Bonjour à
tous,
Je vais
commencer une série d'articles sur un sujet que je trouve très important et qui
est très peu documenté. Cette série de blog ne portera que sur les
systèmes Microsoft, mais le durcissement des systèmes s'applique bien
évidemment à tous types de systèmes.
Qu'est-ce
que le Durcissement des Systèmes ?
Le durcissement des systèmes (on parle aussi de Hardening) est le processus qui permet de corriger les faiblesses et les failles de sécurité des systèmes. Le durcissement des systèmes est réalisé en appliquant les derniers correctifs et mises à jour ainsi que le suivi des procédures et des politiques spécifiques visant à réduire la surface d'attaque du système.
Pourquoi
faire du Durcissement des Systèmes et quels en sont les bénéfices ?
Si vous
posez des questions sur le niveau de sécurité et les solutions utilisées, on
vous répondra sûrement qu'il y a des pare-feux, des proxy/reverse-proxy, des
IDS/IPS, des VPN, une DMZ, des anti-virus ...
Bref,
principalement des solutions de sécurité périmétriques.
La plupart
des entreprises pour lesquelles j'ai travaillées ne connaissent pas le
durcissement des systèmes. Et généralement, quand ils en ont entendu parler,
ils pensent soit que c'est trop complexe à mettre en œuvre, soit qu'ils se
sentent suffisamment en sécurité pour ne pas l'utiliser (solutions de sécurité
périmétriques).
Il faut prendre en compte les hypothèses suivantes:
- Que se passera-t-il si quelqu'un pénètre dans votre infrastructure ?
- Que se passera-t-il si l'un de vos employés a un comportement malveillant ?
- Êtes-vous sûr que tous vos systèmes sont configurés de la même façon et surtout sont bien configurés ?
Tous les
systèmes ont des faiblesses et des vulnérabilités, le durcissement des systèmes
contribuera à atténuer les menaces externes et internes, mais aussi les erreurs
de configuration.
Le
durcissement des systèmes vous aidera à :
- Augmenter le niveau de sécurité de vos infrastructures
- Améliorer la disponibilité de vos infrastructures
- Être conformes aux meilleures pratiques
- Améliorer les performances de vos infrastructures
- Éviter les erreurs de configuration
A quel
moment et sur quel périmètre faire du Durcissement des Systèmes ?
Sur les environnements Microsoft, le Durcissement des Systèmes est effectué majoritairement par des paramètres de stratégies locales et de domaine (GPO).
Le
Durcissement des Systèmes doit être effectué dès l'installation du système et
être intégré dans le processus de déploiement du système.
Prenons un exemple très simple:
Vous avez
mis en place du durcissement des systèmes par GPO pour vos postes de travail.
Cette GPO de
Durcissement est liée sur l'Unité Organisationnelle qui contient vos postes de
travail.
Vous
intégrez un nouveau poste de travail dans votre domaine mais vous oubliez de le
déplacer dans l'Unité Organisationnelle dédiée, il reste donc dans le conteneur
par défaut (Computers) et seules les GPO liées au niveau du domaine
s'appliquent.
Votre poste
de travail n'est pas durci et donc est vulnérable ...
Il est donc important de faire le durcissement dès le déploiement du système.
Les outils
Microsoft Deployment Toolkit (MDT) et System Center Configuration Manager
(SCCM) permettent d'intégrer le Durcissement du Système dans le processus de
déploiement.
D'autres outils permettent d'effectuer le durcissement après le déploiement mais j'y reviendrais dans un autre article.
Le
Durcissement des Systèmes doit être effectué sur tout le périmètre.
Dans un
environnement Microsoft, le durcissement doit être effectué sur les contrôleurs
de domaine, les serveurs, les postes d'administration et les postes de travail.
Il faut bien
garder en tête que le niveau de sécurité est celui du maillon le plus faible et
que la compromission d'un Active Directory est un moyen et non une fin.
Est-ce qu'il
y a des inconvénients à mettre en place du Durcissement des Systèmes ?
Bien
évidement il n'y a pas que des avantages à la mise en place de durcissement des
systèmes.
Une
augmentation du niveau de sécurité apporte généralement des contraintes.
Tout d'abord
il convient de réaliser des tests en environnement de pré-production avant la
mise en place du durcissement, notamment si vous avez des solutions anciennes
ou qui sont installées sur des systèmes anciens.
C'est aussi
valable si vous avez des systèmes hétérogènes (Unix/Linux, Apple, ...).
Il faut
aussi faire attention à ce que le durcissement ne vienne pas écraser des
configurations faites par l'applicatif lors de son installation.
L'objectif
est d'augmenter le niveau de sécurité et non de créer des incidents de
production.
Il ne faut
pas non plus que le durcissement ait un impact négatif sur l'utilisation du
système d'information faite par les utilisateurs et les équipes d'administration.
Si le niveau
de sécurité est trop contraignant, les utilisateurs perdront du temps, seront
moins efficaces et tenteront d'essayer de contourner ces nouvelles règles de
sécurité.
Je
m’arrêterai ici pour l'introduction, le prochain article de cette série sera
consacré aux ressources et aux solutions permettant d'effectuer du Durcissement
des Systèmes.
Aucun commentaire:
Enregistrer un commentaire