Dressez votre défense : une base pour la sécurité

Il y a un déséquilibre injuste : la sécurité (informatique) d'un système ou d'un service est aussi forte que le maillon le plus faible de la chaîne de protection. Cela fournit aux attaquants un avantage incroyable : ils peuvent choisir quand attaquer, où et avec quels moyens. Les défenseurs, eux, sont en permanence sous pression : ils doivent protéger à tout moment l'ensemble des actifs contre toutes les éventualités. Pour la sécurité informatique, cela signifie que chaque système informatique, chaque compte, chaque site web et chaque service doivent être correctement protégés, toujours.

 

Au CERN, en particulier, les services visibles depuis Internet sont sondés en permanence. Les sites web et les serveurs sont continuellement balayés par les adversaires à la recherche de vulnérabilités ; les attaquants essaient de façon répétée de deviner les mots de passe des utilisateurs sur nos passerelles d'accès à distance comme LXPLUS ou CERNTS ; les services informatiques, pour les grilles de calcul par exemple, sont analysés à maintes reprises par des personnes malveillantes cherchant à trouver des faiblesses qui peuvent être exploitées. Grâce à la vigilance des experts des systèmes et des services correspondants, les attaquants n'ont pas eu trop de succès jusqu'à présent.

Toutefois, l'application des mesures de sécurité de base n'est pas facile, en particulier lorsque vous n'êtes pas familier avec les concepts de sécurité et les mesures de protection : certains aspects pourraient être négligés ou omis. Cela pourrait rendre un système ou service vulnérable aux attaques alors que les experts croient que leur système ou service est sécurisé ! Afin de fournir un meilleur aiguillage, l'équipe de sécurité informatique a publié une série de ce que l'on appelle bases de sécurité :

- Bases de Sécurité pour les serveurs, les PC et ordinateurs portables (EDMS 1062500),
- Bases de Sécurité pour les services d'hébergement de fichiers (EDMS 1062503),
- Bases de Sécurité pour les services d'hébergement Web (EDMS 1062502),
- Bases de Sécurité pour les appareils industriels embarqués (EDMS 1139163).

Ces bases de sécurité définissent les exigences de sécurité de base et sont censées être pragmatiques et complètes, mais n'impliquent pas de solutions techniques. Elles devraient servir de guide pour les experts de système ou de service. Cependant, pour tous les services ou systèmes critiques, les propriétaires doivent produire un « Document de mise en œuvre de la sécurité » et indiquer comment leur système ou service répond aux bases de sécurité correspondantes. Le système ou service doit être mis en œuvre et déployé en conformité avec le « Document de mise en œuvre ». Le non-respect devra finalement conduire à une connectivité réseau réduite (par exemple la fermeture de toutes les ouvertures du pare-feu de périmètre externe, l'impossibilité d'accès aux autres domaines réseaux, ou la déconnexion complète).

Si vous avez besoin d'aide ou de conseils pour la mise en œuvre de mesures de sécurité appropriées, ou si vous avez des suggestions pour des bases de sécurité supplémentaires, veuillez nous contacter à Computer.Security@cern.ch. Pour plus d'informations, rendez-vous ici.

N.B. : ces experts système ont eu tout juste : Paul Burkimsher (EN/ICE) et Yann Donjoux (DGS/RP) sont les gagnants du « BINGO de sécurité pour les administrateurs » publié dans le précédent Bulletin.

par Computer Security Team