9.1. LPM

9.1.1. Rappels réglementaires

Quelques rappels sur les grands principes de la LPM française :

  • Loi de Programmation Militaire (loi n°2013-1168 du 18 décembre 2013)

  • Article 22 : mise en application supervisée par l'ANSSI auprès des OIV

    • Imposer des mesures de sécurité,

    • Imposer des contrôles sur les systèmes d'information les plus critiques

    • Rendre obligatoire la déclaration des incidents constatés par les OIV sur leurs systèmes d'information

  • Article L. 1332-6-1 du Code de la Défense modifié par LOI n°2015-917 du 28 juillet 2015 - art. 27

    • Instaurer des mesures organisationnelles et techniques

    • Définir des modalités d'identification et de notification des incidents de sécurité affectant les SIIV

9.1.2. Rappels des objectifs

Les objectifs sont de :

  • protéger les infrastructures vitales nationales contre les attaques informatiques,

  • réduire l'exposition aux risques et

  • optimiser la qualité des services fournis par les organisations.

9.1.3. Rappels des exigences

Des exigences pour les OIV et les acteurs PDIS sont à prendre en compte sur les équipements :

  • mettre en place une politique de sécurité des systèmes d'information

  • conduire une homologation de sécurité

  • communiquer les éléments sur le SIIV mis en place par l'opérateur à l'ANSSI

  • observer les alertes de sécurité et réagir à celles-ci.

  • limiter les accès

  • cloisonner les réseaux

  • sélectionner les technologies qualifiées

../_images/ANSSI.png

9.1.4. LPM appliquée au GCenter

Note

Quelque soit le mode, la solution TRACKWATCH intègre les améliorations de GRSECURITY, dont PaX, permettant ainsi de réduire la surface d'attaque y compris au niveau du noyau.

Sont présentés ici les points de configuration spécifiques qui permettent à la solution TRACKWATCH d'être en conformité avec la Loi de Programmation Militaire.
Bien qu'un certain nombre d'actions soient effectuées automatiquement lors du passage en mode LPM, l'administrateur devra personnaliser et modifier certains des paramètres manuellement :

  • AD/LDAP action manuelle requise

  • Port USB action automatique

  • Mise à jour en mode "Hors-Ligne" action manuelle requise

  • Séparation des interfaces action manuelle requise

  • Intégration du certificat action manuelle requise

  • iDRAC Désactivé action manuelle requise

  • Les groupes action manuelle requise

9.1.4.1. Actions automatiques

9.1.4.1.1. Port USB

L’accès via les ports USB peut comporter des risques.
Lorsque la solution est en mode LPM, les ports USB se désactivent automatiquement.
La désactivation des ports USB se fait automatiquement après le passage en mode LPM depuis le menu de configuration des paramètres du profil setup.
Si un périphérique USB est déjà branché, le port utilisé ne se désactivera qu’après avoir déconnecté les supports présents.
Pour que celui-ci soit de nouveau pris en charge, il faudra redémarrer le GCenter en rebranchant le périphérique avant le démarrage.

Note

Cette mesure limite l'accès au TTY de l'appliance.

9.1.4.2. Actions manuelles

La liste des actions ci-dessous sont à effectuer par un administrateur.

9.1.4.2.1. Pas de connexion entre GCenter et un LDAP

Dans le cadre d'un SI soumis à la LPM, il y a certaines contraintes, notamment sur le fait que le GCenter ne soit pas connecté avec un Active Directory ou un LDAP.
Il est nécessaire de vérifier que c'est bien le cas.
Pour cela il faut se rendre dans la section Admin de l'interface graphique Web UI du GCenter puis cliquer successivement sur le menu `GCenter` puis sur la commande `Accounts` et enfin sur la partie `LDAP configuration`.
../_images/GCE103_LDAP-01.PNG
Dans la zone `LDAP authentication settings` (2) :

  • Utiliser le sélecteur `Enable` (2) pour désactiver la fonction.

  • Cliquer sur le bouton `Save changes`.
    Cette modification provoquera un redémarrage de l'application et donc une coupure de connexion à la page des utilisateurs.
    Une fois que l'administrateur a cliqué sur sur le bouton `Confirm`, il sera nécessaire de se reconnecter à l'interface.

9.1.4.2.2. Désactivation de l'interface console de prise en main à distance

L'interface console de prise en main à distance se fait via une connexion réseau spécifique.
Cette interface de connexion est nommée iDRAC chez Dell (ou TSM chez Lenovo).
Il est préconisé selon l'ANSSI de désactiver cette interface pour des raisons de sécurité.
Sous certaines conditions, elle peut néanmoins être réactivée par l'administrateur pour faciliter la maintenance.

9.1.4.2.3. Séparation des interfaces réseaux

Dans le cadre d'un SI soumis à la LPM, le GCenter doit avoir une configuration spéciale de ses interfaces réseaux.
En effet afin de garantir cette conformité et un bon niveau de sécurité, le flux de management et celui de l'interconnexion avec le Gcap, doivent être sur deux interfaces différentes respectivement [MGMT0] et [VPN0].
Cette modification n'est pas effective automatiquement après l'activation du mode LPM, même si les câbles réseau sont correctement branchés.
C'est justement depuis l'interface SETUP que l'administrateur peut effectuer la modification et rajouter manuellement une nouvelle adresse IP pour l'interface [VPN0].
Seules les interfaces [MGMT0] et [VPN0] sont impactées. Se référer au document de paramétrage du setup afin de procéder au changement.
Le détail des flux dans ce mode est décrit dans la section Interconnexion entre équipements.
Pour encore plus de sécurité, l'envoi des logs vers un SIEM dans une zone d'exploitation peut se faire donc au travers d'une interface dédiée en séparant l'interface de management (administrateur) de l'interface d'export des logs (opérateur).

9.1.4.2.4. Mise à jour en mode "Hors-Ligne"

Pour que la solution puisse rentrer dans le cadre de la Loi de Programmation Militaire, les mises à jour des signatures doivent se faire en mode Manuel ou Local.
Il y a donc deux possibilités:

  • soit depuis l'interface Web du GCenter, (voir la section Mise à jour Locale). Cela correspond à une mise à jour manuelle.

  • soit via un emplacement sur le réseau, déconnecté d'internet, (voir la section Mise à jour manuelle). Cela correspond donc à une mise à jour Local

9.1.4.2.5. Intégration du certificat

Afin de respecter les exigences particulières concernant l'utilisation de mécanismes cryptographiques, GATEWATCHER conseille de se référer aux documents écrits par l'ANSSI.
La Loi de Programmation Militaire impose des règles et des recommandations concernant la gestion des clés utilisées, les mécanismes d'authentification, le choix et le dimensionnement des mécanismes cryptographiques.
Tous ces prérequis sont disponibles dans le RGS Référentiel Général de Sécurité (RGS B1, RGS B2 et RGS B3) de l'ANSSI.

9.1.5. Les groupes

Afin de respecter la séparation des rôles sur le GCenter, des groupes par défaut sont déjà créés afin de faciliter la gestion des utilisateurs :

  • le groupe operator,

  • le groupe administrator

Un utilisateur est donc membre de l'un ou des deux groupes.
La gestion des profils se fait depuis la Ecran `Users management`.

9.1.5.1. Mission d'un membre du groupe operator

Un membre du groupe operator a pour mission :

  • Consultation des tableaux de bord synthétiques via l'interface Web UI montrant les informations sur le système surveillé

    • tableau de bord principal (Home) pour afficher de façon synthétiques les alarmes classés par niveau de risques

    • tableau de bord pour afficher la cartographie du réseau. Celle-ci montre les relations entre les éléments présents sur le réseau

    • tableaux de bord pour afficher les alarmes classées par critère (Users, Assets, Alerts) ou par type de risques (Overview)

  • Consultation des tableaux de bord détaillés via l'interface Kibana montrant les informations sur les données présentes dans les tableaux de bord d’événements de détection.

  • Gestion de son propre compte

    • Modification du mot de passe du compte courant

    • Modification de certaines informations de l'utilisateur courant

  • Configuration du moteur Sigflow

    • Gestion des sources de règles du moteur SIGFLOW

    • Création d'un ruleset du moteur SIGFLOW

    • Modification de règles du moteur SIGFLOW

    • Génération des rulesets du moteur SIGFLOW

  • Configuration du GCap depuis le GCenter à partir des Profils GCaps.

    • Détection ruleset

    • Base variables

    • Net variables

    • File rule management

    • Packet filters

9.1.5.2. Mission d'un membre du groupe administrator

Un membre du groupe administrator a pour mission :

  • Configuration du NDR , par exemple :

    • les alertes affichées dans le tableau de bord Alerts

    • les équipements affichés dans le tableau de bord Assets

    • les utilisateurs affichés dans le tableau de bord Users

  • Administration d'un GCap, par exemple :

    • appairer un GCap au GCenter

    • re-appairer un GCap

  • Gestion de la sauvegarde restauration du GCenter, par exemple :

    • configuration de la sauvegarde

    • sauvegarde

    • restauration

  • Gestion du logiciel GCenter

    • Configuration de la mise à jour automatique des signatures et/ou des moteurs anti-viraux (update)

    • Installation manuelle d'une mise à jour

    • Installation d'un correctif (hotfix)

    • Installation d'une mise à niveau (upgrade)

  • Administration du GCenter

    • Export des données vers un SIEM via le protocole syslog

    • Export des données vers l'ETL Logstash via le protocole syslog

    • Création rapide d'un POC Logstash

    • Configuration de la connexion au MISP

    • Suppression des données (fichiers de logs)

    • Génération et téléchargement des fichiers pour le diagnostic

    • Utilisation d'un endpoint API

    • Modification de la licence

    • Configuration globale du GCenter

  • Gestion des comptes utilisateur

    • Création d'un utilisateur local

    • Modification de certaines informations d'un utilisateur local

    • Réinitialisation du mot de passe d'un utilisateur local

    • Suppression d'un utilisateur local

    • Affichage de l'état de connexion entre le GCenter et le serveur LDAP

    • Activation de la connexion entre le GCenter et le serveur LDAP

    • Paramétrage de la connexion entre le GCenter et le serveur LDAP

    • Configuration des utilisateurs et groupes définis sur LDAP / ActiveDirectory

    • Visualisation de l'historique des authentifications

    • Configuration de l'historique des authentifications

    • Gestion d'un token d'accès d'un API

    • Gestion de la politique des mots de passe

  • Configuration des moteurs de détection

    • Réglage du moteur Malcore

    • Gestion de la liste des fichiers ignorés du moteur Malcore

    • Réglage du moteur Malcore retroanalyzer

    • Réglage du moteur Yara

    • Activation et configuration du moteur Dga detect

    • Gestion de la liste Ignore list du moteur Dga detect

    • Réglage du moteur Malicious Powershell detect

    • Réglage du moteur Shellcode detect

    • Réglage du moteur Active CTI

    • Configuration du moteur Retro Hunt

    • Configuration du moteur Ransomware detect

    • Gestion de la Ignore list du moteur Ransomware detect

    • Configuration du moteur beacon detect

    • Gestion de la liste des destinations ignorés du moteur beacon detect

  • Gestion de l’utilisateur actuel

    • Modification du mot de passe du compte courant

    • Modification de certaines informations de l’utilisateur actuel

  • Gestion de Netdata

    • Configuration de l'interface Netdata polling

    • Configuration de l'interface Netdata export

    • Configuration d'un serveur Netdata

    • Utilisation d'un serveur Netdata