A l'heure où les menaces en tous genres (ransomware, spear-phishing...) ont atteint un niveau d'intensité jamais observé - avec 4 165 cyberattaques détectées en France en 2016 selon PWC (et 24 000 contre le ministère de la Défense) -, les entreprises sont heureusement loin d'être démunies pour y faire face. Avant de se lancer dans la mise en oeuvre de solutions complexes et coûteuses - bien que souvent nécessaires - quoi de mieux que de suivre les meilleures pratiques pour éviter le pire ? C'est ce que proposent en ce début d'année l'ANSSI (agence nationale de la sécurité des systèmes d'information) et le Cesin (club des experts de la sécurité de l'information et du numérique).
Dans la dernière version de son guide d'hygiène informatique « Renforcer la sécurité de son système d'information en 42 mesures » publiée en janvier, l'Anssi propose aux entreprises d'améliorer facilement leur niveau de sécurité. Parmi les mesures, on trouve la toujours-nécessaire-mais-souvent-encore-trop-négligée sensibilisation des utilisateurs aux bonnes pratiques de sécurité informatique. Outre le fait d'informer les collaborateurs, dès leur arrivée, aux enjeux, règles et comportements à adopter en matière de sécurité des SI, l'Anssi préconise également la signature d'une charte et des consignes à respecter. La désignation d'un référent en sécurité des systèmes d'information connu auprès du personnel est préconisé. Outre l'évaluation des risques spécifiques liées à l'infogérance qui débouchera sur un plan d'assurance sécurité avec son ou ses prestataires, il ne faudra bien sûr pas négliger la phase d'identification des informations et données les plus sensibles pouvant se trouver aussi bien dans des bases de données, des serveurs de partage de fichiers que des postes de travail. Des composants critiques pour l'entité qui devront faire l'objet de mesures de sécurité adaptées (sauvegarde, journalisation...).
Quand le risque cyber s'invite dans la campagne présidentielle
« Il est fortement recommandé de procéder à une revue périodique de ces comptes afin de s’assurer que les accès aux éléments sensibles (notamment les répertoires de travail et la messagerie électronique des responsables) soient maitrisés. Ces revues permettront également de supprimer les accès devenus obsolètes suite au départ d’un utilisateur par exemple », indique l'Anssi. Cela concerne aussi bien la suppression des comptes informatiques et des boîtes emails associées que de la gestion physique des locaux. L'activation et la configuration des pare-feux et des anti-virus, qui pourra passer par un outil de gestion centralisée afin de faciliter l'exécution de règles et les mises à jour, est bien sûr recommandée.
L'une des clés de la sécurité informatique côté utilisateurs réside également, comme toujours, dans les mesures à prendre pour sécuriser les accès aux comptes et aux systèmes informatiques. Des efforts doivent donc être faits pour éviter tout mot de passe trop facile à devenir et de les réutiliser d'une application à l'autre. Un coffre-fort numérique chiffré stockant les mots de passe utilisateurs peut également être mis en oeuvre. L'Anssi recommande en outre la mise en oeuvre d'une authentification forte à double facteur alliant mot de passe, signature ou tracé de déverrouillage à une carte à puce, un jeton USB, une carte magnétique, un code SMS voire à une empreinte biométrique.
Nicolas Arpagian (directeur scientifique du cycle sécurité numérique à l'INHES et directeur des affaires publiques d'Orange Cyberdefense), Mounir Mahjoubi (responsable de la campagne numérique d'Emmanuel Macron), Florence Puybarreau (animatrice) et David Guez (avocat et organisateur de la Primaire.org).
Concernant les postes de travail, l'Anssi préconise un niveau de sécurité minimal sur l'ensemble du parc informatique, allant des postes aux serveurs en passant par les imprimantes, les mobiles (ne pas oublier d'y apposer un filtre de confidentialité et mettre en place des tunnels VPN SSL/TLS) ou encore les périphériques USB. Cela passe par des mesures comme « limiter les applications installées et modules optionnels des navigateurs web aux seuls nécessaires, doter les postes utilisateurs d’un pare-feu local et d’un anti-virus (ceux-ci sont parfois inclus dans le système d’exploitation), chiffrer les partitions où sont stockées les données des utilisateurs ou encore désactiver les exécutions automatiques (autorun). » Parmi les outils mis en place, mieux vaut choisir ceux certifiés par l'Anssi et faire appel à des prestataires qualifiés en audit (PASSI), réponses aux incidents de sécurité (PRIS), détection des incidents de sécurité (PDIS) ou encore de prestataire sécurité dans le cloud (SecNumCloud). On n'oubliera pas également de s'intéresser aux fournisseurs de sécurité de l'alliance Hexatrust. Autre point de vigilance : les supports amovibles dont la politique pourra être de type bannissement ou bien d'autoriser seulement ceux dont l'intégrité et la sécurité sont établis. Contrôles et protection de l'accès aus salles serveurs ainsi qu'aux locaux techniques ne devront pas être négligés.
Il est bien sûr aussi nécessaire d'apporter une attention particulière aux mises à jour de l'ensemble des composants du système d'information. Dernièrement, le site d'Emmanuel Macron En Marche en a fait les frais des pirates. « Au départ de la campagne nous n'avions pas mis à jour notre site Wordpress et des pirates en ont profité pour faire tomber notre site », a indiqué Mounir Mahjoubi, responsable de la campagne numérique d'Emmanuel Macron et ancien président du conseil national du numérique lors d'un débat à la soirée du Cercle le 23 février sur le risque cyber. « On subit des attaques régulières sur le front, les bases de données et le site. » Ce n'est d'ailleurs pas le seul acteur dans le cadre de la campagne des élections présidentielles à avoir été ciblé par des actions de piratage, cela a aussi été le cas du site laprimaire.org. « On a eu pas mal d'attaques par force brute et des candidats ont voulu s'attribuer des faux soutiens », a expliqué David Guez, avocat et organisateur de la primaire.org. Ce dernier a mis en place un système de monitoring et utilisé une blockchain privée pour sécuriser les votes en ligne couplé à des outils de communications sécurisées comme Telegram Messenger et Facemail.
Du chiffrement robuste en renfort
Procéder à des contrôles et audits de sécurité réguliers du SI, au moins une fois par an, est par ailleurs chaudement recommandé. « À l’issue de ces audits, des actions correctives doivent être identifiées, leur application planifiée et des points de suivi organisés à intervalles réguliers. Pour une plus grande efficacité, des indicateurs sur l’état d’avancement du plan d’action pourront être intégrés dans un tableau de bord à l’adresse de la direction », souligne l'Anssi.
Sans surprise, une salve de bonnes pratiques portant sur la sécurisation du réseau a également été dégainée par l'Anssi. « La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès Wi-Fi doivent donc être filtrés et restreints aux seuls flux nécessaires. De plus, il est important d’avoir recours prioritairement à un chiffrement robuste (mode WPA2, algorithme AES CCMP) et à une authentification centralisée, si possible par certificats clients des machines. » Le recours aux protocoles sécurisés TLS, HTTPS, IMAPS, SMTPS ou encore POP3S et SSH sont mis en avant. « il est recommandé de mettre en œuvre une passerelle sécurisée d’accès à Internet comprenant au minimum un pare-feu au plus près de l’accès Internet pour filtrer les connexions et un serveur mandataire (proxy) embarquant différents mécanismes de sécurité. Celui-ci assure notamment l’authentification des utilisateurs et la journalisation des requêtes. »
Côté messagerie, principal vecteur d'infection du poste de travail, le bon sens permet d'éviter d'ouvrir des messages à risque. Et en cas de doute, un coup de fil ou SMS permet de s'assurer de leur authenticité. La redirection des messages professionnels vers une messagerie personnelle est à proscrire. Anti-spam, mise en place d'un serveur relai en coupure d'Internet et mécanismes de vérification de l'authenticité et de la bonne configuration des enregistrements DNS publics liés à l'infrastructure de messagerie (MX, SPF, DKIM et DMARC) sont aussi recommandés.
Le rôle essentiel du RSSI
Le rôle du RSSI est bien entendu central dans l'entreprise et la stratégie de sécurité mise en oeuvre. « Un RSSI est souvent rattaché à la DSI. La question n'est pas de le placer dans ou en dehors de celle-ci mais là où il aura les moyens d'agir efficacement », peut-on lire dans le guide de la sécurité numérique pour les dirigeants co-rédigé par le Cesin et dévoilé à l'occasion de la soirée du Cercle le 23 février. « A condition d'appliquer trois principes : mandat clair, proximité avec le comex, liberté d'action. Sa parole aura une meilleure portée, et le management conservera la main sur la politique de sécurité la plus adaptée à sa stratégie. »
Le guide préconise enfin la mise en oeuvre d'un tableau de bord sécurité, permettant de mesurer l'écart entre la situation réelle et les objectifs de l'entreprise en fonction des risques, peut également être mis en place, comportant 5 sujets vitaux articulés autour de la stratégie (mise en œuvre de la politique de sécurité, dangerosité des risques, évolution de leur cartographie), conformité (mise en conformité réglementaire et normative, respect des engagements contractuels), finance (budget et retour sur investissement). Mais aussi opérationnel (incidents avec identification des causes, audits et tests de vulnérabilité, taux de disponibilité des services, mises à jour des systèmes et logiciels ainsi que taux de réduction du shadow IT) et RH (actions de sensibilisation, formations, compétences des équipes en charge).
Commentaire