Op

1
Opérations sécurité au CNRS

• Nicole Dausque ingénieur UREC
• Jean-Luc Archimbaud UREC, chargé de mission
  sécurité réseaux au CNRS (http//www.urec.fr/jla)
• De plus en plus de problèmes de sécurité
• Intrusions sur des machines
• nombreuses journées de travail perdues
• rebond responsabilité
• Non respect de la législation  presse 
• droit dauteurs (Web)
• protection ordre public (propos racistes)
• Vol de résultats de recherche
• Virus

2
Que faire ?

• CNRS atypique
• Pas de solution  sur étagère 
• Pas de solution unique
• Agir sur place
• Administrateurs informatiques compétents et
  ouverts
• Opérations sécurité
• Méthodologie dintervention sur mesure
• Pragmatique
• Faire  pour le mieux  avec nos moyens

3
Objectifs

• Aider les laboratoires
• Sensibilisation
• Bilan vulnérabilités
• Actions correctrices
• Outils de sécurisation
• Amélioration de lorganisation (matérielle et
  humaine)
• Vérification de lapplications recommandations
  CNRS
• Création dun réseau humain

4
Méthodologie

• Rédaction dune liste de contrôles
• Préparation de la mission
• Délégué et coordinateurs locaux
• Liste des laboratoires, participants, planning
• Adaptée à lenvironnement
• 2 jours sensibilisation, tour de table,
  présentation de lopération, cours ...
• 20 jours de travail admin info dans leur labo
• 1 jour de bilan (préparé avec le coordinateur)
• Rapport

5
Liste de contrôles

• Questions ---gt Recommandations - Corrections
• 7 items
• Présentation du laboratoire
• Organisation / sécurité
• Unix
• Réseaux
• Outils Unix
• Windows NT
• Micros (PC et Mac)
• Charte, admin du parc, gestion des comptes,
  contrôles réseau, architecture des services

6
Extrait de la liste de contrôles

• Chapitre organisation question existence
  dune charte ?
• Recommandation
• Une charte doit être proposée à chaque
  utilisateur au moment de louverture de son
  compte. Elle doit être signée et approuvée par
  lui. Le compte ne peut lui être ouvert quà cette
  condition. Il existe un modèle du CNRS, vous
  pouvez y ajouter des consignes strictes et si
  besoin des clauses propres au site (modèle
  disponible sur le site http//www.auteuil.cnrs
  dir.fr/Infosecu/document.html).
• Chapitre réseaux question tournez-vous un
  sendmail de version 8.8.8 ?
• Recommandation
• Les sendmail constructeurs ou de version
  inférieure à 8.8.x doivent être remplacés pour
  utiliser unsendmail V8.8.8 (binaire disponible
  sur ftp//ftp.lip6.fr/jussieu/sendmail/bin) ayant
  la fonction " RELAY " invalidée.
• Conseil
• Envisager une politique d'établissement avec une
  seule machine autorisée à recevoir du mail de
  l'Internet avec une redistribution interne. La
  documentation est disponible sur
  ftp//ftp.lip6.fr/jussieu/sendmail/kit.
• Si vous avez des clients " Eudora ", vérifier que
  leur " shell " est /bin/false.

7
Bilan

• Sophia 12/97, Toulouse 3/98, Grenoble 6/98,
  Marseille 9/98, Nancy 10/98, Gif 1/99
• Méthode très bien perçue
• Message externe (Direction parisienne)
• Bonne sensibilisation
• 4 à 5 jours de travail / administrateur
• Inventaire du parc
• Correction de certaines vulnérabilités
• Installation doutils
• Première étape dun travail de longue haleine
• Pb de la participation des Directeurs

8
Apports et futur

• Conséquences indirectes
• réorganisation de larchitecture
• achat déquipements (routeur, )
• reconnaissance de la fonction dadministrateurs
  informatiques et de responsables sécurité
• postes dITA
• Groupe déchanges techniques
• Futur
• Sappuyer sur le réseau de coordinateurs
• Utilisation dInternet Scanner

9
Constats

• Sécurisation très inégale, en moyenne faible
• La Direction doit avoir un rôle moteur
• Besoin dune fonction administrateur de systèmes
  et réseaux dans chaque unité avec la maîtrise des
  postes de travail, puis de responsable sécurité
• Penser architecture de réseau / informatique avec
  des critères de sécurité
• Attention à
• Laccès Internet
• Windows-NT, Linux
• Utilisation dInternet