L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret en juillet 2009. Ce service à compétence nationale est rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. L'ANSSI remplace la Direction centrale de la sécurité des systèmes d'information, créée par décret en juillet 2001.
2.1 - Les administrateurs dans l'écosystème du SI de l'entité
« Un administrateur est non seulement un acteur essentiel du système d’information mais aussi un contributeur majeur pour sa sécurité. Il peut être un salarié de l’entité (on parle d’administrateur interne) ou un sous-traitant de l’entité (on parle d’administrateur externe), indépendamment du lieu d’activité. De plus, qu’il soit administrateur technique (réseau, système) ou administrateur métier, les besoins d’accès et de privilèges ne sont généralement pas uniformes ; les administrateurs peuvent être regroupés par catégories. »
UserLock
- Permet aux administrateurs de modifier facilement les droits d'accès (permanents ou temporaires) pour des utilisateurs individuels, des groupes d'utilisateurs ou des unités organisationnelles.
3.1 - Analyse de risques et objectifs de sécurité
« Le premier objectif de sécurité des recommandations de ce guide est de protéger le SI d’administration de toute tentative de compromission. En effet, le scénario de compromission le plus fréquent est l’exécution d’un code malveillant sur le poste d’administration – ou sur un poste sur lequel un administrateur s’est connecté avec ses privilèges d’administrateur. Ce code malveillant peut être introduit par le biais d’une navigation Web, par l’ouverture d’une pièce jointe dans un courriel piégé ou à partir d’un support amovible. »
UserLock : Détection des compromissions
- Surveille toutes les activités de connexion et de déconnexion en temps réel pour s'assurer que les seules personnes qui peuvent accéder aux données vitales sont celles qui en ont besoin. UserLock alerte les administrateurs de toute connexion suspecte, perturbatrice ou inhabituelle en fonction de l'heure, du lieu et de l'appareil.
- Protège contre les accès non autorisés grâce à l’authentification à deux facteurs pour les connexions Windows et les sessions RDP et VPN.
- Renforce les informations d'identification de connexion au réseau uniques avec des restrictions d'accès contextuelles et des rappels utilisateurs, qui aident à vérifier qu'une personne cherchant à accéder au réseau et à l'information à l'intérieur est véritablement qui elle prétend être.
4.3 - Mesures de sécurisation du poste d'administration
« Restreindre les droits d'administration sur le poste d'administration.
Par défaut, les administrateurs ne doivent pas disposer des droits d’administration sur leur poste d’administration. Ces droits doivent être attribués uniquement aux administrateurs en charge de l’administration des postes d’administration. »
UserLock
- Permet aux administrateurs de modifier facilement les droits d'accès (permanents ou temporaires) pour des utilisateurs individuels, des groupes d'utilisateurs ou des unités organisationnelles.
7.1 - Identification
« Utiliser des comptes d'administration dédiés.
L’administrateur doit disposer d’un ou plusieurs comptes d’administration dédiés, distincts de son compte utilisateur. Les secrets d’authentification doivent être différents suivant le compte utilisé. »
UserLock
- Permet à l'administrateur de définir des droits d'accès granulaires pour différents types d'employés afin de garantir qu'ils ne peuvent accéder qu'aux informations dont ils ont besoin pour faire leur travail.
« Journaliser les événements liés aux comptes d'administration.
Les mécanismes d’audit des événements concernant les comptes d’administration doivent être mis en œuvre. En particulier, les journaux suivants doivent être activés : »
- ouvertures/fermetures de session ;
- verrouillage des comptes ;
- gestion des comptes ;
- gestion des groupes de sécurité. »
UserLock
- Enregistre et audite tous les événements d'ouverture de session réseau pour tous les types de session, à partir d'un système central.
7.2 - Authentification
« Privilégier une authentification à double facteur, pour les actions d'administration. Pour les actions d’administration, il est recommandé d’utiliser une authentification comportant au minimum deux facteurs. »
UserLock
- UserLock facilite l’activation de l’authentification à deux facteurs sur les connexions Windows et les sessions RDP et VPN. Vérifiez l'identité de tous les utilisateurs et sécurisez l'accès à votre réseau.
7.3 - Droits d'administration
« Respecter le principe du moindre privilège dans l'attribution des droits d'administration.
Les droits d’administration doivent être mis en œuvre sur l’annuaire des comptes d’administration en respectant le principe du moindre privilège. Dans le cas spécifique des droits les plus privilégiés sur l’annuaire lui-même, seuls des administrateurs du SI d’administration peuvent en disposer. Pour faciliter la gestion des droits d’administration (ajout, modification et suppression), il est recommandé de créer des groupes. Un groupe contient, en fonction du juste besoin opérationnel, l’ensemble des comptes d’administrations devant disposer de droits d’administration homogènes sur une ou plusieurs ressources administrées. Les droits sur ces ressources sont ainsi octroyés aux groupes et non aux comptes. »
UserLock
- Permet aux administrateurs de modifier facilement les droits d'accès (permanents ou temporaires) pour des utilisateurs individuels, des groupes d'utilisateurs ou des unités organisationnelles.
9.2 - Journalisation et supervision de la sécurité
« Centraliser la collecte des journaux d'événements
L’architecture doit prévoir la transmission des journaux d’événements de manière centralisée, depuis les équipements vers les services de journalisation. »
UserLock
- Enregistre et audite tous les événements d'ouverture de session réseau pour tous les types de session, à partir d'un système central.
- UserLock enregistre tous les événements d’accès dans une base de données ODBC (Microsoft Access, SQL Server, MySQL) offrant la capacité de produire des rapports. Ces rapports complets et détaillés peuvent être générés automatiquement (et envoyés par e-mail) à intervalle réguliers.
FileAudit
- Vérifie tous les accès et modifications aux fichiers et dossiers et avertit immédiatement les administrateurs d'un comportement suspect.
- FileAudit regroupe les événements d'accès de plusieurs serveurs de fichiers Windows dans l'Observateur d'accès et les enregistre automatiquement dans une base de données entièrement documentée (SQL Server ou Microsoft Access) et consultable à des fins d'analyse ultérieure.
- Vous pouvez ainsi archiver des années d'activité de fichiers sans dégradation des performances, et obtenir un journal d'audit sécurisé et disponible à tout moment.
