Upload
dinhdien
View
212
Download
0
Embed Size (px)
Citation preview
Ad Honores / FRC / Réserve Citoyenne Gendarmerie Alsace & Réserve Cyber Johan Moreau (DSI IRCAD/IHU Strasbourg - VP Clusir-Est)
Actions prioritaires pour la SSI dans une petite structure
Illustrations issues de http://frc.alsace (Copyright : Ad Honores) et http://clusir-est.org (Copyright : Clusir-Est)
Motivation
❖ Lancer des actions concrètes avec les entreprises du territoire
❖ Thème général permettant de lancer les discussions
❖ Permettre de se rencontrer pour identifier les acteurs en place
❖ Donner une feuille de route pour la suite
❖ Quel profil dans la salle ? (PDG ? DSI ? expert sécurité ? expert numérique ? autre ?)
Chiffres récents❖ 2016 : 68% des menaces visant le secteur de la santé sont perpétrées depuis l’intérieur de l’organisation
(source Data Breach Investigations Report 2017)
❖ Dernier trimestre 2016 : 266,5 millions de tentatives d’attaques par ransomware (source rapport annuel SonicWall)
❖ Février 2017 - Panne cloud Amazon : 54 des plus 100 plus sites de e-commerce américain indisponibles, estimation de la perte pour les sociétés S&P 500 à 150 millions de dollars, et celle des sociétés de services financiers à 160 millions de dollars
❖ Mai 2017 - WannaCry : 200 000 victimes en un we (Renault, hôpitaux anglais, …)
❖ Mai 2017 - Panne British Airways : 75 000 personnes bloquées le weekend, erreur humaine
❖ Juin 2017 - Panne stockage OVH : Baie EMC indisponible, 50 000 sites indisponibles
❖ Septembre 2017 - Panne de 24H de la messagerie Microsoft et nombreux autres problèmes en Europe, raison ?
Les références
❖ Clusif : http://assurwest.fr/5-recommandations-cles-du-clusif-pour-la-securite-informatique-des-tpe/
❖ ANSSI : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
❖ ANSSI : https://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf
❖ ANSSI : https://www.ssi.gouv.fr/actualite/lanssi-apporte-son-soutien-a-tv5-monde/
❖ CNIL : http://www.securiteusb.com/2010/01/21/les-10-recommandations-de-cnil-pour-la-securite-du-systeme-informatique/
❖ ATHENA Global Services : http://www.informatique-securite.net/wp-content/uploads/2012/04/ags-lb-securite-pme-pmi.pdf
❖ Nowteam : http://www.nowteam.net/cybersecurite-en-entreprise-tpe-pme-danger/
❖ Kaspersky : watsoft.s3.amazonaws.com/docs/kaspersky/Brochure2013-KSOS-web.pdf
Méthodologie
❖ Synthèse des éléments de la littérature
❖ Convergence des termes
❖ Utilisation d’un référentiel commun
❖ Adaptation personnelle des résultats
Focus sur les 7 « rapides » à mettre en place❖ Filtrage d’Internet en sortie, accès réseau,
supervision systèmes et réseaux❖ Antivirus❖ Sauvegarde/Disponibilité❖ Durcissement et centralisation des accès
aux données❖ Mise à jour logiciels❖ Gestion et capitalisation (procédures/
politiques) des incidents et des demandes❖ Chartes et sensibilisation/formation
Filtrage d’Internet en sortie, accès réseau, supervision systèmes et réseaux
Qui possède un firewall ? supervision ? wifi ? VLAN ?
Firewall de sortie Outil de supervision avec tous les équipements sauf poste utilisateur
Mise à niveau du type de protection wifi et des VLAN
Antivirus
Qui possède un antivirus poste client/passerelle mail ?
Antivirus à jour centralisé Analyse des mails entrants
Sauvegarde/Disponibilité
Qui possède fait des backup ? restauration ? où ? HA ?
Sauvegarde VM et données utilisateurs, test de restauration Disponibilité des services les plus critiques
Durcissement et centralisation des accès aux données
Qui possède une centralisation des identités ? qui est sûr des comptes actifs ?
AD (je vois rien d’autre … ) avec données à jour Politique de mots de passe
Limitation des accès aux données (partage/USB)
Mise à jour logiciels
Qui possède une centralisation des identités ? qui est sur des comptes actifs ?
Mise à jour logiciels des logiciels accessibles en direct (web -> poste client -> …)
Gestion et capitalisation (procédures/politiques) des incidents et des demandes
Qui enregistre ses incidents ?
Outil de tickets, document de procédure et schéma (base de connaissance)
Chartes et sensibilisation/formation
Qui possède une charte des usages du numérique ?
Mise en place d’une charte
Notification mail régulière sur des informations « grand public »
Formations concrètes et mises en place de procédures concrètes à appliquer directement en cas de crise.
Clusif et ANSSI
❖ Recommandations du Clusif :❖ Sécuriser les échanges (chiffrement,
mot de passe, VPN)❖ Structurer son réseau (FW, Antivirus,
isolement navigation interne/confidentielle, dispo Internet)
❖ Vérifier les mises à jour❖ S’assurer de la présence d’un pare-feu❖ Protéger la vie privée des salariés
❖ Guide d’hygiène informatique de l’ANSSI :❖ Connaître le système d’information (802.1X, procédure
arrivée/départ, inventaire, schéma)❖ Authentifier et contrôler les accès (auth forte, mot de
passe fort pas par défaut et chiffré, ACL données, rôle)❖ Sécuriser les postes (Antivirus, support amovible,
gestion centralisée, parefeu local, chiffrement,)❖ Sécuriser le réseau (VLAN, WPA2, SSL sur les services,
proxy, reverse-proxy, TLS, VPN, accès physique❖ Sécuriser l’administration❖ Gérer le nomadisme❖ Maintenir le système d’information à jour❖ Superviser, auditer, réagir
ANSSI❖ ANSSI (12 règles) :
❖ Mots de passe durcis❖ Mise à jour logiciels❖ Analyse des prestataires❖ Sauvegarde❖ Sécuriser les accès Wifi❖ Sécuriser les smartphones❖ Chiffrer les données en mobilité❖ Sensibiliser sur la messagerie et la mobilité❖ Utilisation de logiciels officiels❖ Sensibiliser sur les paiements électroniques❖ Séparation des usages pro/perso❖ Sensibilisation sur les données personnelles
❖ ANSSI avec TV5 lors du SSTIC 2017 :❖ Centraliser et séquestrer tous les logs réseau, serveurs et postes❖ Créer un réseau d’administration filtré + postes dédiées + isoler les
interfaces d’admin des services❖ Interdire la bureautique et la navigation internet aux comptes
privilégiés❖ Tenir à jour un inventaire des comptes de service et de leurs
applications❖ Eprouver régulièrement sa sécurité de manière variée❖ Garder une maîtrise du SI propre à votre organisme❖ Rationaliser les délégations et le filtrage de privilèges❖ Empêcher techniquement la fuite de secrets d’administration par des
interdictions de connexions❖ Tenir à jour une cartographie précise des réseaux, interconnexions et
accès internet❖ S’entourer d’experts sécurité au plus tôt dans tout projet
CNIL et ATHENA❖ CNIL :
❖ Mots de passe durcis❖ Gestion des arrivées et départ des utilisateurs (pas de
comptes génériques)❖ Sécurisation du poste de travail (mise en veille, ports USB, …)❖ Limitation des accès aux données/ressources ❖ Imposer des contrats de confidentialité avec les prestataires
(et chiffrement)❖ Sécuriser le réseau local (FW/Proxy) et VPN❖ Sécuriser l’accès physique aux locaux❖ Protéger contre le vol/fuites de données❖ PSSI❖ Chartes et sensibilisation
❖ ATHENA :
❖ Antivirus
❖ Sauvegarde
❖ Audit du code hébergée sur serveur public
❖ Fuite de données
❖ Single Sign-On
❖ Authentification renforcée
❖ Chiffrement des données
NowTeam et Kaspersky❖ NowTeam :
❖ Chartes et sensibilisation❖ Filtrage d’Internet en sortie❖ Gestion/Capitalisation des incidents et des demandes❖ Supervision systèmes et réseaux❖ Audit du SI❖ Sauvegarde❖ Messagerie externalisée❖ Antivirus❖ Limitation des accès aux données/ressources ❖ PRA❖ Capitalisation sur un prestataire
❖ Kaspersky :❖ Mise à jour logiciels❖ Antivirus❖ Mots de passe durcis et changements réguliers, pas de
réutilisation❖ Sauvegarde❖ Blocage des équipements USB externes❖ Blocage des pièces jointes❖ Chiffrement❖ Hoax avec phishing❖ Sensibiliser sur le HTTPS la source connue sur le web❖ Utilisation d’un logiciel de mot de passe - blocage de ceux des
navigateurs❖ Verrouillage de session
Clusif et ANSSI
❖ Recommandations du Clusif :❖ Sécuriser les échanges (chiffrement,
mot de passe, VPN)❖ Structurer son réseau (FW, Antivirus,
isolement navigation interne/confidentielle, dispo Internet)
❖ Vérifier les mises à jour❖ S’assurer de la présence d’un pare-feu❖ Protéger la vie privée des salariés
❖ Guide d’hygiène informatique de l’ANSSI :❖ Sensibiliser et former❖ Connaître le système d’information (802.1X, procédure
arrivée/départ, inventaire, schéma)❖ Authentifier et contrôler les accès (auth forte, mot de passe
fort pas par défaut et chiffré, ACL données, rôle)❖ Sécuriser les postes (Antivirus, support amovible, gestion
centralisée, parefeu local, chiffrement)❖ Sécuriser le réseau (VLAN, WPA2, SSL sur les services,
proxy, reverse-proxy, TLS, VPN, accès physique)❖ Sécuriser l’administration❖ Gérer le nomadisme❖ Maintenir le système d’information à jour❖ Superviser, auditer, réagir (sauvegarde)
ANSSI❖ ANSSI (12 règles) :
❖ Mots de passe durcis❖ Mise à jour logiciels❖ Analyse des prestataires❖ Sauvegarde❖ Sécuriser les accès Wifi❖ Sécuriser les smartphones❖ Chiffrer les données en mobilité❖ Sensibiliser sur la messagerie et la mobilité❖ Utilisation de logiciels officiels❖ Sensibiliser sur les paiements électroniques❖ Séparation des usages pro/perso❖ Sensibilisation sur les données personnelles
❖ ANSSI avec TV5 lors du SSTIC 2017 :❖ Centraliser et séquestrer tous les logs réseau, serveurs et postes❖ Créer un réseau d’administration filtré + postes dédiées + isoler les
interfaces d’admin des services❖ Interdire la bureautique et la navigation internet aux comptes
privilégiés❖ Tenir à jour un inventaire des comptes de service et de leurs
applications❖ Eprouver régulièrement sa sécurité de manière variée❖ Garder une maîtrise du SI propre à votre organisme❖ Rationaliser les délégations et le filtrage de privilèges❖ Empêcher techniquement la fuite de secrets d’administration par des
interdictions de connexions❖ Tenir à jour une cartographie précise des réseaux, interconnexions et
accès internet❖ S’entourer d’experts sécurité au plus tôt dans tout projet
CNIL et ATHENA❖ CNIL :
❖ Mots de passe durcis❖ Gestion des arrivées et départ des utilisateurs (pas de
comptes génériques)❖ Sécurisation du poste de travail (mise en veille, ports USB, …)❖ Limitation des accès aux données/ressources ❖ Imposer des contrats de confidentialité avec les prestataires
(et chiffrement)❖ Sécuriser le réseau local (FW/Proxy) et VPN❖ Sécuriser l’accès physique aux locaux
❖ Protéger contre le vol/fuites de données❖ PSSI❖ Chartes et sensibilisation
❖ ATHENA :
❖ Antivirus
❖ Sauvegarde
❖ Audit du code hébergée sur serveur public
❖ Fuite de données
❖ Single Sign-On
❖ Authentification renforcée
❖ Chiffrement des données
NowTeam et Kaspersky❖ NowTeam :
❖ Chartes et sensibilisation❖ Filtrage d’Internet en sortie❖ Gestion/Capitalisation des incidents et des demandes❖ Supervision systèmes et réseaux❖ Audit❖ Sauvegarde❖ Messagerie externalisée❖ Antivirus❖ Limitation des accès aux données/ressources ❖ PRA❖ Capitalisation sur un prestataire
❖ Kaspersky :❖ Mise à jour logiciels❖ Antivirus❖ Mots de passe durcis et changements réguliers, pas de
réutilisation❖ Sauvegarde❖ Blocage des équipements USB externes❖ Blocage des pièces jointes❖ Chiffrement❖ Hoax avec phishing❖ Sensibiliser sur le HTTPS la source connue sur le web❖ Utilisation d’un logiciel de mot de passe - blocage de ceux des
navigateurs❖ Verrouillage de session
Synthèse
❖ Chartes et sensibilisation❖ Filtrage d’Internet en sortie, accès réseau,
Supervision/Structuration systèmes et réseaux
❖ Gestion/Capitalisation (procédures/politiques) des incidents et des demandes
❖ Audit❖ Sauvegarde
❖ Mise à jour logiciels❖ Durcissement et centralisation des accès
aux données❖ Chiffrement❖ Antivirus❖ Support amovible et nomadisme
Re-découpage en 2 groupes❖ Filtrage d’Internet en sortie, accès réseau,
supervision systèmes et réseaux❖ Antivirus❖ Sauvegarde❖ Durcissement et centralisation des accès
aux données❖ Mise à jour logiciels❖ Gestion et capitalisation (procédures/
politiques) des incidents et des demandes❖ Chartes et sensibilisation
❖ Chiffrement❖ Audit et conseil sécurité au plus tôt❖ Support amovible et nomadisme
Est-ce uniquement un soucis pour les petits❖ Firewall de sortie, outil de supervision avec tous
les équipements sauf poste utilisateur, mise à niveau du type de protection wifi et des VLAN
❖ Antivirus à jour centralisé❖ Sauvegarde VM et données utilisateurs, test de
restauration❖ AD (je vois rien d’autre … ) avec données à jour❖ Mise à jour logiciels❖ Outil de ticket+CMDB à jour, document de
procédure et schéma❖ Mise en place d’une chartes et notification mail
régulière sur des informations « grand public »
❖ Maintenir la supervision à jour implique une liaison forte entre CMDB et supervision
❖ Antivirus à jour pas simple sur réseau étendu avec une combinaison OS large
❖ Tests des sauvegardes complexes sur des environnements complexes
❖ Mouvement de personnels et hiérarchie❖ Système critique difficile à mettre à jour❖ CMBD et processus lourds à maintenir❖ Point moins difficile pour un grand compte