Le contrôle d’accès aux systèmes (Bonnes Pratiques 14)

La norme ISO 27002 de 2013 termine le chapitre 9 avec un objectif relatif au contrôle des accès aux systèmes et aux applications. Le but est tout simple : empêcher les accès non autorisés. Ce contrôle met en application tout ce qui a été dit précédemment.

1. Restriction d’accès aux informations

La politique de contrôle d’accès règle ce qui est permis et ce qui ne l’est pas, les actions qui sont autorisées (lecture, écriture, effacement, exécution), ce qui peut être divulgué en interne et en externe.

Les accès physiques et logiques se conjuguent.

2. Sécuriser les procédures de connexion

La politique règle la manière selon laquelle les accès sont réalisés et contrôlés.

Le mode et la technique d’authentification sont étroitement associés à la valeur des informations et des applications (= le niveau de classification).

Les possibilités d’accès non autorisés sont étudiés et évités. On ne facilite pas la tâche des utilisateurs non autorisés.

  • Si la tentative d’accès échoue (est-ce l’identifiant ou l’authentifiant ?), il ne faut pas indiquer pourquoi.
  • L’objet accédé n’est connu que par celui qui en connaît l’existence : local, équipement, application, information.
  • Le nombre de tentatives d’accès est limité.
  • Toute tentative est enregistrée et une alerte est lancée et cas de détection d’une faille.
  • Si la valeur de ce qui est accédé l’exige, dès la connexion réussie, la date et l’heure de la dernière connexion réussie sont indiquées et, au besoin, les détails des différentes tentatives avortées depuis ce moment.
  • La session de travail est inactivée automatiquement après une période définie d’inactivité.
  • La durée maximum d’une session de travail critique est fixée et exige une nouvelle authentification pour poursuivre.

3. Système de gestion des mots de passe

Les mots de passe (et autres codes d’accès) sont régis par des règles précises :

  • le mot de passe initial doit être changé dès la première connexion
  • le nouveau mot de passe doit être confirmé pour éviter les erreurs de saisie
  • seuls les mots de passe répondant aux critères de qualité sont acceptés
  • les mots de passe doivent être changés régulièrement et ne peuvent être réutilisés avant longtemps ou de façon cyclique
  • les mots de passe valides sont chiffrés dans le système et lors des échanges.

4. Utilisation des utilitaires à privilèges

Tout comme les privilèges sont des droits spéciaux liés à une surveillance spécifique, les applications à privilèges permettant de contourner les sécurités ou de modifier les journaux d’évènements (les modes ‘Administrateur’) sont étroitement limités et contrôlés.

  • Les procédures d’accès sont différentes et plus strictes.
  • Les utilitaires à privilèges et les applications sont séparés.
  • Les fenêtres temporelles et les conditions d’accès sont déterminées selon les besoins techniques et pas le bon vouloir des administrateurs.
  • Les utilitaires inutiles sont désactivés ou désinstallés.

5. Contrôle d’accès au code source des programmes

Le code source est la version non-exécutable du programme. Il sert de référence éventuelle. Toute modification associée à un accès au mécanisme qui le transforme en programme exécutable permet l’introduction de modifications potentiellement critiques dans les fonctionnalités.

Le contrôle d’accès et la surveillance lors de l’accès au code source sont donc, par nature, plus stricts encore que pour les programmes utilitaires. Il en va de l’intégrité du système et de la protection de la propriété intellectuelle de son auteur (donc de la confidentialité).

 

Avez-vous compris à quoi servent les règles qui vous sont imposées ? Comment évaluez-vous les règles mises en œuvre dans votre entreprise par rapport aux bonnes pratiques ?

 

A bientôt, plus en sécurité avec vos informations.

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.