Sensibilisation des utilisateurs

Gestion des accès des administrateurs

L’administrateur de l’appliance firewall-VPN ou du serveur SMC est responsable de la formation des utilisateurs quant à la sécurité du réseau, des équipements qui le composent et des informations qui y transitent.

En effet, la plupart des utilisateurs d’un réseau sont néophytes en informatique et à fortiori en sécurité des réseaux. Il incombe donc à l’administrateur ou au responsable de la sécurité du réseau de mettre en place des sessions de formation ou tout du moins des campagnes de sensibilisation à la sécurité des réseaux.

Lors de ces sessions, il est important d’insister sur la gestion des mots de passe de l’utilisateur et de son environnement de travail et la gestion de leurs accès aux ressources de l’entreprise, comme indiqué dans la section suivante.

Première connexion au boîtier ou au serveur SMC

La première connexion au boîtier ou au serveur SMC nécessite une procédure de sécurisation si celle-ci s'effectue au travers d'un réseau qui ne soit pas de confiance. Cette opération n'est pas nécessaire si la station d'administration est branchée directement au produit.

L'accès au portail d'administration est sécurisé via le protocole SSL/TLS. Cette protection permet d'authentifier le portail via un certificat, assurant ainsi à l'administrateur qu'il est bien connecté au boîtier désiré ou au serveur SMC désiré. Ce certificat peut être le certificat par défaut du boîtier ou celui renseigné dans sa configuration (AuthentificationPortail captif). Pour le serveur SMC, reportez-vous à la section Personnaliser le certificat de l'interface web du serveur SMC pour remplacer le certificat par défaut.

Gestion des mots de passe de l’utilisateur

Au cours de l’évolution des technologies de l’information, de nombreux mécanismes d’authentification ont été inventés et mis en place afin de garantir une meilleure sécurité des systèmes d’information des entreprises. Cette multiplication des mécanismes a entraîné une complexité qui contribue aujourd’hui à détériorer la sécurité des réseaux d’entreprises.

Les utilisateurs (néophytes et non formés) choisissent des mots de passe "simplistes", tirés généralement de leur vie courante et la plupart du temps correspondant à un mot contenu dans un dictionnaire. Ces comportements entraînent, bien entendu, une dégradation notable de sécurité du système d’information.

Il faut prendre conscience que l’attaque par dictionnaire est un "outil" plus que performant. Une étude de 1993 montre déjà cet état de fait. La référence de cette étude est la suivante : (http://www.klein.com/dvk/publications/). Ce qui est le plus frappant dans cette étude est sûrement le tableau présenté ci-dessous (basé sur un mot de passe de 8 caractères) :

 

Type de mot de passe  Nombre de caractères Nombre de mots de passe Temps de Cracking
Lexique anglais 8 caract. et + spécial 250000 < 1 seconde
casse minuscule uniquement 26 208827064576 9 heures
casse minuscule + 1 majuscule 26/spécial 1670616516608 3 jours
minuscules et majuscules 52 53459728531456 96 jours
Lettres + chiffres 62 218340105584896 1 an
Caractères imprimables 95 6634204312890620 30 ans
Jeu de caractères ASCII 7 bits 128 72057594037927900 350 ans

On peut citer aussi un état de fait qui tend à se résorber mais qui est encore d’actualité : les fameux post-its collés à l’arrière des claviers.

L’administrateur doit mettre en place des actions (formation, sensibilisation, …) dans le but de modifier et de corriger ces "habitudes".

EXEMPLE
  • Incitez vos utilisateurs à choisir des mots de passe de longueur supérieure à 7 caractères,
  • Demandez-leur d’utiliser des chiffres et des majuscules,
  • De changer souvent de mots de passe,
  • Et surtout de ne noter en aucun cas le mot de passe qu’ils auront finalement choisi.

L’une des méthodes classiques pour trouver un bon mot de passe est de choisir une phrase que l’on connaît par cœur (vers d’une poésie, parole d’une chanson) et d’en tirer les premières lettres de chaque mot. Cette suite de caractères peut alors être utilisée comme mot de passe.

EXEMPLE
Stormshield Network, 1er constructeur français de boîtiers FIREWALL et VPN…"
Le mot de passe pourrait être le suivant : SN1cfdbFeV.

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) propose à ce titre un ensemble de recommandations permettant de définir des mots de passe suffisamment robustes.

Environnement de travail

L’espace de travail est souvent un lieu de passage, un croisement pour de nombreuses personnes internes et extérieures à l’entreprise. Il s’agit donc de sensibiliser les utilisateurs au fait que certaines personnes (fournisseurs, clients, ouvriers, …) peuvent accéder à leur espace de travail et de ce fait recueillir des informations sur l’activité de l’entreprise.

Il est important de faire prendre conscience à l’utilisateur qu’il ne faut pas qu’il divulgue son mot de passe aussi bien par téléphone que par Email (social engineering) et qu’il faut qu’il tape son mot de passe à l’abri des regards indiscrets.

Gestion des accès d’utilisateurs

Pour compléter cette section sur la sensibilisation des utilisateurs à la sécurité des réseaux, l’administrateur doit aborder la gestion des accès utilisateur. En effet le mécanisme d’authentification d’un appliance firewall-VPN Stormshield Network ou d'un serveur SMC (comme beaucoup d’autres systèmes) basé sur un système de login/mot de passe n’implique pas forcément de déloguage à la fermeture de l’application à l’origine de cette authentification (crédit de temps d’authentification). Cet état de fait n’est pas forcément évident pour l’utilisateur néophyte. Ainsi, bien qu'il ait fermé l’application en question, l’utilisateur (qui pense ne plus être connecté) reste authentifié. S’il quitte son poste une personne malintentionnée peut alors usurper son identité et accéder aux informations contenues dans l’application.

Enfin incitez les utilisateurs à verrouiller leurs sessions lorsqu’ils se déplacent et laissent leur poste de travail sans surveillance. Cette tâche qui se révèle parfois fastidieuse peut être facilitée par des mécanismes d’authentification qui automatisent le verrouillage (token USB par exemple).