Le guide d'hygiène de l'ANSSI, une porte d'entrée pour la SSI en entreprise
Présentation
La sécurité des systèmes d’information (SSI) est un enjeu crucial à l’ère numérique. Dans ce contexte, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) joue un rôle majeur en France. Dans cet article, nous allons explorer les différentes facettes de l’ANSSI, son histoire, sa mission, ainsi que le guide d’hygiène qu’elle édite pour renforcer la SSI en entreprise.
Qui est l’ANSSI ?
L’ANSSI, abréviation de l’Agence nationale de la sécurité des systèmes d’information, est un service du Premier ministre français. Elle est rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN). L’ANSSI a été créée par décret le 7 juillet 2009 pour accompagner et sécuriser le développement du numérique en France.
Un peu d’histoire
L’ANSSI est l’héritière d’une longue lignée d’organismes chargés de protéger les informations sensibles de l’État. Cette histoire remonte à 1943 avec la création de la Direction technique du chiffre à Alger. Au fil des années, ces organismes ont évolué pour inclure la protection de l’ensemble des systèmes d’information gouvernementaux. En février 2011, l’ANSSI a publié la Stratégie de la France en matière de défense et de sécurité des systèmes d’information.
Sa mission
L’ANSSI est un service à compétence nationale qui a pour mission première d’assurer la sécurité des systèmes d’information gouvernementaux. Elle joue également un rôle de conseil et de soutien auprès des administrations et des entreprises. Elle accorde une attention particulière aux opérateurs d’importance vitale (OIV) en renforçant sa mission à leur égard.
Le guide d’hygiène édité par l’ANSSI
Le guide d’hygiène édité par l’ANSSI est un outil essentiel pour améliorer la sécurité des systèmes d’information en entreprise. Bien qu’il ne traite pas directement de la sécurité de l’information, il propose des mesures qui contribuent à renforcer la sécurité du système d’information, qui est le pilier des données de toute entité.
Les avantages du guide
Ce guide s’adresse principalement aux PME qui, souvent, manquent de temps et de ressources pour sécuriser efficacement leur système. Il contextualise les besoins, rappelle les objectifs à atteindre, et propose des mesures concrètes, qu’elles soient techniques ou organisationnelles. Il vise à améliorer la sécurité globale du système d’information, incluant les ressources humaines, matérielles et logicielles.
La sécurité numérique est devenue un impératif pour les PME, car elle impacte non seulement leur réputation, mais aussi leur responsabilité envers les données de leurs clients. De plus, avec la prolifération des dispositifs IoT et la hausse des coûts liés aux vols de données, la sécurité est plus que jamais cruciale.
A qui s’adresse-t-il ?
Le Guide d’hygiène informatique de l’ANSSI est destiné aux entités publiques ou privées dotées d’une direction des systèmes d’information (DSI) ou à des professionnels responsables de la sécurité. Il s’applique à l’ensemble des composants du système d’information.
A quoi s’applique-t-il ?
Le guide d’hygiène se divise en 10 chapitres, chacun couvrant des aspects spécifiques de la sécurité informatique :
- Sensibilisation et formation.
- Connaissance du système d’information (SI).
- Authentification et contrôle des accès.
- Sécurisation des postes.
- Sécurisation du réseau.
- Sécurisation de l’administration.
- Gestion du nomadisme.
- Mise à jour du système d’information.
- Supervision, audit et réaction.
- Privilège de l’usage des produits et services qualifiés par l’ANSSI.
Quand réaliser un audit ?
Il est essentiel de ne pas attendre que des problèmes surviennent pour réaliser un audit de sécurité informatique. Toute entreprise peut planifier des audits de manière systématique, à intervalles réguliers. Cela évite que les flux d’informations deviennent incontrôlables avant d’agir.
Comment l’appliquer ?
Le guide de l’ANSSI propose 42 mesures qui servent de référentiel lors de la réalisation d’un audit. Chacune de ces mesures peut être évaluée en fonction de son état d’implémentation selon une échelle de 0 à 4.
Une fois les mesures évaluées, l’auditeur peut élaborer un plan d’action pour celles qui ne sont pas encore implémentées, en fixant des objectifs temporels.
Pourquoi l’appliquer ?
La plupart des attaques informatiques auxquelles l’ANSSI a réagi auraient pu être évitées si les mesures d’hygiène informatique du guide avaient été suivies par les entreprises concernées.
L’outil mis à disposition par ESD Academy
Qui est l’ESD ?
Fondée en 2015, l’ESD Cybersecurity Academy a pour mission d’offrir des formations, certifications et un mastère en cybersécurité pour les organisations francophones et européennes. Elle aspire à rivaliser avec les acteurs étrangers dans le domaine de la formation et de la reconnaissance en sécurité des systèmes d’information.
Fichier Excel
L’ESD met à disposition un outil sur GitHub permettant de réaliser un audit en utilisant le guide d’hygiène de l’ANSSI. Dans cet outil, les 42 mesures du guide sont répertoriées, et les responsables peuvent indiquer si elles sont implémentées, en cours de réflexion, en cours d’implémentation, ou inexistantes au sein de l’entreprise. Cette évaluation permet de calculer des indicateurs de maturité et d’alignement par rapport au guide.
Indicateurs pondérés
Les indicateurs générés par l’outil permettent de visualiser la répartition de la maturité des mesures, les aspects de la sécurité les moins maîtrisés, et l’alignement global par rapport au guide d’hygiène de l’ANSSI. Cela aide les entreprises à identifier leurs points faibles et à définir des objectifs d’amélioration.
En conclusion, le guide d’hygiène de l’ANSSI est une ressource précieuse pour renforcer la sécurité des systèmes d’information en entreprise. Combiné à l’outil mis à disposition par l’ESD Academy, il devient un outil puissant pour évaluer et améliorer la sécurité informatique. Il ne s’agit plus seulement d’une option, mais d’une nécessité pour toute entité soucieuse de préserver ses données, sa réputation, et de répondre aux enjeux croissants de la cybersécurité.
Les référentiels de l’ANSSI en rapport avec les thèmes abordés
Sensibiliser et former
1 – Parmi les mesures de renforcement de la cybersécurité des systèmes industriels, la formation des intervenants occupe une place importante. Le groupe de travail sur la cybersécurité des systèmes industriels, piloté par l’ANSSI, a donc élaboré un guide précisant le contenu pédagogique attendu, ainsi que d’autres aspects annexes afin d’aider les organismes souhaitant délivrer de telles formations.
Guide pour une formation sur la cybersécurité des systèmes industriels
2 – La sensibilisation des Français à la sécurité du numérique est un enjeu majeur. Pour y répondre, l’ANSSI lance son premier cours en ligne, le MOOC SecNumacadémie, qui rend la cybersécurité accessible à tous.
SecNumacadémie – Le MOOC de sensibilisation à la cybersécurité ouvre ses données SecNumacadémie – Le nouvelle formation en ligne met la cybersécurité à la portée de tous
Connaître le système d’information (SI)
Recommandée par l’ANSSI, la démarche d’homologation d’un système d’information est un préalable à l’instauration de la confiance dans les systèmes d’information et dans leur exploitation.
L’homologation est délivrée par une autorité d’homologation pour un système d’information avant sa mise en service opérationnel. L’homologation permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré.
L’homologation de sécurité en neuf étapes simples
Authentifier et contrôler les accès
Pour protéger vos informations, il est nécessaire de choisir et d’utiliser des mots de passe robustes, c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne.
Ce guide développe les aspects d’architecture et de sécurité logique propres aux systèmes de contrôle d’accès utilisant des technologies sans contact, et aux systèmes de vidéoprotection. Comme lors de la rédaction du premier guide, l’ANSSI s’est associée au CNPP pour mener une réflexion intégrant l’ensemble des éléments qui composent ces systèmes. Ce guide est ainsi complémentaire aux référentiels CNPP intitulés :
- Référentiel APSAD D83 – Contrôle d’accès – Document technique pour la conception et l’installation
- Référentiel APSAD R82 – Vidéosurveillance – Règle d’installation
- Référentiel APSAD D32 – Cybersécurité – Document technique pour l’installation de systèmes de sécurité ou de sûreté sur un réseau informatique
Recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection
Sécuriser les postes
Au regard des menaces pesant sur les systèmes d’information (SI) connectés à Internet, les organisations doivent mettre en place les moyens permettant de protéger au mieux les informations dont elles ont la responsabilité. Cela passe par une maîtrise de tous les flux de données entrants et sortants de ces systèmes d’information et donc par la mise en œuvre raisonnée de passerelles sécurisées incontournables par lesquelles transitent les flux de données vers ou en provenance d’Internet.
Recommandations pour choisir des pare-feux maîtrisés dans les zones exposées à Internet
Ce guide présente un certain nombre de caractéristiques s’appliquant à des configurations matérielles. Ces caractéristiques sont définies sous forme d’exigences qui peuvent s’appliquer à un fournisseur de ces configurations matérielles. Elles visent à renforcer la sécurité des matériels acquis par un service informatique. Chaque exigence est accompagnée d’un « objectif de sécurité » qui précise quel est le but recherché.
Exigences de sécurité matérielles
La prévention des incidents et attaques informatiques relève pourtant la plupart du temps de réflexes simples, qui concourent à une protection globale du navire. Le Guide des bonnes pratiques de sécurité informatique à bord des navires, adapte aux spécificités du transport maritime le précédent Guide des bonnes pratiques de l’informatique (CPME – ANSSI, mars 2015).
Guide des bonnes pratiques de sécurité informatique à bord des navires
Sécuriser le réseau
La fonction de sécurité de cloisonnement bénéficie d’une popularité bien moindre que celles de confidentialité et d’intégrité. Un mécanisme de cloisonnement permet de compartimenter un environnement d’exécution en plusieurs parties ne comportant pas les mêmes éléments et ne bénéficiant ni des mêmes droits ni des mêmes ressources. Intuitivement, il s’agit de découper un environnement monolithique à la manière d’un puzzle, sans impact sur le service rendu.
Recommandations pour la mise en place de cloisonnement système
Ces réseaux Wi-Fi sont toutefois souvent vulnérables, et utilisables par des personnes malveillantes afin d’intercepter des données sensibles (informations personnelles, codes de cartes de paiement, données entreprise, etc.). Début 2013, près de la moitié des réseaux Wi-Fi n’utilisent aucun moyen de chiffrement ou utilisent un moyen de chiffrement obsolète. Force est de constater que la problématique de sécurisation des réseaux sans-fil n’est pas toujours bien appréhendée et que les risques encourus restent souvent méconnus. Pourtant, quel que soit l’usage envisagé, et si l’équipement utilisé n’est pas trop ancien, il est souvent possible de procéder assez simplement à un paramétrage robuste et sécurisé d’une borne Wi-Fi.
Recommandations de sécurité relatives aux réseaux Wi-Fi
L’ANSSI a rédigé un guide présentant les différents principes qui permettent de définir l’architecture d’une passerelle d’interconnexion sécurisée en axant les recommandations sur l’interconnexion à Internet qui représente un cas d’usage très fréquent. Il s’adresse en priorité aux architectes et administrateurs réseau. Des connaissances basiques en matière d’architecture réseau sont nécessaires pour appréhender certains des concepts présentés. Ce document décrit un ensemble de concepts ou de recommandations que chacun pourra adapter en fonction de ses contraintes et de ses enjeux.
Deux chapitres respectivement sur la sécurisation de l’accès aux contenus Web et sur la sécurisation du service de messagerie électronique sont notamment proposés.
Définition d’une architecture de passerelle d’interconnexion sécurisée
Ce guide présente une démarche en cinq étapes adaptée aux besoins opérationnels des organisations. Illustré par un exemple concret, il propose une approche pratique et progressive pour avancer pas à pas dans l’élaboration d’une cartographie.
Ce support concerne en premier lieu les Opérateurs d’importance vitale (OIV) mais est utile à toute organisation quelles que soient sa nature, sa taille, la complexité de son système d’information ou sa maturité en la matière.
Cartographie du système d’information
Pour pouvoir mettre en œuvre le déchiffrement de flux TLS de façon maîtrisée, il est nécessaire de disposer, entre autres, d’un niveau de connaissance suffisant dans les deux domaines spécifiques et évolutifs que sont les IGC (Infrastructure de Gestion de Clés) et la cryptographie. Quel que soit le contexte, la mise en place de mécanismes de déchiffrement HTTPS présente des risques dans la mesure où cette opération entraîne la rupture d’un canal sécurisé et expose des données en clair au niveau de l’équipement en charge de l’opération. Lorsqu’un tel déchiffrement est nécessaire, sa mise en œuvre doit s’accompagner de beaucoup de précautions et se faire uniquement après validation de la direction des systèmes d’information voire d’une autorité de niveau supérieur.
Recommandations de sécurité concernant l’analyse des flux HTTPS
Sécuriser l’administration
Dans le cadre de ses missions, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) souhaite décrire dans ce guide technique les objectifs de sécurité et les principes d’architecture permettant l’élaboration d’une architecture technique d’administration. Ce document n’a pas vocation à être exhaustif ni à couvrir l’ensemble des cas d’usage.
Sécuriser l’administration des systèmes d’information
Gérer le nomadisme
Le guide de Bonnes pratiques à l’usage des professionnels en déplacement se situe au carrefour de plusieurs enjeux à savoir la sécurité numérique et la mobilité. C’est pourquoi le ministère de l’Europe et des affaires étrangères et l’ANSSI ont souhaité y rappeler d’une même voix la responsabilité de tous et toutes vis-à-vis des informations que leur confient leurs organisations d’appartenance. Développer cette culture de la sécurité en milieu professionnel, c’est aussi faire naître ou renforcer certains réflexes chez les citoyens.
Partir en mission avec son téléphone, sa tablette ou son ordinateur portable
Le nomadisme numérique désigne toute forme d’utilisation des technologies de l’information permettant à un utilisateur d’accéder au SI de son entité d’appartenance ou d’emploi, depuis des lieux distants, ces lieux n’étant pas maîtrisés par l’entité. Le développement du nomadisme et du télétravail ne cesse de prendre de l’ampleur ces dernières années, et est aujourd’hui au centre des réflexions des directions informatiques. Un nombre croissant d’espaces de cotravail (ou co-working) voit également le jour, par souci de réduction des coûts immobiliers, et par volonté de flexibilité. Cela amène à réfléchir sur la manière de sécuriser ces accès distants au système d’information (SI) de l’entité, afin de gérer les besoins de confidentialité et d’intégrité des données, ainsi que l’authentification des utilisateurs. Ce guide n’a pas pour objectif d’être exhaustif sur la sécurité générale d’une infrastructure informatique, mais bien de se focaliser sur les particularités du nomadisme, afin d’adapter le niveau de sécurité à cette nouvelle façon de travailler.
Recommandations sur le nomadisme numérique
Maintenir le système d’information à jour
Superviser, auditer, réagir.
Cette note technique détaille les prérequis nécessaires à la mise en œuvre d’un système de journalisation efficace et sécurisé et présente les bonnes pratiques permettant de bâtir une architecture de gestion de journaux pérenne, quelle que soit la nature du système d’information.
Recommandations de sécurité pour la mise en œuvre d’un système de journalisation
La PSSI reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d’information (SSI).
Guide d’élaboration de politiques de sécurité des systèmes d’information
Le Guide d’achat de produits de sécurité et de services de confiance qualifiés dans le cadre du RGS facilite la mise en conformité des administrations avec le Référentiel général de sécurité : il présente, au regard du code des marchés publics, la méthodologie relative à l’achat de produits de sécurité et de services de confiance ayant eux-mêmes fait l’objet d’une qualification.
Achat de produits de sécurité et de services de confiance qualifiés dans le cadre du RGS
Pour aller plus loin
EBIOS Risk Manager (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS. Elle propose une boîte à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique. EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.
La méthode EBIOS Risk Manager – Le guide
J’espère que ces corrections vous seront utiles. Si vous avez d’autres questions ou besoin d’aide supplémentaire, n’hésitez pas à demander.