Pratiques exemplaires générales pour la sécurité et la survie des réseaux

Note d'information numéro : IN03-003
8 octobre 2003

Objet

Le BPIEPC diffuse ces pratiques exemplaires générales en tant que mise à jour de la Note d'information IN01-005 intitulée « Protection des installations informatiques et des réseaux ». La Note d'information IN03-003 présente les plus récents protocoles de sécurité qu'exige l'environnement en rapide évolution de la sécurité des réseaux.

Public

Cette note d'information du BPIEPC est destinée aux administrateurs de la sécurité des réseaux et au personnel de la sécurité cybernétique.

Historique

Depuis le début de 2003, le BPIEPC a diffusé 42 avis de sécurité et 10 alertes, ainsi qu'une note d'information et une analyse d'incident concernant la cybernétique. Plusieurs vers et virus qui ont fait l'objet d'une importante publicité ont accru la sensibilisation du public à la nécessité d'assurer la sécurité adéquate de leurs réseaux et terminaux d'entreprise et de leurs ordinateurs personnels.

Introduction

Le BPIEPC a élaboré ce document portant sur les pratiques exemplaires pour aider les organisations à déterminer les étapes nécessaires pour améliorer leur situation en matière de sécurité. Les pratiques exemplaires sont présentées en six sections.

• Les politiques sur la sécurité et l'utilisation acceptable,
• L'approche multidimensionnelle en matière de sécurité,
• La défense intérieure,
• La défense extérieure,
• La gestion de l'accès à distance, et
• Les pratiques générales.

Pratiques exemplaires

Les politiques sur la sécurité et l'utilisation acceptable

Pour défendre et protéger adéquatement les systèmes en réseaux, les organisations doivent élaborer des politiques rigoureuses sur la sécurité et l'utilisation acceptable, qui auront fortement l'aval de la haute direction, et les faire respecter. Afin de s'assurer que les employés se conforment aux politiques, un programme de sensibilisation devrait également être mis en place.

Approche multidimensionnelle en matière de sécurité

Aucun dispositif de sécurité à lui seul n'est pas suffisant pour garantir une protection complète des systèmes et des réseaux. Le BPIEPC recommande une approche multidimensionnelle, au moyen de plusieurs dispositifs de sécurité, qui est bien intégrée aux exigences des activités de l'organisation. Les dispositifs de sécurité pourraient comprendre les pare-feu, les dispositifs de surveillance des réseaux, les logiciels de gestion des rustines et les logiciels antivirus. Au besoin, d'autres dispositifs de sécurité pourraient être pris en considération.

La défense interne

Le BPIEPC recommande une politique sur la gestion des rustines permettant de faire face aux menaces imminentes. Les rustines devraient être mises à l'épreuve dans un environnement de test. Les serveurs névralgiques devraient être corrigés les premiers. Les processus automatisés pour dépêcher les rustines appropriées aux systèmes devraient être déployés dès que possible. Les organisations devraient interdire l'installation de programmes et de logiciel non autorisés.

La défense extérieure

Plusieurs organisations laissent des ports non essentiels ouverts au réseau Internet. Le BPIEPC recommande aux organisations de revoir leurs points d'accès extérieurs et les ports ouverts, afin d'en déterminer s'ils servent effectivement. En principe, tous les ports non essentiels devraient être fermés.

Toutes les pièces jointes à des fichiers qui ne sont pas essentielles devraient être bloquées à la passerelle du courrier électronique. De plus, les fichiers de signatures antivirus devraient toujours être à jour.

Il est important que les organisations revoient régulièrement leurs politiques d'accès extérieur, afin de faire face aux nouvelles menaces ainsi qu'aux nouvelles exigences de l'entreprise. Dans certains cas, une organisation devra jauger ses besoins par rapport aux risques potentiels posés à la sécurité.

Le BPIEPC recommande aux organisations de procéder régulièrement à des évaluations minutieuses de la menace et du risque, ainsi qu'à des évaluations des vulnérabilités, tels les balayages de port périodiques. Cette façon de procéder permettra de déceler plus facilement les failles et améliorera la sécurité. On recommande aux organisations de revoir régulièrement leurs registres des accès extérieurs, afin de cerner toute activité malveillante potentielle.

La gestion de l'accès à distance

Le BPIEPC suggère aux organisations d'élaborer une politique sur la sécurité et l'utilisation acceptable à l'intention des utilisateurs qui se connectent à un réseau au moyen de l'accès à distance.

• Si l'entretien des ordinateurs/ordinateurs portatifs est effectué par la section de la TI, des procédures devraient être établies relativement à la mise à jour régulière des programmes antivirus et des rustines pour les logiciels des ordinateurs portatifs.
• Si la section de la TI n'assure pas l'entretien des ordinateurs/ordinateurs portatifs, une politique devra être établie et les règlements rigoureusement respectés en ce qui en concerne l'accès à distance.
• Si les ordinateurs portatifs sont retournés sur les lieux de travail, ils devraient être mis en quarantaine et faire l'objet d'une vérification pour détecter tout code malveillant avant leur connexion au réseau. Le lieu de quarantaine peut également servir pour la mise à jour des logiciels antivirus et des rustines applicables au système d'exploitation.

Le BPIEPC propose que, dès que les utilisateurs éloignés se connectent au réseau de l'organisation, on leur demande de mettre à jour leur logiciel antivirus et d'appliquer les rustines nécessaires. S'ils refusent, la connexion doit automatiquement être interrompue.

Les pratiques générales

• Conserver une liste à jour de tout l'équipement de réseau, des systèmes d'exploitation, des révisions et de toutes les rustines qui ont été appliquées.
• Élaborer un plan de reprise des activités à la suite d'une catastrophe. Faire l'essai de votre capacité à poursuivre vos activités à partir de copies de secours. Étant donné le lien entre les menaces matérielles et cybernétiques, on suggère que le plan de reprise des activités soit étroitement intégré aux éléments cybernétiques. À titre d'exemple, en cas de panne de courant, les systèmes essentiels devraient être munis de leur propre source d'alimentation de secours. De plus, leur protection contre le réseau Internet devrait être assurée. La conservation d'un double des systèmes essentiels, possiblement dans un autre endroit, et la mise en place d'une politique visant à déconnecter si nécessaire l'Internet, afin d'enrayer un problème pouvant affecter la sécurité et de prévenir toute propagation possible, sont des points à prendre en considération.
• Mette en place des programmes de sensibilisation du public, afin d'éduquer les utilisateurs ultimes sur la façon dont un code malveillant peut se propager et les mesures à prendre pour éviter sa propagation.

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca