Afin de sécuriser votre système d’information, il est conseillé d’autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place
Il faut identifier les services réseaux nécessaires aux traitements et n’autoriser que ceux-ci.
Les précautions élémentaires #
- Limiter les accès Internet en bloquant les services non nécessaires (VoIP, pair à pair, etc.).
- Gérer les réseaux Wi-Fi. Ils doivent utiliser un chiffrement à l’état de l’art (WPA2 ou WPA2-PSK avec un mot de passe complexe) et les réseaux ouverts aux invités doivent être séparés du réseau interne.
- Imposer un VPN pour l’accès à distance ainsi que, si possible, une authentification forte de l’utilisateur (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.).
- S’assurer qu’aucune interface d’administration n’est accessible directement depuis Internet. La télémaintenance doit s’effectuer à travers un VPN.
- Limiter les flux réseau au strict nécessaire en filtrant les flux entrants/sortants sur les équipements (pare-feu, proxy, serveurs, etc.). Par exemple, si un serveur web utilise obligatoirement HTTPS, il faut autoriser uniquement les flux entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
Ce qu’il ne faut pas faire #
- Utiliser le protocole telnet pour la connexion aux équipements actifs du réseau (pare-feu, routeurs, passerelles). Il convient d’utiliser plutôt SSH ou un accès physique direct à l’équipement.
- Mettre à disposition des utilisateurs un accès Internet non filtré.
- Mettre en place un réseau Wi-Fi utilisant un chiffrement WEP.