Hygiène Informatique : Comprendre et Protéger le réseau interne des menaces l’Internet

Via cette série en partenariat avec ANSSI, Connectikpeople vise à aider les décideurs et entreprises ou les étudiants à mieux appréhender les meilleures règles et notions basiques mais très efficaces d’hygiène informatique dans un environnement où la Cyberguerre, l’espionnage... se font plus véhéments.

Pour cette première nous faisons un focus sur la sécurisation des réseaux internes contre les menaces d’internet.

 En effet un grands nombre d’experts est unanime que l’un des moyens principaux d'infection constatés, est l'infection suite à la connexion sur un site Internet compromis. En conséquence, l'application des règles relatives à la séparation de la navigation sur Internet et de l'administration s'avère impérative.

Ce qu’on peut donc préconiser c’est :

Règle 01 - Interdire la navigation sur Internet depuis les comptes d'administration.

Cette interdiction s’applique en particulier aux machines des administrateurs légitimes du système.

Règle002 - Limiter le nombre de passerelles d'interconnexion avec Internet.

Il faut pour cela mettre en place des services de sécurité correctement configurés (par exemple, conformes à la note Définition d’une architecture de passerelle d’interconnexion sécurisée.

Règle 03 - Vérifier qu'aucun équipement du réseau ne comporte d'interface d'administration accessible depuis l’Internet.

Cela concerne les imprimantes, les serveurs, les routeurs, les commutateurs réseau ainsi que les équipements industriels ou de supervision.

Règle 04 - Éviter l'usage de technologies sans fil (Wifi). Si l’usage de ces technologies ne peut être évité, cloisonner le réseau d’accès Wifi du reste du système d’information.

L’usage des technologies sans fil n’est pas conseillé (faibles garanties en matière de disponibilité, difficultés de définition d’une architecture d’accès sécurisée à faible coût, etc.).

Si de telles technologies doivent être employées, la segmentation de l'architecture réseau doit permettre de limiter les conséquences d'une intrusion depuis la voie radio à un périmètre déterminé. Le cloisonnement du réseau d’accès Wifi du reste du réseau est fortement conseillé : l’interconnexion au réseau principal doit se faire au travers d’une passerelle maîtrisée permettant de tracer les accès et de restreindre les échanges aux seuls flux nécessaires.

De plus, il est important d'avoir prioritairement recours à un chiffrement des réseaux Wifi reposant sur WPA Entreprise (EAP-TLS avec chiffrement WPA2 CCMP) qui permet l’authentification des machines accédant au réseau par certificats clients. Les mécanismes de protection basés sur une clé partagée doivent être proscrits dès lors que des prestataires externes ou un trop grand nombre d'utilisateurs doivent être amenés à accéder à ce réseau Wifi.