Les réseaux et serveurs (suite)

30) Se reposer sur un seul moteur antivirus, voire sur une seule technologie. Les antivirus ne détectent pas les virus avec la même efficacité, tout comme les sondes IDS n'apportent pas nécessairement les mêmes performances. En outre si le logiciel est victime d'une faille ou d'une intrusion, l'autre solution assurera une garantie.

31) Regrouper tous les hôtes sur un réseau unique. Il doit être divisé en sous-réseaux, notamment afin d'empêcher la propagation d'un code malveillant ou un intrus d'accéder à l'ensemble des ressources. La segmentation permettra un contrôle centralisé et l'élaboration de règles d'accès par segment. Les serveurs en premier lieu doivent être isolés des stations utilisateurs et n'exposer à ceux-ci que les services qui leurs sont utiles.

32) Considérer que la sécurité physique est facultative. Un IPBX rangé dans un placard à balais ou un serveur critique rangé sous un bureau font courir des risques. En outre, les consoles doivent être verrouillées par mesure de prudence, même pour des absences brèves. Un accès physique à une machine peut mener à sa compromission en quelques minutes.

33) Laisser non configurés des Switchs ou des appareils disposant des fonctionnalités sensibles sous prétexte qu'elles ne seront pas utilisées. Certes l'appareil est fonctionnel mais l'accès administrateur au périphérique reste celui par défaut. Or, une simple recherche sur Google suffit pour lister les identifiants par défaut de chaque constructeur. Il n'est ainsi pas rare que l'authentification se fasse via le couple admin et password. Par ailleurs, de nombreux dispositifs contiennent des fonctionnalités permettant de prendre pied sur le réseau, sans pour autant être détecté : switchs et imprimantes présentent tout deux un système d'exploitation minimaliste, mais existant.

34) Mettre en place une solution temporaire - imparfaite - sur le réseau pour pallier rapidement à un déficit de fonctionnalité. Le temporaire a la fâcheuse tendance à devenir permanent. Par exemple, héberger temporairement un environnement de test et un autre de production sur un même serveur, où figure notamment les codes d'accès des développeurs, peut se solder par une compromission du site de production.

35) Ne collecter aucuns logs. Les sources doivent être multiples et réparties sur le réseau. Les logs doivent de plus être stockés et archivés sur un support en dur. Attention toutefois à rester en conformité avec la CNIL et les différentes dispositions légales. Les logs ne servent cependant à rien s'ils ne sont pas lus ou exploités. Un volume excessif n'est pas exploitable sans un outil classant les informations pour que l'administrateur n'ait à se préoccuper que de ce qui est sensible. A défaut, mieux vaut peu de logs pertinents et consultés régulièrement qu'une grande masse qui ne sera jamais passée en revue.

36) Centraliser les composants de sécurité sur les mêmes entités. Firewall et IDS devraient être des éléments distincts notamment. Une faille dans un service de l'appareil risquerait sinon d'être exploitée pour court-circuiter les autres. Cette séparation des fonctions et pouvoirs permet de minimiser les risques en ne mettant pas tous ses œufs dans le même panier.