Vous êtes dans : Accueil > Tribunes libres >

Quelques idées en vrac pour les RSSI désœuvrés

Cédric Cartau , MARDI 21 JANVIER 2020

En général, que l’on soit RSSI technique (ce qui devrait d’ailleurs plutôt s’appeler CSSI) ou métier (que l’on devrait d’ailleurs plutôt appeler « Officier Sécurité SI » ou « Gestionnaire de risque SI »), on passe une bonne partie de son temps en projets divers et variés, à dépenser de l’argent que l’on n’a pas pour sécuriser des processus métiers qui existaient bien avant que l’on naisse, pour des MOA qui parfois ne savent pas qui on est. Bref, la routine.

De temps à autre, il arrive cependant de tomber sur une idée intéressante d’un confrère, une suggestion d’un collègue ou tout simplement un os (ou si vous préférez une mouche dans le lait) qui nous conduisent à mettre en place des vérifications périodiques d’éléments simples, le genre auquel personne ne pense, mais qui peut parfois éviter de gros, gros ennuis.

Par exemple, il peut être intéressant de googliser son PDG. Pas pour connaître la marque de sa voiture, mais juste pour voir si par hasard il n’y aurait pas trop d’informations qui traînent sur le Web le concernant, et qui seraient un marchepied rêvé pour un début d’arnaque au président. Une offre de services existe sur le marché, mais elle n’est pas spécialement pléthorique. Sinon, j’étais tombé une fois sur Maltego, un outil avec une version gratuite qui s’en charge. Une petite recherche de ce genre, une fois par an ou à chaque changement de Big Boss, paraît raisonnable.

Dans le même genre, un petit coup d’attaque en force brute sur les mots de passe AD de l’ensemble du board, juste histoire de vérifier si quelqu’un n’utiliserait pas, par le plus grand des hasards, le prénom du (de la) conjoint(e), la date de mariage ou celle de la communion du petit dernier. Rappelons en effet que sans OTP[1] en cas de MFA[2], le Webmail de la personne en question est accessible à travers ce simple mot de passe, et que tous deviennent potentiellement des cibles. À faire a minima tous les ans. La première année, prévenir tout de même, les suivantes, ne prévenir personne.

Toujours dans le registre de la veille, vous ne pouvez pas savoir la quantité de trucs que l’on trouve en tapant tout simplement dans son moteur de recherche préféré la chaîne de caractères suivante : « filetype:pdf nom_de_la_boite ». Certains CHU ont trouvé sur le Web des comptes rendus médicaux en PDF, des documents financiers, des programmes de financement de projets de recherche a priori confidentiels, tout en open bar. Souvent, ce sont des utilisateurs internes qui utilisent des plateformes d’échange de fichiers qui ne suppriment jamais rien. Fréquence : au moins deux fois par an, et penser à conseiller à ses utilisateurs une plateforme « RGPD responsable », à défaut d’en héberger une soi-même.

Pour la configuration de son serveur de messagerie, il existe pas mal d’outils bien sympathiques (et en plus gratuits) qui peuvent auditer la configuration de la passerelle externe, voire analyser toute la trame d’un message et pointer les problèmes potentiels. Par exemple https://www.mail-tester.com/, mais aussi https://zonemaster.net/domain_check ou https://mxtoolbox.com/. À faire a minima tous les ans, l’ingé infra en charge de la plateforme va vous haïr, surtout ne me remerciez pas, c’est tout naturel.

Last but not least, lancer un coup de PingCastle toutes les semaines, histoire de contrôler les comptes à privilèges : si vous en voyez apparaître qui ne sont pas passés par un processus formalisé d’approbation et de création, vous pouvez sortir le martinet. Dans sa dernière mouture, PingCastle offre une fonction qui permet de lister l’ensemble des partages de fichiers totalement accessibles en lecture-écriture sur votre réseau. Mon conseil : à lancer tous les mois, mais la première fois restez bien assis avant d’ouvrir le rapport : on signale des cas d’apoplexie de certains RSSI imprudents.

Bon, j’aurais pu aussi vous parler de vérification de typosquatting (les petits rigolos qui déposent des noms de domaine proche du vôtre pour du phishing, entre autres), du scan de surface périmétrique à l’aide d’outils tels IKare de ITrust, des scans Shodan pour vérifier si des IoT ne sont pas connectés en direct, des revues automatisées des habilitations des accès à votre réseau Wifi public ou à votre VPN fournisseurs : mais c’est inutile, vous le faites déjà.

[1] One-Time Password.
[2] Multi-Factor Authentication.

#rssi#sécurité#