Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

lundi 5 décembre 2016

Sécurisation des systèmes et des applications

La sécurisation des systèmes et des applications s'intègre dans la politique de sécurité d'une organisation. Elle concerne à la fois la gestion des utilisateurs, des vulnérabilités ou tout simplement des systèmes et des applications s'y trouvant
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

Cette tâche doit être assurée par une équipe de personnes spécialisées dans la gestion journalière de la sécurité informatique.

La gestion des utilisateurs

Une bonne séparation entre les tâches à executer et les droits octroyés pour exécuter certaines opérations est absolument nécessaire afin:

  • d'assurer un bon fonctionnement des systèmes,
  • d'éviter des destructions accidentelles de données,
  • d'éviter une perte de la confidentialité.

Sur un système, il est toujours conseillé de fixer les droits d'accès des utilisateurs en fonction de leurs tâches et de leurs responsabilités. Ainsi, les développeurs recevront des droits d'accès à leur environnement de travail, les personnes chargées des test auront aux environnements de test, les utilisateurs finaux auront des droits limités à une ou plusieurs application(s), etc.

Lorsque l'on doit attribuer des droits identiques a plusieurs utilisateurs, il est préférable d'octroyer ces droits à un groupe dans lequel les utilisateurs concernés seront inclus. Les administrateurs systèmes veilleront à être les seuls à gérer ces droits et à avoir accès aux fichiers sensibles: les logs des systèmes, des fichiers de configuration, etc. Pour les systèmes critiques, l'accès doit être permis seulement à un nombre limité de personnes de confiance.

Une attention particulière devrait être accordé aux utilisateurs:

  • occasionnels: un ingénieur, un technicien ou un sous-traitant chargé de réaliser une intervention sur un système et disposant pour ce faire de droits d'accès qui devront être supprimés une fois l'intervention réalisée,
  • fantômes: utilisateurs qui possèdent de droits d'accès à un système ou à une application alors que cela ne devrait pas être le cas.

La gestion des vulnérabilités

Pour assurer la sécurité liée aux vulnérabilités d'un système ou d'une application, l'attitude proactive (prévenir) s'impose par rapport à l'attitude réactive (guérir) habituelle. Cette pro-activité se réalise par:

  • une bonne gestion des correctifs de sécurité au niveau des systèmes avec une mise à jour:
    • automatique ou semi-automatique sur les stations de travail,
    • manuelle sur les serveurs critiques;
  • l'application des correctifs dans les plus bref délais après l'annonce de leurs disponibilités,
  • une bonne information concernant les dernières évolutions au niveau sécurité.

L'attitude réactive est l'attitude adoptée pour régler les problèmes quand ils se présentent:

  • une perte de données,
  • une attaque,
  • une intrusion,
  • de mauvaises configurations,
  • des accès illégaux (utilisateurs fantômes),
  • etc.

Séparer les activités et les données

En général, les règles de bonne conduite imposent que les données liées aux applications soient séparées dse données liées à la gestion de la sécurité. On évitera également de placer sur le même système des applications et des outils de gestion sécurité (gestion des utilisateurs, fichiers de traces, gestion des alertes, etc.).

La maintenance des systèmes

Ne soyez pas le dernier à savoir que votre système ou votre application ne fonctionne plus! Dans la maintenance générale des systèmes, on attire l'attention sur des problèmes qui peuvent surgir en cas de:

  • manque de traces d'activité d'un système ou d'une application suite:
    • à une mauvaise configuration,
    • à une taille importante des fichiers de traces,
    • au manque d'espace disque,
    • etc.
  • manque d'alertes sur des systèmes ou applications,
  • manque de surveillance de l'état des sauvegardes et tests de restauration à partir d'une sauvegarde,
  • etc.
Portail de la Région wallonne