Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

lundi 26 septembre 2016

Exemple de politiques de sécurité

Afin de développer une politique de sécurité de l'information, il faut s'appuyer sur des normes et méthodes. Cette tâche est généralement la première mission qu'un RSSI doit réaliser en s'appuyant sur des normes et méthodes reconnues
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

Normes internationales

Une norme reconnue internationalement est la norme ISO 17999 "code of practice for information security management", c'est-à-dire le code de bonne pratique pour la gestion de la sécurité de l'information. Cette norme est un référentiel de bonnes pratiques de sécurité et des contrôles liés à leurs applications.

La norme ISO 17999 est apparue en 2000 dans le monde de la sécurité des systèmes d'information. Elle est destinée aux dirigeants, aux directeurs de système d'information et aux responsables sécurité (Chief Security Officer, RSSI). Elle a été définie afin de répondre au besoin d'un "label de confiance" d'un organisme reconnu internationalement. Tout comme la norme ISO9000, bien connue de tous dans le domaine de la qualité, la norme ISO17999 a pour objectif d'établir un label de confiance reconnu de tous en ce qui concerne la sécurisation de l'information sous un aspect global.

Les échanges de données nationales et internationales entre collaborateurs d'une même organisation, partenaires et clients couplés aux TIC impliquent la nécessité de s'accorder sur une norme pouvant aider à sécuriser l'information et les processus d'échanges. La norme ISO1799 propose un ensemble de mesures organisationnelles et techniques, mais n'impose pas de solution technologique particulière. 

Cette norme accorde une importance particulière à certains aspects cruciaux de la sécurité:

  • le support des dirigeants quand à la mise en oeuvre d'une politique de sécurité et la détermination des moyens humains à y associer;
  • l'identification des menaces propres à l'organisation et l'évaluation des risques associés;
  • la classification des informations afin de ne déployer les moyens que sur celles qui le nécessitent;
  • les dispositions à mettre en œuvre afin d'instaurer une "culture sécurité".

Le groupe dédié à la sécurité de l'information au sein de l'organisme ISO a publié différents rapports liés à la sécurité des systèmes d'information. Certains de ces rapports ne possèdent pas le statut de norme internationale, mais plutôt de guide technique:

  • ISO 13335:
    • concepts et modèles pour la gestion de la sécurité des TIC,
    • techniques pour la gestion des risques relatifs à la sécurité des TIC,
    • techniques pour la gestion de sécurité IT,
    • sélection de sauvegarde,
    • guide pour la gestion de sécurité du réseau;
  • ISO 14516: lignes directrices pour l'utilisation et la gestion des services de tiers de confiance;
  • ISO 15408: critères d'évaluation de la sécurité des TIC;
  • ISO 18044: gestion d'incidents de sécurité de l'information;
  • etc.

Les politiques de sécurité dérivées de normes reconnues, se déclinent en fonction de deux échelles de recommandations:

  • Light Information Security Policy: une politique de sécurité de l'information modeste,
  • Reinforced Information Security Policy: une politique de sécurité de l'information renforcée.

Light Information Security Policy

Matériel, périphériques et équipement divers

  • Fournir une alimentation électrique continue aux équipements critiques.
  • Utiliser des modems PSTN/ISDN ou des lignes DSL avec précaution: toute transmission d'information critique ou confidentielle via ces systèmes de communication doit être réfléchie si aucun outil de protection (cryptographie) n'est utilisé.
  • Contrôler l'infrastructure d'interconnexion informatique (cablâge réseau). Toutes les portes d'accès au réseau doivent être identifiées.
  • Supprimer les données sur les matériels obsolètes qui ne sont plus utilisés. Les systèmes d'exploitation et applications installés peuvent être conservés.
  • Verrouiller chaque station de travail (par exemple via un écran de veille avec verrou) lorsque son utilisateur n'est pas à son poste. Toute station serveur doit impérativement être verrouillée lorsqu'aucun responsable de sa gestion ne l'utilise.

Travail en dehors de locaux de l'organisation et utilisation de personnel externe

  • Définir correctement le cadre associé à la mission d'un prestataire de services informatiques externe. Le prestataire de services ne doit avoir accès qu'aux systèmes ou informations qui sont liés aux tâches relatives à sa mission. En outre, le prestataire de services doit garantir la confidentialité des informations qu'il devra manipuler.
  • Sensibiliser le personnel quant aux risques liés à l'utilisation d'ordinateurs portables par le personnel. Ces risques proviennent de la nature "mobile" de ces équiments et des informations stratégiques qu'ils peuvent contenir.
  • Sensibiliser le personnel quant aux risques liés à l'utilisation d'un accès distant (VPN, télétravail, etc.). En effet, le site de travail distant représente une entrée dont le contrôle est plus difficile.

Contrôle de l'accès aux systèmes d'information et aux contenus qui y sont présents

  • Mettre en place une méthode d'authentification uniforme, maîtrisée et gérée de manière centralisée. Dans la mesure du possible, il est important de ne pas répliquer les comptes informatiques sur chaque poste de travail.
  • Classifier chaque information mise à disposition sur l'infrastructure informatique et l'associer à des profils d'utilisation. Chaque profil identifé sera doté d'un ensemble de droits d'accès lui permettant l'usage des informations qui lui sont liées.
  • Interdire aux utilisateurs "standards" de s'identifier sur leur poste de travail en utilisant un compte d'administrateur local ou réseau. Si un besoin d'accès à des fonctionnalités "système" est nécessaire (par exemple pour installer un programme), le compte propre à l'utilisateur peut être inséré dans le groupe "administrateurs locaux" de son poste de travail, mais en aucun cas de chaque poste de travail de l'organisation. En outre, le mot de passe de l'administrateur local ou réseau doit obligatoirement rester confidentiel au sein du groupe de gestion informatique.
  • Définir une politique de sélection de mot de passe pour les comptes informatiques. Si nécessaire, un compte générique peut être associé à un groupe d'utilisateurs ayant la même fonction. Les mots de passe vides peuvent être tolérés dans certains contextes.
  • Placer les systèmes informatiques sensibles (serveur, router, commutateur, etc.) dans des locaux à accès restreint. L'accès physique à ces locaux sera limité au personnel autorisé.

Traitement de l'information

  • Réserver l'installation et la gestion de l'infrastructure réseau à du personnel qualifié. Une attention particulière sera apportée aux points d'accès sans fil ouverts et aux technologies liées au travail distant (VPN sans firewall interne).
  • Réserver tous les actes d'administration système à du personnel qualifié. Faute de personnel qualifié au sein de l'organisation, on fera appel à une entreprise compétente en la matière dans le cadre d'un contrat bien défini.

Messagerie électronique et accès Internet/Intranet/Extranet

  • Soumettre tout mail (entrant et sortant) et tout document téléchargé à partir d'une source non fiable (Internet par exemple) à une détection des virus et code malicieux. Un outil de protection doit donc être présent sur chaque poste de travail. Une mise à jour quotidienne de celui-ci est indispensabe.
  • Utiliser des outils de confidentialité (zip encrypté par exemple) pour l'échange de courriers électroniques concernant des informations sensibles.
  • Mettre en place un firewall. Cette mise en place se fera suivant le principe de la fermeture globale de toutes les entreés, suivie de l'ouverture des services requis.
  • Traiter avec précaution tout courrier électronique non sollicité.
  • Tout document reçu depuis une source non identifiée doit être considéré comme suspect et immédiatement supprimé.
  • Vérifier les adresses de destinations lors de l'envoi ou du suivi d'un courrier électronique.
  • Envoyer avec discernement les courriers électroniques dont la taille est imposante (plusieurs Mb). Il convient de prendre en compte la capacité de transmission disponible sur le réseau et la capacité potentielle de réception du destinataire afin de ne pas bloquer toute autre transmission.

Politique de sécurité renforcée (Reinforced Information Security Policy)

Matériel, périphériques et équipement divers

  • Fournir une alimentation électrique continue aux équipements critiques (UPS).
  • Prévoir une génératrice de courant comme relais aux UPS.
  • Limiter l'utilisation du fax (appareil ou modem) afin de réduire la potentialité de fuite d'information.
  • Utiliser des modems PSTN/ISDN ou des lignes DSL avec précaution: toute transmission d'information critique ou confidentielle via ces systèmes de communication doit être réfléchie si aucun outil de protection (cryptographie) n'est utilisé.
  • Contrôler l'utilisation des outils d'impression (imprimante locale, imprimante réseau, etc.). Aucune information critique ou confidentielle ne doit être imprimée sans avoir l'assurance que la transmission n'est pas sécurisée. De plus l'utilisation de ressources d'impression distante doit prendre en compte qu'un individu non autorisé peut potentiellement s'emparer des documents imprimés.
  • Contrôler l'infrastructure d'interconnexion informatique (cablâge réseau). Toutes les portes d'accès au réseau doivent être identifiées et chaque porte non utilisée doit être formellement identifiée, voire même déconnectée.
  • Supprimer les données sur les matériels obsolètes qui ne sont plus utilisés.
  • Verrouiller chaque station de travail (par exemple via un écran de veille avec verrou) lorsque son utilisateur n'est pas à son poste. Les mesures nécessaires (par exemple un verrouillage automatique après une certaine période d'inactivité) seront mise en place afin de palier un éventuel manquement de l'utilisateur. Toute station serveur doit impérativement être verrouillée lorsqu'aucun responsable de sa gestion ne l'utilise.
  • Vérifier lors de la mise en place d'un Intranet/Extranet qu'aucune porte dérobée n'a été ouverte. En effet, un telle faille permettrait le contournement des systèmes d'identification mis en place.

Travail en dehors de locaux de l'organisation et utilisation de personnel externe

  • Définir correctement le cadre associé à la mission d'un prestataire de services informatiques externe. Un "Service Level Agreement" doit définir les rôles, droits et obligations auquels le prestataire de service doit se conformer pour garantir le bon fonctionnement des tâches qui lui sont confiées, ainsi que la confidentialité des informations qu'il pourrait être amené à manipuler.
  • Contrôler l'attribution des ordinateurs portables au personnel. L'utilisation de cet ordinateur portable doit être restreinte aux seules applications autorisées dans le cadre de la fonction professionnelle. Pour ce faire, une administration système robuste devra être mise en oeuvre sur le système informatique portable afin de garantir que la règle ne peut être contournée. Finalement, les mesures nécessaires (encryption du disque local, droits utilisateur restreints, système d'authentification forte, etc.) devront être mises en oeuvre afin d'assurer la confidentialité de l'information pouvant être disponible en cas de perte ou de vol de l'équipement mobile.
  • Contrôler l'accès distant (VPN, télétravail, etc.) par le personnel aux ressources informatiques. Les mesures nécessaires (droits utilisateur restreints, système authentification forte, filtrage du trafic réseau non opportun, etc.) devront être mise en oeuvre afin d'assurer une protection complète de l'antenne distante de l'organisation.

Contrôle de l'accès aux systèmes d'information et aux contenus qui y sont présents

  • Mettre en place une méthode d'authentification uniforme, maîtrisée et gérée de manière centralisée. De plus, il est conseillé de pouvoir utiliser cette même infrastructure d'authentification avec les différents systèmes nécessitant une identification d'utilisateur (single sign-on).
  • Classifier chaque information mise à disposition sur l'infrastructure informatique et l'associer à des profils d'utilisation. Chaque profil identifé sera doté d'un ensemble de droits d'accès lui permettant l'usage des informations qui lui sont liées. De plus, les informations identifiées comme critiques ou confidentielles feront l'objet de mesures particulières assurant la sécurité nécessaire (encryption de certains contenus sur leur support de stockage et lors de leur transfert sur le réseau de communication, introduction d'un système d'audit de consultation, etc.).
  • Associer l'accès aux ressources réseau (imprimante, scanner, unité de stockage, Internet, etc.) à un mécanisme d'identification et d'audit. Le matériel nécessaire aux ressources réseau sera en outre protégé contre des accès en mode direct, c'est-à-dire sans passer par le système de contrôle d'accès (file d'impression sur serveur obligatoire, proxy pour Internet, etc.).
  • Réserver les droits "administrateur" aux membres du groupe d'administration informatique. Tous les postes de travail doivent être administrés de telle sorte qu'aucune opportunité d'obtention de tels droits système ne soit possible par du personnel non autorisé.Ceci inclut l'impossibilié pour un utilisateur de modifier (ajout/suppression de programme) la configuration et la stabilité de son poste de travail . De plus chaque poste de travail ne comportera que les applications indispensables à la réalisation des tâches associées à la fonction de l'utilisateur de ce poste.
  • Définir une politique de sélection de mot de passe pour les comptes informatiques. Aucun compte générique ne pourra être associé à un groupe d'utilisateurs ayant la même fonction. Les mots de passe vides ne sont pas tolérés et la durée de validité sera déterminée, avec un système de renouvellement forcé. Pour le groupe d'administration informatique, chaque responsable aura son propre compte associé aux droits d'administrateur système et toutes les actions d'administration seront réalisées sous l'identité effective du responsable. De plus, un système d'audit sera mis en place pour permettre la tracabilité des actions réalisées.
  • Placer les systèmes informatiques sensibles (serveur, router, commutateur, etc.) dans des locaux à accès restreint. L'accès physique à ces locaux sera limité au personnel autorisé. Le local sera fermé et un mécanisme d'identification (bagde électronique, code personnel, etc.) sera mis en place, de même qu'un système d'audit, si cela est possible. Une attention particulière sera accordée au panneau d'interconnexion réseau (patch pannel). Son accès sera de préférence limité par une armoire fermée réservée aux responsables réseau.
  • Réaliser toutes les opérations d'administration distante via des communications sécurisées (par exemple SSH, terminal serveur, etc.). L'objectif est de ne pas transmettre de paramètres d'authentification de compte d'administration en clair et sans protection.

Traitement de l'information

  • Réserver l'installation et la gestion de l'infrastructure réseau à du personnel qualifié. Aucune connexion à l'infrastructure ne doit être possible sans l'intervention du personnel responsable (filtrage d'adresse ethernet MAC, désactivation des portes non-utilisées sur le commutateur, instauration de règles de filtrage firewall pour le trafic interne à l'organisation, etc.). En outre tout ajout de systèmes de communication sans fil (WiFi) devra être associé à une encryption forte (WPA et non WEP) et les accès distants (VPN) seront soumis à un contrôle strict. Enfin, tout matériel de communication n'étant pas sous le contrôle total du gestionnaire sera proscrit (par rexemple un modem sur les stations de travail).
  • Réserver l'administration "système" à du personnel qualifié appointé par l'organisation.
  • Enregister toute tentative d'accès infructueux à des documents ou au système d'information (log).
  • Analyser à intervalles réguliers les enregistrements des fichiers de logs (access log, error log, authorisation log, etc.). Cette analyse sera réalisée par du personnel compétent. En outre, il est indispensable que chaque système informatique synchronise son horloge avec une horloge de référence (serveur ntp).

Messagerie électronique et accès Internet/Intranet/Extranet

  • Soumettre tout mail (entrant et sortant) et tout document téléchargé à partir d'une source non fiable (Internet par exemple) à une détection des virus et code malicieux. Un outil de protection doit donc être présent sur chaque poste de travail. En outre, une centralisation de la gestion de ces outils doit impérativement être réalisée par les responsables informatiques et la mise à jour du logiciel doit être impérativement réalisée plusieur fois par jour.
  • Réaliser les échanges de courriers électroniques concernant des informations et documents à caractère sensible au moyen d'outils permettant l'encryption des messages suivant un système à clé publique/clé privée. Tout échange de ce type devra en outre être associé à une signature électronique. L'administration des certificats se réalisera d'une manière centralisée par les gestionnaires informatiques.
  • Vérifier lors de la mise en place d'un Intranet/Extranet qu'aucune porte dérobée n'a été ouverte. Avant toute mise en place d'un extranet, une ingénierie des communications réseau doit être réalisée afin de restreindre l'accès aux ressources exclusivement internes à l'organisation à des partenaires disposant des droits d'accès suffisants. De plus, un système d'audit doit être mis en place.
  • Mettre en place un firewall. Cette mise en place se fera suivant le principe de la fermeture globale de toutes les entrées, suivie de l'ouverture des services requis. Le firewall devra être de type "statefull" et les messages de notification enregistrés et conservés (syslog).
  • Traiter avec précaution tout courrier électronique non sollicité. L'administration informatique devra mettre en oeuvre des outils (filtre anti-spam) au niveau du serveur de courrier afin de minimiser au maximum ce type de sollicitations.
  • Tout document reçu depuis une source non identifiée doit être considéré comme suspect et immédiatement supprimé. La direction informatique doit en être informée.
  • Vérifier les adresses de destinations lors de l'envoi ou du suivi d'un courrier électronique.
  • Mettre en place des systèmes évitant l'envoi de courriers électroniques de grande taille. Ces messages pourraient en effet bloquer toute autre transmission. C'est l'administration informatique qui est chargée de cette tâche (par exemple via une règle sur le serveur de courrier).
  • Mettre en oeuvre des outils d'analyse réseau (par exemple IDS) afin d'identifier tout trafic ou comportement anormal. C'est l'administration informatique qui est chargée de cette tâche.
Portail de la Région wallonne