Sécurisation de Data center dans un contexte LPM

Cet article décrit une partie des étapes que le pôle Sécurité Opérationnelle de Synetis suivrait pour réaliser un projet de mise en conformité à la LPM informatique.

L’arrêté du 28 novembre 2016 fixant entre autre les règles de sécurité des Systèmes d’Information d’Importance Vitale (SIIV ci-après) est entré en vigueur le 1er janvier 2017. Il est relatif à la Loi de Programmation Militaire (LPM ci-après), qui concerne la politique de défense dans sa globalité.

Cette loi, votée en 1996, n’a cessé d’évoluer durant ces dernières années. L’application de ses textes est inscrite dans des programmes s’étendant sur 5 ans, jusqu’à l’an 2018, où le programme 2019-2025 a vu le jour. Ces programmes successifs ont subi des durcissements notables, surtout depuis les attentats du 11 septembre 2001.

Parfois appelé LPM informatique, l’arrêté 28 novembre 2016 a amené les Organismes d’Importance Vitale (ci-après OIV) à engager des projets de transformation de leur système d’information ces dernières années, dans le but de les sécuriser.

Les exigences de la LPM Informatique

La LPM informatique se traduit par 20 règles relatives à la sécurité des Systèmes d’Information (SI ci-après). Elles sont décrites dans le Journal Officiel de la République Française, au sein de l’arrêté du 28 novembre 2016. Afin d’améliorer la compréhension de ces règles, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) les a reformulées et regroupées sur son site web. Elles sont découpées dans 13 domaines distincts :

  1. PSSI
  2. Homologation de sécurité
  3. Cartographie
  4. Maintien en conditions de sécurité
  5. Journalisation
  6. Détection
  7. Traitement des incidents de sécurité
  8. Traitement des alertes
  9. Gestion de crises
  10. Gestion des identités et des accès
  11. Administration
  12. Défense en profondeur
  13. Indicateurs

Les deux idées principales mises en lumière ci-dessous sont le Cloisonnement des SI et la Gestion des comptes à Privilèges. Plus précisément, le chapitre suivant décrit une des méthodologies qu’il est possible de suivre pour mettre en œuvre les recommandations relatives aux domaines 5, 10, 11 et 12 au sein d’un Datacenter.

Diagramme 1 : découpage de la LPM informatique en 13 domaines - Synetis, 2019

Mise en oeuvre 

La cinématique imaginée pour administrer les ressources est la suivante :

  1. Depuis un poste dédié aux actes d’administration, l’utilisateur se connecte au réseau d’administration (cloisonné du réseau de production) au travers d’un tunnel IPsec.
  2. Il est authentifié dans le réseau, en utilisant un compte nominatif ne bénéficiant d’aucun privilège.
  3. Il lui est alors possible de se connecter au Bastion, qui présente à l’utilisateur les ressources sur lesquelles il est autorisé à intervenir.
  4. Enfin le Bastion initie une session sur la ressource située dans le réseau de production, en utilisant un compte à privilèges, pour lequel l’utilisateur n’a aucune connaissance des identifiants de connexion.

Il est proposé de réaliser les phases de conception et de déploiement dans l’ordre suivant : Défense en profondeur, Administration, Gestion des identités et des accès puis Journalisation. Une vue à grande échelle des travaux à entreprendre est proposée dans cette section.

 > Défense en profondeur

En premier lieu, il s’agit de concevoir une architecture « en étoile » reposant sur un élément central, le Pare-feu (par exemple des éditeurs Palo Alto Networks, Stormshield ou encore Fortinet), qui centralise tous les flux entrants, sortants et internes du réseau d’administration et contrôle ceux-ci. Il permet à la fois d’établir le routage entre les différents équipements et de paramétrer les règles de filtrage.

Cette architecture est découpée en plusieurs zones, chacune d’elle étant segmentée par des VLAN configurés sur les différents commutateurs déployés dans le SI. Les zones sont constituées des éléments nécessaires au bon fonctionnement du réseau d’administration et son maintien en condition de sécurité.

Si certains flux dit « de services » ont vocation à rester internes au réseau cloisonné, d’autres ont pour objectif de rejoindre le réseau de production, à l’instar des flux d’administration. Pour ce faire, ces derniers peuvent transiter par une zone appelée ici « DMZ » (en référence à la Zone démilitarisée utilisée en réseau, bien que dans notre cas le terme ne soit pas entièrement adapté), avant d’être en mesure d’atteindre des équipements de production.

Schéma 1 : architecture en étoile - Synetis, 2019

> Administration

Une fois que le réseau d’administration est cloisonné de celui de production, il est alors envisageable de séparer les comptes possédant des privilèges sur les ressources de production des comptes étant simplement utilisateurs de celles-ci. La finalité de cette séparation est de limiter le champ d’actions d’un attaquant qui aurait réussi à pénétrer dans le réseau de production.

Plutôt que de se connecter directement à ces comptes sensibles, l’administrateur accède, grâce à un compte dit « primaire » ne possédant lui pas de privilège, à un équipement appelé Bastion et se voit présenter les ressources pour lesquelles il possède les autorisations. Il a alors la possibilité d’ouvrir une session sur ces ressources avec un compte à privilèges indépendant de son compte primaire.

La mise en place d’un Bastion d’administration (par exemple des éditeurs CyberArk, Wallix ou BeyondTrust) permet ainsi d’accéder à ces comptes à privilèges de manière sécurisée. En effet, la solution permet les trois fonctionnalités suivantes :

  • Traçabilité des actes d’administration : toutes les actions réalisées au sein du bastion au travers des sessions ouvertes par les administrateurs sont tracées et stockées dans le bastion, sous la forme de logs et de vidéos de la session.
  • Utilisation de comptes génériques en production : plutôt que de conserver une multitude de comptes nominatifs à privilèges en production, des comptes génériques remplacent ces derniers. Seul le Bastion a la connaissance des identifiants de ces comptes et est en mesure de s’y connecter.
  • Gestion des mots de passe : les mots de passe des comptes à privilèges sont stockés dans le coffre-fort du Bastion et connus de l’équipement seul. Il permet par ailleurs la rotation automatique de ceux-ci.

Schéma 2 : architecture « Bastion » - Synetis, 2019

> Gestion des identités et des accès

La gestion des comptes à privilèges, évoquée dans le paragraphe précédent, est partie intégrante du domaine de la gestion des identités et des accès. Le Bastion d’administration permet en effet d’attribuer les autorisations sur les ressources selon le principe du moindre privilège.

Les comptes primaires du Bastion, quant à eux, sont nominatifs et individuels. Ils correspondent aux comptes du référentiel du réseau d’administration (un compte pour un administrateur et réciproquement). Par conséquent, la gestion des accès, en particulier la révocation, est simplifiée car effectuée au sein des groupes de ce référentiel (par opposition à une action répétitive et risquée effectuée directement sur les ressources cibles).

En tant que solution de Gouvernance des Identités, le bastion donne la possibilité de mettre en place un « Workflow »  d’approbation, permettant aux administrateurs désirant obtenir des droits sur une ressource d’émettre une requête (en la justifiant), qui sera transmise à un validateur. Ainsi l’accès à des fonctions d’administration sur des équipements sensibles est soumis à un examen au préalable.

Enfin, la connexion des comptes à ce réseau est effectuée au travers d’un tunnel IPsec établi via le Pare-Feu, afin de garantir le chiffrement du flux d’authentification.

> Journalisation

Le déploiement de nouveaux équipements (physiques ou logiques) relatifs au réseau d’administration implique la mise en place d’une surveillance de la sécurité sur ceux-ci. Cette surveillance est effectuée notamment au travers d’une collecte de logs, qui sont stockées sur un serveur Syslog dédié au réseau d’administration. Aucun traitement de ces traces n’est entrepris au sein de ce réseau, mais elles sont en revanche transmises au « Security Operating Center », qui aura la charge de les analyser et de prendre les mesures adaptées, si nécessaire.

La centralisation des logs permet, en cas d’incident, de réconcilier les actes d’Administration opérés au travers du réseau d’administration (remontée des traces du Bastion) avec les actions effectuées en production par les comptes génériques.

Schéma 3 : journalisation - Synetis, 2019

La mise en conformité d’un SIIV en respectant les 20 règles de la Loi de Programmation Militaire informatique est un projet complexe à mettre en œuvre, notamment parce que celui-ci couvre la quasi-totalité des sujets de sécurité informatique actuels.

Il est alors judicieux pour les OIV de déléguer certains chantiers de ce projet à un cabinet d’expertise dans le domaine, ne serait-ce que parce qu’il n’est pas aisé pour les organismes de rassembler toutes les compétences nécessaires en leur sein. De plus ces sociétés de conseil, de par leur proximité avec les éditeurs, ont la possibilité de solliciter ces derniers afin d’obtenir un support complémentaire sur des solutions complexes à déployer.

Le pôle Sécurité Opérationnelle de Synetis met ainsi à disposition son savoir-faire afin d’accompagner les organisations souhaitant faire évoluer leur Système d’Information en respectant les exigences décrites dans les chapitres précédents.

Sources :

https://www.legifrance.gouv.fr      

https://www.ssi.gouv.fr/entreprise/protection-des-oiv/les-regles-de-securite/          

https://fr.wikipedia.org/wiki/Zone_d%C3%A9militaris%C3%A9e_(informatique)

Étiquettes : ,