Recommandations de l’ANSSI relatives à l’administration sécurisée des systèmes d’information : quelles nouveautés dans cette 3ème version du PA-022 ? Dans ces temps troublés, des menaces toujours plus nombreuses pèsent sur votre système d’information. Shields up ! Levez vos boucliers ! Que ce soit pour des raisons politiques, des raisons économiques ou tout simplement par « hasard » ou par rebond, des acteurs malveillants peuvent vouloir pénétrer sur votre système d’information pour y dérober des informations, y déployer des ransomwares ou simplement le mettre hors service. Parmi les nombreuses méthodes d’attaques possibles, le vol de compte à privilèges est l’une des plus efficaces. Ces comptes disposent naturellement de droits élevés sur le système d’information, offrant donc une large exposition en cas de compromission. Quelles nouvelles recommandations relatives à l’administration sécurisée des systèmes d’information ? Pour protéger son système d’information de ce type d’attaque, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) édite depuis 2015 les « Recommandations relatives à l’administration sécurisée des systèmes d’information ». En mai 2021, l’ANSSIL’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française.... More a publié une 3e révision de ce document aussi connu sous l’identifiant PA-022, l’occasion pour nous de nous pencher sur quelques-unes des modifications apportées. Administration par des tiers Le principal ajout dans cette version 3 est une section dédiée aux recommandations pour l’administration du système d’information par des tiers. Ces recommandations sont issues pour la plupart du « référentiel d’exigences pour les prestataires d’administration et de maintenance sécurisées », aussi connu sous le nom de PAMS. Parmi les 12 recommandations ajoutées dans cette section, trois me paraissent importantes à mentionner : R61 : Imposer une sécurisation à l’état de l’art des postes de travail des administrateurs tiers Le terminal utilisé par les administrateurs tiers peut effectivement être un point faible de la sécurité de votre système d’information. Toutes les précautions prises pour assurer l’identité du prestataire, sécuriser les flux de connexion ou encore contrôler les actions réalisables sur le système d’information sont vaines si le terminal utilisé n’est pas sécurisé. En effet, si celui-ci se retrouve infecté ou s’il dispose d’outils de connexion non mis à jour et présentant des failles de sécurité, il se transforme en une porte d’entrée sur votre propre système d’information. Ces terminaux deviennent donc de fait une partie de votre SI à sécuriser au même titre que vos propres terminaux. Malheureusement, ces postes échappant au contrôle de la DSI, il est extrêmement difficile d’en assurer la sécurité en pratique, et des clauses contractuelles imposant au prestataire un minimum de sécurisation ne vous protégeront malheureusement pas en cas de défaut dans celle-ci. La meilleure approche pour atteindre l’un des plus hauts niveaux de sécurité dans ce type de scénario est alors de fournir aux prestataires amenés à se connecter directement, un poste d’administration virtuel administré par la DSI. Cela permet de garantir que la configuration du poste et des outils d’administration installés sont en conformité avec les standards de sécurité attendus. Et ainsi de ne pas déléguer la sécurité de son système d’information à une autre organisation. R63 : Utiliser un tunnel VPN TLS/IPsec pour la connexion du poste de travail des administrateurs tiers Dans le cas d’accès externe, la sécurisation du flux de connexion est bien évidemment un point central à prendre en compte. Deux approches sont possibles pour cela. La première est d’utiliser la technologie IPsec, apportant une grande sécurité du flux en lui-même, mais elle est relativement lourde à mettre en œuvre et peu indiquée pour une logique Zero Trust. En effet, il faut aller plus loin que le réseau quand on sort d’une sécurité périmétrique : la technologie ZTNA (Zero-Trust Network Access) permet de n’ouvrir l’accès qu’au moment où une identité doit accéder à une ressource. L’autre approche est d’utiliser du TLS, qui a l’avantage d’être bien plus interopérable et facile à mettre en œuvre. La sécurisation du flux de connexion en TLS peut ainsi être portée directement par la solution d’accès privilégié distant, et lui permettre d’implémenter l’approche Zero-Trust. Elle ne nécessite donc aucun produit ni infrastructure complémentaire. R68 : Mettre en œuvre un rebond éphémère en coupure de la terminaison VPN et du SI administré Comme développé dans la recommandation R61, mettre à disposition des prestataires de maintenance un poste d’administration virtuel via des technologies de VDI (Virtual Desktop Infrastructure), apporte de nombreux avantages en termes de maitrise de la sécurité et des outils des terminaux d’accès. Mais ces postes d’administration virtuels permettent de rendre aussi cet environnement de connexion éphémère, et ainsi de s’assurer qu’aucun élément sensible – comme des fichiers de logs ou des malwares – ne persistent sur ceux-ci. Le VDI va ainsi simplement remettre au snapshot les postes virtuels directement après la déconnexion du prestataire, et réduire ainsi drastiquement la surface d’attaque possible pour un attaquant. Administration d’un cloud public Une autre section ajoutée dans cette version 3 du PA-022, concerne l’administration d’un cloud public depuis le système d’information interne. La principale difficulté de ce scénario, est que ces actions d’administration se font par essence sur Internet. Or il est fortement déconseillé d’avoir un accès internet sur des terminaux d’administration, afin de limiter fortement la surface d’attaque sur ces points clés de l’administration de votre SI. Pour résoudre ce dilemme, l’ANSSI préconise d’utiliser des serveurs de rebond – ou des postes d’administration virtuel – afin d’ajouter une couche d’abstraction entre le terminal d’administration et Internet. Là encore, ces postes d’administration virtuels doivent être réinstanciés régulièrement afin de réduire le risque d’attaque persistante. Evolution des recommandations existantes Enfin quelques précisions sont apportées à des recommandations déjà existantes en matière d’administration sécurisée. Nous pouvons noter par exemple : R28 : Protéger l’accès aux annuaires des comptes d’administration Une précision est apportée pour préconiser la mise en place du silotage AD afin de limiter les déplacements latéraux d’un attaquant ayant réussi à pénétrer sur l’annuaire. Nous aurons l’occasion de revenir sur ce sujet du silotage AD et de la manière dont le PAM peut s’insérer dans une architecture silotée. R36 : Privilégier une authentificationL'authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service... More double facteur pour les actions d’administration Parmi les méthodes d’authentification forte recommandées, l’ANSSI a ajouté les clés d’authentification basées sur FIDO2 comme facteur complémentaire possible. L’authentification de l’administrateur nécessite ainsi quelque chose qu’il sait (son mot de passe) et quelque chose qu’il possède (un token USB). Le protocole FIDO2 étant considéré actuellement comme l’une des méthodes d’authentification forte les plus fiables, au côté du TOTP et des cartes à puce. Ces « Recommandations relatives à l’administration sécurisée des systèmes d’information » contiennent d’autres nouveautés. Je ne peux que vous encourager à parcourir le document, l’ANSSI ayant fait un travail remarquable pour rendre ce document accessible, et proposer des solutions très concrètes pour améliorer la sécurité de votre système d’Information.