Back to Basics: techniques d’audit des fondamentaux de la sécurité
Lors des derniers mois nous avons passé en revue les principaux enjeux de sécurité informatique et la manière de mieux se protéger sur les "fondamentaux". Le but de cet article de synthèse est maintenant de se doter d'outils et de méthodes afin d'évaluer son niveau de sécurité réel vis à vis de ces fondamentaux.
Je rappelle qu'un "audit" est une méthode d'investigation basée sur la vérification d'exigences de référence à l'aide de preuves. Ces preuves peuvent être des documents, des interviews, l'examen d'enregistrements (journaux de logs ou comptes rendus), la visualisation d'écrans de console d'administration ou de configuration, les résultats de tests basés sur des outils (comme les tests d'intrusion) et enfin l’échantillonnage (suffisamment représentatif de la typologie de la cible).
Le résultat de la vérification d'une exigence d'audit est soit "conforme" soit "non-conforme". Dans le cas de notre "back-to-basics" les exigences correspondent justement aux bonnes pratiques vis à vis de ces fondamentaux de la sécurité. Ils ne sont pas issus d'une norme mais correspondent à la compilation de centaines d'audits que j'ai pu mener, pour les points qui font "mal" à chaque fois.
Voici les 20 points que nous allons étudier répartis en 4 catégories:
Postes de travail
1 Gestion des patches y compris les plug-ins navigateur
Comme nous l'avons vu dans l'article "patchez-patchez-patchez !", les pirates utilisent des systèmes de reverse engineering pour retrouver le code source correspondant au patch publié part l'éditeur. Ils obtiennent ainsi le code qui rectifie la vulnérabilité trouvée. Il est alors beaucoup plus simple d'écrire le code d'attaque qui exploite cette vulnérabilité sur toutes les machines non patchées… Il est donc OBLIGATOIRE de patcher les postes de travail dès connaissance d'une vulnérabilité et surtout de son patch correspondant et AUSSI VITE QUE POSSIBLE.
Autant pour les serveurs, les équipements réseaux, les bases de données et les machines autres que Windows comme Linux, l'application du patch doit être réfléchie, testée et validée, autant pour Windows on dispose d'une infrastructure quasi automatique de diffusion avec WSUS.
De plus, la plupart des attaques sur le système Windows ne fonctionnent que pour les postes dont l'utilisateur n'est pas administrateur local. Aussi les pirates ont trouvé une possibilité d'attaque en piégeant le navigateur web en utilisant les failles des plug-ins, j'ai nommé: flash, acrobat, windows media player,
2 Efficacité de l’anti-virus
3 Informations laissées en clair sur les machines notamment les mots de passe
4 Protection de la mise en veille/session et du boot
Réseau, Serveurs & Applications
5 Solidité des mots de passe et mots de passe par défaut – Authentification forte
6 Filtrage des accès internet et des flux sortants (protection et lutte contre la fuite d’informations sensibles)
7 Flux réseau en clair notamment les mots de passe
8 Sécurité des applications web
9 Sécurité des réseaux sans fil
10 Sécurité de la voix sur IP
11 Partages réseau non sécurisés
12 Sécurité de la messagerie, chiffrement et signature
Mobilité – Internet
13 Sécurisation des accès distants
14 Sécurité des smartphones, tablettes, BYOD, mémoires amovibles etc.
Organisation
15 Gestion des incidents de sécurité
16 Gestion des entrées-sorties-mouvements d’utilisateurs
17 Surveillance et traçabilité des administrateurs IT
18 Traçabilité des événements sécurité – gestion des logs
19 Gestion des mises au rebut des supports de données
20 Charte d’utilisation et respect des données personnelles