L’administration d’un SI représente une composante fondamentale de la stratégie de sécurisation d’un système. Elle se traduit par un ensemble de mesures techniques et non techniques visant entre autres à maintenir le SI en condition opérationnelle et de sécurité et à gérer des changements mineurs ou des évolutions majeures. Pour aider les administrateurs, les RSSI et les DSI, l’ANSSI a publié ses recommandations relatives à l’administration du SI.
Le guide « RECOMMANDATIONS RELATIVES À L'ADMINISTRATION SÉCURISÉE DES SYSTÈMES D'INFORMATION » de l’ANSSI a vu le jour en 2015. Après une première modification en 2018, un nouveau chapitre sur l’administration par des tiers et l’assistance à distance à été ajouté en 2021. Ce guide décrit les objectifs de sécurité et les principes d’élaboration d’une architecture technique sécurisée d’administration.
Il s’adresse aux administrateurs du système d’information (SI), qu’il s’agisse d’un administrateur interne, c’est-à-dire un salarié de l’entreprise, ou d’un administrateur externe, c’est-à-dire un sous-traitant de l’entité.
Se conformer à ces recommandations avec UserLock
À travers son guide, l’ANSSI partage de nombreuses recommandations pouvant aider les administrateurs du SI à protéger les données de leur entreprise.
Une solution logicielle telle que UserLock peut vous aider à être en conformité avec certaines de recommandations, notamment l’identification, l’authentification et les droits d'administration.
R31 : Journaliser les événements liés aux comptes d'administration
Afin de détecter rapidement une éventuelle compromission, l’ANSSI recommande d’auditer l’usage des comptes d’administrations. La solution logicielle UserLock enregistre et génère des rapports et des audits sur les différents événements de connexion d’un utilisateur Active Directory.
Parmi les informations auditées par UserLock on peut retrouver :
- Le type d’événement de connexion : Ouverture de session, déconnexion, verrouillage, déverrouillage / reconnexion, connexion refusée.
- La source : Nom du poste de travail, nom de la machine ou du périphérique, adresse IP, nom du port, nom du serveur.
- Le temps : Heure de connexion, heure de fermeture de session, heure de verrouillage, heure de déverrouillage, heure de connexion refusée, durée totale de la session.
- L’utilisateur : Nom de domaine, nom d’utilisateur.
Pour aller plus loin, ces rapports et audits concernent autant les comptes utilisateurs que les comptes administrateurs avec des droits privilégiés.
R36 : Privilégier une authentification double facteur pour les actions d'administration
Au sujet de l’authentification, l’ANSSI recommande l’utilisation d’une authentification à double facteur (2FA). Elle recommande alors l’utilisation des facteurs suivants :
- Ce que je sais (ex. : un mot de passe, un code PIN)
- Ce que je suis (ex. : une empreinte biométrique ou oculaire)
- Ce que je possède (ex. : une carte à puce, un jeton logiciel)
Une authentification est considérée comme une authentification multifacteur (MFA) dès qu’elle nécessite au moins deux facteurs de connexion différents. La MFA de UserLock vous permet d’être conforme à cette recommandation, car elle prend en charge les applications d'authentification qui incluent Google Authenticator, Microsoft Authenticator, ou les jetons matériels programmables tels que YubiKey et Token 2.
R38 : Mettre en œuvre une gestion centralisée de l'authentification
L’ANSSI recommande de mettre en œuvre la gestion de l’authentification de manière centralisée et en local. De cette manière cela simplifie la gestion des comptes et cela permet de réagir plus rapidement en cas de compromissions avérée ou suspectée.
UserLock protège toutes les identités Active Directory de votre entreprise (que ce soit sur site, à distance ou sur le cloud) directement depuis la console du logiciel. De ce fait, toutes les actions et événements sont centralisés et vous pouvez accéder à tout en un clin d’œil.
Sauvegarde, journalisation et supervision de la sécurité
R46 : Dédier une zone d'administration à la journalisation
La définition d’une zone de journalisation est une autre recommandation de l’ANSSI. L'analyse des journaux d'événements techniques permet en effet de détecter la compromission du SI. L'archivage de ces informations permet à la criminalistique numérique de mieux comprendre comment une intrusion est possible.
Comme dans d’autres domaines, l’agence invite les administrateurs à respecter la règle du moindre privilège. L’ANSSI insiste sur la nécessité de limiter l'accès aux journaux d'événements aux seules personnes qui ont besoin de les connaître. Dans le cas contraire, les attaquants risquent de supprimer ou de modifier les traces générées afin que leur présence ne soit pas détectée.
UserLock et FileAudit proposent tous deux des journaux d'événements dans un tableau de bord facile à utiliser avec des filtres puissants, offrant une visibilité facile sur les seules données dont vous avez besoin. L'accès de l'administrateur à ces journaux d'événements peut être protégé par une authentification multifacteur.
R47 : Centraliser la collecte des journaux d'événements
L’ANSSI conseille la centralisation des journaux d’événements. La transmission doit se faire de manière centralisée et des équipements vers les services de journalisation.
L'accès de l'administrateur à ces journaux d'événements peut être protégé par une authentification multifacteur.
UserLock suit les événements d'accès des utilisateurs au réseau. En plus des journaux d'événements détaillés sur l'activité des utilisateurs, UserLock propose également un journal de l'activité des administrateurs. Il est ainsi facile de repérer toute compromission d'un compte d'administrateur.
FileAudit vous permet de suivre et d'auditer l'accès aux fichiers, aux dossiers et aux serveurs de fichiers Windows, ainsi qu'au stockage en nuage. Vous pouvez facilement voir quel utilisateur a fait quoi, à quel fichier et quand.
Administration par des tiers et assistance à distance
R67 : Renforcer l'authentification des administrateurs tiers
Afin de protéger l’entité et les données, l’ANSSI suggère que le renforcement de l’authentification des administrateurs s’étende également aux administrateurs tiers (prestataire, sous-traitant, etc.). Elle entend, par là, l’utilisation possible d’un second facteur d’authentification.
Comme évoqué à la recommandation 36, UserLock facilite l’utilisation de l’authentification à double facteur (2FA) pour tous les utilisateurs de votre Windows Active Directory.
Répondez aux recommandations de l’ANSSI relatives à l’administration sécurisée des systèmes d’information avec UserLock et FileAudit
UserLock et FileAudit vous aident à être conforme avec un certain nombre de réglementations traitées dans ce guide. Facile à installer et à prendre en main, vos collaborateurs et administrateurs adopteront rapidement la solution, ce qui vous permettra d’avoir une gestion sécurisée de votre SI.