Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Ce document pédagogique a été rédigé par un consortium regroupant des enseignan

Ce document pédagogique a été rédigé par un consortium regroupant des enseignants-chercheurs et des professionnels du secteur de la cybersécurité. Il est mis à disposition par l’ANSSI sous licence Creative Commons Attribution 3.0 France. Sensibilisation et initiation à la cybersécurité Module 2 : règles d’hygiène informatique 16/02/2017 Plan du module 1. Connaitre le Système d’Information 2. Maitriser le réseau 3. Sécuriser les terminaux 4. Gérer les utilisateurs 5. Sécuriser physiquement 6. Contrôler la sécurité du S.I. 16/02/2017 Sensibilisation et initiation à la cybersécurité 2 16/02/2017 Sensibilisation et initiation à la cybersécurité 3 1. Connaître le Système d’Information a) Identifier les composants du S.I. b) Inventorier les biens c) Types de réseau d) Interconnexion 4 Au-delà de la connaissance des composants du S.I., l’inventaire permettra par la suite de mieux déterminer les menaces et les mesures de protection applicables. Tout projet sécurité doit donc forcément intégrer un inventaire des biens. L’inventaire des biens doit suivre une méthodologie logique afin d’être exhaustif, en commençant par l’inventaire des métiers. 16/02/2017 Sensibilisation et initiation à la cybersécurité a. Identifier les composants du S.I. 1. Connaître le Système d’Information 5 Différents éléments composent le SI Routeur Box Smartphone Serveurs Tablette Ordinateur actifs primordiaux équipements processus métiers et données Comprendre son S.I. passe par l’identification de ses composants. Commutateur Applications Système d’exploitation IMEI : *#06# Adresse MAC éléments supports Ordre logique de réalisation de l’inventaire 16/02/2017 Sensibilisation et initiation à la cybersécurité a. Identifier les composants du S.I. 1. Connaître le Système d’Information 6 Identifier • Les données sensibles : – mots de passe, cartes de crédit, documents personnels, etc. – plan marketing, fichier client, brevets, contrats, etc. • Les applications avec leur version : Office 2010, navigateur web, etc. • Les systèmes d’exploitation : Android, iOS, Windows, Linux, MacOS, etc. • Equipements : ordinateur, tablette, téléphone, serveur, box, routeur, etc. Inventorier • Outil d’identification des ordinateurs en réseau – Exemple : ServiceNow, HP OpenView ; • Outil d’identification des logiciels installés sur un ordinateur/téléphone ainsi que des versions – Exemple : Everest. 16/02/2017 Sensibilisation et initiation à la cybersécurité b. Inventorier les biens 1. Connaître le Système d’Information 7 • BAN (Body Area Network) : réseau composé de télé transmetteur utilisé dans le domaine de la santé ; • PAN (Personal Area Network) : réseau centré autour d’une personne interconnectant ordinateur, téléphone, tablette, voiture... (moins de 10m) ; • WPAN (Wireless PAN) : réseau PAN sans fil utilisant des technologies telles que : IrDA, ZigBee, Bluetooth, Wireless USB ; • LAN (Local Area Network) : Réseau local interconnectant plusieurs périphériques et permettant l’échange d’informations entre plusieurs individus ; • MAN (Metropolitan Area Network) : réseau plus large qu’un LAN et étendu par exemple sur une ville ; • CAN (Campus Area Network) : réseau s’étendant sur plusieurs LAN, et de la taille d’une université ; • WAN (Wide Area Network) : réseau d’une étendue nationale ou internationale. Exemple : Internet. 16/02/2017 Sensibilisation et initiation à la cybersécurité c. Types de réseau 1. Connaître le Système d’Information 8 Connaitre et maîtriser les points d’interconnexion • Accès Internet via : – Box Internet (ADSL, Fibre, …) ; – téléphone/carte 3G/4G, etc. • Interconnexion avec d’autres réseaux (universités, partenaires, prestataires, etc.) – Liaison dédiée : E1/T1 carrier, fibre noire ; – Réseau privé virtuel (VPN) sur un WAN appartenant à un opérateur ou sur Internet ; – Liaison satellite. 16/02/2017 Sensibilisation et initiation à la cybersécurité d. Interconnexion 1. Connaître le Système d’Information 16/02/2017 Sensibilisation et initiation à la cybersécurité 9 2. Maitriser le réseau a) Sécuriser le réseau interne b) BYOD (Bring Your Own Device) c) Contrôler les échanges internes d) Protéger le réseau interne d’Internet e) Accès distant f) Sécuriser l’administration g) Wifi 10 Créer des zones dans le réseau interne • Zones distinctes pour les serveurs, postes de travail, visiteurs ; • Assurer la confiance par l’authentification mutuelle des composants : – chaque composant s’authentifie avant le début de l’échange ; – permet d’éviter l’usurpation d’identité. • Assurer le cloisonnement au moyen de : VLAN, VRF, sous-réseaux et ne pas oublier d’implémenter un mécanisme de filtrage ! Restreindre les accès aux réseaux internes • 802.1X permet de contrôler l’accès réseau et de s’assurer que l’autorisation n’est accordé qu’après authentification de l’utilisateur ; • Recourir à l’authentification avant d’autoriser l’accès au réseau : – l’authentification peut se faire par l’usage d’un certificat ou d’une carte à puce ; – l’authentification est centralisée sur un serveur qui donne les accès en fonction de l’identité de l’utilisateur (Exemple : Serveur Radius). 16/02/2017 Sensibilisation et initiation à la cybersécurité a. Sécuriser le réseau interne 2. Maitriser le réseau 11 • Le réseau permet de partager des informations, mais aussi de propager les infections de codes malveillants. • Les terminaux personnels n’ont pas le même niveau de sécurité que les terminaux de l’entreprise / université : – Sur un terminal personnel, un utilisateur installe les logiciels de son choix, avec la configuration de son choix. L’antivirus n’est pas forcément à jour ; – Sur un terminal professionnel, les logiciels sont installés de manière centralisée, et les sources vérifiées. • Les terminaux personnels sont connus pour être une source de fuite de données sensibles pour l’entreprise (de façon volontaire ou par erreur). Le S.I. est un tout, un maillon faible affaiblir tout l’ensemble. 16/02/2017 Sensibilisation et initiation à la cybersécurité b. BYOD (Bring Your Own Device) 2. Maitriser le réseau 12 • Filtrer les flux pouvant être échangés entre les zones : – identifier les ports réseau utiles ; – identifier les protocoles réseau autorisés ; – disposer d’une matrice de flux indiquant les flux autorisés et interdits entre les zones. • Autoriser explicitement des adresses IP (machines) d’une zone à échanger avec les adresses IP (machines) d’une autre zone – Utiliser une « liste blanche » d’adresse IP pour les échanges, et non pas une liste noire. Une liste noire ne peut en effet jamais être exhaustive, et est forcément d’un intérêt limité. Appliquer le principe « Tout ce qui n’est explicitement autorisé est interdit » lors de la gestion des flux. 16/02/2017 Sensibilisation et initiation à la cybersécurité c. Contrôler les échanges internes 2. Maitriser le réseau 13 • Le réseau interne est à protéger et est considéré comme « de confiance » ; • Les équipements interagissant avec Internet peuvent être – placés dans une zone spéciale appelée « Zone Démilitarisée (DMZ) » ; • avec un niveau de filtrage et de contrôle plus accru que le réseau interne. – protégés d’Internet par des « pare-feux » filtrant les échanges de flux • Équipement dédié protégeant le réseau ou logiciel « pare-feu personnel » – protégés derrière des IDS et des IPS qui peuvent • détecter les tentatives d’intrusion ; • prévenir les attaques. – sous Windows, utiliser le pare-feu par défaut ou un pare-feu tiers (exemple Zone Alarm) ; – toujours contrôler les connexions entrantes ; – autoriser les applications au travers du pare-feu, au cas par cas. 16/02/2017 Sensibilisation et initiation à la cybersécurité d. Protéger le réseau interne d’Internet 2. Maitriser le réseau 14 • Il est possible d’accéder à distance à un réseau pour faire : – du télétravail ; – de la téléassistance ; – de la téléadministration. • Il est recommandé d’avoir des points d’entrée identifiés pour les accès distants : – Serveurs d’authentification : TACACS+, RADIUS ; – Concentrateurs VPN ; – Remote Access Server (RAS). 16/02/2017 Sensibilisation et initiation à la cybersécurité e. Accès distant 2. Maitriser le réseau 15 • Utiliser des moyens sécurisés pour les accès distants : – SSH au lieu de telnet : pour l’établissement de connexion à distance sur un équipement ; – Secure remote desktop : pour la prise en main à distance d’un bureau ; – SFTP ou SCP : pour la copie distante ; – HTTPS : pour l’accès à une interface Web (Exemple : Teamviewer) ; – Réseau Privé Virtuel (VPN) établit sur un réseau qu’on ne maitrise pas, tel que Internet : • VPN IPSEC : permet l’authentification et le chiffrement. Il est utilisé pour protéger le trafic réseau ; • VPN SSL : protège essentiellement le trafic Web, et est facile à déployer. 16/02/2017 Sensibilisation et initiation à la cybersécurité e. Accès distant 2. Maitriser le réseau 16 • Restreindre/Interdire les interfaces d’administration depuis Internet – L’administration d’un composant ne doit pouvoir se faire que depuis le réseau interne (ouvrir un accès VPN en cas de nécessité d’accéder à distance) ; • Restreindre les accès aux interfaces d’administration sur les sites Web : – Pour des sites web développés avec des CMS (Content Management System) comme Joomla ou WordPress : • Le lien de la page d’administration peut être facilement trouvé (sauf à la modifier) ; • Des attaques en « brute force » peuvent être menées pour deviner le mot de passe administrateur ; • Modifier le compte « admin » par défaut. • Utiliser un réseau d’administration dédié : – Ce réseau doit être séparé du réseau uploads/Ingenierie_Lourd/ cyberedu-module-2-hygiene-informatique-02-2017.pdf