VADE-MECUM
DE RECOMMANDATIONS DE SÉCURITÉ
NUMÉRIQUE
À L'USAGE DES ENTREPRISES
Liste incluant (en italique) les préconisations du « Guide des règles d'hygiène informatique » élaboré par l'ANSSI.
Les recommandations prioritaires de l'OPECST figurent dans un encadré et les recommandations très importantes sur une trame grisée.
La sécurité numérique d'une entreprise ne dépend que d'elle-même : elle résulte d'une construction réfléchie et évolutive et ne saurait résulter automatiquement de prestataires extérieurs, de l'achat ou de l'installation de matériels.
Cette construction peut être ordonnée autour des dix aspects suivants :
1) Les préalables à la sécurité numérique de l'entreprise ;
2) Les principes généraux à respecter pour assurer la sécurité numérique de l'entreprise ;
3) La construction de la sécurité numérique de l'entreprise ;
4) L' appréciation critique continue de la structure de sécurité numérique ;
5) Le parc informatique de l'entreprise ;
6) Les distinctions entre :
- le numérique à usage personnel et le numérique à usage professionnel ;
- les personnels permanents de l'entreprise et les autres usagers du numérique ;
- la distinction entre l'usage du numérique dans l'entreprise ou à l'extérieur .
7) Les principes propres à l'utilisation de chaque réseau ou matériel numérique dont l'informatique en nuage ;
8) Les réflexes de sécurité numérique à acquérir ;
9) L' évaluation de la sécurité numérique de l'entreprise ;
10) La construction d'une résilience de l'entreprise après une attaque numérique.
Certains des dix aspects ci-dessus doivent être renforcés pour les opérateurs d'importance vitale et leurs partenaires.
1. Les préalables à la sécurité numérique de l'entreprise :
- 1 Classer les données en fonction de leur confidentialité pour leur appliquer un régime de sécurité approprié ;
- (ANSSI 19) Chiffrer les données sensibles , particulièrement sur les postes nomades ou les équipements qui risquent d'être perdus.
Les produits de chiffrement de l'ensemble du système (chiffrement intégral ou de disque) ou d'un sous-ensemble (chiffrement de partitions) ont été qualifiés par l'ANSSI. Les mécanismes de chiffrement intégral de disques sont les plus efficaces et ne nécessitent pas d'identifier les fichiers à chiffrer.
- 2 Fonder la sécurité informatique sur une approche globale et dans la profondeur (plutôt qu'une protection à la périphérie), grâce à un empilement de briques de sécurité , et sur l'ingénierie sociale .
- 3 Réfléchir, au cas par cas, au meilleur moyen technique à employer pour la transmission d'une information en fonction de son degré de confidentialité et de son urgence (nouveau métier).
- 4 Faire primer la sécurité numérique sur la connexion continue ou la recharge immédiate.
- 5 Adopter des comportements adaptés au niveau de sécurité des matériels et des réseaux.
2. La construction de la sécurité numérique de l'entreprise
- 6 Revoir les organigrammes des entreprises de manière à assurer aux responsables de la sécurité du numérique un accès direct aux dirigeants de l'entreprise et donc le pouvoir d'imposer les normes ou habitudes de sécurité nécessaires :
ü Identifier la fonction de responsable de la sécurité des systèmes informatiques (RSSI ) comme élevée dans un parcours professionnel.
- 7 S ensibiliser les décideurs à la sécurité informatique , notamment à la nécessité d'utiliser exclusivement des téléphones portables sécurisés voire celle d'aménager des salles de réunion opaques aux ondes (principe de la cage de Faraday).
- (ANSSI 37) Mettre en place une chaîne permanente d'alerte et de réaction connue de tous les intervenants comprenant un ou plusieurs interlocuteurs référents formés à la réaction.
- OIV.1 Former à la sécurité informatique , les dirigeants et les personnels, les sous-traitants, les fournisseurs, les clients. |
- OIV.2 Communiquer avec d' autres OIV sur le risque numérique. |
.....................................................................................................
- 8 Établir un plan global de sécurité (de l'informatique de gestion, industrielle et des applications utilisées) et en étendre le respect aux filiales et aux sous-traitants.
- (ANSSI 21) Mettre en place, dès leur conception, un cloisonnement maîtrisé des réseaux informatique intérieurs . Créer un sous-réseau protégé par une passerelle de connexion spécifique pour les postes ou les serveurs contenant des informations importantes pour la vie de l'entreprise.
- (ANSSI 28) Interdire tout accès à l'Internet depuis les comptes d'administration en équipant les administrateurs de deux postes distincts.
- OIV.3 Vérifier l'étanchéité des réseaux prétendus fermés. |
- (ANSSI 23) Utiliser systématiquement des applications et des protocoles sécurisés et donc proscrire les protocoles non sécurisés (telnet, FTP, POP, SMTP, HTTP) et n'utiliser que leurs équivalents sécurisés (SSH, SFTP, POPS, SMTPS, HTTPS, etc.).
- 9 Multiplier les sites de stockage des données .
.........................................................................................................
- 10 Avoir une gestion des droits des profils utilisateurs et administrateurs sur les postes et, surtout, sur les services de l'entreprise qui soit décrite dans la politique de sécurité de l'entreprise.
- 11 Réserver des droits administrateurs uniquement à des personnes habilitées , y compris sur les téléphones mobiles, les périphériques comme les imprimantes 3D et les objets connectés.
- (ANSSI 30) Ne jamais donner aux utilisateurs de privilège d'administration - quelle que soit leur position hiérarchique dans l'entreprise.
- (ANSSI 8) Identifier nommément chaque personne ayant accès au système et supprimer les comptes et accès génériques et anonymes .
- (ANSSI 2) Établir un inventaire exhaustif des comptes privilégiés et des comptes génériques et le tenir à jour.
- (ANSSI 29) Cloisonner le réseau d'administration vis-à-vis du réseau de travail des utilisateurs (cloisonnement physique des réseaux ou, à défaut, cloisonnement logique cryptographique ou, à tout le moins, cloisonnement logique par VLAN) et maintenir à jour les postes d'administration .
.........................................................................................................
- (ANSSI 4) Centraliser en un point unique d'accès contrôlable les accès Internet de l'entreprise et les interconnexions avec des réseaux partenaires en nombre minimal , le recours au Wi-Fi et au téléphone (contrôle, surveillance et analyse des logs ).
.........................................................................................................
- 12 Instaurer la cartographie obligatoire des Supervisory Control And Data Acquisition ( SCADA) .
- 13 Déconnecter les SCADA de l'Internet , ce qui suppose de renoncer à la mise à jour directe des systèmes par Internet pour l'effectuer, grâce à un serveur isolé et contrôlé après le téléchargement de la mise à jour.
.........................................................................................................
- 14 Recourir à des antivirus divers de manière à assurer une sorte de biodiversité de la protection .
- 15 Proposer aux PME des solutions de sécurité numérique « Tout-En-Un ».
- OIV.4 Étudier la possibilité d' assurer au mieux le risque numérique . |
3. L'appréciation critique continue de la structure numérique mise en place
- OIV.5 Mettre en place un centre de sécurité opérationnel procédant à une surveillance permanente et incluant des systèmes de détection dans les réseaux , des cellules de crise et des équipes d'interventions propres ; |
- OIV.6 Disposer, aux côtés des responsables des systèmes d'information, d' une filière opérationnelle rattachée aux équipes de production informatique ; |
- (ANSSI 1) Dresser la cartographie (adresses IP, noms de domaine, noms des machines, logiciels, interfaces réseaux, etc.) de l'installation informatique , la tenir à jour dans le cadre d'une politique de déploiement des systèmes et ne pas la stocker sur le réseau .
- 16 Établir la cartographie des risques de ses systèmes d'information, du maillage de ses sous-traitants, de ses fournisseurs, de ses clients, de ses personnels afin d' apprécier le degré de vulnérabilité informatique de ses activités ;
- (ANSSI 20) Auditer ou faire auditer fréquemment la configuration de l'annuaire central (Active Directory, Windows ou LDAP) notamment pour vérifier si les droits d'accès aux données des personnes clés de l'entreprise sont correctement positionnés.
- 17 Installer des sondes sur le réseau de manière à apprécier, en temps réel, ce qui se passe et faire gérer les sondes de détection d'attaque par des prestataires qualifiés .
- (ANSSI 26) Dans le cadre de la supervision des systèmes et des réseaux , définir concrètement les événements déclencheurs d'une alerte à traiter dans les vingt-quatre heures (connexion d'un utilisateur hors de ses horaires habituels ou de ses présences déclarées transfert massif de données vers l'extérieur de l'entreprise, etc.).
- (ANSSI 27) Définir la fréquence, les modalités d'analyse et les conséquences (alertes...) des événements figurant dans les journaux de l'entreprise .
4. Le parc informatique de l'entreprise
- 18 Investir dans la sécurité des systèmes d'information (retombées économiques possibles) .
- (ANSSI 14) Mettre en place un niveau de sécurité homogène pour l'ensemble du parc informatique (désactiver les services inutiles, ...).
- (ANSSI R16) Utiliser un outil de gestion du parc informatique pour le déploiement des politiques de sécurité et les mises à jour des équipements.
- 19 N'acheter que des matériels et ne recourir qu'à des fournisseurs référencés par l'ANSSI (retombées économiques possibles).
- (ANSSI 35) Mettre en place des procédures de destruction ou de recyclage des supports informatiques en fin de vie .
Matériels informatiques
- 20 Intégrer la sécurité numérique dès la conception d'un matériel ou d'une application et procéder à des évaluations de risque des matériels informatiques (retombées économiques possibles) .
- 21 Toujours assortir la sécurité technique à la sécurité d'usage .
- 22 Soumettre les équipementiers à des obligations de sécurité spécifiques .
- 23 Certifier rapidement les logiciels et les équipements critiques diffusés dans l'Union européenne (retombées économiques possibles) .
- 24 Corriger les logiciels présentant des failles.
- 25 Interdire la captation des données à distance .
- 26 Objets connectés : définir des protocoles pour leur fabrication et leur usage incluant l'information de leurs utilisateurs sur la possibilité de les déconnecter et favoriser la recherche en matière de sécurisation de ces objets .
5. Les trois séries de distinctions à opérer
entre le numérique à usage personnel et le numérique à usage professionnel :
- (ANSSI R5) Ne pas utiliser ses outils numériques personnels pour un usage professionnel - même pas les clés USB... mais plutôt donner des téléphones professionnels pour des usages personnels accessoires.
- 27 Interdire tout chargement de logiciels non professionnels sur les postes de travail (clés USB , disques externes, DVD , etc.).
- 28 En cas d' utilisation de postes de travail à domicile , leur garantir un niveau de sécurité ne compromettant pas la sécurité de l'entreprise.
entre les personnels permanents de l'entreprise et les autres usagers du numérique :
- (ANSSI 32) Utiliser impérativement des mécanismes robustes d' accès aux locaux de l'entreprise .
- (ANSSI 3) Élaborer et appliquer des procédures d'arrivée et de départ des utilisateurs du système d'information (personnels, stagiaires, fournisseurs, clients, etc.).
- (ANSSI 34) Ne laisser aucune prise d'accès au réseau interne ou aucun chemin de câble accessible dans les endroits ouverts au public (salles d'attente, couloirs, placards où sont connectés des imprimantes, des écrans d'affichage, des caméras de surveillance, des téléphone, des prises réseau, etc.).
- (ANSSI 33) Protéger rigoureusement les clés et badges permettant l'accès aux locaux et les codes d'alarme (clés et badges à récupérer, codes d'alarme à changer, clés et codes à ne jamais donner à des prestataires extérieurs).
entre l'usage du numérique dans l'entreprise ou à l'extérieur :
- (ANSSI 25) Vérifier qu'aucun équipement du réseau (équipements industriels ou de supervision, commutateurs réseaux, routeurs, serveurs, imprimantes, etc.) ne comporte d' interface d'administration accessible depuis Internet .
- (ANSSI 24) Sécuriser les passerelles d'interconnexion avec Internet de manière à assurer un cloisonnement entre l'accès à l'Internet, la zone de service (DMZ) et le réseau interne.
- (ANSSI R18) Interdire, dans tous les cas où cela est possible, les connexions à distance sur les postes clients et, sinon, appliquer les recommandations de sécurité relative à la téléassistance disponibles sur le site de l'ANSSI.
- 29 En cas d'utilisation de l'Intranet de l'entreprise depuis l'extérieur, mettre en oeuvre un accès sécurisé via des Virtual Private Networks ( VPN ).
- (ANSSI 31) N'autoriser l'accès à distance au réseau de l'entreprise , y compris pour l'administrateur du réseau, que depuis des postes de l'entreprise dotés de mécanismes d'authentification forte protégeant l'intégrité et la confidentialité des échanges.
6. Les principes propres à l'utilisation de chaque réseau ou matériel numérique
- (ANSSI 22) Éviter l'usage d' infrastructures sans fil (Wi-Fi) . À tout le moins, cloisonner le réseau d'accès Wi-Fi du reste du système d'information (une passerelle maîtrisée assurant l'interconnexion avec le réseau principal) et chiffrer le réseau Wi-Fi .
- 30 Chiffrer les réseaux Wi-Fi au moyen de WPA Entreprise (Wi-Fi sécurisé).
- 31 Proscrire les mécanismes de protection fondés sur une clé partagée .
- 32 Éviter le recours aux technologies des courants porteurs en ligne (CPL).
- (ANSSI 7) Définir une politique de sécurité pour la mise à jour des composants logiciels et des postes et l'appliquer strictement sur l'ensemble du parc.
- (ANSSI 6) Mettre à jour les logiciels de manière sécurisée pour résister aux virus à partir du site de leur éditeur ; se tenir informer des vulnérabilités et des mises à jour ; si un composant ne peut être mis à jour, il ne doit pas être utilisé.
- 33 Définir des règles de gestion et d'usage des messageries personnelles .
- (ANSSI 15) Interdire techniquement la connexion des supports amovibles .
- (ANSSI 17) Gérer les terminaux nomades selon une politique de sécurité au moins aussi stricte que celle applicable aux postes fixes. Ce qui suppose, souvent, le renforcement de certaines fonctions de sécurité (chiffrement de disque, authentification renforcée, etc.).
- 34 Laisser les téléphones portables à l'extérieur des salles où se tiennent des réunions confidentielles dans les entreprises qui n'ont pas de politique de sécurité pour les mobiles en mode invité - ce que tous les logiciels d'administration ne peuvent faire aujourd'hui - bannir toute connexion Internet dans ces salles et envisager la création de salles sécurisées (cages de Faraday).
- (ANSSI 35) Définir des règles d'utilisation des imprimantes et des photocopieuses : présence physique du demandeur pour démarrer une impression, destruction des documents oubliés sur les imprimantes ou les photocopieuses, broyage des documents plutôt que mise à la corbeille.
7. Les réflexes de sécurité numérique à acquérir
- (ANSSI 39) Rappeler, au moins chaque année, aux utilisateurs les règles d'hygiène informatique élémentaires : les informations, sensibles par nature, imposent des comportements exemplaires (respect de la politique de sécurité, verrouillage systématique des sessions hors usage immédiat, non connexion des équipements personnels, non divulgation et non réutilisation et des mots de passe à des tiers, signalement des événements suspects, aménagement des visites ( retombées économiques possibles ) .
- (ANSSI R39) Signature d'une charte d'usage des moyens informatiques par chaque utilisateur.
Identité numérique
- 35 Réaliser un projet d' identité numérique fondée sur la carte SIM .
- 36 Favoriser le développement des puces RFID , des codes barre et autres dispositifs d'identification, de référencement, de classement, pour provoquer l'émergence d'un marché ouvert et foisonnant de dispositifs de reconnaissance et de sécurisation des objets , des transactions, des usages (retombées économiques possibles) .
- 37 Effectuer immédiatement l'intégralité des mises à jour des antivirus, des pare-feu, etc.
- Mots de passe :
ü (ANSSI 9) Définir des règles de choix et de dimensionnement des mots de passe en fonction du degré de sensibilité des accès à protéger.
ü (ANSSI 11) Ne pas conserver les mots de passe en clair dans les systèmes informatiques ni utiliser de mécanismes automatiques de sauvegarde des mots de passe .
ü (ANSSI 10) Changer les mots de passe tous les six mois et bloquer les comptes jusqu'au respect effectif de cette règle.
ü (ANSSI 12) Renouveler systématiquement les éléments d'authentification par défaut sur les équipements .
ü (ANSSI 13) Privilégier l'authentification par carte à puce nécessitant un code PIN .
Nuages numériques
- 38 Préférer ses propres centres de stockage de données ( retombées économiques possibles ) .
- 39 Ne stocker dans les nuages numériques que des données peu confidentielles .
- 40 Diversifier les lieux de stockage de données (retombées économiques possibles) .
...................................................................................................
- 41 Passer de la notion de coffre-fort numérique , qui n'offre pas des garanties de sécurité suffisantes pour y confier tous ses biens, à une gestion active du risque en conservant les procédures actuelles de sauvegarde car la maîtrise de l'outil est devenue impossible.
- 42 Évaluer la fiabilité d'un nuage au vu de trois critères : disponibilité , intégrité et confidentialité .
- 43 Ne stocker que dans des nuages permettant une authentification et un cryptage des données .
- 44 Créer et promouvoir un label européen de stockage des données (retombées économiques possibles) .
- 45 Développer des nuages maîtrisés avec des fournisseurs français (retombées économiques possibles).
- 46 Créer des offres de messagerie nationales sécurisées, chiffrées et traitées au niveau national (retombées économiques possibles) .
- 47 La localisation en France peut permettre un contrôle sur place du régulateur (retombées économiques possibles).
- 48 Réduire la dépendance aux nuages grâce à des outils français ou européens s'appuyant sur la dynamique de l' open source (retombées économiques possibles) .
- 49 Privilégier les nuages utilisant des routeurs européens - et envisager la fabrication de processeurs européens (retombées économiques possibles) .
- 50 La souveraineté numérique peut-être facilitée par des équipements, des services qualifiés et des redondances nationales (retombées économiques possibles) .
- 51 Contracter une police d'assurance en cas de recours au nuage numérique (retombées économiques possibles) .
8. L'évaluation de la sécurité numérique de l'entreprise
- 52 Effectuer des tests d'intrusion incluant de l'ingénierie locale. En conséquence, mettre à jour la politique de sécurité informatique (retombées économiques possibles) .
- OIV.7 Effectuer des exercices réguliers de crise informatique . |
- 53 Procéder à des audits réguliers de sécurité des règles informatiques (retombées économiques possibles) .
- (ANSSI R40) L'audit annuel de sécurité du système d'information doit être assorti d'un plan d'action , de réunions fréquentes de suivi de ce plan et d'un tableau de bord de l'avancement des actions de ce plan pris en compte au plus haut niveau.
- 54 Avoir la possibilité de faire évaluer le risque pris en recourant aux équipements du commerce - ainsi que le recommande l'ANSSI.
- 55 Former au hacking .
9. La construction d'une
résilience de l'entreprise
après une attaque
numérique
- OIV.8 En cas d' attaque du site de l'entreprise , toujours avoir à disposition le nom de son développeur, ses clés d'accès, ses mots de passe et la manière d'obtenir les journaux. |
- OIV.9 Mettre en place un réseau de transmission des incidents pour informer sans délai l'ANSSI, la CNIL et des interlocuteurs de même niveau des attaques subies. |
- 56 Enregistrer tous les logs et les placer sur une sauvegarde distincte afin de les rendre disponibles en cas d'attaque y compris pour les téléphones mobiles et les objets connectés (retombées économiques possibles) .
- 57 Anticiper la perte des archives en les classant par hiérarchie de sauvegarde (archives courantes, intermédiaires, définitives, en distinguant les archives sensibles dans chaque catégorie) et en assurant leur lisibilité dans le temps par les appareils de lecture (retombées économiques possibles) .
L'usage du nuage numérique pour stocker les archives n'exonère pas de cette précaution.
- 58 Compléter cette démarche par des simulations de perte d'archives et des exercices de restauration desdites archives (retombées économiques possibles) .
- (ANSSI 36) Disposer d'un plan de reprise et de continuité d'activité informatique tenu à jour pour sauvegarder les données essentielles de l'entreprise.
- (ANSSI 32) Sauvegarder périodiquement et automatiquement les données sensibles de l'entreprise dans un lieu distinct de celui des serveurs en fonctionnement.
- (ANSSI 38) Traiter intégralement l'infection d'une machine (comment le code malveillant s'est-il installé ? Combien de postes sont-ils compromis ? Quelles informations ont-elles été divulguées ?) incluant un retour d'expérience et une capitalisation .
- (ANSSI 38) Prendre les mesures immédiates suivantes : isoler les machines infectées du réseau, ne pas les éteindre électriquement, copier les mémoires et les disques durs , réinstaller intégralement la machine après copie des disques.
Incidents informatiques
- 59 Doter le système d'information d'une structure d'administration à même de le préserver d'une réaction en chaîne en cas d'attaque .
- 60 Définir une marche à suivre à l'intention des petites et moyennes entreprises, des collectivités territoriales et des particuliers pour leur indiquer vers quels acteurs de proximité se tourner en cas d'incident (retombées économiques possibles) .
- 61 Former les utilisateurs à l'analyse des incidents dus aux antivirus et aux réactions à adopter face à ceux-ci.
- 62 Réagir à un virus en moins de vingt-quatre heures - (l'entreprise Saoudi Aramco a réagi en quelques heures).
- 63 Fabriquer des outils français d'analyse des incidents informatiques (retombées économiques possibles) . Inciter au développement de ces outils au niveau national par des jeunes entreprises innovantes et des entreprises de taille intermédiaire. Le marché de la sécurité informatique est en plein développement, la France dispose d'un tissu d'entreprises tout à fait à même d'y devenir des acteurs majeurs et les écoles françaises de mathématiques et d'informatique comptent parmi les meilleures du monde.
- 64 Favoriser une prise en compte des expériences des services de police et de justice au niveau européen .