Cartographie des systèmes exposés en France
Dans le but de détecter et d’informer sur les vulnérabilités impactant les systèmes d’information en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), effectue régulièrement des « scans réseaux », à partir des adresses IP suivantes :
- 92.154.95.236
- 185.50.66.1
- 54.38.103.0
- 54.38.103.1
- 137.74.246.152
- 147.135.160.230
- 80.13.153.140
L’objectif est de réduire le nombre d’équipements susceptibles d’être exploités par des attaquants informatiques. Ainsi, ces scans réseaux permettent d’évaluer la surface d’attaque des services exposés sur Internet, de contrôler que des vulnérabilités connues n’affectent pas ces services.
Certains scans sont réalisés de façon récurrente par l’ANSSI. Ils lui permettent de disposer d’une cartographie des services proposés sur Internet, d’en mesurer les évolutions et ainsi de pouvoir identifier rapidement le niveau d’exposition face à certaines menaces. Les scans réseaux effectués par l’Agence dans le cadre de ce service visent spécifiquement les ports correspondants aux services les plus utilisés sur Internet.
Si vous ne souhaitez plus faire partie des adresses IP publiques scannées par l’ANSSI, merci d’envoyer un courriel à contact-scans_at_ssi.gouv.fr.
Service SILENE
L’ANSSI met à disposition des opérateurs réglementés et de la sphère publique une capacité de cartographie de leur surface d’exposition sur Internet au travers du service SILENE.
Ce service vise à donner de la visibilité à ces opérateurs sur leur niveau d’exposition et à les accompagner par l’application progressive de mesures adéquates pour le réduire. Il s’appuie sur l’expérience et l’expertise acquises par l’ANSSI lors des audits et s’enrichit également, au fil du temps, de l’observation des modes opératoires utilisés par les attaquants.
Campagnes de recherche et d’information de vulnérabilités
D’autres scans sont conduits ponctuellement par l’ANSSI. Ils ont pour objectifs d’identifier le niveau d’exposition à des vulnérabilités connues et de suivre la mise en œuvre des correctifs.
Ces scans peuvent, dans certains cas, donner lieu à des campagnes de prévention de systèmes vulnérables auprès des opérateurs réglementés et de la sphère publique pour lesquels l’ANSSI possède la cartographie des adresses IP publiques. Des campagnes de prévention peuvent aussi être adressées aux abonnés via les opérateurs de communication électronique dans le cadre de l’article L. 33-14 du code des postes et des communications électroniques.
Service ADS
L’ANSSI met à disposition des opérateurs réglementés et de la sphère publique une capacité d’audit des annuaires Active Directory (et Samba) au travers du service ADS (Active Directory Security).
Cette capacité vise à donner de la visibilité aux opérateurs réglementés et de la sphère publique sur le niveau de sécurité de leur annuaire et à les accompagner dans son durcissement par l’application progressive de mesures adéquates. Cette prestation s’appuie sur l’expérience et l’expertise de l’ANSSI sur les sujets d’Active Directory (AD) et s’est enrichie par sa participation aux différentes opérations de cyberdéfense.
Le service ADS permet ainsi à la fois de quantifier le niveau de sécurité de l’annuaire et d’accompagner progressivement les bénéficiaires vers un niveau de sécurité à l’état de l’art.
Par ailleurs, l’ANSSI a développé et met à disposition un recueil de points de contrôle Active Directory, afin d’accompagner les chaines DSI et SSI dans le suivi du niveau de sécurité des annuaires.
À ce jour, l’ANSSI constate une nette amélioration du niveau de sécurité des annuaires des bénéficiaires ayant souscrit à ADS dans la mesure où ce service permet un suivi régulier et continu du niveau de sécurité tout en contrôlant la bonne application dans le temps des recommandations.
Signalement d’incident
L’ANSSI relaie également les notifications d’incidents qui lui sont communiquées auprès des entités françaises ou ayant une implantation notable en France. Ces signalements font l’objet d’une qualification préalable en fonction de la source et de la nature de l’incident afin de limiter les signalements inopportuns. Voir les modalités de ces signalements et les moyens de les faciliter.
Vous pouvez également solliciter le CERT-FR pour que nous relayons anonymement des incidents ou situations anormales en SSI auprès des entités concernées. Ce relais anonyme est encadré par l’article L2321-4 du Code de la Défense.
Signalement de vulnérabilité significative ou d’incident affectant significativement un produit (Art L. 2321-4-1 du code de la défense)
Les éditeurs ayant identifié ou ayant été informés d'une vulnérabilité significative dans un de leurs logiciels, ou ayant subi un incident compromettant la sécurité de leur système d’information et susceptible d’affecter significativement un de leurs produits, sont potentiellement concernés par l’obligation de signaler cette vulnérabilité ou cet incident à l’ANSSI aux termes de l’article L. 2321-4-1 du code de la défense. Plus d’information sur les démarches à effectuer sur cette page.Service de supervision de sécurité
En qualité d’autorité nationale en matière de sécurité des systèmes d’information, l’ANSSI opère un service de supervision de sécurité (SOC) dans le but de repérer les attaques ciblant les systèmes numériques d’intérêt pour l’Etat.
Ce service est réservé à la sphère publique, et plus particulièrement aux administrations centrales. A cet effet, l’ANSSI conçoit des dispositifs techniques de détection et assure leur déploiement dans les systèmes d’information de ses bénéficiaires.
Ces dispositifs analysent différentes sources de données (réseau, système et applicatives) dans le but de repérer les symptômes d’une activité malveillante. Une équipe d’analystes mène les investigations complémentaires que nécessite l’examen des alertes, afin notamment d’écarter les faux positifs, d’évaluer la sévérité des cas d’attaques avérés, puis d’émettre des recommandations à la victime ou de solliciter l’intervention de l’équipe de réponse à incident de l’ANSSI.