Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FIC : l’ANSSI publie son guide d’hygiène informatique

janvier 2013 par Emmanuelle Lamandé

L’ANSSI publie, à l’occasion du Forum International sur la Cybersécurité, la version finalisée de son guide d’hygiène informatique. Destiné aux entreprises, ce document présente 40 recommandations simples pour sécuriser leurs systèmes d’information.

S’adressant aux personnes en charge de la sécurité informatique, que ce soit un responsable de la sécurité des systèmes d’information (RSSI) ou toute autre personne qui remplit cette fonction, ce document présente les 40 règles d’hygiène informatique incontournables.

Ces règles ne prétendent pas avoir un caractère d’exhaustivité. Elles constituent cependant le socle minimum des règles à respecter pour protéger les informations d’une entreprise. Ne pas les suivre expose l’entreprise à des risques d’incidents majeurs, susceptibles de mettre sa compétitivité, voire sa pérennité, en danger.

I - Connaître le système d’information et ses utilisateurs :
 Disposer d’une cartographie précise de l’installation informatique et la maintenir à jour ;
 Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour ;
 Rédiger et appliquer des procédures d’arrivée et de départ des utilisateurs (personnel, stagiaires…).

II - Maîtriser le réseau :
 Limiter le nombre d’accès internet de l’entreprise au strict nécessaire ;
 Interdire la connexion d’équipements personnels au système d’information de l’organisme.

III - Mettre à niveau les logiciels :
 Connaître les modalités de mises à jour de l’ensemble des composants logiciels utilisés et se tenir informé des vulnérabilités de ces composants et des mises à jour nécessaires ;
 Définir une politique de mise à jour et l’appliquer strictement.

IV - Authentifier l’utilisateur :
 Identifier nommément chaque personne ayant accès au système ;
 Définir des règles de choix et de dimensionnement des mots de passe ;
 Mettre en place des moyens techniques permettant de faire respecter les règles relatives à l’authentification ;
 Ne pas conserver les mots de passe en clair dans des fichiers sur les systèmes informatiques ;
 Renouveler systématiquement les éléments d’authentification par défaut (mots de passe, certificats) sur les équipements (commutateurs réseau, routeurs, serveurs, imprimantes) ;
 Privilégier lorsque c’est possible une authentification forte par carte à puce.

V - Sécuriser les équipements terminaux :
 Mettre en place un niveau de sécurité homogène sur l’ensemble du parc informatique ;
 Interdire techniquement la connexion des supports amovibles sauf si cela est strictement nécessaire ; désactiver l’exécution des autoruns depuis de tels supports ;
 Utiliser un outil de gestion de parc informatique permettant de déployer des politiques de sécurité et les mises à jour sur les équipements ;
 Gérer les terminaux nomades selon une politique de sécurité au moins aussi stricte que celle des postes fixes ;
 Interdire dans tous les cas où cela est possible les connexions à distance sur les postes clients ;
 Chiffrer les données sensibles, en particulier sur les postes nomades et les supports potentiellement perdables.

VI - Sécuriser l’intérieur du réseau :
 Auditer ou faire auditer fréquemment la configuration de l’annuaire central (Active Directory en environnement Windows ou annuaire ldaP par exemple) ;
 Mettre en place des réseaux cloisonnés. Pour les postes ou les serveurs contenant des informations importantes pour la vie de l’entreprise, créer un sous-réseau protégé par une passerelle d’interconnexion spécifique ;
 Éviter l’usage d’infrastructures sans fi l (Wifi). Si l’usage de ces technologies ne peut être évité, cloisonner le réseau d’accès Wifi du reste du système d’information ;
 Utiliser systématiquement des applications et des protocoles sécurisés.

VII - Protéger le réseau interne de l’Internet :
 Sécuriser les passerelles d’interconnexion avec internet ;
 Vérifier qu’aucun équipement du réseau ne comporte d’interface d’administration accessible depuis l’internet.

VIII - Surveiller les systèmes :
 Définir concrètement les objectifs de la supervision des systèmes et des réseaux ;
 Définir les modalités d’analyse des événements journalisés.

IX - Sécuriser l’administration du réseau :
 Interdire tout accès à Internet depuis les comptes d’administration ;
 Utiliser un réseau dédié à l’administration des équipements ou au moins un réseau logiquement séparé du réseau des utilisateurs ;
 Ne pas donner aux utilisateurs de privilèges d’administration. Ne faire aucune exception ;
 N’autoriser l’accès à distance au réseau d’entreprise, y compris pour l’administration du réseau, que depuis des postes de l’entreprise qui mettent en œuvre des mécanismes d’authentification forte et protégeant l’intégrité et la confidentialité des échanges à l’aide de moyens robustes.

X - Contrôler l’accès aux locaux et la sécurité physique :
 Utiliser impérativement des mécanismes robustes de contrôle d’accès aux locaux ;
 Protéger rigoureusement les clés permettant l’accès aux locaux et les codes d’alarme ;
 Ne pas laisser de prises d’accès au réseau interne accessibles dans les endroits ouverts au public ;
 Définir les règles d’utilisation des imprimantes et des photocopieuses.

XI - Organiser la réaction en cas d’incident :
 Disposer d’un plan de reprise et de continuité d’activité informatique, même sommaire, tenu régulièrement à jour décrivant comment sauvegarder les données essentielles de l’entreprise ;
 Mettre en place une chaîne d’alerte et de réaction connue de tous les intervenants ;
 Ne jamais se contenter de traiter l’infection d’une machine sans tenter de savoir comment le code malveillant a pu s’installer sur la machine, s’il a pu se propager ailleurs dans le réseau et quelles informations ont été manipulées.

XII - Sensibiliser :
 Sensibiliser les utilisateurs aux règles d’hygiène informatique élémentaires.

XIII - Faire auditer la sécurité :
 Faire réaliser des audits de sécurité périodiques (au minimum tous les ans). Chaque audit doit être associé à un plan d’action dont la mise en œuvre est suivie au plus haut niveau.

Le guide complet d’hygiène informatique est téléchargeable en ligne :
http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants