Règles minimales de sécurité pour le nomadisme
Contexte En ces temps de travail nomade liés au COVID, presque toutes les entreprises font appel au travail à distance. 2 grands types d’accès se distinguent : Pour les ressources, nous trouverons : Pour les clients, nous trouverons : Nous ne nous intéresserons pas ici aux PC nomades gérés par l’entreprise, considérant déjà que toutes les mesures de sécurité auront été prises tout au long de l’année par les équipes SI et RSSI, mais seulement aux PC personnels BYOD. L’accès aux clouds privés et SI interne au travers des PC personnels BYOD Si vous avez le temps, nous vous recommandons de lire intégralement le document de l’ANSSI (lien dans le chapitre suivant), et à minima les titres des recommandations. Dans cette période hyper-tendue liée au COVID, il sera très difficile pour les entreprises non prêtes au nomadisme de définir et mettre en œuvre une politique de sécurité, mais à minima de mettre en place des politiques de « bon sens », simples et rapides. Bien évidemment, nous ne pourrions que vous préconiser les recommandations ci-dessous de l’ANSSI, mais elles ne se mettent pas en place en 5 min ni dans l’urgence… Recommandations ANSSI R1 Intégrer le nomadisme dans la PSSI de l’entitéR2 Réaliser l’inventaire des activités des utilisateurs compatibles avec le nomadismeR3 Maîtriser la gestion des utilisateurs nomadesR4 Sensibiliser et former les utilisateurs nomadesR5 Dédier l’équipement d’accès à un utilisateur nomade identifiéR5 Sécuriser la mise en place de postes nomades partagésR6 Maîtriser l’équipement d’accès de l’utilisateur nomadeR7 Mettre en oeuvre des moyens de protection physique de l’équipement d’accès nomadeR8 Maîtriser l’intégrité de la séquence de démarrage de l’équipement d’accès nomadeR9 Mettre en oeuvre une solution de chiffrement de disque sur les équipements d’accès nomadeR10 Maîtriser la connexion de supports amovibles sur l’équipement d’accès nomadeR11 Interdire à l’utilisateur le débrayage ou la modification des moyens de connexion au SI nomadismeR12 Réduire la surface d’attaque sur le système d’exploitation de l’équipement d’accès nomadeR13 Mettre en œuvre un durcissement système de l’équipement d’accès nomadeR14 Activer des mécanismes de mise en quarantaine et de remédiation pour les équipements nomades non conformes aux mises à jour de sécuritéR15 Réduire la durée d’inactivité avant verrouillage automatique de la session utilisateurR16 Mettre en œuvre un tunnel VPN IPsec à l’état de l’art pour le canal d’interconnexion nomadeR16 Mettre en œuvre un tunnel VPN TLS à l’état de l’art pour le canal d’interconnexion nomadeR17 Activer le pare-feu local sur l’équipement d’accès nomadeR18 Bloquer le split-tunneling sur l’équipement d’accès nomade et n’autoriser que les flux nécessaires pour monter le tunnel VPNR19 Bloquer les flux DNS vers Internet et configurer directement les adresses IP publiques des concentrateurs VPN sur le clientR19 Sécuriser et maîtriser les flux DNS pour la résolution du nom du concentrateur VPNR20 Mettre en place un concentrateur VPN interne et forcer l’établissement du tunnel VPN quel que soit l’environnement de l’utilisateurR20 Mettre en place un mécanisme de détection de l’environnement de l’utilisateur nomadeR21 Authentifier l’utilisateur et l’équipement d’accès dans le processus de connexion au SI nomadismeR22 Mettre en place une authentification double facteur de l’utilisateur nomadeR23 Protéger les éléments secrets liés aux certificats nomadesR24 Configurer strictement l’autorité de certification légitime sur les équipements de nomadismeR25 Vérifier la validité des certificats client et concentrateur VPN par le mécanisme d’agrafage OCSPR25 Vérifier la validité des certificats concentrateurs VPN par l’ouverture d’un flux direct sur le poste client ou par une mesure organisationnelleR26 Mettre en place des équipements physiquement dédiés au SI nomadisme dans la DMZ entranteR26 Mettre en place un cloisonnement logique pour le SI nomadisme dans la DMZ entranteR27 Interdire tous les flux de communication directs entre les équipements d’accès nomadesR28 Ne pas exposer d’applications métiers du SI nomadisme directement sur InternetR29 Interdire un accès direct aux ressources présentes dans le Cloud pour les utilisateurs nomadesR30 Réaliser un filtrage au sein du canal d’interconnexion VPN sur les applications autorisées pour un utilisateur nomadeR31 Privilégier l’utilisation de protocoles chiffrés et authentifiés pour l’accès aux applications nomades au travers du tunnel VPNR32 Restreindre au strict nécessaire l’utilisation de synchronisation de documents hors ligne pour les utilisateurs nomadesR33 Mettre en œuvre des matériels et des logiciels disposant d’un visa de sécurité de l’ANSSIR34 Respecter les recommandations du guide d’administration sécurisée de l’ANSSI pour le SI de l’entité incluant le SI nomadismeR35 Intégrer une politique de MCO et MCS pour le SI nomadismeR36 Prévoir une supervision de l’état du parc des équipements d’accès nomadeR37 Mettre en place une journalisation des différents éléments du SI nomadisme en suivant les recommandations du guide de l’ANSSIR38 Mettre en place un système d’analyse et de corrélation d’évènements du SI nomadismeR39 Mettre en œuvre une sonde de détection dans le SI nomadismeR40 SI « Diffusion Restreinte » : Appliquer les bonnes pratiques du guide Nomadisme sur les SI DR