Recommandations de sécurisation

Transcription

1 P R E M I E R M I N I S T R E Secrétariat général de la défense nationale Issy les Moulineaux, le n /SGDN/DCSSI/SD/BAS Direction centrale de la sécurité des systèmes d information Recommandations de sécurisation Autocommutateur téléphonique

2 Informations Nombre de pages du document : 43 Evolution du document : Version Rédaction Validation DCSSI Date 0.1 Laurent Estieux Philippe Brandt N /SGDN/DCSSI/SD/BAS Page 2 sur 43

3 Table des matières 1 Introduction bjectifs des recommandations À qui sont destinées ces recommandations Structure de ce document Rappels juridiques sur l utilisation et l exploitation d un autocommutateur Avertissements 9 3 Pré-requis Matériels Connaissances nécessaires Présentation des autocommutateurs Définition d un autocommutateur Composants d un autocommutateur Intervenants sur un PABX Le constructeur L installateur/vendeur Le mainteneur et/ou le télé-mainteneur L administrateur «courant» Les usagers ou les abonnés Les postes opérateurs L opérateur de télécommunication Principaux risques d un autocommutateur Les besoins de sécurité La disponibilité L intégrité La confidentialité La menace La menace interne La menace liée à la sous-traitance Les services de renseignements La délinquance informatique à but lucratif Les pirates Les impacts Perte d exploitation Pertes financières Impact juridique Notoriété Les victimes Politique générale de la sécurité des systèmes d information 17 7 Principes fondamentaux de la SSI Développer et implémenter une défense en profondeur La sécurité des locaux et la sûreté de fonctionnement N /SGDN/DCSSI/SD/BAS Page 3 sur 43

4 Ce qu il faut prendre en compte prioritairement sur les lots techniques La défense au niveau du réseau Utilisation de commutateurs Mise en place d outils de détection d intrusion La défense au niveau des hôtes La défense au niveau des applications La défense au niveau des données Principe du moindre privilège Sécuriser : mesures générales Relevé de configuration Emploi de mots de passe complexes Administration du système Administration locale Administration distante Terminal Services SNMP Télémaintenance Confidentialité des communications sensibles Sécuriser : mesures spécifiques Accès physique aux organes de télécommunication Accès aux locaux PABX Remarques sur les risques d incendie, de dégâts des eaux et de perte d énergie électrique relatives aux PABX Distribution des lignes téléphoniques Accès par un terminal local d administration Protection physique des terminaux d administration Authentification Protection logique des terminaux d administration Journalisation, imputabilité et accès concurrentiels Accès par les consoles opératrices Accès par le réseau téléphonique public Ligne de télémaintenance Utilisation de modem avec authentification Numéro de télémaintenance Existence de procédures de télémaintenance Messagerie vocale Accès par le réseau informatique Gestion des sauvegardes Programmation des PABX Substitution Entrée en tiers Renvois sur numéros externes DISA Poste fictif Justification Messagerie vocale Cadenas ou verrouillage des postes Accès au réseau public Aboutement de réseau N /SGDN/DCSSI/SD/BAS Page 4 sur 43

5 10 Maintenir le niveau de sécurité : mesures générales Règles d exploitation Gestion des correctifs de sécurité (serveurs et clients) Réalisation de fiches réflexes pour gérer les alertes Formation Gestion des comptes et des mots de passe Serveur de secours et de test Gestion des sauvegardes Gestion des éléments temporaires Mise à jour de la PSSI Audits de sécurité Annexes Points à vérifier généraux Mesures générales Environnement réseau informatique Environnement réseau téléphonique Système d exploitation Configuration du système d exploitation de l autocommutateur Configuration du système d exploitation des éléments d administration Éléments pratiques relatifs aux autocommutateurs Alcatel Catégories d exploitation Substitution Entrée en tiers Renvois sur numéro externe Zones de discrimination Catégories d accès au réseau public Paramètres particuliers des postes utilisateurs Postes fictifs Postes non justifiés Code d accès par défaut Éléments pratiques relatifs aux autocommutateurs Matra Classes de facilités Substitution/Interception Entrée en tiers/intrusion Paramètres particuliers des postes utilisateurs Cadenas ou verrouillage des postes N /SGDN/DCSSI/SD/BAS Page 5 sur 43

6 Table des figures N /SGDN/DCSSI/SD/BAS Page 6 sur 43

7 1 Introduction 1.1 bjectifs des recommandations Ce guide a pour vocation d aider à sécuriser un autocommutateur (PABX 1 ) à l aide de recommandations basées sur l état de l art. 1.2 À qui sont destinées ces recommandations Ces recommandations sont destinées principalement aux administrateurs, responsables de la sécurité des systèmes d information et en général à toute personne ou organisation voulant sécuriser ou vérifier la sécurisation d un autocommutateur. En particulier ce guide n est pas un guide d administration d un autocommutateur. 1.3 Structure de ce document Ce document est scindé en plusieurs parties : Partie 1 : introduction générale aux recommandations ; Partie 2 : mise en garde sur l application de ces recommandations ; Partie 4 : courte présentation des autocommutateursi ; Partie 5 : relevé non exhaustif des principales vulnérabilités liées à l autocommutateur ; Partie 6 : rappel non technique sur l organisation de la sécurité d un système d information ; Partie 7 : rappel des principes fondamentaux de la sécurité d un système d information ; Partie 8 : recommandations générales sur la sécurisation d un système d information et de serveurs ; Partie 9 : recommandations spécifiques à la sécurisation d un autocommutateur à ne mettre en oeuvre qu une fois, à l installation du système ou lors de la première mise en application de ce document ; Partie 10 : recommandations générales sur les opérations à mener pour conserver un bon niveau de sécurisation dans le temps ; Partie 11 : éléments techniques complémentaires, comme des listes de contrôle. 1.4 Rappels juridiques sur l utilisation et l exploitation d un autocommutateur Ce document a, avant tout, une approche technique des systèmes d autocommutateurs. Les différents points d ordre juridique qui sont présentés dans ce chapitre ne sont qu indicatives et doivent être développées par un service juridique spécialisé qui fournira une expertise qui dépasse le cadre de ce document. Les autocommutateurs manipulent une correspondance entre des numéros de téléphone et des postes téléphoniques associés à des personnes. De ce fait, il s agit d un système effectuant un traitement automatisé de données nominatives ce qui, conformément à la loi n du 6 janvier 1978 dite «Loi informatique et libertés», nécessite une déclaration auprès de la CNIL 2. La CNIL propose sur son site un ensemble de documents vous permettant d éclaircir vos droits et obligations attachés à la mise en place et à l administration d un PABX : loi «Informatique et Libertés» n du 6 janvier 1978 ; note d information «La mise en place d autocommutateurs téléphoniques» disponible à l adresse ; délibération n du 20 décembre 1994 (norme simplifiée n 40) consultable à l adresse 1 Private Automatic Branch exchange 2 CNIL : Commission Nationale de l Informatique et des Libertés N /SGDN/DCSSI/SD/BAS Page 7 sur 43

8 Une directive européenne (directive 95/46/CE du 24 octobre 1995) vient compléter l encadrement du traitement automatisé d informations nominatives et devrait se voir transcrite dans le droit français prochainement. D autre part, les conversations téléphoniques pouvant avoir un caractère personnel et intime, l enregistrement des conversations, ou écoutes téléphoniques, est légalement très fortement encadré, et, sauf de très rares exceptions, ne doivent se rencontrer dans aucune entité. La CNIL rappelle dans sa note d information «Les écoutes téléphoniques sur le lieu de travail», disponible à l adresse l ensemble des dispositifs législatifs encadrant ces pratiques (code pénal, code du travail) en mentionnant, entre autres, la loi du 10 juillet 1991 relative au secret des correspondances. Cette interdiction d écouter les conversations téléphoniques n empêche cependant pas d enregistrer les données techniques d une conversation même personnelle, pour des finalités de gestion de ressources, dont une liste détaillée est développée à l article 3 de la norme simplifiée n 40 de la CNIL avec, par exemple : numéro de l appelant ; numéro de l appelé ; durée de la conversation ; date et heure du début de communication ; type de communication (voix, données, fax). L ensemble du personnel doit cependant être informé par l intermédiaire d un règlement des traitements connexes au système téléphonique susceptibles d être effectués (facturation, analyse de qualité). Ce règlement devra avoir bien entendu été préalablement soumis aux partenaires sociaux dans le cadre d un comité d entreprise ou d un comité technique paritaire. N /SGDN/DCSSI/SD/BAS Page 8 sur 43

9 2 Avertissements La responsabilité du choix et de la mise en oeuvre des recommandations proposées dans ce document incombe au lecteur de ce guide. Il pourra s appuyer sur la politique de sécurité du système d information et sur les résultats d une analyse des risques de la sécurité des systèmes d information pour déterminer les recommandations les plus pertinentes. Le lecteur devra également réaliser des tests exhaustifs afin de vérifier l adéquation de ces recommandations avec son contexte particulier. Vu la nature évolutive des systèmes d information et des menaces portant sur ceux-ci, ce document présente un savoir-faire à un instant donné et a pour ambition d être régulièrement amélioré et complété. Vos commentaires sont les bienvenus. Vous pouvez les adresser à l adresse postale suivante : Bureau Audits en SSI SGDN/DCSSI/SD/BAS 51, boulevard de la Tour-Maubourg Paris 07 SP N /SGDN/DCSSI/SD/BAS Page 9 sur 43

10 3 Pré-requis 3.1 Matériels Le lecteur, sans être un spécialiste des télécommunications, devra connaître certains éléments spécifiques des équipements qu il utilise : vocabulaire, fonctionnalités, etc...le guide tente de traiter le problème des PABX de manière générale, et, à titre d annexe fournit des éléments d information particuliers aux autocommutateurs Alcaltel. 3.2 Connaissances nécessaires Le lecteur devra être familier avec le vocubalaire relatif aux télécommunications, la notion de réseau qu il soit téléphonique ou informatique. Les parties plus techniques nécessiteront des connaissances relatives à l administration d un autocommutateur. N /SGDN/DCSSI/SD/BAS Page 10 sur 43

11 4 Présentation des autocommutateurs L objet de cette partie du document est de définir, de manière générale, le vocabulaire et les notions de bases attachés à l administration d un autocommutateur (PABX). 4.1 Définition d un autocommutateur D un point de vue fonctionnel, les autocommutateurs privés (ou PABX) sont des dispositifs chargés principalement d assurer la commutation téléphonique d un réseau téléphonique privé. Ils se distinguent des autocommutateurs publics, gérés par les opérateurs téléphoniques, par le fait qu ils assurent la commutation téléphonique au sein de l entité tout en permettant son raccordement sur le réseau public. Ils permettent ainsi d offrir un grand nombre de fonctionnalités inexistantes, ou peu répandues sur le réseau téléphonique commuté public (RTCP 3 ) : messagerie vocale, standard téléphonique intégré, redirection d appels dynamique, accès distant au poste, etc... D un autre point de vue, un autocommutateur est également un système d information : tous les outils de configuration, les services proposés ainsi que la commutation de communications sont des applicatifs s exécutant sur un système d exploitation. Ces systèmes d exploitation sont généralement soit inaccessibles (masqués par des codes propriétaires non documentés) soit des systèmes temps réel connus dont le niveau de sécurité équivaut à des systèmes d exploitation de type «UNIX» datant des années Composants d un autocommutateur Un autocommutateur est donc finalement un système informatique avec certaines spécificités matérielles et logicielles liées à la destination de ce type de produit : la téléphonie. Une très grande modularité des dispositifs est nécessaire de manière à pouvoir suivre l évolution des besoins (en terme de dimensionnement ou de fonctionnalités). L architecture matérielle diffère donc des systèmes informatiques classiques. n trouve un «fond de panier» présentant un bus classique permettant le dialogue des sous-systèmes classiques informatiques (processeur, mémoire, disques, etc...) ainsi qu une matrice de commutation, assurant une liaison rapide entre toutes les cartes périphériques destinées au raccordement des éléments téléphoniques. Sur ce «fond de panier» viennent se greffer un certain nombre de cartes : une ou plusieurs cartes «CPU 4» comportant principalement un processeur chargé de l exécution du système d exploitation et de tous les applicatifs. L utilisation de plusieurs cartes permet d effectuer une répartition de la charge sur de gros systèmes ou de maintenir la disponibilité du service malgré un incident sur une carte «CPU» ; une carte disque dur permettant d effectuer une sauvegarde sur ce support de tous les éléments de configuration du système d exploitation et des paramètres de l autocommutateur. La présence de cette carte est facultative et ne se rencontre que sur les PABX haut de gamme, ayant un volume conséquent de données à stocker. En l absence de carte disque dur, le stockage peut également être assuré par une PRM 5 ; une ou plusieurs cartes d interface permettant l interconnexion au réseau public, appelées carte MIC 6. Leur nombre varie principalement en fonction du nombre maximal de communications simultanées que l entité peut établir ; une ou plusieurs cartes d interface numérique permettant la connexion des différents postes numériques de l entité. En général, le protocole de communication entre ces postes et le PABX est propriétaire. Ceci explique pourquoi les postes téléphoniques sont directement liés au modèle de l autocommutateur. Le mode de communication est parfois numérique entre le poste et le PABX ce qui ne permet cependant pas de se protéger efficacement face à une écoute avec du matériel adéquat ; 3 RTCP : Réseau Téléphonique Commuté Public 4 CPU : Central Processing Unit 5 PRM : Programmable Read-nly Memory 6 MIC : Modulation à Impulsions de Codage N /SGDN/DCSSI/SD/BAS Page 11 sur 43

12 une ou plusieurs cartes d interface permettant le raccordement d équipements nécessitant une communication analogique de bout en bout (fax analogiques ou téléphones classiques) dites interfaces Z ; une ou plusieurs cartes fournissant un service particulier tel la messagerie vocale (MEV) ; une carte modem permettant un accès distant via le RTCP pour administrer le PABX. Ce dispositif peut éventuellement être externe à l autocommutateur, tout comme certains applicatifs dédiés, et relié par une liaison série ; une carte de taxation permettant de rapatrier depuis le PABX les informations de taxation (facturation) sur une console déportée. Ce transfert se dit «au fil de l eau» dans le cas d une réplication en temps réel de la taxation sur cette console déportée. Dans le cas contraire, la console de taxation demande (sur action de l administrateur) le rapatriement de l ensemble de la taxation qui était stockée sur le PABX. La communication entre ces deux éléments peut se faire par un lien V24 ou ethernet ; Intervenants sur un PABX Le constructeur Son rôle se limite à la construction du matériel (autocommutateur, cartes périphériques, postes téléphoniques). Il fournit également une documentation d utilisation de son matériel. Il est rare que le constructeur vende directement son matériel et assure le service après-vente auprès de l utilisateur ou l administrateur final L installateur/vendeur Son rôle consiste à conseiller son client lors de l achat d un autocommutateur. Il diligente des études de dimensionnement, effectue les achats et met en service l autocommutateur auprès de son client. C est l intermédiaire principal entre le client et le constructeur au cours de l achat. C est lui qui devrait s assurer (dans le cas d un matériel neuf) de la bonne configuration du matériel fourni du point de vue de la sécurité et ce, en adéquation avec les objectifs de sécurité exprimés par le client. Il doit communiquer cette configuration au client Le mainteneur et/ou le télé-mainteneur Son rôle consiste à effectuer la maintenance de l autocommutateur au cours de son exploitation. Le mainteneur et l installateur sont souvent la même entité, surtout lors du premier contrat de maintenance. Il assure en particulier le service après-vente en cas de dysfonctionnement du produit ainsi que la mise à jour logicielle et/ou matérielle du produit. Ses domaines de compétence peuvent être élargis mais sont fixés contractuellement dans le contrat de maintenance. Dans le cas où l entité cliente possède des ressources humaines ayant des compétences de maintenance du produit qu elle a acheté, elle peut elle-même réaliser cette tâche en étant en contact avec un installateur ou le constructeur pour récupérer les mises à jour. Dans le cas contraire, ces tâches sont le plus souvent réalisée à distance par le prestataire, via télé-maintenance avec tous les risques liés à l administration distante d un système d information. Le contrat de maintenance doit, dans la mesure du possible, comprendre des protocoles de transmissions d informations relatives à la sécurité du SI : journaux, relevés d incidents, etc L administrateur «courant» Son rôle consiste à effectuer l administration courante de l autocommutateur : création de nouveaux postes, affectation de droits sur les postes, etc. Si l entité cliente ne possède pas de ressources humaines possédant une expertise dans le domaine, cette partie peut-être sous-traitée, par exemple, auprès du mainteneur. Cependant, il n est pas rare que ces tâches soient effectuées en interne. Même s il s agit de tâches simples à réaliser, l administrateur doit géré son système avec la rigueur et la méthode de l exploitant d un SI sensible. N /SGDN/DCSSI/SD/BAS Page 12 sur 43

13 4.3.5 Les usagers ou les abonnés Ce sont les utilisateurs du téléphone. Les problèmes rencontrés par ces personnes doivent être examinés par l administrateur «courant» ou le mainteneur pour des problèmes non triviaux. Ce type d utilisateur nécessite simplement de savoir manipuler son poste téléphonique. Les utilisateurs n ont aucun besoin d interagir directement avec le PABX : les opérations courantes sont effectuées par le biais de leur téléphone (accès à la messagerie vocale, redirection de lignes, etc...) Les postes opérateurs Leur rôle consiste principalement à mettre en relation des personnes au niveau d un standard par exemple. Par ce fait, ces postes interagissent directement avec le PABX ce qui peut représenter un risque. Ce dernier sera bien sûr détaillé ultérieurement dans ce document mais, de manière synthétique, il faut veiller à limiter les pouvoirs des postes opérateurs en tenant compte du principe du «moindre privilège» L opérateur de télécommunication L opérateur téléphonique n opère pas directement sur le PABX mais est amené à intervenir dans sa périphérie physique proche. Il en assure le raccordement au réseau RTCP, au travers d une armoire d interconnexion dont il est propriétaire et sur laquelle il peut être amené à intervenir. Cette armoire est généralement disposée au sein même de l entité, à proximité du PABX ce qui peut soulever des problèmes pour l accès des techniciens de l opérateur à ces armoires qui doit être possible, aux heures prévues par les contrats (en général 24h/24). 5 Principaux risques d un autocommutateur Dans cette partie seront décrits les principaux risques liés à l autocommutateur. 5.1 Les besoins de sécurité Un autocommutateur est un système informatique au même titre qu un serveur informatique. Pour cette raison, les besoins de sécurité pesant sur un PABX incluent les besoins classiques visant un système d information. De manière générale, l existence et la portée d une atteinte sont très difficiles à évaluer pour l entité victime car les PABX sont d une spécificité et d une technicité très importantes. Si l entité ne dispose pas de ressources internes possédant cette expertise, sa tâche sera d autant plus ardue La disponibilité Plus encore que pour n importe quel système informatique, la disponibilité du service téléphonique est cruciale pour une entreprise ou une administration. En effet, mis à part les problèmes de perte de production ou de données d exploitation d une entité suite à un blocage malveillant des lignes, le téléphone filaire reste un élément critique de la sécurité au sens large : un dysfonctionnement d un autocommutateur peut occasionner, par exemple, l impossibilité de joindre les secours en cas d accident sur le lieu de travail. Il est bon de rappeler qu un autocommutateur est un système temps-réel qui, lorsqu il est surchargé, donnera la priorité à la commutation, c est à dire l établissement de communications téléphoniques au détriment de la taxation. Les défauts de disponibilité se déclinent principalement comme suit : arrêt du système de taxation et de comptabilité ; blocage des lignes ; destruction du système d exploitation de l autocommutateur ; destruction physique du commutateur (vandalisme, incendie, dégâts des eaux, etc...). N /SGDN/DCSSI/SD/BAS Page 13 sur 43

14 5.1.2 L intégrité Le besoin d intégrité concerne aussi bien les conversations téléphoniques commutées par le PABX que la configuration de l autocommutateur. Atteindre la première déclinaison de ce besoin est difficile à mettre en œuvre car cela implique une modification en temps-réel de la conversation de ce qui suppose des moyens techniques importants. Si l objectif est la désinformation d un interlocuteur, il pourra plus simplement être réalisé par l usurpation de l identité d un interlocuteur en empruntant son poste ou par des techniques de manipulations sociales («social engineering»). La seconde déclinaison du besoin d intégrité porte sur la configuration du PABX. Elle peut induire, par exemple, des changements de droits des utilisateurs. Il n existe malheureusement pas d outil automatique permettant de satisfaire pleinement ce besoin. Seule une analyse régulière (par un audit par exemple) permettrait de mesurer les écarts entre une configuration théorique, consignée dans le volet technique d une politique de sécurité du PABX (PSSI), et la réalité La confidentialité La principale atteinte au besoin de confidentialité reste la possibilité d une écoute des communications. Qu il s agisse d une communication dite «privée» ou professionnelle, la perte de confidentialité d une communication téléphonique reste une menace aux multiples enjeux dont une responsabilité juridique évidente au regard de la loi du 10 juillet 1991 relative au secret des correspondances. Au delà de l aspect pénal, des informations sensibles d une communication téléphonique peuvent être interceptées. Lorsqu il existe un dispositif de messagerie vocale, là encore un nouveau besoin de confidentialité existe : il s agit de l écoute des messages vocaux destinés à un interlocuteur qui relève du même cadre juridique. 5.2 La menace La menace interne Comme pour tout système informatique, il est toujours plus facile de se protéger d une menace extérieure que d une menace interne. Cette menace est d autant plus variée que l aspect financier des communications téléphoniques est un élément non négligeable intéressant tous les types de personnels. Ainsi on peut, en interne, retrouver les profils de malveillance suivants : les «expérimentateurs» que l on peut rapprocher des pirates évoqués par la suite ; les personnes utilisant de manière abusive les services télématiques (Minitel rose, jeux) ; les personnes désirant passer des communications à titre personnel au frais de leur employeur ; les personnes offrant leur complicité à un autre type d agresseur se situant dans les autres catégories mais extérieur à l entité visée ; les personnes utilisant un autocommutateur à des fins d espionnage, de détournement de communications à l occasion de conflits interne ; etc La menace liée à la sous-traitance La forte spécificité et technicité de l administration d un autocommutateur implique que la gestion de cet équipement soit très souvent sous-traitée (totalement ou en partie). Tous les problèmes liés à la sous-traitance, en particulier le niveau de confiance donné au prestataire, viennent augmenter le niveau de la menace par difficulté de contrôle. En outre, cette menace ne se limite pas au seul prestataire chargé de l administration de l autocommutateur mais aussi à l ensemble des personnels extérieurs à l entité : entretien, gardiennage, etc. N /SGDN/DCSSI/SD/BAS Page 14 sur 43

15 5.2.3 Les services de renseignements Ces services possèdent potentiellement des moyens et techniques importants et efficaces. Il convient de s assurer, au regard de la sensibilité des informations véhiculées par le système téléphonique, si la mise en œuvre de technologies permettant de se protéger contre cette menace est nécessaire. En effet, les moyens de protection efficaces, dans ce contexte, peuvent être très coûteux en matériel et en exploitation La délinquance informatique à but lucratif Le fait de pouvoir tirer un profit financier d une malveillance sur un autocommutateur (appels longues distances facturés à la société) entraîne un intérêt tout particulier de certains délinquants pour ce genre de système. Il a pu être constaté, par exemple, des cas de réseaux organisés revendant des ressources téléphoniques «volées» à une société Les pirates Les pirates d autocommutateurs, aussi appelés «phreaker», sont des personnes seules, internes ou externes à l entité qui agissent pour leur propre compte ou pour le compte d autrui (acquisition de compétences, reconnaissance, vengeance, jeu/défi) avec ou sans but lucratif. D un point de vue légal, ces personnes restent des délinquants conformément à la loi n du 5 janvier 1988 du code pénal (loi Godfrain). La très grande majorité de ces pirates utilise des outils d attaque disponibles publiquement (sur Internet par exemple) sans réelle compréhension du fonctionnement technique de ceux-ci. Seul un nombre restreint (mais en constante évolution) de ces pirates sont inventifs, créatifs et capables de développer de nouveaux moyens d attaque. Le nombre restreint de site Internet «underground» traitant du sujet peut laisser croire que le monde des pirates d autocommutateurs ne dispose que d une faible communication et qu il n existe pas d outils faciles à mettre en œuvre. Un récent article de SecurityBugware disponible à l adresse repris par le bulletin d alerte CERTA-2002-ALE-005 émis par le CERTA, montre que la communauté des pirates dispose potentiellement de moyens d attaques librement diffusés sur l Internet. 5.3 Les impacts Contrairement aux systèmes informatiques de type serveur, les menaces pesant sur les autocommutateurs ont des impacts financiers élevés, facilement appréciables. Il est nécessaire de prendre également en compte les aspects juridiques (cas des écoutes) car la législation et la jurisprudence est plus développée que pour les systèmes de messagerie électronique par exemple Perte d exploitation Dans le cas d une société ou d une administration dont l activité est essentiellement fondée sur l outil téléphonique, l atteinte portée à un autocommutateur aura directement des répercussions sur la productivité : dans le cas d une activité commerciale, il peut s agir d une perte de commande ; il peut aussi s agir d un arrêt complet de la production si cette atteinte devait durer dans le temps ; dans le cas de services de secours, il peut s agir d une grave atteinte à leur capacité d exercer leur fonction Pertes financières Si un agresseur parvient à détourner un autocommutateur pour passer des communications non autorisées, les dépenses liées au service «téléphone» peuvent devenir très importantes. Les coûts engendrés par ce type d atteinte sont donc très facilement décelables par le biais de l analyse de la facturation. N /SGDN/DCSSI/SD/BAS Page 15 sur 43

16 5.3.3 Impact juridique Les usages malveillants et/ou illégaux opérés sur un autocommutateur peuvent entraîner de très forts impacts juridiques au sein de toute entité. Par exemple, tous les mécanismes d écoute, même s ils peuvent être techniquement très facilement mis en œuvre, exposent le responsable de ces écoutes à de très graves sanctions judiciaires Notoriété L autocommutateur étant bien souvent un moyen d accès privilégié à une entité, les problèmes de perte de disponibilité ou d intégrité peuvent avoir des conséquences sur l image de marque d une administration ou société. A titre d exemple, la modification des messages d accueil présentés aux appelants ou la saturation des liens (atteinte en disponibilité ou par mauvais dimensionnement) pourra avoir un impact très négatif auprès des personnes appelant. 5.4 Les victimes Les victimes de malveillance sur leur autocommutateur sont principalement les entités faisant un usage important de cet équipement en terme de volume et/ou de fonctionnalités : les sociétés ou administrations possédant une facturation importante. La détection d une fraude devient alors plus difficile du fait d un coût des fraudes qui peut représenter une faible proportion des coûts globaux ; les sociétés ou administrations ayant une facturation très variable. Ces variations empêchent la caractérisation précise d une fraude étant donné que le surcoût engendré par une fraude doit être distingué d un pic de communications «normal» ; les sociétés ou administrations utilisant un grand nombre de fonctionnalités des PABX. Comme pour un système d information «classique», le fait de multiplier les services offerts augmente les risques de malveillance ; les sociétés ou administrations offrant l hébergement d un service télématique ; les entités offrant l hébergement d un numéro unique 7 ; les collaborateurs ayant été les cibles d une malveillance telle que le détournement de leurs communications par exemple ; etc... 7 Numéro unique : appellation générique des appellations commerciales telles que numéro vert, indigo, etc... N /SGDN/DCSSI/SD/BAS Page 16 sur 43

17 6 Politique générale de la sécurité des systèmes d information Un document, la politique de sécurité d un SI (Système d Information) doit exister au sein de l organisme mettant en œuvre le SI. Parmi les règles relatives à la sécurisation d un autocommutateur présentes dans la PSSI, on doit retrouver au moins les éléments ci-dessous : la fonctionnalité du composant au sein du SI ; la liste des comptes d administration ainsi que les modalités de gestion de ces comptes dans le temps ; la liste des flux entrants/sortants vers/depuis le composant ; la liste des services lancés au démarrage ; la liste des services audités et leurs fichiers ; le suivi des mises à jour des versions des logiciels utilisés ; une copie des fichiers de configuration de tous les services et des fichiers de démarrage ; les mesures de sécurité physique mises en place ; la liste des correctifs et des modifications réalisées sur le composant ; les opérations d exploitation à mettre en œuvre sur le composant. Les recommandations énoncées dans tout ce document devraient également trouver leur place dans les règles de cette PSSI. Le lecteur pourra se reporter au document édité par la DCSSI «Guide pour l élaboration d une Politique de Sécurité Interne» (disponible sur le site internet de la DCSSI, pour plus d informations sur l établissement d une PSSI. N /SGDN/DCSSI/SD/BAS Page 17 sur 43

18 7 Principes fondamentaux de la SSI 7.1 Développer et implémenter une défense en profondeur Le principe de la défense en profondeur est de multiplier les protections d une ressource (information, composant, service...), à tous les niveaux où il est possible d agir. Ainsi, un agresseur devra passer outre plusieurs protections, de nature et de portée différentes, avant d accéder à la ressource. Ce principe doit être appliqué à tous les stades de la sécurisation d une ressource qu elle qu en soit sa nature : une donnée, une application, un système, un réseau, voire même le local hébergeant le système d information La sécurité des locaux et la sûreté de fonctionnement Ce document n a pas pour objectif de détailler les mesures de sécurité physique à mettre en œuvre pour l exploitation de systèmes d informations sensibles, les principaux points techniques nécessaires seront ici abordés sous l angle de leur sécurisation, sans entrer dans le détail technique de leur mise en œuvre. En particulier, les différents lots techniques, au sens bâtimentaire (incendie, climatisation,...) possèdent un grand nombre de contraintes techniques, réglementaires, légales ainsi que des interrelations qui ne seront pas détaillées dans ce document. Les règles essentielles de sécurité physique à prendre en compte dans la conception ou l aménagement de locaux, en vue de l installation de systèmes d information plus ou moins complexes et sensibles, recouvrent plusieurs éléments de nature différente mais interdépendants. Ces règles à appliquer sur tout ou partie de ces éléments doivent s inscrire en amont de toute autres actions, dont l objectif est de garantir en première instance, l accès physique, l intégrité et la disponibilité d un système d information et de ses données. Les situations géographiques, les implantations et les natures des constructions et des équipements d un site sont importantes au regard des risques naturels, de l environnement et des techniques mises en œuvre. n s attachera donc à examiner les points suivants : L environnement : La typologie des sols, magnétisme naturel, nappes phréatiques, résistance aux effondrements,... ; Les zones inondables, l indice kéraunique du lieu (impacts de foudre), les précipitations, vents dominants (par rapport au voisinage pour les prises d aération),... ; L existence de voies d accès au site et leur praticabilité ainsi que les dessertes V.R.D. (Viabilisation des Réseaux de Distribution) ; La nature de l implantation (zones urbaines, industrielles,...), la prise en compte du PS (Plan d ccupation des Sols) pour l emprise et les extensions bâtimentaires futures, la nature du voisinage (présence, d industries chimiques pouvant induire des pollutions importantes, d aéroports (crash), voies autoroutières ou transports suburbains (vibrations)),... ; L emprise et les bâtiments : L emprise avec son plan de masse indiquant la position, le type et la nature des clôtures, les voies internes de circulation, les diverses accessibilités, l espace réservé aux parkings (personnels, visiteurs),... ; Le gros œuvre, le type et la nature des bâtiments et des toitures (résistance aux charges résultantes des précipitations et jets d objets,...), écoulements des eaux usées et pluviales, positionnement des diverses canalisations,... ; Les lots de second œuvre et répartitions des locaux, type et nature des cloisonnements, modularité, répartition relative, issues (vitrages, portes,...),... ; Les lots techniques, généralités (énergie, ventilation, climatisation, détection/extinction incendie,...), implantation (usage dédié), type, nature, redondance (secours), renvois d alarmes sur défaillance. N /SGDN/DCSSI/SD/BAS Page 18 sur 43

19 Ce qu il faut prendre en compte prioritairement sur les lots techniques Avant tout, les locaux accueillants les lots techniques doivent être dédiés, l accès à ces derniers ou directement aux composants, ne doivent être accessibles que par des personnels qualifiés, internes ou externes (maintenance), en régime restrictif et contrôlés afin d abaisser les risques potentiels (malveillances, fausses manœuvres,...). Les agressions ou défaillances sur des éléments connexes au système d information peuvent concourir à son indisponibilité totale ou partielle. Pour cela, il y a nécessité de vérifier les points suivants : Énergie électrique Le local accueillant le poste de transformation MT/BT (Moyenne Tension/Basse Tension) doit, si possible, être implanté sur le site tout en laissant un accès, sous contrôle, au fournisseur (tête de câble). De même, la dernière chambre de tirage avant transformation devra se situer sur le site. Dans le cas ou une seconde arrivée serait mise place (secours), il sera nécessaire de négocier avec le fournisseur un tirage de ligne, pour ce qui est hors site, empruntant un chemin physique différent et venant d une sous station différente ; Le TGBT (Tableau Général Basse Tension) élément sensible de la première répartition de l énergie au sein du site, fera l objet d une attention dans sa localisation et son accessibilité. Par ailleurs, les locaux (ex : PABX (autocommutateur téléphonique), conception ancienne d onduleurs,...) renfermant des batteries et dont la composition est à base d acide, doivent être dédiés et isolés physiquement des matériels auxquels il sont raccordés. Ces locaux seront munis d une ventilation mécanique et aménagés électriquement en antidéflagrant. n vérifiera que les terres et masses (bâtiments, vérins supportant les faux planchers, matériels informatiques, PABX,...) sont conformes à la réglementation (ex : terres informatiques < ou = 1 hm,...). Dans la même optique, on s assurera que les divers revêtements de sols ou muraux sont anti-statiques. n veillera à ce que les divers ensembles électriques primaires soient munis de parasurtenseurs ou parafoudre afin de limiter les risques kérauniques sur les matériels pouvant se révéler sensibles aux variations induites sur les différents réseaux (PABX, serveurs,...) Secours énergie électrique Selon l importance du site (au regard de son infrastructure et de ses installations), un secours par groupe électrogène dédié ou partagé peut être envisagé. Sa localisation est des plus importantes. En effet, on peut être confronté à des problèmes relatifs aux vibrations, ainsi qu aux coups de bélier dûs aux ondes stationnaires (longueurs des tubes d échappements des gaz) si ce dernier se trouve en sous-sol ou rez-de-chaussée. Par ailleurs, il faudra s assurer de la présence d un bac de rétention de capacité supérieure à celle de la cuve à fuel de démarrage avec une évacuation conforme à l antipollution. L ensemble des matériels formant le système d information (serveurs, terminaux, imprimantes,...) doivent être raccordés sur un circuit ondulé (régulation) avec une disponibilité d un minimum de 1/4 d heure afin de permettre une extinction propre des systèmes. À ce sujet, l implantation de l onduleur (intermédiaire tampon, en cas de rupture d énergie, entre le fournisseur d énergie et le démarrage du groupe électrogène) ainsi que ses caractéristiques intrinsèques, seront étudiés de manière à ce que toute extension de matériels réclamant une énergie ondulée soit possible. Il est à noter que pour ce qui concerne les PABX, le maintien des batteries en tampon doit être au minimum de l ordre de 48 heures Climatisations et ventilations Les climatisations, quelles soient autonomes ou centralisées, associées aux ventilations sont des éléments dont l importance est vitale pour la vie des matériels (serveurs, PABX,..) par nature N /SGDN/DCSSI/SD/BAS Page 19 sur 43

20 fortement exothermiques. En effet, elles permettent de les réguler en température et hygrométrie évitant ainsi les surchauffes et diminuant par voie de conséquence le risque incendie. n prendra soin pour les climatisations de relever le type, la nature, et la puissance de dissipation frigorifique. L existence d une redondance, afin d assurer une forte disponibilité, est fortement conseillée. Pour produire du froid, l élément réfrigérant doit être compressé à partir de compresseurs euxmêmes devant être refroidis. Pour cela, des échangeurs thermiques (aérothermes) protégés en malveillance (blocage volontaire des pales de ventilation) devront être installés et disposés de manière à ce qu ils ne causent aucune nuisance sonore (vitesse des pales provocants des sifflements) ni vibratoire. Les VMC (Ventilation Mécanique Centralisé) seront judicieusement positionnées en particulier les prises d aération (au regard des pollutions de l environnement et des vents dominants). Les différentes conductions de ventilation (gaines, faux planchers/plafonds..) et les reprises d air doivent être vérifiées au moins une fois l an et les filtres changés selon l environnement deux à quatre fois par an. L ensemble climatisation/ventilation se doit d être asservi en arrêt sur une détection confirmée d incendie, afin de ne pas devenir un vecteur de propagation Incendie Indépendamment des obligations légales (IGH, (Immeubles de Grande Hauteur)...), il est nécessaire que les locaux accueillants les matériels du système d information ou y contribuant (onduleurs, cellules climatisation, énergie,...) soient protégés contre l incendie. À cet égard, on choisira la nature (flammes, températures, fumées,...) et le type de la détection (statique, différentiel, vélocimétrique,...) afin de l approprier au risque le plus probable (une solution mixte peut être envisagée). Des solutions, manuelles (extincteurs appropriés) ou automatiques (gaz non halogénés, eau pulvérisée,...), d extinction sont à mettre en œuvre pour compléter et agir rapidement sur l extinction d un incendie. Les locaux ainsi que les gaines de ventilation, faux planchers/plafonds devront périodiquement faire l objet d un dépoussiérage afin d éviter ce vecteur complémentaire d incendie. Des alarmes sonores et lumineuses locales avec renvoi vers un poste de surveillance devront accompagner l activation de ces détections. n relèvera la présence des d éléments combustibles (revêtement des parois,,...), lieux de stockage (papier,...), disposition relative des locaux, afin d agir sur ces éléments pour abaisser le risque d incendie. Enfin, il est indispensable d avoir à disposition des procédures et des consignes relatives à l incendie tant en prévention qu en action Dégâts des eaux Les locaux revêtant un caractère sensible au regard du système d information ou contribuant à sa disponibilité doivent être protégés contre le dégât des eaux (inondations, rupture de canalisation,...). Si en terme de confidentialité le positionnement en sous-sols semble remporter la faveur, il est indispensable que ces locaux soient dotés de faux planchers munis de détecteurs d humidité couplés à des pompes de relevage et rendus étanches au regard des étages supérieurs, ou s inscrire dans des unités totalement cuvelées Contrôles des accès anti-intrusion Dans le cadre général, un premier niveau de contrôle d accès (niveau de l enceinte du site), ainsi qu un second niveau (accès aux bâtiments), doivent être installés séparément ou confondus selon la nature du site, leur nature (contrôle humain, électronique, mixte...) et leur type (contrôle visuel, portiques, badges, cartes électronique...). Pour les locaux sensibles (serveurs, PABX,...), un contrôle d accès dans un régime restrictif quel qu en soit le type et la nature sera indépendant ou intégré aux autres contrôles d accès. N /SGDN/DCSSI/SD/BAS Page 20 sur 43