Transcription of GUIDE D’HYGIÈNE INFORMATIQUE - ANSSI
1 1 GUIDE D HYGI NE INFORMATIQUERENFORCER LA S CURIT DE SON SYST ME D INFORMATION EN 42 MESURES1 AVANT-PROPOSParu en janvier 2013 dans sa premi re version, le GUIDE d hygi ne infor-matique dit par l ANSSI s adresse aux entit s publiques ou priv es dot es d une direction des syst mes d information (DSI) ou de professionnels dont la mission est de veiller leur s curit . Il est n du constat que si les mesures qui y sont dict es avaient t appliqu es par les entit s concern es, la majeure partie des attaques informatiques ayant requis une intervention de l agence aurait pu tre vit e. Cette nouvelle version a fait l objet d une mise jour portant la fois sur les technologies et pratiques nouvelles ou croissantes avec lesquelles il s agit de composer en mati re de s curit (nomadisme, s paration des usages, etc.) mais aussi sur la mise disposition d outils (indicateurs de niveau standard ou renforc ) pour clairer le lecteur dans l appr ciation des mesures nonc es.
2 Si l objet de ce GUIDE n est pas la s curit de l information en tant que telle, appliquer les mesures propos es maximise la s curit du syst me d informa-tion, berceau des donn es de votre entit .La s curit n est plus une option. ce titre, les enjeux de s curit num rique doivent se rapprocher des pr occupations conomiques, strat giques ou encore d image qui sont celles des d cideurs. En contextualisant le besoin, en rappelant l objectif poursuivi et en y r pondant par la mesure concr te correspondante, ce GUIDE d hygi ne INFORMATIQUE est une feuille de route qui pouse les int r ts de toute entit consciente de la valeur de ses donn d EMPlOI du guIdEI - SENSIbIlISER ET fORMER - - CONNA TRE lE S yST ME d INfORMATION - - AuThENTIfIER ET CONTR lER lES ACC S - - S CuRISER les postes - - S CuRISER lE R SEAu - - S CuRISER l AdMINISTRATION - P. 36 VII - g RER lE NOMAdISME - 0 VIII - MAINTENIR lE SyST ME d IN fORMATION jOuR - - SuPERVISER, A udITER, R AgIR - - POuR All ER PluS lOIN - l dE SuIVIbIblIO gRAPhIE3 MOdE d EMPlOI du guIdELe pr sent document comporte 42 r gles de s curit simples.
3 Chacune d entre elles est importante et vous pouvez tout fait les consid rer ind pendamment les unes des autres pour am liorer votre niveau de s curit sur quelques points , nous vous conseillons d utiliser ce GUIDE comme base pour d finir un plan d actions :1. Commencez par tablir un tat des lieux pour chacune des r gles gr ce l outil de suivi qui se trouve en annexe de ce document. Pour chaque r gle, d terminez si votre organisme atteint le niveau standard et, le cas ch ant, le niveau renforc .2. Si vous ne pouvez pas faire cet tat des lieux par manque de connais-sance de votre syst me d information, n h sitez pas solliciter l aide d un sp cialiste pour proc der un diagnostic et assurer un niveau de s curit l mentaire. ( lire : ANSSI -CGPME, GUIDE des bonnes pratiques de l INFORMATIQUE , mars 2015).3. partir du constat tabli cette premi re tape, visez en priorit les r gles pour lesquelles vous n avez pas encore atteint le niveau standard , pour d finir un premier plan d actions.
4 Si les mesures de ce GUIDE doivent tre appliqu es dans le cadre d un r f rentiel publi par l ANSSI et sauf mention explicite, il s agit des mesures de niveau standard .4. Lorsque vous avez atteint partout le niveau standard , vous pouvez d finir un nouveau plan d actions en visant le niveau renforc pour les r gles concern ET FORMER5guide d hygi ne informatiquesensibiliser et former5I/ sTANDARDLes quipes op rationnelles (administrateurs r seau, s curit et syst me, chefs de projet, d veloppeurs, RSSI) ont des acc s privil gi s au syst me d informa-tion. Elles peuvent, par inadvertance ou par m connaissance des cons quences de certaines pratiques, r aliser des op rations g n ratrices de vuln rabilit par exemple l affectation de comptes disposant de trop nombreux privil ges par rapport la t che r aliser, l utilisation de comptes personnels pour ex cuter des services ou t ches p riodiques, ou encore le choix de mots de passe peu robustes donnant acc s des comptes privil gi quipes op rationnelles, pour tre l tat de l art de la s curit des syst mes d information, doivent donc suivre - leur prise de poste puis intervalles r guliers - des formations sur : >la l gislation en vigueur ; >les principaux risques et menaces ; >le maintien en condition de s curit ; >l authentification et le contr le d acc s ; >le param trage fin et le durcissement des syst mes ; >le cloisonnement r seau ; >et la journalisation.
5 Cette liste doit tre pr cis e selon le m tier des collaborateurs en consid rant des aspects tels que l int gration de la s curit pour les chefs de projet, le d veloppement s curis pour les d veloppeurs, les r f rentiels de s curit pour les RSSI, etc. Il est par ailleurs n cessaire de faire mention de clauses sp cifiques dans les contrats de prestation pour garantir une formation r guli re la s curit des syst mes d information du personnel externe et notamment les infog les quipes op rationnelles la s curit des syst mes d information6guide d hygi ne informatiquesensibiliser et former6I/ sTANDARDC haque utilisateur est un maillon part enti re de la cha ne des syst mes d information. ce titre et d s son arriv e dans l entit , il doit tre inform des enjeux de s curit , des r gles respecter et des bons comportements adopter en mati re de s curit des syst mes d information travers des actions de sensibilisation et de derni res doivent tre r guli res, adapt es aux utilisateurs cibl s, peuvent prendre diff rentes formes (mails, affichage, r unions, espace intranet d di , etc.)
6 Et aborder au minimum les sujets suivants : >les objectifs et enjeux que rencontre l entit en mati re de s curit des syst mes d information ; >les informations consid r es comme sensibles ; >les r glementations et obligations l gales ; >les r gles et consignes de s curit r gissant l activit quotidienne : respect de la politique de s curit , non-connexion d quipements personnels au r seau de l entit , non-divulgation de mots de passe un tiers, non-r utilisa-tion de mots de passe professionnels dans la sph re priv e et inversement, signalement d v nements suspects, etc. ; >les moyens disponibles et participant la s curit du syst me : verrouillage syst matique de la session lorsque l utilisateur quitte son poste , outil de protection des mots de passe, etc. / RENFORc Pour renforcer ces mesures, l laboration et la signature d une charte des moyens informatiques pr cisant les r gles et consignes que doivent respecter les utilisateurs peut tre envisag , Charte d utilisation des moyens informatiques et des outils num riques GUIDE d laboration en 8 points cl s pour les PME et ETI, GUIDE , juin 20172 Sensibiliser les utilisateurs aux bonnes pratiques l mentaires de s curit informatique7guide d hygi ne informatiquesensibiliser et former7I/ sTANDARDL orsqu une entit souhaite externaliser son syst me d information ou ses donn es, elle doit en amont valuer les risques sp cifiques l infog rance (ma trise du syst me d information, actions distance, h bergement mutualis , etc.)
7 Afin de prendre en compte, d s la r daction des exigences applicables au futur prestataire, les besoins et mesures de s curit adapt s. Les risques SSI inh rents ce type de d marche peuvent tre li s au contexte de l op ration d externalisation mais aussi des sp cifications contractuelles d ficientes ou incompl faveur du bon d roulement des op rations, il s agit donc : >d tudier attentivement les conditions des offres, la possibilit de les adapter des besoins sp cifiques et les limites de responsabilit du prestataire ; >d imposer une liste d exigences pr cises au prestataire : r versibilit du contrat, r alisation d audits, sauvegarde et restitution des donn es dans un format ouvert normalis , maintien niveau de la s curit dans le temps, formaliser ces engagements, le prestataire fournira au commanditaire un plan d assurance s curit (PAS) pr vu par l appel d offre. Il s agit d un document contractuel d crivant l ensemble des dispositions sp cifiques que les candidats s engagent mettre en uvre pour garantir le respect des exi-gences de s curit sp cifi es par l entit.
8 Le recours des solutions ou outils non ma tris s (par exemple h berg s dans le nuage) n est pas ici consid r comme tant du ressort de l infog rance et par ailleurs d conseill en cas de traitement d informations , GUIDE de l externalisation Ma triser les risques de l infog rance, GUIDE , d cembre 20103Ma triser les risques de l infog rance8 IICONNA TRE LE SYST ME D INFORMATION99guide d hygi ne informatiqueCONNA TRE LE SYST ME D INFORMATIONII/sTANDARDC haque entit poss de des donn es sensibles. Ces derni res peuvent porter sur son activit propre (propri t intellectuelle, savoir-faire, etc.) ou sur ses clients, administr s ou usagers (donn es personnelles, contrats, etc.). Afin de pouvoir les prot ger efficacement, il est indispensable de les identifier. partir de cette liste de donn es sensibles, il sera possible de d terminer sur quels composants du syst me d information elles se localisent (bases de donn es, partages de fichiers, postes de travail, etc.)
9 Ces composants corres-pondent aux serveurs et postes critiques pour l entit . ce titre, ils devront faire l objet de mesures de s curit sp cifiques pouvant porter sur la sauve-garde, la journalisation, les acc s, s agit donc de cr er et de maintenir jour un sch ma simplifi du r seau (ou cartographie) repr sentant les diff rentes zones IP et le plan d adressage associ , les quipements de routage et de s curit (pare-feu, relais applicatifs, etc.) et les interconnexions avec l ext rieur (Internet, r seaux priv s, etc.) et les partenaires. Ce sch ma doit galement permettre de localiser les serveurs d tenteurs d informations sensibles de l entit .4 Identifier les informations et serveurs les plus sensibles et maintenir un sch ma du r seau1010 IICONNA TRE LE SYST ME D INFORMATIONG uide d hygi ne informatique5 Disposer d un inventaire exhaustif des comptes privil gi s et le maintenir jour/sTANDARDLes comptes b n ficiant de droits sp cifiques sont des cibles privil gi es par les attaquants qui souhaitent obtenir un acc s le plus large possible au syst me d information.
10 Ils doivent donc faire l objet d une attention toute particuli re. Il s agit pour cela d effectuer un inventaire de ces comptes, de le mettre jour r guli rement et d y renseigner les informations suivantes : >les utilisateurs ayant un compte administrateur ou des droits sup rieurs ceux d un utilisateur standard sur le syst me d information ; >les utilisateurs disposant de suffisamment de droits pour acc der aux r pertoires de travail des responsables ou de l ensemble des utilisateurs ; >les utilisateurs utilisant un poste non administr par le service infor-matique et qui ne fait pas l objet de mesures de s curit dict es par la politique de s curit g n rale de l entit . Il est fortement recommand de proc der une revue p riodique de ces comptes afin de s assurer que les acc s aux l ments sensibles (notamment les r pertoires de travail et la messagerie lectronique des responsables) soient maitris s.
