Top 5 des configurations de sécurité à mettre en place

Petit à petit, le parc peut s’orienter vers une zone mal bordée et il est important de redéfinir des priorités.

Parmi les priorités à se fixer, la sécurité doit tenir une place essentielle.

N’hésitez pas à combattre l’idée qui dit que « tant que ça fonctionne, on ne touche pas », parce que le jour où il y aura un problème, vous serez en première ligne et tenu pour responsable de n’avoir rien fait ou ne pas l’avoir crié assez fort.

Un parc mal sécurisé peut être une des raisons qui anéantissent tout un système informatique en l’espace de quelques minutes.

La défense en profondeur est une notion importante à garder à l’esprit. Il ne suffit pas d’appliquer une action unique pour se dire que son informatique est sécurisée mais s’attacher à répondre au maximum à plusieurs bonnes pratiques en termes de sécurité.

Nous en avons vu ensemble le mois passé. Ce mois-ci, nous allons continuer de présenter d’autres notions très concrètes et à la fois très efficaces pour minimiser les risques d’alertes de sécurité majeures.

1. Avoir une politique de gestion des mises à jour systèmes et applicatives

Risque : Un système d’exploitation ou une application non mis à jour permet à un attaquant de pénétrer dans le système d’exploitation ou de réaliser différentes attaques (dénis de service, élévation de privilège, etc.)

Solution : Avoir un référentiel des systèmes d’exploitation et applications tierces installées et utiliser un outil de télédistribution pour mettre à jour régulièrement les postes et serveurs (WSUS par exemple pour la partie patch Windows ; Landesk ou les outils Secunia dont j’ai déjà parlé dans un précédent article).

2. Ne pas utiliser plusieurs navigateurs

Risque : Le navigateur est la plus grande porte d’entrée dans votre système d’information. Il s’agit du principal composant qui communique avec le monde extérieur. 90% des attaques aujourd’hui ciblent les navigateurs et les plugins installés.

Solution : Normer un navigateur unique et définir une configuration pour celui-ci. Il faut également avoir un référentiel des plugins chargés et les ajouter dans le processus de mises à jour applicatives (cf le point précédent).

3. Ne pas laisser l’autorun activé et s’assurer qu’il soit toujours bien désactivé

Risque : L’autorun, activé par défaut pendant longtemps sur les systèmes d’exploitation Microsoft, a fait le bonheur des attaques véhiculées à l’insertion des clés USB, ou autre périphérique de stockage de masse. Malheureusement on retrouve encore trop souvent l’autorun activé sur les postes de travail. Cela est notamment lié au fait que certaines applications (comme iTunes par exemple) propose de ré-activer l’autorun lors de son installation…

Solution : Se référer à la KB 967715 pour la désactivation complète ou partielle de l’autorun et prévoir un audit de la valeur modifiée dans le registre afin de s’assurer qu’une application n’a pas remodifié celle-ci.

4. Ne pas utiliser plusieurs annuaires d’authentification pour vos différentes applications

Risque : Si chaque application se repose sur son propre annuaire, la gestion et la sécurité des accès s’en trouvent fortement amoindries. Encore trop de clients continuent de développer des applications sans chercher à se rattacher à l’annuaire existant dans l’entreprise. Le risque est que l’utilisateur ayant à gérer un compte et mot de passe par application se résignera très rapidement à utiliser le même mot de passe pour toutes ses applications.

Un attaquant pourra très facilement récupérer le mot de passe de l’utilisateur, pour peu que l’application soit une application web autorisant l’enregistrement du mot de passe du formulaire d’authentification du navigateur ou bien encore que le mot de passe soit stocké sur le serveur dans un format peu sécurisé en base de données.

Solution : Identifier ce type d’applications et migrer leur authentification vers l’annuaire d’entreprise. Si cela n’est pas réalisable techniquement, il faut sensibiliser les utilisateurs sur l’importance d’utiliser un mot de passe différent pour ces applications.

5. Ne pas autoriser l’enregistrement des mots de passe utilisant une authentification de l’annuaire d’entreprise depuis le navigateur de l’utilisateur

Risque : Si un utilisateur doit s’authentifier avec son compte AD en y indiquant explicitement le nom d’utilisateur et mot de passe, il faut s’assurer que ce mot de passe ne peut pas être enregistré dans le navigateur. Sans quoi, ce mot de passe sera immédiatement accessible par n’importe qui. Ce mot de passe est accessible directement depuis Chrome ou Firefox. Avec Internet Explorer, il faudra utiliser un petit outil tiers pour afficher ces mots de passe. Il s’agit d’une méthode souvent utilisée par un pirate pour récupérer le mot de passe d’un utilisateur.

Solution : Mettre en place une authentification SSO (Single Sign On) si l’application le permet. Cela permet à l’utilisateur de réutiliser son ticket d’authentification Kerberos afin d’accéder au site web sans avoir à saisir à nouveau ses identifiants.

Identifier les applications ne supportant pas le SSO et s’assurer que les mots de passe ne sont pas enregistrés dans le formulaire.

Il existe donc de nombreux axes d’améliorations pour la sécurité de son système d’information.

Cet article ne couvre qu’une petite partie de la partie Système. Mais gardez en tête que les accès réseaux, ou bien même tous les aspects organisationnels d’une entreprise (livraison d’un compte, gestion des départs, etc.) entrent en ligne de compte dans une bonne gestion de sa sécurité.

🚀 Aller plus loin sur le thème de la Sécurité IT avec iTPro.fr :

1. Top 5 des configurations de sécurité à ne pas faire pour un Administrateur Système · iTPro.fr
2. Assises de la Sécurité 2022 : Top 5 des attaques DNS ! · iTPro.fr
3. Cyberattaques : Top 5 des secteurs ciblés en 2021 · iTPro.fr
4. 5 raisons de confiance à un prestataire qualifié ANSSI · iTPro.fr
5. Top 5 des enjeux de modernisation du datacenter · iTPro.fr
6. Sécurité & Flexibilité des réseaux : Top des priorités technologiques (itpro.fr)