par Akerva
L’année 2020, au même titre que l’année 2019, connait de fortes séries de cyberattaques très médiatisées. Plusieurs grandes organisations dans le monde ont déjà été confrontées à des situations de cyberattaque et aucune d’entre elles ne souhaite être confrontée à la fuite d’informations ou encore à la perte de ressources, comme cela a été le cas pour Decathlon qui a subi une fuite de 123 millions de données, Estée Lauder (MAC, Michael Kors…) qui a laissé exposer 440 millions de données ou encore pour l’Assistance publique-Hôpitaux de Paris (AP-HP), chargée de gérer 39 hôpitaux publics en Île-de-France, qui a été victime d’un DDoS (Denial-of-service attack).
Les organisations doivent mettre en œuvre des mesures de sécurité complètes afin de protéger les données des clients contre la hausse et la diversification des menaces. Ainsi, pour un renforcement de la sécurité de vos infrastructures sensibles exposées sur internet et en complément des recommandations techniques et méthodologiques de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), voici un ensemble de mesures qui visent à tenir compte des risques qui peuvent affecter la disponibilité, l’intégrité et la confidentialité de votre patrimoine informationnel et que chaque organisation pourra adapter en fonction de son contexte ainsi que de ses enjeux.
Principes de conception d’une infrastructure exposée à internet
Disponibilité
1) Redonder ses serveurs : une simple panne ne doit pas provoquer d’interruption de service visible pour les utilisateurs et les bascules doivent être rapides. La plupart des équipements doivent avoir des capacités de redondance intégrées (alimentation, carte réseau…).
2) L’architecture doit être définie de manière à garantir le niveau de performance attendu par les utilisateurs. De ce fait, le choix d’un équipement réseau ou sécurité doit être effectué uniquement s’il réussit les tests de charge et les tests de robustesse. Par ailleurs, et si possible, aucun équipement réseau et sécurité ne devrait être virtualisé afin de garantir un débit important.
Confidentialité & intégrité
3) La segmentation entre les différents domaines de confiance (DMZ, administration…) devrait être assurée à travers la mise en œuvre de VLAN, interconnectés via des firewalls. Le principe d’architecture N-Tiers doit être respecté lorsque les applications le supportent. Par ailleurs, chaque métier/département devrait disposer d’un VLAN sur la DMZ du Firewall par service utilisé.
4) Le cloisonnement et la traçabilité des flux échangés entre les différentes zones devrait être assuré via des firewalls incluant une protection contre les intrusions ainsi qu’une détection (intégration d’une fonction IPS et IDS).
5) La confidentialité des flux d’administration peut être assurée à travers l’implémentation du principe d’administration en « out of band » (qui évite la paralysie et améliore la Cyber-Résilience), avec des VLAN d’administration systématiquement calqués sur les VLAN de production. En outre, les protocoles choisis pour assurer l’administration des composants doivent intégrer systématiquement du chiffrement (ex. SSH).
6) L’intégrité des flux doit être assurée via les mécanismes intrinsèques des différents protocoles mis en œuvre (protocole TCP, tunnel sécurisé…) ainsi que certaines fonctions de contrôle inhérentes aux firewalls (ex : anti-spoofing).
7) Établir une virtualisation sur les serveurs du back office : cette virtualisation sur ces composants permettrait d’obtenir un niveau de segmentation adéquat pour les environnements mutualisés, en garantissant un cloisonnement total entre les différents services et entre les flux des utilisateurs utilisant le même service.
8) Dans la mesure du possible, les fonctions de filtrage/cloisonnement du Système d’Information doivent être dissociées des fonctions de sécurité avancées (proxy, antimalware, détection d’intrusion, WAF, etc) et ne pas être portées par les mêmes composants physiques.
9) Enfin, des tests de charge doivent être systématiquement réalisés pour les composants firewalls et répartiteurs de charge. Préconisations d’exploitation d’une infrastructure exposée à internet
Services et procédures
10) Disposer d’une procédure ou d’un service de gestion des configurations techniques, en particulier sur la sauvegarde et la restauration en cas d’incident ou de retour arrière.
11) La gestion des flux transitant entre les différentes zones doit être gérée par une procédure de suivi et de validation des échanges ou un service de suivi et de validation des échanges régissant les différents flux. Pour conserver une certaine homogénéité, les ouvertures de flux doivent être réalisées avec les mêmes processus et les mêmes outils.
12) Disposer d’une procédure ou d’un service de gestion des changements, et plus particulièrement pour la qualification et l’application des patchs de sécurité sur les composants de l’infrastructure. Les demandes d’évolutions (ex : montée de version d’un logiciel) ainsi que la mise à disposition de nouveaux services communautaires doivent également être prises en compte.
• Les utilisateurs doivent être avertis environ 5 jours ouvrés avant la réalisation des mises à jour. Il est également important de négocier une plage de maintenance avec les différents utilisateurs (le vendredi à 23h par exemple). Les utilisateurs peuvent être notifiés via des mailing lists et dans certains cas, les services concernés peuvent fournir des explications complémentaires à leurs utilisateurs par téléphone.
13) Disposer d’un service de gestion des incidents et plus particulièrement de détection et de gestion des incidents de sécurité (attaque virale, phishing, déni de service…) à travers notamment un outil de ticketing spécifique (ex : Cerberus).
Vous pouvez organisez la gestion des incidents selon les niveaux suivants :
• Le niveau 1 qui est en mesure d’intervenir 24/24h et 7/7j via un système d’astreinte. (vous pouvez prévoir en horaires non ouvrées, d’assurer la détection des incidents par un autre service).
• Les niveaux 2 et 3 assurés par une équipe d’experts, qui sont en mesure d’escalader auprès des fournisseurs si nécessaire.
14) Disposer d’un service de gestion des vulnérabilités à travers la réception et le traitement des bulletins de sécurité (ex : abonnement CERT) ainsi que de scanners de vulnérabilités (ex : Qualys).
15) Il est important de tracer toutes les opérations d’administration sur les équipements. Les logs de toutes les opérations devraient être stockés dans une base de données pendant une durée de 6 mois. Et bien entendu, les comptes techniques pour exploiter les composants doivent être tous nominatifs.
Astreinte
16) L’accès à distance en cas d’astreinte doit se faire via un portail VPN/SSL, avec authentification forte (ex : via token). Interventions des sociétés de maintenance
17) Support sur site en cas d’incident (ou une intervention sensible) : le fournisseur doit se déplacer physiquement sur site et utiliser le poste de travail de l’organisation ou alors le fournisseur peut prendre la main à distance (ex : via Webex) sur un des postes de travail de l’organisation, en présence d’un collaborateur de l’entreprise qui contrôle les opérations réalisées.
Une telle approche globale de la sécurité des infrastructures peut sembler éreintante, mais lorsque des infrastructures sensibles contenant des données clients, assurantielles ou financières, de valeur et sensibles, sont menacées, des mesures fortes sont essentielles afin de garantir leur protection.
Publiée le 14 avril 2020 par Global Security Mag