La sécurité informatique en entreprise

La sécurité informatique en entreprise est un bien vaste sujet qu’il serait impossible de parcourir en un article.

L’objectif de ce billet est uniquement de lister quelques principes de base qu’il incombe à toute entreprise responsable de respecter.

Mots de passe

Comptes utilisateurs

Avant de se lancer dans la technique, débutons par une évidence : attribuer 1234 à tous les utilisateurs de la société n’est pas un atout pour la sécurité. Il est peu probable que ceux-ci le modifient par la suite et celui-ci va faire des 1er testés lors d’une attaque par brute-force.

password-security

Inutile pour autant de mettre « .%hdD/bwsTfjd~F’=B ». Les utilisateurs vont en voudrons et le remplacera aussi vite que possible par le nom de leur enfant, de leur chien/chat/lapin ou de leur employeur (fréquent).

Difficile de définir pour autant un bon mot de passe, on peut dire qu’il ne doit pas pouvoir se deviner, atteindre les 6 à 8 caractères avec des chiffres et des lettres voir de la ponctuation, sans risque de confusion – les l/I et O/0 sont à éviter.

Un exemple de mot de passe que les utilisateurs acceptent de saisir chaque matin sans (trop) râler : YaBf9i. Pas trop difficile à mémoriser avec l’habitude mais long à « brute-forcer » et impossible à deviner.

Évidemment, le top, c’est de s’en passer. Et c’est possible ! Il existe en effet différentes solutions telles que les lecteurs de cartes, les clés USB (Rohos Login Key) ou un petit boitier Bluetooth qui déverrouille à proximité du poste (GateKeeper). Ce dernier nous fait d’ailleurs de l’œil même s’il reste onéreux.

Compte administrateur local

Dans la plupart des entreprises, on souhaite conserver un compte administrateur local sur chaque machine au cas où.

Pourquoi pas, mais à deux conditions :

  • Il doit être différent sur chaque poste. Microsoft fournit un outil (LAPS) qui le fait très bien et les stockent dans l’AD.
  • Renommer le compte administrateur, LAPS le gère également.

L’intérêt d’en avoir un différent sur chaque poste est qu’il est assez facile de le récupérer avec un accès physique et la possibilité de démarrer sur un DVD ou une clé USB, les outils ne manquent pas. Donc mieux vaut ne pas compromettre tous les postes d’un coup…

Autres équipements

Pour les autres équipements (réseaux notamment) ainsi que les applications critiques (monitoring, bases de données, sauvegardes, etc.), toujours privilégiez une authentification centralisée (Kerberos / LDAP). Si ce n’est pas possible, des comptes nominatifs sont un minimum. Et si ce n’est pas non plus possible… « .%hdD/bwsTfjd~F’=B » n’était pas si mal 🙂

Segmentation des réseaux

Dans nombre de petites entreprises, un seul réseau (un /24 de préférence) « héberge » tout le parc informatique : des postes de travail, des téléphones / tablettes en Wifi, des machines virtuelles, des hyperviseurs.

network2

Même si la confiance règne et qu’aucun salarié n’a l’intention de nuire à son employeur – du moins pour le moment -, cela a plusieurs impacts :

Tout d’abord, toute la sécurité repose sur les pare-feu de chaque machine, lesquels sont souvent mal configurés ou inexistants (j’en reparle plus bas). Une segmentation est donc un premier niveau de sécurité avec un pare-feu, logiciel ou matériel, chargé de filtrer les ports. Par exemple, un serveur de fichier n’a pas à être joignable depuis un poste lambda via RDP, un hôte ESXi par SSH, etc.

De plus, les UTM (Unified threat management), capables d’inspecter du L7, vont pouvoir bloquer le trafic inter-zones suspect (par ex, incohérence entre le port utilisé et les données échangées) en plus de celui en provenance de et vers Internet.

Ensuite cela permet de limiter le nombre d’équipements par réseau et donc :

  • La propagation des virus, malwares &co par voisinage réseau (Windows…)
  • Multiplier le nombre de domaines de broadcast et réduire la taille de chacun.

A minima, je dirais qu’il faut un minimum de deux réseaux, chacun encapsulé dans un VLAN dédié :

  • Un pour les postes finaux / utilisateurs
  • Un pour les serveurs

Selon les situations, on pourra en identifier d’autres, même dans une TPE :

  • Un pour le réseau Wifi invité
  • Un pour la téléphonie
  • etc.

Bien entendu, restons réalistes, il n’est non plus question d’avoir un subnet + VLAN par bureau de 3 personnes, cela en deviendrait ingérable ! N’oublions pas que le trafic inter-zones passe forcément par un routeur => équipement à dimensionner en conséquence + impact inévitable sur les performances du réseau.

Antivirus

Certains de mes collègues me considère (à juste titre) comme un véritable fanatique des antivirus.

computer virus

Ma maxime est la suivante :

Tout ordinateur connecté au réseau doit être protégé par une solution de sécurité

Par « tout ordinateur », je parle bien de tous les ordinateurs, qu’il s’agisse de postes fixes, de portables, d’un serveur, d’un vieux PC juste là pour gérer un antique PABX ou d’une station de monitoring, tous !

Par solution de sécurité, j’entends par là un produit capable d’analyser les fichiers, de bloquer le trafic internet suspect et, surtout, de remonter à une console centralisée tout incident.

Mesdames, messieurs les techniciens, ne comptez surtout pas sur les utilisateurs pour vous signaler les alertes, ils ne vous le diront jamais (et ne les lisent pas). Une remontée automatique est donc primordiale.

Deux exemples de solutions :

  • ESET avec Endpoint Protection pour les postes de travail, File Security pour les serveurs, Mail Security pour la messagerie et, surtout, Remote Administrator pour la console centralisée.
  • Kaspersky Endpoint Security for Business en édition Select ou plus, seul la Total prenant en charge les serveurs de messagerie.

J’utilise au quotidien la solution d’ESET qui est tout à fait satisfaisante et remonte également si des postes ont manqués des mises à jour du système et lorsque le firewall (en édition Standard, c’est celui de Windows) est désactivé. Le tout pour un prix assez abordable.

Précisons que les anti-virus ne sont pas réservés à Mac et Windows et qu’il est possible d’en installer sous Linux, notamment lorsqu’il s’agit de serveurs web ou de fichiers. Je n’ai en revanche jamais été confrontés à la question des smartphones et tablettes, en théorie ils peuvent être vulnérables comme n’importe quel PC et nécessiteraient donc un anti-virus. En pratique, tant qu’ils sont sur un réseau wifi invité isolé du réseau interne, ça ne me choque pas qu’ils s’en passent.

Pare-feu

Je parlais tout à l’heure de pare-feu pour segmenter les différents réseaux mais ceux présent sur chaque poste de travail ne sont pas à négliger pour autant.

firewall

Il est fréquent que les (apprenti-)informaticiens les désactivent car il est ensuite plus facile de prendre la main à distance. C’est exact, mais ce n’est pas une raison pour autant.

Tout d’abord, comme je l’expliquais dans la partie précédente, les anti-virus pour entreprises savent remonter les alertes de sécurité à la console centrale.

Le déploiement de logiciels et/ou de configuration à distance peut se faire par des GPO ou des logiciels de configurations centralisés (Puppet, Chef, Salt, etc.).

Quand à la prise de main à distance elle-même, on peut se limiter au RDP dont le port est connu et où il est possible de limiter les groupes autorisés et/ou à une solution en ligne (souvent payante) telle que TeamViewer ou LogMeIn.

Du côté des serveurs, un administrateur doit être à même d’identifier un à un les ports à ouvrir et vers où. Les réseaux dédiés au management permettent aussi d’éviter de laisser ouvert à tout le réseau des protocoles comme RDP et SSH.

Aucune raison donc de le désactiver !

Mises à jour

Une autre de mes spécialités est de suivre avec la plus grande attention la sortie de nouvelles mises à jour et d’appliquer aussi vite que possible tous les correctifs de sécurité.

Soyons honnête : cela peut parfois « quelques » problèmes, notamment lorsque certains (gros) éditeurs sortent des patchs avant de se rendre compte quelques jours tard que le remède est pire que le problème…

Dans un environnement interne, il me parait donc acceptable d’attendre quelques semaines avant de déployer un correctif de sécurité et jusqu’à plusieurs mois pour les nouvelles versions, le temps de valider le tout. Bien entendu, cela suppose que les contrats de maintenance restent actif pour l’ensemble des logiciels utilisés, ce qui a parfois un coût non-négligeable avec certains éditeurs (Veeam pour n’en citer qu’un).

Dans un environnement externe (cas typique : un serveur web), une course contre la montre s’engage bien souvent entre l’annonce d’une faille et le déploiement du correctif afin d’éviter un exploit. Il faut donc être réactif tout en prenant le temps de bien lire les releases notes pour connaître les impacts potentiels (qui a parlé de SSLv3 ?).

Beaucoup d’entreprises s’imaginent qu’elles n’ont pas à s’inquiéter car elles sont petites mais elles sont toutes aussi intéressantes pour les pirates car souvent très vulnérables… et prêtes à payer faute d’alternative (cas des ransomwares).

Formation des utilisateurs

PEBKAC : Problem Exists Between Keyboard And Chair

techsupport

Vous connaissez tous au moins un petite histoire avec un(e) utilisat(eur|rice) qui rencontre un « problème » avec son PC dont il/elle est la cause. La plupart du temps, on essaye d’expliquer le plus pédagogiquement possible en quoi c’était une mauvaise idée et comment bien faire et cela s’arrête là.

Seulement voilà : ces comportements « bizarres » à nos yeux peuvent avoir un impact non-négligeable. Cas typique : l’ouverture d’une pièce jointe vérolé, sur un poste sans antivirus tant qu’à faire.

Outre l’installation d’un antivirus, il est important de sensibiliser un minimum les utilisateurs à la sécurité sans les noyer sous du vocabulaire technique ou leur faire des reproches (la plupart sont de bonnes volontés).

Voici quelques points à évoquer :

Internet

Signaler s’il est nécessaire de réinitialiser son mot de passe pour accéder à un site, l’actuel ne marchant plus.

En cas de doute sur l’identité d’un site ou s’il y a une alerte de sécurité (SSL), demandez l’avis du SI avant de continuer.

Messagerie

Ne jamais ouvrir une pièce jointe dont l’on ne connait pas l’éditeur.

Installation de logiciels

Ne jamais essayer d’installer un logiciel par ses propres moyens sans en informer le service informatique.

Petit exemple datant de la semaine dernière : une utilisatrice se servait régulièrement sur son ancien poste d’un petit logiciel pour redimensionner ses photos. Problème : elle a depuis basculé dans un environnement RDS (Remote Desktop Services), où tout est contrôlé par GPO et elle ne peut donc plus l’installer (droits administrateur requis).

Deux possibilités s’offraient à elle :

  • Demander au prestataire informatique de l’installer (ce qu’elle a fait, merci à elle)
  • Télécharger une version portable et l’exécuter. Dans le dernier cas, rien ne dit que le fichier téléchargé correspond bien au programme attendu ni que celui-ci est bien clean. Autrement dit, elle aurait fait courir un risque à toute la société, tout ça pour retrouver plus rapidement ses habitudes.

Il faut donc sensibiliser les utilisateurs à ce qu’ils fassent systématiquement appel au service informatique ou à leur prestataire lorsqu’ils souhaitent un nouveau logiciel. Dans certains cas, ledit logiciel ou un équivalent est même déjà installé !

Ajoutons à cela le cas de certaines personnes, plus ou moins de bonne foi, qui vont essayer par tous les moyens d’installer ce logiciel absolument in-dis-pen-sa-ble trouvé cracké en version portable sur un obscure forum russe.

Pour conclure mon petit exemple, nous avons accéder à sa demande… et elle ne nous a jamais fait le moindre retour.

Dropbox

Ne pas installer Dropbox sauf contre-indication

Dropbox mérite bien une section à lui tant il y a d’utilisateurs qui l’installent sur leurs comptes sans ne rien demander à personne, ce logiciel n’ayant pas besoin de droits administrateurs (il va se nicher dans %AppData%).

Pour un service informatique, ce soft est une vraie plaie :

  • Il consomme de la ressource CPU et RAM, beaucoup
  • Il consomme de la bande passante, beaucoup
  • Il sert généralement aux employés à recopier des documents professionnels pour travailler chez eux. Sans autorisation évidemment.

Il me parait donc primordiale d’en informer les utilisateurs, qu’ils arrêtent d’installer ce truc d’eux-même sans que le SI aie à bloquer le processus par GPO. Heureusement pour les entreprises, les UTM savent le bloquer, et cela marche très bien 🙂

Et vous, quelles sont vos recommandations ?

1 réflexion sur « La sécurité informatique en entreprise »

  1. Les utilisateurs doivent s’impliquer et respecter les règles et les codes de bonne conduite lors de l’utilisation de leurs outils de travail informatiques. Cela est indispensable pour la protection et la sécurisation du système d’information. Le recours au professionnalisme d’un prestataire est un atout majeur pour l’entreprise. En effet, en externalisant tout ou une partie de son système d’information, l’entreprise bénéficiera des compétences techniques et des conseils de ce dernier.

    J'aime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s