des éléments journalisés (format, fréquence de rotation des fichiers, taille maximale des fichiers journaux, catégories d’évènements enregistrés) pour les adapter en conséquence. Les évènements critiques pour la sécurité doivent être journalisés et gardés pendant au minimum un an. Une étude contextuelle du système doit être effectuée et les éléments suivants doivent être journalisés :

  • Pare feu : Paquets bloqués
  • Systèmes et applications : Authentifications et autorisations (échecs comme succès), arrêts inopinés
  • Services : Erreur de protocoles (comme les erreurs 403,404, 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relais HTTP, en-têtes des messages sur un relais SMTP, etc)

Afin de pouvoir corréler les évènements entre les différents composants, leur source de synchronisation de temps (grâce au protocole NTP) doit être identique.

Mettre en place une politique de sauvegarde des composants critiques :

Il est primordial de pouvoir accéder aux sauvegardes (conservées en lieu sûr) après un incident d’exploitation ou une intrusion au sein du système d’information. Pour ce faire, il est vivement recommandé de formaliser une politique de sauvegarde régulièrement mise à jour afin que l’organisation développe une véritable exigence vis-à-vis de la sauvegarde de l’information, des logiciels mais également des systèmes. Cette politique doit comprendre :

  • La liste des données jugées vitales pour l’organisme et les serveurs concernés
  • Les différents types de sauvegarde (comme le mode hors ligne)
  • La fréquence des sauvegardes
  • La procédure d’administration et d’exécution des sauvegardes
  • Les informations de stockage et les restrictions d’accès aux sauvegardes
  • Les procédures de test de restauration
  • La destruction des supports ayant contenu les sauvegardes

Les tests de restauration peuvent être réalisés de plusieurs manières :

  • Systématique, par un ordonnanceur de tâches pour les applications importantes
  • Ponctuelle, en cas d’erreur sur les fichiers
  • Générale, pour une sauvegarde et restauration entière du système d’information

Réaliser des contrôles et des audits de sécurité de manière fréquente :

Il est conseillé d’auditer le système d’information au minima une fois par an afin d’évaluer l’efficacité des mesures mises en œuvres et leur maintien dans le temps. Il est ainsi plus simple de mesurer les écarts entre les règles adoptées par l’entité et l’application de ces dernières. Ces audits peuvent être réalisés par des équipes d’audit internes ou par des sociétés externes spécialisées. Selon le périmètre à contrôler, des audits techniques et/ou organisationnels seront effectués par les professionnels mobilisés. Ces audits sont d’autant plus nécessaires que l’entité doit être conforme à des réglementations et obligations légales directement liées à ses activités.

Suite à ces audits, il est nécessaire d’identifier des actions correctives, planifier l’application de ces corrections et élaborer des points de suivi à intervalles réguliers. Il est également recommandé de mettre en place des indicateurs sur l’état d’avancement du plan d’action (par le biais d’un tableau de bord complet et organisé). Cependant, l’audit ne doit pas être le seul élément de contrôle puisqu’il ne garantit pas systématiquement la sécurité du système d’information et peut omettre d’éventuelles vulnérabilités.

Désigner un référent en sécurité des systèmes d’information :

Les organisations doivent désigner un référent en terme de sécurité des systèmes d’information, celui-ci devra être soutenu par la direction ou par une instance décisionnelle spécialisée selon le niveau de maturité de l’entité. Ce référent devra être formé à la sécurité des systèmes d’information et à la gestion de crise. Au sein de l’organisation, il devra être connu de tous les utilisateurs et sera le premier contact pour toutes les questions relatives à la sécurité des systèmes d’information, soit :

  • La définition des règles à appliquer selon le contexte
  • La vérification de l’application des règles
  • La sensibilisation des utilisateurs et définition d’un plan de formation des acteurs informatiques
  • La centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs

Dans les entités les plus importantes, ce correspondant peut être désigné pour devenir le relai du RSSI. Par exemple, il sera chargé de signaler les doléances des utilisateurs et d’identifier les thématiques à aborder pour les sensibiliser dans le but d’améliorer le niveau de sécurité du système d’information au sein de l’organisme.

Établir une procédure de gestion des incidents de sécurité :

Une intrusion peut être détectée par un comportement inhabituel d’un poste de travail ou d’un serveur (connexion impossible ; activités importantes ou inhabituelles ; services ouverts non autorisés ; modification de fichiers sans autorisation ; multiples alertes de l’antivirus). Cependant, une mauvaise réaction en cas d’incident de sécurité peut empirer la situation et même empêcher sa résolution. Dans le cas d’une intrusion, il est conseillé de :

  • Déconnecter la machine du réseau afin d’interrompre l’attaque
  • Maintenir sous tension la machine pour ne pas perdre d’informations précieuses
  • Ne pas redémarrer la machine
  • Informer la hiérarchie et le référent en sécurité des systèmes d’information

Par la suite, il est recommandé de contacter un Prestataire de Réponse aux Incidents de Sécurité (PRIS) afin de faire réaliser les opérations techniques nécessaires (copie physique du disque ; analyse de la mémoire, des journaux et d’éventuels codes malveillants ; etc) et de déterminer si d’autres éléments du système d’information ont été compromis. Il s’agira également d’élaborer la réponse à apporter afin de supprimer d’éventuels codes malveillants et accès dont disposerait l’attaquant et de procéder au changement des mots de passe compromis. Tout incident doit être consigné dans un registre centralisé. Une plainte pourra également être déposée auprès du service judiciaire compétent.

Auditer votre parc, le point de départ

Il est compliqué, pour une organisation, de disposer des moyens nécessaires pour auditer avec fiabilité son parc informatique. L’entité ne dispose pas nécessairement des outils ou du savoir-faire permettant de réaliser un audit complet en interne. Faire appel à un Prestataire d’Audit de la Sécurité des Systèmes d’Information (PASSI) est donc recommandé pour construire une véritable stratégie de cybersécurité. Les audits des PASSI se classent en plusieurs catégories :

  • Audit architecture
  • Audit de configuration
  • Audit de code source
  • Test d’intrusion
  • Audit organisationnel et physique

L’ANSSI certifie les organismes d’audit sur chacun de ces critères, de manière individuelle. Tous les PASSI ne sont pas qualifiés pour la totalité des critères, reportez vous à la liste des PASSI pour plus d’informations. Une fois votre audit effectué, nous pouvons vous aider à appliquer les préconisations de l’organisme d’audit.

Appuyez-vous sur notre expertise

Animé par la volonté d’aider les organisations dans la gestion de leurs systèmes informatiques, nous avons pour objectif d’assister les administrateurs systèmes dans leurs missions du quotidien. De ce but résulte de plus de 15 années d’expérience dans la gestion de parc informatique et dans la sécurisation du réseau local (barrières de sécurité, gestion des droits utilisateurs, contrôle des applications, mise à jour des postes, etc). Afin de garantir la sécurité de votre parc, nous privilégions les outils que nous avons développés (comme WAPT, solution de déploiement de logiciels) ou sur lesquels nous bénéficions d’une véritable expertise (comme Samba Active Directory), tout en conservant notre philosophie DevSecOps.

Au sein de Tranquil IT, nous avons toujours eu la volonté de privilégier les outils Open Source pour leur fiabilité, leur maintenabilité mais aussi la liberté qu’ils offrent. Faire le choix de l’Open Source c’est choisir d’économiser des frais de licences et de faire confiance à nos experts !

Vous avez besoin de sécuriser votre parc informatique ?

Ce qu’il ne fallait pas manquer :

Qui suivre pendant le #CyberSecMonth ?

Active Directory pour votre GIA

Active Directory pour votre GIA

Chez Tranquil IT, nous sommes experts Samba Active Directory et conseillons de manière systématique la mise en place d'un AD chez nos clients. Pourquoi Active Directory est-il votre allié du quotidien ? Nous allons tenter de vous l'expliquer. Gérer l'authentification...

Tranquil IT est référencée à l’UGAP

Tranquil IT est référencée à l’UGAP

Tranquil IT est maintenant référencée à l'UGAP par l'intermédiaire du contrat multi-éditeur porté par SCC. Derrière tous ces termes un peu bureaucratiques se cache une très bonne nouvelle pour ceux et celles qui veulent acheter les produits et services innovants...