Appliquer les recommandations CIS Benchmarks
Mise à jour :
Dans le domaine de l’administration système, la sécurisation des infrastructures est devenue une priorité absolue. Les systèmes par défaut sont souvent configurés avec des paramètres qui, bien que fonctionnels, ne prennent pas toujours en compte les meilleures pratiques en matière de sécurité. C’est là qu’interviennent les CIS Benchmarks. Développés par le Center for Internet Security (CIS), ces benchmarks sont des recommandations détaillées qui aident à renforcer les configurations des systèmes d’exploitation, des applications, des serveurs et bien plus encore.
Historique
Pour comprendre l’importance et la portée des CIS Benchmarks, il est essentiel de revenir à leur origine. Le Center for Internet Security (CIS) a été fondé en 2000, à une époque où la sécurité informatique devenait un enjeu majeur pour les entreprises et les institutions gouvernementales. À l’époque, l’explosion de l’Internet et la croissance des infrastructures IT ont créé une nouvelle réalité : les systèmes étaient de plus en plus interconnectés, mais aussi de plus en plus vulnérables.
Face à cette situation, le CIS s’est donné pour mission d’aider les organisations à sécuriser leurs environnements informatiques en fournissant des recommandations précises et faciles à suivre. L’objectif initial du CIS était de combler un manque flagrant dans le domaine de la sécurité : la mise à disposition de bonnes pratiques standardisées pour la configuration des systèmes d’exploitation et des logiciels.
Les premières versions des CIS Benchmarks se concentraient principalement sur les systèmes d’exploitation populaires de l’époque, comme Windows et Linux, avec un accent mis sur des paramètres de configuration qui réduisaient les risques d’attaques. Les entreprises étaient souvent confrontées à des configurations par défaut trop permissives et les CIS Benchmarks ont permis de combler cette lacune en proposant des ajustements de sécurité simples mais efficaces.
Au fil des années, les CIS Benchmarks ont évolué pour inclure des recommandations couvrant un plus large éventail de technologies. À mesure que de nouvelles plateformes ont émergé, comme macOS, Docker, et Kubernetes, de nouveaux benchmarks ont été publiés pour répondre aux défis spécifiques posés par ces environnements. Par exemple, avec l’essor de la conteneurisation et de l’orchestration via Kubernetes, le CIS a rapidement publié des benchmarks pour s’assurer que ces technologies soient utilisées de manière sécurisée dans les environnements de production.
Un autre aspect de cette évolution est l’accent mis sur la collaboration communautaire. Le CIS s’appuie sur une communauté active d’experts en sécurité, d’administrateurs systèmes et d’ingénieurs de divers secteurs. Cette collaboration permet de garantir que les recommandations sont non seulement pertinentes, mais également pratiques à appliquer dans des environnements réels. Chaque benchmark fait l’objet d’une validation et d’une mise à jour régulière en fonction des nouvelles menaces et des évolutions technologiques.
En résumé, l’histoire des CIS Benchmarks reflète l’évolution des défis de la sécurité informatique. Au départ centrés sur les systèmes d’exploitation de bureau et les serveurs, les benchmarks se sont étendus pour couvrir des technologies plus récentes et répondre aux besoins des infrastructures modernes, tout en restant un référentiel essentiel pour les meilleures pratiques en matière de sécurité. Grâce à cette initiative, de nombreuses organisations à travers le monde ont pu élever leur niveau de sécurité et réduire considérablement leur exposition aux risques.
Ainsi, les CIS Benchmarks représentent aujourd’hui une norme largement acceptée et utilisée dans les industries les plus sensibles, comme la finance, la santé et le secteur public.
Concepts clés des CIS Benchmarks
Pour bien comprendre et appliquer les CIS Benchmarks, il est essentiel de se familiariser avec quelques concepts fondamentaux qui sous-tendent ces recommandations. Voici les principaux :
Principe du moindre privilège
Ce principe consiste à accorder aux utilisateurs et aux services uniquement les permissions nécessaires pour accomplir leurs tâches. Cela limite les dommages potentiels en cas de compromission d’un compte ou d’un processus. Par exemple, un utilisateur n’a pas besoin de droits d’administrateur pour effectuer des tâches courantes comme lire des fichiers ou lancer une application. Cette approche réduit la surface d’attaque en empêchant les accès excessifs.
Désactivation des services inutiles
De nombreux systèmes sont livrés avec des services et des fonctionnalités activés par défaut, dont certains ne sont pas nécessaires au bon fonctionnement de l’environnement. Les CIS Benchmarks recommandent de désactiver ou désinstaller ces services pour minimiser les points d’entrée potentiels des attaquants. Par exemple, désactiver telnet sur un serveur Linux évite de laisser une porte d’accès non sécurisée à distance.
Gestion des accès
La gestion des accès est indispensable pour assurer une bonne sécurité. Cela inclut l’utilisation de mécanismes d’authentification forte, la gestion des comptes et l’application de politiques de mots de passe robustes. Les CIS Benchmarks fournissent des recommandations précises sur la longueur, la complexité et la durée de validité des mots de passe. Par exemple, il est recommandé de forcer les utilisateurs à changer régulièrement leurs mots de passe et à utiliser des mots de passe d’au moins 12 caractères.
Journalisation et surveillance
La journalisation permet de conserver des traces des activités sur les systèmes. Les CIS Benchmarks recommandent de configurer les journaux pour surveiller les événements critiques comme les échecs de connexion, les tentatives de modification des fichiers système, ou les accès non autorisés. La surveillance régulière de ces logs est essentielle pour détecter rapidement des comportements anormaux ou des attaques potentielles.
Gestion des correctifs (patch management)
Les CIS Benchmarks insistent sur l’importance de maintenir les systèmes à jour avec les derniers patchs de sécurité. De nombreuses attaques exploitent des vulnérabilités connues dans les systèmes d’exploitation et les logiciels. En appliquant régulièrement les correctifs, on réduit considérablement le risque de compromission. Il est recommandé d’automatiser cette gestion pour garantir que tous les systèmes soient protégés en permanence.
Catégorisation des recommandations
Les CIS Benchmarks classent les recommandations selon leur niveau de criticité et leur applicabilité. Les recommandations sont souvent divisées en deux niveaux :
-
Niveau 1 : Ces recommandations visent à assurer une sécurité de base sans affecter significativement les performances ou la fonctionnalité du système. Elles sont généralement applicables à la majorité des environnements, même ceux qui ne peuvent pas supporter des configurations de sécurité très strictes.
-
Niveau 2 : Ces recommandations sont plus restrictives et visent des environnements où la sécurité est une priorité absolue, même si cela implique des impacts sur les performances ou la facilité d’utilisation. Par exemple, une configuration stricte du pare-feu ou l’activation de journaux détaillés peuvent entrer dans cette catégorie.
Voici un exemple d’application des deux niveaux sur un serveur Linux :
- Niveau 1 : Assurer que l’authentification via SSH est activée avec des clés publiques plutôt que des mots de passe.
- Niveau 2 : Désactiver complètement l’accès SSH root et limiter l’accès SSH à des utilisateurs spécifiques via un fichier AllowUsers.
Rapports de conformité
Les CIS Benchmarks ne se limitent pas à fournir des recommandations ; ils aident aussi à générer des rapports de conformité. Ces rapports permettent aux administrateurs de vérifier rapidement dans quelle mesure leurs systèmes respectent les recommandations CIS. Ces rapports peuvent être utilisés pour des audits internes ou externes afin de prouver la mise en place de configurations sécurisées.
Ces rapports sont disponibles ici ↗
CIS-CAT : L’outil d’audit
Le CIS-CAT (CIS Configuration Assessment Tool) est un outil essentiel développé par le Center for Internet Security pour auditer la conformité des systèmes par rapport aux CIS Benchmarks. Cet outil permet d’automatiser l’évaluation de la sécurité des configurations et de générer des rapports détaillés sur les écarts entre l’état actuel des systèmes et les recommandations de sécurité.
Fonctionnalités de CIS-CAT
Le CIS-CAT se distingue par sa capacité à effectuer des audits sur une large gamme de systèmes d’exploitation et d’applications. Il est conçu pour faciliter l’audit et la conformité en environnement professionnel, en fournissant des fonctionnalités telles que :
- Audit automatisé : CIS-CAT analyse automatiquement les configurations des systèmes par rapport aux CIS Benchmarks spécifiques à la plateforme, comme Linux, Windows, ou Docker.
- Rapports de conformité : L’outil génère des rapports détaillés indiquant le niveau de conformité de chaque système audité. Chaque recommandation est accompagnée d’une explication et des résultats pour savoir si le système respecte ou non les bonnes pratiques.
- Correctifs suggérés : En plus de signaler les écarts, CIS-CAT propose souvent des correctifs précis pour résoudre les problèmes détectés, facilitant ainsi la mise en conformité.
Version gratuite vs version Pro
Il existe deux versions de l’outil CIS-CAT : la version CIS-CAT Lite, gratuite et limitée et la version CIS-CAT Pro, qui est plus complète, mais requiert un abonnement.
-
CIS-CAT Lite : Permet d’auditer les systèmes en fonction de quelques CIS Benchmarks (généralement des systèmes populaires comme Windows 10 et certains OS Linux). C’est un bon point de départ pour les petites organisations qui souhaitent découvrir les avantages des CIS Benchmarks.
-
CIS-CAT Pro : Cette version propose un audit plus large, avec un support pour un plus grand nombre de plateformes et de technologies, y compris Docker, Kubernetes et d’autres environnements critiques. CIS-CAT Pro permet également une meilleure personnalisation des rapports et une intégration plus poussée avec des systèmes de gestion de la conformité.
Outils alternatifs aux CIS Benchmarks
En plus des CIS Benchmarks et de leur outil d’audit CIS-CAT, il existe d’autres solutions et outils qui permettent d’auditer, de renforcer et de maintenir la sécurité des systèmes informatiques en conformité avec les normes de sécurité. Ces outils peuvent être utilisés seuls ou en complément des benchmarks CIS pour automatiser l’application des configurations sécurisées, auditer les systèmes et assurer une sécurité continue. Voici quelques alternatives et solutions complémentaires aux CIS Benchmarks.
OpenSCAP
OpenSCAP est un projet open-source soutenu par la communauté de la sécurité et destiné à fournir des outils et des frameworks pour l’audit des systèmes, la conformité et l’application des standards de sécurité. Il repose sur les normes SCAP (Security Content Automation Protocol), qui permettent de définir, appliquer et vérifier les règles de sécurité sur les systèmes informatiques.
- Fonctionnalités : OpenSCAP permet d’auditer les systèmes en fonction de différents profils de sécurité, de générer des rapports de conformité et d’intégrer des politiques de sécurité standardisées.
- Utilisation : Il est particulièrement bien adapté aux environnements Linux (RHEL, CentOS, etc.) et il est souvent utilisé pour vérifier la conformité avec les normes de sécurité telles que celles du NIST ou d’autres politiques gouvernementales.
Exemple de commande pour lancer un audit OpenSCAP sur un système Linux :
Lynis
Lynis est un outil d’audit de sécurité open-source qui permet de vérifier la configuration des systèmes Linux et Unix. Il effectue des audits de sécurité approfondis, en vérifiant les configurations du système, les fichiers critiques, les services réseau et bien plus encore. Lynis est un excellent complément aux CIS Benchmarks, car il fournit des audits de sécurité plus spécifiques et des recommandations sur des points techniques supplémentaires.
- Fonctionnalités : Lynis effectue des audits automatiques, génère des rapports détaillés et offre des recommandations sur la sécurité du système, les permissions des fichiers, les configurations réseau, etc.
- Utilisation : Idéal pour les administrateurs systèmes qui souhaitent obtenir une évaluation complète de l’état de sécurité de leurs serveurs, au-delà des benchmarks standards.
Exemple d’audit de sécurité avec Lynis sur un système Linux :
Chef InSpec
Chef InSpec est un framework de tests de sécurité et de conformité. Il permet de définir des règles de sécurité sous forme de code et de les exécuter sur des systèmes pour s’assurer qu’ils sont conformes aux standards définis, y compris ceux des CIS Benchmarks, PCI-DSS, ou d’autres normes de sécurité.
- Fonctionnalités : Chef InSpec permet d’écrire des règles de sécurité personnalisées qui peuvent être exécutées sur des serveurs pour vérifier la conformité. Il est particulièrement utile pour les environnements DevOps car il s’intègre facilement dans les pipelines CI/CD.
- Avantages : L’Infrastructure as Code rend la gestion de la sécurité plus flexible et réactive. Vous pouvez aussi auditer plusieurs systèmes en parallèle, générer des rapports en temps réel et corriger les écarts automatiquement.
Exemple d’utilisation de Chef InSpec pour vérifier la conformité avec les CIS Benchmarks sur un serveur Linux :
Ansible Lockdown**
Ansible Lockdown est une collection de rôles Ansible qui implémente les recommandations de sécurité des CIS Benchmarks et d’autres standards. Il permet d’automatiser l’application de ces recommandations via des scripts Ansible. Cela facilite le déploiement rapide et fiable de configurations sécurisées sur plusieurs systèmes à la fois.
- Fonctionnalités : Avec Ansible Lockdown, vous pouvez appliquer les configurations sécurisées des CIS Benchmarks en quelques minutes à l’aide d’Ansible Playbooks, tout en ayant la possibilité de personnaliser ces configurations en fonction de vos besoins.
- Avantages : L’intégration avec Ansible permet une grande flexibilité, notamment en matière de CI/CD et d’automatisation à grande échelle. Vous pouvez aussi auditer vos configurations en temps réel, corriger automatiquement les écarts et maintenir un état conforme à long terme.
Exemple d’utilisation d’un rôle Ansible Lockdown pour appliquer des recommandations CIS sur un serveur Ubuntu :
Conclusion
La sécurité des systèmes informatiques est un enjeu important pour toute organisation et les CIS Benchmarks jouent un rôle central en fournissant des recommandations claires et détaillées pour protéger les infrastructures contre les menaces courantes. Leur application permet de standardiser et de renforcer les configurations des systèmes, en limitant les failles de sécurité souvent présentes dans les paramètres par défaut des systèmes d’exploitation, des serveurs et des applications.
En appliquant les recommandations des CIS Benchmarks et en s’appuyant sur des outils d’audit adaptés, vous améliorez la sécurité de votre infrastructure tout en garantissant une conformité aux normes reconnues. Cela permet de réduire les surfaces d’attaque, de prévenir les failles courantes et d’assurer la résilience de vos systèmes face aux menaces modernes. L’adoption de ces standards est non seulement un gage de sécurité, mais aussi une preuve de professionnalisme dans la gestion et la protection de vos systèmes informatiques.