Règles minimales de sécurité pour le nomadisme

Contexte

En ces temps de travail nomade liés au COVID, presque toutes les entreprises font appel au travail à distance.

2 grands types d’accès se distinguent :

Pour les ressources, nous trouverons :

  • l’utilisation de ressources cloud public type Office 365 et la sécurisation Microsoft 365
  • l’utilisation de ressources cloud privé, ou même SI interne de l’entreprise

Pour les clients, nous trouverons :

  • les PC nomades gérés par l’entreprise
  • les PC personnels (BYOD) appartenant à l’utilisateur

Nous ne nous intéresserons pas ici aux PC nomades gérés par l’entreprise, considérant déjà que toutes les mesures de sécurité auront été prises tout au long de l’année par les équipes SI et RSSI, mais seulement aux PC personnels BYOD.

L’accès aux clouds privés et SI interne au travers des PC personnels BYOD

Si vous avez le temps, nous vous recommandons de lire intégralement le document de l’ANSSI (lien dans le chapitre suivant), et à minima les titres des recommandations.

Dans cette période hyper-tendue liée au COVID, il sera très difficile pour les entreprises non prêtes au nomadisme de définir et mettre en œuvre une politique de sécurité, mais à minima de mettre en place des politiques de « bon sens », simples et rapides.

  • Déployer les antivirus professionnels de l’entreprise sur les BYOD pour avoir une vue minimale de l’état de santé des BYOD
  • Si vous travaillez avec un MSP, faites déployer les outils de RMM sur les BYOD pour permettre l’assistance à distance, les mises à jour de sécurité et applicatives, l’inventaire matériel et applicatif du PC personnel, et sa supervision
  • Ne donnez accès au SI qu’à des comptes non privilégiés
  • N’activez que les accès minimum de type RDP sur les accès VPN. Rien se sert d’ouvrir toutes les portes aux crypto-virus …
  • Réduisez les temps maximum de connexion pour que la famille ne se connecte pas à l’entreprise avec une session non verrouillée
  • Idéalement, interdire la synchronisation de documents et messagerie vers les BYOD et préférez leur accès via des serveurs de type RDS pour que l’information reste dans l’entreprise

Bien évidemment, nous ne pourrions que vous préconiser les recommandations ci-dessous de l’ANSSI, mais elles ne se mettent pas en place en 5 min ni dans l’urgence…

Recommandations ANSSI

https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique

R1 Intégrer le nomadisme dans la PSSI de l’entité
R2 Réaliser l’inventaire des activités des utilisateurs compatibles avec le nomadisme
R3 Maîtriser la gestion des utilisateurs nomades
R4 Sensibiliser et former les utilisateurs nomades
R5 Dédier l’équipement d’accès à un utilisateur nomade identifié
R5 Sécuriser la mise en place de postes nomades partagés
R6 Maîtriser l’équipement d’accès de l’utilisateur nomade
R7 Mettre en oeuvre des moyens de protection physique de l’équipement d’accès nomade
R8 Maîtriser l’intégrité de la séquence de démarrage de l’équipement d’accès nomade
R9 Mettre en oeuvre une solution de chiffrement de disque sur les équipements d’accès nomade
R10 Maîtriser la connexion de supports amovibles sur l’équipement d’accès nomade
R11 Interdire à l’utilisateur le débrayage ou la modification des moyens de connexion au SI nomadisme
R12 Réduire la surface d’attaque sur le système d’exploitation de l’équipement d’accès nomade
R13 Mettre en œuvre un durcissement système de l’équipement d’accès nomade
R14 Activer des mécanismes de mise en quarantaine et de remédiation pour les équipements nomades non conformes aux mises à jour de sécurité
R15 Réduire la durée d’inactivité avant verrouillage automatique de la session utilisateur
R16 Mettre en œuvre un tunnel VPN IPsec à l’état de l’art pour le canal d’interconnexion nomade
R16 Mettre en œuvre un tunnel VPN TLS à l’état de l’art pour le canal d’interconnexion nomade
R17 Activer le pare-feu local sur l’équipement d’accès nomade
R18 Bloquer le split-tunneling sur l’équipement d’accès nomade et n’autoriser que les flux nécessaires pour monter le tunnel VPN
R19 Bloquer les flux DNS vers Internet et configurer directement les adresses IP publiques des concentrateurs VPN sur le client
R19 Sécuriser et maîtriser les flux DNS pour la résolution du nom du concentrateur VPN
R20 Mettre en place un concentrateur VPN interne et forcer l’établissement du tunnel VPN quel que soit l’environnement de l’utilisateur
R20 Mettre en place un mécanisme de détection de l’environnement de l’utilisateur nomade
R21 Authentifier l’utilisateur et l’équipement d’accès dans le processus de connexion au SI nomadisme
R22 Mettre en place une authentification double facteur de l’utilisateur nomade
R23 Protéger les éléments secrets liés aux certificats nomades
R24 Configurer strictement l’autorité de certification légitime sur les équipements de nomadisme
R25 Vérifier la validité des certificats client et concentrateur VPN par le mécanisme d’agrafage OCSP
R25 Vérifier la validité des certificats concentrateurs VPN par l’ouverture d’un flux direct sur le poste client ou par une mesure organisationnelle
R26 Mettre en place des équipements physiquement dédiés au SI nomadisme dans la DMZ entrante
R26 Mettre en place un cloisonnement logique pour le SI nomadisme dans la DMZ entrante
R27 Interdire tous les flux de communication directs entre les équipements d’accès nomades
R28 Ne pas exposer d’applications métiers du SI nomadisme directement sur Internet
R29 Interdire un accès direct aux ressources présentes dans le Cloud pour les utilisateurs nomades
R30 Réaliser un filtrage au sein du canal d’interconnexion VPN sur les applications autorisées pour un utilisateur nomade
R31 Privilégier l’utilisation de protocoles chiffrés et authentifiés pour l’accès aux applications nomades au travers du tunnel VPN
R32 Restreindre au strict nécessaire l’utilisation de synchronisation de documents hors ligne pour les utilisateurs nomades
R33 Mettre en œuvre des matériels et des logiciels disposant d’un visa de sécurité de l’ANSSI
R34 Respecter les recommandations du guide d’administration sécurisée de l’ANSSI pour le SI de l’entité incluant le SI nomadisme
R35 Intégrer une politique de MCO et MCS pour le SI nomadisme
R36 Prévoir une supervision de l’état du parc des équipements d’accès nomade
R37 Mettre en place une journalisation des différents éléments du SI nomadisme en suivant les recommandations du guide de l’ANSSI
R38 Mettre en place un système d’analyse et de corrélation d’évènements du SI nomadisme
R39 Mettre en œuvre une sonde de détection dans le SI nomadisme
R40 SI « Diffusion Restreinte » : Appliquer les bonnes pratiques du guide Nomadisme sur les SI DR

Retour en haut