Cybersécurité - Innovations digitales et numériques

ette note technique vise à sensibiliser le lecteur (administrateur, RSSI, DSI, utilisateur) aux enjeux de sécurité d’un navigateur Web. Elle doit le guider dans la mise en œuvre de stratégies de sécurité spécifiques à Microsoft Internet Explorer dans le cadre d’un télé-déploiement en environnement Active Directory.

Dans le cadre de ses travaux sur la sécurisation des navigateurs, l’ANSSI a déjà publié des recommandations de sécurité pour Chrome et en proposera prochainement pour Mozilla Firefox.

L'isolation complète du réseau de téléphonie sur IP est préconiséeLe guide recommande de protéger les téléphones IP à l’aide de codes d’accès spécifiques à chaque utilisateuragrandir la photoCe cloisonnement concerne à la fois le réseau physique et ses équipements actifs (commutateurs), les serveurs et les données (à stocker sur des supports dédiés). Au cas où cette isolation ne serait pas réalisable, ce guide énonce des mesures minimales de cloisonnement.S'en suit une succession de préconisations plus spécifiques comme la protection systématique des téléphones IP à l'aide de codes d'accès spécifiques ou la désactivation des ports Ethernet non-utilisés par les téléphones.En revanche, le guide déconseille de définir explicitement sur chaque port de commutateur Ethernet utilisé pour raccorder les postes IP, l'adresse MAC du téléphone normalement connecté à ce port, « en raison des coûts d’exploitation importants lié au maintien à jour des adresses MAC dans la configuration des commutateurs »

http://www.ssi.gouv.fr/IMG/pdf/NP_securiser_ToIP_NoteTech-v1.pdf

La plupart des attaques sont cependant réalisées via la messagerie électronique des utilisateurs. Rien de nouveau sous le soleil, mais les pirates n’ont aucune raison de changer de tactique tant que ça marche. Les fichiers bureautiques corrompus envoyés par courriel ont donc toujours la côte. « Ces incident pourraient souvent être évités par des mesures simples à mettre en œuvre (sensibilisation des utilisateurs, mesures de filtrage…) » rappelle pourtant le Certa. Et, bien-sûr, rien ne vous empêche de jeter un œil aux guides publiés par l’Anssi… http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf

Au sein de 14 chapitres, le référentiel de l’Anssi répertorie les exigences et recommandations que les prestataires de Cloud (Saas, Iaas et Paas) devront respecter pour être qualifiés. Et propose deux niveaux de sécurité : le premier, dit élémentaire, est conforme aux impératifs propres à la politique de sécurité des systèmes d’information de l’Etat (PSSIE), tandis que le second, dit standard, permet d’assurer le traitement des données de niveau diffusion restreinte (le niveau le plus faible en matière d’information classifiée). Le référentiel prévoit notamment que le stockage et le traitement des données doivent être effectués sur le territoire. Le prestataire doit également proposer un support de premier niveau francophone et installé dans l’Hexagone, revoir au moins une fois par an sa politique de gestion des identités et de contrôle des accès ou encore revalider, à la même fréquence, les droits d’accès des utilisateurs. Cette revalidation est même trimestrielle pour les comptes à privilèges élevés, selon la version du référentiel actuellement disponible. De même, l’Anssi prévoit une généralisation du chiffrement (flux et stockage des données), y compris au niveau élémentaire.

Les besoins en cybersécurité ne cessent d’évoluer, tant du côté des grands comptes que des PME. « On assiste à un mouvement vers la surveillance du SI des entreprises, et donc les MSSP continueront clairement d’être sollicités dans les mois à venir, témoigne l’expert en sécurité. Je ne connais pas de client qui ne se pose pas la question aujourd’hui. »

Pour qu'un message chiffré dans un serveur de messagerie puisse être lu par son destinataire, il est nécessaire, soit de déchiffrer pour le transmettre en clair, ce qui sera très certainement le cas. Soit de l'encoder avec la clé publique du destinataire (voir PGP ou, en plus simple mais moins sécurisé, le plugin SecureGmail pour Gmail), ce qui sera éventuellement possible et même automatisable entre e-mails échangés par les serveurs des FAI et des autres parties prenantes à l'initiative, mais impossible avec les nombreux destinataires qui ne seront pas concernés par la mesure (mise à jour : Stéphane Bortzmeyer souligne qu'il est possible de chiffrer les mails entre serveurs SMTP de façon transparente pour l'utilisateur avec le protocole TLS/SMTP, de plus en plus utilisé).

Répondre aux attaques est votre seule mission ?Non. L’ANSSI a une fonction de réaction aux attaques informatique mais aussi de prévention. Dans le premier cas, nous sommes une autorité de défense sous la direction du premier ministre. Comme je viens de l’expliquer, nous coordonnons la réponse en cas d’attaques vis-à-vis d’une administration ou d’une entreprise. Bref, nous jouons le rôle de pompier avec un centre actif 24h/24 où nous détectons les attaques sur les réseaux. Mais notre mission principale est préventive. Nous aidons à ce que les organisations françaises ayant des infrastructures critiques soient protégées. Nous fournissons des solutions et nous publions aussi beaucoup de guides.

En tout état de cause, plus de 10 ans après avoir commencé à m'intéresser à ces questions, j'en suis arrivé à la conclusion que s'il est impossible à un non-professionnel de sécuriser son ordinateur de façon à empêcher un professionnel motivé d'y pénétrer, il est par contre tout à fait possible de créer des fenêtres de confidentialité, de disparaître le temps d'une connexion, d'apprendre à communiquer de façon furtive, discrète et sécurisée, à échanger des fichiers sans se faire repérer et donc d'avoir "droit à son quart d'heure d’anonymat".