Aujourd’hui, la confiance numérique est nécessaire à l’intérieur et à l’extérieur de l’organisation, de sorte que des outils doivent être mis en œuvre, avec des méthodes et des meilleures pratiques de cybersécurité dans chaque couche de nos systèmes et de leur infrastructure : applications, systèmes d’exploitation, utilisateurs, à la fois sur site et dans le cloud. C’est ce que nous appelons System Hardening ou renforcement des systèmes, une pratique essentielle qui jette les bases d’une infrastructure informatique sécurisée. Son objectif est de réduire autant que possible la surface d’attaque, en renforçant les systèmes afin de pouvoir faire face à d’éventuelles attaques de sécurité et d’éliminer autant que possible les points d’entrée pour la cybercriminalité.
Approche globale de la sécurité organisationnelle
Pour mettre en œuvre la sécurité organisationnelle, une approche globale est sans aucun doute nécessaire, car elle doit prendre en compte les périphériques (terminaux, capteurs, IoT), le matériel, les logiciels, les environnements locaux, les environnements cloud (et hybrides), ainsi que les politiques de sécurité et la conformité réglementaire locale et même internationale. Il convient de rappeler qu’aujourd’hui et à l’avenir, nous devons non seulement protéger les actifs numériques d’une organisation, mais également éviter les temps d’arrêt et les éventuelles sanctions réglementaires (associées au non-respect de GDPR et des lois sur la protection des données). Le hardening contribue également à jeter les bases solides sur lesquelles mettre en œuvre des solutions de sécurité avancées. Plus tard, dans types de hardening, nous verrons où il est possible de mettre en œuvre le renforcement de la sécurité.
Avantages du hardening en cybersécurité
- Amélioration de la fonctionnalité du système : Les mesures de durcissement contribuent à optimiser les ressources du système, en plus d’éliminer les services et les logiciels inutiles et d’appliquer des correctifs et des mises à jour de sécurité. Les conséquences des actions conduisent à une meilleure performance du système, car moins de ressources sont également gaspillées en composants inutilisés ou vulnérables.
- Niveau de sécurité plus élevé : Dans un système renforcé, la surface d’une attaque potentielle est réduite et les défenses contre les menaces (par exemple, les logiciels malveillants, l’accès non autorisé et les violations de données) sont renforcées. Les informations confidentielles sont protégées et la vie privée des utilisateurs est garantie.
- Simplification de la conformité et de l’audit : Les organisations doivent se conformer aux normes et réglementations de sécurité spécifiques à leur secteur, afin de protéger les données sensibles. Le hardening aide à répondre à ces exigences et garantit le respect des normes spécifiques de l’industrie, telles que GDPR (protection des données personnelles), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) ou la loi sur la responsabilité et la portabilité des assurances médicales (HIPAA, pour protéger les données d’un utilisateur d’assurance maladie).
Parmi les autres avantages, citons la garantie de la continuité des activités (sans interruption ni friction), la défense multicouche (contrôles d’accès, chiffrement, pare-feu, systèmes de détection des intrusions et audits de sécurité réguliers) et la possibilité d’adopter une posture de sécurité plus proactive, avec des évaluations et des mises à jour régulières pour se préparer aux menaces et vulnérabilités émergentes.
Tout système sécurisé aurait dû être sécurisé auparavant, et c’est précisément en cela que consiste le durcissement.
Types de durcissement
Dans la suite d’infrastructure informatique, il existe plusieurs sous-ensembles qui nécessitent différentes approches de sécurité :
1. Renforcement de la gestion de la configuration
Mise en œuvre et configuration de la sécurité pour divers composants du système (y compris le matériel, les systèmes d’exploitation et les applications logicielles). Cela implique également la désactivation des services et protocoles inutiles, la configuration des contrôles d’accès, la mise en œuvre du cryptage et des protocoles de communication sécurisés. Il convient de mentionner que les équipes de sécurité et informatiques ont souvent des agendas contradictoires. La politique de hardening doit tenir compte des discussions entre les deux parties. Il est également recommandé de mettre en œuvre :
- L’évaluation des éléments configurables : Des comptes utilisateurs et des connexions, des composants et sous-systèmes du serveur, des mises à jour logicielles et applicatives et des vulnérabilités à effectuer, des réseaux et des pare-feu, de l’accès à distance et de la gestion des logs, etc.
- Trouver l’équilibre entre la sécurité et la fonctionnalité : La politique de hardening doit tenir compte à la fois des exigences de l’équipe de sécurité et de la capacité de l’équipe informatique à la mettre en œuvre en utilisant les niveaux de temps et de main-d’œuvre actuellement alloués. Vous devez également décider quels défis doivent être relevés et lesquels n’en valent pas la peine en termes de temps et de coûts opérationnels.
- Gestion du changement et prévention de la « dérive de configuration » : Dans le hardening, une supervision continue doit être mise en œuvre, où les outils d’automatisation contribuent à la satisfaction des exigences à tout moment, éliminant ainsi le besoin d’une analyse constante. En outre, dans le cas de modifications indésirables, vous pouvez renforcer les stratégies de renforcement qui peuvent se produire dans l’environnement de production. Enfin, en cas de modifications non autorisées, des outils d’automatisation permettent de détecter les anomalies et les attaques pour mettre en place des actions préventives.
2. Hardening des applications
La protection des applications logicielles qui s’exécutent sur le système, par la suppression ou la désactivation des caractéristiques et fonctionnalités inutiles, l’application de correctifs et de mises à jour de sécurité spécifiques à l’application, ainsi que des pratiques de codage sécurisé et des contrôles d’accès, en plus des mécanismes d’authentification au niveau de l’application. L’importance de la sécurité des applications réside dans le fait que les utilisateurs de l’organisation exigent des environnements sûrs et stables ; de la part du personnel, l’application de correctifs et de mises à jour permet de réagir aux menaces et de mettre en œuvre des mesures préventives. Il faut se rappeler que les utilisateurs sont souvent le point d’entrée de l’organisation pour la cybercriminalité. Parmi les techniques les plus courantes, on peut citer :
- L’installation d’applications uniquement à partir de référentiels fiables.
- Les patchs d’automatisation des applications standard et tierces.
- L’installation de pare-feu, d’antivirus et de programmes de protection contre les logiciels malveillants ou les logiciels espions.
- Le chiffrement des données basé sur un logiciel.
- Les applications de gestion et de chiffrement des mots de passe
3. Hardening du système d’exploitation (OS)
La configuration du système d’exploitation pour minimiser les vulnérabilités, que ce soit en désactivant les services inutiles, en fermant les ports inutilisés, en déployant des pare-feu et des systèmes de détection d’intrusion, en appliquant des politiques de mots de passe sécurisés et en appliquant périodiquement des correctifs et des mises à jour de sécurité. Parmi les méthodes les plus recommandées, nous avons les suivantes :
- Appliquer les dernières mises à jour publiées par le développeur du système d’exploitation.
- Activer les fonctions de sécurité intégrées (Microsoft Defender ou le logiciel des plates-formes de protection Endpoint ou EPP, Endpoint Detection Rate ou EDR de tiers). Cela effectuera une recherche de logiciels malveillants dans le système (chevaux de Troie, renifleurs, enregistreurs de mots de passe, systèmes de contrôle à distance, etc.).
- Supprimer les pilotes inutiles et mettre à jour ceux qui sont utilisés.
- Supprimer le logiciel installé sur la machine inutile.
- Activer le démarrage sécurisé.
- Restreindre les privilèges d’accès au système.
- Utiliser la biométrie ou l’authentification FIDO (Fast Identity Online) en plus des mots de passe.
En outre, il est possible de mettre en œuvre une politique de mot de passe sécurisée, de protéger les données sensibles avec un cryptage AES ou des unités d’autocryptage, des technologies de résilience des micrologiciels et/ou une authentification multifacteur.
4. Hardening du serveur
L’élimination des vulnérabilités (également appelées vecteurs d’attaque) qu’un pirate informatique pourrait utiliser pour accéder au serveur. Il se concentre sur la sécurisation des données, des ports, des composants et des fonctions du serveur, en mettant en œuvre des protocoles de sécurité au niveau matériel, micrologiciel et logiciel. Il est recommandé de :
- Patch et mise à jour périodique de vos systèmes d’exploitation.
- Mettre à jour le logiciel tiers nécessaire pour exécuter vos serveurs conformément aux normes de sécurité de l’industrie.
- Demander aux utilisateurs de créer et de conserver des mots de passe complexes composés de lettres, de chiffres et de caractères spéciaux, ainsi que de mettre à jour ces mots de passe fréquemment.
- Bloquer un compte après un certain nombre de tentatives de connexion infructueuses.
- Désactiver certains ports USB lors du démarrage d’un serveur.
- Profiter de l’authentification multifacteur (MFA)
- Utilisation du cryptage AES ou des unités auto-codées pour cacher et protéger les informations critiques pour l’entreprise.
- Utiliser une protection antivirus et pare-feu et d’autres solutions de sécurité avancées.
5. Hardening de réseau
La protection de l’infrastructure du réseau et des canaux de communication. Cela implique de configurer des pare-feu, de mettre en œuvre des systèmes de prévention des intrusions (IPS) et des systèmes de détection des intrusions (IDS), des protocoles de cryptage tels que SSL/TLS, et de segmenter le réseau pour réduire l’impact d’une violation et mettre en œuvre des contrôles d’accès réseau puissants. Il est recommandé de combiner les systèmes IPS et IDS, en plus de :
- Configuration correcte des pare-feu réseau.
- Audits des règles de réseau et des privilèges d’accès.
- Désactiver les ports réseau et les protocoles réseau inutiles.
- Désactiver les services et les périphériques réseau inutilisés.
- Chiffrement du trafic réseau.
Il convient de mentionner que la mise en œuvre de mécanismes de supervision et d’enregistrement solides est essentielle pour renforcer notre système. Cela implique de configurer un journal des événements de sécurité, de superviser les journaux du système à la recherche d’activités suspectes, de mettre en œuvre des systèmes de détection d’intrusion et d’effectuer des audits et des examens de sécurité périodiques pour identifier et répondre aux menaces potentielles en temps opportun.
Application pratique du hardening en 9 étapes
Même si chaque organisation a ses particularités dans les systèmes d’entreprise, il existe des tâches de hardening générales et applicables à la plupart des systèmes. Voici une liste des tâches les plus importantes en guise de checklist de base :
1. Gérez l’accès : Assurez-vous que le système est physiquement sécurisé et que le personnel est informé des procédures de sécurité. Configurez des rôles personnalisés et des mots de passe forts. Éliminez les utilisateurs inutiles du système d’exploitation et évitez l’utilisation de comptes racine ou de « super-administrateur » avec des privilèges excessifs. En outre, l’adhésion à des groupes d’administrateurs doit être limitée : elle n’accorde des privilèges élevés que lorsque cela est nécessaire.
2. Contrôle le trafic réseau : Il installe des systèmes renforcés derrière un pare-feu ou, si possible, isolés des réseaux publics. Un VPN ou un proxy inverse doit être requis pour se connecter. En outre, les communications sont chiffrées et des règles de pare-feu sont établies pour restreindre l’accès aux plages IP connues.
3. Appliquez des correctifs sur les vulnérabilités : Tenez à jour les systèmes d’exploitation, les navigateurs et toute autre application et appliquez tous les correctifs de sécurité. Il est recommandé de suivre les avertissements de sécurité des fournisseurs et les CVE les plus récents.
4. Supprimez les logiciels inutiles : Désinstallez tous les logiciels inutiles et supprimez les composants redondants du système d’exploitation. Désactivez les services inutiles et tous les composants ou fonctions de l’application qui ne sont pas nécessaires et qui peuvent élargir la surface des menaces.
5. Implémentez la supervision continue : Vérifiez périodiquement les journaux pour détecter les activités anormales, en accordant une attention particulière aux authentifications, à l’accès des utilisateurs et à l’escalade des privilèges. Reflètez les enregistrements dans un emplacement séparé pour protéger l’intégrité des enregistrements et éviter les manipulations. Effectuez des analyses périodiques des vulnérabilités et des logiciels malveillants et, si possible, effectuez un audit externe ou un test de pénétration.
6. Implémentez des communications sécurisées : Assurez le transfert de données à l’aide de cryptages sécurisés. Fermez tous les ports réseau à l’exception des ports essentiels et désactive les protocoles non sécurisés tels que SMBv1, Telnet et HTTP.
7. Effectuez des sauvegardes périodiques : Les systèmes renforcés sont, par définition, des ressources sensibles et doivent être sauvegardés périodiquement en utilisant la règle 3-2-1 (trois copies de la sauvegarde, sur deux types de supports, avec une copie stockée hors site).
8. Renforcez les sessions à distance : Si Secure Shell ou SSH (protocole d’administration à distance) doit être autorisé, assurez-vous qu’un mot de passe ou un certificat sécurisé est utilisé. Il faut éviter le port par défaut, en plus de désactiver les privilèges élevés pour l’accès SSH. Supervisez les enregistrements SSH pour identifier les utilisations anormales ou l’escalade des privilèges.
9. Supervisez les métriques importantes pour la sécurité : Supervisez les journaux, les accès, le nombre de connexions, le chargement des services (CPU[OD1] , Mémoire), la croissance du disque. Toutes ces mesures et bien d’autres sont importantes pour savoir si vous recevez une attaque. Les avoir supervisés et les connaître en temps réel peut vous libérer de nombreuses attaques ou dégradations du service.
Hardening sur Pandora FMS
Pandora FMS intègre une série de fonctionnalités spécifiques pour superviser le hardening des serveurs, Linux et Windows. Pour ce faire, exécutez un plugin spécial qui effectuera une série de vérifications, en notant s’il passe ou non l’enregistrement. Ces vérifications sont programmées pour être exécutées de temps en temps. L’interface graphique structure ce qu’on trouve dans différentes catégories, et on peut analyser visuellement l’évolution de la sécurité du système au fil du temps, comme un graphique temporel. En outre, des rapports techniques détaillés peuvent être générés pour chaque machine, par groupes ou pour effectuer des comparaisons.
Il est important d’aborder les tâches de sécurisation des systèmes de manière méthodique et organisée, en abordant d’abord les aspects les plus critiques et en étant méthodique, afin de pouvoir le faire dans tous les systèmes de manière égale. L’un des piliers fondamentaux de la sécurité informatique est le fait de ne pas laisser de fissures, s’il y a une porte d’entrée, aussi petite soit-elle, et même si nous avons sécurisé le reste des machines, cela peut être suffisant pour avoir une intrusion dans nos systèmes.
Le Centre pour la sécurité sur Internet (CIS) dirige le développement de normes internationales de hardening et publie des directives de sécurité pour améliorer les contrôles de cybersécurité. Pandora FMS utilise les recommandations du CIS pour mettre en œuvre un système d’audit de sécurité, intégré à la supervision pour observer l’évolution du hardening dans toute votre organisation, système par système.
Utilisation de catégories CIS pour les vérifications de sécurité
Il existe plus de 1 500 contrôles individuels pour garantir la sécurité des systèmes gérés par Pandora FMS. Ci-dessous, nous mentionnons les catégories CIS auditées par Pandora FMS et quelques recommandations :
- Inventaire et contrôle des actifs matériels et logiciels
Il fait référence à tous les appareils et logiciels de votre organisation. Il est recommandé de tenir un inventaire à jour de vos actifs technologiques et d’utiliser l’authentification pour bloquer les processus non autorisés. - Inventaire et contrôle des actifs matériels et logiciels
Identifier et gérer vos appareils matériels pour que seulement ceux qui sont autorisés ont d’accès aux systèmes. Pour ce faire, il faut maintenir un inventaire adéquat, minimiser les risques internes, organiser votre environnement et apporter de la clarté à votre réseau. - Gestion des vulnérabilités
Analyse des actifs en continu pour détecter les vulnérabilités potentielles et les corriger avant qu’elles ne deviennent l’entrée d’une attaque. La mise à jour des correctifs et des mesures de sécurité dans le logiciel et les systèmes d’exploitation doit être assurée. - Utilisation contrôlée des privilèges administratifs
Il consiste à superviser les contrôles d’accès et le comportement des utilisateurs avec des comptes privilégiés afin d’éviter tout accès non autorisé à des systèmes critiques. Il faut s’assurer que seules les personnes autorisées ont des privilèges élevés pour éviter tout mauvais usage des privilèges administratifs. - Configuration matérielle et logicielle sécurisée
Configuration et maintenance de la sécurité basées sur les normes approuvées par votre organisation. Un système de gestion des configurations rigoureux doit être créé pour détecter et alerter de toute configuration incorrecte, ainsi qu’un processus de contrôle des modifications pour empêcher les attaquants de profiter des services et des configurations vulnérables. - Maintenance, supervision et analyse des journaux et des journaux d’audit
Collecte, administration et analyse des journaux d’audit d’événements pour identifier d’éventuelles anomalies. Des enregistrements détaillés sont nécessaires pour bien comprendre les attaques et pouvoir réagir efficacement aux incidents de sécurité. - Défenses contre les logiciels malveillants
Supervision et contrôle de l’installation et de l’exécution de code malveillant à divers points de l’organisation pour prévenir les attaques. Vous devez configurer et utiliser un logiciel anti-malware et tirer parti de l’automatisation pour assurer des mises à jour rapides des défenses et une action corrective rapide en cas d’attaque. - Protection du courrier électronique et des navigateurs Web
Protection et gestion de vos navigateurs Web et systèmes de messagerie contre les menaces en ligne pour réduire la surface d’attaque. Vous devez désactiver les plugins de messagerie non autorisés et vous assurer que les utilisateurs n’accèdent qu’aux sites Web de confiance à l’aide de filtres d’URL basés sur le réseau. N’oubliez pas de sécuriser ces portes d’entrée les plus courantes pour les attaques. - Capacités de récupération de données
Processus et outils pour s’assurer que les informations critiques de votre organisation sont correctement sauvegardées. Assurez-vous de disposer d’un système de récupération de données fiable pour restaurer les informations en cas d’attaques mettant en danger les données critiques. - Défense des limites et protection des données
Identification et classification des données sensibles, ainsi qu’une série de processus comprenant le cryptage, les plans de protection contre l’infiltration de données et les techniques de prévention de la perte de données. Établissez des obstacles solides pour empêcher tout accès non autorisé. - Supervision et contrôle des comptes
Supervision de l’ensemble du cycle de vie de vos systèmes et comptes d’applications, de leur création à leur suppression, en passant par leur utilisation et leur inactivité. Il considère que cette gestion active empêche les attaquants d’exploiter les comptes d’utilisateurs légitimes mais inactifs à des fins malveillantes et permet de garder un contrôle constant sur les comptes et leurs activités.
Il convient de mentionner que toutes les catégories ne sont pas applicables dans un système, mais il existe des contrôles pour vérifier si elles sont appliquées ou non. Regardons quelques écrans à titre d’exemple de visualisation.
Exemple de détail dans un contrôle de hardening d’un serveur Linux (Debian)
Ce contrôle explique qu’il est conseillé de désactiver le renvoi de paquets ICMP, comme envisagé dans les recommandations du CIS, PCI_DSS, NIST et TSC.
Exemple de liste de vérification par groupe (dans ce cas, sécurisation du réseau)
Exemple de contrôles, par catégorie sur un serveur :
La séparation des contrôles par catégorie est essentielle pour organiser le travail et pour délimiter la portée, par exemple, il y aura des systèmes non exposés au réseau où nous pourrons « ignorer » la catégorie de réseau, ou des systèmes sans utilisateurs, où nous pouvons éviter le contrôle des utilisateurs.
Exemple d’évolution du hardening d’un système au fil du temps :
Cela nous permet de voir l’évolution de la sécurisation dans un système (ou dans un groupe de systèmes). La sécurisation n’est pas un processus facile car il s’agit de dizaines de changements, il est donc important de l’aborder progressivement, c’est-à-dire en planifiant par étapes la correction de ceux-ci, cela devrait produire une tendance au fil du temps, comme celle que nous pouvons voir dans l’image ci-jointe. Pandora FMS est un outil utile non seulement d’audit, mais aussi de suivi du processus de sécurisation des systèmes.
Autres mesures de sécurité supplémentaires liées au hardening
- Supervision permanente des vulnérabilités. Pandora FMS intègre également un système de détection continue des vulnérabilités, basé sur les bases de données de Mitre (CVE, vulnérabilités communes et expositions, vulnérabilités et expositions communes) et NIST pour pouvoir effectuer des audits de logiciels vulnérables dans toute votre organisation de manière continue. Les agents et le composant distant Discovery sont utilisés pour déterminer sur lesquels de vos systèmes se trouvent des logiciels présentant des vulnérabilités. Plus d’informations ici.
- Supervision constante de l’infrastructure de sécurité : Il est important de superviser l’état des infrastructures de sécurité spécifiques, telles que sauvegardes, antivirus, VPN, pare-feu, IDS/IPS, SIEM, honeypots, systèmes d’authentification, systèmes de stockage, collecte de journaux, etc.
- Supervision permanente de la sécurité sur les serveurs : Vérification en temps réel de la sécurité de l’accès à distance, des mots de passe, des ports ouverts et du changement sur les fichiers clés du système.
- Alertes proactives : Non seulement il est nécessaire de détecter d’éventuelles failles de sécurité, mais il est également nécessaire d’exécuter des alertes proactives et des recommandations pour résoudre tout problème avant qu’il ne devienne une menace réelle.
Je vous invite à regarder cette vidéo sur le hardening sur Pandora FMS.
Impact positif sur la sécurité et le fonctionnement
Comme nous l’avons vu, le hardening fait partie des efforts visant à assurer la continuité de l’activité. Il faut adopter une position proactive sur la protection du serveur, en donnant la priorité aux risques identifiés dans l’environnement technologique et en appliquant les changements de manière progressive et logique. En permanence, les correctifs doivent être appliqués et les mises à jour effectuées en priorité, en s’appuyant sur des outils de supervision et de gestion automatisés qui assurent la correction rapide des vulnérabilités potentielles. Il est également recommandé de suivre les meilleures pratiques spécifiques à chaque domaine de hardening afin d’assurer la sécurité de toute l’infrastructure technologique avec une approche globale.
Ressources supplémentaires
Liens vers la documentation de Pandora FMS.
Références aux directives de sécurité du CIS- Voir entretien avec Alexander Twaradze représentant de Pandora FMS auprès des pays qui mettent en œuvre les normes cis.
L’équipe éditoriale de Pandora FMS est composée d’un groupe de rédacteurs et de professionnels de l’informatique ayant un point commun : leur passion pour la surveillance des systèmes informatiques. L’équipe éditoriale de Pandora FMS est composée d’un groupe de rédacteurs et de professionnels de l’informatique ayant un point commun : leur passion pour la surveillance des systèmes informatiques.