ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Sécurité : Protéger le réseau informatique interne

Sécurité : Protéger le réseau informatique interne

05 mai 2023

Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en oeuvre.

Les précautions élémentaires

  • Limiter les accès Internet en bloquant les services non nécessaires (VoIP, pair à pair).
  • Gérer les réseaux Wi-Fi. Ils doivent utiliser un chiffrement à l’état de l’art (WPA3 ou WPA2 en respectant les recommandations de l'ANSSI sur la configuration de ce dernier) et les réseaux ouverts aux invités doivent être séparés du réseau interne.
  • Imposer un VPN pour l’accès à distance avec, si possible, une authentification forte de l’utilisateur (ex : carte à puce, mot de passe à usage unique (TOTP).
  • S’assurer qu’aucune interface d’administration n’est accessible directement depuis Internet. La télémaintenance doit s’effectuer à travers un VPN.
  • Limiter les flux réseau au strict nécessaire en filtrant les flux entrants/sortants sur les équipements (ex : pare-feux, serveurs proxy et autres). Par exemple, si un serveur web utilise obligatoirement HTTPS, il faut autoriser uniquement les flux entrants sur cette machine sur le port 443 et bloquer tous les autres ports.

Ce qu’il ne faut pas faire

  • Utiliser le protocole Telnet pour la connexion aux équipements actifs du réseau (ex : pare-feux, routeurs, passerelles). Il convient d’utiliser plutôt SSH ou un accès physique direct à l’équipement.
  • Mettre à disposition des utilisateurs un accès Internet non filtré.
  • Mettre en place un réseau Wi-Fi utilisant un chiffrement WEP.

Pour aller plus loin

  • L’ANSSI a publié des bonnes pratiques, par exemple la sécurisation des sites web et la configuration de TLS.
  • On peut mettre en place l’identification automatique de matériel en mettant en place une authentification des matériels (protocole 802.1X) ou, a minima, en utilisant les identifiants des cartes réseau (adresses MAC) afin d’interdire la connexion d’un dispositif non répertorié.
  • Des systèmes de détection d’intrusion (IDS) et de prévention d'intrusion (IPS) peuvent analyser le trafic réseau pour détecter des attaques, voire y répondre. Informer les utilisateurs de la mise en place de tels systèmes, après information et consultation des instances représentatives du personnel.
  • Le cloisonnement réseau réduit les impacts en cas de compromission. On peut distinguer un réseau interne sur lequel aucune connexion venant d’Internet n’est autorisée, et un réseau DMZ (DeMilita- rized Zone) accessible depuis Internet, en les séparant par des passerelles (« gateway »). À ce sujet, l’ANSSI a publié des recommandations relatives à l’interconnexion d’un système d’information à Internet (desquelles sont inspirées le schéma ci-dessous).

Ceci peut également vous intéresser ...

Sécurité : Encadrer la maintenance et la fin de vie des matériels et logiciels
Garantir la sécurité des données à tout moment du cycle de vie des matériels et des logiciels....
30 mai 2023
Sécurité informatique
Sécurité : Sécuriser les échanges avec d'autres organismes
Renforcer la sécurité de toute transmission de données personnelles.
11 mai 2023
Sécurité informatique
Sécurité : Chiffrer, garantir l’intégrité ou signer
Assurer l’intégrité, la confidentialité et l’authenticité d’une information. 
05 mai 2023
Sécurité informatique