Sécurité de l’administration du SI, recommandations ANSSI

On parle souvent de la sécurité des postes utilisateur, des serveurs, et plus généralement du système d’information. On oublie cependant souvent de mettre le focus sur le poste de l’administrateur du SI, qui possède un accès à tout le système d’information.


C’est dans une documentation parue le 20 février 2015 que l’ANSSI publie pas moins de 73 recommandations concernant la sécurité de l’administration des systèmes d’information. En effet, s’il y a bien un élément qui doit être le premier à appliquer les règles de sécurité, c’est bien l’équipe technique et tous les acteurs qui administrent, configurent et gèrent le système d’information.

I. Sécuriser l’administration du SI, quel enjeu ?

Attention, nous parlons ici bien de la sécurité de l’administration du système d’information, qui n’est après tout qu’une composante du système d’information. Lorsque l’on y réfléchit bien, et c’est ce qui est spécifiquement détaillé dans ce document rédigé par l’Agence Nationale de la Sécurité des Systèmes d’Information, le poste de l’administrateur pour un système d’information est comme le compte root d’un système Linux, il donne accès à tout le reste. C’est pourquoi il doit faire l’objet de processus de sécurité avancés.

ANSSI

Au-delà du “poste” de l’administrateur, il est détaillé tous les processus utilisés pour administrer le SI, on parle alors du stockage des données dont l’administrateur système et l’équipe technique peut avoir à manier, la gestion des mots de passe, la gestion des connexions distantes aux systèmes gérés et le nomadisme….

Le document commence donc naturellement par rappeler le rôle, vital et critique, de l’administrateur dans un système d’information. Il est d’ailleurs noté que celui-ci, en plus d’avoir des droits, a également des devoirs envers l’entreprise comme la loyauté, la transparence et la confidentialité, celui-ci doit en être informé et c’est notamment le rôle de la charte informatique de l’entreprise.

L’objectif est donc clair, la zone d’administration du SI est une cible privilégiée par les attaquants, car ceux-ci disposent de droits avancés et cela facilitera de fait la phase d’élévation de privilège. Il faut donc protéger les ressources et infrastructures des intrusions et de la compromission pour réduire les risques. Ce qui, au passage, est l’objectif de tous les documents que l’ANSSI publie et que je vous conseille de lire 😉 : bonnes pratiques de l’ANSSI

Attention, cette liste de recommandations n’est pas exhaustive et il est important de la compléter en fonction de votre contexte, il s’agit là d’une base et d’une piste de sécurisation.

II. Domaine fonctionnel et domaine technique

Dans ces recommandations pour la sécurité de l’administration du système d’information, l’ANSSI introduit un découpage par domaine fonctionnel et technique. Il s’agit alors de prévoir et définir les zones de confiance pour mieux les cloisonner, on parle alors plus techniquement de la réduction de la surface d’attaque par une meilleure connaissance du SI et une meilleure structuration de celui-ci. Il s’agit là d’un sujet que nous avons déjà traité sur ce blog : Analyse et réduction de la surface d’attaque

Les domaines fonctionnels et techniques doivent être définis, dans la mesure du possible et dans le meilleur des cas, avant la production de l’architecture. On adopte alors une démarche “secure-by-design” qui provient de la conception logiciel, la sécurité est alors une partie intégrante de la conception d’une architecture et ne vient pas comme un module plus moins optionnel à la fin de la conception, voir du déploiement final.

Les zones de confiance décrites par l’ANSSI découleront en réalité des besoins en sécurité (intégrité, confidentialité, authentification, traçabilité) qui seront différents. On pourra alors “catégoriser” et hiérarchiser les besoins en sécurité.

Parmi les nombreux sujets abordés, on retrouve également la virtualisation. Il est en effet déconseillé de mutualiser sur un même hyperviseur ou sur une même infrastructure les fonctions d’administration du SI et les fonctions “métier” utilisées par les utilisateurs finaux. Un hyperviseur par domaine fonctionnel est donc conseillé.

En réalité, l’ANSSI cible un point spécifique de la virtualisation qui est sa robustesse dans le fait de pouvoir passer d’une machine virtuelle à une autre. Différents PoC sur le net ont permis de mettre en avant la possibilité sur certains hyperviseurs de bypasser les cloisonnements de la VM pour passer sur l’hyperviseur par exemple. La compromission d’une machine virtuelle dédiée métier pourra alors mettre en danger une machine virtuelle dédiée à l’administration du SI.

III. La sécurité du poste de l’administrateur

Dans la conception de la zone d’administration, il est alors conseillé de distinguer le poste utilisé pour les usages courants (bureautique, accès internet…) et le poste utilisé pour les usages d’administrations. Il  est en effet possible que les usages liés à la consultation d’une pièce jointe ou de l’accès à internet compromettent le poste de l’administrateur pour ensuite se rebondir sur l’administration du SI. Dans le meilleur des cas, il faudra avoir deux machines physiques, mais cela n’est pas envisageable pour toutes les entreprises, par souci de coûts principalement. On peut alors mettre en place un système de virtualisation ou de cloisonnement avancé des processus via le noyau système, même si ces deux options proposent une sécurité plus faible.

Concernant le poste d’administration, l’ANSSI propose un ensemble de points de sécurité à mettre en place comme l’utilisation d’un utilisateur non-administrateur (ce rôle étant réservé aux administrateurs ayant pour rôle la gestion des comptes et des postes de travail), le durcissement de la configuration du système, etc. Les périphériques de stockage (amovibles ou non) doivent également faire l’objet d’une attention particulière et notamment par l’utilisation de systèmes de chiffrement qualifié par l’ANSSI.

Je n’en ai pas encore parlé sur ce blog, mais l’ANSSI propose depuis quelques années la consultation d’un ensemble de produits qui sont certifiés comme “de qualité” au niveau de leur sécurité. vous pourrez trouver la liste de ces produits sur le lien suivant : Liste des produits qualifiés par l’ANSSI

Dans le chiffrement du périphérique de stockage comme dans de nombreuses autres fonctions du SI. Il est recommandé de prioriser les choix des produits présents dans cette liste de produits qualifiés. Un autre exemple donné est celui de la gestion des mots de passe, l’ANSSI nous cite comme exemple Keepass, un coffre-fort de mot de passe dont je vous ai déjà parlé (Coffre fort de mot de passe Keepass)

L’annuaire ayant un rôle central dans l’administration du système d’information, sa sécurité est également abordée dans cette documentation, on retrouvera la notion de distinction de l’environnement administrateur de l’environnement utilisateur par une séparation des Active Directory avec une relation d’approbation unidirectionnelle entre ceux-ci. Cela permettant aux administrateurs de se connecter sur l’AD utilisateur, mais pas l’inverse. L’authentification à deux facteurs est également abordée et conseillée pour l’accès aux zones et interfaces d’administration, pour rappel, l’authentification peut prendre pour  base :

  • Ce que je suis
  • Ce que je possède
  • Ce que je sais
  • Ce que je sais faire

L’authentification à multiple facteurs est alors le fait de prendre plusieurs de ces facteurs et de n’autoriser la connexion que quand ils sont tous réunis et validés pour l’authentification d’un administrateur.

IV. Zone d’échange sécurisée

Il est également décrit la façon dont doivent être fait les échanges de données et de fichiers entre les domaines fonctionnels et les domaines techniques. Plus précisément entre l’espace d’administration (les machines de l’administrateur et les postes des équipes techniques) et l’espace utilisateur, qui est de moindre confiance. L’ANSSI recommande alors la création d’un espace d’échange, une sorte de zone tampon évitant que les deux domaines échangent directement. Cette zone faisant office de rupture protocolaire et étant conçue pour analyser tous les fichiers y étant stockés, de façon temporaire dans cet espace. Cette étape de validation temporaire permettra d’améliorer la sécurité et d’éviter que les fichiers corrompus de l’espace utilisateur ne viennent s’installer sur les machines d’administration. Voici un schéma qui illustre ce fonctionnement :

zone-echange-anssi-01

Schéma provenant de la documentation ANSSI sur l’espace d’échange

Ici, on visualise bien la zone d’échange. Un espace intermédiaire qui se situe entre les utilisateurs et l’administration du SI qui permet une analyse plus poussée des fichiers qui y transitent.

Le document aborde une grande quantité d’autres sujets que je ne présente pas ici pour que vous gardiez un intérêt à le lire. Je vous conseille sa lecture, car le document permet d’aborder la sécurité de l’administration du SI dans son ensemble, de la sécurité pendant l’administration distante à l’échange des données entre l’espace des utilisateurs et les machines d’administration.

Voici le lien vers la documentation de l’ANSSI : Recommandations relatives à l’administration sécurisée des systèmes d’information

Bonne lecture ! 🙂

Vous aimerez aussi...

3 réponses

  1. DonPedro dit :

    Merci pour ce résumé, par contre il y a encore quelques fautes :).

    Mais je tenais à te féliciter pour la qualité et la pertinence de tes articles.

  2. Adriano dit :

    Le lien de l’article est rompu.
    Le document de l’ANSSI peut être consulté sur http://www.ssi.gouv.fr/guide/securiser-ladministration-des-systemes-dinformation/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *