9.1. LPM

9.1.1. Rappels réglementaires

Quelques rappels sur les grands principes de la LPM française :

  • Loi de Programmation Militaire (loi n°2013-1168 du 18 décembre 2013)

  • Article 22 : mise en application supervisée par l'ANSSI auprès des OIV

    • Imposer des mesures de sécurité,

    • Imposer des contrôles sur les systèmes d'information les plus critiques

    • Rendre obligatoire la déclaration des incidents constatés par les OIV sur leurs systèmes d'information

  • Article L. 1332-6-1 du Code de la Défense modifié par LOI n°2015-917 du 28 juillet 2015 - art. 27

    • Instaurer des mesures organisationnelles et techniques

    • Définir des modalités d'identification et de notification des incidents de sécurité affectant les SIIV

9.1.2. Rappels des objectifs

Les objectifs sont de :

  • protéger les infrastructures vitales nationales contre les attaques informatiques,

  • réduire l'exposition aux risques et

  • optimiser la qualité des services fournis par les organisations.

9.1.3. Rappels des exigences

Des exigences pour les OIV et les acteurs PDIS sont à prendre en compte sur les équipements :

  • mettre en place une politique de sécurité des systèmes d'information

  • conduire une homologation de sécurité

  • communiquer les éléments sur le SIIV mis en place par l'opérateur à l'ANSSI

  • observer les alertes de sécurité et réagir à celles-ci.

  • limiter les accès

  • cloisonner les réseaux

  • sélectionner les technologies qualifiées

../_images/ANSSI.png

9.1.4. LPM appliquée au GCenter

Note

Quelque soit le mode, la solution TRACKWATCH intègre les améliorations de GRSECURITY, dont PaX, permettant ainsi de réduire la surface d'attaque y compris au niveau du noyau.

Sont présentés ici les points de configuration spécifiques qui permettent à la solution TRACKWATCH d'être en conformité avec la Loi de Programmation Militaire.
Bien qu'un certain nombre d'actions soient effectuées automatiquement lors du passage en mode LPM, l'administrateur devra personnaliser et modifier certains des paramètres manuellement :

  • AD/LDAP action manuelle requise

  • Port USB action automatique

  • Mise à jour en mode "Hors-Ligne" action manuelle requise

  • Séparation des interfaces action manuelle requise

  • Intégration du certificat action manuelle requise

  • iDRAC Désactivé action manuelle requise

  • Les groupes action manuelle requise

9.1.4.1. Actions automatiques

9.1.4.1.1. Port USB

L’accès via les ports USB peut comporter des risques.
Lorsque la solution est en mode LPM, les ports USB se désactivent automatiquement.
La désactivation des ports USB se fait automatiquement après le passage en mode LPM depuis le menu de configuration des paramètres du profil setup.
Si un périphérique USB est déjà branché, le port utilisé ne se désactivera qu’après avoir déconnecté les supports présents.
Pour que celui-ci soit de nouveau pris en charge, il faudra redémarrer le GCenter en rebranchant le périphérique avant le démarrage.

Note

Cette mesure limite l'accès au TTY de l'appliance.

9.1.4.2. Actions manuelles

La liste des actions ci-dessous sont à effectuer par un administrateur.

9.1.4.2.1. Pas de connexion entre GCenter et AD LDAP

Dans le cadre d'un SI soumis à la LPM, il y a certaines contraintes, notamment sur le fait que le GCenter ne soit pas connecté avec un Active Directory ou un LDAP.
Il est nécessaire de vérifier que c'est bien le cas.
Pour cela il faut se rendre dans la section Admin de l'interface graphique Web UI du GCenter puis cliquer successivement sur le menu `GCenter` puis sur la commande `Accounts` et enfin sur la partie `LDAP configuration`.
../_images/LDAP-01.PNG
Dans la zone `LDAP authentication settings` (2) :

  • désélectionner le choix `Enable LDAP authentication` puis

  • cliquer sur le bouton `Save and apply` pour prendre en compte la modification.

Cette modification provoquera un redémarrage de l'application et donc une coupure de connexion à la page des utilisateurs.
Une fois que l'administrateur a cliqué sur sur le bouton `Confirm`, il sera nécessaire de se reconnecter à l'interface.
Après cette manipulation et reconnexion au GCenter, un bandeau vert est visible et indique la validation de la modification.
La partie `LDAP interconnection status` indique que le GCenter est à présent déconnecté de l'Active Directory ou du LDAP.

9.1.4.2.2. Désactivation de l'interface console de prise en main à distance

L'interface console de prise en main à distance se fait via une connexion réseau spécifique.
Cette interface de connexion est nommée iDRAC chez Dell (ou TSM chez Lenovo).
Il est préconisé selon l'ANSSI de désactiver cette interface pour des raisons de sécurité.
Sous certaines conditions, elle peut néanmoins être réactivée par l'administrateur pour faciliter la maintenance.

9.1.4.2.3. Séparation des interfaces réseaux

Dans le cadre d'un SI soumis à la LPM, le GCenter doit avoir une configuration spéciale de ses interfaces réseaux.
En effet afin de garantir cette conformité et un bon niveau de sécurité, le flux de management et celui de l'interconnexion avec le Gcap, doivent être sur deux interfaces différentes respectivement [MGMT0] et [VPN0].
Cette modification n'est pas effective automatiquement après l'activation du mode LPM, même si les câbles réseau sont correctement branchés.
C'est justement depuis l'interface SETUP que l'administrateur peut effectuer la modification et rajouter manuellement une nouvelle adresse IP pour l'interface [VPN0].
Seules les interfaces [MGMT0] et [VPN0] sont impactées. Se référer au document de paramétrage du setup afin de procéder au changement.
Le détail des flux dans ce mode est décrit dans la section Interconnexion entre équipements.
Pour encore plus de sécurité, l'envoi des logs vers un SIEM dans une zone d'exploitation peut se faire donc au travers d'une interface dédiée en séparant l'interface de management (administrateur) de l'interface d'export des logs (opérateur).

9.1.4.2.4. Mise à jour en mode "Hors-Ligne"

Pour que la solution puisse rentrer dans le cadre de la Loi de Programmation Militaire, les mises à jour des signatures doivent se faire en mode Manuel ou Local.
Il y a donc deux possibilités:

  • soit depuis l'interface Web du GCenter, (voir la section Mise à jour Locale). Cela correspond à une mise à jour manuelle.

  • soit via un emplacement sur le réseau, déconnecté d'internet, (voir la section Mise à jour Manuelle). Cela correspond donc à une mise à jour Local

9.1.4.2.5. Intégration du certificat

Afin de respecter les exigences particulières concernant l'utilisation de mécanismes cryptographiques, GATEWATCHER conseille de se référer aux documents écrits par l'ANSSI.
La Loi de Programmation Militaire impose des règles et des recommandations concernant la gestion des clés utilisées, les mécanismes d'authentification, le choix et le dimensionnement des mécanismes cryptographiques.
Tous ces prérequis sont disponibles dans le RGS Référentiel Général de Sécurité (RGS B1, RGS B2 et RGS B3) de l'ANSSI.

La section (voir Partie `SSL settings`) indique comment ajouter votre propre configuration SSL.

9.1.5. Les groupes

Afin de respecter la séparation des rôles sur le GCenter, des groupes par défaut sont déjà créés afin de faciliter la gestion des utilisateurs :

  • le groupe operator,

  • le groupe administrator

Un utilisateur est donc membre de l'un ou des deux groupes.
La gestion des profils se fait depuis la Ecran `Admin-GCenter- Accounts` de la legacy web UI

9.1.5.1. Mission d'un membre du groupe operator

Un membre du groupe operator a pour mission :

  • Consultation des tableaux de bord synthétiques via l'interface WEB UI montrant les informations sur le système surveillé

    • tableau de bord principal (Home) pour afficher de façon synthétiques les alarmes classés par niveau de risques

    • tableau de bord pour afficher la cartographie du réseau. Celle-ci montre les relations entre les éléments présents sur le réseau

    • tableaux de bord pour afficher les alarmes classées par critère (Users, Assets, Alerts) ou par type de risques (Overview)

  • Consultation des tableaux de bord détaillés via l'interface Kibana montrant les informations sur les données présentes dans les tableaux de bord d’événements de détection.

  • Gestion de son propre compte

    • Modification du mot de passe du compte courant

    • Modification de certaines informations de l'utilisateur courant

  • Configuration du moteur Sigflow

    • Gestion des sources de règles du moteur SIGFLOW

    • Création d'un ruleset du moteur SIGFLOW

    • Modification de règles du moteur SIGFLOW

    • Génération des rulesets du moteur SIGFLOW

  • Configuration du GCap depuis le GCenter à partir des Profils GCaps.

    • Détection ruleset

    • Base variables

    • Net variables

    • File rule management

    • Packet filters

9.1.5.2. Mission d'un membre du groupe administrator

Un membre du groupe administrator a pour mission :

  • Configuration du NDR , par exemple :

    • les alertes affichées dans le tableau de bord Alerts

    • les équipements affichés dans le tableau de bord Assets

    • les utilisateurs affichés dans le tableau de bord Users

  • Administration d'un GCap, par exemple :

    • appairer un GCap au GCenter

    • re-appairer un GCap

    • changer le profil par défaut ou personnaliser le profil existant

    • supprimer un GCap connecté au GCenter

  • Gestion de la sauvegarde restauration du GCenter, par exemple :

    • configuration de la sauvegarde

    • sauvegarde

    • restauration

  • Gestion du logiciel GCenter

    • Mise à jour des signatures

    • Installation d'un hotfix

    • Mise à jour logiciel

  • Administration du GCenter

    • Export des données (fichiers de logs)

    • Suppression des données (fichiers de logs)

    • Génération et téléchargement des fichiers pour le diagnostic

  • Gestion des comptes utilisateur

    • Création d'un utilisateur local

    • Modification de certaines informations d'un utilisateur local

    • Réinitialisation du mot de passe d'un utilisateur local

    • Suppression d'un utilisateur local

    • Affichage de l'état de connexion entre le GCenter et le serveur LDAP

    • Activation de la connexion entre le GCenter et le serveur LDAP

    • Paramétrage de la connexion entre le GCenter et le serveur LDAP

    • Configuration des utilisateurs et groupes définis sur LDAP / ActiveDirectory

    • Visualisation de l'historique des authentifications

    • Visualisation de l'historique des créations ou suppressions des utilisateurs

    • Visualisation de l'historique de toutes les modifications des droits des utilisateurs

    • Ajout d'un token d'accès d'un API

    • Gestion de la politique des mots de passe

  • Configuration des moteurs de détection

    • Réglage de GBox et des moteurs Malcore et Retroact

    • Gestion des listes blanche et noire du moteur Malcore

    • Activation et configuration du moteur Machine Learning

    • Gestion des listes blanche et noire du moteur Machine Learning

  • Configuration du GCenter

    • Affichage des informations (nom du GCenter, version du logiciel du GCenter, caractéristiques de l'adresse IP de l'interface mgmt0)

    • Génération d'un rapport texte de l'état du GCenter ("Tech Support")

    • Changement de la langue du clavier (choix US ou FR)

    • Modification du mot de passe du compte d'accès setup

    • Modification de la date et heure du GCenter

    • Visualisation et de modification des paramètres réseau du GCenter

    • Gestion de la table ARP et de son cache

    • Modification de la valeur de la MTU de l'interface du tunnel IPsec (mgmt0 ou vpn0)

    • Exécution de différentes actions sur le réseau afin de valider la bonne configuration du GCenter

    • Choix du type de mise à jour voulu

    • Gestion des services et applications du GCenter (démarrer, réinitialiser, redémarrer)

    • Modification du mode de stockage pour les alertes et les métadonnées

    • Activation / désactivation du mode LPM

    • Redémarrage / extinction du GCenter

    • Reconfiguration du GCenter dans son paramétrage d'usine