La gestion des risques
1/12 – Périmètre – Internet.
Audit de sécurité sur la navigation internet des utilisateurs :
Le réseau informatique dispose-t-il d’un équipement capable de filtrer les URL visitées (proxy ou firewall) ?
Dispose-t-il de catégories à risques bloquées comme Phishing, Command and Control, Malware, Hacking, Proxy, Adulte, etc. ?
Est-il capable d’authentifier les utilisateurs (couplage AD, Kerberos, portail captif, etc.) ?
Y a-t-il des logs des URL visitées qui sont conservées et analysables (rapport sur l’usage, etc.) ?
L’équipement de filtrage est-il capable de faire de la détection applicative ?
Le réseau dispose-t-il d’un équipement capable de faire de la détection antimalware ?
La détection est-elle active sur les principaux vecteurs de propagation (http, smtp, imap, pop, ftp, smb, etc.) ?
L’analyse supporte-t-elle différents formats de fichiers (exe, doc, excel, pdf, apk, jar, archives, flash, etc.) ? L’équipement est-il capable de faire du decrypt SSL et celui-ci est-il activé ?
La solution est-elle capable de faire une analyse dynamique du fichier et non statique basée sur un hash ?Le réseau dispose-t-il d’un équipement capable de faire de la détection contre les intrusions ?
2/12 – Périmètre – DMZ.
Si des services sont publiés à destination d’internet, il est important d’assurer la sécurité informatique contre les attaques opportunistes comme les attaques ciblées.
Une zone cloisonnée appelée DMZ est-elle en place pour isoler les serveurs publiés sur internet du LAN ?
Les ports ouverts sur internet sont-ils identifiés, limités et nécessaires ?
Un filtre IPS strict est-il en place sur le trafic entrant ?
Voire un Web Application Firewall dans le cadre d’une application web ?
3/12 – Cloisonnement LAN.
Un ransomware type Wannacry ou tout autre piratage peut arriver même si on se pense à l’abri. Par conséquent, il est primordial de limiter l’impact de l’intrusion par un cloisonnement réseau. Quel que soit le scénario, l’intrusion doit être limitée à un pourcentage raisonnable de postes et de serveurs afin de ne pas mettre en péril votre entreprise.
Y a-t-il un cloisonnement strict entre les serveurs support de l’infrastructure et les autres serveurs et utilisateurs ?
Y a-t-il un cloisonnement ou bien des règles de filtrage fines, voire un IPS entre différents groupes d’utilisateurs (standard, VIP), entre les utilisateurs et les serveurs métiers, entre les groupes de serveurs métiers ou encore entre les sites ?
4/12 – Authentification.
La gestion des accès est au cœur des problématiques de sécurité. Il s’agit de faciliter l’accès autorisé aux différents services tout en les protégeant contre les accès non permis.
Les utilisateurs arrivent-ils facilement à retenir leurs mots de passe sans l’écrire et à accéder aux différents services ?
Les authentifications sont-elles centralisées ?
Le nombre de mots de passe à connaître est-il raisonnable ?
Les utilisateurs qui ont la nécessité d’avoir beaucoup d’identifiants différents (services externes non maitrisés par la DSI) ont-ils un gestionnaire de mot de passe robuste ?
Les services critiques et les accès externes disposent-ils d’une authentification forte ? Les anciens utilisateurs sont-ils désactivés ?
5/12 – Mises à jour.
Il est possible de considérer que tout système logiciel comporte des failles non découvertes. Cependant, les éditeurs font de plus en plus d’efforts pour chercher les failles sur leurs propres logiciels. Ils proposent même des primes en cas de découverte par un tiers ! Il y a donc régulièrement des mises à jour de sécurité sur les composantes logicielles dont les codes d’exploitation sont connus ou vont le devenir.
Y a-t-il une stratégie de mise à jour des systèmes d’exploitation (clients et serveurs) ?
Tous les logiciels d’un système sont-ils maîtrisés ?
Y a-t-il une stratégie de mise à jour des logiciels ?
Les logiciels ne pouvant pas être mis à jour et comportant des vulnérabilités sont-ils connus et y a-t-il une stratégie de minimisation du risque ?
6/12 – Antivirus et plus.
Un antivirus aujourd’hui est un outil de sécurité destiné à protéger le poste de travail et le serveur. Il intègre souvent une suite d’outils de sécurité comme l’antivirus, l’analyse comportementale, l’IPS, la sandbox, l’antispam, l’antiphishing, l’analyse des pages web, l’audit du poste notamment.
Les postes de travail et les serveurs sont-ils protégés contre les codes malveillants connus ?
La solution déployée dispose-t-elle d’une suite d’outils de sécurité renforçant son efficacité au-delà de la base de signatures connues ?
Une console de gestion centralisée permet-elle le déploiement de stratégie de sécurité et autres fonctions avancées (audit, monitoring, déploiement de mise à jour, etc.) ?
7/12 – Chiffrement.
En cas de perte/vol d’un périphérique (Téléphone, PC portable), le chiffrement est le rempart qui permet de limiter la perte à un cout matériel. Même chose dans un réseau, le chiffrement point à point est ce qui permet d’empêcher l’interception de données et l’usurpation.
Tous les périphériques nomades embarquant potentiellement des données ou identifiants de l’entreprise sont-ils chiffrés ?
Les accès distants sont-ils chiffrés (VPN) ?
Les accès métiers de l’entreprise sont-ils chiffrés ?
8/12 – Sauvegarde / PRA / PCA.
La sauvegarde est à catégoriser dans « récupération » et non pas « prévention » ou « protection ». C’est évidemment une des solutions qui permet à l’entreprise de reprendre son activité en cas d’incident majeur.
Les données les plus importantes sont-elles biens incluses dans les jeux de sauvegarde ?
Les RTO (durée de restauration donc temps d’indisponibilité) et RPO (temps depuis la dernière sauvegarde, donc données perdues) sont-ils en adéquation avec le besoin ?
La sauvegarde est-elle supervisée ?
La sauvegarde fonctionne-t-elle ?
Arrive-t-on à restaurer les différents types de données ?
La sauvegarde est-elle externalisée ?
Y a-t-il un Plan de Reprise d’Activité (PRA) pour tous les scénarios probables ?
Les RTO et RPO sont-ils en adéquation avec le besoin ?
9/12 – BYOD (Bring Your Own Device).
Avec la multiplication des accès cloud et la mobilité, la situation d’un utilisateur qui utilise un appareil personnel à des fins professionnelles est courante. Cependant, cet usage présente un risque, car l’appareil n’est pas maîtrisé et sécurisé alors qu’il possède des accès et des données de l’entreprise.
Si l’usage BYOD est autorisé, est-il encadré ?
L’usage non maitrisé ou non autorisé du BYOD est-il impossible ?
10/12 – Politique de sécurité informatique.
Une politique de sécurité est un document (ou un ensemble de documents) qui indique les règles de sécurité de l’entreprise.
Disposez-vous d’une politique de sécurité ?
Couvre-t-elle tous les sujets importants ?
Est-elle applicable en condition réelle ?
Les personnes concernées sont-elles informées de son existence ?
11/12 – Sensibilisation.
Il n’y a pas de mise à jour de sécurité pour les humains. Pourtant avec la sensibilisation il est possible de réduire le risque humain et de gagner en sécurité.
Les utilisateurs sont-ils sensibilisés au risque informatique (phishing, malware, vol de données, etc.) ?
Des actions de sensibilisation et des rappels réguliers sont-ils effectués ?
Les nouveaux arrivants sont-ils informés du risque ?
12/12 – Prestataires.
Les prestataires n’appartiennent pas directement au système d’information de l’entreprise et pourtant ils peuvent être le maillon faible de la sécurité.
Les prestataires ont-ils ratifié votre politique de sécurité ?
Les prestataires ont-ils de la donnée ou des accès depuis leur propre matériel ?
Si oui ont-ils été audités ou bien ont-ils montré leur niveau de sécurité en adéquation avec celui de votre système d’information ?
Si votre réponse est « oui » à tous ces points, bravo ! Sinon, contactez moi …