Environnement d'utilisation
Pour utiliser SDS Enterprise dans les conditions de son évaluation Critères Communs et de sa qualification au niveau standard, il est impératif de respecter les recommandations suivantes.
Recommandations sur la veille sécurité
- Consultez régulièrement les alertes de sécurité diffusées sur
https://advisories.stormshield.eu/. - Appliquez systématiquement une mise à jour du logiciel si elle contient la correction d'une faille de sécurité. Ces mises à jour sont disponibles sur votre espace client MyStormshield.
Recommandations sur les clés et les certificats
- Les clés RSA des utilisateurs et des autorités de certification doivent être d'une taille minimale de 4096 bits, avec un exposant public strictement supérieur à 65536.
- Les certificats et les CRL doivent être signés avec l'algorithme d'empreinte SHA-512.
Recommandations sur les algorithmes
SDS Enterprise supporte l'algorithme de chiffrement AES 256 et l'algorithme de signature SHA 512.
Pour une utilisation au-delà de 2030, la taille minimale d’une clé RSA est de 3072 bits.
Recommandations sur les comptes utilisateur
- Les comptes utilisateur doivent être protégés par l'algorithme de chiffrement AES 256 et le standard de hachage cryptographique SHA-256.
- Les mots de passe doivent être soumis à une politique de sécurité empêchant les mots de passe faibles.
- Des mesures organisationnelles adaptées doivent assurer l'authenticité des politiques à partir desquelles les comptes utilisateur sont créés.
- En cas d'utilisation d'un porte-clés matériel (carte à puce ou token matériel), ce dispositif assure la protection en confidentialité et en intégrité des clés et des certificats qu'il contient.
Recommandations sur les postes de travail
- Le poste de travail sur lequel SDS Enterprise est installé doit être sain. Il doit pour cela exister dans l'organisation une politique de sécurité du système d'information dont les exigences sont respectées sur les postes de travail. Cette politique doit notamment prévoir que les logiciels installés seront régulièrement mis à jour et que le système sera protégé contre les virus et autres logiciels espions ou malveillants (pare-feu correctement paramétré, antivirus à jour, etc).
- La politique de sécurité doit également prévoir que les postes non équipés de SDS Enterprise n'auront pas accès aux dossiers confidentiels partagés sur un serveur, afin qu'un utilisateur ne puisse pas provoquer un déni de service en altérant ou en supprimant, par inadvertance ou par malveillance, les fichiers protégés par le produit.
- L'accès aux fonctions d'administration du système du poste est restreint aux seuls administrateurs système.
- Le système d'exploitation doit gérer les journaux d’événements générés par le produit en conformité avec la politique de sécurité de l'organisation. Il doit par exemple restreindre l'accès en lecture à ces journaux aux seules personnes explicitement autorisées.
- L'utilisateur doit veiller à ce qu'un attaquant potentiel ne puisse pas observer voire accéder au poste lorsque la session SDS Enterprise est ouverte.
Recommandations sur les intervenants
- Les administrateurs SDS Enterprise sont considérés de confiance. Ils définissent la politique de sécurité de SDS Enterprise en respectant l'état de l'art, et éventuellement créent les comptes des utilisateurs via l'application Stormshield Data Management Center.
- L'administrateur système est également considéré de confiance. Il est en charge de l'installation et de la maintenance de l'application et du poste de travail (système d'exploitation, logiciels de protection, librairie PKCS#11 d'interface avec une carte à puce, applications bureautiques et métier, etc). Il applique la politique de sécurité définie par les administrateurs SDS Enterprise.
- L'utilisateur du produit doit respecter la politique de sécurité en vigueur dans son organisme.