Sécuriser Wifi entreprise

[job31]

Bonjour messieurs, mesdames, indiférenciés,

Dans le cadre de la mise en conformité RGPD de mon établissement, je me penche sur la sécurité de nos données.
Nous stockons sur un serveur interne (win serveur) tous nos documents.
Notre réseau est accessible via wifi en wpa2.
Ce qui m'inquiète c'est que le WPA2 ça dure deux minutes avec les RTX 3080....

Qu'en pensez-vous ?

 

[Storos]

De tout évidence, vous avez un problème de sécurité d'accès. Mais au-delà de la connexion wifi, il faudrait également savoir:
- si l'accès aux données est protégé par une politique d edroits stricte
- si vous avez en place une authentification forte
- si les données sont stockées chiffrées

Et comme il s'agit de RGPD, il faut bien faire la différence entre les données personnelles et les autres...

Maintenant, il s'agit d'un établissement de santé? Parce que si c'est le cas, il pourrait s'agir de données de santé (en se référant à la définition assez large qu'en donne la CNIL). Et si c'est le cas, votre SI respecte peut-être déjà les recommandations de la PGSSI-S (politique générale de sécurité des SI de Santé).

Et s'agit-il d'un établissement privé? ou affilié à un organisme dépendant de l'Etat? Parce que dans ce cas, c'est aussi la PSSI-MCAS qui va s'appliquer.

Le cochon est dans son élément... GRUIK!!!

 

[magellan]

De tout évidence, vous avez un problème de sécurité d'accès. Mais au-delà de la connexion wifi, il faudrait également savoir:
- si l'accès aux données est protégé par une politique d edroits stricte
- si vous avez en place une authentification forte
- si les données sont stockées chiffrées

Et comme il s'agit de RGPD, il faut bien faire la différence entre les données personnelles et les autres...

Maintenant, il s'agit d'un établissement de santé? Parce que si c'est le cas, il pourrait s'agir de données de santé (en se référant à la définition assez large qu'en donne la CNIL). Et si c'est le cas, votre SI respecte peut-être déjà les recommandations de la PGSSI-S (politique générale de sécurité des SI de Santé).

Et s'agit-il d'un établissement privé? ou affilié à un organisme dépendant de l'Etat? Parce que dans ce cas, c'est aussi la PSSI-MCAS qui va s'appliquer.

Le cochon est dans son élément... GRUIK!!!

Et j'irais plus loin encore: l'infrastructure générale!
- Le Wifi permet-il de connecter des postes pros ET des postes de patients? Si oui... Grosse boulette de sécurité de base. Il faut faire en sorte que deux réseaux distincts (si possible un "invisible" pour les pros) soient disponibles et rendre imperméables les deux domaines.
- Est-ce que ce Wifi a une régulation de débit? Pourquoi la bande passante sortante serait saturée par des gens matant netflix, là où ce même besoin peut être dédié à l'imagerie médicale par exemple?

@Storos a raison de préciser et d'insister lourdement sur les problèmes de stockage de la donnée et sur la distinction donnée privée... parce que là, cela doit se réfléchir lourdement et pas sur un coin de nappe.

 

[job31]

Tout d'abord merci pour vos réponses, je vous kiffe.

Oui c'est un établissement de santé, un EHPAD, public.
Il n'y a pas de SI, la mise en place du réseau et sa maintenance se fait par une société externe, à savoir

Vous devez être connecté pour voir les liens.

Les données sont d'ordre administratives, de santé et personnelles.

Le wif résident est un réseau à part, il doit y avoir un VLAN.
Le débit résident est limité oui.

Ma crainte c'est l'accès au réseau administratif facilement et le crackage de notre serveur.

Pour la connexion au logiciel interne il y'a un mot de passe, mais il n'y a pas d'obligation de complexité (le mien ici est du genre abcd), voici un screen de la connexion au soft :

Vous devez être connecté pour voir les liens.

PS : les postes connectés au réseau sont sous win 10 à jour. A rajouter les outils perso sous Android...

 

[slide95]

L'idée directrice de la directive RGPD c'est de s'assurer qu'on met les moyens pour éviter les fuites évitables, donc :

• Accès aux données personnelles aux seules personnes habilitées, ce qui signifie de facto sécurisation des stockages de ces données,
• Niveau de confidentialité du personnel en phase avec l'autorisation de manipuler les données personnelles (pas besoin d'engagement de confidentialité pour quelqu'un qui n'a pas accès aux données personnelles),
• Manipulation de données anonymisées ou pseudonymisées si le caractère personnel n'est pas nécesaire.

Faut penser aussi que les salariés n'aillent pas mettre des données personnelles sur un partage non géré parce que ça leur facilite la vie, ça m'a valu une lettre de la part de l'AP-HP expliquant que des données me concernant (résultats négatifs de tests COVID, donc rien de grave) avaient fuité...

Ceci pour dire qu'il y a la technique, mais les RH ont aussi leur grain de sel à ajouter ;-)

 

[job31]

ça c'est géré, rien ne sort du logiciel et les accès aux données sont par palier, franchement je suis suis pas inquiet, je fais tout bien, analyse d'impact, registre, information signées, consentement signé, entreprises tierces conforme rgpd, là où on pèche c'est sur la sécurité réseau :/

 

[magellan]

Tout d'abord merci pour vos réponses, je vous kiffe.

Oui c'est un établissement de santé, un EHPAD, public.
Il n'y a pas de SI, la mise en place du réseau et sa maintenance se fait par une société externe, à savoir

Vous devez être connecté pour voir les liens.

Les données sont d'ordre administratives, de santé et personnelles.

Le wif résident est un réseau à part, il doit y avoir un VLAN.
Le débit résident est limité oui.

Ma crainte c'est l'accès au réseau administratif facilement et le crackage de notre serveur.

Pour la connexion au logiciel interne il y'a un mot de passe, mais il n'y a pas d'obligation de complexité (le mien ici est du genre abcd), voici un screen de la connexion au soft :

Vous devez être connecté pour voir les liens.

PS : les postes connectés au réseau sont sous win 10 à jour. A rajouter les outils perso sous Android...

Alors:
Le crack du wifi... moui pourquoi pas. Déjà, si l'on veut le sécuriser, on peut tout à fait filtrer les machines autorisées par adresse MAC, ou compléter via un VPN avec identification complémentaire.

Par contre votre portail là,... du pur http et/ou certificats périmés. Là ça craint déjà un peu plus, car cela veut dire que tout passe en clair dans le réseau. Pour l'authentification forte? Vaste blague: si le site ne gère pas un nombre d'essais et / ou une double authentification, une bonne vieille brute force peut faire le boulot... à condition d'avoir déjà une idée de l'id de connexion. Si les mdp sont faibles, c'est une chose.

Autre aspect: vu que cela semble distingué, ce qui m'inquièterait beaucoup plus ce sont les partages "sauvages" faits sur les dossiers dans le réseau. Je présume qu'ils sont tous (en principe) autorisés via des profils et donc nécessitant une authentification.

 

[job31]

Tout passe par l'appli, les gens n'ont pas accès aux dossiers

 

[magellan]

Tout passe par l'appli, les gens n'ont pas accès aux dossiers

Alors c'est relativement bien sécurisé excepté le manque de https ...

 

[AccroPC2]

Hello,

Le principe même de la sécurité est que tout ce qui n'est pas absolument nécessaire est interdit. Les postes qui se connectent sur ton wifi devrait arriver sur un vlan avec un firewall qui filtre tous les accès. Si les postes n'ont besoin que d'accéder à ton logiciel, seule cette url devrait être autorisée.

Idéalement la connexion au wifi devrait être gérée soit par ton AD soit par certificat, la solution de la Mac est bonne mais à mon avis un peu trop contraignante.

Bye

 

[magellan]

Hello,

Le principe même de la sécurité est que tout ce qui n'est pas absolument nécessaire est interdit. Les postes qui se connectent sur ton wifi devrait arriver sur un vlan avec un firewall qui filtre tous les accès. Si les postes n'ont besoin que d'accéder à ton logiciel, seule cette url devrait être autorisée.

Idéalement la connexion au wifi devrait être gérée soit par ton AD soit par certificat, la solution de la Mac est bonne mais à mon avis un peu trop contraignante.

Bye

Oui je confirme. De là ça dépend essentiellement du niveau de sécurité visé. Perso vue ma clientèle, l'adresse MAC est LA solution pour s'assurer que seules (en principe) les machines autorisées apparaissent sur le réseau, et ce doublé d'une identification par AD.

 

[Storos]

Je ne peux que plussé... Les accès doivent être gérés en liste blanche, c'est le B.A BA de la sécurité.

Seules les machines/médias enregistrés et autorisés spécifiquement doivent avoir accès au réseau. Le check de l'adresse MAC est un bon conseil: ce n'est pas sûr à 100% mais c'est déjà pas mal.

 

[SergioVE]

Sans vouloir jouer les trouble-fêtes, mon point de vue est que wifi en entreprise, c'est un oxymore...

 

[job31]

Mon soucis c'est que il va falloir mettre une partie du budget là dessus, pour un risque de piratage minime.
Je vais toutefois le notifier dans mon document.
Fun fact : il n'en est pas du tout question dans le logiciel d'aide au PIA de la CNIL

 

[job31]

en tout cas merci, tout cela m'aide beaucoup.

 

[slide95]

Hello,

Le principe même de la sécurité est que tout ce qui n'est pas absolument nécessaire est interdit. Les postes qui se connectent sur ton wifi devrait arriver sur un vlan avec un firewall qui filtre tous les accès. Si les postes n'ont besoin que d'accéder à ton logiciel, seule cette url devrait être autorisée.

Idéalement la connexion au wifi devrait être gérée soit par ton AD soit par certificat, la solution de la Mac est bonne mais à mon avis un peu trop contraignante.

Bye

Je pousserais l'approche par certificat, plus standard que l'utilisation d'un LDAP propriétaire. Même si in fine ça revient à peu près au même.

 

[magellan]

Sans vouloir jouer les trouble-fêtes, mon point de vue est que wifi en entreprise, c'est un oxymore...

Oui... mais non, cela dépend des conditions locales, ainsi que des besoins. Le Wifi d'entreprise peut faire sens pour la mobilité des machines, le manque de structures (style entrepôt par exemple où tirer du RJ partout est illusoire).

De là, quand on est en Wifi, il faut nécessairement raisonner de manière plus stricte la sécurité que pour tout autre mode de fonctionnement. En interne, réseau invisible, enregistrement obligatoire sur AD, mots de passe forts, et même filtres sur adresse MAC pour certains tronçons du réseau.

 

[magellan]

Je pousserais l'approche par certificat, plus standard que l'utilisation d'un LDAP propriétaire. Même si in fine ça revient à peu près au même.

La différence fondamentale est que la gestion de certificat peut poser des soucis sur la génération des certificats et le suivi de révocation, là où révoquer un utilisateur sur AD est autrement plus simple et immédiat.
Par contre le certificat rend l'intrusion par vol d'identité hautement improbable face à l'AD qui, si l'on a l'utilisateur et le MDP, c'est la fête à neuneu.

EDIT: et en cas de vol de la machine, se connecter (après verrouillage de session) est bien plus délicat que sur une machine non verrouillée où le certificat fait le job de connexion. Mais là c'est mon côté parano qui ressort, plus qu'une vraie explication crédible.

 

[job31]

Du coup la mise en place de certificats doit être simple depuis windows server ?
Concrètement commet ça se passe ?

 

[Storos]

Du coup la mise en place de certificats doit être simple depuis windows server ?
Concrètement commet ça se passe ?

La gestion des certificats peut tout à fait se faire à partir de Windows Server. en fait, il existe même un module "autorité de certification" intégré à l'AD ( ADCS : Active Directory Certificate Services) mais qui (de mémoire) n'est pas installé par défaut.