L’hygiène informatique au cœur de la sécurité du SI

La sécurité d'un système d'information est un sujet essentiel, inévitable, que chaque employé d'une entreprise doit avoir en tête, mais que doit-on faire exactement ?

Tout d'abord, il est indispensable de former et d'informer les collaborateurs, que ce soit les membres du service informatique puisqu'ils ont des accès privilégiés au SI, ils doivent adopter un comportement adéquat et respect les bonnes pratiques, ainsi que la législation en vigueur. D'un autre côté, les utilisateurs du SI doivent être sensibilisé afin de prendre connaissance des règles de base et des pièges à éviter, ce qui va passer notamment par la charte informatique.

Ensuite, vous devez effectuer un audit constant de votre SI, c'est-à-dire avoir des schémas à jour de votre infrastructure, mais aussi un inventaire à jour, je ne parle pas forcément de l'inventaire des postes de travail, mais par exemple de l'inventaire des comptes à privilèges élevés. Afin que le matériel connecté à votre réseau soit conforme, vous devez contrôler les accès et formaliser certaines actions par des procédures (exemple : donner des droits supplémentaires à une personne qui change de poste). En résumé, vous devez connaître et maîtriser votre système d'information.

Si l'on revient sur cette notion de droits que je viens d'évoquer, il est important de bien définir les autorisations que doit bénéficier une personne selon son profil, sa fonction dans l'entreprise. De plus, les ressources identifiées comme sensibles doivent avoir un contrôle renforcé pour éviter tout accès malveillant. Cette notion de contrôle d'accès doit forcément impacter votre politique de gestion des mots de passe, puisqu'un mot de passe complexe sera déjà une barrière importante pour un attaquant. La gestion des accès peut être renforcée sur les comptes à privilèges élevés par une authentification à double facteur, de plus en plus répandue.

La sécurité apportée au niveau des comptes doit s'étendre jusqu'aux postes de travail et jusqu'au réseau. Pour les postes de travail, cela passe par une solution de sécurité (antivirus) à jour et digne de ce nom, par un pare-feu actif et configuré sur la machine, mais aussi par une sensibilisation sur l'utilisation des périphériques amovibles : il est hors de question de connecter sur un poste une clé USB ramassée n'importe où !

En ce qui concerne le réseau, vous devez privilégier les protocoles sécurisés, que ce soit le protocole HTTPS pour le web ou IMAPS pour la messagerie. Vous administrez bien entendu vos équipements par l'intermédiaire du protocole SSH, et vous oubliez bien sûr Telnet (qui fait transiter les mots de passe en clair sur le réseau). La sécurité du réseau est un vaste sujet, qui s'applique sur le réseau local jusqu'à la sortie sur Internet où votre firewall effectuera un contrôle des accès et bloquera les flux indésirables.

Il y a bien d'autres sujets à aborder et à traiter : cloisonnement du réseau, PRA/PCA, chiffrement des données sensibles, mise à jour des composants du SI, supervision, journalisation, etc.

Tout ce dont je vous parle depuis le début de cet article représente un ensemble de règles d'hygiène informatique, l'ANSSI propose d'ailleurs un guide à ce sujet que je vous recommande de lire. Pour la mise en oeuvre de ces conseils ou pour un audit pour savoir où vous en êtes dans la sécurité de votre SI, vous pouvez aussi décider de consulter des entreprises adaptées, comme les solutions sécurité informatique Apog.net.