ISMS Politique de protection des postes de travail 2009

LOGO
Institution
Politique de protection des postes de travail (Information Security Policy)
Version 1.0
24/06/2009
ISMS
(Information Security Management System)
Politique de protection des postes
de travail
2009
Version control – please always check if you’re using the latest version
Doc. Ref. : isms.039.workstation.fr
Release
Status
Date
Written by (*)
Approved by
FR_1.0
Proposition des
institutions
de
sécurité sociale
24/06/2009
Johan Costrop
Groupe de travail
Sécurité
de
l’information
(24/06/2009)
Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont
participé les personnes suivantes: messieurs Bochart (BCSS), De Vuyst (BCSS), Petit (FMP),
Quewet (SPF Santé publique), Symons (ONEm), Vandergoten (INAMI) et Vertongen (ONSS)
(*) Ce document est basé sur le document « workstation policy » de Smals (auteur : Rolf Coucke)
Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie
nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document.
Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source
(Banque Carrefour de la sécurité sociale, http://www.bcss.fgov.be).
La diffusion éventuelle à des fins commerciales doit faire l’objet d’une autorisation écrite préalable de la part de la Banque
Carrefour de la sécurité sociale.
P1
LOGO
Institution
Politique de protection des postes de travail (Information Security Policy)
Version 1.0
24/06/2009
Table des matières
ISMS.................................................................................................................................................1
(INFORMATION SECURITY MANAGEMENT SYSTEM) ..................................................................1
1
INTRODUCTION........................................................................................................................3
2
PORTÉE ....................................................................................................................................3
2.1
2.2
2.3
2.4
3
DÉFINITION D’UN POSTE DE TRAVAIL ........................................................................................3
PUBLIC-CIBLE ........................................................................................................................3
OBJECTIF .............................................................................................................................3
CHAMP D’APPLICATION ...........................................................................................................3
PROTECTION DES POSTES DE TRAVAIL...............................................................................4
3.1
PRINCIPES GÉNÉRAUX ...........................................................................................................4
3.2
ASPECTS HARDWARE .............................................................................................................4
3.3
ASPECTS SOFTWARE .............................................................................................................5
3.3.1
Système d’exploitation..................................................................................................5
3.3.2
Software hors système d’exploitation............................................................................6
3.3.3
Gestion des patches.....................................................................................................6
3.4
DIRECTIVES ORGANISATIONNELLES .........................................................................................7
3.5
PROCÉDURES .......................................................................................................................7
P2
LOGO
Institution
1
Politique de protection des postes de travail (Information Security Policy)
Version 1.0
24/06/2009
Introduction
Les postes de travail sont des appareils vulnérables qui peuvent accéder au réseau. Les erreurs
présentes dans les logiciels sur le poste de travail peuvent par exemple permettre à des attaquants à
distance d’accéder aux systèmes afin de copier des données ou de retrouver des mots de passe. La
multiplication des postes de travail entraîne par ailleurs une augmentation proportionnelle du risque.
Ce document s’inscrit dans le cadre du développement de l’ISMS (Information Security Management
System) de la sécurité sociale. Il peut être classé parmi les mesures de contrôle en matière de
« gestion opérationnelle ».
2
Portée
2.1
Définition d’un poste de travail
Le terme poste de travail englobe tous les systèmes informatiques (p.ex. ordinateur de bureau,
portable), y compris les logiciels qu’ils contiennent et qui sont utilisés directement par les utilisateurs
finaux dans le cadre d’un réseau ou de manière autonome. Les serveurs ou les consoles spécifiques
(généralement pour l’administration) ne sont pas considérés comme des postes de travail.
2.2
Public-cible
Le public-cible de cette politique n’est pas l’utilisateur final, mais les services responsables de la
gestion des postes de travail auprès de l’institution.
2.3
Objectif
Le but de cette politique est d’introduire une directive pour la protection des postes de travail par les
services compétents, de façon à protéger les informations résidant sur le poste de travail ainsi que
l’accès de ceux-ci aux informations disponibles sur le réseau, compte tenu de l’impact potentiel d’une
perte de confidentialité, d’intégrité et de disponibilité.
2.4
Champ d’application
La politique est applicable à tous les postes de travail de l’institution qui sont utilisés ou non en son
sein. La politique n’est pas applicable aux postes de travail de tiers (par exemple des consultants) ne
1
pouvant être connectés à l’infrastructure réseau .
1
En cas de dérogation exceptionnelle, l’avis du service de sécurité doit être recueilli au préalable.
P3
LOGO
Institution
Politique de protection des postes de travail (Information Security Policy)
Version 1.0
3
Protection des postes de travail
3.1
Principes généraux
o
Il y a lieu de prévoir différentes couches de sécurité sur les postes de travail (hardware,
système d’exploitation, applications, …) pour éviter de compromettre la sécurité globale
lorsqu’une d’elle est mise en danger.
o
Il faut veiller à garantir, dans toute la mesure du possible, l’homogénéité du parc des
postes de travail.
o
Une politique d’audit (examen des traces/logging) de tous les postes de travail est
recommandée.
o
Comme tout matériel informatique, tous les –postes de travail doivent être inventoriés
(normes minimales)
o
En fonction de leurs caractéristiques, la confidentialité et l’intégrité des données
présentes sur des ordinateurs portables / médias portables doit être assurée2.
o
Lors de la configuration des postes de travail, il y a lieu de tenir compte des polices de
sécurité au niveau de l’utilisateur final afin d’en imposer leur implémentation.
3.2
2
24/06/2009
Aspects hardware
o
Tous les postes de travail comportent un mot de passe BIOS connu des seuls services
ICT pour l’accès aux paramètres d’administration du BIOS. Ce mot de passe BIOS doit
être suffisamment complexe et ne peut pas être communiqué. Nous recommandons dès
lors d’acquérir des hardwares permettant ce niveau de protection..
o
Les différentes configurations-types des postes de travail doivent être élaborées et
inventoriées sur base des risques de sécurité (tous les canaux d’input et output
possibles). Le nombre de configurations-types doit être limité.
o
Par configuration-type, il y a lieu de limiter, autant que possible les risques de sécurité
éventuels sur base de l’inventaire précité. Les canaux d’entrées et sorties superflus3
doivent être limités ; ceci peut être réalisé tant au niveau du hardware que du software.
o
L’utilisateur peut uniquement démarrer le poste de travail à partir du disque dur système
interne.
o
Il convient de prendre des mesures pour que seul le hardware fourni par l’institution
puisse être connecté aux postes de travail.
o
En cas de remise en service d’un poste de travail, les données d’exploitation doivent au
besoin être préservées avant la réinstallation du poste de travail.
o
Lorsqu’un poste de travail est mis hors service, les disques durs doivent être rendus
illisibles à l’aide d’outils spéciaux.
o
Privilégier l’utilisation des systèmes d’allocation de fichiers les plus récents.
Voir également les polices correspondantes au niveau de l’utilisateur final.
3
Exemples de canaux d’input et output: USB, Firewire, Wifi, ports sériels et parallèles, bluetooth,
infrarouge, disquette, graveur CD, …
P4
LOGO
Institution
Politique de protection des postes de travail (Information Security Policy)
Version 1.0
3.3
Aspects software
3.3.1
Système d’exploitation
A.
24/06/2009
Droits / autorisations
o
Le nombre d’utilisateurs disposant de droits spéciaux4 doit être limité à un minimum. La
création d’un administrateur (local / domaine) pour un certain profil de fonction devra
faire l’objet d’une autorisation du service de sécurité. Les comptes avec des droits
spéciaux peuvent uniquement être utilisés pour l’exécution de tâches spécifiques qui
requièrent des droits spéciaux. Ceci signifie que les tâches quotidiennes doivent être
exécutées avec un compte disposant de droits limités.
o
Il y a lieu de limiter le nombre de comptes locaux sur un poste de travail. Il convient
également de désactiver les comptes préinstallés.
o
Veillez à implémenter une politique en matière de mots de passe, de manière à imposer
des mots de passe forts. Imposez une longueur minimale des mots de passe. Utilisez un
historique des mots de passe et un « account lockout threshold » pour éviter le risque de
“brute force attack”. La politique spécifique en matière de mots de passe sera
déterminée en collaboration avec le service de sécurité de l’information.
o
Evitez la réutilisation de mots de passe identiques sur différents comptes / différentes
plateformes (p.ex. mot de passe d’administrateur local différent des mots de passe
domaine, database, …).
o
En dehors d’un système spécialisée suffisamment sécurisé (SSO), évitez
l’enregistrement automatique de mots de passe pour les connexions réseau et internet,
les connexions vers les applications, …
B.
Services
o
Désactivez toutes les fonctions locales de sharing5.
o
Réduisez les risques par l’élimination de tous les processus / protocoles / services à
risque et/ou inutilisés connus.
o
Evitez l’utilisation de la fonction “Memory Dump Files” et veillez à ce que les “Paging
files” et “Temporary files” soient vidés au moment de redémarrer ou d’éteindre le poste
de travail.
o
Désactivez les possibilités de « universal plug & play » pour éviter tout usage non
autorisé de hardware supplémentaire.
o
Débranchez tous les canaux de communication6 qui ne sont pas nécessaires dans le
cadre des activités autorisées.
o
Prévoyez une méthode pour éviter l’utilisation d’applications non autorisées en
combinaison avec une politique de limitation de software.
4
Tout groupe d’utilisateurs qui diffère d’un utilisateur configuré de manière standard, p.ex. domain
admin, local admin, superusers, …
5
“simple file sharing”, “shared folders” et “internet connection sharing”
6
wireless network, firewire, bluetooth, infrared, serial, …
P5
LOGO
Institution
Politique de protection des postes de travail (Information Security Policy)
Version 1.0
C.
24/06/2009
Connexions
o
Eliminez du domaine les postes de travail inutilisés / mis hors service.
o
Le firewall interne doit être activé. Ce firewall doit être actualisé en permanence et ne
peut pas être mis hors service par l’utilisateur final. Ne laisser ouvert que quelques ports
nécessaires à l’éxécution des tâches professionnelles. Opérer une distinction entre les
connexions nécessaires au réseau interne et les connexions externes.
En fonction des besoins, il y a lieu de prévoir la possibilité de créer différents profils (VPN
sur portables, …).
3.3.2
Software hors système d’exploitation
A.
Navigateur
o
Configurez les paramètres internet du navigateur afin d’éviter l’installation de malware à
travers internet (limiter les fonctions comme active content, scripting, …).
o
Laissez le navigateur contrôler si chaque certificat numérique est toujours valide.
o
Limitez le plus possible l’utilisation de cookies.
o
Utilisez un bloqueur de « Pop-Ups Windows ».
B.
Anti-malware
o
Planifier l’éxecution automatique du logiciel anti-malware pour qu’il effectue
régulièrement un scan complet du système (tous les fichiers, également les fichiers
startup, bios, boot records).
o
Utilisez les fonctions real-time présentes dans les programmes anti-malware.
o
L’utilisateur ne doit pas pouvoir modifier lui-même les paramètres du logiciel antimalware, ni en interrompre son fonctionnement.
o
La mise à jour dui logiciel anti-malware doit être automatique et régulière.
C.
Autres logiciels
o
Il convient de prendre des mesures maximales pour garantir l’intégrité des logiciels.
o
En cas d’installation de systèmes pouvant permettre la prise de contrôle à distance du
poste de travail, cette prise de contrôle ne peut uniquement avoir lieu que moyennant
l’accord de l’utilisateur final.
3.3.3
Gestion des patches
o
Les mises à jour de sécurité doivent d’abord être testées avant leur déployement.
o
Après la phase de test, les patches doivent être appliqués automatiquement aussi tôt
que possible sur chaque poste de travail dès sa connexion au domaine/réseau.
o
Les nouveaux postes de travail ne peuvent être installés sur le réseau que lorsque ces
systèmes ont atteint un niveau acceptable en matière de patching.
o
En ce qui concerne la fréquence d’installation des mises à jour de sécurité, il convient de
trouver un bon équilibre entre les besoins de sécurité et les objectifs opérationnels. Pour
P6
LOGO
Institution
Politique de protection des postes de travail (Information Security Policy)
Version 1.0
24/06/2009
les mises à jour qui sont qualifiées d’urgentes par des organismes reconnus7 il convient
de prendre immédiatement les mesures adéquates.
o
3.4
Une communication régulière doit être prévue entre le service responsable de la gestion
des patches des postes de travail et le service réseau. L’objectif est d’évaluer les
incidents de sécurité détectés par le service réseau dans le cadre de la gestion des
patches et de prendre, le cas échéant, des mesures immédiates.
Directives organisationnelles
o
Une liste des logiciels autorisés doit être établie et seuls les logiciels approuvés par un
service désigné à cet effet peuvent être ajoutés à cette liste.
o
Pour tous les logiciels installés par les seuls services compétents à cet égard, il y a lieu
de s’arrurer que l’institution soit en règle en ce qui concerne les contrats de licence.
o
L’installation de logiciels non autorisés sur les postes de travail peut faire l’objet d’un
audit ciblé.
o
Il convient que le système installé fasse en sort que seuls les postes de travails autorisés
puissent accéder au domaine (outre les éventuels systèmes qui empêchent l’accès au
niveau réseau).
o
L’utilisation d’un système de gestion centrale du parc des postes de travail est
recommandée.
3.5
Procédures
Des procédures doivent être établies, actualisées et respectées:
7
o
Pour garantir que les directives mentionnées dans le présent document soient
respectées;
o
Pour l’installation d’un logiciel mis à disposition par l’institution;
o
Pour autoriser l’utilisation d’un logiciel sur un poste de travail;
o
Quand à la configuration et la maintenance des postes de travail, avec une attention
particulière pour les paramètres de sécurité ;
o
Pour la gestion des logiciels sur base du profil du personnel (lors de l’entrée en service /
du départ / du changement de fonction d’un membre du personnel) ;
o
Pour la gestion de l’évolution des logiciels (nouvelles versions, updates, patching, suivi
des licences …)
Sans, Secunia,…
P7