Cyber résilience en entreprise

ISSN : 1960-3444 ISBN : 978-2-409-03138-0

54 €

Pour plus d’informations :

Cyber résilience en entreprise

Enjeux, référentiels et bonnes pratiques

Ce livre sur la cyber résilience en entreprise est destiné aux personnes en charge de mettre en œuvre la sécurité informatique au sein des entreprises (DSI, RSSI, Directeur Cybersécurité, experts et consul- tants…) qui souhaitent comprendre les enjeux et contraintes de la cybersécurité et qui souhaitent s’impliquer dans l’amélioration continue de la sécurité des Systèmes d’Information. Il est un véri- table guide pour la mise en œuvre de la cyber résilience des systèmes d’information reposant sur quatre dimensions : cyber-prévention, cyber-détection, cyber-protection et cyber-remédiation.

Avec une approche pragmatique et progressive, l’auteur expose les enjeux et présente les principaux référentiels et les différentes réglementations en vigueur (NIST CSF, RGPD, ITIL, SecNumCloud, ISO27k, ISO 22031, ISO 20000, HDS). Il fournit ensuite une explication détaillée d’une analyse de risques réalisée avec la méthode EBIOS avant de transmettre au lecteur des bonnes pratiques sur la sécurisation des SI et des workloads dans le cloud public Azure.

Le recours à la sauvegarde externalisée et aux PRA/PCA avec une nouvelle approche de Resilience as a Service est explicité ainsi que la proposition de référentiel sur la sécurité applicative ou encore le fonctionnement et le contenu du SOC (Security Operations Center) idéal.

Pour finir, un chapitre complet est dédié à la présentation d’un exemple permettant de faire valoir au lecteur les bons réflexes à adopter pour l’hébergement de données de santé. Des exemples d’implé- mentation technique de logiciels open source sont également détaillés en annexe, notamment avec la solution de détection d’intrusions Wazuh et le scanner de vulnérabilités OpenVAS.

Sébastien DEON est Directeur des offres Cloud e-Santé chez un opérateur de services hébergés. Expert dans les domaines de l’Hébergement de Données de Santé (HDS) et de la conception de produits et services IT critiques et sensibles depuis plus de 25 ans, il travaille régulièrement sur des projets d’hébergement et de sécurisation de système d’information (architectures de cloud computing privé et public Iaas/Paas/SaaS, cybersécurité, ISO 27k, échange et partage de données en environnement hybride, cartographie de SI, urbanisation, sauvegarde externalisée, PCA/PRA...). Il a notamment conçu et mis en œuvre des infrastructures sécurisées de FAI pour plusieurs milliers de clients, de plateformes HDS et d’opérateurs de messagerie sécurisée. Également chroni- queur, il est auteur de plusieurs livres et vidéos publiés aux Editions ENI.

Cyber résilience en entreprise

Sébastien DEON

Cyber résilience en entreprise Enjeux, référentiels et bonnes pratiques

Enjeux, référentiels et bonnes pratiques

+ QUIZ

Version en ligne

OFFERTE !

pendant 1 an

EP_PT_K.indd 34

EP_PT_K.indd 34 19/07/2021 09:34:4519/07/2021 09:34:45

Avant-propos

Chapitre 1

Contexte et enjeux du paysage cyber

1. Introduction . . . 17

1.1 Cyber . . . 17

1.2 Cyber-sécurité. . . 18

1.3 Protéger . . . 18

1.3.1 Protéger, tout simplement . . . 18

1.3.2 Protéger les actifs numériques . . . 19

1.3.3 Protéger les actifs numériques avec des moyens . . . 19

1.3.4 Protéger les actifs informatiques avec un objectif . . . 21

1.3.5 Protéger spécifiquement la donnée . . . 23

2. Thématiques de la cyber-sécurité . . . 24

2.1 Les cinq domaines de couverture. . . 24

2.2 Le champ réglementaire . . . 26

2.2.1 Loi de programmation militaire (LPM 2018-607). . . 26

2.2.2 La directive Network and Information Security (NIS 2016/1148) . . . 27

2.3 Synthèse . . . 32

3. Les défis de la cyber-sécurité . . . 33

3.1 La double face de la transition numérique . . . 35

3.2 Premiers constats . . . 36

3.3 Premiers remèdes . . . 38

2 Cyber résilience en entreprise

Chapitre 2

Principaux référentiels et guides cyber

1. Introduction . . . 41

2. Le référentiel de cyber-sécurité du NIST. . . 41

2.1 Structure du CSF (CyberSecurity Framework) . . . 42

2.1.1 Framework Core. . . 42

2.1.2 Niveaux de mise en œuvre du CSF (ou Tiers) . . . 47

2.1.3 Profils du CSF . . . 48

2.1.4 La feuille de route . . . 48

2.2 Le CSF en pratique . . . 49

2.2.1 Les sept étapes . . . 49

2.2.2 Livrable CSF . . . 51

2.3 Conclusion sur le NIST CSF . . . 51

3. RGPD - Règlement Général sur la Protection des Données. . . 52

3.1 Préambule . . . 52

3.2 Définition . . . 52

3.3 Articles du RGPD . . . 52

3.4 Cas du registre des activités de traitement . . . 53

3.5 Le rôle du DPO (Data Protection Officer) . . . 54

3.6 Sanctions. . . 55

4. Protection des données de santé à caractère personnel - certification HDS . . . 56

5. La bibliothèque ITIL. . . 56

5.1 Organisation des services IT . . . 56

5.1.1 Verbatim . . . 56

5.1.2 De la culture projet à la culture service. . . 57

5.1.3 Le besoin de référentiels de bonnes pratiques. . . 57

5.2 ITIL V3 . . . 58

5.3 ITIL V4 . . . 61

6. Le référentiel SecNumCloud . . . 61

6.1 Objectif . . . 61

6.2 Principales exigences . . . 62

6.4 Modalités. . . 65

6.5 Estimation macro du coût de mise en œuvre . . . 65

7. Les guides de bonnes pratiques ANSSI . . . 66

7.1 Les guides les plus importants . . . 66

Chapitre 3

Les normes ISO résilience-compatibles

2. Les documents normatifs de la famille ISO/CEI . . . 70

2.1 Normes relatives au management de la sécurité de l'information . . . 70

2.1.1 ISO/CEI 27001 - Système de management de la sécurité de l'information . . . 70

2.1.2 ISO/CEI 27002 - Code de bonne pratique pour le management de la sécurité de l'information . . . . 75

2.1.3 ISO/CEI 27005 - Gestion des risques liés à la sécurité de l'information . . . 76

2.1.4 ISO/CEI 27017 - Contrôles de sécurité du cloud . . . 77

2.1.5 ISO/CEI 27018 - Code de bonnes pratiques pour la protection des informations personnelles identifiables . . 78

2.2 Normes relatives au management de la continuité d'activité . . 79

2.2.1 ISO 22301 - Management de la continuité d'activité. . . . 79

2.3 Norme relative au management des services . . . 85

2.3.1 ISO/CEI 20000 - Management des Services . . . 85

2.4 Norme relative à la protection de la vie privée . . . 87

2.4.1 ISO/CEI 27701 - Responsabilité et confiance pour les informations personnelles . . . 87

3. Schéma d'une cyber-résilience normée . . . 90

4 Cyber résilience en entreprise

Chapitre 4

L'analyse de risques avec EBIOS

1. Introduction . . . 91

2. Présentation de la méthode EBIOS . . . 91

2.1 Définition . . . 91

2.2 Démarche par module . . . 92

2.3 Synoptique . . . 92

3. Module 1 : étude du contexte . . . 93

3.1 Définition du cadre de la gestion des risques . . . 93

3.1.1 Cadrage de l’étude des risques . . . 93

3.1.2 Description du contexte général . . . 94

3.1.3 Périmètre de l'étude . . . 96

3.1.4 Éléments à prendre en compte . . . 98

3.1.5 Sources de menaces . . . 100

3.2 Préparation des métriques . . . 110

3.2.1 Définition des critères de sécurité et élaboration des échelles de besoins . . . 110

3.2.2 Élaboration d’une échelle de niveaux de sécurité de gravité (ECH-NIV-GRA) . . . 116

3.2.3 Élaboration d’une échelle de niveaux de vraisemblance (ECH-NIV-VRA). . . 117

4. Définition des critères de gestion des risques . . . 117

4.1 Identification des biens . . . 120

4.1.1 Identification des biens essentiels, de leurs relations et de leurs dépositaires . . . 120

4.1.2 Identification des biens supports, de leurs relations et de leurs propriétaires . . . 122

4.1.3 Détermination du lien entre les biens essentiels et les biens supports . . . 123

4.1.4 Identification des mesures de sécurité existantes. . . 128

5. EBIOS : la suite des modules . . . 132

Les best practices du SI cyber-sécurisé

1. Introduction . . . 133

2. Éléments d'architecture fondamentale . . . 134

2.1 Entité centrale, appelée "HeadQuarter" (HQ). . . 134

2.2 Architecture utilisateurs. . . 136

2.3 Architecture déportée agence, appelée "Branch Office" (BO) . 137 2.4 Architecture nomade isolé . . . 139

2.5 Architecture cloud public. . . 140

2.5.1 Définition du cloud public . . . 140

2.5.2 Les cinq caractéristiques. . . 141

2.5.3 Le RACI du cloud . . . 143

2.5.4 Les acteurs de classe mondiale . . . 144

2.5.5 La richesse fonctionnelle . . . 147

2.5.6 Enjeux et workloads . . . 152

3. Clients . . . 158

3.1 Postes de travail . . . 158

3.1.1 Contexte principal . . . 158

3.1.2 Les best practices des postes clients . . . 159

3.2 Mobiles . . . 160

4. Serveurs . . . 161

5. Réseaux . . . 162

5.1 Télécom. . . 162

5.2 Éléments actifs . . . 163

6. Autres dispositifs IT à sécuriser. . . 164

6 Cyber résilience en entreprise

Chapitre 6

La sécurité dans le cloud public

1. Introduction . . . 165

2. Les enjeux . . . 165

3. Les solutions . . . 166

3.1 Azure . . . 166

3.1.1 Azure et la sécurité . . . 166

3.1.2 Azure Security Center . . . 170

3.1.3 Azure Sentinel . . . 171

3.2 AWS. . . 174

4. Les étapes de sécurisation dans le cloud public. . . 175

4.1 Sécurisation des liens télécoms par le SD-WAN. . . 175

4.2 Sécurisation des locaux : méthodologie et bon sens. . . 176

4.3 Se protéger des menaces : exemple d'un GHT . . . 176

4.3.1 Un contexte particulier . . . 176

4.3.2 Les enjeux de sécurité. . . 177

4.3.3 Externalisation : la promesse d'un transfert du risque. . 178

4.3.4 La cible idéale . . . 178

4.4 Sécuriser l'application. . . 180

4.4.1 Le casse-tête chinois du legacy. . . 180

4.4.2 La complexité de la sécurisation du cloud. . . 181

4.4.3 La sécurité opérée : un choix raisonné. . . 182

4.5 Modèle SASE. . . 183

4.5.1 Le mariage du réseau et de la sécurité : Connect-it + Secure-it . . . 183

4.5.2 WANaaS ou comment réussir l'unification des réseaux ?. . . 184

4.5.3 Architecture SASE . . . 185

4.5.4 Le marché du SASE. . . 187

4.6 CASB, CSPM, CWPP . . . 188

4.6.1 CASB : Cloud Access Security Broker . . . 188

4.6.2 CSPM : Cloud Security Posture Management . . . 189

Chapitre 7

Sauvegarde, PCA, PRA

1. Introduction . . . 191

2. La sauvegarde . . . 192

2.1 La légitime conservation sécurisée des données critiques et sensibles . . . 192

2.2 La sauvegarde (back-up) : comment restaurer les données endommagées ?. . . 192

2.3 L’archivage : comment stocker à long terme ? . . . 193

2.4 L’externalisation chez un hébergeur . . . 193

2.5 La méthode du 3-2-1. . . 194

2.6 Architecture de sauvegarde externalisée . . . 194

2.6.1 On-premise . . . 194

2.6.2 En cloud. . . 199

3. PCA/PRA. . . 202

3.1 Le besoin vital de la disponibilité numérique . . . 202

3.2 Le casse-tête chinois de l’implémentation du PRA. . . 203

4. Une transformation contextuelle nécessaire . . . 204

4.1 De la continuité à la résilience . . . 204

4.2 Vers la normalité de l’hybridation du SI . . . 205

4.3 Le changement de logiciel, c’est maintenant . . . 206

4.4 Vers la notion de cyber-résilience . . . 206

4.4.1 Management. . . 206

4.4.2 Élaboration . . . 207

4.4.3 Réalisation. . . 208

4.4.4 Contrôle . . . 208

4.4.5 Information. . . 208

8 Cyber résilience en entreprise

5. Architecture de PRA - cas d'usage . . . 209

5.1 Contexte . . . 209

5.2 Besoin . . . 209

5.3 Méthodologie . . . 210

5.4 Architecture de PRA . . . 210

5.5 Étape de stand-by (PRA stand-by) . . . 211

5.6 Étape de déclenchement du PRA (PRA activé). . . 211

5.7 Étape de production sur site secondaire (PRA actif) . . . 212

6. Le PRA en toute simplicité. . . 212

Chapitre 8

La sécurité applicative - Label applicatif

2. Contexte . . . 216

2.1 Objet . . . 216

2.2 Documents de référence. . . 217

2.3 Objectifs de la politique de sécurité . . . 218

2.3.1 Besoin de la politique de sécurité. . . 218

2.3.2 Classification de la politique . . . 219

3. Présentation de la politique de sécurité. . . 219

3.1 Objectifs et nomenclature des règles. . . 219

4. Organisation de la sécurité de l’information . . . 220

4.1 Contact avec l’éditeur . . . 220

4.1.1 Fonctions et responsabilités liées à la sécurité de l’information . . . 220

4.1.2 Relation avec les groupes de travail spécialisés. . . 220

4.1.3 La sécurité de l’information dans la gestion de projet . . 221

4.1.4 Appareils mobiles, télétravail et dispositifs médicaux . . 221

5.1 Identification des données sensibles . . . 222

5.1.1 Propriété des actifs . . . 223

5.1.2 Purge des données. . . 223

5.1.3 Portabilité des données. . . 223

5.1.4 Marquage des informations . . . 224

5.2 Manipulation des supports . . . 224

6. Contrôle d’accès . . . 225

6.1 Exigences métier en matière de contrôle d’accès . . . 225

6.1.1 Politique d’accès utilisateur . . . 225

6.1.2 Politique de mot de passe. . . 226

6.1.3 Vérification de la politique de mot de passe . . . 232

6.2 Gestion de l’accès utilisateur . . . 232

6.2.1 Enregistrement et désinscription des utilisateurs. . . 232

6.2.2 Gestion des informations secrètes d’authentification des utilisateurs . . . 233

6.2.3 Revue des droits d’accès utilisateur. . . 233

6.2.4 Utilisation d’informations secrètes d’authentification . 234 6.2.5 Sécurisation des procédures de connexion . . . 234

6.2.6 Contrôle d’accès au code source des programmes . . . 234

7. Cryptographie. . . 235

7.1 Mesures cryptographiques . . . 235

7.1.1 Politique d’utilisation des mesures cryptographiques . . 235

7.1.2 Gestion des clés. . . 236

8. Sécurité liée à l’exploitation. . . 236

8.1 Procédures et responsabilités liées à l’exploitation. . . 236

8.1.1 Gestion des changements. . . 237

8.2 Sauvegarde et archivage . . . 237

8.2.1 Sauvegarde des informations . . . 237

8.3 Journalisation et surveillance. . . 240

8.3.1 Journalisation des événements . . . 240

8.3.2 Protection de l’information journalisée. . . 240

8.3.3 Journaux administrateur et opérateur. . . 241

10 Cyber résilience en entreprise

8.3.4 Synchronisation des horloges . . . 241

8.4 Maîtrise des logiciels en exploitation . . . 241

9. Sécurité des communications . . . 242

9.1 Connexion de l’application aux systèmes externes . . . 242

10. Acquisition, développement et maintenance des systèmes d’information . . . 243

10.1 Sécurité des processus de développement et d’assistance technique . . . 243

10.1.1Privacy by Design . . . 243

10.1.2Procédures de contrôle des changements de système . . 244

10.1.3Test de la sécurité du système . . . 244

10.2 Données de test . . . 245

11. Gestion des incidents liés à la sécurité de l’information . . . 245

11.1 Gestion des incidents liés à la sécurité de l’information et améliorations . . . 245

11.1.1Responsabilités et procédures . . . 245

11.1.2Signalement des événements liés à la sécurité de l’information . . . 246

11.1.3Veille applicative. . . 246

12. Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité. . . 247

12.1 Continuité de la sécurité de l’information . . . 247

13. Conformité . . . 248

13.1 Conformité aux exigences de sécurité. . . 248

Chapitre 9

Les Security Operations Center

2. Origine du problème. . . 249

3. Nécessité d'outillage . . . 251

4.1 Composante organisationnelle . . . 252

4.2 Composante humaine . . . 253

4.3 Composante technique . . . 255

4.3.1 Antivirus classique . . . 255

4.3.2 EPP (Endpoint Protection Platform) . . . 256

4.3.3 EDR (Endpoint Detection and Response) . . . 257

4.3.4 SIEM . . . 260

4.3.5 SOAR. . . 265

4.3.6 UEBA . . . 268

4.3.7 Threat intelligence . . . 270

5. Panorama des solutions commerciales . . . 273

6. Étude d'opportunité d'un SOC full open source. . . 274

7. Spécification d'un SOC métier : le SOC santé . . . 276

Chapitre 10

Écosystème de santé

2. Préambule . . . 280

2.1 Le ransomware, mon meilleur ennemi ! . . . 280

2.2 L'ANSSI confirme . . . 281

2.3 Des conséquences à 360° . . . 282

2.4 Le syndrome du « Y a qu'à - Faut qu'on » . . . 283

2.5 La vraie vie. . . 283

2.6 Surfer sur la vague ou attendre la prochaine ? . . . 284

2.7 Branle-bas de combat au niveau national . . . 284

2.8 L'indicateur de cyber-sécurité P2.5 . . . 285

2.9 Les gestes barrières numériques. . . 285

2.10 Le pire est-il à venir ? . . . 286

12 Cyber résilience en entreprise

3. Les sept erreurs à commettre pour être certain

de rater son projet HDS . . . 287

3.1 Faire l’impasse sur une vraie analyse de risques . . . 287

3.1.1 Verbatim . . . 287

3.1.2 L'analyse de risque . . . 287

3.1.3 Conseil n°1 . . . 288

3.2 Ne pas connaître son patrimoine IT . . . 288

3.2.1 Verbatim . . . 288

3.2.2 La cartographie . . . 289

3.2.3 Conseil n°2 . . . 290

3.3 Migrer son système d’information de santé à isopérimètre. . . 290

3.3.1 Verbatim . . . 290

3.3.2 La migration . . . 290

3.3.3 Conseil n°3 . . . 291

3.4 Ne pas s’intéresser à la mesure de l’expérience utilisateur. . . . 291

3.4.1 Verbatim . . . 291

3.4.2 La mesure de l'expérience utilisateur. . . 292

3.4.3 Conseil n°4 . . . 293

3.5 Penser que c’est uniquement un projet technique . . . 293

3.5.1 Verbatim . . . 293

3.5.2 Un projet complexe à plusieurs facettes . . . 294

3.5.3 Conseil n°5 . . . 296

3.6 Vouloir tout faire seul en pensant que c’est une source d’économie. . . 296

3.6.1 Verbatim . . . 296

3.6.2 À chacun son métier. . . 296

3.6.3 Conseil n°6 . . . 298

3.7 Ne pas investir au moins 10 % du coût total du projet à la cyber-sécurité. . . 298

3.7.1 Verbatim . . . 298

3.7.2 L'assurance tranquillité . . . 299

3.7.3 Conseil n°7 . . . 301

4.1 Le référentiel HDS 1.0 (en vigueur). . . 301

4.2 Le référentiel HDS 2.0 (à venir) . . . 304

Annexe 1

Guides ANSSI et Annexe A ISO 27001

2. Guides ANSSI . . . 307

3. Annexe A ISO 27001 . . . 314

Annexe 2

Résultat de l'analyse de risques EBIOS

2. Module 2 : étude des événements redoutés . . . 321

2.1 Appréciation des événements redoutés. . . 321

2.2 Évaluation de chaque événement redouté . . . 330

3. Module 3 : étude des scénarios de menaces . . . 330

4. Module 4 : étude des risques . . . 335

4.1 Appréciation des risques. . . 335

4.2 Évaluation des risques . . . 338

4.3 Identification des objectifs de sécurité . . . 340

4.4 Analyse des risques résiduels . . . 341

5. Module 5 : étude des mesures de sécurité . . . 342

5.1 Formalisation des mesures de sécurité à mettre en œuvre. . . . 342

5.1.1 Détermination des mesures de sécurité . . . 342

14 Cyber résilience en entreprise

Annexe 3

La plateforme HIPS/SIEM Wazuh

1. Introduction . . . 355

2. Wazuh . . . 356

2.1 Introduction . . . 356

2.2 Architecture générale . . . 358

2.2.1 Agent Wazuh . . . 359

2.2.2 Server Wazuh . . . 361

2.2.3 Elastic . . . 361

2.2.4 Wazuh Cloud . . . 361

2.3 Installation . . . 362

2.3.1 Installation du manager Wazuh . . . 362

2.3.2 Installation d'Elasticsearch. . . 363

2.3.3 Installation et configuration de E(LK) . . . 363

2.3.4 Ajout de rôles et utilisateurs E. . . 364

2.4 Utilisation . . . 368

2.5 Panorama des fonctionnalités de l'interface de management de Wazuh . . . 368

2.6 Installation de l'agent Wazuh sur le serveur de CentOS du management Wazuh. . . 370

2.7 Installation de l'agent Wazuh sous Windows . . . 370

2.8 Installation d'un agent Linux sur une VM CentOS7 (IP = 192.168.0.39). . . 371

2.9 Analyse des remontées de logs des agents Windows et Linux . .374 2.10 Détection d'une attaque par brute force SSH. . . 375

2.11 Conformité RGPD . . . 376

Le scanner de vulnérabilités OpenVAS

1. Introduction . . . 379

2. OpenVAS . . . 379

2.1 Introduction . . . 379

2.2 La version commerciale . . . 381

2.3 Comparaison des différentes versions des Security Feed . . . 381

2.4 Appliances OpenVAS . . . 382

2.5 Architecture générale . . . 382

2.5.1 Backend . . . 382

2.5.2 Frontend . . . 382

2.5.3 Schéma d'architecture OpenVAS . . . 383

2.6 Installation sous CentOS. . . 383

2.6.1 Désactiver SE Linux . . . 384

2.6.2 Autoriser les ports 9392, 443 et 80 . . . 384

2.6.3 Installation d'utilitaires . . . 384

2.6.4 Installation du repo Atomic. . . 385

2.6.5 Installation d'OpenVAS (GVM) . . . 386

2.6.6 Configuration d'OpenVAS. . . 386

2.7 Installation sous Kali . . . 388

2.7.1 Mise à jour de Kali . . . 388

2.7.2 Installation nmap . . . 388

2.7.3 Installation paquet de reporting . . . 388

2.7.4 Installation Client SMB . . . 389

2.7.5 Installation et paramétrage OpenVAS . . . 389

2.7.6 Configuration d'OpenVAS. . . 390

2.7.7 Mise à jour des bases de vulnérabilités . . . 390

2.8 Utilisation . . . 391

2.9 Prise en main. . . 391

2.9.1 Dashboards . . . 391

2.9.2 Scans . . . 392

2.9.3 Assets. . . 397

2.9.4 Resilience. . . 397

16 Cyber résilience en entreprise

2.9.5 SecInfo. . . 398

2.9.6 Configuration . . . 399

2.9.7 Administration . . . 400

2.10 Utilisation de l'API OpenVAS . . . 401

Index . . . 403

cyber-sécurisé

Les best practices du SI cyber-sécurisé

1. Introduction

Après avoir présenté une analyse de risques au travers d'une étude de cas, il est temps d'aborder une présentation de la réponse technologique en face des cyber-attaques. En effet, de nombreux produits et services existent dans le monde, tant en version communautaire qu'en version commerciale. Éléments d'architecture, postes de travail, messageries, anti-virus, EDR, comptes à privilèges, accès nomades, scanners de vulnérabilités…

Mais par où commencer concrètement et quelle stratégie adopter afin d'être le plus efficace possible ?

© Editions ENI - All rights reserved

134 Cyber résilience en entreprise

2. Éléments d'architecture fondamentale

En représentant l'architecture d'un SI de la façon la plus exhaustive possible, il apparaît assez nettement plusieurs types d'entités.

2.1 Entité centrale, appelée "HeadQuarter" (HQ)

Cette entité est le centre névralgique du système d'information, l'endroit où sont stockés les serveurs, les baies de stockage, les éléments actifs, les datacen- ters certifiés ISO ou non, les accès télécoms, les firewalls, les serveurs de messagerie, les antivirus, les applications métier, les applications collabora- tives, les frontaux de publications, les annuaires, les serveurs DNS… et bien souvent les équipes IT de production (les "Ops"). Dans ce cloud privé, il est désormais nécessaire d'ajouter des éléments technologiques de cyber-sécurité afin de parfaire la panoplie du DSI avisé :

– Relais de messagerie avec système anti-spam – Système de protection des applications web (WAF) – Système de proxy d'authentification (BASTION) – Gestion centralisée des endpoints

– Gestion centralisée des firewalls distants

– Gestion centralisée des logs avec corrélateurs d'événements (SIEM) – Gestion centralisée des opérations de NOC/SOC

– Gestion de l'orchestration des événements de sécurité (SOAR) – Gestion automatique des comportements utilisateurs (UEBA)

– Gestion de la sécurisation des liens télécoms et de la qualité applicative (SDWAN)

– Gestion de la sécurité dans le cloud (CSPM)

– Gestion de la sécurité des utilisateurs/applications avec le réseau (SASE) – Gestion de la prévention d'intrusion et de la détection d'intrusion (IPS/IDS) – Gestion du filtrage web

Remarque

Cette architecture idéale est coûteuse. Il est évident que toutes les entreprises ne peuvent pas effectuer l'investissement associé. Dans ce cas, il est néces- saire d'envisager une sous-traitance cyber avec un spécialiste qui, lui, dispose de ce type d'environnement (d'ailleurs mutualisé entre ses clients).

Éléments d'architecture de cyber-sécurité

La plupart de ces éléments, et bien plus encore, sont matérialisés dans la Secu- rity Fabric de Fortinet, une des plateformes technologiques de cyber-sécurité les plus développées au monde.

Le concept de la Security Fabric de Fortinet

© Editions ENI - All rights reserved

136 Cyber résilience en entreprise

2.2 Architecture utilisateurs

Il s'agit essentiellement des postes de travail des utilisateurs du siège, qu'ils soient fixes ou mobiles (smartphone, tablette, portable) et des téléphones IP.

Comme toute ressource IP, il faut les protéger par des outils de type anti-virus et de type EDR (Endpoint Detection Response). Ces derniers, indispensables et fondamentaux, sont capables de bloquer une attaque avant qu'elle ne se déclenche, par un mécanisme d'analyse de signaux faibles (voir le chapitre Les Security Operations Center (SOC)).

Afin d'apporter de la sécurité supplémentaire, il est conseillé de segmenter les réseaux informatiques associés aux différentes directions constitutives du HQ, une sorte de création de sous-agences, et d'affecter des subnets IP différents :

– 10.5.0.4/16 pour les équipes de production – 92.168.6.0/24 pour les équipes marketing – …

Le recours aux routeurs et aux mécanismes de VLAN (affectation d'un subnet à des ports physiques réseau) permet de limiter la propagation d'éléments malveillants (malware, ransomware, fuite de données…), à tout le moins de détecter très rapidement les problèmes par analyse des logs des routeurs inter- vlans.

Les postes de téléphonie IP doivent être également isolés d'un point de vue réseau avec les dernières versions de firmware à jour. Trop souvent, le système de téléphonie IP est à terre en cas d'attaque sur les serveurs ou postes de travail, tout simplement par déconnexion IP du téléphone (cas du téléphone branché sur le PC ou l'inverse) ou de l'ensemble des switchs et routeurs de l'entreprise. Alors qu'une isolation au préalable peut permettre quand même le fonctionnement de l'application téléphonie, indispensable en cas de crise majeure pour joindre l'extérieur et se faire joindre (cas des cyber-attaques qui ont frappé certains gros hôpitaux français début 2021).

2.3 Architecture déportée agence, appelée "Branch Office" (BO)

Les agences, filiales ou succursales, sont des sites physiques reliés au Head- Quarter. Généralement, il s'agit de petites structures de 5 à 30 utilisateurs. Le besoin IT de ces utilisateurs est quasiment le même que pour les utilisateurs du siège : il faut accéder aux ressources centralisées comme la messagerie, la CRM, l'ERP, la comptabilité… Évidemment, il est nécessaire de disposer d'un lien télécom local relié au site central. Ce lien peut être construit sur un support physique (lien filaire fibre optique, lien filaire xDSL, lien mobile 4G/

5G, lien satellite pour les sites en zone blanche). Sur ce support est alors construit un type de connectivité protocolaire :

– Internet public

– VPN sur Internet (SSL ou IPSec) – VPN sur réseau MPLS

Interconnexion entre le HA et les BO

© Editions ENI - All rights reserved

138 Cyber résilience en entreprise

Remarque

Le syndrome "coup de pelleteuse" : il est toujours préférable de sécuriser le lien télécom local avec deux opérateurs différents dont les équipements sont totalement indépendants, notamment l'arrivée des liens (double adduction).

Remarque

La technologie SD-WAN permet d'agréger deux liens comme par exemple un accès internet bon marché et un accès privé MPLS et de gérer la qualité de service de façon optimisée.

Il est souhaitable que le firewall local, nécessaire essentiellement en cas d'accès internet local, soit managé de façon centralisée.

Dans certains cas, quelques serveurs doivent être présents. C'est le cas de ser- veurs de développement pour des équipes de développeurs en mode off-shore dans un pays étranger.

La gestion des sauvegardes est également à réaliser de façon centralisée avec une copie en local.

Parfois, il peut y avoir un serveur Active Directory secondaire qui est synchro- nisé avec l'AD primaire central ; autant de systèmes à protéger.

Il y a quelques décennies, notamment dans le milieu bancaire, les sites distants étaient totalement dépourvus d'intelligence applicative, en ce sens que le fonctionnement reposait sur un couple bien rodé de terminaux passifs et de mainframes centraux aux fonctionnalités robustes éprouvées. Mais le paysage actuel est tout autre et il faut faire face à une multitude de technolo- gies, d'architectures… et donc de cibles potentielles pour les cyber-attaques.

Remarque

L'avènement de l'architecture client/serveur à partir du milieu des années 90 a rendu le poste de travail incontournablement lourd et énergivore avec des applications toujours plus lourdes. Dans le même temps, le PC a rendu vulnérable tout le SI aux nouvelles formes de cyber-attaques, notamment les ransomwares.

2.4 Architecture nomade isolé

Le nomade correspond au collaborateur sans site fixe d'entreprise. Il est ultra- connecté depuis différents lieux : son domicile (qui est devenu avec la crise de la Covid-19 son bureau principal, rebattant par la même occasion la politique de sécurité des systèmes d'information (PSSI) de l'entreprise), son lieu de va- cances, le TGV, le salon Grand Voyageur de la SNCF, les hôtels ou la rue tout simplement.

Dès lors qu'un accès à Internet est possible (Wi-Fi public, 4G, box personnelle, routeur 4G…), le nomade a un accès potentiel au sein du SI de l'entreprise.

Cette situation d'ultra-connectivité engendre une réponse sécuritaire sans faille.

Il est usuel de sécuriser la connexion entreprise par un VPN (Virtual Private Network). Des clients VPN sont alors obligatoirement lancés avant d'accéder aux ressources qui par définition ne sont pas accessibles publiquement. Et c'est une très bonne chose même si le VPN est de plus en plus décrié. En effet, il faut s'identifier (login), s'authentifier (mot de passe), s'authentifier forte- ment (via un OTP) pour enfin se connecter à sa GED favorite.

Certains serveurs sont accessibles sans VPN mais via des connexions de type SSL. Souvent, la messagerie est gérée de cette façon (cas d'un Exchange Online par exemple). L'accès à Teams nécessite uniquement un login/mot de passe/

MFA.

De nombreux éditeurs de VPN sont présents sur le marché mondial et il est judicieux de les coupler avec le firewall choisi. Par exemple, FortiClient avec FortiGate, SecureClient avec le firewall Checkpoint, GlobalProtect avec le firewall Palo Alto Netwoks… Des acteurs isolés sont tout aussi compatibles (exemple : le client français VPN TheGreenBow qui est certifié Critères Com- muns niveau EAL3+).