Recommandations Sur Le Nomadisme Numérique
Total Page:16
File Type:pdf, Size:1020Kb
.. RECOMMANDATIONS SUR LE NOMADISME NUMÉRIQUE GUIDE ANSSI ANSSI-PA-054 17/10/2018 PUBLIC VISÉ : Développeur Administrateur RSSI DSI Utilisateur . .. Informations Attention Ce document rédigé par l’ANSSI présente les « Recommandations sur le nomadisme numérique ». Il est téléchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de l’ANSSI placée sous le régime de la « Licence ouverte v2.0 » publiée par la mission Etalab [21]. Conformément à la Licence Ouverte v2.0, le guide peut être réutilisé librement, sous réserve de mentionner sa paternité (source et date de la dernière mise à jour). La réutilisation s’entend du droit de communiquer, diffuser, redistribuer, publier, transmettre, reproduire, copier, adapter, modifier, extraire, transformer et exploiter, y compris à des fins commer- ciales. Ces recommandations n’ont pas de caractère normatif, elles sont livrées en l’état et adaptées aux menaces au jour de leur publication. Au regard de la diversité des systèmes d’informa- tion, l’ANSSI ne peut garantir que ces informations puissent être reprises sans adaptation sur les systèmes d’information cibles. Dans tous les cas, la pertinence de l’implémentation des éléments proposés par l’ANSSI doit être soumise, au préalable, à la validation de l’adminis- .trateur du système et/ou des personnes en charge de la sécurité des systèmes d’information. Évolutions du document : VERSION DATE NATURE DES MODIFICATIONS 1.0 17/10/2018 Version initiale RECOMMANDATIONS SUR LE NOMADISME NUMÉRIQUE – 1 . Table des matières 1 Préambule 4 1.1 Pourquoi ce guide ? ...................................... 4 1.2 À qui s’adresse ce guide ? .................................. 5 1.3 Convention de lecture .................................... 6 2 Présentation du sujet 7 2.1 Définitions .......................................... 7 2.2 Périmètre ........................................... 8 2.3 Risques ............................................ 9 3 Architecture 11 3.1 Architecture globale ..................................... 11 3.2 Utilisateur nomade ...................................... 12 3.2.1 Inventaire ....................................... 12 3.2.2 Sensibilisation ..................................... 12 3.2.3 Lien avec l’équipement d’accès ........................... 13 3.3 Équipement d’accès ..................................... 14 3.3.1 Maîtrise du poste ................................... 14 3.3.2 Protection physique ................................. 15 3.3.3 Contrôle d’intégrité au démarrage ......................... 16 3.3.4 Chiffrement des disques ............................... 17 3.3.5 Périphériques amovibles ............................... 17 3.3.6 Restrictions des privilèges de l’utilisateur ..................... 19 3.3.7 Durcissement système ................................ 19 3.3.8 Mise en quarantaine ................................. 21 3.3.9 Verrouillage du poste ................................. 23 3.4 Canal d’interconnexion ................................... 23 3.4.1 Schéma général .................................... 23 3.4.2 Technologie VPN ................................... 24 3.4.3 Maîtrise des flux réseaux sur le poste de travail .................. 25 3.4.4 Cas du portail captif ................................. 28 3.4.5 Détection de posture ................................. 29 3.5 Authentifications ....................................... 32 3.5.1 Principes généraux .................................. 32 3.5.2 Architecture d’authentification ........................... 34 3.5.3 Infrastructure de gestion de clés .......................... 35 3.5.4 Vérification de la validité des certificats ...................... 36 3.6 Passerelle d’interconnexion ................................. 38 3.6.1 DMZ entrante du SI nomadisme .......................... 38 3.6.2 Flux réseau entre postes nomades ......................... 40 3.7 Ressources du SI de l’entité ................................. 41 3.7.1 Accès aux applications métiers internes ...................... 41 3.7.2 Accès aux applications métiers dans le Cloud ................... 42 3.7.3 Filtrage des applications autorisées ......................... 43 2 – RECOMMANDATIONS SUR LE NOMADISME NUMÉRIQUE . 3.7.4 Protocoles utilisés ................................... 44 3.7.5 Synchronisation hors ligne .............................. 44 4 Recommandations d’ordre général 46 4.1 Produits et solutions ..................................... 46 4.2 Administration ........................................ 46 4.3 Supervision .......................................... 47 4.4 Journalisation et analyse ................................... 48 4.5 Détection ........................................... 48 Annexe A Cas particulier « Diffusion Restreinte » 50 Annexe B Sécurisation d’un poste partagé entre plusieurs utilisateurs nomades 51 Annexe C Sécurisation des flux DNS sur l’équipement d’accès nomade 52 Annexe D Architectures d’authentification possibles 54 Annexe E Journalisation du SI nomadisme 58 E.1 Évènements .......................................... 58 E.2 Intégrité des journaux .................................... 58 E.3 Analyse et corrélation des journaux ............................ 59 Liste des recommandations 60 Bibliographie 62 RECOMMANDATIONS SUR LE NOMADISME NUMÉRIQUE – 3 . 1 Préambule 1.1 Pourquoi ce guide ? Le développement du nomadisme et du télétravail ne cesse de prendre de l’ampleur ces dernières années, et est aujourd’hui au centre des réflexions des directions informatiques. Un nombre croissant d’espaces de cotravail (ou co-working) voit également le jour, par souci de réduction des coûts immobiliers, et par volonté de flexibilité. Cela amène à réfléchir sur la manière de sécuriser ces accès distants au système d’information (SI) de l’entité, afin de gérer les besoins de confidentialité et d’intégrité des données, ainsi que l’authentification des utilisateurs. Ce guide n’a pas pour objectif d’être exhaustif sur la sécurité générale d’une infrastructure infor- matique, mais bien de se focaliser sur les particularités du nomadisme, afin d’adapter le niveau de sécurité à cette nouvelle façon de travailler. Face à ces enjeux, il est devenu important de sensibiliser l’ensemble des acteurs du nomadisme, et de prendre en compte dans la politique de sécurité des systèmes d’information (PSSI) : n l’ouverture du SI de l’entité pour les accès distants ; n la maîtrise des nouveaux flux liés au nomadisme ; n la maîtrise des équipements de connexion des utilisateurs. Le guide rappelle dans un premier temps les définitions et les risques liés au nomadisme, puis les différents éléments d’une infrastructure de connexion nomade sont étudiés, afin d’en faire ressortir les bonnes pratiques. 4 – RECOMMANDATIONS SUR LE NOMADISME NUMÉRIQUE . 1.2 À qui s'adresse ce guide ? Ce guide s’adresse avant tout aux RSSI 1, DSI 2, administrateurs et équipes d’exploitation des sys- tèmes d’informations des structures publiques (services de l’État et collectivités territoriales) et privées (entreprises). Les types de SI concernés par ce guide sont les SI connectés (directement ou indirectement) à Internet, traitant d’informations sensibles et non-sensibles. Une annexe aborde le cas particulier des SI « Diffusion Restreinte ». Attention Les SI contenant ou susceptibles de contenir des informations relevant du secret de la défense nationale au sens de l’IGI 1300 (Intruction générale interministérielle N°1300 sur la protection du secret de la défense nationale)[16] ne sont pas concernés .par ce guide. 1. Responsable de la sécurité des systèmes d’information. 2. Direction des systèmes d’information. RECOMMANDATIONS SUR LE NOMADISME NUMÉRIQUE – 5 . 1.3 Convention de lecture Pour quelques recommandations, il est proposé plusieurs solutions d’architecture qui se distinguent par leur niveau de sécurité. Le lecteur a ainsi la possibilité de choisir une solution en phase avec ses besoins de sécurité. En outre, dans une démarche itérative de sécurisation d’un SI, ces différents niveaux de sécurité proposés peuvent permettre de fixer une cible d’architecture et d’identifier les étapes pour l’attein- dre. Ainsi, les recommandations sont présentées de la manière suivante : n Rx constitue une recommandation à l’état de l’art ; n Rx- constitue une recommandation alternative à Rx, d’un niveau de sécurité moindre. Par ailleurs, dans ce guide, l’utilisation du verbe « devoir » ou encore les formulations « il faut » ou « il est important » ou « il est nécessaire » sont volontairement plus prescriptives que les formu- lations « il est recommandé » ou « il est conseillé ». 6 – RECOMMANDATIONS SUR LE NOMADISME NUMÉRIQUE . 2 Présentation du sujet 2.1 Définitions Nomadisme numérique Le nomadisme numérique désigne toute forme d’utilisation des technologies de l’in- formation permettant à un utilisateur d’accéder au SI de son entité d’appartenance .ou d’emploi, depuis des lieux distants, ces lieux n’étant pas maîtrisés par l’entité. Télétravail Le télétravail désigne toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l’in- formation et de la communication (article L. 1222-9 du code du travail). Le télétravail .est donc une forme de nomadisme numérique. SI nomadisme Le SI Nomadisme est l’ensemble des éléments du SI de l’entité, qui entrent en jeu dans la chaîne de connexion d’un utilisateur nomade. C’est donc un sous-ensemble .du SI de l’entité. Utilisateur nomade Un utilisateur