Fiches micro-informatique

LOGIxx
SECURITE LOGIQUE
Objectif
Prsenter des prconisations pour scuriser le poste de travail informatique et son
environnement sous forme de fiches pratiques.

Public concern
Tout utilisateur de loutil informatique et plus particulirement les petites entits ou
entreprises : PME, travailleur indpendant, profession librale, utilisateur nomade

Utilisation du rfrentiel
Chaque fiche traite un sujet prcis et peut tre consulte indpendamment.
Ce rfrentiel est structur par thmes.

Contenu du thme
N de Fiche Titre de la fiche
LOGI01

Contrle d'accs

LOGI02

Chiffrement

LOGI03

Lutte antivirale

Descriptif simplifi et rsum du sujet

Comment mettre en place une interface de
contrle
daccs
permettant
dauthentifier
lutilisateur dun poste de travail.
Comment se protger des risques de divulgation
et daltration dinformations sensibles pour
lentreprise.
Comment protger les machines, les systmes
dexploitation, les programmes et les donnes des
utilisateurs contre les virus et les autres infections.

Les prsentes recommandations ne sauraient mettre en cause la responsabilit du CLUSIF,

elles ne prsentent quun caractre indicatif et ne sauraient prtendre lexhaustivit.

CLUSIF 2012

SECURITE LOGIQUE

Contrle daccs

LOGI01

Contexte
Le poste de travail, en rseau ou en mode autonome, permet tout utilisateur lgitime
en possession des connaissances suffisantes (par exemple : identifiant et mot de passe)
daccder aux donnes, aux applications, aux programmes et aux fichiers.
Objectifs
La mise en place dun mcanisme de contrle daccs permet :
- didentifier et dauthentifier lutilisateur ;
- de grer et dautomatiser les connexions aux applications ;
- douvrir une session utilisateur sur le systme dexploitation ;
- dassurer la cohrence des diffrents maillons de scurit ;
- de valider les diffrents niveaux daccs aux systmes et aux donnes ;
- didentifier et de reconnatre tout poste ou ressource se connectant au SI de
lentreprise.
Recommandations
-

Identifier et authentifier lutilisateur qui souhaite accder au poste de travail ;

valider les connexions ;
autoriser et valider les transactions ;
sassurer des mises jour dhorodatage et de traabilit ;
vrifier priodiquement la validit de lautorisation daccs pendant la dure dune
connexion ;
laborer un annuaire de scurit pour identifier tout poste se connectant au SI de
lentreprise.

Remarques
Laccs lensemble des fonctionnalits et aux applications du poste de travail doit
tre scuris au minimum par un identifiant associ un mot de passe.
Le niveau souhait de robustesse du mcanisme de contrle daccs dterminera le
choix de technologies adaptes. Pour lidentification et lauthentification forte, la carte
puce (ou jeton) et la biomtrie sont des technologies appropries (contrle des
empreintes, rtine de lil).
Pour les postes de travail autonomes ou en rseau, des solutions simples et
accessibles sont prsentes sur le march (cl USB ), les systmes dexploitation
actuels supportant les fonctionnalits de contrle daccs.
La tendance est de dlguer le contrle daccs aux systmes fdrateurs que sont les
annuaires (LDAP, AD), les mta-annuaires (Gestion d'identit, gestion de l'habilitation),
le WebSSO qui facilite lergonomie en vitant de ritrer les tapes dauthentification
pour chaque application scurise (proxy, intranet, application mtier, ) et de
gnraliser lutilisation de certificats de cl publique et dattribut (X509).
Les prsentes recommandations ne sauraient mettre en cause la responsabilit du CLUSIF,
elles ne prsentent quun caractre indicatif et ne sauraient prtendre lexhaustivit.

CLUSIF 2012

SECURITE LOGIQUE

Chiffrement

LOGI02

Contexte
Les risques de divulgation (confidentialit des donnes) et daltration dinformations
(intgrit des donnes) sont de plus en plus levs ; la sensibilit des informations
tend aggraver ces risques.
Les causes identifies les plus courantes sont :
- les vols, en tous lieux, de micro-ordinateurs et surtout de portables ;
- les intrusions et les coutes travers les rseaux en gnral ;
- les infections logiques (diffusion de fichiers par les vers ou rcupration de
donnes par la technique du cheval de Troie) ;
- les erreurs et les malveillances internes lentreprise ;
- les nouvelles technologies de stockage externe miniaturises (cls USB, cartes
puce, disques, disques SSD, cartes mmoire flash) ;
- les mdias de communication sans fil.
Objectifs
A laide dun logiciel de chiffrement des donnes, les personnes non habilites ne peuvent
pas accder aux informations dfinies comme sensibles par lentreprise ou lorganisme.
Recommandations
-

Identifier les informations sensibles ;

former (ou au moins informer) les utilisateurs de la sensibilit de ces informations
et des risques que court lentreprise en cas de divulgation et/ou altration ;
chiffrer toute information sensible sur tout poste de travail, en particulier sur les
portables ;
concernant les portables, ne pas hsiter chiffrer la totalit du support de
stockage ;
privilgier la centralisation de ladministration du logiciel de chiffrement ;
formaliser par une procdure les principes lis la conservation, lintgrit et
aux sauvegardes des cls de chiffrement (en lieu sr, sous forme chiffre ou sous
enveloppe cachete) ;
utiliser des technologies ltat de lart, tout en respectant le cadre lgal du pays
concern dans le domaine du chiffrement.

Remarques
Le chiffrement est lopration qui consiste transformer une donne sous une forme
inexploitable par un tiers qui nen possde pas les cls.
Le chiffrement est consommateur de ressources et est susceptible de ralentir les
performances, sachant que ces critres ne sont pas rdhibitoires pour lemploi de
ces technologies.
Lien utile : le site de lAgence Nationale de la Scurit des Systmes dInformation
(ANSSI), fournit la synthse du cadre lgal en matire de chiffrement
(www.ssi.gouv.fr).
Les prsentes recommandations ne sauraient mettre en cause la responsabilit du CLUSIF,
elles ne prsentent quun caractre indicatif et ne sauraient prtendre lexhaustivit.

CLUSIF 2012

SECURITE LOGIQUE

Lutte antivirale

LOGI03

Contexte
Les systmes informatiques sont rgulirement la cible de programmes malveillants
(virus, vers, chevaux de Troie).
Il existe aujourdhui plusieurs millions de ces programmes.
Des nouveauts techniques et donc de nouvelles familles dinfections ou dattaques
apparaissent rgulirement.
Objectifs
Des moyens doivent tre mis en place pour bloquer et le cas chant liminer les
virus et autres infections qui pourraient affecter les matriels, les systmes
dexploitation, les programmes et les donnes.
Recommandations gnrales
-

Dfinir une politique de scurit du systme dinformation ;

sensibiliser les dcideurs ;
rdiger une charte du bon usage des moyens informatiques (matriels et
rseaux) et des applications associes (messagerie, rseaux sociaux) pour la
sensibilisation des utilisateurs ;
privilgier linstallation des dernires versions ou correctifs des systmes
dexploitation, des programmes, des navigateurs..., afin de se protger au mieux
des vulnrabilits connues ;
valider leur mise en place ;
sassurer de leur actualisation ;
sinscrire aux listes de diffusion dalertes des diteurs dantivirus et consulter les
CERT (Computer Emergency Response Team), les fiches CERTA (Centre
dExpertise gouvernemental de Rponse et de Traitement des Attaques
informatiques) et le CERT-IST ddi la communaut Industrie, Services et
Tertiaire franaise ;
concevoir :
une politique de lutte antivirale spcifique : elle formalise les mesures de
prvention, de surveillance et de correction pour les postes de travail, les
assistants numriques (PDA, Smartphone), les serveurs de fichiers, les
serveurs de messagerie, linfrastructure daccs Internet et les changes avec
les partenaires ;
une politique de gestion de crise : elle anticipe le cas dune infection virale sur
un site ou au sein dune filiale ;
un plan de secours : il dcrit tous les moyens mettre en uvre pour disposer
nouveau de ressources informatiques intgres et fiables (pour les postes de
travail, il sera souvent prfrable de rinstaller le systme dexploitation et les
applications) ;

Les prsentes recommandations ne sauraient mettre en cause la responsabilit du CLUSIF,

elles ne prsentent quun caractre indicatif et ne sauraient prtendre lexhaustivit.

CLUSIF 2012

SECURITE LOGIQUE

Lutte antivirale

LOGI03

une politique de sauvegarde : elle intgre les donnes et les systmes, tout en
prcisant les frquences, le mode de traitement, les supports et le contrle de
la qualit ;
une politique de contrle des supports : elle doit permettre, en appliquant des
rgles simples, de limiter tout risque dinfection quelque soit le support (disque
dur externe, cl USB) et quelle que soit la nature de lchange ;
une conduite tenir : elle consiste former les utilisateurs et organiser la
remonte des incidents et des dysfonctionnements auprs du centre
dassistance technique.
Recommandations techniques
-

Lutilisateur
Travailler en profil adapt et spcifique sa fonction et ses accs en vitant
le mode administrateur.
Le poste de travail et les serveurs
Dployer, si possible aprs validation, automatiquement les correctifs et les
mises jour (systme, antivirus et outils bureautiques) ;
protger laccs aux ressources partages par des mots de passe robustes ;
supprimer les comptes systmes ou de privilge dadministration par dfaut.
Les donnes
Les stocker sur disque logique ou physique distinct du disque ddi au
systme d'exploitation et aux applications. Cela rend simplement plus aise la
rinstallation du systme en cas dinfection.
Les applications
Effectuer des contrles dintgrit tout au long de leur vie ;
affecter des droits de lecture seule, sauf impratif contraire, aux excutables
stocks sur une ressource partage ;
attribuer les justes droits daccs (accs uniquement aux informations
ncessaires avec les droits strictement ncessaires).
Lantivirus et les conseils dutilisation
sauvegarder et centraliser les journaux dvnements ;
planifier des analyses rgulires de ces journaux ;
prendre en compte l'analyse des disques distants, en entre comme en sortie,
mme en cas dventuelle dgradation du dbit ;
activer le mode d'analyse en permanence ;
planifier un scan complet automatique des disques durs ;
protger la configuration par mot de passe.
Les autres produits conseills
Anti-spam, filtrage de contenu, d'URL et de port, systme de dtection
dintrusion (IDS/IPS).

Les prsentes recommandations ne sauraient mettre en cause la responsabilit du CLUSIF,

elles ne prsentent quun caractre indicatif et ne sauraient prtendre lexhaustivit.

CLUSIF 2012

SECURITE LOGIQUE

Lutte antivirale

LOGI03

Recommandations dordre juridique et pratique

-

Consulter la page informative et les liens sur le site Web du CLUSIF

www.clusif.fr ;
recenser les indices, les lments d'information ou de preuves (gravure de CD,
listing, journaux, tmoins, procs-verbaux d'huissiers avec courriers
recommands ) mettre disposition des enquteurs ;
si le contrat dassurance souscrit prend bien en compte les faits gnrateurs
constats et les types d'indemnisation (matriel, perte d'usage ...), effectuer la
dclaration de sinistre auprs de sa compagnie dassurance.

Les prsentes recommandations ne sauraient mettre en cause la responsabilit du CLUSIF,

elles ne prsentent quun caractre indicatif et ne sauraient prtendre lexhaustivit.

CLUSIF 2012