check-list des actions essentielles pour sécuriser un système d’information

Le système d'information est une cible sensible. La nécessité de le protéger n'a cessé de croître au fur et à mesure de la démocratisation des réseaux, de la généralisation du protocole IP, puis de la messagerie et du commerce électronique. Aujourd'hui, la mobilité et les logiciels web (HTML 5.0) exposent plus que jamais les données critiques de l'entreprise.

Quels sont les bons gestes à adopter ? Sont-ils uniquement technologiques ou doit-on aussi prendre en considération le facteur humain ?

1. Travailler sur l'humain et la culture d'entreprise
Comme le montrent la plupart des études récentes, les salariés sont le maillon faible et le principal vecteur de contamination du système d'information. Il est donc indispensable de leur faire prendre conscience du rôle fondamental qu'ils jouent dans le dispositif de sécurité. Il faut notamment les sensibiliser au rôle des mots de passe et adopter une politique idoine. Cette sensibilisation sera supportée par "une base d'authentification centrale commune au maximum d'applications dans laquelle les identifiants génériques tels que 'Root' et 'Administrateur' n'auront jamais leur place.

Si la phase de sensibilisation est bien menée, les utilisateurs accepteront plus facilement une "politique du moindre privilège" qui consiste à serrer la vis pour commencer, avant de donner du leste. Un audit régulier de leurs droits permet ensuite de les adapter à de nouveaux besoins ou de nouvelles responsabilités. Aucun public ne doit être privilégié. Cela vaut aussi pour les administrateurs système qui ne doivent pas pouvoir contourner par eux-mêmes les règles qu'on leur impose.

Évidemment, il faut s'adapter à la culture de l'entreprise pour éviter l'effet inverse : des règles trop strictes qui poussent les utilisateurs à les enfreindre, tempère-t-il. Des procédures sévères seront facilement acceptées dans un environnement bancaire, tandis qu'une startup devra probablement laisser une plus grande liberté technique à chaque utilisateur. Bref, l'utilisateur est un des éléments actifs clé de la sécurité du système d'information. Il convient de ne jamais l'oublier.

Et aussi une chose très important, le RSSI doit être à l'écoute des utilisateurs, pour récupérer de l'information, du renseignement, de manière a réaliser sa mission de contrôle ET de formation / information.

2. Définir clairement le dispositif de sécurité
Qui est responsable de quoi en fonction de quel incident ? Simple question dont la réponse en dit long sur le niveau de maturité des entreprises. Le DSI doit impérativement participer à la rédaction de l'engagement en matière de sécurité qui sera approuvé par sa direction générale. Mais plus encore, il doit systématiquement informer le RSSI des projets de toute nature et lui désigner un correspondant opérationnel. Car la sécurité est une chaîne qui implique de nombreux acteurs, à différents niveaux. Chacun doit donc connaître sa partition par cœur et la jouer sans fausse note... au risque, sinon, de fragiliser l'ensemble de l'édifice.

3. Sensibiliser les développeurs
Les développeurs peuvent piéger leur propre entreprise à leur insu ! Il faut les "sensibiliser aux vulnérabilités qu'ils pourraient introduire dans leur code", notamment aux menaces listées par le OWASP Top 10. Il ne faut surtout pas leur faire réécrire des fonctions d'authentification ou de chiffrement. Mieux vaut se fier aux librairies spécialisées reconnue. Enfin, le passage en environnement de production nécessite un sas. L'équipe de développement ne doit pas avoir accès en écriture sur l'environnement de production. C'est également à cette étape que l'on traite la confidentialité des données avec attention. Lors du passage en production, on peut installer quelques entrées piégées dans la base de données. Elles permettront de détecter immédiatement le vol de données. C'est le principe des billets de banques marqués à l'encre invisible, ou du canarie token. Impossible pour un pirate de faire la différence. L'entreprise, elle, saura instantanément qu'elle a subi une effraction.

4. Anticiper les pertes de données et d'applications
Avant d'en arriver là, il faut commencer par identifier les applications et données sensibles, préciser les propriétaires de ces données, lister les responsable ou "sachant" de chaque application critique, faire un test de remontée de backup. Et trouver des solutions alternatives si les temps de restauration sont incompatibles avec les besoins exprimés par les équipes métier. Si des logiciels, des données ou des prestations essentielles sont externalisés, il faut vérifier les SLA (Service Level Agreement) qui lient l'entreprise aux fournisseurs. La prévention passe aussi par une gestion efficace des correctifs de sécurité au travers d'une veille en vulnérabilité active. Enfin, l'entreprise doit faire auditer les périmètres sensibles de son système d'information par des spécialistes et réaliser un test d'intrusion lors des évolutions majeures du système d'information.

5. Surveiller le réseau
Les intrusions ont presque toutes lieu à distance, via le réseau. En portant un soin particulier à cette couche du système d'information et en réduisant au maximum les accès externes, on réduit drastiquement les risques. La protection périmétrique du système d'information ne se limite pas un simple coupe-feu en entrée. L'analyse des flux sortants permet notamment de détecter les tunnels (SSH, voir HTTPS ou DNS) installés par des employés pour contourner les filtres en place. On peut aussi installer un proxy filtrant et positionner une sondes de détection d'intrusion telles que Dark Trace aux points essentiels du réseau. Enfin, le standard de contrôle d'accès 802.1x permet d'éviter que les employés branchent n'importe quel équipement sur le réseau.

6. Trier les remontées d'information
Il est impossible de piloter la sécurité du système d'information dans le noir. Il faut donc concevoir un "tableau de bord sécurité", document synthétique de suivi pour visualiser l'amélioration progressive du niveau de service proposé. Au niveau des administrateurs systèmes, il est essentiel de déployer une console centralisant les logs de chaque serveur et application. "L'important est d'anticiper la remontée de nombreux faux positifs. Sinon, avec le temps, les alertes ne seront pas prises au sérieux et elles ne serviront plus à rien".

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.

L’auteur·e a choisi de fermer cet article aux commentaires.