La sécurité informatique est désormais au centre de toutes les préoccupations. Une brèche dans votre système d’information peut entraîner des ravages: en mars 2020, l’entreprise Lise Charmel (60M€ de CA et 1150 collaborateurs) a été placée en redressement judiciaire suite à une cyberattaque dont elle ne s’est pas relevée. Mais au delà des classiques pare-feux et antivirus, comment renforcer efficacement le sécurité de son système d’information ? VeryFrog vous dévoile ici la méthode “Triple-0” afin de fournir un socle de base pertinent pour votre cybersécurité.
Qu’est ce que la méthode de sécurité Triple-0 ?
La méthode Triple-0 est issue de l’expérience des ingénieurs de Google dans le maintien en condition opérationnelle de leur énorme infrastructure. Ces derniers ont compilés leur savoir-faire dans le livre “Building Secure and Reliable Systems” librement accessible ici.
Ce livre traite de bon nombre de bonnes pratiques et prête une attention particulière à la sécurité informatique au sein de Google. De ce retour d’expérience, nous pouvons en tirer une méthode, nommée Triple-0 du fait de ces 3 composantes:
- 0-Privilège
- 0-Trust
- 0-Touch
Ce triptyque va former le socle de votre stratégie de sécurité informatique. Étudions alors de plus près chacun de ces items et comment les implémenter au sein de votre entreprise.
Protégez vos utilisateurs grâce au 0-Privilège
L’approche 0-Privilège stipule qu'un utilisateur ne doit pas avoir plus de droits sur le système d’information qu’il n’est nécessaire à la bonne exécution de son travail. Nous avons d’ailleurs déjà abordé ce sujet dans l’article sur la protection face aux ransomwares.
Cela paraît être du bon sens, mais combien d’entreprises respectent réellement cette bonne pratique ? Très peu ! On voit encore beaucoup de collaborateurs avec des droits d'administration de leur poste. Très fréquemment, les fichiers d’une entreprise sont librement accessibles par tout à chacun, à travers le réseau ou dans un cloud public. Trop souvent, les données sensibles d’une société, comme la comptabilité ou les paies, sont accessibles en écriture par des employés ou des prestataires externes, dont l’accès en lecture seule suffit.
Tous ces accès privilégiés aux matériels et aux données sont autant de failles de sécurité. Et ces dernières seront facilement exploitées par un malware ou un assaillant. C’est pour cela que vous devez restreindre les privilèges de vos collaborateurs à leur strict nécessaire.
Pour y arriver, vous devez mettre en place un mécanisme d’authentification et d’autorisation. L’outil le plus simple et le plus répandu pour appliquer cette politique de sécurité est l’Active Directory. Ce dernier permet de créer, entre autres, des utilisateurs, des groupes et des stratégies de gestion des postes. Avec cela, vous pouvez définir finement les accès à vos ressources, comme vos fichiers. Vous pouvez aussi limiter au strict nécessaire les droits de vos collaborateurs sur leurs postes. Enfin, vos applications (progiciels, intranet, …) pourront s’appuyer sur l'Active Directory pour authentifier et autoriser les accès. Un tel outil est le socle de toute stratégie de sécurité, et les autres composantes de la méthode Triple-0 s’appuient également dessus.
La sécurité réseau par le 0-Trust
Le paradigme 0-Trust dit qu'on ne doit accorder aucune confiance à quiconque accède au réseau de l’entreprise. L’illustration la plus courante est le libre accès aux prises murales d’une entreprise. En effet, la plupart de ces prises permettent à n’importe qui de se brancher et d’accéder sans contrainte au réseau de l’entreprise.
Pour renforcer la sécurité de votre réseau, vous devez permettre l’accès à ce dernier uniquement au matériels et aux collaborateurs authentifiés. Classiquement, on utilisera le protocole 802.1x pour implémenter le 0-Trust au sein des réseaux locaux – filaires ou sans fils. Ce dernier permet, en s’appuyant sur une base d’authentification comme l’Active Directory, d’autoriser la connexion lorsqu’un utilisateur se branche sur une prise ou se connecte à un réseau Wifi. Le protocole 802.1x couplé avec l’Active Directory offre la possibilité d'identifier à la fois les postes et les utilisateurs. Aussi, on peut affecter des règles d’accès (VLAN et ACL) automatiquement en fonction du matériel et/ou du collaborateur se connectant. Ainsi grâce à ce protocole de sécurité, il est aisé implémenter les paradigmes 0-Trust et 0-Privilège sur votre LAN.
Le 0-Trust doit aussi s’appliquer aux accès externes. Un VPN pourra suffire s’il est capable d’identifier l’utilisateur, son matériel, mais aussi de restreindre, en fonction, les accès aux applications et ressources. Malheureusement, peu de produits offrent ces capacités. Du coup, il faudra alors se tourner vers des solution de prises de main à distance, comme les passerelles SSL, les Bureaux à Distance ou le VDI, pour pouvoir accéder au Système d’Information depuis l’extérieur. Grâce à cela, vous pourrez utiliser à distances des ressources internes soumises la politique 0-Trust de votre réseau local.
Oubliez les erreurs humaines avec le 0-Touch
Le dernier item de la méthode de sécurité Triple-0 s’efforce de limiter les erreurs de manipulations. En effet, le personnel informatique (prestataires externes ou employés) possède un accès privilégié à tout le système d’information. Toute erreur de leur part peut s’avérer catastrophique en terme de continuité d’activité et de sécurité. Pour palier cela, l’approche 0-Touch interdit tout accès direct aux ressources informatiques (serveurs, équipements réseaux, …).
Pour implémenter une telle politique de sécurité, vous devez mettre en place ce que Google appelle des “safe proxies“. Il s’agit d’intermédiaires depuis lesquels le personnel informatique va gérer les ressources IT sans s’y connecter directement. Celui-ci doit également permettre d’intégrer un workflow d’autorisation. Ainsi, certaines manipulations sensibles devront recevoir l’aval d’un responsable avant d’être exécutées. Un outil particulièrement adapté à cet effet est Rundeck.
Rundeck permet de définir des travaux à exécuter sur un ensemble de serveurs. Vous pouvez ainsi déclarer toutes vos tâches de maintenance : création d’utilisateurs, mises à jours de vos serveurs, migration de machines virtuelles, …. Il est capable d’intégrer un worflow de validation pour autoriser l’exécution d’un travail par un tiers. Bien évidemment, Rundeck peut utiliser l’Active Directory pour définir les utilisateurs, les travaux auxquels ils ont accès et les machines sur lesquelles ils peut les appliquer (application du 0-Privilège). Cerise sur le gâteau, Rundeck est libre et open-source !
Bien évidemment, il faut malgré tout prévoir des accès directs à vos ressources en cas d’urgence. Ces derniers ne devront être accessibles que pour des situations de dysfonctionnement grave. Pratiquement, on conservera les identifiants d’accès direct (SSH, RDS, …) dans un coffre. Ces derniers devront être modifiés après chaque usage pour ne pas succomber à la tentation de les réutiliser pour les tâches de maintenance.
En appliquant la méthode de sécurité Triple-0, vous sécurisez efficacement votre Système d’information tout en utilisant des technologies et des outils simples. Certains points, comme le déploiement 802.1x, nécessitent cependant un certain savoir. N’hésitez donc pas à vous tournez vers des prestataires de confiance comme VeryFrog pour les implémenter. Ainsi, votre stratégie de sécurité disposera d’un socle solide face aux menaces informatiques.