10 règles d’or pour la conception et la mise en œuvre de services numériques


La conception et la mise en œuvre de services numériques méritent une protection particulière via l’adoption de bonnes pratiques organisationnelles et techniques. Les 10 règles de base proposées ci-dessous constituent les principaux facteurs clés pour réussir son projet et limiter les risques de cyberattaques ; celles-ci étant souvent préjudiciables à votre image ou à celle de votre institution. Ces recommandations sont applicables à tout projet de service numérique.

10 règles d’or pour la conception et la mise en œuvre de services numériques

 

1.     Mener une analyse de risques

Un des facteurs clé de réussite d’un projet numérique réside dans la capacité à mener une analyse des risques prenant en compte l’écosystème du périmètre concerné (voir le guide EBIOS Risk Manager et le guide Maîtrise du risque numérique, l’atout confiance). Cela implique en particulier :

  • d’identifier clairement les actifs métier essentiels à protéger (données et traitements), leur criticité et les impacts en cas d’incident de sécurité;
  • de cartographier les parties prenantes de l’organisation ;
  • de préciser les menaces auxquelles sont exposés ces informations et ces traitements;
  • d’ identifier les exigences légales et réglementaires applicables;
  • de définir les scénarios stratégiques de menaces et les risques opérationnels.

 

2.    Rédiger une expression de besoin exhaustive d’un point de vue fonctionnel et de sécurité

Afin de permettre à la maîtrise d’œuvre (MOE) de mener à bien les travaux de conception et de développement, il convient de rédiger une expression des besoins métier et de sécurité exhaustive et précise. Ce point est particulièrement structurant si la MOE est sous-traitée. Auquel cas, les enjeux autour du cahier des clauses techniques et particulières (CCTP) sont significatifs. La bonne facture des documents contractuels de la commande publique déterminera la capacité de la personne responsable du marché à contrôler la conformité du service. Au-delà des risques liés à la cybersécurité, un marché ne prenant pas en compte convenablement les besoins de sécurité sera source de surcoût budgétaire ou de glissement calendaire. Les besoins relatifs à la conception, au développement, au maintien en condition opérationnelle (MCO)/maintien en condition de sécurité (MCS), ainsi qu’à la réversibilité doivent notamment être pris en compte. De même, il convient d’identifier les besoins de protection contre les lois à portée extraterritoriale (RGPD, SecNumCloud, loi de blocage, etc.).

En complément de l’expression des besoins de sécurité prévus par l’analyse des risques, les entités en charge des projets numériques peuvent s’appuyer sur le guide Maîtriser les risques de l’infogérance : externalisation des systèmes d’information et notamment sur le plan d’assurance sécurité (PAS). Pour les administrations, il est recommandé de prendre en compte le guide relatif « aux clauses génériques de sécurité dans les marchés », rédigé conjointement par l’ANSSI et la Direction des achats de l’état (DAE) et disponible auprès de ces services.

 

3.    S’appuyer sur un prestataire d’hébergement de confiance pour les traitements et les données les plus sensibles

Au-delà des considérations propres au service numérique concerné, il est primordial de déterminer le type d’infrastructure d’hébergement adapté aux besoins. Il conditionne une partie de la maîtrise et de la confiance portées au service numérique. Pour les technologies Cloud, la certification SecNumCloud (voir référentiel) permet de garantir un niveau de confiance sur le service d’hébergement mais également de se prémunir des lois à portée extraterritoriale.

Au sein de l’infrastructure d’hébergement, un soin particulier doit être porté sur les principes de cloisonnement, notamment :

  • entre les ressources des différents clients de l’infrastructure ;
  • entre les différents environnements respectivement de développement, de préproduction et de production ;
  • entre les ressources métier et celles dédiées à la gestion et l’administration.

 

4.    S’assurer des bonnes pratiques de développement/de conception (dont des audits réguliers)

L’ensemble des bonnes pratiques et des guides de sécurité utiles doivent être pris en compte dans le projet (consulter toutes les ressources thématiques). Cela concerne la sécurisation des infrastructures, des applications et des terminaux administrateurs et utilisateurs, qu’ils soient internes ou propres aux sous-traitants.

Il convient également de prévoir l’ensemble des contrôles et audits tout au long des phases de conception jusqu’à la mise en œuvre du service numérique (audit de code, audit d’architecture, audit de configuration). Pour ce faire, il est recommandé de s’appuyer sur le référentiel des prestations d’audit de sécurité PASSI et sur le guide Agilité et sécurité numériques : méthodes et outils à l’usage des équipes projet.

 

5.    Maîtriser et protéger les interconnexions

Les interconnexions entre les systèmes d’information étudiés et les systèmes d’information tiers et/ou des prestataires sont des points d’attention majeurs. Celles-ci conditionnent la surface d’exposition aux menaces et aux attaques. Il convient donc :

  • de les cartographier;
  • d’évaluer et de maintenir le niveau de sécurité;
  • de veiller à la détection des incidents de sécurité.

 

En particulier, les interconnexions internes à l’entité, notamment pour les accès en nomadisme, sont également à considérer. Pour en savoir plus, consulter les guides Cartographie du système d’information,  Recommandations relatives à l’interconnexion d’un système d’information à internetRecommandations relatives à l’administration sécurisée des systèmes d’information, et Recommandations sur le nomadisme numérique.

 

6.    Sécuriser la gestion des identités, les mécanismes d’authentification et les contrôles d’accès

Le contrôle des accès aux services numériques, la gestion des identités et les mécanismes d’authentification sont des fonctions essentielles d’un SI qu’il convient de sécuriser et de renforcer. Leur robustesse permet de limiter les possibilités d’intrusion d’un attaquant qui tente d’usurper une identité.

L’ANSSI met à disposition des guides proposant des recommandations pour renforcer la sécurité d’un SI :

 

7.    Protéger les ressources d’administration aux SI

Les ressources d’administration sont par essence critiques. Elles sont particulièrement visées par les attaquants dans la mesure où elles permettent de prendre rapidement le contrôle de l’ensemble d’un système d’information. Il est donc primordial de s’assurer de leur niveau de sécurité et de les protéger au bon niveau. Le guide Recommandations relatives à l’administration sécurisée des systèmes d’information de l’ANSSI permet de guider les entités et les MOE/MOA dans leur action.

D’une manière générale, il convient en particulier de distinguer les ressources d’administration du système d’information bureautique (s’appuyant en général sur les technologies Microsoft), des ressources propres à l’administration des socles d’infrastructures (DataCenter, DMZ Internet, etc.)

 

8.    Assurer le maintien en condition de sécurité des SI

Un principe immuable d’hygiène consiste à mettre en œuvre les correctifs de sécurité des socles techniques utilisés. Cette action est d’autant plus critique pour les services exposés sur Internet. Il est par ailleurs souhaitable de limiter l’exposition sur Internet aux services pour lesquels c’est réellement nécessaire (utiliser par exemple des VPN d’administration pour le reste, etc.).

Une grande majorité des attaques observées s’attache à exploiter les vulnérabilités publiques afin de prendre le contrôle d’un système d’information, ou au moins, s’en servir comme vecteur initial de compromission. Le site du CERT-FR publie régulièrement les alertes de sécurité les plus critiques, à corriger en priorité.

Dans ce domaine, il convient de s’appuyer en particulier sur les mesures 34 « Définir une politique de mise à jour des composants du système d’information » et 35 « Anticiper la fin de la maintenance de logiciels et systèmes et limiter les adhérences logicielles » du guide d’hygiène informatique de l’ANSSI.

 

9.    Assurer et protéger les sauvegardes des données et de l’infrastructure

La sauvegarde hors ligne et hors site et les processus de restauration sont structurants pour remédier à une situation de crise, issue ou non d’une compromission cyber. Ils permettent de recouvrer rapidement une capacité de production. Cela concerne les données métier mais aussi tout ou partie des éléments d’infrastructure afin de retrouver une capacité technique de production.

Il convient donc de compléter son dispositif avec une sauvegarde hors ligne mais également de procéder à des tests réguliers de restauration. Cette dernière procédure vise à vérifier la capacité à recouvrer les données en cas d’incident.

 

10.   Mettre en œuvre un dispositif de détection des incidents de sécurité (dont la journalisation) et de gestion de crises ​

La mise en œuvre d’un dispositif de détection des incidents de sécurité est un complément essentiel aux mesures et aux actions de sécurisation et de protection. Il permet d’identifier rapidement une menace et de mener les actions conservatoires et de remédiation utiles avant d’arriver à une situation de compromission. Il convient donc d’en prévoir la mise en œuvre. Au cas où la mise en place de ce type de dispositifs est techniquement compliquée à porter en interne, il est possible de s’appuyer sur les PDIS qualifiés par l’ANSSI. Ces dispositifs s’appuient nécessairement sur une infrastructure de collecte et de centralisation des journaux d’événements de sécurité, carburant des services de détection (voir les guides Recommandations de sécurité pour l’architecture d’un système de journalisation et Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory).

Par ailleurs, il est primordial de définir les processus et procédures de gestion de crise cyber (voir les guides Organiser un exercice de gestion de crise cyber et Crise d’origine cyber : les clés d’une gestion opérationnelle et stratégique). En matière de réponse à incident, les entités peuvent également s’appuyer sur les prestataires qualifiés en matière de réponse à incident de sécurité (PRIS).

Télécharger la plaquette des 10 règles d’or pour la conception et la mise en œuvre de services numériques