Les fondamentaux d’une politique de sécurité numérique

Pour s’assurer de l’exhaustivité et de la cohérence de votre politique de sécurité, il est indispensable d’inventorier les matériels et logiciels que vous utilisez, ainsi que les données et les traitements qui constituent le patrimoine informationnel de votre organisation : équipements et services, logiciels utilisés (hébergés en interne ou en Cloud), données et traitements de données, accès et identités, interconnexions avec des tiers. 

Pour restaurer des données suite à une panne, une erreur humaine ou un incident de sécurité, il est indispensable d’avoir une politique de sauvegarde adaptée. Sur la base de l’inventaire réalisé, vous pourrez identifier le périmètre des données à sauvegarder (données en production, sources d’installation, licences et fichiers de configuration des applications…) pour faciliter la reconstruction en cas d’incident. Vous pourrez ensuite définir la fréquence des sauvegardes en lien avec le volume de données numériques produites sur un temps donné et des capacités techniques dont vous disposez. Pensez à appliquer la règle « 3-2-1 » (3 copies de sauvegarde, sur 2 supports différents dont 1 hors ligne) et à faire des tests réguliers de restauration des sauvegardes afin qu’elles soient exploitables le moment venu. 

Sur le plan technique, la sauvegarde la plus complète et la plus régulière, avec un moyen hors-ligne, est cruciale en cas d’attaque par rançongiciel. Cette sauvegarde constitue une assurance vie qui vous protège contre le chantage de l’attaquant. Quand un rançongiciel a chiffré les données, seules des sauvegardes intègres (et donc hors ligne) permettent de redémarrer rapidement l’activité.

Une part importante des attaquants exploite des vulnérabilités publiques et documentées pour prendre pied sur les systèmes d’information. Ces vulnérabilités concernent prioritairement les services exposés sur Internet. Il est indispensable d’effectuer régulièrement les mises à jour des systèmes d’exploitation et de tout logiciel dès la mise à disposition des correctifs de sécurité par leurs éditeurs. Dans l’environnement Microsoft, un serveur WSUS (Windows Server Update Services) peut être installé. Il permet de faire des mises à jour et correctifs de manière automatisée sur le parc informatique interne, les postes de travail ou les serveurs. Plus généralement, il est recommandé d’activer les fonctions de mise à jour automatique que proposent nombre d’éditeurs. 

Un antivirus protège des menaces connues, évoluant très rapidement : des centaines de milliers de codes malveillants apparaissent chaque jour. Il est donc fortement recommandé de déployer une solution antivirale sur les équipements, en priorité ceux connectés à Internet (postes de travail, serveurs de fichier, etc.). Les antivirus commerciaux proposent une mise à jour automatique et un scan automatique des espaces de stockage : l’activation de ces mécanismes est indispensable pour assurer une protection efficace. 

De nombreuses attaques sur Internet sont facilitées par l’utilisation de mots de passe trop simples ou réutilisés d’un service à l’autre. Il est recommandé d’adapter la longueur du mot de passe à la criticité du service auquel il donne accès : un minimum de 12 caractères est requis pour les services peu critiques (simple utilisateur) et un minimum de 15 caractères pour les services critiques (utilisateurs à privilèges). Un mot de passe robuste comporte des capitales et des minuscules, des chiffres et des caractères spéciaux. Il est important de sensibiliser les utilisateurs à la création de mots de passe uniques entre les services. L’ANSSI recommande l’utilisation de Keepass, la solution libre de coffre-fort de mots de passe pour faciliter aux utilisateurs le respect de cette règle.  

Le pare-feu sert principalement à protéger les systèmes d’information internes des attaques provenant d’Internet. Il est fortement recommandé d’activer un pare-feu local (activable nativement sur les postes de travail à technologie Microsoft), d’assurer l’homogénéité des configurations et de la politique de filtrage des flux, de déployer en priorité des pare-feux physiques pour protéger l’interconnexion du SI à Internet. S’agissant de l’interconnexion à Internet, elle se traduira idéalement par la mise en œuvre d’une zone « démilitarisée » (DMZ), constituée de firewall mais aussi de services de rebond, principalement pour la messagerie et la navigation Web.  

La messagerie est un autre vecteur principal d’infection du poste de travail, qu’il s’agisse de l’ouverture de pièces jointes contenant un code malveillant ou d’un clic sur un lien redirigeant vers un site malveillant. Pour augmenter les capacités de détection des tentatives d’hameçonnage, il est recommandé de se doter, en complément d’un antivirus, d’une protection de la messagerie avec des modules anti-spam et anti-phishing et de veiller à ne pas exposer directement les serveurs de messagerie électronique d’entreprise sur Internet.  

L’interconnexion des outils informatiques avec Internet présente un certain nombre de risques. Le premier principe d’hygiène informatique repose sur la création de comptes utilisateurs dédiés à chaque employé et ne disposant pas de privilège d’administration. Cette mesure permet de réduire le risque d’installation de codes malveillants. Seuls les comptes utilisateurs doivent être utilisés pour la navigation sur Internet. En matière d’administration du SI de l’organisation, les comptes d’administration doivent être dédiés à cet usage. Plus généralement, et selon le principe du moindre privilège, les utilisateurs et les processus doivent être limités aux privilèges minimums requis pour effectuer leurs fonctions, sans bénéficier d’accès excessif ou inutile afin de réduire les risques de sécurité en cas d’incident de sécurité. 

Les attaques informatiques reposent souvent sur la tromperie des utilisateurs, qui peuvent effectuer des actions malveillantes à leur insu. Faire connaître les bonnes pratiques de cybersécurité à l’ensemble des utilisateurs du système d’information est essentiel pour limiter les risques, le facteur humain étant souvent à l’origine d’une compromission des données. Les vecteurs et moyens de sensibilisation étant très nombreux, il est recommandé de les adapter à chaque cible. Des actions de contrôle, comme des campagnes de phishing, peuvent appuyer une politique de sensibilisation. 

Dans la majorité des cas, les offres cloud apportent un niveau de service et des fonctions de sécurité satisfaisantes pour les entreprises n’ayant pas de compétence particulière dans le domaine numérique. Elles offrent un niveau de résilience en cas d’incident de sécurité, les attaques par rançongiciel « se contentant » de chiffrer les données hébergées en interne à l’organisation. Elles génèrent ainsi une forme de cloisonnement des systèmes d’information. En contrepartie, il est nécessaire d’accorder une attention particulière à sa liaison Internet qui devient un cordon ombilical pour l’accès aux données. L’authentification à ces services étant le point crucial de sécurité, il est vivement recommandé d’implémenter un mécanisme d’authentification multifacteurs, notamment pour les accès sensibles des administrateurs par exemple. Un défaut de configuration ou de mise à jour applicative peut exposer les mécanismes d’authentification ou les données de services métiers à des tiers. La politique de mot relative à ces services est également cruciale.