Vous êtes dans : Accueil > Tribunes libres >

Les référentiels ISO, pas si simples

Cédric Cartau , MARDI 22 NOVEMBRE 2022

Il est de ces sujets qui paraissent anodins, tellement anodins que vous les voyez rarement évoqués en tant que tels dans une réunion d’huiles ou tout simplement d’experts.

Par exemple, le nombre de projets IT qui se vautrent lamentablement à cause d’un truc tout bête : l’absence d’identification des annuaires, est assez impressionnant. J’ai longuement écrit sur la question, le lecteur est invité à consulter ces précédents articles assez complets (ici[1][2][3]), mais en gros sans annuaires parfaitement identifiés et surtout sans un propriétaire chargé de garder le temple, dans pas mal de projets IT – en particulier les projets complexes de niveau GHT – cela risque de ne pas bien se passer, du tout du tout du tout.

Que vous alliez ou pas vers une certification ISO (ce n’est pour le moment pas une obligation, on peut très bien travailler proprement, mais bon, dans les faits, sans incitateur externe, l’expérience montre que le sujet n’avance pas), vous allez vous poser immanquablement la question des référentiels. Je m’explique.

Imaginez que vous vouliez mettre un peu d’ordre dans les comptes admin de domaine sur votre AD (si vous pensez sans jamais y avoir jeté un œil que tout est déjà en ordre, c’est comme Casimir ou Mickey, ils n’existent que dans votre esprit, mais passons), le premier truc que vous allez faire est de sortir une liste. Il y a une tripotée d’outils ad hoc, tous plus gratuits les uns que les autres, ce n’est pas le sujet. Cool, vous avez votre liste, deux fois cool, vous faites le ménage (dans certains cas le ménage en question peut prendre un à deux ans, si si !). Trois fois cool, vous arrivez au bout, et vous passez à autre chose. Et vous pensez avoir fait le taf, mais en fait non.

Parce qu’il va falloir recommencer : les comptes admin, c’est comme la chienlit ou les impôts, ils pullulent, vous tournez la tête deux minutes et vous en avez 15 de plus. Donc vous relancez le contrôle, et c’est là que vous avez un doute : le p’tit compte admin, là en bas de la page, il y était déjà la dernière fois ou pas ? Celui du milieu de la page, il n’aurait pas changé de nom ? Bref, faire confiance à la mémoire humaine pour ce genre d’opérations est une très mauvaise idée, surtout qu’il faut rajouter deux éléments dans l’équation : certains contrôles ne sont exécutés qu’une fois par an et surtout, à terme, le RSSI doit absolument déléguer cette tâche sous peine d’exploser en vol. Bref, il va bien falloir, à un moment donné, faire une comparaison avec une liste officielle : un référentiel.

Dans le cas des comptes admin de domaine, le référentiel est une bête liste tableur, pas besoin d’acheter des trucs chers et compliqués. La liste (un fichier) doit être versionnée, les versions antérieures doivent être archivées (jusque-là, c’est simple), mais surtout un référentiel, comme tout actif au sens large, a un propriétaire, à savoir justement une personne chargée de versionner et d’archiver. Ce qui suppose d’avoir une liste des référentiels, cette seconde liste étant elle-même un actif à versionner (mais le proprio, c’est facile, c’est le RSSI la plupart du temps).

Déjà si vous êtes arrivés jusque-là, vous avez fait une bonne moitié du travail, mais pas plus. Oui, parce que les référentiels pullulent autant que la chienlit plus haut : au fur et à mesure que vous voulez mettre en place un point de contrôle, un référentiel apparaît. Référentiel des habilitations d’accès par logiciel métier, référentiel des IP de la DMZ (sinon vous scannez quoi ?), référentiel des personnels inclus au périmètre des audits (pour tracer les formations par exemple), référentiels des serveurs, des PC, des partages sur le domaine, des applicatifs, etc. On arrive très rapidement à des dizaines de référentiels, et ce n’est absolument pas exagéré.

Certains de ces référentiels sont assez faciles à construire et peu coûteux à mettre à jour, tel celui des admin ci-dessus. D’autres sont particulièrement complexes : allez juste pister la liste des agents qui sont admin de leur propre PC pour servir de base au contrôle adéquat, le legacy que vous allez vous prendre en pleine face est assez tricky. Récemment, je suis tombé sur la problématique de la mise à jour des IP de la DMZ (les machines de cette classe d’actifs obéissent à des règles de sécurité spécifiques) : les architectures des LAN se sont tellement complexifiées récemment, notamment à l’occasion de la mise en œuvre des GHT, que les ingés systèmes ont le plus grand mal à se mettre d’accord sur ce qui est ou pas une DMZ.

Autant ce sujet est totalement absent du focus de certaines organisations (c’est d’ailleurs un bon moyen de se faire une idée de la maturité d’une DSI que de lui poser la question des référentiels de contrôle mis en place), autant, dès que l’on rentre dans le moule, ils sont d’une efficacité si redoutable qu’il faut à un certain stade introduire un peu de souplesse, tant les derniers convertis sont souvent les plus rigides.

[1] https://www.dsih.fr/article/4870/gestion-des-annuaires-a-la-frontiere-de-la-ssi.html 

[2] https://www.dsih.fr/article/3223/dmp-et-sri-les-annuaires-en-filigrane.html 

[3] https://www.dsih.fr/article/3265/ght-l-intendance-suivra-ou-pas.html 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

#dsih#sécurité#ad#rssi#ssi