Bonnes pratiques en SSI Présentation OzSSI - CDG 54 1
Sommaire Présentation de l OZSSI Est La sécurité informatique...quelques chiffres Focus collectivités locales Les bonnes pratiques en SSI Les recommandations de l ANSSI Les recommandations de l OZSSI Est Pour aller plus loin... Présentation OzSSI - CDG 54 2
OZSSI...en quelques mots L OZSSI existe depuis 15 ans, il est au service des administrations et services publics de la Zone de Défense Est (2 régions 18 départements 160 correspondants), et plus précisément : des services déconcentrés de l'etat ; des collectivités territoriales (mairies, conseils régionaux, conseils généraux, etc.) ; des organismes ayant une mission de service public ; des opérateurs d importance vitale (énergie, communication, santé,...) ; des organismes «métier» (chambres de commerce et de l industrie). 19% 9% Panel entités Administration OIV 27% 4% 41% Chambre professionnelle Collectivité locale Rectorat/université Présentation OzSSI - CDG 54 3
OZSSI Animé par le Pôle Défense & SSI de la DSIC du SGAMI Est (Ministère de l Intérieur), basé sur la participation volontaire, le partage, le soutien et la mise en commun de l expérience et des connaissances, l OZSSI contribue à la sécurité des systèmes d information de manière globale : échange, expertise, formations ; alertes et mise à disposition de solutions après expertise CERT-FR et du COSSI ; audits SSI et conseils dans le cadre de la Commission Zonale de Défense et de Sécurité des Secteurs d Activité d Importance Vitale (CZDSSAIV) et pour le Comité Régional de l Intelligence Economique Territorial de Lorraine et d Alsace (CRIET) sensibilisation des entreprises à la SSI dans le cadre des CRIET Présentation OzSSI - CDG 54 4
OZSSI Bilan des actions 2013/2014 : formation SSI en novembre 2014 (sujets abordés : sécurité des smartphones, rôle de l ANSSI, vulnérabilités des protocoles sans fil, les réseaux sociaux, la veille sécurité, etc.) réunion plénière du 20 novembre 2013 : sensibilisation des décideurs divers : CRIET Alsace (avril 2014), CRIET Lorraine (mars 2014), Cogito Expo13 (novembre 2013), Cogito Expo14 (octobre 2014) colloque interrégional itinérant des universités, CLUSIR Alsace/Lorraine (décembre 2013). https://www.ozssi.interieur.gouv.fr Présentation OzSSI - CDG 54 5
La sécurité informatique Quelques chiffres... 8 % (seulement!) de sites internet français sont exempts de faille (sur 100 sites audités) 50 % des menaces sur la sécurité du système d information (SI) sont provoquées par l utilisateur 61,5 % du trafic internet n est pas d origine humaine mais généré par des robots (bots) et la moitié est consacré à des actes malveillants Source INCAPSULA et IRON MOUNTAIN 85 % des utilisateurs utilisent des supports personnels sans avoir obtenu une autorisation préalable de leur hiérarchie 90% des entreprises qui subissent des pertes de données significatives mettent la clé sous la porte dans les deux ans qui suivent. Source CHAMBRE DE COMMERCE DE LONDRES Source ATHENA GLOBAL SERVICES Présentation OzSSI - CDG 54 6
La sécurité informatique Pourquoi les systèmes sont vulnérables : La sécurité est chère et parfois difficile à mettre en œuvre (les petites structures n ont pas toujours les budgets nécessaires). La sécurité n est pas efficace à 100 % : de nouvelles technologies (et donc vulnérabilités) émergent en permanence erreurs humaines : les systèmes de sécurité sont faits, gérés et configurés par des hommes. La mise en place d une politique de sécurité est complexe et basée sur des jugements humains. Les différentes organisations acceptent de courir le risque, la sécurité n est pas une priorité. Présentation OzSSI - CDG 54 7
Focus collectivités locales - contexte Chaque année, des centaines de sites internet de mairies, de conseils généraux et de conseils régionaux sont victimes d attaques informatiques. Certaines données intéressent plus particulièrement les attaquants : documents budgétaires schémas d aménagement État-civil études foncières messagerie électronique etc... Présentation OzSSI - CDG 54 8
Focus collectivités locales état des lieux La majorité des collectivités locales rencontrent des difficultés pour : identifier les risques SSI liés à leur activité évaluer les éventuelles pertes liées à un sinistre La perception de la sécurité est la suivante : complexe : mise en place du politique de sécurité, sensibilisation du personnel, etc. peu compréhensible : architecture technique, règles,... à priori coûteuse : matériel, ressource interne ou prestation,... et chronophage : la priorité étant donnée au métier (services au public,...) Présentation OzSSI - CDG 54 9
Focus collectivités locales les menaces Une sécurisation du SI, pour pallier aux... Menaces classiques : interruptions de service (pannes) virus et programmes malveillants vols de données escroqueries sur internet Présentation OzSSI - CDG 54 10
Focus collectivités locales les menaces Nouvelles menaces : BYOD (Bring Your Own Device) : utiliser son propre smartphone, tablette ou ordinateur au travail en se connectant au réseau professionnel. Plusieurs dangers liés : au terminal : pas conçu pour un usage professionnel et, nativement, les données ne sont pas cryptées; le système d exploitation, ainsi que le navigateur, ne sont pas sécurisés à la sécurité du SI de la collectivité vis-à-vis du terminal à l utilisateur : perte ou vol du terminal (des données sensibles de la collectivité peuvent se retrouver «dans la nature») Présentation OzSSI - CDG 54 11
Focus collectivités locales les menaces Les réseaux sociaux : 15 % des salariés sont responsables de fuites d informations confidentielles (étude Lexi 2011) des attaques (cf. page suivante) de plus en plus sophistiquées (par le biais de la messagerie, des sites internet, des réseaux sociaux) la dématérialisation Présentation OzSSI - CDG 54 12
Focus collectivités locales - attaques On peut classifier ces attaques en deux catégories... Les attaques bien «visibles» : défiguration de site (modification frauduleuse de l aspect du site internet) rançongiciel ou ransomware / filoutage ou phishing (blocage du PC par un virus et déblocage contre paiement) (arnaque dans le but de perpétrer une usurpation d'identité) Les attaques «discrètes» : vol ou modification frauduleuse des données gérées par la collectivité (par ex. les données bancaires des administrés accédant aux services payants de la commune : cantine scolaire, etc.) utilisation abusive des systèmes informatiques de la collectivité à son insu (comme l hébergement de données illicites : pédo-pornographie, terrorisme, etc.) Présentation OzSSI - CDG 54 13
Focus collectivités locales - conséquences Les conséquences peuvent être très graves pour la collectivité concernée : Perte d image et de confiance Services indisponibles Responsabilité de l autorité engagée Présentation OzSSI - CDG 54 14
Comment réagir? Se poser les bonnes questions avant d agir : Maîtrise de la sécurité d accès au SI? Quelles sont les données à protéger (sensibles)? Conséquences en cas de perte ou de vol des données? Budget pour la mise en place d outils de sécurité? Y a-t-il une personne désignée au sein de la collectivité pour traiter les problèmes SSI? Lister les risques et le niveau d acceptation : risque = vulnérabilité x menace x impact lister de manière simple (tableau), ou mieux, en utilisant une méthode d analyse de risque : EBIOS (ANSSI), MEHARI (CLUSIF) Prioriser les actions et agir (en se basant sur des bonnes pratiques SSI) Présentation OzSSI - CDG 54 15
Comment se protéger? Guide d hygiène informatique (ANSSI) - 13 chapitres Règles et mesures techniques simples (bonnes pratiques SSI). I. Connaître le système d information et ses utilisateurs II. Maîtriser le réseau III. Mettre à niveau les logiciels IV. Authentifier l utilisateur V. Sécuriser les équipements terminaux VI. Sécuriser l intérieur du réseau VII. Protéger le réseau interne de l Internet VIII. Surveiller les systèmes IX. Sécuriser l administration du réseau X. Contrôler l accès aux locaux et la sécurité physique XI. Organiser la réaction en cas d incident XII. Sensibiliser XIII. Faire auditer la sécurité Présentation OzSSI - CDG 54 16
Les bonnes pratiques I. Connaître le système d information et ses utilisateurs : 1. Cartographie précise du SI : liste des ressources matérielles, logicielles architecture réseau le tout devant être maintenu à jour 2. Inventaire des comptes : administrateur utilisateur avec privilèges simple utilisateur 3. Circuit arrivée / départ pour la gestion : des comptes (informatiques) des accès aux locaux des équipements mobiles de l accès aux documents sensibles des habilitations du personnel Présentation OzSSI - CDG 54 17
Les bonnes pratiques II. Maîtriser le réseau : 1. Limiter le nombre d accès à internet 2. Connexion d équipements personnels au SI (BYOD) : idéalement : interdiction à défaut, mettre en place des mesures : sensibilisation des employés solutions techniques sur les terminaux : antivirus, authentification, chiffrement des données,... contrôle des accès, contrôle des flux...sur le SI de la collectivité Présentation OzSSI - CDG 54 18
Les bonnes pratiques une alternative : le COPE (Corporate owned personally enabled) : utilisation d un terminal de la collectivité pour un usage personnel et professionnel gestion des terminaux grâce à une application de MDM (Mobile Device Management) : effacement de données, prise de contrôle, installation, restauration, mise à jour Présentation OzSSI - CDG 54 19
Les bonnes pratiques III. Mettre à niveau les logiciels : (99 % des attaques exploitent des failles liées aux mises à jour non faites) : 1. Modalités de mises à jour / information vulnérabilités : ne plus utiliser les composants logiciels qui ne sont / ne peuvent plus être mis à jour télécharger les mises à jour sur des sites de confiance (éditeurs) suivre les sources d information susceptibles de remonter des vulnérabilités 2. Définir une politique de mise à jour et l appliquer : sous la forme d un simple tableau (composants à mettre à jour, rôle et responsabilité des acteurs, moyens de récupération des mises à jour) dans la mesure du possible, utiliser un outil dédié (WSUS pour Microsoft) isoler du réseau les systèmes obsolètes (fin du support Windows Server 2003 en juillet 2015). Présentation OzSSI - CDG 54 20
Les bonnes pratiques IV. Authentifier l utilisateur : 1. Choix et dimensionnement du mot de passe : utiliser un mot de passe pour chaque service (distinguer messagerie personnelle / professionnelle, par application,...) ne doit pas être en lien avec votre personne (nom, prénom, date de naissance, etc.) modifier les mots de passe par défaut (du type «password»,...) renouveler votre mot de passe (90 jours), ne pas le stocker (dans un fichier), ne pas l écrire, ne pas l envoyer par messagerie configurez les logiciels, y compris votre navigateur web, pour qu ils ne se "souviennent" pas des mots de passe choisis Présentation OzSSI - CDG 54 21
Les bonnes pratiques. choisissez un mot de passe robuste : minimum 8 caractères (mieux 12) et combiner majuscules, minuscules, chiffres, caractères spéciaux. deux méthodes pour choisir vos mots de passe : la méthode phonétique : «J ai acheté huit cd pour cent euros cet après midi» deviendra ght8cd%e7am. la méthode des premières lettres : la même phrase donnera donnera J aa8cdp100 cam. 2. Identifier nommément chaque personne ayant accès au système : pas de compte générique que des comptes personnels possibilité d utiliser des comptes techniques (de service), non attribués à une personne physique, mais reliés à un service, un métier ou une application Présentation OzSSI - CDG 54 22
Les bonnes pratiques 3. Mettre en place des règles/outils pour l authentification : blocage des comptes tous les 6 mois si MDP inchangé pas de démarrage du poste de travail sans identification au préalable (autologon) 4. Privilégier une authentification forte (si possible), par carte à puce Présentation OzSSI - CDG 54 23
V. Sécuriser les terminaux : Les bonnes pratiques 1. Un niveau de sécurité homogène sur l ensemble des terminaux : utilisation d un pare-feu personnel (blocage des connexions entrantes) désactivation du démarrage sur supports amovibles configuration fine au niveau applicatif : messagerie, navigateur, suites bureautique. 2. Gestion des supports amovibles : il n est pas réaliste d interdire leur connexion mais, à minima, identifier les machines sur lesquelles la connexion est nécessaire et interdire l exécution automatique de code (AutoRUN) depuis des supports amovibles mise en place de stations blanches (pour le contrôle), attention que ces systèmes ne deviennent pas, à leur tour, un point névralgique du SI (les maîtriser!) Présentation OzSSI - CDG 54 24
Les bonnes pratiques 3. Gestion du parc informatique : utilisation d un outil de gestion de parc (du type OCS-GLPI) afin d assurer les suivi des terminaux 4. Terminaux nomades : les postes nomades doivent bénéficier au moins des mêmes mesures de sécurité que les postes fixes + le renforcement de certaines fonctions de sécurité : chiffrement du disque, authentification renforcée, etc. Présentation OzSSI - CDG 54 25
Les bonnes pratiques 5. Connexions à distance sur les postes clients ou serveurs de la collectivité : logiciels de prise de contrôle à distance (par ex.teamviewer) : problème de sécurité et le PC piloté doit être sous tension mieux : services de partage de fichiers (Owncloud, etc.) gestion électronique de documents à défaut, mise en place d un VPN (tunnel données chiffrées) 6. Chiffrement des données sensibles : la perte ou le vol d un équipement (ou support) mobile ou nomade peut-être lourd de conséquences pour la collectivité : Chiffrement de tout ou partie (partition) du disque (TrueCrypt, RealCrypt,...) Présentation OzSSI - CDG 54 26
VI. Sécuriser l intérieur du réseau : 1. WIFI : Les bonnes pratiques éviter l usage d infrastructure Wifi si Wifi utilisé : cloisonner le réseau Wifi du reste du système d information chiffrement : avec une clé WPA ou WPA2 plutôt que WEP 2. Utiliser des applications et protocoles sécurisés : les applications métier doivent être développées en considérant les failles (audit de code) utiliser les protocoles sécurisés (SSH, HTTPS) sur le réseau de la collectivité Présentation OzSSI - CDG 54 27
Les bonnes pratiques VII. Protéger le réseau interne de l extérieur : 1. Sécuriser les passerelles d interconnexion avec Internet (cloisonnement entre l accès Internet, la zone de service DMZ et le réseau interne) 2. Pas d interface d administration accessible depuis internet : de nombreux équipements (imprimantes, serveurs, routeurs, etc.) mais également certains équipements industriels comportent des interfaces d administration (SCADA) qui sont activées par défaut les activer qu en cas d action explicite de l administrateur Présentation OzSSI - CDG 54 28
Les bonnes pratiques VIII. Surveiller les systèmes : 1. Supervision des systèmes et des réseaux afin de réagir rapidement en cas de : connexion d un utilisateur en dehors de ses horaires / congés transfert massif de données vers l extérieur tentatives de connexions répétées sur un service... 2. Journaliser les événements et plus particulièrement : la liste des accès aux comptes de messagerie les accès aux machines ou aux ressources sensibles de la collectivité Présentation OzSSI - CDG 54 29
Les bonnes pratiques IX. Sécuriser l administration du réseau : 1. Interdire tout accès à internet depuis les machines des administrateurs : 2. Réseau dédié pour l administration des équipements : cloisonnement physique à défaut, cloisonnement logique cryptographique basé sur la mise en place de tunnel IPsec à minima, cloisonnement logique par VLAN 3. Pas de droits administrateurs aux utilisateurs, afin d éviter : l installation de logiciels la connexion d équipements personnels, etc... Présentation OzSSI - CDG 54 30
Les bonnes pratiques X. Contrôler l accès aux locaux et la sécurité physique : 1. Utiliser des mécanismes robustes de contrôle d accès aux locaux : badges à défaut : digicode, clés,... 2. Gestion des badges, clés et des codes d alarme : penser à récupérer les badges, les clés d un employé à son départ définitif du service changer fréquemment les codes des alarmes du service ne jamais confier à des prestataires extérieurs un badge, une clé ou un code d alarme Présentation OzSSI - CDG 54 31
Les bonnes pratiques 3. Pas d accès au réseau interne accessible dans les endroits publics : imprimantes ou photocopieurs entreposés dans un couloir téléphones prises réseau dans une salle d attente éviter également le passage de câble réseau dans les lieux publics 4. Définir les règles d utilisation des imprimantes et des photocopieurs : authentification avant impression détruire les documents oubliés sur l imprimante broyer les documents plutôt que de les mettre à la corbeille Présentation OzSSI - CDG 54 32
Les bonnes pratiques XI. Organiser la réaction en cas d incident : 1. Sauvegarder les données essentielles du service : sauvegarde incrémentale journalière et totale chaque semaine sauvegarde automatique sur les serveurs de fichiers vérifier le bon déroulement des sauvegardes stocker les sauvegardes (disques, bandes) dans un lieu distinct et protégé (coffre, local sécurisé, etc.) 2. Réagir en cas d infection (virale) d un terminal : isoler les machines infectées (débrancher le câble réseau) ne pas éteindre électriquement les machines infectées réinstallation intégralement la machine après copie des disques si elle doit être remise en service, ne pas se contenter d une simple restauration ou d un «nettoyage» Présentation OzSSI - CDG 54 33
Les bonnes pratiques XII. Sensibiliser : Chaque utilisateur devrait se voir rappeler (au minimum chaque année) que : les informations traitées doivent être considérées comme sensibles la sécurité de ces informations repose, entre autres, sur l exemplarité de leur comportement et le respect des règles élémentaires d hygiène informatique et notamment : respect de la politique de sécurité (si elle existe...) verrouillage systématique de la session lorsque l utilisateur quitte son poste de travail non-connexion d équipements personnels au réseau de la collectivité signalement des événements suspects etc... Le respect des règles d hygiène qui concernent les utilisateurs devraient figurer dans une charte d usage des moyens informatiques visée par chaque utilisateur (cf.exemple). Présentation OzSSI - CDG 54 34
Les bonnes pratiques XIII. Faire auditer la sécurité: Réalisation d audits techniques sur le SI afin de constater (ou non) l efficacité des mesures mises en œuvre sur le terrain. Chaque audit permettra de définir un plan d actions correctives à mettre en œuvre et de faire un suivi (réunions). Pour une plus grande efficacité, un tableau de bord (indicateurs) pourra synthétiser l avancement du plan d action Présentation OzSSI - CDG 54 35
Cas particulier de l infogérance Infogérance : lorsqu une entité confie à un tiers tout ou partie de la gestion de son SI. 1er cas : 2ème cas : le prestataire intervient sur le SI interne de l entité les données de l entité sont hébergées par un prestataire Cloud Computing Les risques : 1) Risques de perte de la maîtrise du système d information : fiabilité du prestataire, sous-traitance en cascade localisation des données non maîtrisée conséquences des choix techniques du prestataire Présentation OzSSI - CDG 54 36
Cas particulier de l infogérance 2) Risques liés aux interventions à distance : intrusion sur le SI en exploitant une faiblesse du dispositif abus de droits par un technicien (prestataire) peuvent entraîner l indisponibilité du SI / atteintes à la confidentialité et à l intégrité des données 3) Risques liés à l hébergement mutualisé : partage des ressources (réseau, matériel, logiciel) avec d autres clients confidentialité (accès aux données) moyens insuffisants mis en place par le prestataire (sécurité, environnement,...) Présentation OzSSI - CDG 54 37
Se protéger : Cas particulier de l infogérance étudier attentivement les conditions des offres des prestataires (et les adapter à ses besoins spécifiques) imposer une liste d exigences précises au prestataire : du type hébergement sur serveurs dédiés taux de disponibilité délais d intervention, accès au support technique réversibilité du contrat : restitution des données... exiger un contrat de services (engagements du prestataire) Présentation OzSSI - CDG 54 38
Pour résumé... 10 règles de base: Mots de passe robustes Mise à jour des systèmes d exploitation et des logiciels Effectuer des sauvegardes régulières Se méfier des supports externes Sécurisez votre point d accès Wi-Fi Téléchargez les programmes sur les sites de leurs éditeurs Séparez vos usages personnels de vos usages professionnels Chiffrer les données sensibles de son poste de travail et l intégralité du contenu d un équipement destiné au nomadisme Soyez prudent lors de l ouverture d un mail (Spam, lien...) Discrétion et méfiance vis à vis des réseaux sociaux (fuites d informations) Présentation OzSSI - CDG 54 39
Les recommandations ANSSI Guide d hygiène informatique http://www.ssi.gouv.fr/img/pdf/guide_hygiene_informatique_anssi.pdf Se prémunir contre les attaques et comment réagir quand elles arrivent http://www.ssi.gouv.fr/img/pdf/fiche_des_bonnes_pratiques_en_cybersecurite.pdf http://www.ssi.gouv.fr/img/pdf/fiche_d_information_administrateurs.pdf Recommandations pour la sécurisation des sites web http://www.ssi.gouv.fr/img/pdf/np_securite_web_notetech.pdf Sensibilisation collectivités locales http://www.ssi.gouv.fr/img/pdf/sensibilisation_collectivites_locales-anssi.pdf Passeport de conseils aux voyageurs http://www.ssi.gouv.fr/img/pdf/passeport_voyageurs_anssi.pdf d autres encore...http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/ Présentation OzSSI - CDG 54 40
Les recommandations de l OZSSI-Est Poste de travail Smartphone Supports de stockage amovibles Ordinateurs portables et tablettes Présentation OzSSI - CDG 54 41
Pour aller plus loin... CERT-FR : Centre gouvertemental de veille, d alerte et de réponse aux attaques informatiques http://cert.ssi.gouv.fr/ Site de l OWASP (Open Web Application Security Project) et notamment le Top 10 des failles de sécurité https://www.owasp.org/index.php/top10#owasp_top_10_for_2013 Tester la robustesse de son mot de passe : http://www.passwordmeter.com/ Site du CLUSIF Club de la Sécurité de l Information Français https://www.clusif.asso.fr/ http://www.clusir-est.org/ Sites d actualité SSI grand public http://www.zataz.com/ Présentation OzSSI - CDG 54 42
Merci des questions? contact : ssi57@interieur.gouv.fr vincent.berviller@interieur.gouv.fr Présentation OzSSI - CDG 54 43