Le durcissement des équipements a pour objectif de limiter les risques de compromission des informations en optimisant la configuration, structure et exposition des éléments qui composent un système informatique. Il consiste notamment à réduire la surface d’attaque (suppression des protocoles inutiles, optimisation des accès et privilèges …) et à mettre en œuvre et paramétrer les options de sécurité disponibles (configuration des équipements, limitation des actions possibles, chiffrement, choix des protocoles, détection d’anomalies, gestion des accès …)

La réussite des actions de durcissement repose sur plusieurs critères :

• Les actions techniques possibles
• Les préconisations, guides et obligations légales ou contractuelles
• La corrélation entre les besoins métiers et les risques identifiés/impacts associés
• Leur suivi, contrôle et évolution

Dans leur phase d’installation ou de conception, les équipements réseaux, sécurité ou logiciels sont généralement laissés dans leur configuration standard afin de privilégier les aspects fonctionnels de leur mise en œuvre. Pourtant, l’utilisation et la personnalisation des options de sécurité disponibles, souvent de façon transparente pour le fonctionnement, permet d’élever de façon significative la sécurité de l’ensemble de la chaine IT.

Dans une approche basique, elles peuvent prendre la forme de :

• Modification des login/password par défaut sur les équipements
• Gestion des autorisations d’accès
• Limitation des protocoles utilisées aux seuls nécessaires et en privilégiant ceux répondant aux standards sécurité, ce qui permet également d’optimiser les ressources (CPU, réseau …).
• Activation et paramétrage d’options de sécurité existantes sur les équipements, souvent désactivés ou sous-utilisées par défaut
• Limitation des types de caractère pouvant être saisis
• Gestion des traces et des alertes, journalisation
• …etc…

Le suivi et la bonne documentation des règles de durcissement appliquées sont également essentiels pour permettre de maintenir la connaissance sur les actions mises en place, de capitaliser sur leur pertinence et de faciliter leur évolution au regard de l’évolution des menaces, besoins, usages métiers, législation ou évolutions technologiques.

Ces actions de durcissement des équipements permettent de répondre, partiellement ou totalement, à des risques identifiés (malversations, perte de matériel, erreur humaine …) pouvant impacter les sociétés ou leurs collaborateurs (risque humain, financier, image…). Elles nécessitent cependant d’être corrélées aux besoins et usages métiers, afin de conserver une agilité d’utilisation et d’évolution nécessaire au bon fonctionnement de chaque branche métier et d’éviter les contournements préjudiciables (partage de mots de passe, shadow IT …).

De nombreux organismes ont mis en ligne des guides sur la cyber-sécurité, notamment en termes de durcissement des équipements :

• L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour la France
• L’ENISA au niveau européen
• Le NIST ou la DISA au niveau des États-Unis
• …etc…

On notera que ces guides servent généralement de base à différentes législations, règlements et standards :

• Loi de programmation militaire (LPM)
• PASSI, PRIS, PDIS
• ISO27001
• DoD STIGS
• COBIT, SOX, Bâle
• PCI/DSS
• …etc…

Dans un environnement multi-connecté où la prise en compte des aspects cybersécurité est devenu un enjeu majeur, la mise en œuvre de mesures simples de durcissement des configurations d’équipements et de logiciels est incontournable dans la politique de protection du système d’information. L’inscription de cette démarche dans une approche récurrente et évolutive permet d’en pérenniser l’apport. L’investissement par les entreprises dans un accompagnement personnalisé par des experts du métier ajoute et affine de façon significative la réduction des cyber-risques, des impacts qui en découlent, et des obligations légales auxquelles elles sont soumises.

Rédacteurs : Karim Slimani (Directeur de Projet) & Christophe Leroy (Manager)