Ad Honores / FRC / Réserve Citoyenne Gendarmerie Alsace & Réserve Cyber Johan Moreau (DSI IRCAD/IHU Strasbourg - VP Clusir-Est)

Actions prioritaires pour la SSI dans une petite structure

Illustrations issues de http://frc.alsace (Copyright : Ad Honores) et http://clusir-est.org (Copyright : Clusir-Est)

Motivation

❖ Lancer des actions concrètes avec les entreprises du territoire

❖ Thème général permettant de lancer les discussions

❖ Permettre de se rencontrer pour identifier les acteurs en place

❖ Donner une feuille de route pour la suite

❖ Quel profil dans la salle ? (PDG ? DSI ? expert sécurité ? expert numérique ? autre ?)

Chiffres récents❖ 2016 : 68% des menaces visant le secteur de la santé sont perpétrées depuis l’intérieur de l’organisation

(source Data Breach Investigations Report 2017)

❖ Dernier trimestre 2016 : 266,5 millions de tentatives d’attaques par ransomware (source rapport annuel SonicWall)

❖ Février 2017 - Panne cloud Amazon : 54 des plus 100 plus sites de e-commerce américain indisponibles, estimation de la perte pour les sociétés S&P 500 à 150 millions de dollars, et celle des sociétés de services financiers à 160 millions de dollars

❖ Mai 2017 - WannaCry : 200 000 victimes en un we (Renault, hôpitaux anglais, …)

❖ Mai 2017 - Panne British Airways : 75 000 personnes bloquées le weekend, erreur humaine

❖ Juin 2017 - Panne stockage OVH : Baie EMC indisponible, 50 000 sites indisponibles

❖ Septembre 2017 - Panne de 24H de la messagerie Microsoft et nombreux autres problèmes en Europe, raison ?

Les références

❖ Clusif : http://assurwest.fr/5-recommandations-cles-du-clusif-pour-la-securite-informatique-des-tpe/

❖ ANSSI : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

❖ ANSSI : https://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf

❖ ANSSI : https://www.ssi.gouv.fr/actualite/lanssi-apporte-son-soutien-a-tv5-monde/

❖ CNIL : http://www.securiteusb.com/2010/01/21/les-10-recommandations-de-cnil-pour-la-securite-du-systeme-informatique/

❖ ATHENA Global Services : http://www.informatique-securite.net/wp-content/uploads/2012/04/ags-lb-securite-pme-pmi.pdf

❖ Nowteam : http://www.nowteam.net/cybersecurite-en-entreprise-tpe-pme-danger/

❖ Kaspersky : watsoft.s3.amazonaws.com/docs/kaspersky/Brochure2013-KSOS-web.pdf

Méthodologie

❖ Synthèse des éléments de la littérature

❖ Convergence des termes

❖ Utilisation d’un référentiel commun

❖ Adaptation personnelle des résultats

Focus sur les 7 « rapides » à mettre en place❖ Filtrage d’Internet en sortie, accès réseau,

supervision systèmes et réseaux❖ Antivirus❖ Sauvegarde/Disponibilité❖ Durcissement et centralisation des accès

aux données❖ Mise à jour logiciels❖ Gestion et capitalisation (procédures/

politiques) des incidents et des demandes❖ Chartes et sensibilisation/formation

Filtrage d’Internet en sortie, accès réseau, supervision systèmes et réseaux

Qui possède un firewall ? supervision ? wifi ? VLAN ?

Firewall de sortie Outil de supervision avec tous les équipements sauf poste utilisateur

Mise à niveau du type de protection wifi et des VLAN

Antivirus

Qui possède un antivirus poste client/passerelle mail ?

Antivirus à jour centralisé Analyse des mails entrants

Sauvegarde/Disponibilité

Qui possède fait des backup ? restauration ? où ? HA ?

Sauvegarde VM et données utilisateurs, test de restauration Disponibilité des services les plus critiques

Durcissement et centralisation des accès aux données

Qui possède une centralisation des identités ? qui est sûr des comptes actifs ?

AD (je vois rien d’autre … ) avec données à jour Politique de mots de passe

Limitation des accès aux données (partage/USB)

Mise à jour logiciels

Qui possède une centralisation des identités ? qui est sur des comptes actifs ?

Mise à jour logiciels des logiciels accessibles en direct (web -> poste client -> …)

Gestion et capitalisation (procédures/politiques) des incidents et des demandes

Qui enregistre ses incidents ?

Outil de tickets, document de procédure et schéma (base de connaissance)

Chartes et sensibilisation/formation

Qui possède une charte des usages du numérique ?

Mise en place d’une charte

Notification mail régulière sur des informations « grand public »

Formations concrètes et mises en place de procédures concrètes à appliquer directement en cas de crise.

Travail sur long terme, en évolution permanente …

Merci de votre attention

Clusif et ANSSI

❖ Recommandations du Clusif :❖ Sécuriser les échanges (chiffrement,

mot de passe, VPN)❖ Structurer son réseau (FW, Antivirus,

isolement navigation interne/confidentielle, dispo Internet)

❖ Vérifier les mises à jour❖ S’assurer de la présence d’un pare-feu❖ Protéger la vie privée des salariés

❖ Guide d’hygiène informatique de l’ANSSI :❖ Connaître le système d’information (802.1X, procédure

arrivée/départ, inventaire, schéma)❖ Authentifier et contrôler les accès (auth forte, mot de

passe fort pas par défaut et chiffré, ACL données, rôle)❖ Sécuriser les postes (Antivirus, support amovible,

gestion centralisée, parefeu local, chiffrement,)❖ Sécuriser le réseau (VLAN, WPA2, SSL sur les services,

proxy, reverse-proxy, TLS, VPN, accès physique❖ Sécuriser l’administration❖ Gérer le nomadisme❖ Maintenir le système d’information à jour❖ Superviser, auditer, réagir

ANSSI❖ ANSSI (12 règles) :

❖ Mots de passe durcis❖ Mise à jour logiciels❖ Analyse des prestataires❖ Sauvegarde❖ Sécuriser les accès Wifi❖ Sécuriser les smartphones❖ Chiffrer les données en mobilité❖ Sensibiliser sur la messagerie et la mobilité❖ Utilisation de logiciels officiels❖ Sensibiliser sur les paiements électroniques❖ Séparation des usages pro/perso❖ Sensibilisation sur les données personnelles

❖ ANSSI avec TV5 lors du SSTIC 2017 :❖ Centraliser et séquestrer tous les logs réseau, serveurs et postes❖ Créer un réseau d’administration filtré + postes dédiées + isoler les

interfaces d’admin des services❖ Interdire la bureautique et la navigation internet aux comptes

privilégiés❖ Tenir à jour un inventaire des comptes de service et de leurs

applications❖ Eprouver régulièrement sa sécurité de manière variée❖ Garder une maîtrise du SI propre à votre organisme❖ Rationaliser les délégations et le filtrage de privilèges❖ Empêcher techniquement la fuite de secrets d’administration par des

interdictions de connexions❖ Tenir à jour une cartographie précise des réseaux, interconnexions et

accès internet❖ S’entourer d’experts sécurité au plus tôt dans tout projet

CNIL et ATHENA❖ CNIL :

❖ Mots de passe durcis❖ Gestion des arrivées et départ des utilisateurs (pas de

comptes génériques)❖ Sécurisation du poste de travail (mise en veille, ports USB, …)❖ Limitation des accès aux données/ressources ❖ Imposer des contrats de confidentialité avec les prestataires

(et chiffrement)❖ Sécuriser le réseau local (FW/Proxy) et VPN❖ Sécuriser l’accès physique aux locaux❖ Protéger contre le vol/fuites de données❖ PSSI❖ Chartes et sensibilisation

❖ ATHENA :

❖ Antivirus

❖ Sauvegarde

❖ Audit du code hébergée sur serveur public

❖ Fuite de données

❖ Single Sign-On

❖ Authentification renforcée

❖ Chiffrement des données

NowTeam et Kaspersky❖ NowTeam :

❖ Chartes et sensibilisation❖ Filtrage d’Internet en sortie❖ Gestion/Capitalisation des incidents et des demandes❖ Supervision systèmes et réseaux❖ Audit du SI❖ Sauvegarde❖ Messagerie externalisée❖ Antivirus❖ Limitation des accès aux données/ressources ❖ PRA❖ Capitalisation sur un prestataire

❖ Kaspersky :❖ Mise à jour logiciels❖ Antivirus❖ Mots de passe durcis et changements réguliers, pas de

réutilisation❖ Sauvegarde❖ Blocage des équipements USB externes❖ Blocage des pièces jointes❖ Chiffrement❖ Hoax avec phishing❖ Sensibiliser sur le HTTPS la source connue sur le web❖ Utilisation d’un logiciel de mot de passe - blocage de ceux des

navigateurs❖ Verrouillage de session

Clusif et ANSSI

❖ Recommandations du Clusif :❖ Sécuriser les échanges (chiffrement,

mot de passe, VPN)❖ Structurer son réseau (FW, Antivirus,

isolement navigation interne/confidentielle, dispo Internet)

❖ Vérifier les mises à jour❖ S’assurer de la présence d’un pare-feu❖ Protéger la vie privée des salariés

❖ Guide d’hygiène informatique de l’ANSSI :❖ Sensibiliser et former❖ Connaître le système d’information (802.1X, procédure

arrivée/départ, inventaire, schéma)❖ Authentifier et contrôler les accès (auth forte, mot de passe

fort pas par défaut et chiffré, ACL données, rôle)❖ Sécuriser les postes (Antivirus, support amovible, gestion

centralisée, parefeu local, chiffrement)❖ Sécuriser le réseau (VLAN, WPA2, SSL sur les services,

proxy, reverse-proxy, TLS, VPN, accès physique)❖ Sécuriser l’administration❖ Gérer le nomadisme❖ Maintenir le système d’information à jour❖ Superviser, auditer, réagir (sauvegarde)

ANSSI❖ ANSSI (12 règles) :

❖ Mots de passe durcis❖ Mise à jour logiciels❖ Analyse des prestataires❖ Sauvegarde❖ Sécuriser les accès Wifi❖ Sécuriser les smartphones❖ Chiffrer les données en mobilité❖ Sensibiliser sur la messagerie et la mobilité❖ Utilisation de logiciels officiels❖ Sensibiliser sur les paiements électroniques❖ Séparation des usages pro/perso❖ Sensibilisation sur les données personnelles

❖ ANSSI avec TV5 lors du SSTIC 2017 :❖ Centraliser et séquestrer tous les logs réseau, serveurs et postes❖ Créer un réseau d’administration filtré + postes dédiées + isoler les

interfaces d’admin des services❖ Interdire la bureautique et la navigation internet aux comptes

privilégiés❖ Tenir à jour un inventaire des comptes de service et de leurs

applications❖ Eprouver régulièrement sa sécurité de manière variée❖ Garder une maîtrise du SI propre à votre organisme❖ Rationaliser les délégations et le filtrage de privilèges❖ Empêcher techniquement la fuite de secrets d’administration par des

interdictions de connexions❖ Tenir à jour une cartographie précise des réseaux, interconnexions et

accès internet❖ S’entourer d’experts sécurité au plus tôt dans tout projet

CNIL et ATHENA❖ CNIL :

❖ Mots de passe durcis❖ Gestion des arrivées et départ des utilisateurs (pas de

comptes génériques)❖ Sécurisation du poste de travail (mise en veille, ports USB, …)❖ Limitation des accès aux données/ressources ❖ Imposer des contrats de confidentialité avec les prestataires

(et chiffrement)❖ Sécuriser le réseau local (FW/Proxy) et VPN❖ Sécuriser l’accès physique aux locaux

❖ Protéger contre le vol/fuites de données❖ PSSI❖ Chartes et sensibilisation

❖ ATHENA :

❖ Antivirus

❖ Sauvegarde

❖ Audit du code hébergée sur serveur public

❖ Fuite de données

❖ Single Sign-On

❖ Authentification renforcée

❖ Chiffrement des données

NowTeam et Kaspersky❖ NowTeam :

❖ Chartes et sensibilisation❖ Filtrage d’Internet en sortie❖ Gestion/Capitalisation des incidents et des demandes❖ Supervision systèmes et réseaux❖ Audit❖ Sauvegarde❖ Messagerie externalisée❖ Antivirus❖ Limitation des accès aux données/ressources ❖ PRA❖ Capitalisation sur un prestataire

❖ Kaspersky :❖ Mise à jour logiciels❖ Antivirus❖ Mots de passe durcis et changements réguliers, pas de

réutilisation❖ Sauvegarde❖ Blocage des équipements USB externes❖ Blocage des pièces jointes❖ Chiffrement❖ Hoax avec phishing❖ Sensibiliser sur le HTTPS la source connue sur le web❖ Utilisation d’un logiciel de mot de passe - blocage de ceux des

navigateurs❖ Verrouillage de session

Synthèse

❖ Chartes et sensibilisation❖ Filtrage d’Internet en sortie, accès réseau,

Supervision/Structuration systèmes et réseaux

❖ Gestion/Capitalisation (procédures/politiques) des incidents et des demandes

❖ Audit❖ Sauvegarde

❖ Mise à jour logiciels❖ Durcissement et centralisation des accès

aux données❖ Chiffrement❖ Antivirus❖ Support amovible et nomadisme

Re-découpage en 2 groupes❖ Filtrage d’Internet en sortie, accès réseau,

supervision systèmes et réseaux❖ Antivirus❖ Sauvegarde❖ Durcissement et centralisation des accès

aux données❖ Mise à jour logiciels❖ Gestion et capitalisation (procédures/

politiques) des incidents et des demandes❖ Chartes et sensibilisation

❖ Chiffrement❖ Audit et conseil sécurité au plus tôt❖ Support amovible et nomadisme

Est-ce uniquement un soucis pour les petits❖ Firewall de sortie, outil de supervision avec tous

les équipements sauf poste utilisateur, mise à niveau du type de protection wifi et des VLAN

❖ Antivirus à jour centralisé❖ Sauvegarde VM et données utilisateurs, test de

restauration❖ AD (je vois rien d’autre … ) avec données à jour❖ Mise à jour logiciels❖ Outil de ticket+CMDB à jour, document de

procédure et schéma❖ Mise en place d’une chartes et notification mail

régulière sur des informations « grand public »

❖ Maintenir la supervision à jour implique une liaison forte entre CMDB et supervision

❖ Antivirus à jour pas simple sur réseau étendu avec une combinaison OS large

❖ Tests des sauvegardes complexes sur des environnements complexes

❖ Mouvement de personnels et hiérarchie❖ Système critique difficile à mettre à jour❖ CMBD et processus lourds à maintenir❖ Point moins difficile pour un grand compte