La série de recommandations de l’ANSSI est un outil d’aide à la décision pour des entités qui envisagent un hébergement cloud pour leurs systèmes d’information (SI) sensibles. Dans une moindre mesure, ce guide apporte les informations à toute personne qui souhaite déposer ses données personnelles dans un cloud quelconque. Faites-en bonne lecture.
Pour répondre aux enjeux de sécurité liés au cloud, l’ANSSI a développé une série de recommandations pour l’hébergement dans ce dernier qui précisent, en fonction du type de système d’information (SI), de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier.
La série de recommandations de l’ANSSI constitue un outil d’aide à la décision pour les entités qui envisagent un hébergement cloud pour leurs systèmes d’information de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d’information d’importance vitale (SIIV).
Il est à noter que ces recommandations ne s’appliquent pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud. Elles s’inscrivent, par ailleurs, en cohérence avec la doctrine « cloud au centre » de l’État.
Ce guide traite de l'authentification pour tout type d'accès, c'est-à-dire du déverrouillage d'un terminal (poste Windows, Linux, etc.), de l'accès à des comptes à privilèges (par des administrateurs par exemple), de l'accès à des applications web (privées ou publiques), etc.
Les recommandations de ce guide doivent être analysées vis-à-vis du contexte dans lequel l'authentification s'effectue.
En effet, l'authentification sur un site de réservation d'un terrain de tennis et l'authentification sur un réseau contenant des données sensibles ne font pas face aux mêmes menaces et n'ont donc pas les mêmes besoins de sécurité.
Ce guide a ainsi également pour objectif de constituer un support technique pour accompagner une analyse de risque sur l'authentification.
Ce guide se focalise uniquement sur le cas de l'authentification de personnes vis-à-vis de machines.
Ce guide est à destination d'un large public :
- des personnes ayant un rôle de développement ou d’intégration dans le cadre de la mise en place d’une solution d’authentification ;
- des personnes ayant un rôle d'administration dans le cadre de la configuration des divers outils permettant l'authentification sur le système d'information placé sous leur responsabilité ;
- des personnes ayant une responsabilité (par exemple DSI ou RSSI) dans le cadre de la définition des objectifs de sécurité en matière d'authentification ;
- des utilisateurs finaux des divers moyens d'authentification, en particulier les mots de passe.
Les principales recommandations qui sont mises en avant dans ce guide sont résumées ci-après.
- Mener une analyse de risque lors de la mise en place de moyens d'authentification.
- Privilégier l'utilisation de l'authentification multifacteurs.
- Privilégier l'utilisation de l'authentification reposant sur un facteur de possession.
- Adapter la robustesse d'un mot de passe à son contexte d'utilisation.
L’ANSSI fait régulièrement le constat que des compromissions de systèmes d'information (SI) reposant sur un annuaire Active Directory (AD) résultent de l’application de mauvaises pratiques d’administration et d'un cloisonnement insuffisant. Ces compromissions commencent souvent par des attaques qui ciblent les postes de travail. Les attaquants exploitent ensuite des faiblesses du SI pour opérer des déplacements, dits latéraux, et élever progressivement leurs privilèges jusqu’à obtenir le contrôle total de l'AD. À ce niveau de contrôle de l’AD, un attaquant est en mesure de s’aménager des portes dérobées qui lui assurent un contrôle persistant du SI, c'est-à-dire également des processus et des données métiers de l'organisation.
Le guide d'administration sécurisée des systèmes d'information reposant sur un annuaire AD aborde les aspects spécifiques à l’administration de ces environnements et guide dans le cloisonnement du SI en zones de confiance.
Il complète ainsi les recommandations de sécurité relatives à l'administration sécurisée des systèmes d'information qui se veulent agnostiques des technologies mises en œuvre.
L'importance croissante de la mobilité et du télétravail dans le monde professionnel crée de nouveaux risques sur les systèmes d'information. Pour y répondre, il est primordial de prendre en compte la menace et de mettre en place des mesures de sécurisation spécifiques, à la fois techniques et organisationnelles, afin de limiter les risques liés à la pratique du nomadisme numérique.
Le développement du nomadisme et du télétravail ne cesse de prendre de l'ampleur ces dernières années, et est aujourd'hui au centre des réflexions des directions informatiques.
Un nombre croissant d'espaces de cotravail (ou co-working) voit également le jour, par souci de réduction des coûts immobiliers, et par volonté de flexibilité.
Cela amène à réfléchir sur la manière de sécuriser ces accès distants au système d'information (SI) de l'entité, afin de gérer les besoins de confidentialité et d'intégrité des données, ainsi que l'authentification des utilisateurs.
Ce guide n'a pas pour objectif d'être exhaustif sur la sécurité générale d'une infrastructure informatique, mais bien de se focaliser sur les particularités du nomadisme, dans le but d'adapter le niveau de sécurité à cette nouvelle façon de travailler.
Face à ces enjeux, il est devenu important de sensibiliser l'ensemble des acteurs du nomadisme, et de prendre en compte dans la politique de sécurité des systèmes d'information (PSSI) :
- l'ouverture du SI de l'entité pour les accès distants ;
- la maîtrise des nouveaux flux liés au nomadisme ;
- la maîtrise des équipements de connexion des utilisateurs.
Le guide rappelle dans un premier temps les définitions et les risques liés au nomadisme, puis les différents éléments d'une infrastructure de connexion nomade sont étudiés, afin d'en faire ressortir les bonnes pratiques.
Le guide est accompagné d'un outil d'aide et de suivi d'implémentation de la sécurité (OASIS) sous forme de tableur. Ce document aide les entités à donner des priorités aux recommandations, à les classer selon une approche graduelle, puis à faire le suivi de leur mise en œuvre. Chaque entité peut adapter cette approche à ses enjeux, moyens, compétences et SI existants.
À ce titre, les acheteurs de l’État, des collectivités locales et de leurs groupements sont tenus d’acquérir des biens issus du réemploi, de la réutilisation de matériel ou comportant des matières recyclées. L’article 58 II précise par ailleurs que les proportions d’ordinateurs portables et fixes devant être réemployés sont fixées à 20 % et que cette obligation s’apprécie sur le volume annuel total de la dépense hors taxes des matériels et non par unité. Enfin, il prévoit qu’en cas de contrainte opérationnelle liée à la défense nationale ou de contrainte technique significative liée à la nature de la commande publique, le pouvoir adjudicateur n’est pas soumis à cette obligation.
Ce guide s’adresse aux différentes entités de l’État concernées par la loi AGEC ainsi qu’aux entités à la recherche de recommandations de sécurité concernant :
- l’acquisition et l’usage d’ordinateurs de bureau ou portables reconditionnés ;
- la cession d’ordinateurs de bureau ou portables.
L’objectif de ce guide est d’apporter les bonnes pratiques pour réduire les risques de compromission ou de propagation de codes malveillants liés à l’usage d’ordinateurs reconditionnés nouvellement acquis ainsi que les risques de fuite d’information lors de la cession d’ordinateurs à une autre entité.