Actions prioritaires pour la SSI dans une petite structure

Transcription

1 Ad Honores / FRC / Réserve Citoyenne Gendarmerie Alsace & Réserve Cyber Johan Moreau (DSI IRCAD/IHU Strasbourg - VP Clusir-Est) Actions prioritaires pour la SSI dans une petite structure Illustrations issues de (Copyright : Ad Honores) et (Copyright : Clusir-Est)

2 Motivation Lancer des actions concrètes avec les entreprises du territoire Thème général permettant de lancer les discussions Permettre de se rencontrer pour identifier les acteurs en place Donner une feuille de route pour la suite Quel profil dans la salle? (PDG? DSI? expert sécurité? expert numérique? autre?)

3 Chiffres récents 2016 : 68% des menaces visant le secteur de la santé sont perpétrées depuis l intérieur de l organisation (source Data Breach Investigations Report 2017) Dernier trimestre 2016 : 266,5 millions de tentatives d attaques par ransomware (source rapport annuel SonicWall) Février Panne cloud Amazon : 54 des plus 100 plus sites de e-commerce américain indisponibles, estimation de la perte pour les sociétés S&P 500 à 150 millions de dollars, et celle des sociétés de services financiers à 160 millions de dollars Mai WannaCry : victimes en un we (Renault, hôpitaux anglais, ) Mai Panne British Airways : personnes bloquées le weekend, erreur humaine Juin Panne stockage OVH : Baie EMC indisponible, sites indisponibles Septembre Panne de 24H de la messagerie Microsoft et nombreux autres problèmes en Europe, raison?

4 Les références Clusif : ANSSI : ANSSI : ANSSI : CNIL : ATHENA Global Services : Nowteam : Kaspersky : watsoft.s3.amazonaws.com/docs/kaspersky/brochure2013-ksos-web.pdf

5 Méthodologie Synthèse des éléments de la littérature Convergence des termes Utilisation d un référentiel commun Adaptation personnelle des résultats

6 Focus sur les 7 «rapides» à mettre en place Filtrage d Internet en sortie, accès réseau, supervision systèmes et réseaux Antivirus Sauvegarde/Disponibilité Durcissement et centralisation des accès aux données Mise à jour logiciels Gestion et capitalisation (procédures/ politiques) des incidents et des demandes Chartes et sensibilisation/formation

7 Filtrage d Internet en sortie, accès réseau, supervision systèmes et réseaux Qui possède un firewall? supervision? wifi? VLAN? Firewall de sortie Outil de supervision avec tous les équipements sauf poste utilisateur Mise à niveau du type de protection wifi et des VLAN

8 Antivirus Qui possède un antivirus poste client/passerelle mail? Antivirus à jour centralisé Analyse des mails entrants

9 Sauvegarde/Disponibilité Qui possède fait des backup? restauration? où? HA? Sauvegarde VM et données utilisateurs, test de restauration Disponibilité des services les plus critiques

10 Durcissement et centralisation des accès aux données Qui possède une centralisation des identités? qui est sûr des comptes actifs? AD (je vois rien d autre ) avec données à jour Politique de mots de passe Limitation des accès aux données (partage/usb)

11 Mise à jour logiciels Qui possède une centralisation des identités? qui est sur des comptes actifs? Mise à jour logiciels des logiciels accessibles en direct (web -> poste client -> )

12 Gestion et capitalisation (procédures/politiques) des incidents et des demandes Qui enregistre ses incidents? Outil de tickets, document de procédure et schéma (base de connaissance)

13 Chartes et sensibilisation/formation Qui possède une charte des usages du numérique? Mise en place d une charte Notification mail régulière sur des informations «grand public» Formations concrètes et mises en place de procédures concrètes à appliquer directement en cas de crise.

14 Travail sur long terme, en évolution permanente Merci de votre attention

15 Clusif et ANSSI Guide d hygiène informatique de l ANSSI : Recommandations du Clusif : Sécuriser les échanges (chiffrement, mot de passe, VPN) Structurer son réseau (FW, Antivirus, isolement navigation interne/ confidentielle, dispo Internet) Vérifier les mises à jour S assurer de la présence d un pare-feu Protéger la vie privée des salariés Connaître le système d information (802.1X, procédure arrivée/départ, inventaire, schéma) Authentifier et contrôler les accès (auth forte, mot de passe fort pas par défaut et chiffré, ACL données, rôle) Sécuriser les postes (Antivirus, support amovible, gestion centralisée, parefeu local, chiffrement,) Sécuriser le réseau (VLAN, WPA2, SSL sur les services, proxy, reverse-proxy, TLS, VPN, accès physique Sécuriser l administration Gérer le nomadisme Maintenir le système d information à jour Superviser, auditer, réagir

16 ANSSI ANSSI (12 règles) : Mots de passe durcis Mise à jour logiciels Analyse des prestataires Sauvegarde Sécuriser les accès Wifi Sécuriser les smartphones Chiffrer les données en mobilité Sensibiliser sur la messagerie et la mobilité Utilisation de logiciels officiels Sensibiliser sur les paiements électroniques Séparation des usages pro/perso Sensibilisation sur les données personnelles ANSSI avec TV5 lors du SSTIC 2017 : Centraliser et séquestrer tous les logs réseau, serveurs et postes Créer un réseau d administration filtré + postes dédiées + isoler les interfaces d admin des services Interdire la bureautique et la navigation internet aux comptes privilégiés Tenir à jour un inventaire des comptes de service et de leurs applications Eprouver régulièrement sa sécurité de manière variée Garder une maîtrise du SI propre à votre organisme Rationaliser les délégations et le filtrage de privilèges Empêcher techniquement la fuite de secrets d administration par des interdictions de connexions Tenir à jour une cartographie précise des réseaux, interconnexions et accès internet S entourer d experts sécurité au plus tôt dans tout projet

17 CNIL et ATHENA CNIL : ATHENA : Mots de passe durcis Gestion des arrivées et départ des utilisateurs (pas de comptes génériques) Sécurisation du poste de travail (mise en veille, ports USB, ) Limitation des accès aux données/ressources Imposer des contrats de confidentialité avec les prestataires (et chiffrement) Sécuriser le réseau local (FW/Proxy) et VPN Sécuriser l accès physique aux locaux Protéger contre le vol/fuites de données PSSI Chartes et sensibilisation Antivirus Sauvegarde Audit du code hébergée sur serveur public Fuite de données Single Sign-On Authentification renforcée Chiffrement des données

18 NowTeam et Kaspersky NowTeam : Chartes et sensibilisation Filtrage d Internet en sortie Gestion/Capitalisation des incidents et des demandes Supervision systèmes et réseaux Audit du SI Sauvegarde Messagerie externalisée Antivirus Limitation des accès aux données/ressources PRA Capitalisation sur un prestataire Kaspersky : Mise à jour logiciels Antivirus Mots de passe durcis et changements réguliers, pas de réutilisation Sauvegarde Blocage des équipements USB externes Blocage des pièces jointes Chiffrement Hoax avec phishing Sensibiliser sur le HTTPS la source connue sur le web Utilisation d un logiciel de mot de passe - blocage de ceux des navigateurs Verrouillage de session

19 Clusif et ANSSI Guide d hygiène informatique de l ANSSI : Recommandations du Clusif : Sécuriser les échanges (chiffrement, mot de passe, VPN) Structurer son réseau (FW, Antivirus, isolement navigation interne/ confidentielle, dispo Internet) Vérifier les mises à jour S assurer de la présence d un pare-feu Protéger la vie privée des salariés Sensibiliser et former Connaître le système d information (802.1X, procédure arrivée/départ, inventaire, schéma) Authentifier et contrôler les accès (auth forte, mot de passe fort pas par défaut et chiffré, ACL données, rôle) Sécuriser les postes (Antivirus, support amovible, gestion centralisée, parefeu local, chiffrement) Sécuriser le réseau (VLAN, WPA2, SSL sur les services, proxy, reverse-proxy, TLS, VPN, accès physique) Sécuriser l administration Gérer le nomadisme Maintenir le système d information à jour Superviser, auditer, réagir (sauvegarde)

20 ANSSI ANSSI (12 règles) : Mots de passe durcis Mise à jour logiciels Analyse des prestataires Sauvegarde Sécuriser les accès Wifi Sécuriser les smartphones Chiffrer les données en mobilité Sensibiliser sur la messagerie et la mobilité Utilisation de logiciels officiels Sensibiliser sur les paiements électroniques Séparation des usages pro/perso Sensibilisation sur les données personnelles ANSSI avec TV5 lors du SSTIC 2017 : Centraliser et séquestrer tous les logs réseau, serveurs et postes Créer un réseau d administration filtré + postes dédiées + isoler les interfaces d admin des services Interdire la bureautique et la navigation internet aux comptes privilégiés Tenir à jour un inventaire des comptes de service et de leurs applications Eprouver régulièrement sa sécurité de manière variée Garder une maîtrise du SI propre à votre organisme Rationaliser les délégations et le filtrage de privilèges Empêcher techniquement la fuite de secrets d administration par des interdictions de connexions Tenir à jour une cartographie précise des réseaux, interconnexions et accès internet S entourer d experts sécurité au plus tôt dans tout projet

21 CNIL et ATHENA CNIL : ATHENA : Mots de passe durcis Gestion des arrivées et départ des utilisateurs (pas de comptes génériques) Sécurisation du poste de travail (mise en veille, ports USB, ) Limitation des accès aux données/ressources Imposer des contrats de confidentialité avec les prestataires (et chiffrement) Sécuriser le réseau local (FW/Proxy) et VPN Sécuriser l accès physique aux locaux Protéger contre le vol/fuites de données PSSI Chartes et sensibilisation Antivirus Sauvegarde Audit du code hébergée sur serveur public Fuite de données Single Sign-On Authentification renforcée Chiffrement des données

22 NowTeam et Kaspersky NowTeam : Chartes et sensibilisation Filtrage d Internet en sortie Gestion/Capitalisation des incidents et des demandes Supervision systèmes et réseaux Audit Sauvegarde Messagerie externalisée Antivirus Limitation des accès aux données/ressources PRA Capitalisation sur un prestataire Kaspersky : Mise à jour logiciels Antivirus Mots de passe durcis et changements réguliers, pas de réutilisation Sauvegarde Blocage des équipements USB externes Blocage des pièces jointes Chiffrement Hoax avec phishing Sensibiliser sur le HTTPS la source connue sur le web Utilisation d un logiciel de mot de passe - blocage de ceux des navigateurs Verrouillage de session

23 Synthèse Chartes et sensibilisation Mise à jour logiciels Filtrage d Internet en sortie, accès réseau, Supervision/Structuration systèmes et réseaux Durcissement et centralisation des accès aux données Chiffrement Gestion/Capitalisation (procédures/ Antivirus politiques) des incidents et des demandes Support amovible et nomadisme Audit Sauvegarde

24 Re-découpage en 2 groupes Filtrage d Internet en sortie, accès réseau, supervision systèmes et réseaux Antivirus Sauvegarde Durcissement et centralisation des accès aux données Chiffrement Audit et conseil sécurité au plus tôt Support amovible et nomadisme Mise à jour logiciels Gestion et capitalisation (procédures/ politiques) des incidents et des demandes Chartes et sensibilisation

25 Est-ce uniquement un soucis pour les petits Firewall de sortie, outil de supervision avec tous les équipements sauf poste utilisateur, mise à niveau du type de protection wifi et des VLAN Antivirus à jour centralisé Sauvegarde VM et données utilisateurs, test de restauration AD (je vois rien d autre ) avec données à jour Mise à jour logiciels Outil de ticket+cmdb à jour, document de procédure et schéma Mise en place d une chartes et notification mail régulière sur des informations «grand public» Maintenir la supervision à jour implique une liaison forte entre CMDB et supervision Antivirus à jour pas simple sur réseau étendu avec une combinaison OS large Tests des sauvegardes complexes sur des environnements complexes Mouvement de personnels et hiérarchie Système critique difficile à mettre à jour CMBD et processus lourds à maintenir Point moins difficile pour un grand compte