GUIDE DHYGINE INFORMATIQUE

RENFORCER LA SCURIT DE SON SYSTME DINFORMATION EN 42 MESURES

AVANT-PROPOS
Paru en janvier 2013 dans sa premire version, le Guide dhygine informatique dit par lANSSI sadresse aux entits publiques ou prives dotes
dune direction des systmes dinformation (DSI) ou de professionnels dont la
mission est de veiller leur scurit. Il est n du constat que si les mesures qui
y sont dictes avaient t appliques par les entits concernes, la majeure
partie des attaques informatiques ayant requis une intervention de lagence
aurait pu tre vite.
Cette nouvelle version a fait lobjet dune mise jour portant la fois sur les
technologies et pratiques nouvelles ou croissantes avec lesquelles il sagit
de composer en matire de scurit (nomadisme, sparation des usages, etc.)
mais aussi sur la mise disposition doutils (indicateurs de niveau standard ou
renforc) pour clairer le lecteur dans lapprciation des mesures nonces.
Si lobjet de ce guide nest pas la scurit de linformation en tant que telle,
appliquer les mesures proposes maximise la scurit du systme dinformation, berceau des donnes de votre entit.
La scurit nest plus une option. ce titre, les enjeux de scurit numrique
doivent se rapprocher des proccupations conomiques, stratgiques ou
encore dimage qui sont celles des dcideurs. En contextualisant le besoin,
en rappelant lobjectif poursuivi et en y rpondant par la mesure concrte
correspondante, ce guide dhygine informatique est une feuille de route
qui pouse les intrts de toute entit consciente de la valeur de ses donnes.

SOMMAIRE

Avant-propos
Mode demploi du guide

I - Sensibiliser et former - P.4

II - Connatre le systme dinformation - p.8
III - Authentifier et contrler les accs - p.13
IV - Scuriser les postes - p.20
V - Scuriser le rseau - p.26
VI - Scuriser ladministration - p.36
VII - Grer le nomadisme - p.40
VIII - Maintenir le systme dinformation jour - p.45
IX - Superviser, auditer, ragir - p.48
X - Pour aller plus loin - p.55

Outil de suivi
Bibliographie

MODE DEMPLOI DU GUIDE

Le prsent document comporte 42 rgles de scurit simples. Chacune dentre

elles est importante et vous pouvez tout fait les considrer indpendamment
les unes des autres pour amliorer votre niveau de scurit sur quelques
points particuliers.
Cependant, nous vous conseillons dutiliser ce guide comme base pour dfinir
un plan dactions :
1. Commencez par tablir un tat des lieux pour chacune des rgles grce
loutil de suivi qui se trouve en annexe de ce document. Pour chaque
rgle, dterminez si votre organisme atteint le niveau standard et, le cas
chant, le niveau renforc.
2. Si vous ne pouvez pas faire cet tat des lieux par manque de connaissance de votre systme dinformation, nhsitez pas solliciter laide
dun spcialiste pour procder un diagnostic et assurer un niveau de
scurit lmentaire. ( lire : ANSSI-CGPME, Guide des bonnes pratiques
de linformatique, mars 2015).
3. partir du constat tabli cette premire tape, visez en priorit les
rgles pour lesquelles vous navez pas encore atteint le niveau standard ,
pour dfinir un premier plan dactions. Si les mesures de ce guide doivent
tre appliques dans le cadre dun rfrentiel publi par lANSSI et sauf
mention explicite, il sagit des mesures de niveau standard .
4. Lorsque vous avez atteint partout le niveau standard , vous pouvez
dfinir un nouveau plan dactions en visant le niveau renforc pour
les rgles concernes.

I
SENSIBILISER ET FORMER

Former les quipes

oprationnelles la scurit
des systmes dinformation

sensibiliser et former

/ standard

Citons par exemple laffectation de comptes disposant de trop nombreux

privilges par rapport la tche raliser, lutilisation de comptes personnels
pour excuter des services ou tches priodiques, ou encore le choix de mots
de passe peu robustes donnant accs des comptes privilgis.
Les quipes oprationnelles, pour tre ltat de lart de la scurit des systmes
dinformation, doivent donc suivre - leur prise de poste puis intervalles
rguliers - des formations sur :
>> la lgislation en vigueur ;
>> les principaux risques et menaces ;
>> le maintien en condition de scurit ;
>> lauthentification et le contrle daccs ;
>> le paramtrage fin et le durcissement des systmes ;
>> le cloisonnement rseau ;
>> et la journalisation.

Guide dhygine informatique

Les quipes oprationnelles (administrateurs rseau, scurit et systme, chefs

de projet, dveloppeurs, RSSI) ont des accs privilgis au systme dinformation. Elles peuvent, par inadvertance ou par mconnaissance des consquences
de certaines pratiques, raliser des oprations gnratrices de vulnrabilits.

Cette liste doit tre prcise selon le mtier des collaborateurs en considrant
des aspects tels que lintgration de la scurit pour les chefs de projet, le
dveloppement scuris pour les dveloppeurs, les rfrentiels de scurit
pour les RSSI, etc.
Il est par ailleurs ncessaire de faire mention de clauses spcifiques dans les
contrats de prestation pour garantir une formation rgulire la scurit des
systmes dinformation du personnel externe et notamment les infogrants.
5

sensibiliser et former

Sensibiliser les utilisateurs aux

bonnes pratiques lmentaires
de scurit informatique

/ standard

Guide dhygine informatique

Chaque utilisateur est un maillon part entire de la chane des systmes

dinformation. ce titre et ds son arrive dans lentit, il doit tre inform
des enjeux de scurit, des rgles respecter et des bons comportements
adopter en matire de scurit des systmes dinformation travers des actions
de sensibilisation et de formation.
Ces dernires doivent tre rgulires, adaptes aux utilisateurs cibls, peuvent
prendre diffrentes formes (mails, affichage, runions, espace intranet ddi,
etc.) et aborder au minimum les sujets suivants :
>> les objectifs et enjeux que rencontre lentit en matire de scurit des
systmes dinformation ;
>> les informations considres comme sensibles ;
>> les rglementations et obligations lgales ;
>> les rgles et consignes de scurit rgissant lactivit quotidienne : respect
de la politique de scurit, non-connexion dquipements personnels au
rseau de lentit, non-divulgation de mots de passe un tiers, non-rutilisation de mots de passe professionnels dans la sphre prive et inversement,
signalement dvnements suspects, etc. ;
>> les moyens disponibles et participant la scurit du systme : verrouillage
systmatique de la session lorsque lutilisateur quitte son poste, outil de
protection des mots de passe, etc.
/ renforc

Pour renforcer ces mesures, llaboration et la signature dune charte des

moyens informatiques prcisant les rgles et consignes que doivent respecter
les utilisateurs peut tre envisage.

Matriser les risques

de linfogrance

sensibiliser et former

Lorsquune entit souhaite externaliser son systme dinformation ou ses

donnes, elle doit en amont valuer les risques spcifiques linfogrance
(matrise du systme dinformation, actions distance, hbergement mutualis,
etc.) afin de prendre en compte, ds la rdaction des exigences applicables au
futur prestataire, les besoins et mesures de scurit adapts.
Les risques SSI inhrents ce type de dmarche peuvent tre lis au contexte
de lopration dexternalisation mais aussi des spcifications contractuelles
dficientes ou incompltes.
En faveur du bon droulement des oprations, il sagit donc :
>> dtudier attentivement les conditions des offres, la possibilit de les adapter
des besoins spcifiques et les limites de responsabilit du prestataire ;
>> dimposer une liste dexigences prcises au prestataire : rversibilit du
contrat, ralisation daudits, sauvegarde et restitution des donnes dans un
format ouvert normalis, maintien niveau de la scurit dans le temps, etc.

Guide dhygine informatique

/ standard

Pour formaliser ces engagements, le prestataire fournira au commanditaire

un plan dassurance scurit (PAS) prvu par lappel doffre. Il sagit dun
document contractuel dcrivant lensemble des dispositions spcifiques que
les candidats sengagent mettre en uvre pour garantir le respect des exigences de scurit spcifies par lentit.
Le recours des solutions ou outils non matriss (par exemple hbergs dans
le nuage) nest pas ici considr comme tant du ressort de linfogrance et
par ailleurs dconseill en cas de traitement dinformations sensibles.

ANSSI, Guide de lexternalisation Matriser les risques de linfogrance, guide, dcembre 2010

II
CONNATRE LE SYSTME DINFORMATION

Identifier les informations et

serveurs les plus sensibles et
maintenir un schma du rseau

CONNATRE LE SYSTME DINFORMATION

II

/Standard

partir de cette liste de donnes sensibles, il sera possible de dterminer

sur quels composants du systme dinformation elles se localisent (bases de
donnes, partages de fichiers, postes de travail, etc.). Ces composants correspondent aux serveurs et postes critiques pour lentit. ce titre, ils devront
faire lobjet de mesures de scurit spcifiques pouvant porter sur la sauvegarde, la journalisation, les accs, etc.
Il sagit donc de crer et de maintenir jour un schma simplifi du rseau
(ou cartographie) reprsentant les diffrentes zones IP et le plan dadressage
associ, les quipements de routage et de scurit (pare-feu, relais applicatifs,
etc.) et les interconnexions avec lextrieur (Internet, rseaux privs, etc.) et
les partenaires. Ce schma doit galement permettre de localiser les serveurs
dtenteurs dinformations sensibles de lentit.

Guide dhygine informatique

Chaque entit possde des donnes sensibles. Ces dernires peuvent porter
sur son activit propre (proprit intellectuelle, savoir-faire, etc.) ou sur ses
clients, administrs ou usagers (donnes personnelles, contrats, etc.). Afin
de pouvoir les protger efficacement, il est indispensable de les identifier.

CONNATRE LE SYSTME DINFORMATION

II

Disposer dun inventaire

exhaustif des comptes privilgis
et le maintenir jour

Guide dhygine informatique

/Standard

Les comptes bnficiant de droits spcifiques sont des cibles privilgies par
les attaquants qui souhaitent obtenir un accs le plus large possible au systme
dinformation. Ils doivent donc faire lobjet dune attention toute particulire.
Il sagit pour cela deffectuer un inventaire de ces comptes, de le mettre jour
rgulirement et dy renseigner les informations suivantes :
>> les utilisateurs ayant un compte administrateur ou des droits suprieurs
ceux dun utilisateur standard sur le systme dinformation ;
>> les utilisateurs disposant de suffisamment de droits pour accder aux
rpertoires de travail des responsables ou de lensemble des utilisateurs ;
>> les utilisateurs utilisant un poste non administr par le service informatique et qui ne fait pas lobjet de mesures de scurit dictes par la
politique de scurit gnrale de lentit.
Il est fortement recommand de procder une revue priodique de ces
comptes afin de sassurer que les accs aux lments sensibles (notamment
les rpertoires de travail et la messagerie lectronique des responsables) soient
maitriss. Ces revues permettront galement de supprimer les accs devenus
obsoltes suite au dpart dun utilisateur par exemple.
Enfin, il est souhaitable de dfinir et dutiliser une nomenclature simple et
claire pour identifier les comptes de services et les comptes dadministration.
Cela facilitera notamment leur revue et la dtection dintrusion.

10

Organiser les procdures darrive,

de dpart et de changement de
fonction des utilisateurs

CONNATRE LE SYSTME DINFORMATION

II

Les effectifs dune entit, quelle soit publique ou prive, voluent sans cesse :
arrives, dparts, mobilit interne. Il est par consquent ncessaire que les
droits et les accs au systme dinformation soient mis jour en fonction de
ces volutions. Il est notamment essentiel que lensemble des droits affects
une personne soient rvoqus lors de son dpart ou en cas de changement
de fonction. Les procdures darrive et de dpart doivent donc tre dfinies,
en lien avec la fonction ressources humaines. Elles doivent au minimum
prendre en compte :
>> la cration et la suppression des comptes informatiques et botes aux
lettres associes ;
>> les droits et accs attribuer et retirer une personne dont la fonction
change ;
>> la gestion des accs physiques aux locaux (attribution, restitution des
badges et des cls, etc.) ;
>> laffectation des quipements mobiles (ordinateur portable, cl USB,
disque dur, ordiphone, etc.) ;
>> la gestion des documents et informations sensibles (transfert de mots
de passe, changement des mots de passe ou des codes sur les systmes
existants).

Guide dhygine informatique

/Standard

/Renforc

Les procdures doivent tre formalises et mises jour en fonction du contexte.

11

CONNATRE LE SYSTME DINFORMATION

II

Autoriser la connexion au
rseau de lentit aux seuls
quipements matriss

Guide dhygine informatique

/Standard

Pour garantir la scurit de son systme dinformation, lentit doit matriser

les quipements qui sy connectent, chacun constituant un point dentre potentiellement vulnrable. Les quipements personnels (ordinateurs portables,
tablettes, ordiphones, etc.) sont, par dfinition, difficilement matrisables dans
la mesure o ce sont les utilisateurs qui dcident de leur niveau de scurit.
De la mme manire, la scurit des quipements dont sont dots les visiteurs
chappe tout contrle de lentit.
Seule la connexion de terminaux matriss par lentit doit tre autorise sur
ses diffrents rseaux daccs, quils soient filaire ou sans fil. Cette recommandation, avant tout dordre organisationnel, est souvent perue comme
inacceptable ou rtrograde. Cependant, y droger fragilise le rseau de lentit
et sert ainsi les intrts dun potentiel attaquant.
La sensibilisation des utilisateurs doit donc saccompagner de solutions pragmatiques rpondant leurs besoins. Citons par exemple la mise disposition
dun rseau Wi-Fi avec SSID ddi pour les terminaux personnels ou visiteurs.
/Renforc

Ces amnagements peuvent tre complts par des mesures techniques telles
que lauthentification des postes sur le rseau (par exemple laide du standard
802.1X ou dun quivalent).

12

III
AUTHENTIFIER ET CONTRLER LES ACCS

13

AUTHENTIFIER ET CONTROLER LES ACCS

III

Identifier nommment
chaque personne accdant au
systme et distinguer les rles
utilisateur/administrateur

/Standard

Afin de faciliter lattribution dune action sur le systme dinformation en cas

dincident ou didentifier dventuels comptes compromis, les comptes daccs
doivent tre nominatifs.

Guide dhygine informatique

Lutilisation de comptes gnriques (ex : admin, user) doit tre marginale et ceuxci doivent pouvoir tre rattachs un nombre limit de personnes physiques.
Bien entendu, cette rgle ninterdit pas le maintien de comptes de service,
rattachs un processus informatique (ex : apache, mysqld).
Dans tous les cas, les comptes gnriques et de service doivent tre grs selon
une politique au moins aussi stricte que celle des comptes nominatifs. Par
ailleurs, un compte dadministration nominatif, distinct du compte utilisateur, doit tre attribu chaque administrateur. Les identifiants et secrets
dauthentification doivent tre diffrents (ex : pmartin comme identifiant
utilisateur, adm-pmartin comme identifiant administrateur). Ce compte dadministration, disposant de plus de privilges, doit tre ddi exclusivement aux
actions dadministration. De plus, il doit tre utilis sur des environnements
ddis ladministration afin de ne pas laisser de traces de connexion ni de
condensat de mot de passe sur un environnement plus expos.
/Renforc

Ds que possible la journalisation lie aux comptes (ex : relev des connexions
russies/choues) doit tre active.

14

Attribuer les bons droits sur

les ressources sensibles du
systme dinformation

AUTHENTIFIER ET CONTROLER LES ACCS

III

Certaines des ressources du systme peuvent constituer une source dinformation prcieuse aux yeux dun attaquant (rpertoires contenant des donnes sensibles, bases de donnes, botes aux lettres lectroniques, etc.). Il est
donc primordial dtablir une liste prcise de ces ressources et pour chacune
dentre elles :
>> de dfinir quelle population peut y avoir accs ;
>> de contrler strictement son accs, en sassurant que les utilisateurs sont
authentifis et font partie de la population cible ;
>> dviter sa dispersion et sa duplication des endroits non matriss ou
soumis un contrle daccs moins strict.
Par exemple, les rpertoires des administrateurs regroupant de nombreuses
informations sensibles doivent faire lobjet dun contrle daccs prcis. Il en
va de mme pour les informations sensibles prsentes sur des partages rseau :
exports de fichiers de configuration, documentation technique du systme
dinformation, bases de donnes mtier, etc. Une revue rgulire des droits
daccs doit par ailleurs tre ralise afin didentifier les accs non autoriss.

Guide dhygine informatique

/Standard

15

AUTHENTIFIER ET CONTROLER LES ACCS

III

10

Dfinir et vrifier des rgles de

choix et de dimensionnement
des mots de passe

/Standard

Guide dhygine informatique

LANSSI nonce un ensemble de rgles et de bonnes pratiques en matire de

choix et de dimensionnement des mots de passe. Parmi les plus critiques de
ces rgles figure la sensibilisation des utilisateurs aux risques lis au choix
dun mot de passe qui serait trop facile deviner, ou encore la rutilisation
de mots de passe dune application lautre et plus particulirement entre
messageries personnelles et professionnelles.
Pour encadrer et vrifier lapplication de ces rgles de choix et de dimensionnement, lentit pourra recourir diffrentes mesures parmi lesquelles :
>> le blocage des comptes lissue de plusieurs checs de connexion ;
>> la dsactivation des options de connexion anonyme ;
>> lutilisation dun outil daudit de la robustesse des mots de passe.
En amont de telles procdures, un effort de communication visant expliquer le sens de ces rgles et veiller les consciences sur leur importance est
fondamental.

ANSSI, Recommandations de scurit relatives aux mots de passe, note technique, juin 2012

16

11

Protger les mots de passe

stocks sur les systmes

AUTHENTIFIER ET CONTROLER LES ACCS

III

/Standard

Or, les mots de passe sont une cible privilgie par les attaquants dsireux
daccder au systme, que cela fasse suite un vol ou un ventuel partage du
support de stockage. Cest pourquoi ils doivent imprativement tre protgs au
moyen de solutions scurises au premier rang desquelles figurent lutilisation
dun coffre-fort numrique et le recours des mcanismes de chiffrement.
Bien entendu, le choix dun mot de passe pour ce coffre-fort numrique doit
respecter les rgles nonces prcdemment et tre mmoris par lutilisateur,
qui na plus que celui-ci retenir.

Guide dhygine informatique

La complexit, la diversit ou encore lutilisation peu frquente de certains

mots de passe, peuvent encourager leur stockage sur un support physique
(mmo, post-it) ou numrique (fichiers de mots de passe, envoi par mail soimme, recours aux boutons Se souvenir du mot de passe ) afin de pallier
tout oubli ou perte.

17

AUTHENTIFIER ET CONTROLER LES ACCS

III

12

Changer les lments

dauthentification par dfaut
sur les quipements et services

Guide dhygine informatique

/Standard

Il est impratif de partir du principe que les configurations par dfaut des
systmes dinformation sont systmatiquement connues des attaquants,
quand bien mme celles-ci ne le sont pas du grand public. Ces configurations
se rvlent (trop) souvent triviales (mot de passe identique lidentifiant,
mal dimensionn ou commun lensemble des quipements et services par
exemple) et sont, la plupart du temps, faciles obtenir pour des attaquants
capables de se faire passer pour un utilisateur lgitime.
Les lments dauthentification par dfaut des composants du systme doivent
donc tre modifis ds leur installation et, sagissant de mots de passe, tre
conformes aux recommandations prcdentes en matire de choix, de dimensionnement et de stockage.
Si le changement dun identifiant par dfaut se rvle impossible pour cause,
par exemple, de mot de passe ou certificat en dur dans un quipement,
ce problme critique doit tre signal au distributeur du produit afin que
cette vulnrabilit soit corrige au plus vite.
/Renforc

Afin de limiter les consquences dune compromission, il est par ailleurs

essentiel, aprs changement des lments dauthentification par dfaut, de
procder leur renouvellement rgulier.

18

13

Privilgier lorsque cest possible

une authentification forte

AUTHENTIFIER ET CONTROLER LES ACCS

III

Il est vivement recommand de mettre en uvre une authentification forte

ncessitant lutilisation de deux facteurs dauthentification diffrents parmi
les suivants :
>> quelque chose que je sais (mot de passe, trac de dverrouillage, signature) ;
>> quelque chose que je possde (carte puce, jeton USB, carte magntique,
RFID, un tlphone pour recevoir un code SMS) ;
>> quelque chose que je suis (une empreinte biomtrique).
/Renforc

Les cartes puces doivent tre privilgies ou, dfaut, les mcanismes de
mots de passe usage unique (ou One Time Password) avec jeton physique.
Les oprations cryptographiques mises en place dans ces deux facteurs offrent
gnralement de bonnes garanties de scurit.

Guide dhygine informatique

/Standard

Les cartes puce peuvent tre plus complexes mettre en place car ncessitant
une infrastructure de gestion des cls adapte. Elles prsentent cependant
lavantage dtre rutilisables plusieurs fins : chiffrement, authentification
de messagerie, authentification sur le poste de travail, etc.

19

IV
SCURISER LES POSTES

20

14

Mettre en place un niveau de

scurit minimal sur lensemble
du parc informatique

SCURISER LES POSTES

IV

Lutilisateur plus ou moins au fait des bonnes pratiques de scurit informatique

est, dans de trs nombreux cas, la premire porte dentre des attaquants vers
le systme. Il est donc fondamental de mettre en place un niveau de scurit
minimal sur lensemble du parc informatique de lentit (postes utilisateurs,
serveurs, imprimantes, tlphones, priphriques USB, etc.) en implmentant
les mesures suivantes :
>> limiter les applications installes et modules optionnels des navigateurs
web aux seuls ncessaires ;
>> doter les postes utilisateurs dun pare-feu local et dun anti-virus (ceux-ci
sont parfois inclus dans le systme dexploitation) ;
>> chiffrer les partitions o sont stockes les donnes des utilisateurs ;
>> dsactiver les excutions automatiques (autorun).

Guide dhygine informatique

/Standard

En cas de drogation ncessaire aux rgles de scurit globales applicables

aux postes, ceux-ci doivent tre isols du systme (sil est impossible de mettre
jour certaines applications pour des raisons de compatibilit par exemple).
/Renforc

Les donnes vitales au bon fonctionnement de lentit que dtiennent les

postes utilisateurs et les serveurs doivent faire lobjet de sauvegardes rgulires
et stockes sur des quipements dconnects, et leur restauration doit tre
vrifie de manire priodique. En effet, de plus en plus de petites structures
font lobjet dattaques rendant ces donnes indisponibles (par exemple pour
exiger en contrepartie de leur restitution le versement dune somme consquente (ranongiciel)).

21

SCURISER LES POSTES

IV

15

Se protger des menaces

relatives lutilisation de
supports amovibles

/Standard

Guide dhygine informatique

Les supports amovibles peuvent tre utiliss afin de propager des virus, voler
des informations sensibles et stratgiques ou encore compromettre le rseau
de lentit. De tels agissements peuvent avoir des consquences dsastreuses
pour lactivit de la structure cible.
Sil nest pas question dinterdire totalement lusage de supports amovibles au
sein de lentit, il est nanmoins ncessaire de traiter ces risques en identifiant
des mesures adquates et en sensibilisant les utilisateurs aux risques que ces
supports peuvent vhiculer.
Il convient notamment de proscrire le branchement de cls USB inconnues
(ramasses dans un lieu public par exemple) et de limiter au maximum celui
de cls non matrises (dont on connait la provenance mais pas lintgrit)
sur le systme dinformation moins, dans ce dernier cas, de faire inspecter
leur contenu par lantivirus du poste de travail.
/Renforc

Sur les postes utilisateur, il est recommand dutiliser des solutions permettant
dinterdire lexcution de programmes sur les priphriques amovibles (par
exemple Applocker sous Windows ou des options de montage noexec sous Unix).
Lors de la fin de vie des supports amovibles, il sera ncessaire dimplmenter
et de respecter une procdure de mise au rebut stricte pouvant aller jusqu
leur destruction scurise afin de limiter la fuite dinformations sensibles.
ANSSI, Recommandations pour la mise en uvre dune politique de restrictions logicielles sous
Windows, note technique, dcembre 2013
ANSSI, Recommandations de configuration dun systme GNU/Linux, note technique, janvier
2016

22

16

Utiliser un outil de gestion

centralise afin dhomogniser
les politiques de scurit

SCURISER LES POSTES

IV

/Standard

Lapplication de ces politiques (gestion des mots de passe, restrictions de

connexions sur certains postes sensibles, configuration des navigateurs Web,
etc.) doit tre simple et rapide pour les administrateurs, en vue notamment
de faciliter la mise en uvre de contre-mesures en cas de crise informatique.
Pour cela, lentit pourra se doter dun outil de gestion centralise (par exemple
Active Directory en environnement Microsoft) auquel il sagit dinclure le plus
grand nombre dquipements informatiques possible. Les postes de travail
et les serveurs sont concerns par cette mesure qui ncessite ventuellement
en amont un travail dharmonisation des choix de matriels et de systmes
dexploitation.

Guide dhygine informatique

La scurit du systme dinformation repose sur la scurit du maillon le

plus faible. Il est donc ncessaire dhomogniser la gestion des politiques de
scurit sappliquant lensemble du parc informatique de lentit.

Ainsi, des politiques de durcissement du systme dexploitation ou dapplications

pourront facilement sappliquer depuis un point central tout en favorisant la
ractivit attendue en cas de besoin de reconfiguration.

ANSSI, Recommandations de scurit relatives Active Directory, note technique, septembre

2014

23

SCURISER LES POSTES

IV

17

Activer et configurer le parefeu local des postes de travail

/Standard

Guide dhygine informatique

Aprs avoir russi prendre le contrle dun poste de travail ( cause, par
exemple, dune vulnrabilit prsente dans le navigateur Internet), un attaquant cherchera souvent tendre son intrusion aux autres postes de travail
pour, in fine, accder aux documents des utilisateurs.
Afin de rendre plus difficile ce dplacement latral de lattaquant, il est ncessaire dactiver le pare-feu local des postes de travail au moyen de logiciels
intgrs (pare-feu local Windows) ou spcialiss.
Les flux de poste poste sont en effet trs rares dans un rseau bureautique
classique : les fichiers sont stocks dans des serveurs de fichiers, les applications
accessibles sur des serveurs mtier, etc.
/Renforc

Le filtrage le plus simple consiste bloquer laccs aux ports dadministration

par dfaut des postes de travail (ports TCP 135, 445 et 3389 sous Windows,
port TCP 22 sous Unix), except depuis les ressources explicitement identifies (postes dadministration et dassistance utilisateur, ventuels serveurs
de gestion requrant laccs des partages rseau sur les postes, etc.).
Une analyse des flux entrants utiles (administration, logiciels dinfrastructure, applications particulires, etc.) doit tre mene pour dfinir la liste des
autorisations configurer. Il est prfrable de bloquer lensemble des flux par
dfaut et de nautoriser que les services ncessaires depuis les quipements
correspondants ( liste blanche ).
Le pare-feu doit galement tre configur pour journaliser les flux bloqus,
et ainsi identifier les erreurs de configuration dapplications ou les tentatives
dintrusion.
24

18

Chiffrer les donnes sensibles

transmises par voie Internet

SCURISER LES POSTES

IV

/Standard

Toutes les donnes envoyes par courriel ou transmises au moyen doutils

dhbergement en ligne (Cloud) sont par consquent vulnrables. Il sagit
donc de procder leur chiffrement systmatique avant de les adresser un
correspondant ou de les hberger.
La transmission du secret (mot de passe, cl, etc.) permettant alors de dchiffrer
les donnes, si elle est ncessaire, doit tre effectue via un canal de confiance
ou, dfaut, un canal distinct du canal de transmission des donnes. Ainsi, si
les donnes chiffres sont transmises par courriel, une remise en main propre
du mot de passe ou, dfaut, par tlphone doit tre privilgie.

Guide dhygine informatique

Internet est un rseau sur lequel il est quasi impossible dobtenir des garanties
sur le trajet que vont emprunter les donnes que lon y envoie. Il est donc tout
fait possible quun attaquant se trouve sur le trajet de donnes transitant
entre deux correspondants.

Catalogue des produits et prestataires de service qualifis

25

V
SCURISER LE RSEAU

26

19

Segmenter le rseau et mettre

en place un cloisonnement
entre ces zones

SCURISER LE RSEAU

/Standard

Il est donc important, ds la conception de larchitecture rseau, de raisonner

par segmentation en zones composes de systmes ayant des besoins de scurit homognes. On pourra par exemple regrouper distinctement des serveurs
dinfrastructure, des serveurs mtiers, des postes de travail utilisateurs, des
postes de travail administrateurs, des postes de tlphonie sur IP, etc.
Une zone se caractrise alors par des VLAN et des sous-rseaux IP ddis
voire par des infrastructures ddies selon sa criticit. Ainsi, des mesures de
cloisonnement telles quun filtrage IP laide dun pare-feu peuvent tre mises
en place entre les diffrentes zones. On veillera en particulier cloisonner autant que possible les quipements et flux associs aux tches dadministration.

Guide dhygine informatique

Lorsque le rseau est plat , sans aucun mcanisme de cloisonnement,

chaque machine du rseau peut accder nimporte quelle autre machine.
La compromission de lune delles met alors en pril lensemble des machines
connectes. Un attaquant peut ainsi compromettre un poste utilisateur et
ensuite rebondir jusqu des serveurs critiques.

Pour les rseaux dont le cloisonnement a posteriori ne serait pas ais, il est
recommand dintgrer cette dmarche dans toute nouvelle extension du
rseau ou loccasion dun renouvellement dquipements.

ANSSI, Recommandations pour la dfinition dune politique de filtrage rseau dun pare-feu,
note technique, mars 2013

27

SCURISER LE RSEAU

20

Sassurer de la scurit des

rseaux daccs Wi-Fi et de
la sparation des usages

/Standard

Guide dhygine informatique

Lusage du Wi-Fi en milieu professionnel est aujourdhui dmocratis mais

prsente toujours des risques de scurit bien spcifiques : faibles garanties
en matire de disponibilit, pas de matrise de la zone de couverture pouvant
mener une attaque hors du primtre gographique de lentit, configuration
par dfaut des points daccs peu scurise, etc.
La segmentation de larchitecture rseau doit permettre de limiter les consquences dune intrusion par voie radio un primtre dtermin du systme
dinformation. Les flux en provenance des postes connects au rseau daccs
Wi-Fi doivent donc tre filtrs et restreints aux seuls flux ncessaires.
De plus, il est important davoir recours prioritairement un chiffrement
robuste (mode WPA2, algorithme AES CCMP) et une authentification
centralise, si possible par certificats clients des machines.
La protection du rseau Wi-Fi par un mot de passe unique et partag est dconseille. dfaut, il doit tre complexe et son renouvellement prvu mais
il ne doit en aucun cas tre diffus des tiers non autoriss.
Les points daccs doivent par ailleurs tre administrs de manire scurise
(ex : interface ddie, modification du mot de passe administrateur par dfaut).
Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs (ordinateurs
portables, ordiphones) doit tre spare des connexions Wi-Fi des terminaux
de lentit (ex : SSID et VLAN distincts, accs Internet ddi).

ANSSI, Recommandations de scurit relatives aux rseaux Wi-Fi, note technique, septembre
2013

28

21

Utiliser des protocoles rseaux

scuriss ds quils existent

SCURISER LE RSEAU

/Standard

Bien quil soit difficile den dresser une liste exhaustive, les protocoles les plus
courants reposent sur lutilisation de TLS et sont souvent identifiables par
lajout de la lettre s (pour secure en anglais) lacronyme du protocole.
Citons par exemple https pour la navigation Web ou IMAPS, SMTPS ou
POP3S pour la messagerie.

Guide dhygine informatique

Si aujourdhui la scurit nest plus optionnelle, cela na pas toujours t le cas.

Cest pourquoi de nombreux protocoles rseaux ont d voluer pour intgrer
cette composante et rpondre aux besoins de confidentialit et dintgrit
quimpose lchange de donnes. Les protocoles rseaux scuriss doivent
tre utiliss ds que possible, que ce soit sur des rseaux publics (Internet par
exemple) ou sur le rseau interne de lentit.

Dautres protocoles ont t conus de manire scurise ds la conception pour

se substituer danciens protocoles non scuriss. Citons par exemple SSH
(Secure SHell) venu remplacer les protocoles de communication historiques
TELNET et RLOGIN.

ANSSI, Recommandations pour un usage scuris d[OPEN] SSH, note technique, aot 2016

29

SCURISER LE RSEAU

22

Mettre en place une passerelle

daccs scuris Internet

/Standard

Guide dhygine informatique

Laccs Internet, devenu indispensable, prsente des risques importants : sites

Web hbergeant du code malveillant, tlchargement de fichiers toxiques
et, par consquent, possible prise de contrle du terminal, fuite de donnes
sensibles, etc. Pour scuriser cet usage, il est donc indispensable que les terminaux utilisateurs naient pas daccs rseau direct Internet.
Cest pourquoi il est recommand de mettre en uvre une passerelle scurise daccs Internet comprenant au minimum un pare-feu au plus prs de
laccs Internet pour filtrer les connexions et un serveur mandataire (proxy)
embarquant diffrents mcanismes de scurit. Celui-ci assure notamment
lauthentification des utilisateurs et la journalisation des requtes.
/Renforc

Des mcanismes complmentaires sur le serveur mandataire pourront tre

activs selon les besoins de lentit : analyse antivirus du contenu, filtrage par
catgories dURLs, etc. Le maintien en condition de scurit des quipements
de la passerelle est essentiel, il fera donc lobjet de procdures respecter.
Suivant le nombre de collaborateurs et le besoin de disponibilit, ces quipements pourront tre redonds.
Par ailleurs, pour les terminaux utilisateurs, les rsolutions DNS en direct
de noms de domaines publics seront par dfaut dsactives, celles-ci tant
dlgues au serveur mandataire.
Enfin, il est fortement recommand que les postes nomades tablissent au
pralable une connexion scurise au systme dinformation de lentit pour
naviguer de manire scurise sur le Web travers la passerelle.

30

23

Cloisonner les services visibles

depuis Internet du reste du
systme dinformation

SCURISER LE RSEAU

Une entit peut choisir dhberger en interne des services visibles sur Internet
(site web, serveur de messagerie, etc.). Au regard de lvolution et du perfectionnement des cyberattaques sur Internet, il est essentiel de garantir un
haut niveau de protection de ce service avec des administrateurs comptents,
forms de manire continue ( ltat de lart des technologies en la matire)
et disponibles. Dans le cas contraire, le recours un hbergement externalis
auprs de professionnels est privilgier.
De plus, les infrastructures dhbergement Internet doivent tre physiquement
cloisonnes de toutes les infrastructures du systme dinformation qui nont
pas vocation tre visibles depuis Internet.
Enfin, il convient de mettre en place une infrastructure dinterconnexion de
ces services avec Internet permettant de filtrer les flux lis ces services de
manire distincte des autres flux de lentit. Il sagit galement dimposer le
passage des flux entrants par un serveur mandataire inverse (reverse proxy)
embarquant diffrents mcanismes de scurit.

Guide dhygine informatique

/Standard

ANSSI, Guide de dfinition dune architecture de passerelle dinterconnexion scurise, note

technique, dcembre 2011
ANSSI, Matriser les risques de linfogrance, guide, dcembre 2010

31

SCURISER LE RSEAU

24

Protger sa messagerie
professionnelle

/Standard

Guide dhygine informatique

La messagerie est le principal vecteur dinfection du poste de travail, quil

sagisse de louverture de pices jointes contenant un code malveillant ou du
clic malencontreux sur un lien redirigeant vers un site lui-mme malveillant.
Les utilisateurs doivent tre particulirement sensibiliss ce sujet : lexpditeur
est-il connu ? Une information de sa part est-elle attendue ? Le lien propos
est-il cohrent avec le sujet voqu ? En cas de doute, une vrification de lauthenticit du message par un autre canal (tlphone, SMS, etc.) est ncessaire.
Pour se prmunir descroqueries (ex : demande de virement frauduleux
manant vraisemblablement dun dirigeant), des mesures organisationnelles
doivent tre appliques strictement.
Par ailleurs, la redirection de messages professionnels vers une messagerie
personnelle est proscrire car cela constitue une fuite irrmdiable dinformations de lentit. Si ncessaire des moyens matriss et scuriss pour laccs
distant la messagerie professionnelle doivent tre proposs.
Que lentit hberge ou fasse hberger son systme de messagerie, elle doit
sassurer :
>> de disposer dun systme danalyse antivirus en amont des botes aux
lettres des utilisateurs pour prvenir la rception de fichiers infects ;
>> de lactivation du chiffrement TLS des changes entre serveurs de messagerie (de lentit ou publics) ainsi quentre les postes utilisateur et les
serveurs hbergeant les botes aux lettres.

32

SCURISER LE RSEAU

/Renforc

Alors que le spam - malveillant ou non - constitue la majorit des courriels

changs sur Internet, le dploiement dun service anti-spam doit permettre
dliminer cette source de risques.
Enfin, ladministrateur de messagerie sassurera de la mise en place des
mcanismes de vrification dauthenticit et de la bonne configuration des
enregistrements DNS publics lis son infrastructure de messagerie (MX,
SPF, DKIM, DMARC).

Guide dhygine informatique

Il est souhaitable de ne pas exposer directement les serveurs de bote aux lettres
sur Internet. Dans ce cas, un serveur relai ddi lenvoi et la rception des
messages doit tre mis en place en coupure dInternet.

ANSSI, Bonnes pratiques pour lacquisition et lexploitation de noms de domaine, guide, fvrier
2015

33

SCURISER LE RSEAU

25

Scuriser les interconnexions

rseau ddies avec
les partenaires

/Standard

Guide dhygine informatique

Pour des besoins oprationnels, une entit peut tre amene tablir une
interconnexion rseau ddie avec un fournisseur ou un client (ex : infogrance, change de donnes informatises, flux montiques, etc.).
Cette interconnexion peut se faire au travers dun lien sur le rseau priv de
lentit ou directement sur Internet. Dans le second cas, il convient dtablir
un tunnel site site, de prfrence IPsec, en respectant les prconisations
de lANSSI.
Le partenaire tant considr par dfaut comme non sr, il est indispensable
deffectuer un filtrage IP laide dun pare-feu au plus prs de lentre des
flux sur le rseau de lentit. La matrice des flux (entrants et sortants) devra
tre rduite au juste besoin oprationnel, maintenue dans le temps et la
configuration des quipements devra y tre conforme.
/Renforc

Pour des entits ayant des besoins de scurit plus exigeants, il conviendra
de sassurer que lquipement de filtrage IP pour les connexions partenaires
est ddi cet usage. Lajout dun quipement de dtection dintrusions peut
galement constituer une bonne pratique.
Par ailleurs la connaissance dun point de contact jour chez le partenaire
est ncessaire pour pouvoir ragir en cas dincident de scurit.

ANSSI, Recommandations de scurit relatives IPsec pour la protection des flux rseau, note
technique, aot 2015
ANSSI, Recommandations pour la dfinition dune politique de filtrage rseau dun pare-feu,
note technique, mars 2013

34

26

Contrler et protger laccs

aux salles serveurs et aux
locaux techniques

SCURISER LE RSEAU

/Standard

Les accs aux salles serveurs et aux locaux techniques doivent tre contrls
laide de serrures ou de mcanismes de contrle daccs par badge. Les
accs non accompagns des prestataires extrieurs aux salles serveurs et aux
locaux techniques sont proscrire, sauf sil est possible de tracer strictement
les accs et de limiter ces derniers en fonction des plages horaires. Une revue
des droits daccs doit tre ralise rgulirement afin didentifier les accs
non autoriss.

Guide dhygine informatique

Les mcanismes de scurit physique doivent faire partie intgrante de la

scurit des systmes dinformation et tre ltat de lart afin de sassurer
quils ne puissent pas tre contourns aisment par un attaquant. Il convient
donc didentifier les mesures de scurit physique adquates et de sensibiliser
continuellement les utilisateurs aux risques engendrs par le contournement
des rgles.

Lors du dpart dun collaborateur ou dun changement de prestataire, il est

ncessaire de procder au retrait des droits daccs ou au changement des
codes daccs.
Enfin, les prises rseau se trouvant dans des zones ouvertes au public (salle
de runion, hall daccueil, couloirs, placards, etc.) doivent tre restreintes ou
dsactives afin dempcher un attaquant de gagner facilement laccs au
rseau de lentreprise.

35

VI
SCURISER LADMINISTRATION

36

27

Interdire laccs Internet

depuis les postes ou serveurs
utiliss pour ladministration
du systme dinformation

SCURISER LADMINISTRATION

VI

/Standard

Pour les autres usages des administrateurs ncessitant Internet (consultation

de documentation en ligne, de leur messagerie, etc.), il est recommand de
mettre leur disposition un poste de travail distinct. dfaut, laccs une
infrastructure virtualise distante pour la bureautique depuis un poste dadministration est envisageable. La rciproque consistant fournir un accs
distant une infrastructure dadministration depuis un poste bureautique
est dconseille car elle peut mener une lvation de privilges en cas de
rcupration des authentifiants dadministration.

Guide dhygine informatique

Un poste de travail ou un serveur utilis pour les actions dadministration ne

doit en aucun cas avoir accs Internet, en raison des risques que la navigation
Web ( travers des sites contenant du code malveillant) et la messagerie (au
travers de pices jointes potentiellement vroles) font peser sur son intgrit.

/Renforc

Concernant les mises jour logicielles des quipements administrs, elles

doivent tre rcupres depuis une source sre (le site de lditeur par
exemple), contrles puis transfres sur le poste ou le serveur utilis pour
ladministration et non connect Internet. Ce transfert peut tre ralis sur
un support amovible ddi.
Pour des entits voulant automatiser certaines tches, la mise en place dune
zone dchanges est conseille.

ANSSI, Recommandations relatives ladministration scurise des systmes dinformation, note

technique, fvrier 2015

37

SCURISER LADMINISTRATION

VI

28

Utiliser un rseau ddi et

cloisonn pour ladministration
du systme dinformation

/Standard

Guide dhygine informatique

Un rseau dadministration interconnecte, entre autres, les postes ou serveurs

dadministration et les interfaces dadministration des quipements. Dans la
logique de segmentation du rseau global de lentit, il est indispensable de
cloisonner spcifiquement le rseau dadministration, notamment vis--vis du
rseau bureautique des utilisateurs, pour se prmunir de toute compromission
par rebond depuis un poste utilisateur vers une ressource dadministration.
Selon les besoins de scurit de lentit, il est recommand :
>> de privilgier en premier lieu un cloisonnement physique des rseaux ds
que cela est possible, cette solution pouvant reprsenter des cots et un
temps de dploiement importants ; /Renforc
>> dfaut, de mettre en uvre un cloisonnement logique cryptographique
reposant sur la mise en place de tunnels IPsec. Ceci permet dassurer
lintgrit et la confidentialit des informations vhicules sur le rseau
dadministration vis--vis du rseau bureautique des utilisateurs ; /Standard
>> au minimum, de mettre en uvre un cloisonnement logique par VLAN.
/Standard

ANSSI, Recommandations relatives ladministration scurise des systmes dinformation, note

technique, fvrier 2015

38

29

Limiter au strict besoin

oprationnel les droits
dadministration sur les
postes de travail

SCURISER LADMINISTRATION

VI

De nombreux utilisateurs, y compris au sommet des hirarchies, sont tents

de demander leur service informatique de pouvoir disposer, par analogie
avec leur usage personnel, de privilges plus importants sur leurs postes de
travail : installation de logiciels, configuration du systme, etc. Par dfaut,
il est recommand quun utilisateur du SI, quelle que soit sa position hirarchique et ses attributions, ne dispose pas de privilges dadministration sur
son poste de travail. Cette mesure, apparemment contraignante, vise limiter
les consquences de lexcution malencontreuse dun code malveillant. La
mise disposition dun magasin toff dapplications valides par lentit du
point de vue de la scurit permettra de rpondre la majorit des besoins.
Par consquent, seuls les administrateurs chargs de ladministration des
postes doivent disposer de ces droits lors de leurs interventions.

Guide dhygine informatique

/Standard

Si une dlgation de privilges sur un poste de travail est rellement ncessaire

pour rpondre un besoin ponctuel de lutilisateur, celle-ci doit tre trace,
limite dans le temps et retire chance.

39

VII
GRER LE NOMADISME

40

30

Prendre des mesures de

scurisation physique des
terminaux nomades

GRER LE NOMADISME

VII

/Standard

En tout premier lieu, les utilisateurs doivent tre sensibiliss pour augmenter
leur niveau de vigilance lors de leurs dplacements et conserver leurs quipements porte de vue. Nimporte quelle entit, mme de petite taille,
peut tre victime dune attaque informatique. Ds lors, en mobilit, tout
quipement devient une cible potentielle voire privilgie.

Guide dhygine informatique

Les terminaux nomades (ordinateurs portables, tablettes, ordiphones) sont,

par nature, exposs la perte et au vol. Ils peuvent contenir localement des
informations sensibles pour lentit et constituer un point dentre vers de
plus amples ressources du systme dinformation. Au-del de lapplication au
minimum des politiques de scurit de lentit, des mesures spcifiques de
scurisation de ces quipements sont donc prvoir.

Il est recommand que les terminaux nomades soient aussi banaliss que
possible en vitant toute mention explicite de lentit dappartenance (par
lapposition dun autocollant aux couleurs de lentit par exemple).
Pour viter toute indiscrtion lors de dplacements, notamment dans les
transports ou les lieux dattente, un filtre de confidentialit doit tre positionn sur chaque cran.
/Renforc

Enfin, afin de rendre inutilisable le poste seul, lutilisation dun support externe
complmentaire (carte puce ou jeton USB par exemple) pour conserver des
secrets de dchiffrement ou dauthentification peut tre envisage. Dans ce
cas il doit tre conserv part.

ANSSI-CDSE, Passeport de conseils aux voyageurs, bonnes pratiques, janvier 2010

41

GRER LE NOMADISME

VII

31

Chiffrer les donnes sensibles,

en particulier sur le matriel
potentiellement perdable

/Standard

Guide dhygine informatique

Les dplacements frquents en contexte professionnel et la miniaturisation

du matriel informatique conduisent souvent la perte ou au vol de celui-ci
dans lespace public. Cela peut porter atteinte aux donnes sensibles de lentit
qui y sont stockes.
Il faut donc ne stocker que des donnes pralablement chiffres sur lensemble
des matriels nomades (ordinateurs portables, ordiphones, cls USB, disques
durs externes, etc.) afin de prserver leur confidentialit. Seul un secret (mot
de passe, carte puce, code PIN, etc.) pourra permettre celui qui le possde
daccder ces donnes.
Une solution de chiffrement de partition, darchives ou de fichier peut tre
envisage selon les besoins. L encore, il est essentiel de sassurer de lunicit
et de la robustesse du secret de dchiffrement utilis.
Dans la mesure du possible, il est conseill de commencer par un chiffrement
complet du disque avant denvisager le chiffrement darchives ou de fichiers.
En effet, ces derniers rpondent des besoins diffrents et peuvent potentiellement laisser sur le support de stockage des informations non chiffres
(fichiers de restauration de suite bureautique, par exemple).

Catalogue des produits et prestataires de service qualifis

42

32

Scuriser la connexion
rseau des postes utiliss en
situation de nomadisme

GRER LE NOMADISME

VII

/Standard

Pour garantir un niveau de scurit optimal, ce tunnel VPN IPsec doit tre
automatiquement tabli et ne pas tre dbrayable par lutilisateur, cest--dire
quaucun flux ne doit pouvoir tre transmis en dehors de ce tunnel.
Pour les besoins spcifiques dauthentification aux portails captifs, lentit peut
choisir de droger la connexion automatique en autorisant une connexion
la demande ou maintenir cette recommandation en encourageant lutilisateur
utiliser un partage de connexion sur un tlphone mobile de confiance.

Guide dhygine informatique

En situation de nomadisme, il nest pas rare quun utilisateur ait besoin de se

connecter au systme dinformation de lentit. Il convient par consquent de
sassurer du caractre scuris de cette connexion rseau travers Internet.
Mme si la possibilit dtablir des tunnels VPN SSL/TLS est aujourdhui
courante, il est fortement recommand dtablir un tunnel VPN IPsec entre
le poste nomade et une passerelle VPN IPsec mise disposition par lentit.

/Renforc

Afin dviter toute rutilisation dauthentifiants depuis un poste vol ou perdu

(identifiant et mot de passe enregistrs par exemple), il est prfrable davoir
recours une authentification forte, par exemple avec un mot de passe et un
certificat stock sur un support externe (carte puce ou jeton USB) ou un
mcanisme de mot de passe usage unique (One Time Password).

ANSSI, Recommandations de scurit relatives IPsec pour la protection des flux rseau, note
technique, aot 2015

43

GRER LE NOMADISME

VII

33

Adopter des politiques

de scurit ddies aux
terminaux mobiles

/Standard

Guide dhygine informatique

Les ordiphones et tablettes font partie de notre quotidien personnel et/ou

professionnel. La premire des recommandations consiste justement ne pas
mutualiser les usages personnel et professionnel sur un seul et mme terminal,
par exemple en ne synchronisant pas simultanment comptes professionnel
et personnel de messagerie, de rseaux sociaux, dagendas, etc.
Les terminaux, fournis par lentit et utiliss en contexte professionnel doivent
faire lobjet dune scurisation part entire, ds lors quils se connectent
au systme dinformation de lentit ou quils contiennent des informations
professionnelles potentiellement sensibles (mails, fichiers partags, contacts,
etc.). Ds lors, lutilisation dune solution de gestion centralise des quipements mobiles est privilgier. Il sera notamment souhaitable de configurer
de manire homogne les politiques de scurit inhrentes : moyen de dverrouillage du terminal, limitation de lusage du magasin dapplications des
applications valides du point de vue de la scurit, etc.
Dans le cas contraire, une configuration pralable avant remise de lquipement et une sance de sensibilisation des utilisateurs est souhaitable.
/Renforc

Entre autres usages potentiellement risqus, celui dun assistant vocal intgr
augmente sensiblement la surface dattaque du terminal et des cas dattaque
ont t dmontrs. Pour ces raisons, il est donc dconseill.

ANSSI, Recommandations de scurit relatives aux ordiphones, note technique, juillet 2015

44

VIII
MAINTENIR LE SYSTME DINFORMATION JOUR

45

MAINTENIR LE SYSTME DINFORMATION JOUR

VIII

34

Dfinir une politique de

mise jour des composants
du systme dinformation

Guide dhygine informatique

/Standard

De nouvelles failles sont rgulirement dcouvertes au cur des systmes et

logiciels. Ces dernires sont autant de portes daccs quun attaquant peut
exploiter pour russir son intrusion dans le systme dinformation. Il est donc
primordial de sinformer de lapparition de nouvelles vulnrabilits (CERTFR) et dappliquer les correctifs de scurit sur lensemble des composants du
systme dans le mois qui suit leur publication par lditeur. Une politique de
mise jour doit ainsi tre dfinie et dcline en procdures oprationnelles.
Celles-ci doivent notamment prciser :
>> la manire dont linventaire des composants du systme dinformation
est ralis ;
>> les sources dinformation relatives la publication des mises jour ;
>> les outils pour dployer les correctifs sur le parc (par exemple WSUS pour
les mises jour des composants Microsoft, des outils gratuits ou payants
pour les composants tiers et autres systmes dexploitation) ;
>> lventuelle qualification des correctifs et leur dploiement progressif
sur le parc.
Les composants obsoltes qui ne sont plus supports par leurs fabricants
doivent tre isols du reste du systme. Cette recommandation sapplique
aussi bien au niveau rseau par un filtrage strict des flux, quau niveau des
secrets dauthentification qui doivent tre ddis ces systmes.

CERT-FR : au sein du COSSI, le Centre gouvernemental de veille, dalerte et de rponse aux

attaques informatiques (CERT-FR) assure le rle de CERT (pour Computer Emergency Response Team) gouvernemental franais. ce titre, il compte parmi ses missions principales
une action de veille technologique informant tout un chacun sur ltat de lart des systmes
et logiciels.

46

35

Anticiper la fin de la
maintenance des logiciels
et systmes et limiter les
adhrences logicielles

MAINTENIR LE SYSTME DINFORMATION JOUR

VIII

/Standard

Pour anticiper ces obsolescences, un certain nombre de prcautions existent :

>> tablir et tenir jour un inventaire des systmes et applications du systme dinformation ;
>> choisir des solutions dont le support est assur pour une dure correspondant leur utilisation ;
>> assurer un suivi des mises jour et des dates de fin de support des logiciels ;
>> maintenir un parc logiciel homogne (la coexistence de versions diffrentes dun mme produit multiplie les risques et complique le suivi) ;
>> limiter les adhrences logicielles, cest--dire les dpendances de fonctionnement dun logiciel par rapport un autre, en particulier lorsque
le support de ce dernier arrive son terme ;
>> inclure dans les contrats avec les prestataires et fournisseurs des clauses
garantissant le suivi des correctifs de scurit et la gestion des obsolescences ;
>> identifier les dlais et ressources ncessaires (matrielles, humaines,
budgtaires) la migration de chaque logiciel en fin de vie (tests de
non-rgression, procdure de sauvegarde, procdure de migration des
donnes, etc.).

Guide dhygine informatique

Lutilisation dun systme ou dun logiciel obsolte augmente significativement

les possibilits dattaque informatique. Les systmes deviennent vulnrables
ds lors que les correctifs ne sont plus proposs. En effet, des outils malveillants
exploitant ces vulnrabilits peuvent se diffuser rapidement sur Internet alors
mme que lditeur ne propose pas de correctif de scurit.

47

IX
SUPERVISER, AUDITER, RAGIR

48

36

Activer et configurer les

journaux des composants
les plus importants

SUPERVISER, AUDITER, RAGIR

IX

/Standard

La premire tape consiste dterminer quels sont les composants critiques

du systme dinformation. Il peut notamment sagir des quipements rseau
et de scurit, des serveurs critiques, des postes de travail dutilisateurs sensibles, etc.
Pour chacun, il convient danalyser la configuration des lments journaliss (format, frquence de rotation des fichiers, taille maximale des fichiers
journaux, catgories dvnements enregistrs, etc.) et de ladapter en consquence. Les vnements critiques pour la scurit doivent tre journaliss et
gards pendant au moins un an (ou plus en fonction des obligations lgales
du secteur dactivits).

Guide dhygine informatique

Disposer de journaux pertinents est ncessaire afin de pouvoir dtecter

dventuels dysfonctionnements et tentatives daccs illicites aux composants
du systme dinformation.

Une tude contextuelle du systme dinformation doit tre effectue et les

lments suivants doivent tre journaliss :
>> pare-feu : paquets bloqus ;
>> systmes et applications : authentifications et autorisations (checs et
succs), arrts inopins ;
>> services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500
pour les services HTTP), traabilit des flux applicatifs aux interconnexions
(URL sur un relai HTTP, en-ttes des messages sur un relai SMTP, etc.) ;
Afin de pouvoir corrler les vnements entre les diffrents composants,
leur source de synchronisation de temps (grce au protocole NTP) doit tre
identique.
49

SUPERVISER, AUDITER, RAGIR

IX

/Renforc

Guide dhygine informatique

Si toutes les actions prcdentes ont t mises en uvre, une centralisation

des journaux sur un dispositif ddi pourra tre envisage. Cela permet de
faciliter la recherche automatise dvnements suspects, darchiver les journaux sur une longue dure et dempcher un attaquant deffacer dventuelles
traces de son passage sur les quipements quil a compromis.

ANSSI, Recommandations de scurit pour la mise en uvre dun systme de journalisation,

note technique, dcembre 2013

50

37

Dfinir et appliquer une

politique de sauvegarde des
composants critiques

SUPERVISER, AUDITER, RAGIR

IX

/Standard

Cette politique doit au moins intgrer les lments suivants :

>> la liste des donnes juges vitales pour lorganisme et les serveurs concerns ;
>> les diffrents types de sauvegarde (par exemple le mode hors ligne) ;
>> la frquence des sauvegardes ;
>> la procdure dadministration et dexcution des sauvegardes ;
>> les informations de stockage et les restrictions daccs aux sauvegardes ;
>> les procdures de test de restauration ;
>> la destruction des supports ayant contenu les sauvegardes.

Guide dhygine informatique

Suite un incident dexploitation ou en contexte de gestion dune intrusion,

la disponibilit de sauvegardes conserves en lieu sr est indispensable la
poursuite de lactivit. Il est donc fortement recommand de formaliser une
politique de sauvegarde rgulirement mise jour. Cette dernire a pour
objectif de dfinir des exigences en matire de sauvegarde de linformation,
des logiciels et des systmes.

Les tests de restauration peuvent tre raliss de plusieurs manires :

>> systmatique, par un ordonnanceur de tches pour les applications importantes ;
>> ponctuelle, en cas derreur sur les fichiers ;
>> gnrale, pour une sauvegarde et restauration entires du systme dinformation.
/Renforc

Un fois cette politique de sauvegarde tablie, il est souhaitable de planifier au

moins une fois par an un exercice de restauration des donnes et de conserver
une trace technique des rsultats.

51

SUPERVISER, AUDITER, RAGIR

IX

38

Procder des contrles et

audits de scurit rguliers
puis appliquer les actions
correctives associes

/Renforc

Guide dhygine informatique

La ralisation daudits rguliers (au moins une fois par an) du systme dinformation est essentielle car elle permet dvaluer concrtement lefficacit
des mesures mises en uvre et leur maintien dans le temps. Ces contrles et
audits permettent galement de mesurer les carts pouvant persister entre
la rgle et la pratique.
Ils peuvent tre raliss par dventuelles quipes daudit internes ou par des
socits externes spcialises. Selon le primtre contrler, des audits techniques et/ou organisationnels seront effectus par les professionnels mobiliss.
Ces audits sont dautant plus ncessaires que lentit doit tre conforme des
rglementations et obligations lgales directement lies ses activits.
lissue de ces audits, des actions correctives doivent tre identifies, leur
application planifie et des points de suivi organiss intervalles rguliers.
Pour une plus grande efficacit, des indicateurs sur ltat davancement du
plan daction pourront tre intgrs dans un tableau de bord ladresse de
la direction.
Si les audits de scurit participent la scurit du systme dinformation en
permettant de mettre en vidence dventuelles vulnrabilits, ils ne constituent jamais une preuve de leur absence et ne dispensent donc pas dautres
mesures de contrle.

Les prestataires daudit de la scurit des systmes dinformation (PASSI) qualifis par
lANSSI dlivrent des prestations daudit darchitecture, de configuration, de code source, de
tests dintrusion et daudit organisationnel et physique.

52

39

Dsigner un rfrent en
scurit des systmes
dinformation et le faire
connatre auprs du personnel

SUPERVISER, AUDITER, RAGIR

IX

/Standard

Ce rfrent devra tre connu de tous les utilisateurs et sera le premier contact
pour toutes les questions relatives la scurit des systmes dinformation :
>> dfinition des rgles appliquer selon le contexte ;
>> vrification de lapplication des rgles ;
>> sensibilisation des utilisateurs et dfinition dun plan de formation des
acteurs informatiques ;
>> centralisation et traitement des incidents de scurit constats ou remonts par les utilisateurs.

Guide dhygine informatique

Toute entit doit disposer dun rfrent en scurit des systmes dinformation
qui sera soutenu par la direction ou par une instance dcisionnelle spcialise
selon le niveau de maturit de la structure.

Ce rfrent devra tre form la scurit des systmes dinformation et la

gestion de crise.
Dans les entits les plus importantes, ce correspondant peut tre dsign
pour devenir le relais du RSSI. Il pourra par exemple signaler les dolances
des utilisateurs et identifier les thmatiques aborder dans le cadre des
sensibilisations, permettant ainsi dlever le niveau de scurit du systme
dinformation au sein de lorganisme.

53

SUPERVISER, AUDITER, RAGIR

IX

40

Dfinir une procdure de

gestion des incidents de scurit

/Standard

Guide dhygine informatique

Le constat dun comportement inhabituel de la part dun poste de travail ou

dun serveur (connexion impossible, activit importante, activits inhabituelles, services ouverts non autoriss, fichiers crs, modifis ou supprims
sans autorisation, multiples alertes de lantivirus, etc.) peut alerter sur une
ventuelle intrusion.
Une mauvaise raction en cas dincident de scurit peut faire empirer la
situation et empcher de traiter correctement le problme. Le bon rflexe est
de dconnecter la machine du rseau, pour stopper lattaque. En revanche,
il faut la maintenir sous tension et ne pas la redmarrer, pour ne pas perdre
dinformations utiles pour lanalyse de lattaque. Il faut ensuite prvenir la
hirarchie, ainsi que le rfrent en scurit des systmes dinformation.
Celui-ci peut prendre contact avec un prestataire de rponse aux incidents
de scurit (PRIS) afin de faire raliser les oprations techniques ncessaires
(copie physique du disque, analyse de la mmoire, des journaux et dventuels
codes malveillants, etc.) et de dterminer si dautres lments du systme
dinformation ont t compromis. Il sagira galement dlaborer la rponse
apporter afin de supprimer dventuels codes malveillants et accs dont
disposerait lattaquant et de procder au changement des mots de passe
compromis. Tout incident doit tre consign dans un registre centralis. Une
plainte pourra galement tre dpose auprs du service judiciaire comptent.
Les prestataires de rponse aux incidents de scurit (PRIS) interviennent lorsquune concordance de signaux permet de souponner ou dattester une activit informatique malveillante
au sein dun systme dinformation. La criticit de ces prestations engageant la prennit des
systmes dinformation, lANSSI a labor un rfrentiel dont lobjectif est dapporter aux
commanditaires de telles prestations les garanties ncessaires vis--vis de ces prestataires,
tant en termes de comptence que de confiance.

54

X
POUR ALLER PLUS LOIN

55

POUR ALLER PLUS LOIN

41

Mener une analyse de

risques formelle

/Renforc

Guide dhygine informatique

Chaque entit volue dans un environnement informationnel complexe qui

lui est propre. Aussi, toute prise de position ou plan daction impliquant la
scurit du systme dinformation doit tre considr la lumire des risques
pressentis par la direction. En effet, quil sagisse de mesures organisationnelles
ou techniques, leur mise en uvre reprsente un cot pour lentit qui ncessite
de sassurer quelles permettent de rduire au bon niveau un risque identifi.
Dans les cas les plus sensibles, lanalyse de risque peut remettre en cause
certains choix passs. Ce peut notamment tre le cas si la probabilit dapparition dun vnement et ses consquences potentielles savrent critiques
pour lentit et quil nexiste aucune action prventive pour le matriser.
La dmarche recommande consiste, dans les grandes lignes, dfinir le
contexte, apprcier les risques et les traiter. Lvaluation de ces risques sopre
gnralement selon deux axes : leur probabilit dapparition et leur gravit.
Sensuit llaboration dun plan de traitement du risque faire valider par
une autorit dsigne plus haut niveau.
Trois types dapproches peuvent tre envisags pour matriser les risques
associs son systme dinformation :
>> le recours aux bonnes pratiques de scurit informatique ;
>> une analyse de risques systmatique fonde sur les retours dexprience
des utilisateurs ;
>> une gestion structure des risques formalise par une mthodologie ddie.

56

POUR ALLER PLUS LOIN

Guide dhygine informatique

Dans ce dernier cas, la mthode EBIOS rfrence par lANSSI est recommande. Elle permet dexprimer les besoins de scurit, didentifier les objectifs
de scurit et de dterminer les exigences de scurit.

La mthode danalyse de risques EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) permet dapprcier et de traiter les risques relatifs la scurit des systmes
dinformation (SSI). Elle permet aussi de communiquer leur sujet au sein de lorganisme et
vis--vis de ses partenaires, constituant ainsi un outil complet de gestion des risques SSI.

57

POUR ALLER PLUS LOIN

42

Privilgier lusage de produits et

de services qualifis par lANSSI

/Renforc

Guide dhygine informatique

La qualification prononce par lANSSI offre des garanties de scurit et de

confiance aux acheteurs de solutions listes dans les catalogues de produits
et de prestataires de service qualifis que publie lagence.
Au-del des entits soumises rglementation, lANSSI encourage plus gnralement lensemble des entreprises et administrations franaises utiliser
des produits quelle qualifie, seul gage dune tude srieuse et approfondie
du fonctionnement technique de la solution et de son cosystme.
Sagissant des prestataires de service qualifis, ce label permet de rpondre
aux enjeux et projets de cyberscurit pour lensemble du tissu conomique
franais que lANSSI ne saurait adresser seule. valus sur des critres techniques et organisationnels, les prestataires qualifis couvrent lessentiel des
mtiers de la scurit des systmes dinformation. Ainsi, en fonction de ses
besoins et du maillage national, une entit pourra faire appel un Prestataire
daudit de la scurit des systmes dinformation (PASSI), un Prestataire de
rponse aux incidents de scurit (PRIS), un Prestataire de dtection des
incidents de scurit (PDIS) ou un prestataire de service dinformatique
en nuage (SecNumCloud).

Catalogue des produits et prestataires de service qualifis

58

OUTIL DE SUIVI

I - Sensibiliser et former
1

Former les quipes oprationnelles la scurit

des systmes dinformation

Sensibiliser les utilisateurs aux bonnes pratiques

lmentaires de scurit informatique

Matriser les risques de linfogrance

Standard

Renforc

Standard

Renforc

II - Connaitre le systme dinformation

60

Identifier les informations et serveurs les plus

sensibles et maintenir un schma du rseau

Disposer dun inventaire exhaustif des comptes

privilgis et le maintenir jour

Organiser les procdures darrive, de dpart et

de changement de fonction des utilisateurs

Autoriser la connexion au rseau de lentit aux

seuls quipements matriss

III - Authentifier et contrler les accs

8

Identifier nommment chaque personne

accdant au systme et distinguer les rles
utilisateur/administrateur

Attribuer les bons droits sur les ressources

sensibles du systme dinformation

10

Dfinir et vrifier des rgles de choix et de

dimensionnement des mots de passe

11

Protger les mots de passe stocks sur les

systmes

12

Changer les lments dauthentification par

dfaut sur les quipements et services

13

Privilgier lorsque cest possible une

authentification forte

IV - Scuriser les postes

14

Mettre en place un niveau de scurit minimal

sur lensemble du parc informatique

15

Se protger des menaces relatives lutilisation

de supports amovibles

16

Utiliser un outil de gestion centralise afin

dhomogniser les politiques de scurit

Standard

Renforc

Standard

Renforc

61

17

Activer et configurer le pare-feu local des postes

de travail

18

Chiffrer les donnes sensibles transmises par voie

Internet

V - Scuriser le rseau

62

19

Segmenter le rseau et mettre en place un

cloisonnement entre ces zones

20

Sassurer de la scurit des rseaux daccs Wi-Fi

et de la sparation des usages

21

Utiliser des protocoles scuriss ds quils existent

22

Mettre en place une passerelle daccs scuris

Internet

23

Cloisonner les services visibles depuis Internet du

reste du systme dinformation

24

Protger sa messagerie professionnelle

25

Scuriser les interconnexions rseau ddies avec

les partenaires

26

Contrler et protger laccs aux salles serveurs et

aux locaux techniques

Standard

Renforc

VI - Scuriser ladministration
27

Interdire laccs Internet depuis les postes ou

serveurs utiliss pour ladministration du systme
dinformation

28

Utiliser un rseau ddi et cloisonn pour

ladministration du systme dinformation

29

Limiter au strict besoin oprationnel les droits

dadministration sur les postes de travail

VII - Grer le nomadisme

30

Prendre des mesures de scurisation physique des

terminaux nomades

31

Chiffrer les donnes sensibles, en particulier sur

le matriel potentiellement perdable

32

Scuriser la connexion rseau des postes utiliss

en situation de nomadisme

33

Adopter des politiques de scurit ddies aux

terminaux mobiles

Standard

Renforc

Standard

Renforc

63

VIII - Maintenir jour le systme dinformation

34

Dfinir une politique de mise jour des

composants du systme dinformation

35

Anticiper la fin de la maintenance des logiciels et

systmes et limiter les adhrences logicielles

IX - Superviser, auditer, ragir

64

36

Activer et configurer les journaux des

composants les plus importants

37

Dfinir et appliquer une politique de sauvegarde

des composants critiques

38

Procder des contrles et audits de scurit

rguliers puis appliquer les actions correctives
associes

39

Dsigner un rfrent en scurit des systmes

dinformation et le faire connatre auprs du
personnel

40

Dfinir une procdure de gestion des incidents

de scurit

Standard

Renforc

Standard

Renforc

X - Pour aller plus loin

41

Mener une analyse de risques formelle

42

Privilgier lusage de produits et de services

qualifis par lANSSI

Standard

Renforc

65

BIBLIOGRAPHIE

Guides et mthodes
ANSSI, Bonnes pratiques pour lacquisition et lexploitation de noms de domaine,
guide, fvrier 2015
www.ssi.gouv.fr/guide-bonnes-pratiques/
ANSSI, Expression des Besoins et Identification des Objectifs de Scurit (EBIOS),
mthode, janvier 2010
www.ssi.gouv.fr/ebios/
ANSSI, Guide de lexternalisation Matriser les risques de linfogrance, guide,
dcembre 2010
www.ssi.gouv.fr/externalisation/
ANSSI, Matriser les risques de linfogrance, guide, dcembre 2010
www.ssi.gouv.fr/infogerance/
ANSSI-CDSE, Passeport de conseils aux voyageurs, bonnes pratiques, janvier 2010
www.ssi.gouv.fr/passeport-de-conseils-aux-voyageurs/

Notes techniques
ANSSI, Guide de dfinition dune architecture de passerelle dinterconnexion
scurise, note technique, dcembre 2011
www.ssi.gouv.fr/passerelle-interconnexion/
ANSSI, Recommandations de scurit relatives aux mots de passe, note technique, juin 2012
www.ssi.gouv.fr/mots-de-passe/
66

ANSSI, Recommandations pour la dfinition dune politique de filtrage rseau

dun pare-feu, note technique, mars 2013
www.ssi.gouv.fr/politique-filtrage-parefeu/
ANSSI, Recommandations de scurit relatives aux rseaux Wi-Fi, note technique, septembre 2013
www.ssi.gouv.fr/nt-wifi/
ANSSI, Recommandations pour la mise en uvre dune politique de restrictions
logicielles sous Windows, note technique, dcembre 2013
www.ssi.gouv.fr/windows-restrictions-logicielles/
ANSSI, Recommandations de scurit pour la mise en uvre dun systme de
journalisation, note technique, dcembre 2013
www.ssi.gouv.fr/journalisation/
ANSSI, Recommandations de scurit relatives Active Directory, note technique, septembre 2014
www.ssi.gouv.fr/Active-Directory/
ANSSI, Recommandations relatives ladministration scurise des systmes
dinformation, note technique, fvrier 2015
www.ssi.gouv.fr/securisation-admin-si/
ANSSI, Recommandations de scurit relatives aux ordiphones, note technique,
juillet 2015
www.ssi.gouv.fr/securisation-ordiphones/
ANSSI, Recommandations de scurit relatives IPsec pour la protection des
flux rseau, note technique, aot 2015
www.ssi.gouv.fr/ipsec/
ANSSI, Recommandations de configuration dun systme GNU/Linux, note
technique, janvier 2016
www.ssi.gouv.fr/reco-securite-systeme-linux/
67

Ressources en ligne
Site Web de lANSSI
Catalogue des produits et prestataires de service qualifis
www.ssi.gouv.fr/qualifications/
Twitter
@ANSSI_FR
www.twitter.com/anssi_fr
CERT-FR
www.cert.ssi.gouv.fr
CNIL
www.cnil.fr

Rfrences
Douglas Adams, The Hitchhikers Guide to the Galaxy (ou H2G2), roman de
science-fiction, 1979

68

Version 2.0 - Janvier 2017

20170125-1458
Licence Ouverte/Open Licence (Etalab - V1)
agence nationale de la scurit des systmes dinformation
ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
www.ssi.gouv.fr / communication@ssi.gouv.fr