Configuration sécurisée : réduire votre surface d'attaque
La configuration sécurisée consiste à s'assurer que les ordinateurs et équipements réseau sont configurés pour minimiser les vulnérabilités. Les paramètres par défaut sont typiquement conçus pour la facilité d'utilisation lors de l'installation, pas pour la sécurité. Les ajuster peut réduire significativement votre risque.
Points clés
| Point | Résumé |
|---|---|
| Supprimer les défauts | Changer tous les mots de passe par défaut ; désactiver les comptes par défaut et invités |
| Logiciels minimaux | N'installer que les logiciels réellement nécessaires ; supprimer les applications inutilisées |
| Désactiver les fonctionnalités inutiles | Désactiver l'auto-exécution, les services non nécessaires et les plugins navigateur |
| Exigences de mot de passe | Minimum 8 caractères (12 pour les comptes admin), ou MFA avec des mots de passe plus courts |
| Verrouillage de compte | Verrouiller les comptes après 10 tentatives de connexion échouées |
Réponse rapide : La configuration sécurisée signifie changer tous les défauts : mots de passe, comptes, services. Ne garder que ce qui est nécessaire, désactiver l'auto-exécution, imposer des mots de passe forts (8+ caractères, 12+ pour admin), et verrouiller les comptes après 10 tentatives de connexion échouées.
Pourquoi la configuration sécurisée est importante
Les attaquants cherchent des points d'entrée faciles : mots de passe par défaut, services inutiles et systèmes mal configurés. Ce sont des fruits faciles à cueillir qui peuvent être exploités avec un effort minimal. La configuration sécurisée ferme ces portes.
Avant la configuration sécurisée :
- Mots de passe admin par défaut en place
- Logiciels inutiles installés
- Services inutilisés en cours d'exécution
- Comptes invités activés
- Auto-exécution activée
- Nombreux points d'entrée potentiels
Après la configuration sécurisée :
- Mots de passe forts et uniques
- Uniquement les logiciels requis
- Uniquement les services nécessaires en cours d'exécution
- Comptes inutiles supprimés
- Auto-exécution désactivée
- Surface d'attaque minimale
Ce que Cyber Essentials requiert
Exigences fondamentales
| Exigence | Détails |
|---|---|
| Supprimer/désactiver les logiciels inutiles | Ne garder que ce dont vous avez vraiment besoin |
| Supprimer/désactiver les comptes inutiles | Supprimer les comptes par défaut et invités |
| Changer les mots de passe par défaut | Ne jamais utiliser les défauts d'usine |
| Désactiver l'auto-exécution | Empêcher l'exécution automatique depuis les médias amovibles |
| Configurer le verrouillage écran | Verrouillage automatique après inactivité |
Attentes additionnelles
| Aspect | Exigence |
|---|---|
| Authentification compte utilisateur | Mots de passe ou méthodes plus fortes requis |
| Verrouillage automatique écran | Dans les 15 minutes d'inactivité |
| Installation de logiciels | Contrôlée par les administrateurs |
| Utilisation compte admin | Pas utilisé pour les tâches quotidiennes |
Implémenter la configuration sécurisée
Étape 1 : Audit des logiciels
Commencer par réviser quels logiciels sont installés et s'ils sont vraiment nécessaires :
Inventaire :
- Lister toutes les applications installées
- Identifier la justification business de chacune
- Signaler les logiciels inutilisés
- Identifier les versions non supportées
Supprimer :
- Désinstaller les applications inutilisées
- Supprimer les logiciels d'essai
- Supprimer les plugins navigateur inutiles
- Supprimer les anciennes versions après les mises à jour
Documenter :
- Créer une liste de logiciels approuvés
- Enregistrer la justification business
- Noter les exigences de version
- Définir un planning de revue
Étape 2 : Désactiver les services inutiles
Désactiver les services qui ne sont pas requis pour les opérations business :
| Système d'exploitation | Services courants à réviser |
|---|---|
| Windows | Remote Desktop, IIS, Telnet, FTP |
| macOS | Remote Login, Screen Sharing, File Sharing |
| Linux | SSH (si non nécessaire), FTP, services Mail |
| Tous | Bluetooth, Services de localisation |
Services Windows couramment à réviser :
| Service | Considérer la désactivation si |
|---|---|
| Remote Desktop | Pas d'utilisation de l'accès distant |
| Remote Registry | Non nécessaire pour la gestion |
| Telnet | Jamais nécessaire (utiliser SSH à la place) |
| FTP | Utiliser SFTP à la place |
| IIS | Pas d'hébergement de sites web |
| Bluetooth | Pas d'utilisation d'appareils Bluetooth |
Étape 3 : Gestion des comptes
Configurer les comptes utilisateur de manière sécurisée :
Comptes par défaut :
- Désactiver le compte Invité
- Renommer le compte Administrateur (optionnel mais recommandé)
- Changer immédiatement les mots de passe par défaut
- Supprimer les comptes par défaut inutilisés
Comptes utilisateur :
- Compte unique par utilisateur
- Pas de comptes partagés
- Comptes utilisateur standards pour le travail quotidien
- Comptes admin pour les tâches admin uniquement
Fonctionnalités des comptes :
- Verrouillage écran activé
- Mot de passe requis après veille
- Verrouillage de compte après tentatives échouées
- Mot de passe complexe requis
Étape 4 : Configuration des mots de passe
Définir des politiques de mot de passe fortes :
| Paramètre | Minimum Cyber Essentials | Recommandé |
|---|---|---|
| Longueur minimale | 8 caractères | 12+ caractères |
| Complexité | Mix de types de caractères OU phrase de passe | Phrase de passe |
| Verrouillage de compte | Activer après tentatives échouées | 5-10 tentatives |
| Mots de passe par défaut | Doivent être changés | Immédiatement |
Options de mot de passe :
Option 1 : Mot de passe complexe
- Minimum 8 caractères
- Mix de majuscules, minuscules, chiffres, caractères spéciaux
- Exemple : Tr0ub4dor&3
Option 2 : Phrase de passe (souvent plus facile)
- Trois mots aléatoires ou plus
- Plus facile à retenir
- Plus difficile à craquer
- Exemple : correct-horse-battery-staple
Étape 5 : Auto-exécution et lecture automatique
Désactiver l'exécution automatique des médias :
| Paramètre | Plateforme | Action |
|---|---|---|
| AutoRun | Windows | Désactiver via Group Policy |
| AutoPlay | Windows | Désactiver ou définir à "Ne rien faire" |
| AutoMount | macOS | Considérer la désactivation |
| Automount | Linux | Configurer pour ne pas auto-exécuter |
Pourquoi désactiver l'auto-exécution ?
- Les périphériques USB peuvent contenir des malwares
- L'auto-exécution exécute du code sans action utilisateur
- C'est un vecteur courant de propagation des malwares
- Simple à désactiver, réduction de risque significative
Étape 6 : Configuration du verrouillage écran
Configurer le verrouillage automatique de l'écran :
| Plateforme | Chemin | Paramètre |
|---|---|---|
| Windows | Paramètres → Comptes → Options de connexion | Exiger la connexion après veille |
| Windows | Paramètres économiseur d'écran | Activer avec mot de passe à la reprise |
| macOS | Préférences Système → Sécurité et confidentialité | Exiger mot de passe immédiatement |
| Linux | Varie selon l'environnement de bureau | Configurer l'économiseur d'écran avec verrouillage |
Exigence Cyber Essentials : L'écran doit se verrouiller après au maximum 15 minutes d'inactivité.
Configuration spécifique aux appareils
Appareils Windows
Comptes :
- Désactiver le compte Invité
- Créer des comptes admin nommés (pas 'Administrateur')
- Séparer comptes standards et admin
- Configurer le verrouillage de compte
Fonctionnalités :
- Activer Windows Firewall (tous les profils)
- Désactiver Remote Desktop si non nécessaire
- Désactiver Bluetooth si non utilisé
- Désactiver les services de localisation si non nécessaires
Paramètres :
- Activer les mises à jour automatiques
- Configurer le timeout de verrouillage écran (≤15 min)
- Exiger mot de passe après veille
- Désactiver AutoRun et AutoPlay
Logiciels :
- Supprimer les applications inutilisées
- Désactiver les extensions navigateur inutiles
- Supprimer les logiciels d'essai
- Désinstaller les logiciels obsolètes
Appareils macOS
Comptes :
- Désactiver le compte Invité
- Créer des comptes standards et admin
- Activer le chiffrement FileVault
- Configurer les options de fenêtre de connexion
Fonctionnalités :
- Activer le Coupe-feu
- Désactiver Remote Login si non nécessaire
- Désactiver Screen Sharing si non nécessaire
- Désactiver AirDrop ou définir à Contacts uniquement
Paramètres :
- Activer les mises à jour automatiques
- Exiger mot de passe immédiatement après veille
- Activer le verrouillage automatique de l'écran
- Désactiver la connexion automatique
Logiciels :
- Supprimer les applications inutilisées
- Réviser les extensions Safari
- Effacer les extensions système inutilisées
- Utiliser l'App Store pour les logiciels (recommandé)
Appareils mobiles
iOS :
- Activer le code d'accès (6+ chiffres)
- Activer Face ID/Touch ID
- Désactiver les notifications sur écran verrouillé pour les apps sensibles
- Activer les mises à jour automatiques
- Réviser les permissions des apps
- Supprimer les apps inutilisées
Android :
- Activer le verrouillage écran (PIN/pattern/biométrique)
- Activer le chiffrement
- Désactiver les sources inconnues (ou gérer avec précaution)
- Activer les mises à jour automatiques
- Réviser les permissions des apps
- Supprimer les apps inutilisées
- Désactiver les options développeur
Problèmes de configuration courants
Problèmes fréquemment trouvés
| Problème | Risque | Solution |
|---|---|---|
| Mots de passe par défaut utilisés | Compromission facile | Changer tous les défauts |
| Compte invité activé | Accès non autorisé | Désactiver |
| Pas de verrouillage écran | Risque d'accès physique | Activer avec timeout ≤15 min |
| AutoRun activé | Malware via USB | Désactiver |
| Services inutiles | Surface d'attaque accrue | Désactiver les services inutilisés |
| Surcharge logicielle | Plus de vulnérabilités | Supprimer les logiciels inutilisés |
| Comptes partagés | Pas de traçabilité | Comptes individuels |
| Admin pour l'usage quotidien | Impact malware élevé | Comptes séparés |
Audits de configuration réguliers
Considérer la révision de la configuration périodiquement :
| Vérification | Fréquence suggérée |
|---|---|
| Conformité des mots de passe | Trimestrielle |
| Révision des logiciels installés | Trimestrielle |
| Audit des services | Semestrielle |
| Révision des comptes | Trimestrielle |
| Vérification du verrouillage écran | Mensuelle |
| Statut auto-exécution | Trimestrielle |
Comment Bastion peut aider
La configuration sécurisée sur tous les appareils demande de l'attention aux détails et de la cohérence. Ce n'est pas difficile, mais cela nécessite une exécution méthodique.
| Défi | Comment nous aidons |
|---|---|
| Évaluation de configuration | Nous révisons les paramètres actuels des appareils par rapport aux exigences |
| Développement de politique | Nous créons des standards de configuration sécurisée pour votre environnement |
| Implémentation | Nous fournissons des conseils sur le durcissement correct des appareils |
| Automatisation | Nous aidons avec les outils de gestion de configuration où approprié |
| Surveillance continue | Nous pouvons détecter la dérive de configuration au fil du temps |
Travailler avec un partenaire de services managés signifie que votre configuration est revue par des yeux expérimentés. Nous avons vu les pièges courants et savons comment les éviter, ce qui se traduit par faire les choses correctement du premier coup plutôt que de découvrir des problèmes lors de la certification.
Besoin d'aide pour sécuriser vos configurations d'appareils ? Parlez à notre équipe