Chapitre 1 : Normes et Standards de Durcissement

Définitions et Objectifs du Durcissement

 Le durcissement consiste à réduire la surface d'attaque des systèmes
d'information (SI) pour les protéger contre les cyberattaques.
 Principe : Zéro Trust - Les utilisateurs légitimes ont seulement les bons
accès aux données appropriées pour les bonnes raisons.
 Principe : Sécurité en Profondeur - Intégration de multiples couches de
sécurité indépendantes pour retarder les attaquants.
 Principe : Moindres Privilèges - Limitation des accès et privilèges des
utilisateurs et systèmes pour réduire les risques.
Normes ANSSI
 Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) :
Autorité française en matière de sécurité des systèmes d'information.
o Recommandations :
 Configuration des systèmes GNU/Linux : directives générales
de sécurité.
 Administration sécurisée : conseils pour une architecture
technique sécurisée.
 Sécurisation d’un site web : mesures de sécurité pour les
sites web.
 Sécurisation d’Active Directory : recommandations pour
sécuriser les annuaires AD.
Référentiel CIS
 Center for Internet Security (CIS) : Organisation à but non lucratif visant
à promouvoir de meilleures pratiques de cybersécurité.
o Benchmarks CIS : Bonnes pratiques de sécurité, couvrant différents
systèmes et logiciels.
o Avantages des Benchmarks CIS :
 Normes de sécurité globalement reconnues.
 Prévention rentable des menaces.
  Conformité règlementaire (PCIDSS, RGPD).
o Catégories :
 Systèmes d'exploitation.
 Infrastructure cloud.
 Logiciels de serveur.
 Logiciels de bureau.
 Appareils mobiles.
 Périphériques réseau.
 Périphériques d'impression multifonctions.
Chapitre 2 :Connaître les Bonnes Pratiques de l'Administration Sécurisée
1. Système d'Information d'Administration (SI
d’administration) - Bastion
 Définition : Le système d'information d'administration est utilisé pour
administrer les ressources du SI.
 Bastion :
o Renforce la protection des comptes administrateurs en fournissant
un point d’accès unique via une passerelle HTTPS.
o Gestion centralisée de l'authentification et de la traçabilité.
o Technologies populaires : bastions d’administration.
o Avantages : Authentification multifacteur, coffres-forts de mots de
passe, prises en charge des systèmes distants, intégrations SIEM,
etc.
2. Outils d’Administration (Local/Centralisé)
 Outils d’administration local : Installés sur des postes d'administration,
offrant un contrôle total ou partiel aux ressources locales.
o Exemples : ADManager Plus, AD Pro toolkit, phpMyAdmin.
 Outils d’administration centralisé : Permettent l'administration à
distance via des serveurs dédiés.
 o Exemples : Dameware Remote Support, Atera, ISL Online.
 Sécurisation :
o Cloisonnement par zone d’administration.
o Déploiement sur des serveurs dédiés.
o Filtrage entre postes d'administration et serveurs d'outils.
3. Automatisation des Règles de Durcissement
 Outils d'automatisation :
o Lynis : Audit de sécurité pour les systèmes Unix/Linux.
o PingCastle : Évaluation de la sécurité Active Directory.
o CIS-CAT : Évaluation des configurations comparées aux
benchmarks CIS.
 Fonctionnalités : Identifie les failles de sécurité, propose des suggestions
de durcissement, compare la configuration actuelle aux normes de
sécurité
Chapitre 3 : Maîtriser le Durcissement du Système
1. Identifier les Systèmes d'Exploitation
 Système Windows (serveurs et poste de travail)
o Windows a une longue histoire, remontant à 1985, et est le
système d'exploitation dominant pour l'utilisation domestique et
les réseaux d'entreprise.
o Versions notables : Windows XP, Windows 7, Windows 10, et le
plus récent Windows 11.
o Windows Server : introduit en 2003 avec Windows Server 2003,
suivi par les versions 2008, 2012, 2016, 2019, et 2022.
 Systèmes Linux
o Linux est un système d'exploitation open-source populaire parmi
les programmeurs et les utilisateurs réguliers.
 o Avantages : gratuité, personnalisation, sécurité, stabilité, et
fiabilité. Utilisé par des entreprises comme Amazon, Facebook, et
Google pour leurs serveurs.
2. Appliquer les Règles de Durcissement
 Durcissement Windows
o Objectifs : Prévention des attaques, réduction de la surface
d'attaque, protection des données, minimisation des décisions
clés, et configuration homogène.
o Outils et pratiques :
 Windows Defender Application Control (WDAC) : contrôle
d'intégrité des pilotes et applications.
 Virtualization Based Security (VBS) : séparation de
l'architecture Windows pour protéger les informations
critiques.
 Credential Guard : protection des informations
d'identification Windows.
 Désactivation de fonctionnalités inutiles : Windows Telemtry,
PowerShell, Windows Script Host.
 Durcissement Linux
o Importance de garder le noyau et les logiciels à jour.
o Minimise l'installation de logiciels pour réduire les vulnérabilités.
o Sécurisation des comptes utilisateurs selon le principe du moindre
privilège.
o Renforcement du contrôle d'accès avec SELinux et AppArmor.
o Utilisation d'outils comme Lynis pour automatiser le durcissement.
Chapitre 4 : Déployer des Solutions DLP et de Traçabilité
1. Configurer une Solution DLP
 Définition : DLP (Data Loss Prevention) désigne une stratégie visant à
atténuer les menaces pesant sur les données critiques en surveillant,
détectant et empêchant l'accès non autorisé aux informations sensibles.
 Fonctionnement :
o Le logiciel DLP surveille les données entrant et sortant du réseau
d'entreprise.
o Il empêche les transferts non autorisés de fichiers sensibles, par
exemple en bloquant les e-mails sortants contenant des
informations confidentielles ou en empêchant l'accès à des
périphériques de stockage USB.
o Utilisation de l'intelligence artificielle pour améliorer les capacités
de détection et de blocage au fil du temps.
 Technologies DLP :
o Produits DLP dédiés : autonomes, approfondis et complexes.
o Produits DLP intégrés : fonctionnent avec d'autres outils de
sécurité pour appliquer des politiques et sont moins coûteux.
o Exemples de fournisseurs : Symantec Data Loss Prevention,
Checkpoint Data Loss, CoSoSys Endpoint Protector, McAfee Total
Protection for DLP.
 Mise en Place d'un Programme DLP :
o Réaliser un inventaire et une évaluation.
o Classer les données.
o Établir des politiques de traitement et de correction des données.
o Mettre en œuvre un programme DLP centralisé.
o Éduquer les employés sur les politiques de sécurité.
2. Configurer une Solution de Traçabilité
 Définition : La traçabilité consiste à identifier l'origine et reconstituer le
parcours d'un élément (donnée, attaque, action, changement, accès) à
travers les différents stades de sa production et transformation.
 Objectifs :
o Journalisation des événements : suivi des rapports d'erreurs et des
données associées de manière centralisée.
 o Surveillance des événements : collecter, agréger et analyser des
métriques pour améliorer la compréhension du système.
 Exemples de Solutions :
o syslog-ng : Collecte et envoie les messages syslog vers un autre
serveur pour traitement, visualisation ou stockage.
o CloudTrail (AWS) : Service permettant de configurer des politiques
de traçabilité pour les infrastructures cloud, en loggant les
opérations de gestion et les événements sur les données.