1. Ad Honores / FRC / Réserve Citoyenne Gendarmerie Alsace & Réserve Cyber
Johan Moreau (DSI IRCAD/IHU Strasbourg - VP Clusir-Est)
Actions prioritaires pour la
SSI dans une petite structure
Illustrations issues de http://frc.alsace (Copyright : Ad Honores) et http://clusir-est.org (Copyright : Clusir-Est)
2. Motivation
❖ Lancer des actions concrètes avec les entreprises du territoire
❖ Thème général permettant de lancer les discussions
❖ Permettre de se rencontrer pour identifier les acteurs en place
❖ Donner une feuille de route pour la suite
❖ Quel profil dans la salle ? (PDG ? DSI ? expert sécurité ? expert numérique ?
autre ?)
3. Chiffres récents
❖ 2016 : 68% des menaces visant le secteur de la santé sont perpétrées depuis l’intérieur de l’organisation
(source Data Breach Investigations Report 2017)
❖ Dernier trimestre 2016 : 266,5 millions de tentatives d’attaques par ransomware (source rapport annuel
SonicWall)
❖ Février 2017 - Panne cloud Amazon : 54 des plus 100 plus sites de e-commerce américain indisponibles,
estimation de la perte pour les sociétés S&P 500 à 150 millions de dollars, et celle des sociétés de services
financiers à 160 millions de dollars
❖ Mai 2017 - WannaCry : 200 000 victimes en un we (Renault, hôpitaux anglais, …)
❖ Mai 2017 - Panne British Airways : 75 000 personnes bloquées le weekend, erreur humaine
❖ Juin 2017 - Panne stockage OVH : Baie EMC indisponible, 50 000 sites indisponibles
❖ Septembre 2017 - Panne de 24H de la messagerie Microsoft et nombreux autres problèmes en Europe, raison ?
5. Méthodologie
❖ Synthèse des éléments de la littérature
❖ Convergence des termes
❖ Utilisation d’un référentiel commun
❖ Adaptation personnelle des résultats
6. Focus sur les 7 « rapides » à mettre en place
❖ Filtrage d’Internet en sortie, accès réseau,
supervision systèmes et réseaux
❖ Antivirus
❖ Sauvegarde/Disponibilité
❖ Durcissement et centralisation des accès
aux données
❖ Mise à jour logiciels
❖ Gestion et capitalisation (procédures/
politiques) des incidents et des demandes
❖ Chartes et sensibilisation/formation
7. Filtrage d’Internet en sortie, accès réseau, supervision systèmes et réseaux
Qui possède un firewall ? supervision ? wifi ? VLAN ?
Firewall de sortie
Outil de supervision avec tous les équipements sauf poste utilisateur
Mise à niveau du type de protection wifi et des VLAN
8. Antivirus
Qui possède un antivirus poste client/passerelle mail ?
Antivirus à jour centralisé
Analyse des mails entrants
9. Sauvegarde/Disponibilité
Qui possède fait des backup ? restauration ? où ? HA ?
Sauvegarde VM et données utilisateurs, test de restauration
Disponibilité des services les plus critiques
10. Durcissement et centralisation des accès aux données
Qui possède une centralisation des identités ? qui est sûr des comptes actifs ?
AD (je vois rien d’autre … ) avec données à jour
Politique de mots de passe
Limitation des accès aux données (partage/USB)
11. Mise à jour logiciels
Qui possède une centralisation des identités ? qui est sur des comptes actifs ?
Mise à jour logiciels des logiciels accessibles en direct (web -> poste client -> …)
12. Gestion et capitalisation (procédures/politiques) des incidents et des demandes
Qui enregistre ses incidents ?
Outil de tickets, document de procédure et schéma (base de connaissance)
13. Chartes et sensibilisation/formation
Qui possède une charte des usages du numérique ?
Mise en place d’une charte
Notification mail régulière sur des informations « grand public »
Formations concrètes et mises en place de procédures concrètes à appliquer
directement en cas de crise.
14. Travail sur long terme, en évolution permanente …
Merci de votre attention
15. Clusif et ANSSI
❖ Recommandations du Clusif :
❖ Sécuriser les échanges (chiffrement,
mot de passe, VPN)
❖ Structurer son réseau (FW, Antivirus,
isolement navigation interne/
confidentielle, dispo Internet)
❖ Vérifier les mises à jour
❖ S’assurer de la présence d’un pare-feu
❖ Protéger la vie privée des salariés
❖ Guide d’hygiène informatique de l’ANSSI :
❖ Connaître le système d’information (802.1X, procédure
arrivée/départ, inventaire, schéma)
❖ Authentifier et contrôler les accès (auth forte, mot de
passe fort pas par défaut et chiffré, ACL données, rôle)
❖ Sécuriser les postes (Antivirus, support amovible,
gestion centralisée, parefeu local, chiffrement,)
❖ Sécuriser le réseau (VLAN, WPA2, SSL sur les services,
proxy, reverse-proxy, TLS, VPN, accès physique
❖ Sécuriser l’administration
❖ Gérer le nomadisme
❖ Maintenir le système d’information à jour
❖ Superviser, auditer, réagir
16. ANSSI
❖ ANSSI (12 règles) :
❖ Mots de passe durcis
❖ Mise à jour logiciels
❖ Analyse des prestataires
❖ Sauvegarde
❖ Sécuriser les accès Wifi
❖ Sécuriser les smartphones
❖ Chiffrer les données en mobilité
❖ Sensibiliser sur la messagerie et la mobilité
❖ Utilisation de logiciels officiels
❖ Sensibiliser sur les paiements électroniques
❖ Séparation des usages pro/perso
❖ Sensibilisation sur les données personnelles
❖ ANSSI avec TV5 lors du SSTIC 2017 :
❖ Centraliser et séquestrer tous les logs réseau, serveurs et postes
❖ Créer un réseau d’administration filtré + postes dédiées + isoler les
interfaces d’admin des services
❖ Interdire la bureautique et la navigation internet aux comptes
privilégiés
❖ Tenir à jour un inventaire des comptes de service et de leurs
applications
❖ Eprouver régulièrement sa sécurité de manière variée
❖ Garder une maîtrise du SI propre à votre organisme
❖ Rationaliser les délégations et le filtrage de privilèges
❖ Empêcher techniquement la fuite de secrets d’administration par des
interdictions de connexions
❖ Tenir à jour une cartographie précise des réseaux, interconnexions et
accès internet
❖ S’entourer d’experts sécurité au plus tôt dans tout projet
17. CNIL et ATHENA
❖ CNIL :
❖ Mots de passe durcis
❖ Gestion des arrivées et départ des utilisateurs (pas de
comptes génériques)
❖ Sécurisation du poste de travail (mise en veille, ports USB, …)
❖ Limitation des accès aux données/ressources
❖ Imposer des contrats de confidentialité avec les prestataires
(et chiffrement)
❖ Sécuriser le réseau local (FW/Proxy) et VPN
❖ Sécuriser l’accès physique aux locaux
❖ Protéger contre le vol/fuites de données
❖ PSSI
❖ Chartes et sensibilisation
❖ ATHENA :
❖ Antivirus
❖ Sauvegarde
❖ Audit du code hébergée sur serveur
public
❖ Fuite de données
❖ Single Sign-On
❖ Authentification renforcée
❖ Chiffrement des données
18. NowTeam et Kaspersky
❖ NowTeam :
❖ Chartes et sensibilisation
❖ Filtrage d’Internet en sortie
❖ Gestion/Capitalisation des incidents et des demandes
❖ Supervision systèmes et réseaux
❖ Audit du SI
❖ Sauvegarde
❖ Messagerie externalisée
❖ Antivirus
❖ Limitation des accès aux données/ressources
❖ PRA
❖ Capitalisation sur un prestataire
❖ Kaspersky :
❖ Mise à jour logiciels
❖ Antivirus
❖ Mots de passe durcis et changements réguliers, pas de
réutilisation
❖ Sauvegarde
❖ Blocage des équipements USB externes
❖ Blocage des pièces jointes
❖ Chiffrement
❖ Hoax avec phishing
❖ Sensibiliser sur le HTTPS la source connue sur le web
❖ Utilisation d’un logiciel de mot de passe - blocage de ceux des
navigateurs
❖ Verrouillage de session
19. Clusif et ANSSI
❖ Recommandations du Clusif :
❖ Sécuriser les échanges (chiffrement,
mot de passe, VPN)
❖ Structurer son réseau (FW, Antivirus,
isolement navigation interne/
confidentielle, dispo Internet)
❖ Vérifier les mises à jour
❖ S’assurer de la présence d’un pare-feu
❖ Protéger la vie privée des salariés
❖ Guide d’hygiène informatique de l’ANSSI :
❖ Sensibiliser et former
❖ Connaître le système d’information (802.1X, procédure
arrivée/départ, inventaire, schéma)
❖ Authentifier et contrôler les accès (auth forte, mot de passe
fort pas par défaut et chiffré, ACL données, rôle)
❖ Sécuriser les postes (Antivirus, support amovible, gestion
centralisée, parefeu local, chiffrement)
❖ Sécuriser le réseau (VLAN, WPA2, SSL sur les services,
proxy, reverse-proxy, TLS, VPN, accès physique)
❖ Sécuriser l’administration
❖ Gérer le nomadisme
❖ Maintenir le système d’information à jour
❖ Superviser, auditer, réagir (sauvegarde)
20. ANSSI
❖ ANSSI (12 règles) :
❖ Mots de passe durcis
❖ Mise à jour logiciels
❖ Analyse des prestataires
❖ Sauvegarde
❖ Sécuriser les accès Wifi
❖ Sécuriser les smartphones
❖ Chiffrer les données en mobilité
❖ Sensibiliser sur la messagerie et la mobilité
❖ Utilisation de logiciels officiels
❖ Sensibiliser sur les paiements électroniques
❖ Séparation des usages pro/perso
❖ Sensibilisation sur les données personnelles
❖ ANSSI avec TV5 lors du SSTIC 2017 :
❖ Centraliser et séquestrer tous les logs réseau, serveurs et postes
❖ Créer un réseau d’administration filtré + postes dédiées + isoler les
interfaces d’admin des services
❖ Interdire la bureautique et la navigation internet aux comptes
privilégiés
❖ Tenir à jour un inventaire des comptes de service et de leurs
applications
❖ Eprouver régulièrement sa sécurité de manière variée
❖ Garder une maîtrise du SI propre à votre organisme
❖ Rationaliser les délégations et le filtrage de privilèges
❖ Empêcher techniquement la fuite de secrets d’administration par des
interdictions de connexions
❖ Tenir à jour une cartographie précise des réseaux, interconnexions et
accès internet
❖ S’entourer d’experts sécurité au plus tôt dans tout projet
21. CNIL et ATHENA
❖ CNIL :
❖ Mots de passe durcis
❖ Gestion des arrivées et départ des utilisateurs (pas de
comptes génériques)
❖ Sécurisation du poste de travail (mise en veille, ports USB, …)
❖ Limitation des accès aux données/ressources
❖ Imposer des contrats de confidentialité avec les prestataires
(et chiffrement)
❖ Sécuriser le réseau local (FW/Proxy) et VPN
❖ Sécuriser l’accès physique aux locaux
❖ Protéger contre le vol/fuites de données
❖ PSSI
❖ Chartes et sensibilisation
❖ ATHENA :
❖ Antivirus
❖ Sauvegarde
❖ Audit du code hébergée sur serveur
public
❖ Fuite de données
❖ Single Sign-On
❖ Authentification renforcée
❖ Chiffrement des données
22. NowTeam et Kaspersky
❖ NowTeam :
❖ Chartes et sensibilisation
❖ Filtrage d’Internet en sortie
❖ Gestion/Capitalisation des incidents et des demandes
❖ Supervision systèmes et réseaux
❖ Audit
❖ Sauvegarde
❖ Messagerie externalisée
❖ Antivirus
❖ Limitation des accès aux données/ressources
❖ PRA
❖ Capitalisation sur un prestataire
❖ Kaspersky :
❖ Mise à jour logiciels
❖ Antivirus
❖ Mots de passe durcis et changements réguliers, pas de
réutilisation
❖ Sauvegarde
❖ Blocage des équipements USB externes
❖ Blocage des pièces jointes
❖ Chiffrement
❖ Hoax avec phishing
❖ Sensibiliser sur le HTTPS la source connue sur le web
❖ Utilisation d’un logiciel de mot de passe - blocage de ceux des
navigateurs
❖ Verrouillage de session
23. Synthèse
❖ Chartes et sensibilisation
❖ Filtrage d’Internet en sortie, accès réseau,
Supervision/Structuration systèmes et
réseaux
❖ Gestion/Capitalisation (procédures/
politiques) des incidents et des
demandes
❖ Audit
❖ Sauvegarde
❖ Mise à jour logiciels
❖ Durcissement et centralisation des accès
aux données
❖ Chiffrement
❖ Antivirus
❖ Support amovible et nomadisme
24. Re-découpage en 2 groupes
❖ Filtrage d’Internet en sortie, accès réseau,
supervision systèmes et réseaux
❖ Antivirus
❖ Sauvegarde
❖ Durcissement et centralisation des accès
aux données
❖ Mise à jour logiciels
❖ Gestion et capitalisation (procédures/
politiques) des incidents et des demandes
❖ Chartes et sensibilisation
❖ Chiffrement
❖ Audit et conseil sécurité au plus tôt
❖ Support amovible et nomadisme
25. Est-ce uniquement un soucis pour les petits
❖ Firewall de sortie, outil de supervision avec tous
les équipements sauf poste utilisateur, mise à
niveau du type de protection wifi et des VLAN
❖ Antivirus à jour centralisé
❖ Sauvegarde VM et données utilisateurs, test de
restauration
❖ AD (je vois rien d’autre … ) avec données à jour
❖ Mise à jour logiciels
❖ Outil de ticket+CMDB à jour, document de
procédure et schéma
❖ Mise en place d’une chartes et notification mail
régulière sur des informations « grand public »
❖ Maintenir la supervision à jour implique
une liaison forte entre CMDB et supervision
❖ Antivirus à jour pas simple sur réseau
étendu avec une combinaison OS large
❖ Tests des sauvegardes complexes sur des
environnements complexes
❖ Mouvement de personnels et hiérarchie
❖ Système critique difficile à mettre à jour
❖ CMBD et processus lourds à maintenir
❖ Point moins difficile pour un grand compte