Le travail d’administrateur système est difficile. Il y a la myriade de tâches intimidantes ; le besoin constant de mettre à jour ses connaissances à mesure que la technologie avance, sans parler des longues heures qu’il doit y consacrer. Il doit également travailler avec des équipements complexes, des logiciels obtus et des utilisateurs exigeants. En plus des choses que l’administrateur système doit faire, il doit encore tenir compte de certaines choses qu’il ne devrait jamais faire.
La question n’est pas de savoir si les administrateurs font toujours des choses qu’ils n’auraient pas dû faire. Mais il peut parfois arriver qu’ils enfreignent une règle, dans l’unique but de faire leur travail.
Par exemple, imaginez que vous êtes un administrateur système et le directeur des ventes vous appelle. En effet, il vous demande d’accéder à une série de sites pour une présentation qu’il va faire dans la salle de conférence dans trois minutes. Pourtant, les sites en questions sont bloqués. Dans ce cas, vous n’avez pas le temps de comprendre les raisons de ce blocage et vous pourriez être tenté d’essayer de les débloquer en désactivant le pare-feu ou du filtre Web de votre réseau, dans l’unique but d’assurer le bon déroulement de la présentation. Grâce à cela, la réunion se déroule sans accroc et votre directeur est heureux.
Malheureusement, vous avez un million d’autres urgences de ce genre à gérer. Vous risquez donc d’oublier la solution de rechange hâtive que vous avez adoptée, ce qui rend votre ordinateur largement ouvert aux malwares et aux autres menaces sur Internet.
Deux mois plus tard, quelqu’un télécharge un ransomware à partir d’un site de déploiement de malwares connu et toutes les données de votre entreprise sont chiffrées. Là, vous allez comprendre que même les meilleures intentions du monde peuvent mener à la catastrophe.
C’est pourquoi nous avons dressé une courte liste de choses que vous, en tant qu’administrateur, faites parfois (intentionnellement ou non) alors qu’elles n’auraient pas dû avoir lieu pour éviter les mauvaises surprises.
Les choses qu’un administrateur système ne doit jamais faire
1. Ne jamais faire d’exemptions de pare-feu et de filtre Web pour les machines.
Tout d’abord, ces règles concernent l’adresse IP de la machine désignée, qui est souvent attribuée par DHCP. Cela signifie qu’une autre machine peut avoir cette adresse ultérieurement. Il est probable que cette machine soit utilisée par une personne à qui vous ne voudriez peut-être jamais fournir un tel niveau de liberté. Afin d’éviter le scénario susmentionné, vous devriez donc créer une politique d’entreprise concernant les demandes d’accès, précisant ainsi le délai requis pour répondre à une demande. Vérifiez périodiquement les listes d’exemption de votre pare-feu et de votre filtre Web et supprimez toutes les règles d’attribution que vous avez configurées.
2. Ignorer les règles du pare-feu sortant
Vous savez très bien qu’il est important de configurer le pare-feu de périmètre pour le trafic entrant, mais vous oubliez souvent l’importance du trafic sortant. La raison est que le processus de sécurisation du trafic sortant est plus complexe que celui de l’entrée, car vous devez vous assurer que vos règles n’empiètent pas sur le trafic autorisé et sur les applications qui nécessitent un accès Internet. Pour ce faire, vous devrez faire des recherches opportunes et avoir une bonne connaissance de ce que font exactement vos utilisateurs.
Le filtrage du trafic sortant est important non seulement pour votre propre entreprise, mais aussi pour mieux protéger votre parc informatique. Si un périphérique est compromis au sein de votre réseau, il peut alors être utilisé par des gestionnaires distants pour générer du spam, déployer des malwares ou héberger des données de zone pour un domaine malveillant.
Un filtrage approprié du trafic sortant peut toutefois éviter ces genres d’incidents : vous pouvez par exemple établir des règles limitant le trafic de courrier électronique sortant et le trafic DNS aux seuls serveurs internes autorisés. Comme il ne devrait pas y avoir de ports d’entrée ouverts, il ne devrait pas y avoir de ports de sortie non plus.
3. Placer les ressources accessibles à Internet sur le réseau local interne
N’importe quel pare-feu d’entreprise permet la création de plusieurs zones. Il s’agit notamment de la zone publique (Internet), du réseau local interne (où résident les utilisateurs et leurs appareils, services et données) et d’une DMZ. Le but de la DMZ est de fournir une zone spéciale pour les serveurs et les dispositifs qui doivent être accessibles à partir d’Internet, tels que les serveurs de messagerie, les serveurs FTP et les serveurs de terminaux.
La zone DMZ doit être de nature moins restrictive que le réseau local interne, ce qui rend les dispositifs qui s’y trouvent plus vulnérables. Beaucoup de choses potentiellement indésirables peuvent se produire lorsque des appareils accessibles à Internet sont placés dans le réseau local interne. Si un périphérique est compromis, il est facile pour les malwares ou tout autre type de programme malveillant de se répandre sur le réseau local, mettant ainsi en péril les ressources de l’entreprise.
Le but de la DMZ est donc de limiter les éventuelles compromissions d’un appareil accessible via Internet. Cela exige également que le trafic entre la DMZ et le réseau local interne soit étroitement contrôlé et sécurisé. Trop souvent, la DMZ a un accès ouvert au réseau local interne parce que personne n’a pris le soin de verrouiller sa séparation à ce réseau.
Même avec le système DMZ en place, il est toujours essentiel de suivre vos systèmes. Considérez-les comme de petits enfants. Il faut les surveiller, sinon ils risquent d’avoir des ennuis. Le fameux proverbe « pas de nouvelle, bonne nouvelle » ne doit jamais devenir votre règle. Les choses peuvent sembler étrangement calmes, mais cela ne signifie pas que tout va bien. À moins que vous ne disposiez d’outils et de données qui indiquant que votre réseau va bien, pensez toujours que quelque chose de mal pourrait se produire en arrière-plan.
Ayez une vision globale de votre infrastructure réseau, y compris le trafic, l’utilisation de la mémoire, le processeur ainsi que la capacité du système. Analysez vos bases de données et les besoins en ressources des utilisateurs du réseau pour prévoir les futurs besoins en termes de capacité.
4. Autoriser le trafic de la zone DNS vers n’importe quel serveur
De nombreux administrateurs le font, soit par commodité, soit par inexpérience. Si vous autorisez les transferts de zone vers n’importe quel serveur, tous les enregistrements de ressources de ladite zone seront visibles par tout hôte qui peut interroger votre serveur DNS, y compris les serveurs DNS malveillants qui se trouvent sur votre réseau. Afin d’éviter cela, assurez-vous que les transferts de zone ne soient autorisés pour les serveurs intégrés Active Directory (AD) que si vous disposez d’un réseau Windows AD. Si ce n’est pas le cas, vous devriez donc spécifier les adresses IP de tous les serveurs DNS autorisés et limiter les transferts de zone à ces derniers. La réalisation de cette tâche prend plus de temps, mais cela en vaut la peine si vous voulez assurer l’intégrité de vos zones DNS.
5. Vérifier vos emails ou naviguer sur le Web à l’aide de votre compte d’administrateur
Voulez-vous ouvrir un email important pendant que vous configurez un nouveau serveur ? Voulez-vous tout simplement naviguer pendant quelques minutes sur le web en attendant la fin de l’installation ou de la mise à jour d’une application ? Attention, car cela n’en vaut pas la peine.
Certains administrateurs pensent que les règles ne s’appliquent pas à eux. Cette attitude est souvent associée à l’attitude appelée « power trip ». En réalité, il s’agit du comportement des administrateurs qui refusent de se soumettre aux règles informatiques qu’ils dictent ou appliquent eux-mêmes. Cela peut créer des situations désagréables par exemple lorsqu’un administrateur consulte des contenus offensants ou inappropriés pendant les heures de travail de manière bien visible par d’autres employés.
Les administrateurs système ne doivent pas oublier qu’ils occupent des postes de confiance. Par conséquent, ils doivent conserver une certaine attitude professionnelle. Ce n’est pas parce qu’ils ont le privilège d’exécuter certaines activités avec leurs autorisations et leurs droits d’accès élevés qu’ils doivent le faire.
N’oubliez pas que les comptes administrateur sont les clés du royaume que tout hacker malintentionné souhaite le plus avoir, ce qui pourrait impliquer l’installation de malwares sur les comptes utilisateurs. Autrement dit, les comptes d’administrateur sont comme des stéroïdes pour les malwares qui leur donnent un accès total à l’ensemble du réseau.
6. Héberger plus qu’Active Directory sur un contrôleur de domaine
Un contrôleur de domaine est une machine qui exécute Window Active Directory et il doit donc être correctement sécurisé. La première chose à faire est donc l’isolement total, c’est-à-dire que la machine hébergeant Active Directory ne doit plus être utilisée à autre chose.
Héberger quoi que ce soit d’autre sur cette machine, cela risque de résulter en une catastrophe. Dans le domaine de la sécurité de l’information, les différents actifs doivent toujours être isolés. Ainsi, si l’un des actifs venait à être compromis, les autres pourraient encore rester en sécurité pendant un certain moment. Si, en revanche, vous deviez exécuter un serveur de sauvegarde sur cette même machine et au cas où votre serveur de sauvegarde venait à être compromis, de combien de temps pensez-vous qu’un hacker aurait besoin pour remarquer le fonctionnement de cette machine ? Alors, pourquoi prendre un tel risque ?
7. Réutiliser le même mot de passe
Cette règle semble simple et évidente, mais le bon sens n’est pas si commun à tous. En tant qu’administrateur système, vous ne devez jamais réutiliser le même mot de passe pour deux machines ou services différents (ou plus). Si vous faites cela et qu’un attaquant décide d’essayer ce mot de passe sur n’importe quel service ou machine auquel vous vous connectez, ils pourront donc accéder facilement à votre compte.
Ne pensez pas que vous l’avez toujours fait de cette façon. En utilisant l’attaque par force brute, un pirate informatique peut facilement deviner le mot de passe que vous avez réutilisé. Ainsi, si plusieurs machines sont configurées via ces mots de passe, le problème pourrait s’aggraver. Au lieu de configurer le même mot de passe root sur plusieurs machines, vous aurez intérêt à utiliser un fichier clé.
En tant qu’administrateur, votre poste de travail peut avoir une clé privée, alors que chaque serveur peut utiliser une clé publique. Dans ce cas, la clé publique est associée à la clé privée, ce qui vous permet d’accéder à toutes les machines connectées au réseau. Par contre, il serait difficile pour un pirate informatique de se connecter à votre réseau et de s’y déplacer latéralement sans la clé valide.
8. Utiliser les informations d’identification pour se connecter à un poste de travail
Si vous utilisez vos informations d’identification administrateur pour vous connecter à la machine qui n’est pas un contrôleur de domaine, vous mettez littéralement ces informations à la disposition des attaquants. De nos jours, il existe des moyens très simples d’obtenir vos informations d’identification en cache. Et si vous utilisez un compte Administrateur local, sachez qu’il faut moins de 20 secondes pour élever vos privilèges d’administrateur local à celles d’administrateur de domaine à l’aide du code disponible gratuitement sur la plate-forme Github.
À moins que vous deviez effectuer des tâches de superutilisateur, vous ne devriez pas vous connecter en tant qu’administrateur. Pour se connecter au réseau, les utilisateurs devront utiliser leurs comptes personnels et utiliser par exemple la commande SUDO (Superuser DO) pour pouvoir réaliser des commandes spécifiques.
9. Déployer des réseaux Wi-Fi ouverts
Il n’est pas nécessaire d’avoir des réseaux Wi-Fi ouverts dans les espaces professionnels. Si vous avez besoin d’un réseau d’invités, vous pouvez lui attribuer un mot de passe, en veillant à le changer régulièrement. Si les gens se plaignent de toujours de devoir obtenir le nouveau mot de passe, posez-vous la question suivante : ces gens ne vont-ils pas se plaindre quand vous serez occupé, en train de réparer les éventuels dégâts causés par un compromis ? Une chose est sure : quand ça tourne mal, tout le monde vous blâmera pour le désordre.
Avec une technologie comme WebTitan WiFi, vous pouvez facilement fournir une expérience Wi-Fi rapide et sécurisée aux personnes qui accèdent à votre réseau. Vous pouvez bloquer les programmes malveillants et appliquer des règles de navigation acceptables à tous les emplacements.
À propos de WebTitan WiFi ?
WebTitan WiFi est un outil qui peut être utilisé par les fournisseurs de services souhaitant offrir de façon rentable le service WiFi contrôlé par le contenu dans le cadre de leur offre de produits. Il s’agit d’une solution de gestion robuste qui s’intègre facilement aux systèmes existants des fournisseurs de service pour leur donner la possibilité de fournir un service supplémentaire à leurs clients à un coût très raisonnable.
WebTitan WiFi s’adresse également aux grandes institutions qui disposent de multiples points d’accès WiFi dans divers endroits, à l’instar des universités, des centres commerciaux et des aéroports.
Si votre PME fournit du WiFi gratuit et si vous souhaitez protéger vos clients et votre réseau des contenus inappropriés et des malwares, tout en garantissant la protection de votre marque, WebTitan WiFi est la solution idéale pour vous.
Caractéristiques et avantages
- Configuration en quelques minutes ;
- Solution 100 % basé dans le cloud ;
- Aucune installation logicielle ou matérielle requise ;
- Filtre DNS qui n’a pratiquement aucune latence sur le trafic réseau ;
- Prise en charge des adresses IP dynamiques et statiques ;
- Protection contre les attaques de malware, de ransomware et de phishing ;
- Panneau de contrôle d’administration en ligne facile à utiliser ;
- Solution hautement évolutive, sans limites de dispositifs ou d’utilisateurs ;
- Rapports personnalisables sur l’utilisation et le trafic réseau ;
- Prix compétitifs et politique tarifaire transparente.
Conclusion
Désormais, les administrateurs systèmes doivent maintenir les systèmes en état de marche en permanence, car le web et les infrastructures d’information deviennent de plus en plus étendus et complexes. Ils doivent se tenir au courant des réseaux et des systèmes qu’ils gèrent. Les pirates ne cessent de développer de nouvelles techniques sophistiquées pour pénétrer les réseaux informatiques. Il est donc essentiel d’examiner l’ensemble du système et de le rendre suffisamment résistant aux actes de piratage ou de violation de données.
La sécurité ne devrait jamais être sacrifiée au détriment de la commodité. La majorité des administrateurs système ne songeraient jamais à respecter les bonnes pratiques mentionnées dans cet article. L’administration du réseau est une opération difficile, car chaque réseau est différent. La configuration, la sécurité et le dépannage du réseau restent donc des compétences hautement spécialisées et valorisées, du moins pour le moment.
Êtes-vous un professionnel de l’informatique qui cherche à protéger vos utilisateurs contre les attaques de phishing ? Contactez nos spécialistes ou écrivez-nous à info@titanhq.com pour toute autre question.
FAQs
Quel est exactement l’utilité d’un pare-feu pour mon réseau ?
Un pare-feu agit comme un filtre ou une barrière entre votre ordinateur et un autre réseau comme Internet. Sans cela, les attaquants pourraient mettre votre réseau hors service, le remettre en marche et récupérer vos données, ce qui pourrait vous faire perdre du temps et de l’argent.
Pouvez-vous donner plus d’explications sur le fonctionnement du réseau DMZ ?
Un réseau DMZ constitue un tampon entre le réseau privé d’une organisation et l’Internet. Il est idéalement situé entre deux pare-feu et garantit que les paquets réseau entrants sont analysés par un pare-feu avant qu’ils ne parviennent aux serveurs hébergés dans la DMZ. Ainsi, même si un attaquant avisé parvient à passer le premier pare-feu, il doit encore accéder aux services renforcés de la DMZ avant de pouvoir causer des dommages à votre entreprise.
Pourquoi Active Directory est-il si important ?
En tant qu’administrateur, Active Directory vous aide à organiser tous les utilisateurs, ordinateurs et bien d’autres appareils de votre entreprise. Vous pouvez l’utiliser pour organiser la hiérarchie complète de votre organisation, depuis les ordinateurs qui appartiennent à tel ou tel réseau jusqu’aux profils des employés. Bref, il contient les secrets de tous les utilisateurs de votre réseau et constitue donc une cible privilégiée pour les cybercriminels.
L’administrateur peut-il utiliser plusieurs DNS ?
Oui, et c’est fortement recommandé d’en avoir plusieurs. Si vous n’avez qu’un seul DNS et qu’il tombe en panne, le service Active Directory qui en dépend sera également paralysé, ce qui pourrait engendrer des pertes potentielles.
Comment WebTitan protège-t-il mon réseau ?
WebTitan est une solution de sécurité et de filtrage web basée sur les DNS. Il est conçu pour protéger votre réseau en contrôlant les contenus web, bloque plus de 300 000 sites web malveillants chaque jour et contrôle plus de 3 millions de sites malveillants à tout moment. Ceci permet de protéger efficacement votre réseau contre les cyber-menaces basées sur le web, notamment les malwares, les ransomwares et les sites malveillants.