Les check-lists de sécurité

Le NIST 800-70 est un guide destiné aux professionnels de la cybersécurité qui utilisent et développent des check-lists. Il s’agit de documents qui contiennent des instructions ou des procédures pour configurer un composant informatique dans son environnement opérationnel. Appelés aussi guides de durcissement, ils permettent de minimiser la surface d’attaque, réduire les vulnérabilités et limiter les impacts des attaques réussies.

Check-lists

Le NIST (agence américaine qui dépend du département du commerce) a développé un programme national de check-lists (National Checklist Program) de sécurité. Le terme « benchmark » est aussi utilisé en particulier par le CIS pour ses guides. Ces check-lists peuvent comprendre :

  • Des fichiers de configuration automatiques ou des scripts, par exemple au format SCAP (Security Content Protocol) XML.
  • Des informations pour configurer manuellement les composants.

Les composants qui font l’objet de check-lists de sécurité peuvent être très divers : systèmes d’exploitation, navigateurs, clients de messagerie, logiciel antivirus, routeurs, points d’accès, bases de données, imprimantes et copieurs.

L’intérêt du programme national du NIST est de disposer d’un répertoire central à jour. Ce répertoire contient la liste des guides qu'ils soient automatiques ou non.

Les environnements opérationnels

Le NIST 800-70 identifie plusieurs environnements opérationnels pour lesquels les éléments de configuration doivent être adaptés. L’environnement autonome correspond aux matériels gérés de manière unitaire (par exemple une tablette personnelle). L’environnement administré comprend les composants informatiques gérés par une entité. Les environnements sécurisés sont réservés aux systèmes les plus sensibles. Les environnements « historiques » sont consacrés au traitement des composants obsolètes mais toujours utilisés et devant communiquer avec d’autres environnements.

Utilisation des check-lists

L’utilisation des check-lists pourra suivre les étapes suivantes :

  • Déterminer les exigences spécifiques de sécurité. L’approche risque classique est fortement recommandée pour identifier les besoins fonctionnels, les menaces et les vulnérabilités et les mesures de sécurité.
  • Identifier les check-lists pertinentes. Plusieurs critères sont intégrés au répertoire pour faciliter la recherche. Par exemple le niveau d’automatisation, l’entité ayant développé la check-list, le contenu, la version du produit et la compatibilité avec SCAP.
  • Revoir et adapter ces check-lists à son environnement. Les configurations non adaptées à l’organisation doivent être revues et modifiées si nécessaire. Là encore, l’entité gère ces risques et adapte sa posture de sécurité.
  • Appliquer les configurations. La check-list peut être appliquée de deux manières différentes. Soit par une modification directe de la configuration, soit par comparaison avec les éléments de configuration en place.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

SCAP, NIST, Durcissement, Check-list, BenchmarkCIS