Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place.
Il faut identifier les services réseaux nécessaires aux traitements et n’autoriser que ceux-ci.
Les précautions élémentaires
Limiter les accès Internet en bloquant les services non nécessaires (VoIP, pair à pair, etc.).
Gérer les réseaux Wi-Fi. Ils doivent utiliser un chiffrement à l’état de l’art (WPA2 ou WPA2-PSK avec un mot de passe complexe) et les réseaux ouverts aux invités doivent être séparés du réseau interne.
Imposer un VPN pour l’accès à distance ainsi que, si possible, une authentification forte de l’utilisateur (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.).
S’assurer qu’aucune interface d’administration n’est accessible directement depuis Internet. La télémaintenance doit s’effectuer à travers un VPN.
Limiter les flux réseau au strict nécessaire en filtrant les flux entrants/sortants sur les équipements (pare-feu, proxy, serveurs, etc.). Par exemple, si un serveur web utilise obligatoirement HTTPS, il faut autoriser uniquement les flux entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
Ce qu’il ne faut pas faire
- Utiliser le protocole telnet pour la connexion aux équipements actifs du réseau (pare-feu, routeurs, passerelles). Il convient d’utiliser plutôt SSH ou un accès physique direct à l’équipement.
- Mettre à disposition des utilisateurs un accès Internet non filtré.
- Mettre en place un réseau Wi-Fi utilisant un chiffrement WEP.
Pour aller plus loin
- L’ANSSI a publié des recommandations pour la sécurisation des sites web, TLS et le Wi-Fi. Cf RGPD-Annexe6.pdf, RGPD-Annepdf et RGPD-Annexe8.pdf.
- On peut mettre en place l’identification automatique de matériels en utilisant les identifiants des cartes réseau (adresses MAC) afin d’interdire la connexion d’un dispositif non répertorié.
- Des systèmes de détection d’intrusion (IDS) peuvent analyser le trafic réseau pour détecter des attaques. Les utilisateurs doivent être avertis lorsque leurs contenus sont analysé
- Le cloisonnement réseau réduit les impacts en cas de compromission. On peut distinguer un réseau interne sur lequel aucune connexion venant d’Internet n’est autorisée, et un réseau DMZ (DeMilitarized Zone) accessible depuis Internet, en les séparant par des passerelles (pare-feux).