Le Top-20 des mesures de sécurité pour une cyber-défense efficace
Date : 29 Novembre 2012
La version 4.0 du document « 20 Critical Security Controls For Effective Cyber-Defense » a été publiée par le SANS en novembre 2012. Ce document, qui avait été rendu public pour la première fois en août 2009 (il était alors en version 2.1), gagne en popularité et s’impose désormais comme un guide de référence en matière de sécurisation. Il est parfois appelé le CAG (Consensus Audit Guidelines) car sa conception a fait intervenir un grand nombre de contributeurs en relation avec le monde de la défense aux Etats Unis.
Ce document a été conçu pour fournir un guide de sécurisation aux agences et industries sensibles américaines. Il est aussi promu en Grande-Bretagne par le CPNI (centre pour la protection des infrastructures nationales). Il propose une liste des 20 mesures les plus importantes à mettre en place pour contrer les risques d’attaques via le SI d’une organisation. Ces mesures sont classées par ordre d’efficacité, les premières étant celles jugées comme les plus efficaces pour empêcher l’intrusion dans le SI.
Nous présentons ces mesures dans le tableau ci-dessous. Il s’agit de mesures classiques de sécurité en profondeur, mais l’intérêt ici est que d’une part une priorité est donnée, et que d’autre part différents moyens d’atteindre les objectifs fixés sont proposés pour chaque mesure. En particulier, le guide identifie des « Quick wins » : il s’agit des mesures les plus efficaces pour obtenir rapidement un niveau de sécurité satisfaisant dans chaque domaine. Dans le tableau ci-dessous nous listons les 20 Contrôles de Sécurité identifiés par le guide ainsi que des exemples de « Quick win ». Nous avons choisi et reformulé les « Quick wins » de façon à ce que l’on puisse comprendre rapidement l’objectif visé par chacune des 20 catégories.
Libellé du contrôle de sécurité / Exemple de « Quick win » | |
1 | Inventory of Authorized and Unauthorized Devices. Quick win : Avoir un outil d’inventaire capable d’identifier les machines inconnues qui apparaissent sur le réseau. |
2 | Inventory of Authorized and Unauthorized Software. Quick win : Rechercher à intervalle régulier si des logiciels inconnus sont installés sur les machines du parc. |
3 | Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers. Quick win : Sécuriser les systèmes en utilisant des installations types « images disque ») pour chaque type de système. |
4 | Continuous Vulnerability Assessment and Remediation. Quick win : Utiliser des scanners de vulnérabilités pour identifier les installations vulnérables dans le parc. |
5 | Malware Defenses. Quick win : Déployer sur tous les postes des solutions de protection de type antivirus, et désactiver l’auto-run sur les supports amovibles. |
6 | Application Software Security. Quick win : Protéger les applicatifs web des attaques les plus classiques au moyen d’un WAF (Web Application Firewall). |
7 | Wireless Device Control. Quick win : N’autoriser l’accès Wifi que pour des utilisateurs en ayant le besoin, et pour des matériels identifiés. |
8 | Data Recovery Capability. Quick win : Mettre en place des sauvegardes automatiques et hebdomadaires des données et des systèmes d’exploitation. |
9 | Security Skills Assessment and Appropriate Training to Fill Gaps. Quick win : Développer des programmes de sensibilisation en fonction des écarts constatés par rapport à la politique de sécurité. |
10 | Secure Configurations for Network Devices such as Firewalls, Routers, and Switches. Quick win : Vérifier régulièrement que les configurations des équipements réseau sont conformes à la configuration approuvée pour chaque équipement. |
11 | Limitation and Control of Network Ports, Protocols, and Services. Quick win : Désactiver tous les services réseaux qui ne sont pas nécessaires sur chaque système. |
12 | Controlled Use of Administrative Privileges. Quick win : Utiliser un outil d’inventaire pour identifier les comptes administrateurs et vérifier que chaque compte a été autorisé. |
13 | Boundary Defense. Quick win : Mettre en place un système de filtrage (par liste noire ou liste blanche) qui interdit les connexions réseau vers des sites dangereux. |
14 | Maintenance, Monitoring, and Analysis of Audit Logs. Quick win : Mettre en place une gestion des logs de sécurité. |
15 | Controlled Access Based on the Need to Know. Quick win : Placer les informations sensibles sur un VLAN séparé dont l’accès est protégé par un Firewall. |
16 | Account Monitoring and Control. Quick win : Vérifier régulièrement tous les comptes déclarés sur les systèmes, et désactiver ceux qui ne sont plus utiles. |
17 | Data Loss Prevention. Quick win : Mettre en place un chiffrement de disque dur sur les équipements mobiles et sur les équipements stockant des données sensibles. |
18 | Incident Response and Management. Quick win : Vérifier qu’il existe des procédures de réponse sur incident définissant les personnes et les étapes pour le traitement d’un incident. |
19 | Secure Network Engineering. Quick win : Les réseaux doivent respecter une architecture d’au minimum 3-tiers : DMZ, middleware, réseau privé. |
20 | Penetration Tests and Red Team Exercises. Quick win : Effectuer régulièrement des tests d’intrusions internes et externes. |
Le guide impose des mesures strictes que certains jugeront comme contraignantes ou inadaptées à l’environnement informatique actuel. Il est clair par exemple qu’il est bien loin de prendre en compte les problématiques BIOD ou Cloud en vogue aujourd’hui. Mais selon nous, il décrit vraiment ce qu’il faut faire pour avoir une informatique maitrisée d’un point de vue sécurité. Le « Guide de l’hygiène informatique », publié par l’ANSSI en octobre 2012, et le discours de Patrick Pailloux aux Assises de la Sécurité vont eux aussi dans ce sens. Ce Top-20 doit donc être considéré comme la référence de ce que les experts recommandent de faire pour sécuriser une entreprise sensible. En mesurant l’écart à cette référence, on peut avoir une idée du niveau de protection d’une organisation face à une attaque de type APT (Advanced Persistent Threat) : plus l’écart est grand, plus il est probable que l’organisation sera une cible facile en cas d’attaque via son SI.
Pour plus d’informations
- Site officiel pour les « 20 Critical Controls » : http://www.sans.org/critical-security-controls/
- Video de présentation par le CPNI : http://www.youtube.com/watch?v=2xWYMhy-Zds
- Analyse critique de l’initiative : http://www.guerilla-ciso.com/archives/1494