L’ANSSI, l’hygiène informatique et le monde réel

Soumis par Tris Acatrinei le Lundi 08 octobre 2012 à 10:55

L’Agence Nationale de la Sécurité des Systèmes d’Informations a profité des Assises de la Sécurité qui se tenaient à Monaco pour annoncer son dernier guide pratique, à savoir, « l’hygiène informatique en entreprise ».  Force est de constater que si certaines recommandations sont pleines de bon sens, d’autres semblent ne pas être en adéquation avec la réalité professionnelle.

La règle numéro 4 énonce « Limiter le nombre d'accès Internet au strict nécessaire. », ce qui peut laisser le lecteur songeur. Que veut dire exactement « strict nécessaire » ? Comment définir en entreprise le « strict nécessaire » et comment appliquer ce « strict nécessaire » à tous les salariés ? La règle n°4 précise que l’application de cette règle permet de plus facilement centraliser et d’homogénéiser la surveillance des échanges. Ce second pan de phrase pose un problème non seulement technique mais également juridique. Outre le fait que cela implique qu’il y ait toujours quelqu’un pour surveiller ce qui pourrait transiter sur le réseau, il faut que le salarié soit prévenu que les échanges qu’il peut avoir en utilisant le réseau de l’entreprise peuvent faire l’objet d’une surveillance et que cela soit spécifié non seulement dans la charte informatique de l’entreprise mais également ans le règlement intérieur, qui doit faire l’objet d’une validation de la part des représentants du personnel et en l’espèce, la CNIL doit avoir aussi un droit de regard. Autant dire que la règle n°4 paraît disproportionnée au regard de ce qu’elle entend faire, surtout dans le contexte d’une entreprise lambda et non d’une société qui œuvre dans un domaine sensible.

La règle n°5 s’attaque directement à une pratique qui tend à se démocratiser de plus en plus en entreprise : le BYOD (Bring Your Own Device). En l’espèce, l’ANSSI recommande d’interdire la connexion d’équipements personnels au système d’information de l’entreprise ou d’en fournir les moyens professionnels si on souhaite permettre de tels usages. Cela suppose que l’entreprise engage elle-même des frais pour fournir certains terminaux et appareils mobiles, qu’elle les paramètre elle-même, de façon à ce que le matériel soit compatible avec le système de l’entreprise mais aussi avec le matériel personnel du salarié. Bon courage, surtout pour ceux qui sont amenés à faire travailler leurs salariés à différents endroits. Cette règle se complète avec la règle n°16 qui recommande d’interdire la connexion des supports amovibles sauf si cela est strictement nécessaire. Que tous ceux qui ont vu leur machine crasher violemment au travail et ont ainsi perdu l’intégralité de leurs données d’un coup lèvent la main. A titre personnel, je travaille de façon quasi-exclusive sur clef USB, clef disposant elle-même d’une jumelle à la maison. De la même façon, le graphiste a besoin de brancher sa tablette graphique à la machine pour travailler et certains branchent leurs smartphones sur leurs postes de travail, tout simplement pour le recharger. Quant à la désactivation de l’autorun, cela ressemble plus à un cataplasme sur une jambe de bois. Quant à la règle n°18 sur les terminaux mobiles, elle est irréaliste car elle suppose que tous les terminaux mobiles soient identiques donc que l’entreprise fournisse elle-même le matériel, ce qui a un coût conséquent et que terminaux mobiles soient logiquement équipés des mêmes systèmes que les postes fixes.  

La règle n°14 laisse songeur. Le recours à la carte à puce pour procéder à une authentification forte ne paraît pas nécessaire dans tous les cas et lorsque l’on s’intéresse un minimum aux problématiques NFC, on sait que mettre « carte à puce » et « authentification forte » dans la même phrase peut relever de l’oxymore.

La règle n°30 – même si elle est logique et pleine de bon sens – n’est pas réaliste. Lors que le chef d’entreprise demande à son DSI un accès administrateur sur sa machine, le DSI et le RSI peuvent tempêter et argumenter tant qu’ils veulent, au final, la décision revient au seul chef d’entreprise et bon courage pour lui faire changer d’avis.

La règle n°31 s’avère agaçante car elle préconise d’utiliser des moyens robustes d’authentification, qualifiés par l’ANSSI. Cela sous-entendrait-il qu’en dehors des préconisations de l’ANSSI, point de salut ? On peut raisonnablement émettre quelques doutes.

La règle n°39 est également pleine de bon sens mais irréaliste. Quel DSI va réellement prendre le temps d’expliquer à tous les salariés d’une entreprise certaines règles qu’il a mis en œuvre ? Combien de salariés vont vraiment prendre le temps de lire les règles édictées par la DSI ?

Enfin, la règle n°40 concernant les audits de sécurité est peut-être celle qui est la plus pertinente mais celle qui restera lettre morte. En effet, lorsque l’on connaît le coût d’un audit de sécurité complet, on sait pertinemment que très d’entreprises vont avoir les moyens d’y procéder annuellement.

En résumé, si certaines règles édictées sont pleines de bon sens, certaines ne sont pas en adéquation avec la réalité professionnelle et technologique. 

Commentaires

quack1 (non vérifié)

Monday 08 October 2012 à 22:09

** Disclaimer : Je n'ai pas encore lu le guide de l'ANSSI. Je souhaite juste réagir à tes remarques sur ces pratique. ** Règle 4 : D'accord avec toi, je vois difficilement comment une entreprise "normale" (100-500 employés) pourrait vérifier les connexions Internet de chacun. Règle 5 : Complètement d'accord avec l'ANSSI. Le but des RSSI est de maintenir des accès sécurisés aux données de la société. Autoriser les employés à utiliser leur propre ordinateur, téléphone ou clé USB qui vont contenir des données possiblement confidentielles est une grosse faille de sécurité. À quoi bon dépenser des sommes "colossales" à sécuriser le SI si les périphériques "vitaux" se retrouvent connectés à des réseaux vulnérables aux domiciles des salariés. Mais là je vois ton contre-argument : un PC portable de boulot peut aussi se connecter au réseau WIFi de la maison. OK, mais c'est un ordi pro, donc le SI de la boîte peut choisir d'y _imposer_ ses solutions de sécurité, ce qui est nettement moins possible avec une machine perso qui rentre dans la société. Enfin, au niveau des clés USB, c'est je pense l'un des meilleurs vecteurs de Virus et autres Malwares... Règle 14 : Carte à Puce ne signifie pas RFC. Carte à Puce, c'est les cartes types carte bancaire, carte vitale, etc... C'est, je pense, aujourd'hui une (sinon la) solution d'authentification la plus forte et la plus sécurisée qui existe. OK, c'est un peu plus couteux, mais au moins on supprime les failles. Règle 31 : D'accord avec eux sur la première partie. Il est inconcevable de penser que des personnes d'un SI pourraient se connecter à distance au système de l'entreprise de façon non sécurisée. Concernant les "moyens robustes qualifiés par l'ANSSI", je n'ai pas regardé ce qu'ils proposaient, mais je pense que ce qu'il propose ne doit pas être trop mauvais. De là à dire qu'il n'y a que les solutions "Approved by ANSSI" qui valent le coup, je pense que c'est aller un peu trop loin! Pour les 2 dernières, je suis d'accord avec toi. Il faut faire comprendre aux entreprises et aux salariés que la sécurité du SI n'est pas à prendre à la légère et que c'est par l'action de tous que se réalise la sécurité! Voilà, j'espère que je n'ai pas été trop "trollesque" dans ce que j'ai dit, c'est pas le but!

quack1 (non vérifié)

Monday 08 October 2012 à 23:14

Je viens de voir que j'ai laissé traîner des fautes... désolé :/

Tris Acatrinei

Monday 08 October 2012 à 23:19

Hello :) 

Pas de soucis pour les fautes, ça arrive :) 

Le fait est que dans un monde idéal, oui ça tiendrait la route mais nous ne sommes pas dans un monde idéal : il y a des gens paresseux et d'autres qui sont juste incompétents :)

Je comprend ton argument concernant la clef USB mais sincèrement, ça me facilite grandement la vie :) 

Pas faux pour la carte à puce : j'ai sauté un peu vite aux conclusions en parlant de RFC, l'habitude sans doute. 

Pour la règle 31, justement, dans le rapport Bockel, il avait été proposé que les entreprises qui n'auraient pas mis en place des solutions de sécurité validées et approuvées par l'ANSSI, elles ne puissent se prévaloir d'un préjudice en cas d'attaques informatiques. 

Commentaire pas du tout trollesque, au contraire, je le trouve constructif :) 

quack1 (non vérifié)

Tuesday 09 October 2012 à 11:16

C'est là le grand problème de la sécurité. Si on ne l'a met pas en place, on facilite la vie des gens. Tout le monde semble la voir comme un "obstacle" et (malheureusement), bien trop souvent encore, comme quelque chose qui est là pour faire chier les salariés parce qu'il y a 17 mots de passes différents à se souvenir.
Il faut réussir à trouver le juste milieu pour une "Pretty Good Security"... :-)

Tris Acatrinei

Tuesday 09 October 2012 à 11:19

Tout le monde voit cela comme une façon d'emmerder les salariés mais quand les dits salariés sont victimes d'un leak/malware ou autres, ils sont les premiers à couiner ;)

quack1 (non vérifié)

Tuesday 09 October 2012 à 12:11

Et c'est là qu'entre en jeu la règle 39 : expliquer aux salariés l'importance de la sécurité! Et une des meilleures méthodes en encore la "proof of concept" : Les réunir dans une salle de réunion/amphithéâtre après un audit avec toutes leurs données perso/confidentielles/secrètes en gros sur l'écran géant :D

Tris Acatrinei

Tuesday 09 October 2012 à 12:12

Mais oui mais trop !!!! <3

quack1 (non vérifié)

Tuesday 09 October 2012 à 12:17

\o/

Sangui (non vérifié)

Tuesday 09 October 2012 à 11:50

Ya des solutions pour facilité la vie des salariés tout en gardant un niveau de secu plutot correcte hein :) apres c'est l'admin qui s'emmerde donc faut choisir, et puis tout est une question de cout
donc faut calculer le risque de perte voila tout.

Tris Acatrinei

Tuesday 09 October 2012 à 11:54

Je ne dis pas le contraire mais après tout dépend de qui tu as en face, que ce soit côté salarié, côté direction ou côté DSI. On va pas commencer un troll aujourd'hui :)

Ajouter un commentaire