Checklist complète pour la sécurité réseau

Vous voulez vous assurer que votre réseau informatique et votre organisation sont protégés contre les menaces internes et externes et vous ne savez pas par où commencer ?

Voici notre check-list pour la sécurité du réseau informatique de votre entreprise.

Cette liste de vérification vous fournira quelques conseils et astuces et vous guidera vers les domaines de la sécurité informatique sur lesquels vous devriez vous concentrer.

Pourquoi la sécurité du réseau est-elle importante ?

Sachez que votre réseau informatique est la porte d’entrée de l’infrastructure informatique de votre entreprise. Si les pirates ont accès à votre réseau câblé ou WiFi, ils auront accès à l’ensemble de votre infrastructure.

Les réseaux informatiques peuvent être piratés de plusieurs manières grâce à l’utilisation des scripts ou des logiciels de réseau. Vous serez peut-être surpris d’apprendre que de nombreux programmes et scripts de piratage préconçus sont disponibles en ligne pour les pirates amateurs.

Quant aux pirates avancés, ils peuvent utiliser un certain nombre de techniques, comme les vers, les dénis de service distribués (DDoS) et, souvent, en établissant un accès à distance non autorisé aux appareils de votre entreprise. Selon le rapport de Verizon en 2019 sur les enquêtes sur les violations de données, 43 % des victimes de violations de données étaient des petites entreprises.

Par conséquent, la protection des actifs informatiques contre les malwares, le phishing, les chevaux de Troie et les accès à distance non autorisés est importante. La protection de votre infrastructure informatique contre les attaques cybercriminelles est essentielle pour la pérennité de votre entreprise. Selon le rapport, 60 % des petites entreprises victimes d’une cyberattaque font faillite dans les six mois qui suivent.

Les dispositifs d’infrastructure réseau sont des cibles typiques pour les pirates, car une fois qu’ils parviennent à pénétrer dans votre réseau, de nombreux dispositifs réseau tels que les commutateurs, les routeurs et les pare-feu ne sont plus maintenus au même niveau de sécurité que vos ordinateurs de bureau et vos appareils mobiles.

Il y a beaucoup de choses à faire pour vous assurer que votre réseau est sécurisé contre une myriade d’attaques cybercriminelles. C’est une tâche intimidante, mais c’est quelque chose qui doit être votre priorité et qui vaut vraiment la peine d’être réalisé. C’est pour cette raison que nous avons dressé une liste de contrôle pour lancer votre stratégie de sécurité réseau.

L’objectif de cette liste de contrôle est de fournir des orientations et des conseils sur les domaines de votre infrastructure informatique sur lesquels vous devez vous concentrer afin de sécuriser votre réseau d’entreprise. Une fois que vous aurez mis en œuvre cette liste, vous serez sur la bonne voie pour maintenir un réseau sûr et sécurisé. Bien sûr, il est impossible de sécuriser à 100 % votre réseau d’entreprise moderne.

En réalité, l’évolution de la technologie apporte des améliorations en matière de fonctionnalités et d’efficacité. Par contre, elle crée aussi de nouveaux défis en matière de sécurité. Ainsi, vous devrez revoir régulièrement cette liste de contrôle de la sécurité du réseau pour la tenir à jour face aux défis en termes de sécurité du réseau et des mesures d’atténuation.

La réalisation d’audits de sécurité réseau est un bon moyen de maintenir votre liste de contrôle à jour. Quoi qu’il en soit, en utilisant cette liste de contrôle, vous serez en mesure d’atténuer une grande majorité des risques de sécurité réseau auxquels votre entreprise est susceptible d’être confrontée.

D’abord, qu’est-ce qu’un audit de sécurité du réseau ?

Un audit de sécurité du réseau est un audit de tous vos systèmes réseau pour s’assurer que les risques potentiels de sécurité sont minimisés ou éliminés. Les serveurs, les postes de travail, les routeurs, les passerelles doivent tous être vérifiés afin de s’assurer qu’ils sont sécurisés et qu’ils ne partagent pas d’informations sensibles.

De plus, comme vos employés sont constamment connectés à votre réseau, il y a des considérations spécifiques à prendre en compte. Très souvent, que ce soit intentionnellement ou non, ils ont tendance à être la plus grande menace pour la sécurité informatique.

Un audit de sécurité du réseau doit donc prendre en compte différents éléments et il est souvent facile d’oublier ou de manquer des étapes. C’est pourquoi il est important non seulement d’effectuer régulièrement des audits de sécurité, mais aussi de disposer d’une liste de contrôle de l’audit de sécurité des réseaux pour s’assurer que toutes les étapes sont réalisées à chaque fois que vous faites un audit.

Différence entre audit de cybersécurité et sécurité du réseau

La sécurité du réseau est un sous-ensemble de la cybersécurité, incluant la sécurité globale de votre organisation et la sécurité physique des données. Elle couvre toutes les données qui se trouvent sur le réseau lui-même, notamment les appareils qui se connectent à Internet.

Un employé qui sort avec des données sur une clé USB, ou qui partage des informations sensibles avec un pirate informatique relève de la cybersécurité, tandis que la sécurité des réseaux — qui en est un sous-ensemble — couvre ce que l’utilisateur fait sur le réseau lui-même.

Un audit de la sécurité des réseaux peut être réalisé par des auditeurs externes ou internes, en fonction de la taille de l’entreprise et du fait qu’elle dispose ou non de personnel informatique. Il existe aussi de bonnes raisons d’effectuer un audit externe, même si vous disposez d’un personnel informatique.

L’intervention d’un prestataire externe est importante pour l’audit

Souvent, les auditeurs externes seront plus minutieux et objectifs, alors qu’un auditeur interne connaît tellement bien le réseau qu’il peut oublier une étape ou supposer que certaines étapes ne sont pas nécessaires.

Un auditeur interne peut avoir des raisons personnelles de sauter une étape pour continuer à fournir les avantages réseau dont il a besoin. Par exemple, les administrateurs système peuvent créer des applications backdoor pour se donner un accès en cas de licenciement, ou simplement créer un utilisateur supplémentaire avec des droits d’administration sans le dire à personne.

Ils peuvent également avoir des raisons moins inoffensives d’ouvrir la sécurité du réseau afin de fournir un accès à distance plus facile — et parfois moins sécurisé — au réseau pour résoudre facilement les problèmes depuis leur domicile.

Quelle que soit la personne qui effectue l’audit de sécurité, l’utilisation d’une liste de contrôle permet de garantir la cohérence et de s’assurer que les correctifs ou autres changements apportés au réseau depuis le dernier audit n’ont pas créé de problèmes de sécurité.

Où trouver une liste de contrôle de l’audit de sécurité de votre réseau ?

Il existe de nombreuses sources de listes de contrôle pour l’audit de la sécurité sur Internet. Des sociétés de conseil les ont créées pour rendre service à la communauté et attirer votre attention. Certaines organisations veulent rendre l’Internet et vos réseaux plus sécurisés, comme la National Cyber Security Alliance et le Center for Internet Security.

Quel que soit l’endroit où vous trouvez votre liste de contrôle, vous voudrez probablement y ajouter ou supprimer des éléments, en l’utilisant comme base de référence pour votre environnement. Vous pouvez même en télécharger plusieurs et créer une seule liste de contrôle principale à partir de celles-ci.

La plupart des listes de contrôle sont exhaustives, mais il est difficile de prendre en compte tous les logiciels et périphériques qui sont utilisés partout dans le monde.

En outre, sachez qu’une seule liste de contrôle ne suffit pas à couvrir tous les logiciels et périphériques réseau de votre entreprise. Pourtant, l’élaboration d’une liste de contrôle qui couvre tous les éléments de votre réseau est cruciale pour garantir votre sécurité.

À titre d’exemple, une fois que vous vous êtes inscrit auprès du Center for Internet Security, cette organisation vous donne accès à de nombreux PDF, couvrant les paramètres de sécurité détaillés pour des environnements de systèmes d’exploitation spécifiques comme les nombreuses variantes de Windows, LINUX et les machines Apple. Elle fournit également des paramètres de sécurité détaillés pour des applications comme Internet Explorer et Google Chrome et des paramètres de référence pour les environnements basés dans le cloud tels qu’Azure et Amazon Cloud Services.

Quelles sont les catégories à inclure dans votre liste de contrôle d’audit ?

Il existe de nombreuses catégories d’éléments que vous pouvez inclure dans votre liste de contrôle d’audit de la sécurité des réseaux. Certaines d’entre elles sont évidentes pour la plupart des administrateurs système, d’autres ne le sont pas autant.

Voici donc notre liste. Comme nous l’avons susmentionné, toutes les listes de contrôle ne couvrent pas tous les logiciels et dispositifs de votre environnement informatique.

1. Politiques/Règles

Voici une courte liste des politiques que toute entreprise de plus de deux employés devrait appliquer pour sécuriser son réseau :

• Politique d’utilisation acceptable
• Politique d’accès à Internet
• Politique en matière de courrier électronique et de communication
• Politique de sécurité des réseaux
• Politique d’accès à distance
• Politique de BYOD
• Politique de chiffrement
• Politique de confidentialité

2. Serveurs d’approvisionnement informatique

Dans notre société actuelle, les données constituent un bien précieux, facile à vendre ou à échanger, et vos serveurs sont les endroits où se trouvent la plupart des données les plus précieuses de votre entreprise.

Pour sécuriser ces serveurs contre toutes les formes de menaces, il est essentiel de créer une check-list du déploiement des serveurs ; de vous assurer que tous les éléments suivants figurent sur la liste ; et que chaque serveur que vous déployez est conforme à 100 % avant son déploiement.

Liste des serveurs : une référence rapide, facile à mettre à jour et à entretenir

Conservez une liste de serveurs qui détaille tous les serveurs de votre réseau, y compris le nom, l’adresse IP, la date de mise en service, l’étiquette d’identification du service physique, l’emplacement du rack ou de l’hôte par défaut. Cette liste doit également mentionner le système d’exploitation utilisé par chaque serveur et le nom de la personne qui en est responsable.

Responsable par serveur

Il s’agit de la personne ou de l’équipe qui sait à quoi sert chaque serveur. Celle-ci doit assurer la mise à jour du serveur et enquêter sur toute anomalie.

Convention de dénomination

Les conventions de dénomination peuvent sembler étranges à lier à la sécurité, mais elles sont essentielles pour pouvoir identifier rapidement un serveur lorsque vous repérez un trafic étrange, ou lorsqu’un incident est en train de se produire.

Configuration du réseau

Veillez à ce que toutes les configurations de réseau soient effectuées correctement, y compris les affectations statiques (adresse IP), les serveurs DNS, les serveurs WINS, l’enregistrement ou non d’une interface particulière, l’ordre de liaison, la désactivation des services sur les réseaux de gestion DMZ et les réseaux de sauvegarde.

IPAM ou « IP Address Management »

Tous les serveurs doivent se voir attribuer des adresses IP statiques, et ces données doivent être conservées dans votre outil de gestion des adresses IP (même s’il ne s’agit que d’une feuille de calcul Excel). En cas de détection d’un trafic étrange, il est essentiel de disposer d’une référence à jour et faisant autorité pour chaque adresse IP de votre réseau.

Correctifs

Chaque serveur déployé doit être entièrement patché dès que le système d’exploitation est installé et ajouté à votre application de gestion des correctifs.

Antivirus

Tous les serveurs doivent être équipés d’un logiciel antivirus et faire rapport à une console de gestion centrale. Les exceptions constatées doivent être documentées dans la liste des serveurs. Au cas où une infection serait suspectée, les répertoires pourront donc être vérifiés manuellement.

Prévention des intrusions dans le pare-feu et les hôtes disponibles

Si vous utilisez la prévention des intrusions sur les hôtes disponibles, vous devez vous assurer qu’elles sont configurées conformément à vos normes et qu’elles fassent l’objet de rapports jusqu’à une console de gestion. Les pare-feu logiciels doivent également être configurés de manière à permettre le trafic requis pour votre réseau, y compris l’accès à distance, la journalisation et la surveillance, ainsi que d’autres services.

Accès à distance

Choisissez une solution d’accès à distance, et tenez-vous en à elle. Il est recommandé de choisir les services de terminal intégrés pour les clients Windows, et le protocole SSH pour tout le reste. Certains préféreront également télécommander leurs boîtiers Windows avec PCAnywhere, RAdmin, ou l’une des autres applications d’accès à distance pour accéder et contrôler à distance leur PC via Internet. Quel que soit votre choix, l’essentiel est de choisir une option et d’en faire la norme.

Économie d’énergie

Assurez-vous que tous les serveurs sont connectés à un onduleur et – si vous n’utilisez pas de générateur – qu’ils disposent de la solution nécessaire pour s’éteindre gracieusement avant que les batteries ne soient épuisées. Bien que vous ne souhaitiez pas que les serveurs hibernent, pensez à ne pas faire tourner les disques pendant les périodes de faible activité (comme après les heures de bureau) pour économiser l’électricité.

Serveur joint à un domaine

À moins qu’il n’y ait une très bonne raison de ne pas le faire – comme des problèmes d’application, ou parce qu’ils se trouvent dans la DMZ –, tous les serveurs Windows devraient être joints à un domaine. Tous les serveurs non-Windows devraient également utiliser LDAP pour authentifier les utilisateurs par rapport à Active Directory. Ainsi, vous bénéficierez d’une gestion centralisée et d’un compte d’utilisateur unique pour tous les utilisateurs de votre réseau.

Renommez le compte administrateur et créez un mot de passe fiable

Renommez le compte de l’administrateur local, et assurez-vous de définir (et de documenter) un mot de passe fort. Ce n’est pas une approche infaillible, mais rien ne l’est en matière de sécurité.

Définition des adhésions aux groupes locaux et attribution des autorisations

Effectuez toutes les affectations appropriées en utilisant les groupes de domaines lorsque cela est possible et définissez les autorisations en utilisant également les groupes de domaines. N’utilisez des groupes locaux que lorsque vous ne disposez pas d’autres choix et, dans ce cas, évitez les comptes locaux.

Utilisez des politiques appropriées pour les serveurs

Chaque serveur a des exigences différentes, et les politiques appliquées au groupe Active Directory sont justement ce qu’il faut pour administrer ces paramètres. Créez autant de « OU » que nécessaire pour accommoder les différents serveurs. Autant que possible, définissez également les politiques en utilisant les stratégies de groupe, plutôt que d’utiliser la politique de sécurité locale.

Confirmez les rapports aux consoles de gestion

Peu importe ce que vous utilisez pour administrer et surveiller vos serveurs, assurez-vous qu’ils font tous rapport (ou peuvent être interrogés) avant de les déployer. Il est important d’insister sur ce fait, sinon, vous risquez de mettre la charrue avant les bœufs.

Désactiver les services inutiles

Si un serveur n’a pas besoin de faire fonctionner un service particulier, désactivez-le. Vous économiserez ainsi de la mémoire et votre processeur pourra travailler à une vitesse inférieure.

SNMP configuré

Si vous prévoyez d’utiliser le SNMP (Simple Network Management Protocol), assurez-vous de configurer vos chaînes communautaires et de limiter l’accès de gestion à vos systèmes connus.

Agents installés

Logiciel de sauvegarde, logiciel de journalisation, logiciel de gestion… Quel que soit le logiciel que vous utilisez pour gérer votre réseau, vérifiez bien que tous les agents appropriés sont installés avant de considérer le serveur comme complet et opérationnel.

Sauvegardes

S’il vaut la peine de recueillir les données sensibles, il vaut également la peine de les sauvegarder. Aucune donnée de production ne devrait jamais arriver sur un serveur avant d’avoir été sauvegardée.

Restauration

Aucune sauvegarde ne doit être fiable tant que vous n’avez pas confirmé qu’elle peut être restaurée.

Analyse des vulnérabilités

Vous pensez vraiment que votre serveur est prêt à fonctionner, car tous les éléments susmentionnés sont mis en œuvre ? Sachez qu’il y a encore une chose à faire : le scanner.

Il est recommandé d’effectuer une analyse complète des vulnérabilités de chaque serveur avant qu’il ne soit déployé. Ainsi, vous pouvez vous assurer que rien n’a été oublié.

Mise en production

Une personne, autre que celle qui a construit le serveur, doit vérifier le serveur sur place pour s’assurer que celui-ci est prêt à être déployé avant son lancement. En « signant » le serveur, le spécialiste confirme qu’il répond aux exigences de sécurité de votre entreprise et qu’il est prêt à faire face aux menaces lancées via le web. Cette personne peut être considérée comme la deuxième paire d’yeux pour votre entreprise. De cette manière, vous aurez beaucoup moins de chances de découvrir que quelque chose manque sur votre serveur.

3. Déploiement des postes de travail

Il est important de veiller à ce que vos postes de travail soient aussi sûrs que possible.

Listez vos postes de travail

Conservez une liste de tous les postes de travail, tout comme la liste des serveurs, qui indique à qui le poste de travail a été attribué et quand son bail est terminé ou quand est-ce qu’il sera amorti. N’oubliez pas les étiquettes de service !

Utilisateur assigné

Suivez l’évolution de vos postes de travail en veillant à ce que le matériel fourni par chaque utilisateur soit mis à jour.

Convention d’appellation

Il est très utile, lorsqu’on regarde les journaux, de savoir si un poste de travail porte exactement le nom de l’utilisateur à qui il est attribué. Il est ainsi beaucoup plus facile de repérer les éléments qui semblent étranges dans les journaux.

Configuration du réseau

Vous attribuerez probablement des adresses IP en utilisant le DHCP, mais vous devriez également vous assurer que vos champs d’application sont corrects et utiliser une GPO pour attribuer toutes les zones DNS internes qui doivent être recherchées lors de la résolution des noms plats, c’est-à-dire des noms sans structures comme « Layoadea ».

Correctifs

Étant donné que vos utilisateurs peuvent accéder à internet et exécuter des programmes sur vos postes de travail, ils courent un risque beaucoup plus élevé que les serveurs, de sorte que les correctifs sont encore plus importants.

Assurez-vous que tous les postes de travail sont entièrement à jour avant de les déployer. Mettez fréquemment à jour votre banque d’images et veillez à ce que tous les postes de travail soient mis à jour par votre système de gestion des correctifs.

Antivirus

Mettez en place un antivirus qui peut à 100 % chaque poste de travail. Le principe est facile à comprendre : les postes de travail vérifient les mises à jour sur un serveur central au moins toutes les six heures et peuvent les télécharger à partir du fournisseur de services gérés lorsqu’ils ne peuvent pas atteindre votre serveur central. Tous les postes de travail signalent leur état au serveur central, et vous pouvez diffuser les mises à jour si nécessaire.

Prévention des intrusions sur l’ordinateur hôte et pare-feu

Envisagez d’utiliser un produit de prévention des intrusions sur l’hôte ou un pare-feu personnel pour mieux défendre vos postes de travail, en particulier. C’est tout particulièrement important lorsqu’il s’agit d’un ordinateur portable que votre employé utilise fréquemment pour se connecter à Internet en dehors du réseau de votre entreprise.

Accès à distance

Comme pour les serveurs, choisissez une méthode d’accès à distance et tenez-vous y, en interdisant toutes les autres. Plus il y a de moyens d’accéder à un poste de travail, plus un attaquant peut tenter d’exploiter la machine. Assurez-vous que seuls les utilisateurs autorisés peuvent accéder au poste de travail à distance, et qu’ils utilisent leur identifiant unique, au lieu d’une combinaison administrateur/mot de passe commune.

Économie d’énergie

Envisagez de déployer des paramètres d’économie d’énergie par le biais de la GPO afin de prolonger la durée de vie de votre matériel et d’économiser sur la facture d’électricité. Vous devriez disposer de cartes réseau compatibles Wake-On-LAN afin de pouvoir déployer des correctifs en dehors des heures de bureau en cas de besoin.

Domaine commun

Tous les postes de travail doivent être reliés à un domaine afin que vous puissiez les administrer de manière centralisée avec des identifiants uniques.

Renommez le compte administrateur et définissez un mot de passe fiable

Utilisez un script pour créer des mots de passe aléatoires, et stockez-les en toute sécurité pour pouvoir les récupérer en cas d’urgence.

Définition des adhésions aux groupes locaux et attribution des autorisations

Définissez les adhésions appropriées pour chaque poste de travail, soit par des administrateurs locaux, soit par des utilisateurs avisés.

Corrigez les « OU » avec les politiques appropriées

Organisez vos postes de travail en unités organisationnelles et gérez-les avec la politique de groupe. Faites cela autant que possible pour pouvoir assurer une gestion et une configuration cohérentes de vos appareils.

Confirmer les rapports aux consoles de gestion

Vérifiez que chaque poste de travail peut signaler à votre antivirus, à la gestion des correctifs et à toute autre console les éventuelles menaces avant de le remettre à l’utilisateur. Procédez ensuite à un audit fréquent pour vous assurer que tous les postes de travail signalent les mauvaises intentions.

Sauvegarde et restauration des données

Vous n’effectuerez probablement pas de sauvegardes complètes régulières de vos postes de travail. Au lieu de cela, vous pouvez envisager de rediriger vos dossiers ou vos sauvegardes sur Internet pour protéger les données critiques des utilisateurs.

Chiffrement local

Il n’y a aucune excuse pour laisser un ordinateur portable ou un lecteur portable sortir des limites physiques du bureau sans qu’une solution de chiffrement soit en place pour protéger les données sensibles. Que vous utilisiez Bitlocker, TrueCrypt ou un chiffrement matériel, le plus important est de faire en sorte que tous les lecteurs soient chiffrés.

Analyse des vulnérabilités

Effectuez régulièrement des analyses de vulnérabilité sur un échantillon aléatoire de vos postes de travail afin de vous assurer que vos postes sont à jour.

4. Équipement réseau

On peut facilement négliger l’importance de votre infrastructure réseau. Pourtant, elle est essentielle pour la sécurité et la maintenance de vos équipements réseau. Pour commencer la check-list de tous vos équipements réseau, voici quelques recommandations.

Liste des équipements réseau

Conservez une liste de tous les matériels réseau, comme vous le faites avec votre serveur. La liste doit comporter le nom et le type d’appareil, son emplacement, son numéro de série, son étiquette de service et le nom de la personne qui en est le responsable.

Configuration du réseau

Vous devez également disposer d’une configuration standard pour chaque type d’appareil afin de maintenir sa cohérence et de faciliter sa gestion.

IPAM

Attribuez des adresses IP statiques à toutes les interfaces de gestion. Ajoutez des enregistrements A au DNS et suivez tout dans une solution de gestion d’adresses IP (IPAM).

Correctifs

Chaque équipement de votre réseau fonctionne avec un système d’exploitation appelée « firmware ». Pour chaque matériel, tenez-vous au courant des correctifs et des mises à jour de sécurité et appliquez-les à vos matériels.

Accès à distance

Utilisez la méthode d’accès à distance la plus fiable que votre plateforme offre. Pour la plupart, il devrait s’agir de la version 2 de SSH. Désactivez telnet et SSH 1, et assurez-vous de définir des mots de passe forts non seulement sur les connexions distantes mais aussi sur les connexions locales.

Références uniques

Utilisez TACACS+ ou une autre solution de gestion à distance afin que les utilisateurs autorisés puissent s’authentifier avec des identifiants uniques.

SNMP configuré

Si vous comptez utiliser le SNMP, modifiez les chaînes communautaires par défaut et définissez des stations de gestion autorisées. Sinon, vous devriez désactiver ce protocole simple de gestion de réseau.

Sauvegardes

Faites des sauvegardes régulières de vos configurations, c’est-à-dire chaque fois que vous apportez une modification. Assurez-vous également qu’il est toujours possible de restaurer les données sauvegardées.

Analyse des vulnérabilités

Tous vos équipements de réseau doivent être inclus dans vos analyses de vulnérabilités régulières. Ceci, afin de repérer les brèches qui peuvent apparaitre au fil du temps. Parmi ces équipements, on peut citer :

• Les switchs
• Le serveur
• Les PC
• Les imprimantes
• Les commutateurs réseau
• Les modems ADSL
• Les réseaux locaux virtuels (VLAN),
• Etc.

Utilisez les VLAN pour séparer les types de trafic, comme les stations de travail, les serveurs, la gestion hors bande, les sauvegardes, etc.

Dispositifs et commutateurs

Définissez les restrictions de port de sorte que les utilisateurs ne puissent pas faire fonctionner des dispositifs en mode promiscuité ou se connecter des hubs ou des commutateurs non gérés sans autorisation préalable.

Ports désactivés

Les ports qui ne sont pas assignés à des appareils spécifiques doivent être désactivés, ou définis sur un réseau invité par défaut qui ne peut pas accéder au réseau interne. Cela empêche les appareils extérieurs de se connecter à votre réseau interne à partir de bureaux vides ou de cabines inutilisées.

Pare-feu

1) Autorisations explicites, refus implicites

La mention « Refuser tout » devrait être l’option par défaut sur toutes les listes d’accès, qu’il s’agisse d’un accès entrant ou sortant.

2) Enregistrement et alertes

Signalez rapidement toutes les tentatives de violations des données et enquêtez rapidement sur les alertes.

Routeurs et protocole de routage

N’utilisez que des protocoles de routage sécurisés qui utilisent l’authentification et n’acceptez que les mises à jour provenant de pairs connus à vos frontières.

5. Analyse des vulnérabilités

Procédez à une analyse externe hebdomadaire

Configurez votre application d’analyse des vulnérabilités pour que, chaque semaine, elle puisse analyser l’ensemble de votre espace d’adressage externe.

Comparez les différences chaque semaine

Validez les différences d’une semaine à l’autre en vous référant à vos procédures de contrôle des changements. Ainsi, vous pourrez vous assurer que personne n’a activé un service non approuvé ou connecté à un hôte malhonnête.

Des scans internes doivent être programmés tous les mois

Effectuez des balayages internes mensuels pour vous assurer qu’aucun appareil malveillant ou non géré ne se trouve sur le réseau et que tout est à jour en matière de correctifs.

6. Sauvegardes

Rotation de la bande de sauvegarde

Assurez-vous d’avoir établi une rotation de la bande de sauvegarde des données. Cela vous permet de suivre l’emplacement, l’objectif et l’âge de toutes les bandes de sauvegarde. Ne réutilisez jamais les bandes qui ont déjà été utilisées pour sauvegarder des données hautement sensibles.

Détruire les anciennes bandes de sauvegarde

Lorsqu’une bande de sauvegarde a atteint sa fin de vie, il faut la détruire pour s’assurer qu’aucune donnée ne puisse en être récupérée.

Stockage hors site sécurisé

Si vous comptez stocker vos données dans des cassettes conservées hors site, utilisez un service de messagerie réputé qui offre un stockage sécurisé.

Chiffrement

Même les services de messagerie les plus réputés peuvent perdre des bandes de sauvegarde. Assurez-vous donc que toute donnée conservée hors site – que ce soit par un service ou par un employé – est chiffrée pour protéger les données contre une perte accidentelle.

Accès restreint aux bandes et aux groupes de sauvegarde

Les bandes de sauvegarde contiennent toutes les données. Les opérateurs de sauvegarde doivent pouvoir contourner la sécurité au niveau des fichiers dans Windows pour pouvoir effectivement sauvegarder toutes ces données. Sécurisez l’accès physique aux bandes et limitez l’appartenance au groupe d’opérateurs de sauvegarde, comme vous le faites pour le groupe des administrateurs de domaine.

Effectuez régulièrement des restaurations

Les sauvegardes n’ont aucune valeur si elles ne peuvent pas être restaurées en cas de besoin. Vérifiez vos sauvegardes au moins une fois par mois, en effectuant des restaurations d’essai pour vous assurer que vos données sont en sécurité.

7. Accès à distance

• Vous devez mettre en place et maintenir une méthode approuvée pour l’accès à distance, et accorder des autorisations à tout utilisateur qui devrait pouvoir se connecter à distance, puis s’assurer que la politique de votre entreprise interdit d’autres méthodes.
• Envisagez d’utiliser une authentification à deux facteurs – comme les jetons, les cartes à puce, les certificats ou les solutions SMS – pour mieux sécuriser l’accès à distance.
• Examinez régulièrement vos journaux d’audit d’accès à distance et vérifiez ponctuellement auprès des utilisateurs si vous constatez des tendances inhabituelles, comme des connexions au milieu de la nuit ou pendant la journée lorsque l’utilisateur est déjà au bureau.
• Définissez des politiques strictes de verrouillage des comptes et examinez tous les comptes qui sont verrouillés afin de vous assurer que les attaquants ne peuvent pas utiliser votre méthode d’accès à distance comme moyen de pénétrer dans votre réseau.
• Si vous avez l’intention de pratiquer le « split tunneling » – un concept de réseau informatique permettant à un utilisateur mobile d’accéder simultanément à plusieurs domaines de sécurité différents –, appliquez la résolution interne des noms uniquement pour protéger davantage les utilisateurs sur les réseaux non sécurisés.
• Protégez vos utilisateurs itinérants qui pourraient se trouver sur des réseaux sans fil non sécurisés en faisant passer tout leur trafic par le VPN au lieu d’activer le « split tunneling ».

8. Réseaux sans fil

SSID

Utilisez un SSID (nom d’un réseau Wi-Fi) qui ne peut pas être facilement associé à votre entreprise et supprimez la diffusion de ce SSID. Ces deux mesures ne sont pas particulièrement efficaces pour contrer les attaquants qui s’intéressent sérieusement à votre réseau sans fil, mais elles vous permettent de vous contrer les attaques des pirates qui sont encore novices dans le domaine.

Chiffrement

Utilisez le type de chiffrement le plus fort possible, de préférence WPA2 Enterprise et n’utilisez jamais WEP. Si vous avez des lecteurs de codes-barres ou d’autres dispositifs qui ne peuvent utiliser que WEP, configurez un SSID dédié uniquement à ces dispositifs et utilisez un pare-feu afin qu’ils ne puissent se connecter au logiciel central que par le port requis, et rien d’autre sur votre réseau interne.

Authentification

Utilisez la norme 802.1x pour l’authentification à votre réseau sans fil afin que seuls les appareils approuvés puissent se connecter.

Réseau d’invités

Utilisez votre réseau sans fil pour établir un réseau d’invités pour les clients, vendeurs, etc., qui visitent votre entreprise. N’autorisez pas la connectivité du réseau invité au réseau interne, mais donnez la permission aux utilisateurs autorisés d’utiliser le réseau invité pour se connecter à Internet.

BYOD

Créez dès maintenant une politique BYOD – une pratique permettant aux employés d’apporter leurs propres appareils au bureau (ordinateurs portables, tablettes, etc.) ou de se connecter via le VPN.

9. E-mail

• Déployez une solution de filtrage du courrier électronique qui peut filtrer les messages entrants et sortants pour protéger vos utilisateurs et vos clients.
• Veillez à ce que vos périphériques rejettent les tentatives de récupération de répertoires.
• Déployez un logiciel de filtrage du courrier qui protège les utilisateurs contre toute la gamme des menaces liées au courrier électronique, notamment les malwares, le phishing et le spam.

10. Accès à Internet

Fournissez à vos utilisateurs un accès Internet sécurisé en mettant en place une solution de surveillance de l’Internet.

Chiffrement

Utilisez des listes de filtrage qui soutiennent la politique d’utilisation acceptable de votre entreprise.

Analyse des malwares

Recherchez les malwares dans tous les contenus, qu’il s’agisse de fichiers téléchargés, de médias en streaming ou simplement de scripts intégrés à des pages web.

Restrictions de la bande passante

Protégez vos applications critiques en déployant des restrictions de la bande passante. Ceci, afin que l’accès des utilisateurs à l’Internet n’ait pas d’impact négatif sur différentes fonctions comme la messagerie électronique ou le site web de votre entreprise.

Blocage des ports

Il importe de bloquer le trafic sortant que les utilisateurs pourraient utiliser pour contourner votre solution de surveillance d’Internet ou pour enfreindre votre politique d’utilisation acceptable.

11. Partage de fichiers

C’est dans les fichiers que se trouvent la plupart les données critiques de votre entreprise. Il est donc extrêmement important de sécuriser les échanges de fichiers.

Supprimez les groupes d’utilisateurs individuels et authentifiés

Les autorisations par défaut sont généralement un peu trop permissives. Supprimez le groupe « Admin/Everyone » et le groupe « Authenticated Users » et définissez des autorisations plus restrictives, même si celles-ci ne concernent que les « utilisateurs de domaine ».

Le principe du moindre privilège

Attribuez toujours les autorisations en utilisant le concept du « moindre privilège ». L’option « Contrôle total des fichiers » ne devrait jamais être accordée qu’aux administrateurs.

Groupes

N’attribuez jamais d’autorisations à des utilisateurs individuels. Au lieu de cela, utilisez uniquement des groupes de domaines. L’autorisation par groupe de domaine est plus évolutive et facile à contrôler, et elle peut être transférée à de nouveaux utilisateurs ou à des services en expansion beaucoup plus facilement que les autorisations individuelles.

Évitez l’option « Refuser l’accès »

Si vous avez un système de fichiers qui vous incite à utiliser l’option « Refuser l’accès » pour résoudre un problème, vous faites probablement quelque chose de mal. Reconsidérez la structure de vos répertoires et les autorisations de niveau supérieur, puis déplacez le fichier ou le répertoire pour éviter d’utiliser la fonction « Refuser l’accès ».

12. Corrélation LOQ

Si vous utilisez de nombreux serveurs, vous aurez des difficultés à vérifier manuellement les journaux de tous vos serveurs. Utilisez donc une solution de journalisation qui rassemble les journaux de tous vos serveurs afin de pouvoir facilement analyser les événements intéressants et de corréler les journaux lorsque vous enquêtez sur des événements.

13. Heure

Utilisez une forme centrale de gestion du temps au sein de votre organisation pour tous les systèmes, y compris les postes de travail, les serveurs et le matériel réseau. Le « Network Time Protocol ou NTP » peut maintenir tous vos systèmes synchronisés et facilitera la corrélation des journaux puisque les horodatages seront tous concordants.

N’oubliez pas que la formation de vos employés aux protocoles de sécurité est importante

Formez vos employés de façon continue pour qu’ils comprennent tout changement apporté à votre politique d’utilisation acceptable de l’Internet. Encouragez également une approche de « surveillance du voisinage » en termes de sécurité. Si un employé remarque quelque chose de suspect, tel que le fait de ne pas pouvoir se connecter immédiatement à un compte de messagerie, il doit en informer immédiatement l’administrateur système.

Les erreurs courantes à éviter en termes de sécurité des réseaux

Une mauvaise sécurité réseau met en péril non seulement les actifs de votre entreprise, mais aussi sa réputation. Tout expert vous dira qu’il n’existe pas de solution unique pour garantir sa sécurité. Elle dépend plutôt de la vigilance, de l’attention portée aux détails et d’une stratégie à plusieurs niveaux.

Voici quatre erreurs courantes à éviter :

Ne pas connaître tous les dispositifs du réseau

Il est difficile de garder la trace de chaque dispositif qui accède à votre réseau, en particulier pour les grandes entreprises. Cependant, en faisant périodiquement l’inventaire de tous vos dispositifs, vous pourrez mieux identifier les activités suspectes et maintenir votre système à jour. La compréhension des points d’accès vous permettra d’identifier les maillons les plus faibles.

Retarder l’application des mises à jour

Si les vulnérabilités de type « zero day » restent une menace constante, elles éclipsent souvent les menaces connues pour lesquelles des mises à jour sont déjà disponibles. Les exploits connus sont plus faciles à exploiter pour les pirates, et le fait de ne pas mettre en œuvre une mise à jour déjà disponible met en danger les données de votre entreprise. Les experts recommandent de mettre en place un calendrier pour l’application des mises à jour ou de rechercher les nouveaux correctifs disponibles.

Défaut de structuration stratégique

Les experts en matière de cybercriminalité savent que la question n’est pas de savoir si une violation se produira, mais quand. Il incombe aux équipes informatiques de s’assurer qu’en cas d’attaque, votre réseau est structuré de manière défensive. Par exemple, si un pirate franchit un pare-feu et — comme le réseau est ouvert dès qu’une personne y entre – il a un accès illimité à l’ensemble de votre réseau. Voici pourquoi vous devez mettre en œuvre une segmentation de votre réseau. Cela vous permet de limiter la mobilité d’un pirate une fois qu’il est entré dans le système.

Selon Techopedia, la segmentation peut être définie comme la création de sous-réseaux au sein de votre réseau d’entreprise ou d’un autre type de réseau informatique global. Imaginez la segmentation comme une chambre de confinement dans un hôpital. Si un virus pénètre dans l’organisation, il est bien possible de la contenir et l’empêcher de se propager.

Négliger le nombre de l’équipe de sécurité

Peu importe le nombre de mesures de protection que vous mettez en place, si vous ne disposez pas des personnes nécessaires pour les gérer et les surveiller, elles ne seront pas efficaces. Pour les PME, il est particulièrement difficile de maintenir une équipe de sécurité solide. Le recours à une société de sécurité externe peut contribuer à réduire les coûts ou à assurer l’intérim en attendant la constitution d’une équipe de sécurité permanente.

Conclusion

Tous les points ci-dessus sont des sujets de préoccupation lors d’un audit de la sécurité du réseau, mais aucun d’entre eux ne va très loin. La mise en œuvre d’une politique de sécurité — tant pour votre entreprise que pour chacun de vos serveurs et ordinateurs — comporte par exemple de nombreux éléments. La politique de sécurité d’un poste de travail comporte également des centaines d’éléments qui nécessitent une planification et une mise en œuvre selon les règles de l’art.

Vous devez mettre en œuvre votre politique de sécurité de votre réseau sur une image unique et vous assurer que cette image est déployée sur tous vos postes de travail pour garantir qu’ils sont tous configurés de la même manière ou qu’un logiciel le fait pour vous. Vous devez aussi vous assurer que toute nouvelle politique de sécurité est déployée sur tous les postes de travail.

Cet article a été une introduction aux listes de contrôle de sécurité de votre réseau et, comme indiqué, juste un exemple de ce qu’une liste de contrôle potentielle pourrait contenir. Veillez à faire vos propres recherches ou à engager quelqu’un qui puisse le faire pour vous. Surtout, n’essayez pas de prendre des raccourcis en ce qui concerne les mesures de sécurité de votre réseau.

Des millions d’euros sont perdus chaque année à cause des attaques cybercriminelles, qu’il s’agisse de réseaux et d’ordinateurs hors service ou de données volées. Par conséquent, assurez-vous que votre réseau et vos données sont sécurisés. Cela devrait être l’une de vos principales priorités. Disposer d’une liste de contrôle pour l’audit de la sécurité du réseau n’est que l’un des moyens d’y parvenir.

Utilisez cette check-list pour vous aider à mettre en place vos propres pratiques en matière de sécurité des données, et vous serez sur la bonne voie pour maintenir votre réseau plus fiable et sécurisé. Si vous souhaitez recevoir cette check-list en format PDF, veuillez nous envoyer un e-mail à info@titanhq.com