Table des matières
Base de données des clients, des contrats commerciaux ou des brevets, données de production, dossiers des usagers, démarches administratives, informations concernant un marché public sont désormais accessibles en ligne, le plus souvent via Internet à travers son poste de travail ou son téléphone mobile.
Les conséquences qu’auraient pour votre organisation la perte ou le vol de certaines informations ou l’indisponibilité de son informatique peuvent être lourdes : perte de confiance des clients, des partenaires, des usagers, avantage pris par un concurrent, perte d’exploitation suite à une interruption de la production, vol de données personnelles, etc.
Parmi ces mesures, il existe des mesures techniques simples, qualifiées d’hygiène informatique.
De nombreuses attaques informatiques, sur lesquelles l’ANSSI est intervenue, auraient pu être évitées si les mesures essentielles avaient été appliquées par les entreprises concernées.
S’adressant aux personnes en charge de la sécurité informatique, que ce soit un responsable de la sécurité des systèmes d’information (RSSI) ou toute personne qui remplit cette fonction, ce document présente les quelques règles d’hygiène informatique incontournables.
Elles ne prétendent pas avoir un caractère d’exhaustivité. Elles représentent cependant le socle minimum des règles à respecter pour protéger les informations d’une entreprise.
Ne pas les suivre expose l’entreprise à des risques d’incidents majeurs, susceptibles de mettre sa
compétitivité en danger.
Les règles d’hygiène informatique pour les entreprises
1) Disposer d’une cartographie précise de l’installation informatique et la maintenir à jour.
2) Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour.
3) Rédiger des procédures d’arrivée et de départ des utilisateurs (personnel, stagiaires…).
4) Limiter le nombre d’accès Internet au strict nécessaire.
5) Interdire la connexion d’équipements personnels au système d’information de l’entreprise.
6) Connaître les modalités de mises à jour de l’ensemble des composants logiciels utilisés.
7) Se tenir informé des vulnérabilités de ces composants et des mises à jour nécessaires.
8) Définir une politique simple de mise à jour et l’appliquer strictement.
9) Identifier nominativement chaque personne ayant accès au système.
10) définir des règles de choix et de dimensionnement des mots de passe
11) Mettre en place des moyens techniques permettant de faire respecter les règles relatives aux mots de passe.
12) Ne pas conserver les mots de passe sur les systèmes informatiques.
13) Supprimer ou modifier systématiquement les éléments d’authentification par défaut (mots de passe, certificats) sur les équipements (commutateurs réseau, routeurs, serveurs, imprimantes).
14) Privilégier lorsque c’est possible une authentification forte par carte à puce.
15) Mettre en place un niveau de sécurité homogène sur l’ensemble du parc informatique, désactiver les services inutiles et restreindre les privilèges des utilisateurs.
16) Interdire techniquement la connexion des supports amovibles sauf si c’est strictement nécessaire ;
sinon désactiver l’exécution des autoruns depuis de tels supports.
17) Utiliser un outil de gestion de parc informatique permettant de déployer des politiques de sécurité et les mises à jour sur les équipements.
18) Gérer les terminaux nomades selon la même politique de sécurité que les postes fixes
19) Interdire dans tous les cas où cela est possible les connexions à distance sur les postes clients.
20) Chiffrer les données sensibles, en particulier sur les postes nomades et les supports perdables.
21) Auditer ou faire auditer fréquemment la configuration de l’annuaire central (Active Directory en environnement Windows)
22) Ne pas mettre en place de réseaux non cloisonnés. Pour les postes ou les serveurs contenant des informations importantes pour la vie de l’entreprise, créer un sous-réseau protégé par un pare-feu spécifique.
23) Interdire la navigation sur Internet depuis les comptes d’administration.
24) Limiter le nombre de passerelles d’interconnexion avec Internet.
25) Vérifier qu’aucun équipement du réseau ne comporte d’interface d’administration accessible depuis l’Internet.
26) Éviter l’usage de technologies sans fil (Wifi). Si l’usage de ces technologies ne peut être évité,
cloisonner le réseau d’accès Wifi du reste du système d’information.
27) Définir concrètement les objectifs de la supervision des systèmes et des réseaux.
28) Déterminer les mécanismes de journalisation devant être activés.
29) Utiliser un réseau dédié à l’administration des équipements ou au moins un réseau logiquement séparé du réseau des utilisateurs.
30) Ne pas donner aux utilisateurs de privilèges d’administration. Ne faire aucune exception.
31) N’autoriser l’accès à distance au réseau professionnel, y compris pour l’administration, que depuis des postes professionnels mettant en oeuvre des mécanismes d’authentification forte et protégeant l’intégrité et la confidentialité des échanges à l’aide de moyens robustes (privilégier ceux qui sont qualifiés par l’ANSSI).
32) Utiliser impérativement des mécanismes de contrôle d’accès robustes.
33) Gérer rigoureusement les clés permettant l’accès aux locaux et les codes d’alarme.
34) Ne pas laisser de prises d’accès au réseau interne accessibles dans les endroits publics.
35) Définir des règles en matière de gestion des impressions papier.
36) Ne jamais se contenter de traiter l’infection d’une machine sans tenter de savoir si le code malveillant a pu se propager ailleurs dans le réseau.
37) Disposer d’un plan de reprise ou de continuité d’activité informatique tenu régulièrement à jour.
38) Mettre en place une chaîne d’alerte connue de tous les intervenants.
39) Sensibiliser les utilisateurs aux règles d’hygiène informatique élémentaires.
40) Faire réaliser des audits de sécurité périodiques (au minimum tous les ans). Chaque audit doit être associé à un plan d’action.
TELECHARGER LE GUIDE DE L’ANSSI