Gestion télécom – Sécurité informatique – Téléphonie IP

Suivez-nous

Sécurité Informatique: l'affaire de tous

Sécurité Informatique: Les Règles Essentielles

Règle 1

L’opération de télé-assistance doit s’effectuer dans le contexte de l’utilisateur, avec ses droits, et sans que son mot de passe ne soit communiqué au télé-assistant. Ainsi, la sécurité informatique est respectée.

Règle 2

La télé-assistance du poste de travail doit s’effectuer de manière visuelle par affichage partagé entre l’utilisateur et le télé-assistant. De plus, l’utilisateur doit être en mesure de voir les opérations effectuées par le télé-assistant. L’utilisateur peut ainsi contrôler les opérations réalisées et s’assurer que la confidentialité de ses données n’est pas compromise et que ses droits ne sont pas utilisés à tort.

Règle 3

L’opération de télé-assistance sur le poste de travail de l’utilisateur doit respecter le consentement de ce dernier. Ainsi, elle ne doit être possible que suite à l’acceptation explicite de l’utilisateur (dans le cas d’une o.re d’assistance). Ou alors à l’initiative de ce dernier (demande d’assistance). Toute connexion arbitraire à un poste de travail utilisateur par un télé-assistant doit être impossible.

Règle 4

L’authentification des télé-assistants sur les postes distants doit idéalement être réalisée à l’aide de certificats individuels délivrés par une IGC de confiance. Ou bien à l’aide de tickets Kerberos délivrés suite à une authentification par certificat individuel par exemple. Lorsque seul un usage de mots de passe est possible, il convient de prendre en compte le document précisant les recommandations de sécurité informatique sur les mots de passe. Des méthodes d’authentification alternatives par jetons ou mots de passe d’accès uniques peuvent également être suffisantes.

Règle 5

L’offre d’assistance, lorsqu’elle est utilisée, ne doit être possible que par des télé-assistants dûment autorisés à le faire. Cette restriction pourrait par exemple consister en une liste blanche de groupes ou de comptes utilisateurs autorisés à offrir une télé-assistance.

Règle 6

Dans le cadre d’une o.re d’assistance, l’utilisateur télé-assisté doit être en mesure de vérifier l’identité du télé-assistant qui lui est présentée préalablement à toute acceptation. L’identité de ce dernier peut être prouvée par exemple par la présentation d’un certificat X509 ou du compte Active-directory utilisé.

Règle 7

La solution de télé-assistance doit se présenter sous la forme d’une application pouvant être démarrée par l’utilisateur plutôt qu’un service lancé automatiquement au démarrage du poste de travail.

Règle 8

La solution de télé-assistance doit être à jour de ses correctifs de sécurité en permanence. De plus, elle doit être mise à jour sans délai dès lors qu’une version plus sécurisée est disponible. En effet, une vulnérabilité impactant une solution de prise en main à distance peut permettre l’élévation de privilèges rapide par une personne malveillante.

Règle 9

Les postes de télé-assistance doivent être dédiés à ces opérations. De plus, ils doivent être isolés d’Internet et en permanence à jour de leurs correctifs de sécurité.

Règle 10

La solution de télé-assistance doit reposer sur des protocoles sécurisés. Les mécanismes de sécurité implémentés doivent permettre :

  • Une authentification mutuelle entre les postes de télé-assistant et télé-assisté
  • Un échange de clés de session éphémères à la manière de TLS
  • Une protection contre le rejet ou les attaques de type « man in the middle »

Pour satisfaire cette recommandation, un tunnel chiffré (IPsec) mis en œuvre préalablement à l’aide d’une solution tierce ayant fait l’objet d’une qualification se sécurité par l’ANSSI, a minima d’une certification de sécurité de premier niveau, pourra s’avérer nécessaire.

Règle 11

La télé-assistance ne doit pouvoir être opérée que depuis des adresses IP sources bien identifiées comme étant celles des postes des télé-assistants. Des mesures de sécurité informatique au niveau réseau doivent donc être mises en œuvre. Par exemple, l’établissement d’un tunnel IP sec dans le respect des recommandations faites par l’ANSSI, comme évoqué précédemment. C’est une bonne solution.

Règle 12

L’ensemble des opérations de télé-assistance effectuées doivent être journalisées. Idéalement, en les distinguant de toute autre action effectuée sur le poste de travail. Il doit être à minima possible de savoir quelle personne s’est connectée à quel poste de travail utilisateur pour une opération de télé-assistance. De plus, savoir aussi quand et pendant combien de temps.

Pour en savoir plus sur la sécurité informatique, cliquez ici !

Dans ce contexte, et au vu de la multiplicité des intervenants et de la négligence des utilisateurs, nous allons mettre en place chez les adhérents avec l’accord des directions, un portail captif qui aura pour but d’avoir la vision des interventions demandés par la direction compétente de vos entreprises et bloquer toute intervention qui n’apporterait qu’un trou de sécurité informatique supplémentaire.
Tous les fournisseurs qui seront habilités à intervenir pourrons le faire via ce portail. Dès la mise en place de ce portail de sécurité sur les prises de mains à distance ainsi que des règles de fonctionnement conforme aux habitudes des adhérents, tous fournisseurs ne respectant pas cette règle seront bloqués par notre équipement de sécurité.
Dès le premier trimestre, nous allons tester cette solution chez un panel de 10 adhérents afin de lancer le déploiement dans le courant du premier semestre.
La sécurité informatique est notre métier. De plus, le respect des bonnes usages et pratiques relèvent d’un bon vouloir de chaque utilisateur.

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email