Comment construire un NAS sécurisé ?

Demandez-vous un instant pendant combien de temps votre entreprise pourrait rester opérationnelle si vous n'aviez pas accès à vos données critiques ou à vos informations clients essentielles.

Les données, et leur accessibilité, sont la clé de voûte des entreprises modernes, et constituent un élément vital pour leurs activités du quotidien. Suite aux désastreuses attaques Ransomware pour beaucoup d'entreprises de multiples industries, les victimes sont prêtes à payer des centaines de milliers d'euros. 

La majorité de ces fichiers critiques résident sur des appareils de stockage en réseau, les NAS. Les entreprises utilisent les solutions NAS pour stocker et pour accéder à leurs données non structurées, comme les documents, les feuilles de calcul, les vidéos et autres fichiers qui ne résident pas dans une base de données structurée, mais aussi à leurs sauvegardes.

Dans un monde où la valeur des données attise la convoitise des pirates, les entreprises doivent prendre toutes les mesures possibles pour sécuriser leur NAS, y compris le chiffrement de toutes les données au repos et en transit, l’authentification à deux facteurs, et autres dispositifs de contrôle d’accès pour garantir la confidentialité des données et la conformité avec le RGPD, la loi HIPAA (Health Insurance Portability and Accountability Act), et d’autres réglementations en vigueur. 

Tous les NAS ne naissent pas égaux
 

D’un point de vue sécuritaire, tous les NAS ne se valent pas. Certaines marques de NAS destinées aux petites entreprises ont la réputation de moins privilégier la sécurité que les NAS d’entreprise proposés par les grands fournisseurs.
 

Les vendeurs de NAS d’entreprise facturent bien sûr un prix plus élevé qui reflète les coûts d’ingénierie importants liés au respect des protocoles de développement rigoureux exigés par les secteurs professionnels et gouvernementaux pour lesquels la sécurité est une priorité absolue.  
 

Lors de l’achat d’une solution NAS, assurez-vous qu’elle applique une logique axée sur la sécurité afin de protéger le client et les données d’entreprise. Veillez à ce que votre vendeur comprenne parfaitement l’importance de la confidentialité des données, de la sécurité, de la conformité et des contrôles d’accès. Les efforts déployés pour respecter les normes de sécurité approuvées par les grandes entreprises et les gouvernements (telles que FIPS [Federal Information Processing Standards - normes fédérales de traitement de l’information], ou DISA APL [Defense Information Systems Agency Approved Product List - liste des produits approuvés de l’agence de défense des systèmes d’information]), et l’utilisation d’une méthodologie sécurisée d’élaboration des logiciels sont des indicateurs utiles pour évaluer l’importance que votre vendeur accorde à vos données critiques.
 

Conformité FIPS vs certification
 

Le standard FIPS 140-2 est une norme de sécurité NIST (National Institute for Standards and Technology - institut national des normes et de la technologie) utilisée pour approuver les logiciels et les équipements qui respectent des critères parfaitement définis garantissant un chiffrement suffisamment puissant pour sécuriser des données gouvernementales sensibles. Mais attention à ne pas confondre « Conformité FIPS » et « Certification FIPS ». Bien que de nombreux vendeurs affirment être conformes à la norme FIPS, seuls les produits certifiés FIPS ont subi des tests rigoureux dans un laboratoire agréé pour la validation du module cryptographique. La mise en œuvre correcte d’algorithmes de cryptographie n’est pas chose aisée — même pour des professionnels aguerris — et les produits NAS certifiés FIPS vous offrent la garantie que vos fichiers bénéficient du niveau de chiffrement le plus élevé qui soit. 
 


SDLC (Software Development Life Cycle - cycle de développement logiciel) 
 

Pour minimiser les failles de sécurité et autres défauts, vérifiez que le cycle de développement logiciel (SDLC) de votre vendeur inclut des procédures de test rigoureuses, avec des dispositions spécifiques pour la vérification et l’analyse du code. Les processus internes de validation de la sécurité devraient être basés sur les meilleures pratiques de l’industrie et sur les normes en vigueur, comme celles publiées par l’OWASP (Open Web Application Security Project), par exemple. Les vendeurs NAS axés sur la sécurité collaborent également avec des tiers pour l’analyse des segments de code particulièrement critiques pour la sécurité, tout en appliquant des tests d’intrusion automatisés et manuels pour la détection des vulnérabilités collectives, comme recommandé par les méthodologies de l’OWASP et du WASC (Web Application Security Consortium). 


 

Comment choisir le bon vendeur ? 

Pour vous assurer que le NAS que vous souhaitez acheter est sécurisé, posez les questions suivantes à vos vendeurs :
 

  1. Faites-vous régulièrement effectuer des évaluations de sécurité par des laboratoires indépendants de tests d’intrusion ? Si oui, puis-je voir le dernier rapport en date ?
  2. Avez-vous une certification FIPS ou DISA APL ?
  3. Avez-vous des clients de référence dans des agences gouvernementales ?
  4. Avez-vous des clients de référence dans le secteur financier, tels que des banques ou des compagnies d’assurance ?

Si votre vendeur répond « oui » à toutes ces questions, vous saurez que votre NAS est sécurisé, et vous pourrez alors passer à l’étape deux : comment préserver la sécurité de votre NAS sur le long terme ?
 

  1. Soyez particulièrement vigilant lorsque vous devez mettre à jour le microprogramme de votre NAS. Si votre vendeur NAS propose un service de mise à jour automatique, utilisez-le.
  2. Assurez-vous que tous les utilisateurs du NAS choisissent un mot de passe robuste et qu’ils le changent régulièrement. Un annuaire Active Directory est recommandé, car il exige l’emploi de mots de passe complexes, et évite autant que possible la présence d’utilisateurs locaux sur le NAS.
  3. Configurez le NAS afin qu’il bloque automatiquement les attaques par force brute après plusieurs tentatives pour deviner un mot de passe.
     

Les systèmes NAS abritent les données les plus précieuses de votre environnement IT, et votre entreprise dépend de leur disponibilité et de leur intégrité. Étudiez soigneusement la logique de sécurité de votre fournisseur, et ne laissez rien au hasard lorsqu’il s’agit de protéger vos données.