Les enjeux

Un SI est un ensemble de ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d’une organisation. L'information est le nerf de la guerre pour les organisations. Le SI d'une organisation contient des actifs : les actifs primordiaux (processus métiers et informations) et des actifs supports (sites, personnels, matériel, réseau, softs, organisation...). La sécurité du SI consiste à assurer la sécurité de l'ensemble de ces biens.

Les enjeux sont donc de réduire les risques pesant sur le SI pour limiter leur impact sur le fonctionnement de l'organisation. La gestion de la sécurité n'as pas pour but de faire de l'obstruction, au contraire; elle contribue à la qualité de service et garantit au personnel le niveau de protection qu'ils sont en droit d'attendre.

Les impacts peuvent concerner :

• Finances
• Image/Réputation
• Impacts juridiques
• Impacts Organisationnels

Les motivations des attaquants évoluent : si il s'agissait surtout de bidouilleurs dans les années 80/90, il s'agit aujourd'hui d'actions organisées et réfléchies. La cyberdéliquance inclue : des gens attirés par le gain, des hacktivistes, des motivations politiques/religieuses, des concurrents directs de l'organisation, des fonctionnaires au service d'un état, des mercenaires... Ils ont à y gagner :

• De l'argent : revente d'informations, que ce soit des comptes, emails, organisation interne de l'entreprise, des fichiers clients, des mots de passe, comptes bancaires, CB...
• Des ressources matérielles (qu'ils peuvent ensuite vendre ou louer) : de la bande passant, de l'espace de stockage, des botnets...
• Du chantage : DoS, modification de données...
• De l'espionnage : Industriel, concurrentiel, étatique...

La plupart des actes de déliquance sur le net sont menés par des groupes criminels organisés, professionnels et impliquant de nombreux acteurs. Des groupes qui développent des malwares; d'autres qui sont en charge d'exploiter et commercialiser des services; des hébergeurs de contenu malveillant (parfois eux-mêmes victimes); des groupes quivendent des données; des intermédiaires financiers qui s'appuient sur des réseauxw de mules...

Les impacts sur la vie privée sont nombreux : Impact sur l'image / La vie privée, usurpation d'identité, Pertes définitive de données, Impact financiers...

La cybersécurité peut avoir un impact sur les structures critiques (ensemble d'organisations considérées comme vitales par l'état). Ces organisations sont considérées comme Opérateurs d'Importance Vitale (OIV), et la liste est classifiée.

Par ailleurs, les vols de données ont atteint un record en 2014.

Les besoins de sécurité

Pour évaluer le niveau de sécurité d'un bien du SI, on utilise les critères DIC :

• Disponibilité : Accessibilité aux biens au moment voulu par les propriétaires / usagers
• Intégrité : Exactitude et complétude des biens et informations
• Confidentialité : Les biens ne sont accessibles qu'aux personnes concernées.

On y associe souvent :

• Preuve : Propriété permettant de retrouver avec une confiance satisfaisante, comment un bien évolue. Notamment : la traçabilité des actions, l'authentification des utilisateurs, l'imputabilité du responsable de l'action effectuée.

On fait aussi la différence entre sûreté et sécurité :

• La sûreté est la proection contre les dysfonctionnements et accidents involontaires, comme la panne d'un disque. Elle est quantifiable statistiquement et on peut utiliser des sauvegardes, la redondance des équipements... On a donc un ensemble de mécanismes mis en place pour assurer la continuité de fonctionnement du système dans les conditions requises.
• La sécurité est la protection contre les actions malveillantes volontaires : blocage d'un service, modification / vol d'informations... Ce n'est pas quantifiable mais on peut évaluer en amont le niveau du risque et des impacts. Les parades incluents : le contrôles d'accès, la configuration renforcée, le filtrage... On a un ensemble de mécanismes destinés à protéger l'information des utilisateurs ou processus n'ayant pas l'autorisation de la manipuler et d'assurer les accès autorisés. La notion de sécurité diffère selon le contexte; on peut amener de l'inocuité ou de l'immunité.

Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de DICP, chaque critère sur une échelle. L'expression du besoin attendu peut être interne (contriantes métier de l'ets) ou externe (contraintes légales...). Par exemple, pour un audit, on pourrait avoir :

• Disponiblité : très fort
• Intégrité : moyen
• Confidentialité : Très Fort
• Preuve : Faible

Tous les biens d'un SI n'ont pas le même besoin en DICP : par exemple, un serveur web devrait avoir une très forte disponiblité, mais une faible confidentialité (ses informations étant publiques par nature !).

Mécanismes de sécurité pour atteindre les besoins DICP

Un SI a besoin de mécanismes qui ont pour objectif d'assurer de garantir les propriétés DICP sur ses biens; voici quelques exemples :

• Antivirus : DIC
• Cryptographie : ICP
• Pare-Feu : DC
• Contrôle d'accès logique : ICP
• Sécurité Physique : DIC
• Capacité d'audit : DICP
• Clauses contractuelles avec les partenaires : DICP
• Formation et sensibilisation : DICP

Attaques

Un peu de vocabulaire :

• Vulnérabilité : Faiblesse au niveau d'un bien (dans la conception, réalisation, installation, configuration, utilisation...)
• Menace : Cause potentielle d'un accident, qui pourrait entraîner des dommages.
• Attaque : Action malveillante destinée à porter atteinte à la sécurité d'un bien. C'est la concrétisation d'une menace, et cela suppose l'exploitation d'une vulnérabilité. Du coup, le but pour nous est de maîtriser ces vulnérabilités.

On pourrait présenter de nombreuses vulnérabilités, comme celle de VNC qui permettait de prendre le contrôle de n'importe quelle machine (le serveur acceptait n'importe quel type d'authentification, y compris "pas d'authentification"...).

Menaces

Les sources de menaces sont nombreuses, et plus ou moins capables; on y est aussi exposé plus ou moins. On peut citer :

• États tiers (capable +++ exposition +++)
• Groupes cybercriminels (cap ++ expo ++)
• Concurrents (cap ++ expo ++)
• Délinquant seul (cap+ expo +)
• Personnel Internet (cap + expo +++)

Quelques menaces :

• Hameçonnage et ingénierie sociale : Attaques de masse visant à profiter de la naïveté des clients / employés pour récupérer des identifiants. Réception d'emails se faisant passer pour une banque, demandes de màj des données personnelles, connexion à un faux site identique à un site connu mais qui récupère tout ce qui est tapé... Il s'agit d'une attaque ciblée, qui peut viser des employés pour dérober directement des informations ou introduire des logiciels malveillants dans le SI. Peut passer par mail, téléphone, réseaux sociaux... Une attaque avancée peut passer par l'envoi de pièces jointes piégées : la cible annonce la comprimission, et la pirate peut alors prendre le contrôlede la machine cible, qui agit ensuite comme une tête de pont pour aller contrôler des ordinateurs rebonds.
• Fraude Interne : sujet tabou, il est important !
  • Catégories de fraudeurs : occasionnel, récurrent (petites sommes), personne qui se fait embaucher pour effectuer une fraude, fraude en groupe
  • Vulns : Faiblesse des procédure de contrôle interne et de surveillance, gestion permissive des habilitations informatiques, absence de séparation des tâches et de rotation
  • Typologie des fraudes : Détournement des avoirs de la clientèle / de l'ets, création de fausses opérations, personne qui fausse ses objectifs pour gagner plus
• Mots de passes faibles : ils permettent l'utilisation de scripts et de bruteforce pour casser les mots de passe. LEs mots de passe fort sont efficaces, mais peu pratique à utiliser : on peut passer par des tokens USB, matrices papier, biométrie, codes sms, one time password...
• Intrusion par vulnérabilité (depuis Internet ou en interne) : sachant que 80% des domaines AD sont compromis en 2h, que 75% d'entre eux contiennent un compte protégé avec un mot de passe trivial, que 50% des ets sont affectées par un défaut de cloisonnement des réseaux, et que 80% des tests d'intrusion ne sont pas détectés par les équipes IT...
• Virus : Attaques massives qui tendent à être de plus en plus ciblées sur un secteur d'activité, de plus en plus sophistiqués et furtifs... Les principaux vecteurs sont : les pièces jointes, les supports amovibles, les sites web, les partages réseau ouverts et vulnérables... Ils peuvent entraîner : trojan, récupération de données, surveillance à distance, destruction ou chiffrement des données...
• DDoS : attaques ciblées pour saturer un site à l'aide d'un botnet. En moyenne : dure 34.5 heures, 48.25 GBPS de bande passante, 75% au niveau infrastructure et 25% au niveau application.

Droit

En France, la sécurité est organisée par le premier Ministre : Il dirige, en plus des ministères, le Secrétaire Général de la Défense et de la Sécurité Nationale (SGDSN, pilote la politique nationale de sécurité des SI)), qui dirige l'ANSSI (propose des règles pour la protection des SI de l'état, vérifie leur application, Conseil/soutient les administrations, informe le public...).Les ministères ont des Hauts Fonctionnaires de Défense et de Sécurité (HFDS) qui coordonnent la préparation des mesures de défense (Vigipirate) et sont chargé de la sécurité SI. 

La cybersécurité comprend donc la SSI + la cyberdéfesne + la cybercriminalité.

Cela couvre de nombreux domaines !

Les droits des TIC sont non codifiés, avec des dizaines de codes en vigueur, et difficiles d'accès (au carrefour des autres droits, ils sont en constante évolution, issus de textes divers et avec beaucoup de jurisprudence). Il faut donc un effort de veille juridique.

Cybercriminalité :

Actes contrevenant aux traités/lois utilisant les réseaux ou les SI comme moyen ou objet d'un délit ou d'un crime.

Investigation numérique (forensics) :

Protocoles et mesures permettant de rechercher des éléments techniques sur un conteneur de données numériques en vue de répondre à un objectif en respectant une procédure de préservation du conteneur.

La loi Godfrain de 1988 stpiule que l'accès ou le maintien frauduleux dans tout ou partie d'un système de traitement automatisé des données (STAD) est puni de 2 ans de prison et 30000€ d'amende. On tient pour preuve la notion d'accès ou de maintien, l'élément moral est qu'il faut être en connaissance de cause et sans droit. Peu importe que l'on modifie ou pas le SI, la motivation et l'orignine de l'attaque... Les cours sont intransigeantes avec les victimes ayant un systèmes mal protégé.

(cf pdf "droit").

RGPD

Les principes relatifs au traitement de données à caractère personnel sont conservés : licéité, proportionnalité, loyauté et transparence des traitements, finalité déterminée, adéquation des traitements, conservation pour une durée limitée et sécurité des données, droit à l’oubli, droit à la portabilité, « privacy by design », profilage, analyses d’impact...

Par rapport au droit des personnes :

• Le consentement de la personne concernée/ des enfants
• Le droit à l’information
• Les  droits  d’accès  aux  données,  de  rectification  et à l’oubli numérique (ou droit à l’effacement des données)
• Le droit à la limitation du traitement
• Le droit à la portabilité des données ( données dans un format ouvert et structuré, possibilité de transmettre les données d'un prestataire à l'autre).

Les obligations du responsable de traitement sont :

• La notion de responsabilité (« accountability ») (art 5 et 24)
• La protection des données dès la conception ou “privacy by design” (art. 25)
• Les règles de profilage (art. 22)
• L’obligation de sécurité (art. 32 à 34) : mesures techniques (voir recommandations ANSSI) et organisationnelles (pseudonymisation) adaptés pour la sécurité et la sûreté. Doivent être vérifiées comme efficaces.  Il faut notifier la CNIL au plus tard 72h après prise de connaissance d'une faille, en mettant en place une proécdure analysant l'efficacité des mesures mises en oeuvres (nature/volupétrie des données, conséquences, mesures prises et contact local...). Prévoir de rétablir l'accès et la disponiblité dans des délais appropriés.
• Les analyses d’impact relatives à la protection des données (art. 35)
• Les transferts de données entre pays membres est possibles, ainsi que vers les payas non membres satisfaisant aux critères du RGPD. Pour les Etats-Unis, seules les sociétés ayant choisi de se conformer aux  principes  du  Privacy  Shield  (adéquation  négociée)  sont concernées (remplace Safe Arbor) et soumises à contrôles annuels:–accès aux données personnelles par les autorités américaines encadré et transparent.–accès généralisé aux données est expressément interdit (Code du commerce vs Patriot Act ?)Exceptions à l’interdiction : consentement explicite (ou incapacité de la personne), intérêts vitaux, justice, intérêt public, contrat (achat)

Le rôle de la CNIL

C'est une autorité de contrôle indépendante, en charge de l'application du règlement en France. Elle sensibilise le public et conseille le gouvernement/parlement; traite les réclamations; coopère avec ses homologues européens.

Dans la protection des données à caractère personnel :

• Enquête  et  audit  avec tous  pouvoirs  sur  la  mise  à disposition des documents et données mis à disposition
• Notifie les violations, ordonne la mise en conformité (en imposant une limitation ou interdiction de traitement)
• Impose  une amende  administrative  (jusqu’à  10  à  20 millions d’€ et de 2 à 4 % du CA mondial de l’exercice précédent)
• Ex : arrêt de l’envoi de données à un pays tiers

Le DPO / DPD (Délégué à la Protection des Données)

Il remplace le correspondant CIL (Informatique et Libertés). Uniquement pour les entreprises ayant pour activité de base la gestion de données personnelles à grande échelle ou le contrôle et suivi du comportement des personnes (y compris le profilage).

Le SI

Au delà de la connaissance technique, il est nécessaire d'avoir un inventaire du SI, qui permettra de mieux déterminer les menaces et les mesures de protection applicables. Cet inventaire doit suivre une méthodologie logique afin d'être exhaustif, en commençant par l'inventaire des métiers.

Différents éléments composent le SI:

• Actifs primordiaux : Processus métier et données
• Eléments support : application, OS
• équipement : matériel

En inventoriant les biens, il faut identifier :

• Les données sensibles : mdp, cb, documents personnels, plan marketing, fichier client, brevets, contrats, etc
• Les applications et leurs versions : Office 2010, browser web, etc
• Les OS
• Les équipements

Pour inventorier, on peut utiliser :

• Des outils d'identification des ordinateurs en réseau (ServiceNow, HP OpenView)
• Outils d'identification des logiciels installés sur un ordinateur/téléphone ainsi que des versions (Everest...).

Le réseau

Types de réseaux et interconnexions

AN signifie toujours "Area Network"

• BAN (Body) : réseau compposé de télétransmetteurs dans le domaine de la santé
• PAN (Personal) : réseau centré autour d'une personne, moins de 10m
• WPAN (Wireless PAN) : réseau PAN sans fil avec des choses comme : IrDA, ZigBee, BlueTooth, Wireless USB...
• LAN
• MAN
• CAN (Campus) : Réseau sur plusieurs LAN, de la taille d'une fac
• WAN : national/international.

Il est nécessaire de maîtriser les interconnexions du réseau :

• Accès Internet via box, téléphone, etc
• Interconnexion avec d'autres réseaux via liaison dédiée, VPN sur un WAN, Satellite...

Maîtriser le réseau : sécuriser le réseau interne

Il faut créer des zones dans le réseau interne, avec des zones distinctes pour les serveurs, postes de travail, visiteurs. On peut assurer la confiance par l'authentification mutuelle des composants (chaque composant s'identifie avant le début de l'échange, on évite l'usupration d'identité). On peut assurer le cloisonnement à l'aide de : VLAN, VRF, sous-réseaux... ne pas oublier le mécanisme de filtrage !

Il faut aussi restreindre l'accès aux réseaux internes : 802.1X permet de contrôler les accès au réseau avec authentification. Il faut recourir à l'authentification avant d'autoriser l'accès réseau; cela peut se faire par certificat, carte à puce, et peut être  centralisée sur un serveur RADIUS (mon amour!) par exemple.

Le BYOD

Le réseau partage les infos ET les codes malveillants. De plus, un terminal personnel n'as pas le même niveau de sécurité que les terminaux de l'entreprise / université (pas forcément d'antivirus, etc; sur du professionnel, les logiciels sont installés de façon centralisée et vérifiée). De plus, le BYOD est connu pour être une source de fuite de données.

Maîtriser les échanges en interne

Il faut filtrer les flux pouvant être échangés entre les zones :

• Identifier les ports réseaux utiles
• Identifier les protocoles réseaux autorisés
• disposer d'une matrice de flux indiquant les flux autorisés et les flux interdits entre les zones.

Il vaut mieux utiliser une liste blanche qu'une liste noire (qui n'est jamais exhaustive). Cela consiste à autoriser des machines à communiquer avec d'autres machines, en bloquant toutes celles que l'on a pas autorisé.

Tout ce qui n'est pas explicitement autorisé est interdit !

Protéger le réseau interne d'Internet

Le réseau interne est "de confiance" et doit être protégé. Les équipements interagissant avec internet peuvent être mis :

• Dans une DMZ, avec un niveau de filtrage/contrôle accru
• Protégés par des firewall filtrants les échanges de flux : soit avec des équipements dédiés soit avec des logiciel de pare-feu personnel. Sous Windows, on peut utiliser le pare-feu Windows ou ZoneAlarm par exemple; il faut toujours contrôler les connexions entrantes et autoriser les applications au travers du pare-feu, au cas par cas.
• Protégés derrière des IPS et des IDS qui peuvent protéger des tentatives d'intrusion.
  • IPS : Système de Prévention des Intrusions (Intrusion Prevention System). Il est situé en coupure, soit à la frontière du réseau : les données réelles le traversent et il peut réagir en temps réel ! Il en existe 2 types : NIPS (Network) qui analyse le trafic réseau en s'appuyant sur une BDD de signatures d'attaques et peut les bloquer. Les HIPS (Host) qui suivent l'état de sécurité des machine hôtes, en surveillant l'état de la machine et peut détecter des processus suspect pour les arrêter, par exemple.
  • IDS (Intrusion Detection System) : Il détecte les activités d'une cible s'éloignant d'une norme. On a des NIDS (Network IDS), qui voit une copie du trafic depuis un réseau isolé et peut lever des alertes, en restant passif. On a aussi des HIDS (Host) qui surveillent une machine depuis celle-ci (ressource, activités utilisateur...) en fonctionnant sur un modèle client serveur, avec des clients HIDS qui rendent compte à un serveur Master.
  • Les risques sont : manque de fiabilité (on peut bloquer des activités légitimes). Aussi, les IPS qui sont en coupe (en frontière du réseau) peuvent être directement ciblés par une attaque.
  • Ne pas confondre NIPS et FireWall : le NIPS recherche des attaques à partir d'une base de signatures d'attaque, le firewall filtre en définissant quelles communications sont autorisées ou pas. Une machine peut remplir ces deux rôles, mais ce sont deux rôles différents !

Accès distants

On peut accéder au réseau au distance pour du télétravail, téléassistance, etc... Mais il est recommandé d'avoir des points d'entrée identifiés :

• Serveurs d'auth : RADIUS, TACACS+
• Concentrateurs VPN
• Remote Access Server (RAS).

Il faut donc utiliser des moyens sûrs pour l'accès à distance :

• SSH
• Secure Remote Desktop
• SFTP ou SCP pour la copie de fichiers
• HTTPS pour accéder à une interface web
• Pour les VPN établis sur un réseau qu'on ne maîtrise pas, comme internet :
  • VPN IPSEC permet authentification et chiffrement, utilisé pour protéger le trafic réseau
  • VPN SSL : protège essentiellement le trafic web et est facile à déployer.

Sécuriser l'administration

• Restreindre / interdire les interfaces d'administration depuis le web : que depuis le réseau ! (ouvrir un VPN si besoin)
• Restreindre les accès aux interfaces d'administration des sirtes web :
  • Pour les CMS, le lien de la page d'admin est facile à trouver
  • Des attaques bruteforce sont faciles à mener
  • Modifier le compte "admin" par défaut :
• Utiliser un réseau d'administration dédié:
  • Séparé du réseau de production de manière à ce que seuls les postes autorisés puissent s'y connecter
  • Avoir une liste blanche des admins autorisés à se connecter au réseau
  • Authentifier mutuellement les postes des admins et les équipements à administrer

WiFi

Pour le sécuriser, il faut :

• Utiliser une clef d'au moins 15 caractères
• Utiliser WPA2
• Choisir l'algorithme CCMP (Counter Cipher Mode Protocol) si possible;
• Modifier le SSID
• Modifier les identifiants par défaut pour accéder à l'interface d'administration (en général, sur les box, c'est http://192.168.1.1...)
• Ne pas divulguer sa clef WiFi
• Ne pas utiliser WPS car reconnu vulnérable au bruteforce sur le code PIN, ou cocher l'option qui permet de désactiver le WPS au delà de 5 tentatives.
• On peut faire du WLAN avec du wifi privé, si les personnes sont de confiance; il vaut alors mieux mettre en place une authentification par certificat
• Le WiFi public des hostposts n'est certainement pas de confiance ! Tout le monde peut écouter les conversations sur ce genre de WiFi... quelques bonnes pratiques :
  • désactiver les options de partage (arrêter découverte réseau et partage de fichiers
  • Activer le pare-feu
  • Activer la journalisation
  • Utiliser HTTPS
  • Autant que possible, passer par un VPN

Sécuriser les terminaux

Choisir les applications

Il faut être vigilant concernant les applications téléchargeables : on ne connaît pas l'auteur, ni le site qui héberge. Il faut donc utiliser des sources sûres (sous Android, n'utiliser que le PlayStore), comme le site de l'éditeur.

On peut vérifier les applications en regardant le checksum.

Se méfier des cracks et autres keygen... souvent truffés de malware !  Par exemple, SnapDo est un pirate de navigateur qui infliltre les browsers via des téléchargements de logiciels gratuit.

Màj logicielles et système

Leur rôle est d'apporter des corrections, aux applications et OS. En entreprise, elles s'effectuent de manière centralisée:

• Serveurs dédiés WSUS pour Windows
• Déploiement et observations sur Machines de test
• Sauvegarde des machines de prod
• Déploiement des machines de prod

Les màj ne concernent pas que l'OS, les logiciels aussi peuvent présenter des failles (pensons à Flash, shockwave, PDF !). Il est recommandé d'activer les màj automatiques des logiciels. En entreeprise, c'est à l'admin de planifier et exécuter les màj (cela inclut des tests préalables de non-régression).

Antivirus/Antimalware/etc

Il peuv ent être gratuits ou payants, voire installés avec l'OS (Microsoft Security Essentials?). Ils nécessitent des màj régulières du moteur ET de la base de données virale pour être efficaces; lors de l'apparition d'un nouveau code malveillant, des éditeurs effectuent des analyses afin de :

• Déterminer la signature de ce code
• identifier les moyens de protection et corrections
• enrichir leur base antivirale.

Ils doivent être configurés pour :

• Télécharger automatiquement les nouvelles signatures
• Etre toujours actifs
• Scanner tout l'ordinateur sans exception
• Effectuer régulièrement des analyses complètes
• Analyser automatiquement les nouveaux périphériques
• ANalyser les emails entrants et sortants et la messagerie instantanée

Ils ont des limites:

• Pas de base exhaustive
• Un code malveillant peut quand même être là
• Les antivirus ne détectent que les virus connus
• De nombreux codes malveillants sont créés chaque jour

Symptômes de présence de code malveillant

• Ralentissement (rame / lag)
• Ouverture de pop-ups
• Modification de la configuration du navigateur web
• Surconsommation de ressources
• Antivirus désactivé sans intervention
• Màj système qui échouent systématiquement
• Messagerie (on envoie/reçoit des messages qui n'ont rien à faire là)

Protéger les données

Lors des échanges par mail : chiffrer les PJ / Données sensibles (AxCrypt, Zed Container) et envoyer le mot de passe par un autre moyen

Lors de l'usage du cloud, utiliser les logiciels spécialisés pour protéger/chiffrer les données dans le cloud (VIVO, Encrypted CLoud, alephcloud, etc)

Effectuer des sauvegardes sur disque externe et sur Cloud. Chiffrer les données sensibles avant de les stocker.

Durcissement des configurations des équipements

• Virer les mots de passe par défaut...
• Désinstaller les logiciels et services inutiles
• Désactiver les lecteurs et ports inutilisés : port série, usb, lecteurs divers, désactiver le mode "déboguage USB" sur les téléphones
• Désactiver le boot sur périphériques externes
• Journalisation

https://elearning.u-pem.fr/pluginfile.php/108752/mod_label/intro/12-regles-pour-securiser-vos-equipements-informatiques-V2.png

Les utilisateurs

Grands principes de l'attribution des privilèges

• Moindre privilège : n'attribuer aux utilisateurs que ce dont ils ont besoin
• Besoin d'en connaître : restreindre les accès aux données sensibles
• Attribuer les comptes de façon nominative, une personne = un compte. On trace les actions effectuées par chaque utilisateur et on évite les comptes partagés entre plusieurs utilisateurs.
• Faire signer une charte d’utilisation du SI, informant sur :
  • –La conduite à tenir lors de l’usage du SI ;
  • •Actions encouragées :
    • –Utiliser son poste pour des recherches, pour le travail qui est confié ;
    • –protéger ses moyens d’accès : badge, identifiant, etc.
  • •Actions interdites :
    • –installer des logiciels malveillants / arrêter les outils de détection de codes malveillants ;
    • –porter atteinte à un autre utilisateur du SI.
    • –Les conditions et les règles d’utilisation des ressources du S.I. ;
    • –Les responsabilités de l’utilisateur et ceux de l’entreprise/université ;
    • –Les sanctions internes, pénales, civiles encourues ;
• Sous Windows, GPEDIT.msc permet de configurer finement les droits des utilisateurs
• Définir une procédure d’attribution/retrait de privilèges.
  • –Tenir à jour une liste des droits attribués à chaque utilisateur ;
  • Chaque nouveau compte utilisateur doit être créé en respectant les principes d’attribution de privilège ;
  • –Au besoin, chaque utilisateur doit avoir son répertoire personnel et sa boite aux lettres ;
  • –Lorsque qu’un utilisateur n’a plus besoin d’accéder au système (démission, changement de poste...), la procédure de retrait de droit doit :
    • •Décrire la désactivation de son compte et la suppression de son compte ;
    • •Décrire la procédure de retrait des accès aux locaux (badge, clés).

Rôles utilisateurs

Le rôle admin a les privilèges les plus élevés sur le système. Il peut être de plusieurs types :

• Admin système : en charge de l'admin sys, de la gestion des disques
• Admin réseau : équipements réseau, règles de filtrage
• Admin sécurité : journalisation, supervision

Le rôle utilisateur a le droit d'utiliser le système et d'accéder à des répertoires sensibles

Le rôle invité a peu ou pas de droits, et n'accède pas aux répertoires sensibles.

Politique des mots de passe

Définir une politique de mot de passe qui oblige à :

• –Créer un mot de passe complexe :
  • •différent d’un mot sorti du dictionnaire ;
  • •différent d’une date de naissance (celle de votre conjoint, enfant...) ;
  • •différent d’une partie du nom d’utilisateur, du nom, ou du prénom, etc.–
• Avoir un mot de passe d’au moins 8caractères (10pour les admin) ;
• –Changer régulièrement les mots de passe (tous les 6 mois) ;
  • •la fréquence des changements dépend de la sensibilité des systèmes accédés, par exemple le code pour accéder en ligne à son compte bancaire sera changé plus régulièrement.
• –Utiliser un mot de passe pour déverrouiller l’écran de veille.
• •Consulter les recommandations élaborées par l’ANSSI.
• Plein de documents intéressants ici:
  http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/mot-de-passe.html

Mémorisation des mots de passe

Ne pas utiliser le même mot de passe pour différents comptes, même ci c'est difficile. A minima, utiliser un mot de passe différent pour la messagerie ! C'est le pivot numérique de chacun, il sert souvent à gérer les mots de passe perdus...

On peut utiliser des systèmes de passphrase, en prenant des phrases plutôt que des mots (puis en prenant l'initiale de chaque motd el phrase et en faisant du 1337SPEAK par exemple...). Il ne faut pas noter les mots de passe en évidence ! Les gestionnaire de mots de passe, c'est bien !

Stockage des mots de passe

Toujours les stocker en chiffré, et surtout pas en clair ! On peut utiliser des gestionnaires de mots de passe (KeePass, DashLane, 1Password...) ou se les créer soi-même. Dans tous les cas, il ne faut pas stocker les mots de passe sur les navigateurs.

Moyen d'auth alternatifs

• Biométrie
• Carte à puce + code pin
• SSO (Single Sign On) : évite l'utilisation du même mot de passe à plusieurs endroits
• OTP (One Time PAssword) : code par sms, générateur matériel de jetons...

Sensibiliser les utilisateurs

• Se tenir informé de l'actualité liée à la sécurité
• Faire attention aux PJ
• Désactiver l'exécution de liens hypertexte et l'affichage des images dans les mails
  • Mieux vaut copier le lien dans le browser. Une technique consiste à cacher des liens pourris sous forme de lien légitimes
• Faire attention aux ralentissement/lenteurs du poste
• Applications web : se déconnecter quand on en a plus besoin
• Déconnecter le poste quand il n'est pas utilisé
• Eviter les sites dont les certificats ne sont pas reconnus
• Privilégier le HTTPS, surtout en hotspot
• Effacer régulièrement l'historique

Spam

• Traiter le spam:
  • protéger son adresse mail
  • au besoin, créer une adresse jetable style yopmail
  • marquer les spams
  • ne pas les ouvrir ou cliquer sur les liens
• Attention aux émetteurs inconnus
• Attention au contenu des mails

Phishing / Spear Phishing / Social Engineering

Ne pas donner suite au mail, coup de fil vous demandant de :

• –Rappeler rapidement votre conseiller bancaire alors que vous ne l’avez pas contacté ;
• Donner des informations personnelles parce que vous avez gagné un voyage, un prix, etc.
• D’envoyer votre mot de passe/code bancaire/code pin par mail sous le prétexte urgent :
  • d’éviter la fermeture de votre adresse mail (car vérification en cours) ;
  • de valider l’existence de votre carte bancaire désactivée, etc.
  • De faire un transfert d’argent à un de vos contacts dans le besoin à l’étranger.

Limiter les informations partagées sur les réseaux sociaux:

• Date de départ de voyage (cf https://http://pleaserobme.com/)
• Infos perso
• Données compromettantes

Réagir en tant que victime

• Ne pas payer de rançons
• En cas de chantage / usurpation d'identité / atteinte à la réputation :
  • Ne plus communiquer avec l'escroc (le bloquer)
  • Signaler et demande de l'aide:
    • faire bloquer sur le site
    • droit à l'oubli Google : https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=fr
    • signaler : https://www.internet-signalement.gouv.fr/
• Enn cas de ransomware:
  • Entreprise / université : signaler aux responsables
  • A la maison : chercher de l'aide sur les sites spécialisés
• Porter plainte !

Sécurisation Physique

Protection physique des locaux

Il faut protéger physiquement les locaux contenant des biens sensibles :

• Contrôler l'accès aux locaux avec badges, par exemple
• Utiliser des alarmes
• Protéger les clefs ou badges dans des coffres par exemple.

Les prises d'accès réseau doivent être protégées de manière à être innaccessibles aux visiteurs / personnes mal intentionnées

• Si les prises doivent être exposées, ne pas les connecter au réseau, mais le faire au besoin.

Protéger contre les incidents environnementaux :

• Incendies
• Inondations : zone non inondable, surélever les élements, etc
• Panne électrique : utiliser des onduleurs

Imprimantes / photocopieurs

Faire attention lors des photocopies à ne pas oublier les originaux. Aller retirer rapidement les documents imprimés pour éviter que des informations sensibles soient révélées. Ne pas oublier que les imprimantes disposent :

• De disques durs
• D'historisque des impressions
• De configuration IP pouvant être usurpée

Les documents papiers sensislbes doivent être mis à la déchiqueteuse et les imprimantes ne doivent pas être disponibles depuis internet.

Sécuriser les équipements

• Attacher avec un câble de sécurité les équipements le permettant ;
• Protéger l’accès aux équipements :
  • Avoir un code/mot de passe pour restreindre l’accès à son équipement :
    • lecteur d’empreinte ou signe sur téléphone ;
    • code PIN ou mot de passe ;
  • Demander un code/mot de passe pour sortir de la veille.
• Verrouiller son écran en cas d’inactivité de quelques minutes ;
• Faire attention aux médias USB :
  • Des clés USB piégées sont parfois offertes ou abandonnées ;
  • Toujours scanner (anti-virus) une clé USB avant de l’utiliser.
• Utiliser les filtres de confidentialité d’écran ;
  • Écran d’ordinateur (fixe, portable) ;
  • Écran de téléphone.

Contrôler la sécurité du SI

Contrat / Maintenance / Professional Services

Lors de l’achat de :

• matériel : souscrire à des contrats de maintenance ou d’assurance pour vous garantir une assistance en cas de difficulté ;
• application : souscrire à des contrats de support et d’assistance.
  • niveau 1 : description et enregistrement du problème rencontré. Conseil/information basique ;
  • niveau 2 : intervention de technicien ;
  • niveau 3 : intervention d’expert.

Les SLA indiquent le niveau de service garanti par le prestataire.

Cyber-assurance : est une assurance visant à indemniser et assister les victimes de cyber-attaque (fuite de données, attaque à la e-réputation...) Exemple : AXA propose pour les particuliers «Protection Familiale Intégr@ale". Noter que la souscription d’une assurance est considérée comme une mesure de sécurité permettant de réduire les risques portant sur l’entreprise (au même titre qu’une assurance habitation n’empêchera pas un incendie, mais compensera/limitera les pertes financières de la victime).

Surveiller / Superviser

• Activer la journalisation d'évènements :
  • Tentatives d'accès (réussies ou non)
  • Tentatives de modifications d'informations sensibles
  • etc
• Consulter les logs
• Définir une politique de supervision:
  • Définir les seuils (au delà de de tel taux d'occupation du disque, recevoir une alerte)
  • Définir le type d'alerte souhaité : mail, SMS, etc

Incidents de sécurité : catégories d'incidents

• Divulgation d’information personnelle ;
  • carte de crédit, vol d’identité, numéro de sécurité sociale, etc.
• Déni de service ;
  • entrant ou sortant.
• Activité causée par un code malveillant ;
  • Vers, virus, keylogger, Rootkit.
• Enquête et activité criminelle ;
  • Vol de terminal, fraude, pornographie infantile.
• Non respect de la politique de sécurité ;
  • partage de mot de passe.
• DéfacementWeb ;
  • Redirection de site, défacementd’un site internet.
• Vulnérabilité non corrigée.
  • Système/application vulnérable, non application d’un correctif important.

Incidents de sécurité : gestion des incidents de sécurité

La gestion des incidents de sécurité permet de :

• Réagir rapidement et de réduire l’impact en cas d’incident ;
• Améliorer la prévention et la sensibilisation ;
• Détecter et d’identifier les incidents ;
• Améliorer le niveau de sécurité

Un exemple de réaction en cas d'infection virale :

• Déconnecter le poste du réseau ou d’Internet, sans l’éteindre ;
• S’assurer que l’antivirus/antimalware est à jour avec les dernières signatures ;
• Exécuter le scan complet (en «mode sans échec» par exemple) avec un antivirus ;
• Contacter un spécialiste au besoin ;
• Chercher à identifier la cause

La norme ISO 27035 décrit le processus de gestion des incidents.

Plan de secours

Il faut avoir un plan de secours en cas de dysfonctionnement important (électrique, télécoms...):

• Double alimentation :
  • pour un téléphone : batterie de secours ;
  • ordinateur/serveur : onduleur, batterie de secours, groupe électrogène.
• Accès Internet :
  • utiliser son téléphone comme modem en cas de dysfonctionnement de sa Box ;
  • En entreprise, souscription à une offre Internet comme ligne de secours fournie par un opérateur différent.
• Avoir une sauvegarde de ses données en cas de panne de son disque dur.

En entreprise, il y'a des:

• PRA : Plan de Reprise d’Activité qui permet de «reprendre» après une interruption inattendue comme la perte d’un site de travail ;
  • Exemple : utilisateur d’un site de secours «B» et déplacement du personnel en cas d’incendie dans le site principal «A»
• –PCA : Plan de Continuité d’Activité qui permet de s’assurer que l’activité ne s’arrêtera pas ;
  • Exemple : usage d’une architecture réseau redondée en haute disponibilité.
  • Routeur en actif/actif.
• Les PCA et les PRA doivent être testés et mis à jour régulièrement.

Audit : informations générales

• Un audit peut porter sur tout ou partie du S.I., une application, etc.
• Le but de l’audit est généralement :
  • d’évaluer le niveau de sécurité par rapport à un référentiel (interne ou à une norme) ;
  • obtenir un agrément ou une certification :
    • ASIP Santé, PCI-DSS, 27001, etc.
  • trouver des faiblesses et les corriger :
    • site Web ;
    • application développée «in-house»
• L’audit peut être réalisé par :
  • des experts appelés «auditeur sécurité», «pen-testeur»
  • des sociétés spécialisés.
• Un cadre légal et contractuel est requis pour les audits :
  • Pour les audits de site Web, il faut l’accord du propriétaire du site (par exemple l’association étudiante), de l’hébergeur du site (OVH ou l’université) et parfois celui de l’opérateur ;
  • L’auditeur doit indiquer à partir de quelles adresses IP publiques son audit sera effectué ;
  • L’auditeur doit s’engager à ne pas provoquer d’incident de sécurité (déni de service par exemple) au cours de son audit.

Audit : types d'audits

• Audit de conformité pour déterminer les écarts par rapport à un référentiel :
  • Politique de sécurité interne ou exigences de sécurité d’un cahier de charge ;
  • Norme internationale : exemple 27001, PCI-DSS, ASIP Santé.
• Audit en vue de l’obtention d’un(e) certification/agrément :
  • Audit physique des datacenters pour obtention d’un agrément SAS 70 ;
  • Audit 27001 en vue de démontrer la bonne application des principes de la norme.
• Audit Technique.
  • « Boite noire» ou «Pentest» : sans aucun accès, on évalue le système (site web par exemple) du point de vue d’un attaquant quelconque ;
  • «Boite grise» ou «test du stagiaire» : on dispose de quelques informations et on essaye d’élever ses privilèges ;
  • «Boite blanche» pour faire des «audits de configuration» par exemple. On dispose d’accès, y compris administrateur et on évalue le système par rapport à un référentiel ;
  • «Forensic» ou «Post-mortem» : effectuer sur un système après une attaque.