[ { "title": "GHY1-S_V01 | Former les équipes opérationnelles à la sécurité des systèmes d’information", "description": "Les équipes opérationnelles (administrateurs réseau, sécurité et système, chefs de projet, développeurs, RSSI) ont des accès privilégiés au système d’information. Elles peuvent, par inadvertance ou par méconnaissance des conséquences de certaines pratiques, réaliser des opérations génératrices de vulnérabilités. Citons par exemple l’affectation de comptes disposant de trop nombreux privilèges par rapport à la tâche à réaliser, l’utilisation de comptes personnels pour exécuter des services ou tâches périodiques, ou encore le choix de mots de passe peu robustes donnant accès à des comptes privilégiés. Les équipes opérationnelles, pour être à l’état de l’art de la sécurité des systèmes d’information, doivent donc suivre - à leur prise de poste puis à intervalles réguliers - des formations sur : la législation en vigueur, les principaux risques et menaces, le maintien en condition de sécurité, l’authentification et le contrôle d’accès, le paramétrage fin et le durcissement des systèmes, le cloisonnement réseau et la journalisation. Cette liste doit être précisée selon le métier des collaborateurs en considérant des aspects tels que l’intégration de la sécurité pour les chefs de projet, le développement sécurisé pour les développeurs, les référentiels de sécurité pour les RSSI, etc. Il est par ailleurs nécessaire de faire mention de clauses spécifiques dans les contrats de prestation pour garantir une formation régulière à la sécurité des systèmes d’information du personnel externe et notamment les infogérants", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier l'existence d'un plan de formation et de sensibilisation répondant aux différents points de l'exigence :\n- Formation à la prise de fonction ;\n- Formations à intervalles régulières ;\n- Exhaustivité des domaines couverts et pertinence des contenus:\n - Législation en vigueur\n - Principaux risques et menaces\n - Maintien en conditions de sécurité\n - Authentification et contrôle d'accès\n - Paramétrage et durcissement des systèmes,\n - Cloisonnement réseau,\n - Journalisation.", "statusLevelId": 0 }, { "title": "GHY1-S_V02 | Former les équipes opérationnelles à la sécurité des systèmes d’information", "description": "Les équipes opérationnelles (administrateurs réseau, sécurité et système, chefs de projet, développeurs, RSSI) ont des accès privilégiés au système d’information. Elles peuvent, par inadvertance ou par méconnaissance des conséquences de certaines pratiques, réaliser des opérations génératrices de vulnérabilités. Citons par exemple l’affectation de comptes disposant de trop nombreux privilèges par rapport à la tâche à réaliser, l’utilisation de comptes personnels pour exécuter des services ou tâches périodiques, ou encore le choix de mots de passe peu robustes donnant accès à des comptes privilégiés. Les équipes opérationnelles, pour être à l’état de l’art de la sécurité des systèmes d’information, doivent donc suivre - à leur prise de poste puis à intervalles réguliers - des formations sur : la législation en vigueur, les principaux risques et menaces, le maintien en condition de sécurité, l’authentification et le contrôle d’accès, le paramétrage fin et le durcissement des systèmes, le cloisonnement réseau et la journalisation. Cette liste doit être précisée selon le métier des collaborateurs en considérant des aspects tels que l’intégration de la sécurité pour les chefs de projet, le développement sécurisé pour les développeurs, les référentiels de sécurité pour les RSSI, etc. Il est par ailleurs nécessaire de faire mention de clauses spécifiques dans les contrats de prestation pour garantir une formation régulière à la sécurité des systèmes d’information du personnel externe et notamment les infogérants", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier la couverture des différents types d'intervenants opérationnels dans la fourniture du service par le plan de formation.", "statusLevelId": 0 }, { "title": "GHY1-S_V03 | Former les équipes opérationnelles à la sécurité des systèmes d’information", "description": "Les équipes opérationnelles (administrateurs réseau, sécurité et système, chefs de projet, développeurs, RSSI) ont des accès privilégiés au système d’information. Elles peuvent, par inadvertance ou par méconnaissance des conséquences de certaines pratiques, réaliser des opérations génératrices de vulnérabilités. Citons par exemple l’affectation de comptes disposant de trop nombreux privilèges par rapport à la tâche à réaliser, l’utilisation de comptes personnels pour exécuter des services ou tâches périodiques, ou encore le choix de mots de passe peu robustes donnant accès à des comptes privilégiés. Les équipes opérationnelles, pour être à l’état de l’art de la sécurité des systèmes d’information, doivent donc suivre - à leur prise de poste puis à intervalles réguliers - des formations sur : la législation en vigueur, les principaux risques et menaces, le maintien en condition de sécurité, l’authentification et le contrôle d’accès, le paramétrage fin et le durcissement des systèmes, le cloisonnement réseau et la journalisation. Cette liste doit être précisée selon le métier des collaborateurs en considérant des aspects tels que l’intégration de la sécurité pour les chefs de projet, le développement sécurisé pour les développeurs, les référentiels de sécurité pour les RSSI, etc. Il est par ailleurs nécessaire de faire mention de clauses spécifiques dans les contrats de prestation pour garantir une formation régulière à la sécurité des systèmes d’information du personnel externe et notamment les infogérants", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier la mise en œuvre effective du plan de formation.", "statusLevelId": 0 }, { "title": "GHY1-S_V04 | Former les équipes opérationnelles à la sécurité des systèmes d’information", "description": "Les équipes opérationnelles (administrateurs réseau, sécurité et système, chefs de projet, développeurs, RSSI) ont des accès privilégiés au système d’information. Elles peuvent, par inadvertance ou par méconnaissance des conséquences de certaines pratiques, réaliser des opérations génératrices de vulnérabilités. Citons par exemple l’affectation de comptes disposant de trop nombreux privilèges par rapport à la tâche à réaliser, l’utilisation de comptes personnels pour exécuter des services ou tâches périodiques, ou encore le choix de mots de passe peu robustes donnant accès à des comptes privilégiés. Les équipes opérationnelles, pour être à l’état de l’art de la sécurité des systèmes d’information, doivent donc suivre - à leur prise de poste puis à intervalles réguliers - des formations sur : la législation en vigueur, les principaux risques et menaces, le maintien en condition de sécurité, l’authentification et le contrôle d’accès, le paramétrage fin et le durcissement des systèmes, le cloisonnement réseau et la journalisation. Cette liste doit être précisée selon le métier des collaborateurs en considérant des aspects tels que l’intégration de la sécurité pour les chefs de projet, le développement sécurisé pour les développeurs, les référentiels de sécurité pour les RSSI, etc. Il est par ailleurs nécessaire de faire mention de clauses spécifiques dans les contrats de prestation pour garantir une formation régulière à la sécurité des systèmes d’information du personnel externe et notamment les infogérants", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier l'engagement contractuel du prestataire à garantir une formation régulière de ses collaborateurs. ", "statusLevelId": 0 }, { "title": "GHY2-S_V01 | Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique", "description": "Chaque utilisateur est un maillon à part entière de la chaîne des systèmes d’information. À ce titre et dès son arrivée dans l’entité, il doit être informé des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information à travers des actions de sensibilisation et de formation. Ces dernières doivent être régulières, adaptées aux utilisateurs ciblés, peuvent prendre différentes formes (courriels, affichage, réunions, espace intranet dédié, etc.) et aborder au minimum les sujets suivants : les objectifs et enjeux que rencontre l’entité en matière de sécurité des systèmes d’information, les informations considérées comme sensibles, les réglementations et obligations légales, les règles et consignes de sécurité régissant l’activité quotidienne : respect de la politique de sécurité, non-connexion d’équipements personnels au réseau de l’entité, non-divulgation de mots de passe à un tiers, non-réutilisation de mots de passe professionnels dans la sphère privée et inversement, signalement d’événements suspects, etc., les moyens disponibles et participant à la sécurité du système : verrouillage systématique de la session lorsque l’utilisateur quitte son poste, outil de protection des mots de passe, etc.", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier l'existence d'un plan de sensibilisation et de formation répondant aux différents points de l'exigence :\n- Moyens mis en œuvre permettant de couvrir l'ensemble des utilisateurs ;\n- Périodicité adaptée aux utilisateurs ciblés ;\n- Exhaustivité des sujets abordés et pertinence des contenus :\n - Objectifs et enjeux de l'entité ;\n - Informations considérées comme sensibles ;\n - Réglementations et obligations légales ;\n - Règles et consignes de sécurité régissant l'activité quotidienne ;\n - Moyens disponibles et participant à la sécurité du système.", "statusLevelId": 0 }, { "title": "GHY2-S_V02 | Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique", "description": "Chaque utilisateur est un maillon à part entière de la chaîne des systèmes d’information. À ce titre et dès son arrivée dans l’entité, il doit être informé des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information à travers des actions de sensibilisation et de formation. Ces dernières doivent être régulières, adaptées aux utilisateurs ciblés, peuvent prendre différentes formes (courriels, affichage, réunions, espace intranet dédié, etc.) et aborder au minimum les sujets suivants : les objectifs et enjeux que rencontre l’entité en matière de sécurité des systèmes d’information, les informations considérées comme sensibles, les réglementations et obligations légales, les règles et consignes de sécurité régissant l’activité quotidienne : respect de la politique de sécurité, non-connexion d’équipements personnels au réseau de l’entité, non-divulgation de mots de passe à un tiers, non-réutilisation de mots de passe professionnels dans la sphère privée et inversement, signalement d’événements suspects, etc., les moyens disponibles et participant à la sécurité du système : verrouillage systématique de la session lorsque l’utilisateur quitte son poste, outil de protection des mots de passe, etc.", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier la couverture des différents types d'utilisateurs par le plan de formation et de sensibilisation.", "statusLevelId": 0 }, { "title": "GHY2-S_V03 | Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique", "description": "Chaque utilisateur est un maillon à part entière de la chaîne des systèmes d’information. À ce titre et dès son arrivée dans l’entité, il doit être informé des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information à travers des actions de sensibilisation et de formation. Ces dernières doivent être régulières, adaptées aux utilisateurs ciblés, peuvent prendre différentes formes (courriels, affichage, réunions, espace intranet dédié, etc.) et aborder au minimum les sujets suivants : les objectifs et enjeux que rencontre l’entité en matière de sécurité des systèmes d’information, les informations considérées comme sensibles, les réglementations et obligations légales, les règles et consignes de sécurité régissant l’activité quotidienne : respect de la politique de sécurité, non-connexion d’équipements personnels au réseau de l’entité, non-divulgation de mots de passe à un tiers, non-réutilisation de mots de passe professionnels dans la sphère privée et inversement, signalement d’événements suspects, etc., les moyens disponibles et participant à la sécurité du système : verrouillage systématique de la session lorsque l’utilisateur quitte son poste, outil de protection des mots de passe, etc.", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier la mise en œuvre effective du plan de formation et de sensibilisation.", "statusLevelId": 0 }, { "title": "GHY2-R_V01 | Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique", "description": "Pour renforcer ces mesures, l’élaboration et la signature d’une charte des moyens informatiques, précisant les règles et consignes que doivent respecter les utilisateurs, peuvent être envisagées.", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier l'existence, le contenu, la mise en œuvre et l'acceptation par les utilisateurs d'une charte précisant les règles et consignes que doivent respecter les utilisateurs.", "statusLevelId": 0 }, { "title": "GHY3-S_V01 | Maîtriser les risques de l’infogérance", "description": "Lorsqu’une entité souhaite externaliser son système d’information ou ses données, elle doit en amont évaluer les risques spécifiques à l’infogérance (maîtrise du système d’information, actions à distance, hébergement mutualisé, etc.) afin de prendre en compte, dès la rédaction des exigences applicables au futur prestataire, les besoins et mesures de sécurité adaptées. Les risques SSI inhérents à ce type de démarche peuvent être liés au contexte de l’opération d’externalisation, mais aussi à des spécifications contractuelles déficientes ou incomplètes. En faveur du bon déroulement des opérations, il s’agit donc : d’étudier attentivement les conditions des offres, la possibilité de les adapter à des besoins spécifiques et les limites de responsabilité du prestataire, d’imposer une liste d’exigences précises au prestataire : réversibilité du contrat, réalisation d’audits, sauvegarde et restitution des données dans un format ouvert normalisé, maintien à niveau de la sécurité dans le temps, etc. Pour formaliser ces engagements, le prestataire fournira au commanditaire un plan d’assurance sécurité (PAS) prévu par l’appel d’offres. Il s’agit d’un document contractuel décrivant l’ensemble des dispositions spécifiques que les candidats s’engagent à mettre en œuvre pour garantir le respect des exigences de sécurité spécifiées par l’entité. Le recours à des solutions ou outils non maitrisé (par exemple hébergés dans le nuage) n’est pas ici considéré comme étant du ressort de l’infogérance et par ailleurs déconseillé en cas de traitement d’informations sensibles.", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier qu'en cas d'externalisation d'une partie du SI, les risques liés à cette externalisation (maîtrise du SI, actions à distance, hébergement mutualisé, etc..) ont été pris en compte dans l'analyse des risques.", "statusLevelId": 0 }, { "title": "GHY3-S_V02 | Maîtriser les risques de l’infogérance", "description": "Lorsqu’une entité souhaite externaliser son système d’information ou ses données, elle doit en amont évaluer les risques spécifiques à l’infogérance (maîtrise du système d’information, actions à distance, hébergement mutualisé, etc.) afin de prendre en compte, dès la rédaction des exigences applicables au futur prestataire, les besoins et mesures de sécurité adaptées. Les risques SSI inhérents à ce type de démarche peuvent être liés au contexte de l’opération d’externalisation, mais aussi à des spécifications contractuelles déficientes ou incomplètes. En faveur du bon déroulement des opérations, il s’agit donc : d’étudier attentivement les conditions des offres, la possibilité de les adapter à des besoins spécifiques et les limites de responsabilité du prestataire, d’imposer une liste d’exigences précises au prestataire : réversibilité du contrat, réalisation d’audits, sauvegarde et restitution des données dans un format ouvert normalisé, maintien à niveau de la sécurité dans le temps, etc. Pour formaliser ces engagements, le prestataire fournira au commanditaire un plan d’assurance sécurité (PAS) prévu par l’appel d’offres. Il s’agit d’un document contractuel décrivant l’ensemble des dispositions spécifiques que les candidats s’engagent à mettre en œuvre pour garantir le respect des exigences de sécurité spécifiées par l’entité. Le recours à des solutions ou outils non maitrisé (par exemple hébergés dans le nuage) n’est pas ici considéré comme étant du ressort de l’infogérance et par ailleurs déconseillé en cas de traitement d’informations sensibles.", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier que les risques identifiés font l'objet d'une étude et de spécifications contractuelles vis-à-vis des prestataires concernés et couvrant les risques identifiés :\n - Réversibilité du contrat\n - Auditabilité des prestations infogérées\n - Sauvegarde ,et restitution des données\n - Maintien à niveau de la sécurité dans le temps,\n - etc.", "statusLevelId": 0 }, { "title": "GHY3-S_V03 | Maîtriser les risques de l’infogérance", "description": "Lorsqu’une entité souhaite externaliser son système d’information ou ses données, elle doit en amont évaluer les risques spécifiques à l’infogérance (maîtrise du système d’information, actions à distance, hébergement mutualisé, etc.) afin de prendre en compte, dès la rédaction des exigences applicables au futur prestataire, les besoins et mesures de sécurité adaptées. Les risques SSI inhérents à ce type de démarche peuvent être liés au contexte de l’opération d’externalisation, mais aussi à des spécifications contractuelles déficientes ou incomplètes. En faveur du bon déroulement des opérations, il s’agit donc : d’étudier attentivement les conditions des offres, la possibilité de les adapter à des besoins spécifiques et les limites de responsabilité du prestataire, d’imposer une liste d’exigences précises au prestataire : réversibilité du contrat, réalisation d’audits, sauvegarde et restitution des données dans un format ouvert normalisé, maintien à niveau de la sécurité dans le temps, etc. Pour formaliser ces engagements, le prestataire fournira au commanditaire un plan d’assurance sécurité (PAS) prévu par l’appel d’offres. Il s’agit d’un document contractuel décrivant l’ensemble des dispositions spécifiques que les candidats s’engagent à mettre en œuvre pour garantir le respect des exigences de sécurité spécifiées par l’entité. Le recours à des solutions ou outils non maitrisé (par exemple hébergés dans le nuage) n’est pas ici considéré comme étant du ressort de l’infogérance et par ailleurs déconseillé en cas de traitement d’informations sensibles.", "category": "I - Sensibiliser et former", "justification": "L'audit doit vérifier que le recours à des services externalisés fait contractuellement l'objet d'un document de type Plan d'Assurance Sécurité décrivant l'ensemble des dispositions spécifiques attendues du prestataire.", "statusLevelId": 0 }, { "title": "GHY4-S_V01 | Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau", "description": "Chaque entité possède des données sensibles. Ces dernières peuvent porter sur son activité propre (propriété intellectuelle, savoir-faire, etc.) ou sur ses clients, administrés ou usagers (données personnelles, contrats, etc.). Afin de pouvoir les protéger efficacement, il est indispensable de les identifier. À partir de cette liste de données sensibles, il sera possible de déterminer sur quels composants du système d’information elles se localisent (bases de données, partages de fichiers, postes de travail, etc.). Ces composants correspondent aux serveurs et postes critiques pour l’entité. À ce titre, ils devront faire l’objet de mesures de sécurité spécifiques pouvant porter sur la sauvegarde, la journalisation, les accès, etc. Il s’agit donc de créer et de maintenir à jour un schéma simplifié du réseau (ou cartographie) représentant les différentes zones IP et le plan d’adressage associé, les équipements de routage et de sécurité (pare-feu, relais applicatifs, etc.) et les interconnexions avec l’extérieur (Internet, réseaux privés, etc.) et les partenaires. Ce schéma doit également permettre de localiser les serveurs détenteurs d’informations sensibles de l’entité.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que l'entité gère une liste des données sensibles possédées comprenant notamment :\n- leur niveau de sensibilité ;\n- leur localisation au sein du SI.", "statusLevelId": 0 }, { "title": "GHY4-S_V02 | Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau", "description": "Chaque entité possède des données sensibles. Ces dernières peuvent porter sur son activité propre (propriété intellectuelle, savoir-faire, etc.) ou sur ses clients, administrés ou usagers (données personnelles, contrats, etc.). Afin de pouvoir les protéger efficacement, il est indispensable de les identifier. À partir de cette liste de données sensibles, il sera possible de déterminer sur quels composants du système d’information elles se localisent (bases de données, partages de fichiers, postes de travail, etc.). Ces composants correspondent aux serveurs et postes critiques pour l’entité. À ce titre, ils devront faire l’objet de mesures de sécurité spécifiques pouvant porter sur la sauvegarde, la journalisation, les accès, etc. Il s’agit donc de créer et de maintenir à jour un schéma simplifié du réseau (ou cartographie) représentant les différentes zones IP et le plan d’adressage associé, les équipements de routage et de sécurité (pare-feu, relais applicatifs, etc.) et les interconnexions avec l’extérieur (Internet, réseaux privés, etc.) et les partenaires. Ce schéma doit également permettre de localiser les serveurs détenteurs d’informations sensibles de l’entité.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que les composants sensibles hébergeant ces données sont identifiés (bases de données, partages de fichiers, serveurs, postes critiques ...).", "statusLevelId": 0 }, { "title": "GHY4-S_V03 | Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau", "description": "Chaque entité possède des données sensibles. Ces dernières peuvent porter sur son activité propre (propriété intellectuelle, savoir-faire, etc.) ou sur ses clients, administrés ou usagers (données personnelles, contrats, etc.). Afin de pouvoir les protéger efficacement, il est indispensable de les identifier. À partir de cette liste de données sensibles, il sera possible de déterminer sur quels composants du système d’information elles se localisent (bases de données, partages de fichiers, postes de travail, etc.). Ces composants correspondent aux serveurs et postes critiques pour l’entité. À ce titre, ils devront faire l’objet de mesures de sécurité spécifiques pouvant porter sur la sauvegarde, la journalisation, les accès, etc. Il s’agit donc de créer et de maintenir à jour un schéma simplifié du réseau (ou cartographie) représentant les différentes zones IP et le plan d’adressage associé, les équipements de routage et de sécurité (pare-feu, relais applicatifs, etc.) et les interconnexions avec l’extérieur (Internet, réseaux privés, etc.) et les partenaires. Ce schéma doit également permettre de localiser les serveurs détenteurs d’informations sensibles de l’entité.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que les composants sensibles précédemment identifiés font l'objet de mesures de sécurité (accès, sauvegarde, journalisation, etc.) spécifiques et appropriées.", "statusLevelId": 0 }, { "title": "GHY4-S_V04 | Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau", "description": "Chaque entité possède des données sensibles. Ces dernières peuvent porter sur son activité propre (propriété intellectuelle, savoir-faire, etc.) ou sur ses clients, administrés ou usagers (données personnelles, contrats, etc.). Afin de pouvoir les protéger efficacement, il est indispensable de les identifier. À partir de cette liste de données sensibles, il sera possible de déterminer sur quels composants du système d’information elles se localisent (bases de données, partages de fichiers, postes de travail, etc.). Ces composants correspondent aux serveurs et postes critiques pour l’entité. À ce titre, ils devront faire l’objet de mesures de sécurité spécifiques pouvant porter sur la sauvegarde, la journalisation, les accès, etc. Il s’agit donc de créer et de maintenir à jour un schéma simplifié du réseau (ou cartographie) représentant les différentes zones IP et le plan d’adressage associé, les équipements de routage et de sécurité (pare-feu, relais applicatifs, etc.) et les interconnexions avec l’extérieur (Internet, réseaux privés, etc.) et les partenaires. Ce schéma doit également permettre de localiser les serveurs détenteurs d’informations sensibles de l’entité.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que l'entité entretient un schéma du réseau (ou cartographie) conforme à l'exigence comprenant donc :\n- Identification des différentes zones IP ;\n- Plan d'adressage associé ;\n- Équipements de routage et de sécurité ;\n- Interconnexions avec l'extérieur ;\n- Serveurs hébergeant des données sensibles.", "statusLevelId": 0 }, { "title": "GHY5-S_V01 | Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour", "description": "Les comptes bénéficiant de droits spécifiques sont des cibles privilégiées par les attaquants qui souhaitent obtenir un accès le plus large possible au système d’information. Ils doivent donc faire l’objet d’une attention toute particulière. Il s’agit pour cela d’effectuer un inventaire de ces comptes, de le mettre à jour régulièrement et d’y renseigner les informations suivantes : les utilisateurs ayant un compte administrateur ou des droits supérieurs à ceux d’un utilisateur standard sur le système d’information, les utilisateurs disposant de suffisamment de droits pour accéder aux répertoires de travail des responsables ou de l’ensemble des utilisateurs, les utilisateurs utilisant un poste non administré par le service informatique et qui ne fait pas l’objet de mesures de sécurité édictées par la politique de sécurité générale de l’entité. Il est fortement recommandé de procéder à une revue périodique de ces comptes afin de s’assurer que les accès aux éléments sensibles (notamment les répertoires de travail et la messagerie électronique des responsables) soient maîtrisés. Ces revues permettront également de supprimer les accès devenus obsolètes suite au départ d’un utilisateur par exemple. Enfin, il est souhaitable de définir et d’utiliser une nomenclature simple et claire pour identifier les comptes de services et les comptes d’administration. Cela facilitera notamment leur revue et la détection d’intrusion.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que l'entité entretient un inventaire exhaustif des comptes privilégiés.", "statusLevelId": 0 }, { "title": "GHY5-S_V02 | Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour", "description": "Les comptes bénéficiant de droits spécifiques sont des cibles privilégiées par les attaquants qui souhaitent obtenir un accès le plus large possible au système d’information. Ils doivent donc faire l’objet d’une attention toute particulière. Il s’agit pour cela d’effectuer un inventaire de ces comptes, de le mettre à jour régulièrement et d’y renseigner les informations suivantes : les utilisateurs ayant un compte administrateur ou des droits supérieurs à ceux d’un utilisateur standard sur le système d’information, les utilisateurs disposant de suffisamment de droits pour accéder aux répertoires de travail des responsables ou de l’ensemble des utilisateurs, les utilisateurs utilisant un poste non administré par le service informatique et qui ne fait pas l’objet de mesures de sécurité édictées par la politique de sécurité générale de l’entité. Il est fortement recommandé de procéder à une revue périodique de ces comptes afin de s’assurer que les accès aux éléments sensibles (notamment les répertoires de travail et la messagerie électronique des responsables) soient maîtrisés. Ces revues permettront également de supprimer les accès devenus obsolètes suite au départ d’un utilisateur par exemple. Enfin, il est souhaitable de définir et d’utiliser une nomenclature simple et claire pour identifier les comptes de services et les comptes d’administration. Cela facilitera notamment leur revue et la détection d’intrusion.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que l'inventaire exhaustif des comptes privilégiés comprend les renseignements attendus par l'exigence :\n- Utilisateurs disposant d'un compte administrateur ;\n- Utilisateurs disposant de droits supérieurs à ceux d'un utilisateur standard ;\n- Utilisateurs disposant de droits pour accéder aux répertoires de travail des responsables ou de l'ensemble des utilisateurs ;\n- Utilisateurs disposant d'un poste non administré par le service informatique et qui ne fait pas l'objet des mesures édictées par la politique générale de l'entité.", "statusLevelId": 0 }, { "title": "GHY5-S_V03 | Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour", "description": "Les comptes bénéficiant de droits spécifiques sont des cibles privilégiées par les attaquants qui souhaitent obtenir un accès le plus large possible au système d’information. Ils doivent donc faire l’objet d’une attention toute particulière. Il s’agit pour cela d’effectuer un inventaire de ces comptes, de le mettre à jour régulièrement et d’y renseigner les informations suivantes : les utilisateurs ayant un compte administrateur ou des droits supérieurs à ceux d’un utilisateur standard sur le système d’information, les utilisateurs disposant de suffisamment de droits pour accéder aux répertoires de travail des responsables ou de l’ensemble des utilisateurs, les utilisateurs utilisant un poste non administré par le service informatique et qui ne fait pas l’objet de mesures de sécurité édictées par la politique de sécurité générale de l’entité. Il est fortement recommandé de procéder à une revue périodique de ces comptes afin de s’assurer que les accès aux éléments sensibles (notamment les répertoires de travail et la messagerie électronique des responsables) soient maîtrisés. Ces revues permettront également de supprimer les accès devenus obsolètes suite au départ d’un utilisateur par exemple. Enfin, il est souhaitable de définir et d’utiliser une nomenclature simple et claire pour identifier les comptes de services et les comptes d’administration. Cela facilitera notamment leur revue et la détection d’intrusion.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que l'organisme procède régulièrement à la revue des comptes privilégiés.", "statusLevelId": 0 }, { "title": "GHY5-S_V04 | Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour", "description": "Les comptes bénéficiant de droits spécifiques sont des cibles privilégiées par les attaquants qui souhaitent obtenir un accès le plus large possible au système d’information. Ils doivent donc faire l’objet d’une attention toute particulière. Il s’agit pour cela d’effectuer un inventaire de ces comptes, de le mettre à jour régulièrement et d’y renseigner les informations suivantes : les utilisateurs ayant un compte administrateur ou des droits supérieurs à ceux d’un utilisateur standard sur le système d’information, les utilisateurs disposant de suffisamment de droits pour accéder aux répertoires de travail des responsables ou de l’ensemble des utilisateurs, les utilisateurs utilisant un poste non administré par le service informatique et qui ne fait pas l’objet de mesures de sécurité édictées par la politique de sécurité générale de l’entité. Il est fortement recommandé de procéder à une revue périodique de ces comptes afin de s’assurer que les accès aux éléments sensibles (notamment les répertoires de travail et la messagerie électronique des responsables) soient maîtrisés. Ces revues permettront également de supprimer les accès devenus obsolètes suite au départ d’un utilisateur par exemple. Enfin, il est souhaitable de définir et d’utiliser une nomenclature simple et claire pour identifier les comptes de services et les comptes d’administration. Cela facilitera notamment leur revue et la détection d’intrusion.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier la pertinence de la nomenclature des comptes adoptée dans l'optique de leur utilisation (revues, recherches, analyses...).", "statusLevelId": 0 }, { "title": "GHY6-S_V01 | Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs", "description": "Les effectifs d’une entité, qu’elle soit publique ou privée, évoluent sans cesse : arrivées, départs, mobilité interne. Il est par conséquent nécessaire que les droits et les accès au système d’information soient mis à jour en fonction de ces évolutions. Il est notamment essentiel que l’ensemble des droits affectés à une personne soient révoqués lors de son départ ou en cas de changement de fonction. Les procédures d’arrivée et de départ doivent donc être définies, en lien avec la fonction ressource humaine. Elles doivent au minimum prendre en compte : la création et la suppression des comptes informatiques et boîtes aux lettres associées, les droits et accès à attribuer et retirer à une personne dont la fonction change, la gestion des accès physiques aux locaux (attribution, restitution des badges et des clés, etc.), l’affectation des équipements mobiles (ordinateur portable, clé USB, disque dur, ordiphone, etc.), la gestion des documents et informations sensibles (transfert de mots de passe, changement des mots de passe ou des codes sur les systèmes existants).", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que les droits et accès au système d'information sont mis à jour à l'occasion des évolutions des effectifs (arrivées, départ, mobilité interne).", "statusLevelId": 0 }, { "title": "GHY6-S_V02 | Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs", "description": "Les effectifs d’une entité, qu’elle soit publique ou privée, évoluent sans cesse : arrivées, départs, mobilité interne. Il est par conséquent nécessaire que les droits et les accès au système d’information soient mis à jour en fonction de ces évolutions. Il est notamment essentiel que l’ensemble des droits affectés à une personne soient révoqués lors de son départ ou en cas de changement de fonction. Les procédures d’arrivée et de départ doivent donc être définies, en lien avec la fonction ressource humaine. Elles doivent au minimum prendre en compte : la création et la suppression des comptes informatiques et boîtes aux lettres associées, les droits et accès à attribuer et retirer à une personne dont la fonction change, la gestion des accès physiques aux locaux (attribution, restitution des badges et des clés, etc.), l’affectation des équipements mobiles (ordinateur portable, clé USB, disque dur, ordiphone, etc.), la gestion des documents et informations sensibles (transfert de mots de passe, changement des mots de passe ou des codes sur les systèmes existants).", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier plus spécifiquement que les droits d'accès d'une personne sont révoqués à l'occasion de son départ (définitif ou pour mobilité interne).", "statusLevelId": 0 }, { "title": "GHY6-S_V03 | Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs", "description": "Les effectifs d’une entité, qu’elle soit publique ou privée, évoluent sans cesse : arrivées, départs, mobilité interne. Il est par conséquent nécessaire que les droits et les accès au système d’information soient mis à jour en fonction de ces évolutions. Il est notamment essentiel que l’ensemble des droits affectés à une personne soient révoqués lors de son départ ou en cas de changement de fonction. Les procédures d’arrivée et de départ doivent donc être définies, en lien avec la fonction ressource humaine. Elles doivent au minimum prendre en compte : la création et la suppression des comptes informatiques et boîtes aux lettres associées, les droits et accès à attribuer et retirer à une personne dont la fonction change, la gestion des accès physiques aux locaux (attribution, restitution des badges et des clés, etc.), l’affectation des équipements mobiles (ordinateur portable, clé USB, disque dur, ordiphone, etc.), la gestion des documents et informations sensibles (transfert de mots de passe, changement des mots de passe ou des codes sur les systèmes existants).", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que des procédures d'arrivée et de départ ont été définies et sont mises en œuvre en lien avec les ressources humaines prenant en compte au minimum :\n- la création et la suppression des comptes informatiques et boîtes aux lettres associées ;\n- les droits et accès à attribuer et retirer à une personne dont la fonction change ;\n- la gestion des accès physiques aux locaux (attribution, restitution des badges et des clés, etc.) ;\n- l’affectation des équipements mobiles (ordinateur portable, clé USB, disque dur, ordiphone, etc.) ;\n- la gestion des documents et informations sensibles (transfert de mots de passe, changement des mots de passe ou des codes sur les systèmes existants).", "statusLevelId": 0 }, { "title": "GHY6-R_V01 | Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs", "description": "Les procédures doivent être formalisées et mises à jour en fonction du contexte.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que les procédures précédentes sont formalisées et font l'objet de mises à jour en fonction du contexte.", "statusLevelId": 0 }, { "title": "GHY7-S_V01 | Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés", "description": "Pour garantir la sécurité de son système d’information, l’entité doit maîtriser les équipements qui s’y connectent, chacun constituant un point d’entrée potentiellement vulnérable. Les équipements personnels (ordinateurs portables, tablettes, ordiphones, etc.) sont, par définition, difficilement maîtrisables dans la mesure où ce sont les utilisateurs qui décident de leur niveau de sécurité. De la même manière, la sécurité des équipements dont sont dotés les visiteurs échappe à tout contrôle de l’entité. Seule la connexion de terminaux maîtrisés par l’entité doit être autorisée sur ses différents réseaux d’accès, qu’ils soient filaires ou sans fil. Cette recommandation, avant tout d’ordre organisationnel, est souvent perçue comme inacceptable ou rétrograde. Cependant, y déroger fragilise le réseau de l’entité et sert ainsi les intérêts d’un potentiel attaquant. La sensibilisation des utilisateurs doit donc s’accompagner de solutions pragmatiques répondant à leurs besoins. Citons par exemple la mise à disposition d’un réseau Wi-Fi avec SSID dédié pour les terminaux personnels ou visiteurs.", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que seule la connexion de terminaux maîtrisés par l'entité est autorisée sur ses différents réseaux d'accès qu'ils soient filaires ou sans fil.", "statusLevelId": 0 }, { "title": "GHY7-R_V01 | Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés", "description": "Ces aménagements peuvent être complétés par des mesures techniques telles que l’authentification des postes sur le réseau (par exemple à l’aide du standard 802.1X ou d’un équivalent).", "category": "II - Connaître le système d’information", "justification": "L'audit doit vérifier que l'ensemble des postes sont authentifiés sur le réseau (via un mécanisme de type 802.1x par exemple).", "statusLevelId": 0 }, { "title": "GHY8-S_V01 | Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur", "description": "Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs. L’utilisation de comptes génériques (ex. : admin, user) doit être marginale et ceux-ci doivent pouvoir être rattachés à un nombre limité de personnes physiques. Bien entendu, cette règle n’interdit pas le maintien de comptes de service, rattachés à un processus informatique (ex. : apache, mysqld). Dans tous les cas, les comptes génériques et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration. De plus, il doit être utilisé sur des environnements dédiés à l’administration afin de ne pas laisser de traces de connexion ni de condensat de mot de passe sur un environnement plus exposé.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que la politique de gestion des comptes interdit par défaut l'utilisation de comptes génériques et impose (sauf dérogation justifiée) l'utilisation de comptes nominatifs correspondants aux personnes physiques.", "statusLevelId": 0 }, { "title": "GHY8-S_V02 | Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur", "description": "Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs. L’utilisation de comptes génériques (ex. : admin, user) doit être marginale et ceux-ci doivent pouvoir être rattachés à un nombre limité de personnes physiques. Bien entendu, cette règle n’interdit pas le maintien de comptes de service, rattachés à un processus informatique (ex. : apache, mysqld). Dans tous les cas, les comptes génériques et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration. De plus, il doit être utilisé sur des environnements dédiés à l’administration afin de ne pas laisser de traces de connexion ni de condensat de mot de passe sur un environnement plus exposé.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier, en cas d'existence de compte générique, que leur utilisation est marginale et que ces comptes sont rattachés à un nombre limité de personnes physiques.", "statusLevelId": 0 }, { "title": "GHY8-S_V03 | Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur", "description": "Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs. L’utilisation de comptes génériques (ex. : admin, user) doit être marginale et ceux-ci doivent pouvoir être rattachés à un nombre limité de personnes physiques. Bien entendu, cette règle n’interdit pas le maintien de comptes de service, rattachés à un processus informatique (ex. : apache, mysqld). Dans tous les cas, les comptes génériques et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration. De plus, il doit être utilisé sur des environnements dédiés à l’administration afin de ne pas laisser de traces de connexion ni de condensat de mot de passe sur un environnement plus exposé.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier, en cas d'existence de comptes génériques et/ou de service, que ceux-ci font l'objet d'une politique de gestion au moins aussi stricte que celle des comptes nominatifs.", "statusLevelId": 0 }, { "title": "GHY8-S_V04 | Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur", "description": "Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs. L’utilisation de comptes génériques (ex. : admin, user) doit être marginale et ceux-ci doivent pouvoir être rattachés à un nombre limité de personnes physiques. Bien entendu, cette règle n’interdit pas le maintien de comptes de service, rattachés à un processus informatique (ex. : apache, mysqld). Dans tous les cas, les comptes génériques et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration. De plus, il doit être utilisé sur des environnements dédiés à l’administration afin de ne pas laisser de traces de connexion ni de condensat de mot de passe sur un environnement plus exposé.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier, en cas d'existence de comptes de service, que ceux-ci sont dûment identifiés, justifiés et rattachés à un processus informatique justifiant cette existence.", "statusLevelId": 0 }, { "title": "GHY8-S_V05 | Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur", "description": "Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs. L’utilisation de comptes génériques (ex. : admin, user) doit être marginale et ceux-ci doivent pouvoir être rattachés à un nombre limité de personnes physiques. Bien entendu, cette règle n’interdit pas le maintien de comptes de service, rattachés à un processus informatique (ex. : apache, mysqld). Dans tous les cas, les comptes génériques et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration. De plus, il doit être utilisé sur des environnements dédiés à l’administration afin de ne pas laisser de traces de connexion ni de condensat de mot de passe sur un environnement plus exposé.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que les administrateurs se voient attribuer des comptes d'administration nominatifs distincts de leurs comptes utilisateur et disposant de secrets d'authentification différents.", "statusLevelId": 0 }, { "title": "GHY8-S_V06 | Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur", "description": "Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs. L’utilisation de comptes génériques (ex. : admin, user) doit être marginale et ceux-ci doivent pouvoir être rattachés à un nombre limité de personnes physiques. Bien entendu, cette règle n’interdit pas le maintien de comptes de service, rattachés à un processus informatique (ex. : apache, mysqld). Dans tous les cas, les comptes génériques et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration. De plus, il doit être utilisé sur des environnements dédiés à l’administration afin de ne pas laisser de traces de connexion ni de condensat de mot de passe sur un environnement plus exposé.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que les comptes d'administration nominatifs sont dédiés aux opérations d'administration par les administrateurs.", "statusLevelId": 0 }, { "title": "GHY8-S_V07 | Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur", "description": "Afin de faciliter l’attribution d’une action sur le système d’information en cas d’incident ou d’identifier d’éventuels comptes compromis, les comptes d’accès doivent être nominatifs. L’utilisation de comptes génériques (ex. : admin, user) doit être marginale et ceux-ci doivent pouvoir être rattachés à un nombre limité de personnes physiques. Bien entendu, cette règle n’interdit pas le maintien de comptes de service, rattachés à un processus informatique (ex. : apache, mysqld). Dans tous les cas, les comptes génériques et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs. Par ailleurs, un compte d’administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur. Les identifiants et secrets d’authentification doivent être différents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant administrateur). Ce compte d’administration, disposant de plus de privilèges, doit être dédié exclusivement aux actions d’administration. De plus, il doit être utilisé sur des environnements dédiés à l’administration afin de ne pas laisser de traces de connexion ni de condensat de mot de passe sur un environnement plus exposé.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que les comptes d'administration nominatifs sont employés depuis des environnements dédiés à l’administration.", "statusLevelId": 0 }, { "title": "GHY8-R_V01 | Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur", "description": "Dès que possible la journalisation liée aux comptes (ex. : relevé des connexions réussies/échouées) doit être activée.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que l'entité met en œuvre une politique de journalisation des événements liés aux comptes et aux accès.", "statusLevelId": 0 }, { "title": "GHY9-S_V01 | Attribuer les bons droits sur les ressources sensibles du système d'information", "description": "Certaines des ressources du système peuvent constituer une source d’information précieuse aux yeux d’un attaquant (répertoires contenant des données sensibles, bases de données, boîtes aux lettres électroniques, etc.). Il est donc primordial d’établir une liste précise de ces ressources et pour chacune d’entre elles :\n- de définir quelle population peut y avoir accès ;\n- de contrôler strictement son accès, en s’assurant que les utilisateurs sont authentifiés et font partie de la population ciblée ;\n- d’éviter sa dispersion et sa duplication à des endroits non maîtrisés ou soumis à un contrôle d’accès moins strict. Par exemple, les répertoires des administrateurs regroupant de nombreuses informations sensibles doivent faire l’objet d’un contrôle d’accès précis. Il en va de même pour les informations sensibles présentes sur des partages réseau : exports de fichiers de configuration, documentation technique du système d’information, bases de données métier, etc. Une revue régulière des droits d’accès doit par ailleurs être réalisée afin d’identifier les accès non autorisés.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier l'existence et l'exhaustivité d'une liste des ressources sensibles du système d'information.", "statusLevelId": 0 }, { "title": "GHY9-S_V02 | Attribuer les bons droits sur les ressources sensibles du système d'information", "description": "Certaines des ressources du système peuvent constituer une source d’information précieuse aux yeux d’un attaquant (répertoires contenant des données sensibles, bases de données, boîtes aux lettres électroniques, etc.). Il est donc primordial d’établir une liste précise de ces ressources et pour chacune d’entre elles :\n- de définir quelle population peut y avoir accès ;\n- de contrôler strictement son accès, en s’assurant que les utilisateurs sont authentifiés et font partie de la population ciblée ;\n- d’éviter sa dispersion et sa duplication à des endroits non maîtrisés ou soumis à un contrôle d’accès moins strict. Par exemple, les répertoires des administrateurs regroupant de nombreuses informations sensibles doivent faire l’objet d’un contrôle d’accès précis. Il en va de même pour les informations sensibles présentes sur des partages réseau : exports de fichiers de configuration, documentation technique du système d’information, bases de données métier, etc. Une revue régulière des droits d’accès doit par ailleurs être réalisée afin d’identifier les accès non autorisés.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier pour chacune des ressources de cette liste :\n- que la population pouvant y accéder est définie et pertinemment limitée ;\n- que son mode d'accès est contrôlé : utilisateurs faisant partie de la population autorisée et authentifiée ;\n- que celle-ci n'est pas dispersée et/ou dupliquée à des endroits non maîtrisés ou soumis à un contrôle d'accès moins strict.", "statusLevelId": 0 }, { "title": "GHY9-S_V03 | Attribuer les bons droits sur les ressources sensibles du système d'information", "description": "Certaines des ressources du système peuvent constituer une source d’information précieuse aux yeux d’un attaquant (répertoires contenant des données sensibles, bases de données, boîtes aux lettres électroniques, etc.). Il est donc primordial d’établir une liste précise de ces ressources et pour chacune d’entre elles :\n- de définir quelle population peut y avoir accès ;\n- de contrôler strictement son accès, en s’assurant que les utilisateurs sont authentifiés et font partie de la population ciblée ;\n- d’éviter sa dispersion et sa duplication à des endroits non maîtrisés ou soumis à un contrôle d’accès moins strict. Par exemple, les répertoires des administrateurs regroupant de nombreuses informations sensibles doivent faire l’objet d’un contrôle d’accès précis. Il en va de même pour les informations sensibles présentes sur des partages réseau : exports de fichiers de configuration, documentation technique du système d’information, bases de données métier, etc. Une revue régulière des droits d’accès doit par ailleurs être réalisée afin d’identifier les accès non autorisés.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier qu'une revue régulière des droits d’accès est réalisée afin d’identifier les accès non autorisés.", "statusLevelId": 0 }, { "title": "GHY10-S_V01 | Définir et vérifier des règles de choix et de dimensionnement des mots de passe", "description": "L’ANSSI énonce un ensemble de règles et de bonnes pratiques en matière de choix et de dimensionnement des mots de passe. Parmi les plus critiques de ces règles figure la sensibilisation des utilisateurs aux risques liés au choix d’un mot de passe qui serait trop facile à deviner, ou encore la réutilisation de mots de passe d’une application à l’autre et plus particulièrement entre messageries personnelles et professionnelles. Pour encadrer et vérifier l’application de ces règles de choix et de dimensionnement, l’entité pourra recourir à différentes mesures parmi lesquelles : le blocage des comptes à l’issue de plusieurs échecs de connexion, la désactivation des options de connexion anonyme, l’utilisation d’un outil d’audit de la robustesse des mots de passe. En amont de telles procédures, un effort de communication visant à expliquer le sens de ces règles et éveiller les consciences sur leur importance est fondamental.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que l'entité a défini un ensemble de règles et de bonnes pratiques en matière de choix et de dimensionnement des mots de passe.", "statusLevelId": 0 }, { "title": "GHY10-S_V02 | Définir et vérifier des règles de choix et de dimensionnement des mots de passe", "description": "L’ANSSI énonce un ensemble de règles et de bonnes pratiques en matière de choix et de dimensionnement des mots de passe. Parmi les plus critiques de ces règles figure la sensibilisation des utilisateurs aux risques liés au choix d’un mot de passe qui serait trop facile à deviner, ou encore la réutilisation de mots de passe d’une application à l’autre et plus particulièrement entre messageries personnelles et professionnelles. Pour encadrer et vérifier l’application de ces règles de choix et de dimensionnement, l’entité pourra recourir à différentes mesures parmi lesquelles : le blocage des comptes à l’issue de plusieurs échecs de connexion, la désactivation des options de connexion anonyme, l’utilisation d’un outil d’audit de la robustesse des mots de passe. En amont de telles procédures, un effort de communication visant à expliquer le sens de ces règles et éveiller les consciences sur leur importance est fondamental.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier la mise en œuvre de mesures d'encadrement et de contrôle adaptées de l'application de ces règles et bonnes pratiques des utilisateurs (blocage de compte sur échecs répétés de connexion, désactivation des options de connexion anonyme, outil d'audit de la robustesse des mots de passe, etc.).", "statusLevelId": 0 }, { "title": "GHY10-S_V03 | Définir et vérifier des règles de choix et de dimensionnement des mots de passe", "description": "L’ANSSI énonce un ensemble de règles et de bonnes pratiques en matière de choix et de dimensionnement des mots de passe. Parmi les plus critiques de ces règles figure la sensibilisation des utilisateurs aux risques liés au choix d’un mot de passe qui serait trop facile à deviner, ou encore la réutilisation de mots de passe d’une application à l’autre et plus particulièrement entre messageries personnelles et professionnelles. Pour encadrer et vérifier l’application de ces règles de choix et de dimensionnement, l’entité pourra recourir à différentes mesures parmi lesquelles : le blocage des comptes à l’issue de plusieurs échecs de connexion, la désactivation des options de connexion anonyme, l’utilisation d’un outil d’audit de la robustesse des mots de passe. En amont de telles procédures, un effort de communication visant à expliquer le sens de ces règles et éveiller les consciences sur leur importance est fondamental.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que les règles et bonnes pratiques adoptées sont accompagnées d'actions de sensibilisation.", "statusLevelId": 0 }, { "title": "GHY11-S_V01 | Protéger les mots de passe stockés sur les systèmes", "description": "La complexité, la diversité ou encore l’utilisation peu fréquente de certains mots de passe peuvent encourager leur stockage sur un support physique\n(memo, Post-it) ou numérique (fichiers de mots de passe, envoi par mail à soi-même, recours aux boutons « Se souvenir du mot de passe ») afin de pallier\ntout oubli ou perte. Or, les mots de passe sont une cible privilégiée par les attaquants désireux d’accéder au système, que cela fasse suite à un vol ou à un éventuel partage du support de stockage. C’est pourquoi ils doivent impérativement être protégés au moyen de solutions sécurisées au premier rang desquelles figurent l’utilisation d’un coffre-fort numérique et le recours à des mécanismes de chiffrement. Bien entendu, le choix d’un mot de passe pour ce coffre-fort numérique doit respecter les règles énoncées précédemment et être mémorisé par l’utilisateur, qui n’a plus que celui-ci à retenir.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que les mots de passe font l'objet de mesures de protection permettant d'en assurer la confidentialité nécessaire :\n- chiffrement de la transmission ;\n- stockage en coffre-fort numérique…", "statusLevelId": 0 }, { "title": "GHY11-S_V02 | Protéger les mots de passe stockés sur les systèmes", "description": "La complexité, la diversité ou encore l’utilisation peu fréquente de certains mots de passe peuvent encourager leur stockage sur un support physique\n(memo, Post-it) ou numérique (fichiers de mots de passe, envoi par mail à soi-même, recours aux boutons « Se souvenir du mot de passe ») afin de pallier\ntout oubli ou perte. Or, les mots de passe sont une cible privilégiée par les attaquants désireux d’accéder au système, que cela fasse suite à un vol ou à un éventuel partage du support de stockage. C’est pourquoi ils doivent impérativement être protégés au moyen de solutions sécurisées au premier rang desquelles figurent l’utilisation d’un coffre-fort numérique et le recours à des mécanismes de chiffrement. Bien entendu, le choix d’un mot de passe pour ce coffre-fort numérique doit respecter les règles énoncées précédemment et être mémorisé par l’utilisateur, qui n’a plus que celui-ci à retenir.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que le choix du mot de passe du coffre-fort numérique respecte les mesures précédentes en assurant la protection.", "statusLevelId": 0 }, { "title": "GHY12-S_V01 | Changer les éléments d’authentification par défaut sur les équipements et services", "description": "Il est impératif de partir du principe que les configurations par défaut des systèmes d’information sont systématiquement connues des attaquants, quand bien même celles-ci ne le sont pas du grand public. Ces configurations se révèlent (trop) souvent triviales (mot de passe identique à l’identifiant, mal dimensionné ou commun à l’ensemble des équipements et services par exemple) et sont, la plupart du temps, faciles à obtenir pour des attaquants capables de se faire passer pour un utilisateur légitime. Les éléments d’authentification par défaut des composants du système doivent donc être modifiés dès leur installation et, s’agissant de mots de passe, être conformes aux recommandations précédentes en matière de choix, de dimensionnement et de stockage. Si le changement d’un identifiant par défaut se révèle impossible pour cause, par exemple, de mot de passe ou certificat « en dur » dans un équipement, ce problème critique doit être signalé au distributeur du produit afin que cette vulnérabilité soit corrigée au plus vite.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que les éléments d'authentification par défaut des composants du système font systématiquement l'objet d'une modification lors de leur installation.", "statusLevelId": 0 }, { "title": "GHY12-S_V02 | Changer les éléments d’authentification par défaut sur les équipements et services", "description": "Il est impératif de partir du principe que les configurations par défaut des systèmes d’information sont systématiquement connues des attaquants, quand bien même celles-ci ne le sont pas du grand public. Ces configurations se révèlent (trop) souvent triviales (mot de passe identique à l’identifiant, mal dimensionné ou commun à l’ensemble des équipements et services par exemple) et sont, la plupart du temps, faciles à obtenir pour des attaquants capables de se faire passer pour un utilisateur légitime. Les éléments d’authentification par défaut des composants du système doivent donc être modifiés dès leur installation et, s’agissant de mots de passe, être conformes aux recommandations précédentes en matière de choix, de dimensionnement et de stockage. Si le changement d’un identifiant par défaut se révèle impossible pour cause, par exemple, de mot de passe ou certificat « en dur » dans un équipement, ce problème critique doit être signalé au distributeur du produit afin que cette vulnérabilité soit corrigée au plus vite.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que l'attribution de mots de passe aux composants du système respecte les règles et bonnes pratiques définies par l'entité.", "statusLevelId": 0 }, { "title": "GHY12-S_V03 | Changer les éléments d’authentification par défaut sur les équipements et services", "description": "Il est impératif de partir du principe que les configurations par défaut des systèmes d’information sont systématiquement connues des attaquants, quand bien même celles-ci ne le sont pas du grand public. Ces configurations se révèlent (trop) souvent triviales (mot de passe identique à l’identifiant, mal dimensionné ou commun à l’ensemble des équipements et services par exemple) et sont, la plupart du temps, faciles à obtenir pour des attaquants capables de se faire passer pour un utilisateur légitime. Les éléments d’authentification par défaut des composants du système doivent donc être modifiés dès leur installation et, s’agissant de mots de passe, être conformes aux recommandations précédentes en matière de choix, de dimensionnement et de stockage. Si le changement d’un identifiant par défaut se révèle impossible pour cause, par exemple, de mot de passe ou certificat « en dur » dans un équipement, ce problème critique doit être signalé au distributeur du produit afin que cette vulnérabilité soit corrigée au plus vite.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier qu'en cas d'impossibilité de changer le mot de passe par défaut d'un composant, les procédures de l'entité prévoient un signalement au distributeur.", "statusLevelId": 0 }, { "title": "GHY12-R_V01 | Changer les éléments d’authentification par défaut sur les équipements et services", "description": "Afin de limiter les conséquences d’une compromission, il est par ailleurs essentiel, après changement des éléments d’authentification par défaut, de procéder à leur renouvellement régulier.", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que les procédures d'exploitation de l'entité prévoient une mise à jour régulière des mots de passe des équipements. ", "statusLevelId": 0 }, { "title": "GHY13-S_V01 | Privilégier lorsque c’est possible une authentification forte", "description": "Il est vivement recommandé de mettre en œuvre une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents parmi les suivants : quelque chose que je sais (mot de passe, tracé de déverrouillage, signature), quelque chose que je possède (carte à puce, jeton USB, carte magnétique, RFID, un téléphone pour recevoir un code SMS), quelque chose que je suis (une empreinte biométrique).", "category": "III - Authentifier et contrôler les accès", "justification": "L'audit doit vérifier que l'authentification forte telle que définie dans la mesure GHY 13 est mise en œuvre dans les cas où elle est jugée nécessaire par l'organisme.", "statusLevelId": 0 }, { "title": "GHY14-S_V01 | Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique", "description": "L’utilisateur plus ou moins au fait des bonnes pratiques de sécurité informatique est, dans de très nombreux cas, la première porte d’entrée des attaquants vers le système. Il est donc fondamental de mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique de l’entité (postes utilisateurs, serveurs, imprimantes, téléphones, périphériques USB, etc.) en implémentant les mesures suivantes : limiter les applications installées et modules optionnels des navigateurs web aux seuls nécessaires, doter les postes utilisateurs d’un pare-feu local et d’un antivirus (ceux-ci sont parfois inclus dans le système d’exploitation), chiffrer les partitions où sont stockées les données des utilisateurs, désactiver les exécutions automatiques (autorun). En cas de dérogation nécessaire aux règles de sécurité globales applicables aux postes, ceux-ci doivent être isolés du système (s’il est impossible de mettre à jour certaines applications pour des raisons de compatibilité par exemple).", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que l'entité met en œuvre des procédures garantissant un niveau minimal de sécurité lors de l'installation de tout composant (postes utilisateurs, serveurs, imprimantes, périphériques USB, équipements réseau, etc.) du système d'information.", "statusLevelId": 0 }, { "title": "GHY14-S_V02 | Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique", "description": "L’utilisateur plus ou moins au fait des bonnes pratiques de sécurité informatique est, dans de très nombreux cas, la première porte d’entrée des attaquants vers le système. Il est donc fondamental de mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique de l’entité (postes utilisateurs, serveurs, imprimantes, téléphones, périphériques USB, etc.) en implémentant les mesures suivantes : limiter les applications installées et modules optionnels des navigateurs web aux seuls nécessaires, doter les postes utilisateurs d’un pare-feu local et d’un antivirus (ceux-ci sont parfois inclus dans le système d’exploitation), chiffrer les partitions où sont stockées les données des utilisateurs, désactiver les exécutions automatiques (autorun). En cas de dérogation nécessaire aux règles de sécurité globales applicables aux postes, ceux-ci doivent être isolés du système (s’il est impossible de mettre à jour certaines applications pour des raisons de compatibilité par exemple).", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que les procédures de durcissement implémentent à minima les mesures suivantes :\n- limitation des applications installées et des modules optionnels des navigateurs web aux seuls nécessaires ;\n- dotation des postes utilisateurs d'un pare-feu local et d'un antivirus ;\n- chiffrement des partitions où sont stockées les données des utilisateurs ;\n- désactivation des exécutions automatiques (autorun).", "statusLevelId": 0 }, { "title": "GHY14-S_V03 | Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique", "description": "L’utilisateur plus ou moins au fait des bonnes pratiques de sécurité informatique est, dans de très nombreux cas, la première porte d’entrée des attaquants vers le système. Il est donc fondamental de mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique de l’entité (postes utilisateurs, serveurs, imprimantes, téléphones, périphériques USB, etc.) en implémentant les mesures suivantes : limiter les applications installées et modules optionnels des navigateurs web aux seuls nécessaires, doter les postes utilisateurs d’un pare-feu local et d’un antivirus (ceux-ci sont parfois inclus dans le système d’exploitation), chiffrer les partitions où sont stockées les données des utilisateurs, désactiver les exécutions automatiques (autorun). En cas de dérogation nécessaire aux règles de sécurité globales applicables aux postes, ceux-ci doivent être isolés du système (s’il est impossible de mettre à jour certaines applications pour des raisons de compatibilité par exemple).", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier qu'en cas de non-applicabilité des mesures de durcissement à un équipement du parc informatique de l’entité, celui-ci fait l'objet d'une dérogation dûment identifiée et enregistrée et que celui-ci est isolé du système.", "statusLevelId": 0 }, { "title": "GHY14-R_V01 | Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique", "description": "Les données vitales au bon fonctionnement de l’entité que détiennent les postes utilisateurs et les serveurs doivent faire l’objet de sauvegardes régulières et stockées sur des équipements déconnectés, et leur restauration doit être vérifiée de manière périodique. En effet, de plus en plus de petites structures font l’objet d’attaques rendant ces données indisponibles (par exemple pour exiger en contrepartie de leur restitution le versement d’une somme conséquente (rançongiciel)).", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que les données vitales au bon fonctionnement de l'entité, détenues par les postes et serveurs, font l'objet de sauvegardes régulières sur des équipements déconnectés.", "statusLevelId": 0 }, { "title": "GHY14-R_V02 | Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique", "description": "Les données vitales au bon fonctionnement de l’entité que détiennent les postes utilisateurs et les serveurs doivent faire l’objet de sauvegardes régulières et stockées sur des équipements déconnectés, et leur restauration doit être vérifiée de manière périodique. En effet, de plus en plus de petites structures font l’objet d’attaques rendant ces données indisponibles (par exemple pour exiger en contrepartie de leur restitution le versement d’une somme conséquente (rançongiciel)).", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier qu'entité réalise des tests de restaurations de sauvegardes de manière périodique.", "statusLevelId": 0 }, { "title": "GHY15-S_V01 | Se protéger des menaces relatives à l’utilisation de supports amovibles", "description": "Les supports amovibles peuvent être utilisés afin de propager des virus, voler des informations sensibles et stratégiques ou encore compromettre le réseau de l’entité. De tels agissements peuvent avoir des conséquences désastreuses pour l’activité de la structure ciblée. S’il n’est pas question d’interdire totalement l’usage de supports amovibles au sein de l’entité, il est néanmoins nécessaire de traiter ces risques en identifiant des mesures adéquates et en sensibilisant les utilisateurs aux risques que ces supports peuvent véhiculer. Il convient notamment de proscrire le branchement de clés USB inconnues (ramassées dans un lieu public par exemple) et de limiter au maximum celui de clés non maîtrisées (dont on connaît la provenance, mais pas l’intégrité) sur le système d’information à moins, dans ce dernier cas, de faire inspecter leur contenu par l’antivirus du poste de travail.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier qu'en cas d'utilisation de supports amovibles, leur emploi fait l'objet de mesures de sécurité pour traiter les risques inhérents.", "statusLevelId": 0 }, { "title": "GHY15-S_V02 | Se protéger des menaces relatives à l’utilisation de supports amovibles", "description": "Les supports amovibles peuvent être utilisés afin de propager des virus, voler des informations sensibles et stratégiques ou encore compromettre le réseau de l’entité. De tels agissements peuvent avoir des conséquences désastreuses pour l’activité de la structure ciblée. S’il n’est pas question d’interdire totalement l’usage de supports amovibles au sein de l’entité, il est néanmoins nécessaire de traiter ces risques en identifiant des mesures adéquates et en sensibilisant les utilisateurs aux risques que ces supports peuvent véhiculer. Il convient notamment de proscrire le branchement de clés USB inconnues (ramassées dans un lieu public par exemple) et de limiter au maximum celui de clés non maîtrisées (dont on connaît la provenance, mais pas l’intégrité) sur le système d’information à moins, dans ce dernier cas, de faire inspecter leur contenu par l’antivirus du poste de travail.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier qu'en cas d'autorisation d'utilisation de supports amovibles, des actions de sensibilisation sont menées à destination des utilisateurs.", "statusLevelId": 0 }, { "title": "GHY15-S_V03 | Se protéger des menaces relatives à l’utilisation de supports amovibles", "description": "Les supports amovibles peuvent être utilisés afin de propager des virus, voler des informations sensibles et stratégiques ou encore compromettre le réseau de l’entité. De tels agissements peuvent avoir des conséquences désastreuses pour l’activité de la structure ciblée. S’il n’est pas question d’interdire totalement l’usage de supports amovibles au sein de l’entité, il est néanmoins nécessaire de traiter ces risques en identifiant des mesures adéquates et en sensibilisant les utilisateurs aux risques que ces supports peuvent véhiculer. Il convient notamment de proscrire le branchement de clés USB inconnues (ramassées dans un lieu public par exemple) et de limiter au maximum celui de clés non maîtrisées (dont on connaît la provenance, mais pas l’intégrité) sur le système d’information à moins, dans ce dernier cas, de faire inspecter leur contenu par l’antivirus du poste de travail.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que la politique de sécurité des systèmes d'information de l'entité (ou tout règlement porté à la connaissance des utilisateurs) proscrit le branchement de clés USB non maîtrisées ou en impose une analyse préalable à toute utilisation par l'antivirus du poste de travail.", "statusLevelId": 0 }, { "title": "GHY15-R_V01 | Se protéger des menaces relatives à l’utilisation de supports amovibles", "description": "Sur les postes utilisateur, il est recommandé d’utiliser des solutions permettant d’interdire l’exécution de programmes sur les périphériques amovibles (par exemple Applocker sous Windows ou des options de montage noexec sous Unix). Lors de la fin de vie des supports amovibles, il sera nécessaire d’implémenter et de respecter une procédure de mise au rebut stricte pouvant aller jusqu’à leur destruction sécurisée afin de limiter la fuite d’informations sensibles.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que des solutions interdisant l'exécution de programmes sur les périphériques amovibles sont mises en œuvre sur les postes utilisateurs.", "statusLevelId": 0 }, { "title": "GHY15-R_V02 | Se protéger des menaces relatives à l’utilisation de supports amovibles", "description": "Sur les postes utilisateur, il est recommandé d’utiliser des solutions permettant d’interdire l’exécution de programmes sur les périphériques amovibles (par exemple Applocker sous Windows ou des options de montage noexec sous Unix). Lors de la fin de vie des supports amovibles, il sera nécessaire d’implémenter et de respecter une procédure de mise au rebut stricte pouvant aller jusqu’à leur destruction sécurisée afin de limiter la fuite d’informations sensibles.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier, en cas d'utilisation de supports amovibles, que l'entité met en œuvre une procédure de mise au rebut pouvant aller jusqu'à la destruction sécurisée de ces supports.", "statusLevelId": 0 }, { "title": "GHY16-S_V01 | Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité", "description": "La sécurité du système d’information repose sur la sécurité du maillon le plus faible. Il est donc nécessaire d’homogénéiser la gestion des politiques de sécurité s’appliquant à l’ensemble du parc informatique de l’entité. L’application de ces politiques (gestion des mots de passe, restrictions de connexions sur certains postes sensibles, configuration des navigateurs Web, etc.) doit être simple et rapide pour les administrateurs, en vue notamment de faciliter la mise en œuvre de contre-mesures en cas de crise informatique. Pour cela, l’entité pourra se doter d’un outil de gestion centralisée (par exemple Active Directory en environnement Microsoft) auquel il s’agit d’inclure le plus grand nombre d’équipements informatiques possible. Les postes de travail et les serveurs sont concernés par cette mesure qui nécessite éventuellement en amont un travail d’harmonisation des choix de matériels et de systèmes d’exploitation. Ainsi, des politiques de durcissement du système d’exploitation ou d’applications pourront facilement s’appliquer depuis un point central tout en favorisant la réactivité attendue en cas de besoin de reconfiguration.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que la gestion des politiques de sécurité appliquées aux différents composants du parc informatique de l'entité est homogène.", "statusLevelId": 0 }, { "title": "GHY16-S_V02 | Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité", "description": "La sécurité du système d’information repose sur la sécurité du maillon le plus faible. Il est donc nécessaire d’homogénéiser la gestion des politiques de sécurité s’appliquant à l’ensemble du parc informatique de l’entité. L’application de ces politiques (gestion des mots de passe, restrictions de connexions sur certains postes sensibles, configuration des navigateurs Web, etc.) doit être simple et rapide pour les administrateurs, en vue notamment de faciliter la mise en œuvre de contre-mesures en cas de crise informatique. Pour cela, l’entité pourra se doter d’un outil de gestion centralisée (par exemple Active Directory en environnement Microsoft) auquel il s’agit d’inclure le plus grand nombre d’équipements informatiques possible. Les postes de travail et les serveurs sont concernés par cette mesure qui nécessite éventuellement en amont un travail d’harmonisation des choix de matériels et de systèmes d’exploitation. Ainsi, des politiques de durcissement du système d’exploitation ou d’applications pourront facilement s’appliquer depuis un point central tout en favorisant la réactivité attendue en cas de besoin de reconfiguration.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que l'application de ces politiques de sécurité est simple et rapide pour les administrateurs : \n- utilisation d'un outil de gestion centralisée adapté incluant le plus grand nombre d'équipements informatiques possible ;\n- choix harmonisé de matériels et de systèmes d’exploitation.", "statusLevelId": 0 }, { "title": "GHY17-S_V01 | Activer et configurer le pare-feu local des postes de travail", "description": "Après avoir réussi à prendre le contrôle d’un poste de travail (à cause, par exemple, d’une vulnérabilité présente dans le navigateur Internet), un attaquant cherchera souvent à étendre son intrusion aux autres postes de travail pour, in fine, accéder aux documents des utilisateurs. Afin de rendre plus difficile ce déplacement latéral de l’attaquant, il est nécessaire d’activer le pare-feu local des postes de travail au moyen de logiciels intégrés (pare-feu local Windows) ou spécialisés. Les flux de poste-à-poste sont en effet très rares dans un réseau bureautique classique : les fichiers sont stockés dans des serveurs de fichiers, les applications accessibles sur des serveurs métier, etc.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que l'activation par défaut du pare-feu local est imposée dans la configuration des postes de travail de l'organisme. ", "statusLevelId": 0 }, { "title": "GHY17-R_V01 | Activer et configurer le pare-feu local des postes de travail", "description": "Le filtrage le plus simple consiste à bloquer l’accès aux ports d’administration par défaut des postes de travail (ports TCP 135, 445 et 3389 sous Windows, port TCP 22 sous Unix), excepté depuis les ressources explicitement identifiées (postes d’administration et d’assistance utilisateur, éventuels serveurs de gestion requérant l’accès à des partages réseau sur les postes, etc.). Une analyse des flux entrants utiles (administration, logiciels d’infrastructure- ture, applications particulières, etc.) doit être menée pour définir la liste des autorisations à configurer. Il est préférable de bloquer l’ensemble des flux par défaut et de n’autoriser que les services nécessaires depuis les équipements correspondants (« liste blanche »). Le pare-feu doit également être configuré pour journaliser les flux bloqués, et ainsi identifier les erreurs de configuration d’applications ou les tentatives d’intrusion.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que les mesures de sécurité applicables aux postes de travail comprennent l'interdiction de tous les flux par défaut et de n'autorisent que les services nécessaires depuis les équipements correspondants.", "statusLevelId": 0 }, { "title": "GHY17-R_V02 | Activer et configurer le pare-feu local des postes de travail", "description": "Le filtrage le plus simple consiste à bloquer l’accès aux ports d’administration par défaut des postes de travail (ports TCP 135, 445 et 3389 sous Windows, port TCP 22 sous Unix), excepté depuis les ressources explicitement identifiées (postes d’administration et d’assistance utilisateur, éventuels serveurs de gestion requérant l’accès à des partages réseau sur les postes, etc.). Une analyse des flux entrants utiles (administration, logiciels d’infrastructure- ture, applications particulières, etc.) doit être menée pour définir la liste des autorisations à configurer. Il est préférable de bloquer l’ensemble des flux par défaut et de n’autoriser que les services nécessaires depuis les équipements correspondants (« liste blanche »). Le pare-feu doit également être configuré pour journaliser les flux bloqués, et ainsi identifier les erreurs de configuration d’applications ou les tentatives d’intrusion.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que les mesures de sécurité applicables aux postes de travail comprennent le blocage de l'accès aux ports d'administration par défaut, excepté depuis les ressources explicitement autorisées (liste blanche) dont notamment :\n- postes d'administration et d'assistance utilisateur ;\n- serveurs de gestion permettant l'accès aux partages réseau.", "statusLevelId": 0 }, { "title": "GHY17-R_V03 | Activer et configurer le pare-feu local des postes de travail", "description": "Le filtrage le plus simple consiste à bloquer l’accès aux ports d’administration par défaut des postes de travail (ports TCP 135, 445 et 3389 sous Windows, port TCP 22 sous Unix), excepté depuis les ressources explicitement identifiées (postes d’administration et d’assistance utilisateur, éventuels serveurs de gestion requérant l’accès à des partages réseau sur les postes, etc.). Une analyse des flux entrants utiles (administration, logiciels d’infrastructure- ture, applications particulières, etc.) doit être menée pour définir la liste des autorisations à configurer. Il est préférable de bloquer l’ensemble des flux par défaut et de n’autoriser que les services nécessaires depuis les équipements correspondants (« liste blanche »). Le pare-feu doit également être configuré pour journaliser les flux bloqués, et ainsi identifier les erreurs de configuration d’applications ou les tentatives d’intrusion.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que les mesures de sécurité appliquées au poste de travail comprennent l'activation de la journalisation des flux bloqués par le pare-feu local.", "statusLevelId": 0 }, { "title": "GHY17-R_V04 | Activer et configurer le pare-feu local des postes de travail", "description": "Le filtrage le plus simple consiste à bloquer l’accès aux ports d’administration par défaut des postes de travail (ports TCP 135, 445 et 3389 sous Windows, port TCP 22 sous Unix), excepté depuis les ressources explicitement identifiées (postes d’administration et d’assistance utilisateur, éventuels serveurs de gestion requérant l’accès à des partages réseau sur les postes, etc.). Une analyse des flux entrants utiles (administration, logiciels d’infrastructure- ture, applications particulières, etc.) doit être menée pour définir la liste des autorisations à configurer. Il est préférable de bloquer l’ensemble des flux par défaut et de n’autoriser que les services nécessaires depuis les équipements correspondants (« liste blanche »). Le pare-feu doit également être configuré pour journaliser les flux bloqués, et ainsi identifier les erreurs de configuration d’applications ou les tentatives d’intrusion.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier qu'un processus de surveillance de la journalisation des mécanismes de pare-feu des postes de travail est mis en œuvre et que celui-ci permet de détecter les erreurs de configuration et les tentatives d'intrusion.", "statusLevelId": 0 }, { "title": "GHY18-S_V01 | Chiffrer les données sensibles transmises par voie Internet", "description": "Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. Toutes les données envoyées par courriel ou transmises au moyen d’outils d’hébergement en ligne (Cloud) sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant ou de les héberger. La transmission du secret (mot de passe, clé, etc.) permettant alors de déchiffrer les données, si elle est nécessaire, doit être effectuée via un canal de confiance ou, à défaut, un canal distinct du canal de transmission des données. Ainsi, si les données chiffrées sont transmises par courriel, une remise en main propre du mot de passe ou, à défaut, par téléphone doit être privilégiée.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que la politique de sécurité du système d'information de l'entité impose le chiffrement préalable de toutes les données transmises vers Internet.", "statusLevelId": 0 }, { "title": "GHY18-S_V02 | Chiffrer les données sensibles transmises par voie Internet", "description": "Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. Toutes les données envoyées par courriel ou transmises au moyen d’outils d’hébergement en ligne (Cloud) sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant ou de les héberger. La transmission du secret (mot de passe, clé, etc.) permettant alors de déchiffrer les données, si elle est nécessaire, doit être effectuée via un canal de confiance ou, à défaut, un canal distinct du canal de transmission des données. Ainsi, si les données chiffrées sont transmises par courriel, une remise en main propre du mot de passe ou, à défaut, par téléphone doit être privilégiée.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que la politique de sécurité impose que dans le cas où une transmission de secret (mot de passe, clé, etc.) est nécessaire, cette transmission est effectuée via un canal de confiance ou à défaut via un canal distinct du canal de transmission de données.", "statusLevelId": 0 }, { "title": "GHY18-S_V03 | Chiffrer les données sensibles transmises par voie Internet", "description": "Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. Toutes les données envoyées par courriel ou transmises au moyen d’outils d’hébergement en ligne (Cloud) sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant ou de les héberger. La transmission du secret (mot de passe, clé, etc.) permettant alors de déchiffrer les données, si elle est nécessaire, doit être effectuée via un canal de confiance ou, à défaut, un canal distinct du canal de transmission des données. Ainsi, si les données chiffrées sont transmises par courriel, une remise en main propre du mot de passe ou, à défaut, par téléphone doit être privilégiée.", "category": "IV - Sécuriser les postes", "justification": "L'audit doit vérifier que les flux de/vers Internet sont systématiquement chiffrés.", "statusLevelId": 0 }, { "title": "GHY19-S_V01 | Segmenter le réseau et mettre en place un cloisonnement entre ces zones", "description": "Lorsque le réseau est « à plat », sans aucun mécanisme de cloisonnement, chaque machine du réseau peut accéder à n’importe quelle autre machine. La compromission de l’une d’elles met alors en péril l’ensemble des machines connectées. Un attaquant peut ainsi compromettre un poste utilisateur et ensuite « rebondir » jusqu’à des serveurs critiques. Il est donc important, dès la conception de l’architecture réseau, de raisonner par segmentation en zones composées de systèmes ayant des besoins de sécurité homogènes. On pourra par exemple regrouper distinctement des serveurs d’infrastructure, des serveurs métiers, des postes de travail utilisateurs, des postes de travail administrateurs, des postes de téléphonie sur IP, etc. Une zone se caractérise alors par des VLAN et des sous-réseaux IP dédiés voire par des infrastructures dédiées selon sa criticité. Ainsi, des mesures de cloisonnement telles qu’un filtrage IP à l’aide d’un pare-feu peuvent être mises en place entre les différentes zones. On veillera en particulier à cloisonner autant que possible les équipements et flux associés aux tâches d’administration. Pour les réseaux dont le cloisonnement a posteriori ne serait pas aisé, il est recommandé d’intégrer cette démarche dans toute nouvelle extension du réseau ou à l’occasion d’un renouvellement d’équipements.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que le réseau du SI de l'entité est segmenté en zones (VLANs, sous-réseaux IP) composées de systèmes ayant des besoins de sécurité homogènes.", "statusLevelId": 0 }, { "title": "GHY19-S_V02 | Segmenter le réseau et mettre en place un cloisonnement entre ces zones", "description": "Lorsque le réseau est « à plat », sans aucun mécanisme de cloisonnement, chaque machine du réseau peut accéder à n’importe quelle autre machine. La compromission de l’une d’elles met alors en péril l’ensemble des machines connectées. Un attaquant peut ainsi compromettre un poste utilisateur et ensuite « rebondir » jusqu’à des serveurs critiques. Il est donc important, dès la conception de l’architecture réseau, de raisonner par segmentation en zones composées de systèmes ayant des besoins de sécurité homogènes. On pourra par exemple regrouper distinctement des serveurs d’infrastructure, des serveurs métiers, des postes de travail utilisateurs, des postes de travail administrateurs, des postes de téléphonie sur IP, etc. Une zone se caractérise alors par des VLAN et des sous-réseaux IP dédiés voire par des infrastructures dédiées selon sa criticité. Ainsi, des mesures de cloisonnement telles qu’un filtrage IP à l’aide d’un pare-feu peuvent être mises en place entre les différentes zones. On veillera en particulier à cloisonner autant que possible les équipements et flux associés aux tâches d’administration. Pour les réseaux dont le cloisonnement a posteriori ne serait pas aisé, il est recommandé d’intégrer cette démarche dans toute nouvelle extension du réseau ou à l’occasion d’un renouvellement d’équipements.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les différentes zones font l'objet de mécanismes de filtrage adaptés.", "statusLevelId": 0 }, { "title": "GHY19-S_V03 | Segmenter le réseau et mettre en place un cloisonnement entre ces zones", "description": "Lorsque le réseau est « à plat », sans aucun mécanisme de cloisonnement, chaque machine du réseau peut accéder à n’importe quelle autre machine. La compromission de l’une d’elles met alors en péril l’ensemble des machines connectées. Un attaquant peut ainsi compromettre un poste utilisateur et ensuite « rebondir » jusqu’à des serveurs critiques. Il est donc important, dès la conception de l’architecture réseau, de raisonner par segmentation en zones composées de systèmes ayant des besoins de sécurité homogènes. On pourra par exemple regrouper distinctement des serveurs d’infrastructure, des serveurs métiers, des postes de travail utilisateurs, des postes de travail administrateurs, des postes de téléphonie sur IP, etc. Une zone se caractérise alors par des VLAN et des sous-réseaux IP dédiés voire par des infrastructures dédiées selon sa criticité. Ainsi, des mesures de cloisonnement telles qu’un filtrage IP à l’aide d’un pare-feu peuvent être mises en place entre les différentes zones. On veillera en particulier à cloisonner autant que possible les équipements et flux associés aux tâches d’administration. Pour les réseaux dont le cloisonnement a posteriori ne serait pas aisé, il est recommandé d’intégrer cette démarche dans toute nouvelle extension du réseau ou à l’occasion d’un renouvellement d’équipements.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les flux et équipements d'administration sont cloisonnés.", "statusLevelId": 0 }, { "title": "GHY20-S_V01 | S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages", "description": "L’usage du Wi-Fi en milieu professionnel est aujourd’hui démocratisé, mais présente toujours des risques de sécurité bien spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de l’entité, configuration par défaut des points d’accès peu sécurisée, etc. La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès Wi-Fi doivent donc être filtrés et restreints aux seuls flux nécessaires. De plus, il est important d’avoir recours prioritairement à un chiffrement robuste (mode WPA2, algorithme AES CCMP) et à une authentification centralisée, si possible par certificats clients des machines. La protection du réseau Wi-Fi par un mot de passe unique et partagé est déconseillée. À défaut, il doit être complexe et son renouvellement prévu, mais il ne doit en aucun cas être diffusé à des tiers non autorisés. Les points d’accès doivent par ailleurs être administrés de manière sécurisée (ex : interface dédiée, modification du mot de passe administrateur par défaut). Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs (ordinateurs portables, ordiphones) doit être séparée des connexions Wi-Fi des terminaux de l’entité (ex : SSID et VLAN distincts, accès Internet dédié).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les flux des postes connectés au réseau Wi-Fi sont filtrés et restreints aux seuls flux nécessaires.", "statusLevelId": 0 }, { "title": "GHY20-S_V02 | S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages", "description": "L’usage du Wi-Fi en milieu professionnel est aujourd’hui démocratisé, mais présente toujours des risques de sécurité bien spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de l’entité, configuration par défaut des points d’accès peu sécurisée, etc. La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès Wi-Fi doivent donc être filtrés et restreints aux seuls flux nécessaires. De plus, il est important d’avoir recours prioritairement à un chiffrement robuste (mode WPA2, algorithme AES CCMP) et à une authentification centralisée, si possible par certificats clients des machines. La protection du réseau Wi-Fi par un mot de passe unique et partagé est déconseillée. À défaut, il doit être complexe et son renouvellement prévu, mais il ne doit en aucun cas être diffusé à des tiers non autorisés. Les points d’accès doivent par ailleurs être administrés de manière sécurisée (ex : interface dédiée, modification du mot de passe administrateur par défaut). Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs (ordinateurs portables, ordiphones) doit être séparée des connexions Wi-Fi des terminaux de l’entité (ex : SSID et VLAN distincts, accès Internet dédié).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les flux en provenance des postes connectés au réseau Wi-Fi sont chiffrés par recours à un chiffrement robuste et à une authentification centralisée (si possible par certificats clients des machines).", "statusLevelId": 0 }, { "title": "GHY20-S_V03 | S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages", "description": "L’usage du Wi-Fi en milieu professionnel est aujourd’hui démocratisé, mais présente toujours des risques de sécurité bien spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de l’entité, configuration par défaut des points d’accès peu sécurisée, etc. La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès Wi-Fi doivent donc être filtrés et restreints aux seuls flux nécessaires. De plus, il est important d’avoir recours prioritairement à un chiffrement robuste (mode WPA2, algorithme AES CCMP) et à une authentification centralisée, si possible par certificats clients des machines. La protection du réseau Wi-Fi par un mot de passe unique et partagé est déconseillée. À défaut, il doit être complexe et son renouvellement prévu, mais il ne doit en aucun cas être diffusé à des tiers non autorisés. Les points d’accès doivent par ailleurs être administrés de manière sécurisée (ex : interface dédiée, modification du mot de passe administrateur par défaut). Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs (ordinateurs portables, ordiphones) doit être séparée des connexions Wi-Fi des terminaux de l’entité (ex : SSID et VLAN distincts, accès Internet dédié).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que la protection du réseau Wi-Fi ne repose pas sur l'utilisation d'un mot de passe unique et partagé.", "statusLevelId": 0 }, { "title": "GHY20-S_V04 | S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages", "description": "L’usage du Wi-Fi en milieu professionnel est aujourd’hui démocratisé, mais présente toujours des risques de sécurité bien spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de l’entité, configuration par défaut des points d’accès peu sécurisée, etc. La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès Wi-Fi doivent donc être filtrés et restreints aux seuls flux nécessaires. De plus, il est important d’avoir recours prioritairement à un chiffrement robuste (mode WPA2, algorithme AES CCMP) et à une authentification centralisée, si possible par certificats clients des machines. La protection du réseau Wi-Fi par un mot de passe unique et partagé est déconseillée. À défaut, il doit être complexe et son renouvellement prévu, mais il ne doit en aucun cas être diffusé à des tiers non autorisés. Les points d’accès doivent par ailleurs être administrés de manière sécurisée (ex : interface dédiée, modification du mot de passe administrateur par défaut). Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs (ordinateurs portables, ordiphones) doit être séparée des connexions Wi-Fi des terminaux de l’entité (ex : SSID et VLAN distincts, accès Internet dédié).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier, en cas de protection du réseau Wi-Fi par un mot de passe unique et partagé, que celui-ci n'est en aucun diffusé à des tiers non autorisés.", "statusLevelId": 0 }, { "title": "GHY20-S_V05 | S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages", "description": "L’usage du Wi-Fi en milieu professionnel est aujourd’hui démocratisé, mais présente toujours des risques de sécurité bien spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de l’entité, configuration par défaut des points d’accès peu sécurisée, etc. La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès Wi-Fi doivent donc être filtrés et restreints aux seuls flux nécessaires. De plus, il est important d’avoir recours prioritairement à un chiffrement robuste (mode WPA2, algorithme AES CCMP) et à une authentification centralisée, si possible par certificats clients des machines. La protection du réseau Wi-Fi par un mot de passe unique et partagé est déconseillée. À défaut, il doit être complexe et son renouvellement prévu, mais il ne doit en aucun cas être diffusé à des tiers non autorisés. Les points d’accès doivent par ailleurs être administrés de manière sécurisée (ex : interface dédiée, modification du mot de passe administrateur par défaut). Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs (ordinateurs portables, ordiphones) doit être séparée des connexions Wi-Fi des terminaux de l’entité (ex : SSID et VLAN distincts, accès Internet dédié).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que l'administration du réseau Wi-Fi est sécurisée.", "statusLevelId": 0 }, { "title": "GHY20-S_V06 | S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages", "description": "L’usage du Wi-Fi en milieu professionnel est aujourd’hui démocratisé, mais présente toujours des risques de sécurité bien spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de l’entité, configuration par défaut des points d’accès peu sécurisée, etc. La segmentation de l’architecture réseau doit permettre de limiter les conséquences d’une intrusion par voie radio à un périmètre déterminé du système d’information. Les flux en provenance des postes connectés au réseau d’accès Wi-Fi doivent donc être filtrés et restreints aux seuls flux nécessaires. De plus, il est important d’avoir recours prioritairement à un chiffrement robuste (mode WPA2, algorithme AES CCMP) et à une authentification centralisée, si possible par certificats clients des machines. La protection du réseau Wi-Fi par un mot de passe unique et partagé est déconseillée. À défaut, il doit être complexe et son renouvellement prévu, mais il ne doit en aucun cas être diffusé à des tiers non autorisés. Les points d’accès doivent par ailleurs être administrés de manière sécurisée (ex : interface dédiée, modification du mot de passe administrateur par défaut). Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs (ordinateurs portables, ordiphones) doit être séparée des connexions Wi-Fi des terminaux de l’entité (ex : SSID et VLAN distincts, accès Internet dédié).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les connexions Wi-Fi des terminaux personnels ou de visiteurs sont séparées des connexions Wi-Fi de l'entité.", "statusLevelId": 0 }, { "title": "GHY21-S_V01 | Utiliser des protocoles réseaux sécurisés dès qu’ils existent", "description": "Si aujourd’hui la sécurité n’est plus optionnelle, cela n’a pas toujours été le cas. C’est pourquoi de nombreux protocoles réseaux ont dû évoluer pour intégrer cette composante et répondre aux besoins de confidentialité et d’intégrité qu’impose l’échange de données. Les protocoles réseaux sécurisés doivent être utilisés dès que possible, que ce soit sur des réseaux publics (Internet par exemple) ou sur le réseau interne de l’entité. Bien qu’il soit difficile d’en dresser une liste exhaustive, les protocoles les plus courants reposent sur l’utilisation de TLS et sont souvent identifiables par l’ajout de la lettre « s » (pour secure en anglais) à l’acronyme du protocole.\nCitons par exemple https pour la navigation Web ou IMAPS, SMTPS ou POP3S pour la messagerie.\nD’autres protocoles ont été conçus de manière sécurisée dès la conception pour se substituer à d’anciens protocoles non sécurisés. Citons par exemple SSH (Secure SHell) venu remplacer les protocoles de communication historiques TELNET et RLOGIN.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que l'entité utilise dès que possible des protocoles réseaux sécurisés sur son réseau interne et de/vers les réseaux publics.", "statusLevelId": 0 }, { "title": "GHY22-S_V01 | Mettre en place une passerelle d’accès sécurisé à Internet", "description": "L’accès à Internet, devenu indispensable, présente des risques importants : sites Web hébergeant du code malveillant, téléchargement de fichiers « toxiques » et, par conséquent, possible prise de contrôle du terminal, fuite de données sensibles, etc. Pour sécuriser cet usage, il est donc indispensable que les terminaux utilisateurs n’aient pas d’accès réseau direct à Internet. C’est pourquoi il est recommandé de mettre en œuvre une passerelle sécurisée d’accès à Internet comprenant au minimum un pare-feu au plus près de l’accès Internet pour filtrer les connexions et un serveur mandataire (proxy) embarquant différents mécanismes de sécurité. Celui-ci assure notamment l’authentification des utilisateurs et la journalisation des requêtes.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les terminaux utilisateurs n'ont accès à Internet qu'à travers une passerelle sécurisée.", "statusLevelId": 0 }, { "title": "GHY22-S_V02 | Mettre en place une passerelle d’accès sécurisé à Internet", "description": "L’accès à Internet, devenu indispensable, présente des risques importants : sites Web hébergeant du code malveillant, téléchargement de fichiers « toxiques » et, par conséquent, possible prise de contrôle du terminal, fuite de données sensibles, etc. Pour sécuriser cet usage, il est donc indispensable que les terminaux utilisateurs n’aient pas d’accès réseau direct à Internet. C’est pourquoi il est recommandé de mettre en œuvre une passerelle sécurisée d’accès à Internet comprenant au minimum un pare-feu au plus près de l’accès Internet pour filtrer les connexions et un serveur mandataire (proxy) embarquant différents mécanismes de sécurité. Celui-ci assure notamment l’authentification des utilisateurs et la journalisation des requêtes.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que la passerelle sécurisée mise en œuvre assure les fonctionnalités suivantes: \n- pare-feu au plus près de l'accès à Internet,\n- serveur mandataire (proxy) embarquant des mécanismes de sécurité tels que l'authentification des utilisateurs, la journalisation des requêtes.", "statusLevelId": 0 }, { "title": "GHY22-R_V01 | Mettre en place une passerelle d’accès sécurisé à Internet", "description": "Des mécanismes complémentaires sur le serveur mandataire pourront être activés selon les besoins de l’entité : analyse antivirus du contenu, filtrage par catégories d’URLs, etc. Le maintien en condition de sécurité des équipements de la passerelle est essentiel, il fera donc l’objet de procédures à respecter.\n Suivant le nombre de collaborateurs et le besoin de disponibilité, ces équipements pourront être redondés. Par ailleurs, pour les terminaux utilisateurs, les résolutions DNS en direct de noms de domaines publics seront par défaut désactivées, celles-ci étant déléguées au serveur mandataire. Enfin, il est fortement recommandé que les postes nomades établissent au préalable une connexion sécurisée au système d’information de l’entité pour naviguer de manière sécurisée sur le Web à travers la passerelle.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que la passerelle sécurisée comprend des mécanismes de sécurité pouvant être activée selon les besoins de l'entité, tels que analyse antivirus de contenu, filtrage par catégories d'URL, etc.", "statusLevelId": 0 }, { "title": "GHY22-R_V02 | Mettre en place une passerelle d’accès sécurisé à Internet", "description": "Des mécanismes complémentaires sur le serveur mandataire pourront être activés selon les besoins de l’entité : analyse antivirus du contenu, filtrage par catégories d’URLs, etc. Le maintien en condition de sécurité des équipements de la passerelle est essentiel, il fera donc l’objet de procédures à respecter.\n Suivant le nombre de collaborateurs et le besoin de disponibilité, ces équipements pourront être redondés. Par ailleurs, pour les terminaux utilisateurs, les résolutions DNS en direct de noms de domaines publics seront par défaut désactivées, celles-ci étant déléguées au serveur mandataire. Enfin, il est fortement recommandé que les postes nomades établissent au préalable une connexion sécurisée au système d’information de l’entité pour naviguer de manière sécurisée sur le Web à travers la passerelle.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que, pour les terminaux utilisateurs, la résolution DNS en direct de noms de domaines publics est par défaut désactivée, et que celle-ci est déléguée au serveur mandataire.", "statusLevelId": 0 }, { "title": "GHY22-R_V03 | Mettre en place une passerelle d’accès sécurisé à Internet", "description": "Des mécanismes complémentaires sur le serveur mandataire pourront être activés selon les besoins de l’entité : analyse antivirus du contenu, filtrage par catégories d’URLs, etc. Le maintien en condition de sécurité des équipements de la passerelle est essentiel, il fera donc l’objet de procédures à respecter.\n Suivant le nombre de collaborateurs et le besoin de disponibilité, ces équipements pourront être redondés. Par ailleurs, pour les terminaux utilisateurs, les résolutions DNS en direct de noms de domaines publics seront par défaut désactivées, celles-ci étant déléguées au serveur mandataire. Enfin, il est fortement recommandé que les postes nomades établissent au préalable une connexion sécurisée au système d’information de l’entité pour naviguer de manière sécurisée sur le Web à travers la passerelle.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les postes nomades doivent établir au préalable une connexion sécurisée au système d’information de l’entité pour naviguer de manière sécurisée sur le Web à travers la passerelle.", "statusLevelId": 0 }, { "title": "GHY23-S_V01 | Cloisonner les services visibles depuis Internet du reste du système d’information", "description": "Une entité peut choisir d’héberger en interne des services visibles sur Internet (site web, serveur de messagerie, etc.). Au regard de l’évolution et du perfectionnement des cyberattaques sur Internet, il est essentiel de garantir un haut niveau de protection de ce service avec des administrateurs compétents, formés de manière continue (à l’état de l’art des technologies en la matière) et disponibles. Dans le cas contraire, le recours à un hébergement externalisé auprès de professionnels est à privilégier. De plus, les infrastructures d’hébergement Internet doivent être physiquement cloisonnées de toutes les infrastructures du système d’information qui n’ont pas vocation à être visibles depuis Internet. Enfin, il convient de mettre en place une infrastructure d’interconnexion de ces services avec Internet permettant de filtrer les flux liés à ces services de manière distincte des autres flux de l’entité. Il s’agit également d’imposer le passage des flux entrants par un serveur mandataire inverse (reverse proxy) embarquant différents mécanismes de sécurité.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les infrastructures d'hébergement Internet de l'entité sont physiquement cloisonnées de toutes les infrastructures du système d'information n'ayant pas vocation à être visibles depuis Internet.", "statusLevelId": 0 }, { "title": "GHY23-S_V02 | Cloisonner les services visibles depuis Internet du reste du système d’information", "description": "Une entité peut choisir d’héberger en interne des services visibles sur Internet (site web, serveur de messagerie, etc.). Au regard de l’évolution et du perfectionnement des cyberattaques sur Internet, il est essentiel de garantir un haut niveau de protection de ce service avec des administrateurs compétents, formés de manière continue (à l’état de l’art des technologies en la matière) et disponibles. Dans le cas contraire, le recours à un hébergement externalisé auprès de professionnels est à privilégier. De plus, les infrastructures d’hébergement Internet doivent être physiquement cloisonnées de toutes les infrastructures du système d’information qui n’ont pas vocation à être visibles depuis Internet. Enfin, il convient de mettre en place une infrastructure d’interconnexion de ces services avec Internet permettant de filtrer les flux liés à ces services de manière distincte des autres flux de l’entité. Il s’agit également d’imposer le passage des flux entrants par un serveur mandataire inverse (reverse proxy) embarquant différents mécanismes de sécurité.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que l'entité met en œuvre une infrastructure d'interconnexion permettant de filtrer les flux liés à ces services exposés à Internet de manière distincte des autres flux de l'entité. ", "statusLevelId": 0 }, { "title": "GHY23-S_V03 | Cloisonner les services visibles depuis Internet du reste du système d’information", "description": "Une entité peut choisir d’héberger en interne des services visibles sur Internet (site web, serveur de messagerie, etc.). Au regard de l’évolution et du perfectionnement des cyberattaques sur Internet, il est essentiel de garantir un haut niveau de protection de ce service avec des administrateurs compétents, formés de manière continue (à l’état de l’art des technologies en la matière) et disponibles. Dans le cas contraire, le recours à un hébergement externalisé auprès de professionnels est à privilégier. De plus, les infrastructures d’hébergement Internet doivent être physiquement cloisonnées de toutes les infrastructures du système d’information qui n’ont pas vocation à être visibles depuis Internet. Enfin, il convient de mettre en place une infrastructure d’interconnexion de ces services avec Internet permettant de filtrer les flux liés à ces services de manière distincte des autres flux de l’entité. Il s’agit également d’imposer le passage des flux entrants par un serveur mandataire inverse (reverse proxy) embarquant différents mécanismes de sécurité.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les flux entrants Internet passent systématiquement par un serveur mandataire inverse (reverse proxy) et que celui-ci est équipé de mécanismes de sécurité.", "statusLevelId": 0 }, { "title": "GHY24-S_V01 | Protéger sa messagerie professionnelle", "description": "La messagerie est le principal vecteur d’infection du poste de travail, qu’il s’agisse de l’ouverture de pièces jointes contenant un code malveillant ou du clic malencontreux sur un lien redirigeant vers un site lui-même malveillant. Les utilisateurs doivent être particulièrement sensibilisés à ce sujet : l’expéditeur est-il connu ? Une information de sa part est-elle attendue ? Le lien proposé est-il cohérent avec le sujet évoqué ? En cas de doute, une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc.) est nécessaire. Pour se prémunir d’escroqueries (ex. : demande de virement frauduleux émanant vraisemblablement d’un dirigeant), des mesures organisationnelles doivent être appliquées strictement. Par ailleurs, la redirection de messages professionnels vers une messagerie personnelle est à proscrire car cela constitue une fuite irrémédiable d’informations de l’entité. Si nécessaire des moyens maîtrisés et sécurisés pour l’accès distant à la messagerie professionnelle doivent être proposés. Que l’entité héberge ou fasse héberger son système de messagerie, elle doit s’assurer :\n- de disposer d’un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs pour prévenir la réception de fichiers infectés ;\n- de l’activation du chiffrement TLS des échanges entre serveurs de messagerie (de l’entité ou publics) ainsi qu’entre les postes utilisateur et les serveurs hébergeant les boîtes aux lettres.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier l'existence et la mise en œuvre d'un plan de sensibilisation sur l'emploi de la messagerie et intégrant à minima les questions réflexes suivantes : \n- L’expéditeur est-il connu ? \n- Une information de sa part est-elle attendue ? \n- Le lien proposé est-il cohérent avec le sujet évoqué ? \n- En cas de doute, comment réaliser une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc.) ?", "statusLevelId": 0 }, { "title": "GHY24-S_V02 | Protéger sa messagerie professionnelle", "description": "La messagerie est le principal vecteur d’infection du poste de travail, qu’il s’agisse de l’ouverture de pièces jointes contenant un code malveillant ou du clic malencontreux sur un lien redirigeant vers un site lui-même malveillant. Les utilisateurs doivent être particulièrement sensibilisés à ce sujet : l’expéditeur est-il connu ? Une information de sa part est-elle attendue ? Le lien proposé est-il cohérent avec le sujet évoqué ? En cas de doute, une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc.) est nécessaire. Pour se prémunir d’escroqueries (ex. : demande de virement frauduleux émanant vraisemblablement d’un dirigeant), des mesures organisationnelles doivent être appliquées strictement. Par ailleurs, la redirection de messages professionnels vers une messagerie personnelle est à proscrire car cela constitue une fuite irrémédiable d’informations de l’entité. Si nécessaire des moyens maîtrisés et sécurisés pour l’accès distant à la messagerie professionnelle doivent être proposés. Que l’entité héberge ou fasse héberger son système de messagerie, elle doit s’assurer :\n- de disposer d’un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs pour prévenir la réception de fichiers infectés ;\n- de l’activation du chiffrement TLS des échanges entre serveurs de messagerie (de l’entité ou publics) ainsi qu’entre les postes utilisateur et les serveurs hébergeant les boîtes aux lettres.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que la politique de sécurité du système d'information (ou tout autre règlement) de l'entité proscrit la redirection de messages professionnels vers une messagerie personnelle.", "statusLevelId": 0 }, { "title": "GHY24-S_V03 | Protéger sa messagerie professionnelle", "description": "La messagerie est le principal vecteur d’infection du poste de travail, qu’il s’agisse de l’ouverture de pièces jointes contenant un code malveillant ou du clic malencontreux sur un lien redirigeant vers un site lui-même malveillant. Les utilisateurs doivent être particulièrement sensibilisés à ce sujet : l’expéditeur est-il connu ? Une information de sa part est-elle attendue ? Le lien proposé est-il cohérent avec le sujet évoqué ? En cas de doute, une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc.) est nécessaire. Pour se prémunir d’escroqueries (ex. : demande de virement frauduleux émanant vraisemblablement d’un dirigeant), des mesures organisationnelles doivent être appliquées strictement. Par ailleurs, la redirection de messages professionnels vers une messagerie personnelle est à proscrire car cela constitue une fuite irrémédiable d’informations de l’entité. Si nécessaire des moyens maîtrisés et sécurisés pour l’accès distant à la messagerie professionnelle doivent être proposés. Que l’entité héberge ou fasse héberger son système de messagerie, elle doit s’assurer :\n- de disposer d’un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs pour prévenir la réception de fichiers infectés ;\n- de l’activation du chiffrement TLS des échanges entre serveurs de messagerie (de l’entité ou publics) ainsi qu’entre les postes utilisateur et les serveurs hébergeant les boîtes aux lettres.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que le système de messagerie de l'entité comprend un module d'analyse antivirus des contenus en amont des boîtes aux lettres permettant de prévenir la réception de fichiers infectés.", "statusLevelId": 0 }, { "title": "GHY24-S_V04 | Protéger sa messagerie professionnelle", "description": "La messagerie est le principal vecteur d’infection du poste de travail, qu’il s’agisse de l’ouverture de pièces jointes contenant un code malveillant ou du clic malencontreux sur un lien redirigeant vers un site lui-même malveillant. Les utilisateurs doivent être particulièrement sensibilisés à ce sujet : l’expéditeur est-il connu ? Une information de sa part est-elle attendue ? Le lien proposé est-il cohérent avec le sujet évoqué ? En cas de doute, une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc.) est nécessaire. Pour se prémunir d’escroqueries (ex. : demande de virement frauduleux émanant vraisemblablement d’un dirigeant), des mesures organisationnelles doivent être appliquées strictement. Par ailleurs, la redirection de messages professionnels vers une messagerie personnelle est à proscrire car cela constitue une fuite irrémédiable d’informations de l’entité. Si nécessaire des moyens maîtrisés et sécurisés pour l’accès distant à la messagerie professionnelle doivent être proposés. Que l’entité héberge ou fasse héberger son système de messagerie, elle doit s’assurer :\n- de disposer d’un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs pour prévenir la réception de fichiers infectés ;\n- de l’activation du chiffrement TLS des échanges entre serveurs de messagerie (de l’entité ou publics) ainsi qu’entre les postes utilisateur et les serveurs hébergeant les boîtes aux lettres.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que le chiffrement TLS est activé lors des échanges entre les serveurs de messagerie ainsi qu'entre les postes utilisateurs et les serveurs hébergeant les boîtes aux lettres.", "statusLevelId": 0 }, { "title": "GHY24-R_V01 | Protéger sa messagerie professionnelle", "description": "Il est souhaitable de ne pas exposer directement les serveurs de boîte aux lettres sur Internet. Dans ce cas, un serveur relai dédié à l’envoi et à la réception des messages doit être mis en place en coupure d’Internet. Alors que le spam - malveillant ou non - constitue la majorité des courriels échangés sur Internet, le déploiement d’un service anti-spam doit permettre d’éliminer cette source de risques. Enfin, l’administrateur de messagerie s’assurera de la mise en place des mécanismes de vérification d’authenticité et de la bonne configuration des enregistrements DNS publics liés à son infrastructure de messagerie (MX, SPF, DKIM, DMARC).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier qu'un serveur relai dédié à l’envoi et à la réception des messages est mis en place en coupure d’Internet.", "statusLevelId": 0 }, { "title": "GHY24-R_V02 | Protéger sa messagerie professionnelle", "description": "Il est souhaitable de ne pas exposer directement les serveurs de boîte aux lettres sur Internet. Dans ce cas, un serveur relai dédié à l’envoi et à la réception des messages doit être mis en place en coupure d’Internet. Alors que le spam - malveillant ou non - constitue la majorité des courriels échangés sur Internet, le déploiement d’un service anti-spam doit permettre d’éliminer cette source de risques. Enfin, l’administrateur de messagerie s’assurera de la mise en place des mécanismes de vérification d’authenticité et de la bonne configuration des enregistrements DNS publics liés à son infrastructure de messagerie (MX, SPF, DKIM, DMARC).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que le système d'information de l'entité comprend un service anti-spam.", "statusLevelId": 0 }, { "title": "GHY24-R_V03 | Protéger sa messagerie professionnelle", "description": "Il est souhaitable de ne pas exposer directement les serveurs de boîte aux lettres sur Internet. Dans ce cas, un serveur relai dédié à l’envoi et à la réception des messages doit être mis en place en coupure d’Internet. Alors que le spam - malveillant ou non - constitue la majorité des courriels échangés sur Internet, le déploiement d’un service anti-spam doit permettre d’éliminer cette source de risques. Enfin, l’administrateur de messagerie s’assurera de la mise en place des mécanismes de vérification d’authenticité et de la bonne configuration des enregistrements DNS publics liés à son infrastructure de messagerie (MX, SPF, DKIM, DMARC).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier la mise en œuvre par l'administrateur de messagerie de mécanismes de vérification d’authenticité.", "statusLevelId": 0 }, { "title": "GHY24-R_V04 | Protéger sa messagerie professionnelle", "description": "Il est souhaitable de ne pas exposer directement les serveurs de boîte aux lettres sur Internet. Dans ce cas, un serveur relai dédié à l’envoi et à la réception des messages doit être mis en place en coupure d’Internet. Alors que le spam - malveillant ou non - constitue la majorité des courriels échangés sur Internet, le déploiement d’un service anti-spam doit permettre d’éliminer cette source de risques. Enfin, l’administrateur de messagerie s’assurera de la mise en place des mécanismes de vérification d’authenticité et de la bonne configuration des enregistrements DNS publics liés à son infrastructure de messagerie (MX, SPF, DKIM, DMARC).", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier la bonne configuration des enregistrements DNS publics liés à l'infrastructure de messagerie de l'entité.", "statusLevelId": 0 }, { "title": "GHY25-S_V01 | Sécuriser les interconnexions réseau dédiées avec les partenaires", "description": "Pour des besoins opérationnels, une entité peut être amenée à établir une interconnexion réseau dédiée avec un fournisseur ou un client (ex. : infogérance, échange de données informatisées, flux monétiques, etc.). Cette interconnexion peut se faire au travers d’un lien sur le réseau privé de l’entité ou directement sur Internet. Dans le second cas, il convient d’établir un tunnel site à site, de préférence IPsec, en respectant les préconisations de l’ANSSI. Le partenaire étant considéré par défaut comme non sûr, il est indispensable d’effectuer un filtrage IP à l’aide d’un pare-feu au plus près de l’entrée des flux sur le réseau de l’entité. La matrice des flux (entrants et sortants) devra être réduite au juste besoin opérationnel, maintenue dans le temps et la configuration des équipements devra y être conforme.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que l'interconnexion avec les fournisseurs et les clients via Internet est réalisée à travers un tunnel site à site respectant les préconisations de l'ANSSI.", "statusLevelId": 0 }, { "title": "GHY25-S_V02 | Sécuriser les interconnexions réseau dédiées avec les partenaires", "description": "Pour des besoins opérationnels, une entité peut être amenée à établir une interconnexion réseau dédiée avec un fournisseur ou un client (ex. : infogérance, échange de données informatisées, flux monétiques, etc.). Cette interconnexion peut se faire au travers d’un lien sur le réseau privé de l’entité ou directement sur Internet. Dans le second cas, il convient d’établir un tunnel site à site, de préférence IPsec, en respectant les préconisations de l’ANSSI. Le partenaire étant considéré par défaut comme non sûr, il est indispensable d’effectuer un filtrage IP à l’aide d’un pare-feu au plus près de l’entrée des flux sur le réseau de l’entité. La matrice des flux (entrants et sortants) devra être réduite au juste besoin opérationnel, maintenue dans le temps et la configuration des équipements devra y être conforme.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que l'interconnexion avec les fournisseurs et clients fait l'objet d'un filtrage IP à l'aide d'un pare-feu au plus près de l'entrée des flux sur le réseau de l'entité.", "statusLevelId": 0 }, { "title": "GHY25-S_V03 | Sécuriser les interconnexions réseau dédiées avec les partenaires", "description": "Pour des besoins opérationnels, une entité peut être amenée à établir une interconnexion réseau dédiée avec un fournisseur ou un client (ex. : infogérance, échange de données informatisées, flux monétiques, etc.). Cette interconnexion peut se faire au travers d’un lien sur le réseau privé de l’entité ou directement sur Internet. Dans le second cas, il convient d’établir un tunnel site à site, de préférence IPsec, en respectant les préconisations de l’ANSSI. Le partenaire étant considéré par défaut comme non sûr, il est indispensable d’effectuer un filtrage IP à l’aide d’un pare-feu au plus près de l’entrée des flux sur le réseau de l’entité. La matrice des flux (entrants et sortants) devra être réduite au juste besoin opérationnel, maintenue dans le temps et la configuration des équipements devra y être conforme.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que la matrice des flux (entrants et sortants) est réduite au juste besoin opérationnel, maintenue dans le temps et que la configuration des équipements y sont conformes.", "statusLevelId": 0 }, { "title": "GHY25-R_V01 | Sécuriser les interconnexions réseau dédiées avec les partenaires", "description": "Pour des entités ayant des besoins de sécurité plus exigeants, il conviendra de s’assurer que l’équipement de filtrage IP pour les connexions partenaires est dédié à cet usage.\nL’ajout d’un équipement de détection d’intrusions peut également constituer une bonne pratique.\nPar ailleurs la connaissance d’un point de contact à jour chez le partenaire est nécessaire pour pouvoir réagir en cas d’incident de sécurité.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les équipements de filtrage IP pour les interconnexions partenaires sont dédiés à cet usage.", "statusLevelId": 0 }, { "title": "GHY25-R_V02 | Sécuriser les interconnexions réseau dédiées avec les partenaires", "description": "Pour des entités ayant des besoins de sécurité plus exigeants, il conviendra de s’assurer que l’équipement de filtrage IP pour les connexions partenaires est dédié à cet usage.\nL’ajout d’un équipement de détection d’intrusions peut également constituer une bonne pratique.\nPar ailleurs la connaissance d’un point de contact à jour chez le partenaire est nécessaire pour pouvoir réagir en cas d’incident de sécurité.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les interconnexions avec les partenaires sont supervisées (sondes de détection des incidents de sécurité et intrusions par exemple).", "statusLevelId": 0 }, { "title": "GHY25-R_V03 | Sécuriser les interconnexions réseau dédiées avec les partenaires", "description": "Pour des entités ayant des besoins de sécurité plus exigeants, il conviendra de s’assurer que l’équipement de filtrage IP pour les connexions partenaires est dédié à cet usage.\nL’ajout d’un équipement de détection d’intrusions peut également constituer une bonne pratique.\nPar ailleurs la connaissance d’un point de contact à jour chez le partenaire est nécessaire pour pouvoir réagir en cas d’incident de sécurité.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les procédures de gestion des incidents comprennent l'entretien d'une liste de contacts chez les partenaires en cas d'incident de sécurité.", "statusLevelId": 0 }, { "title": "GHY26-S_V01 | Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques", "description": "Les mécanismes de sécurité physique doivent faire partie intégrante de la sécurité des systèmes d’information et être à l’état de l’art afin de s’assurer qu’ils ne puissent pas être contournés aisément par un attaquant. Il convient donc d’identifier les mesures de sécurité physique adéquates et de sensibiliser continuellement les utilisateurs aux risques engendrés par le contournement des règles. Les accès aux salles serveurs et aux locaux techniques doivent être contrôlés à l’aide de serrures ou de mécanismes de contrôle d’accès par badge. Les accès non accompagnés des prestataires extérieurs aux salles serveurs et aux locaux techniques sont à proscrire, sauf s’il est possible de tracer strictement les accès et de limiter ces derniers en fonction des plages horaires. Une revue des droits d’accès doit être réalisée régulièrement afin d’identifier les accès non autorisés. Lors du départ d’un collaborateur ou d’un changement de prestataire, il est nécessaire de procéder au retrait des droits d’accès ou au changement des codes d’accès. Enfin, les prises réseau se trouvant dans des zones ouvertes au public (salle de réunion, hall d’accueil, couloirs, placards, etc.) doivent être restreintes ou désactivées afin d’empêcher un attaquant de gagner facilement l’accès au réseau de l’entreprise.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que des mesures et des mécanismes de sécurité physique sont mis en œuvre et considèrent notamment : \n- l'identification des mécanismes de sécurité physique ;\n- l'attendu d'un niveau à l'état de l'art des mécanismes de sécurité ;\n- le contrôle de l'accès aux salles serveurs et locaux techniques au moyen de serrures ou de mécanismes d'accès par badge ;\n- l'interdiction d'accès aux prestataires extérieurs non accompagnés aux salles serveurs et locaux techniques sauf s'il est possible de tracer strictement les accès et de les limiter en fonction des plages horaires ;\n- une revue régulière des droits d'accès.", "statusLevelId": 0 }, { "title": "GHY26-S_V02 | Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques", "description": "Les mécanismes de sécurité physique doivent faire partie intégrante de la sécurité des systèmes d’information et être à l’état de l’art afin de s’assurer qu’ils ne puissent pas être contournés aisément par un attaquant. Il convient donc d’identifier les mesures de sécurité physique adéquates et de sensibiliser continuellement les utilisateurs aux risques engendrés par le contournement des règles. Les accès aux salles serveurs et aux locaux techniques doivent être contrôlés à l’aide de serrures ou de mécanismes de contrôle d’accès par badge. Les accès non accompagnés des prestataires extérieurs aux salles serveurs et aux locaux techniques sont à proscrire, sauf s’il est possible de tracer strictement les accès et de limiter ces derniers en fonction des plages horaires. Une revue des droits d’accès doit être réalisée régulièrement afin d’identifier les accès non autorisés. Lors du départ d’un collaborateur ou d’un changement de prestataire, il est nécessaire de procéder au retrait des droits d’accès ou au changement des codes d’accès. Enfin, les prises réseau se trouvant dans des zones ouvertes au public (salle de réunion, hall d’accueil, couloirs, placards, etc.) doivent être restreintes ou désactivées afin d’empêcher un attaquant de gagner facilement l’accès au réseau de l’entreprise.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que le plan de sensibilisation des personnels comprend les risques liés au contournement des mesures de sécurité physique. ", "statusLevelId": 0 }, { "title": "GHY26-S_V03 | Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques", "description": "Les mécanismes de sécurité physique doivent faire partie intégrante de la sécurité des systèmes d’information et être à l’état de l’art afin de s’assurer qu’ils ne puissent pas être contournés aisément par un attaquant. Il convient donc d’identifier les mesures de sécurité physique adéquates et de sensibiliser continuellement les utilisateurs aux risques engendrés par le contournement des règles. Les accès aux salles serveurs et aux locaux techniques doivent être contrôlés à l’aide de serrures ou de mécanismes de contrôle d’accès par badge. Les accès non accompagnés des prestataires extérieurs aux salles serveurs et aux locaux techniques sont à proscrire, sauf s’il est possible de tracer strictement les accès et de limiter ces derniers en fonction des plages horaires. Une revue des droits d’accès doit être réalisée régulièrement afin d’identifier les accès non autorisés. Lors du départ d’un collaborateur ou d’un changement de prestataire, il est nécessaire de procéder au retrait des droits d’accès ou au changement des codes d’accès. Enfin, les prises réseau se trouvant dans des zones ouvertes au public (salle de réunion, hall d’accueil, couloirs, placards, etc.) doivent être restreintes ou désactivées afin d’empêcher un attaquant de gagner facilement l’accès au réseau de l’entreprise.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les procédures d'arrivée, départ et de mobilité des personnels comprennent le retrait des droits d'accès physiques ou le changement des codes d’accès.", "statusLevelId": 0 }, { "title": "GHY26-S_V04 | Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques", "description": "Les mécanismes de sécurité physique doivent faire partie intégrante de la sécurité des systèmes d’information et être à l’état de l’art afin de s’assurer qu’ils ne puissent pas être contournés aisément par un attaquant. Il convient donc d’identifier les mesures de sécurité physique adéquates et de sensibiliser continuellement les utilisateurs aux risques engendrés par le contournement des règles. Les accès aux salles serveurs et aux locaux techniques doivent être contrôlés à l’aide de serrures ou de mécanismes de contrôle d’accès par badge. Les accès non accompagnés des prestataires extérieurs aux salles serveurs et aux locaux techniques sont à proscrire, sauf s’il est possible de tracer strictement les accès et de limiter ces derniers en fonction des plages horaires. Une revue des droits d’accès doit être réalisée régulièrement afin d’identifier les accès non autorisés. Lors du départ d’un collaborateur ou d’un changement de prestataire, il est nécessaire de procéder au retrait des droits d’accès ou au changement des codes d’accès. Enfin, les prises réseau se trouvant dans des zones ouvertes au public (salle de réunion, hall d’accueil, couloirs, placards, etc.) doivent être restreintes ou désactivées afin d’empêcher un attaquant de gagner facilement l’accès au réseau de l’entreprise.", "category": "V - Sécuriser le réseau", "justification": "L'audit doit vérifier que les prises réseau se trouvant dans des zones ouvertes au public (salle de réunion, hall d'accueil, couloirs, placards, etc.) sont restreintes ou désactivées.", "statusLevelId": 0 }, { "title": "GHY27-S_V01 | Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information", "description": "Un poste de travail ou un serveur utilisé pour les actions d’administration ne doit en aucun cas avoir accès à Internet, en raison des risques que la navigation\nWeb (à travers des sites contenant du code malveillant) et la messagerie (au travers de pièces jointes potentiellement vérolées) font peser sur son intégrité. Pour les autres usages des administrateurs nécessitant Internet (consultation de documentation en ligne, de leur messagerie, etc.), il est recommandé de mettre à leur disposition un poste de travail distinct. À défaut, l’accès à une infrastructure virtualisée distante pour la bureautique depuis un poste d’administration est envisageable. La réciproque consistant à fournir un accès distant à une infrastructure d’administration depuis un poste bureautique est déconseillée car elle peut mener à une élévation de privilèges en cas de récupération des authentifiants d’administration.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que les postes et serveurs d'administration sont dédiés aux actions d'administration et n'ont par conséquent pas accès à Internet.", "statusLevelId": 0 }, { "title": "GHY27-S_V02 | Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information", "description": "Un poste de travail ou un serveur utilisé pour les actions d’administration ne doit en aucun cas avoir accès à Internet, en raison des risques que la navigation\nWeb (à travers des sites contenant du code malveillant) et la messagerie (au travers de pièces jointes potentiellement vérolées) font peser sur son intégrité. Pour les autres usages des administrateurs nécessitant Internet (consultation de documentation en ligne, de leur messagerie, etc.), il est recommandé de mettre à leur disposition un poste de travail distinct. À défaut, l’accès à une infrastructure virtualisée distante pour la bureautique depuis un poste d’administration est envisageable. La réciproque consistant à fournir un accès distant à une infrastructure d’administration depuis un poste bureautique est déconseillée car elle peut mener à une élévation de privilèges en cas de récupération des authentifiants d’administration.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que les accès des administrateurs à Internet (consultation de documentation, consultation messagerie) sont réalisés à partir d'un poste de travail distinct du poste d'administration ou par l'accès à une infrastructure virtualisée distante employée pour la bureautique.", "statusLevelId": 0 }, { "title": "GHY27-S_V03 | Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information", "description": "Un poste de travail ou un serveur utilisé pour les actions d’administration ne doit en aucun cas avoir accès à Internet, en raison des risques que la navigation\nWeb (à travers des sites contenant du code malveillant) et la messagerie (au travers de pièces jointes potentiellement vérolées) font peser sur son intégrité. Pour les autres usages des administrateurs nécessitant Internet (consultation de documentation en ligne, de leur messagerie, etc.), il est recommandé de mettre à leur disposition un poste de travail distinct. À défaut, l’accès à une infrastructure virtualisée distante pour la bureautique depuis un poste d’administration est envisageable. La réciproque consistant à fournir un accès distant à une infrastructure d’administration depuis un poste bureautique est déconseillée car elle peut mener à une élévation de privilèges en cas de récupération des authentifiants d’administration.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que l'entité ne fournit pas la possibilité d'accès distant à une infrastructure d’administration depuis un poste bureautique.", "statusLevelId": 0 }, { "title": "GHY27-R_V01 | Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information", "description": "Concernant les mises à jour logicielles des équipements administrés, elles doivent être récupérées depuis une source sûre (le site de l’éditeur par exemple), contrôlées puis transférées sur le poste ou le serveur utilisé pour l’administration et non connecté à Internet. Ce transfert peut être réalisé sur un support amovible dédié.\nPour des entités voulant automatiser certaines tâches, la mise en place d’une zone d’échanges est conseillée.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que les mises à jour des équipements administrés sont récupérées depuis des sources sûres (le site de l'éditeur par exemple).", "statusLevelId": 0 }, { "title": "GHY27-R_V02 | Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information", "description": "Concernant les mises à jour logicielles des équipements administrés, elles doivent être récupérées depuis une source sûre (le site de l’éditeur par exemple), contrôlées puis transférées sur le poste ou le serveur utilisé pour l’administration et non connecté à Internet. Ce transfert peut être réalisé sur un support amovible dédié.\nPour des entités voulant automatiser certaines tâches, la mise en place d’une zone d’échanges est conseillée.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que les mises à jour des équipements administrés font l'objet de contrôles appropriés préalablement à leur déploiement.", "statusLevelId": 0 }, { "title": "GHY27-R_V03 | Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information", "description": "Concernant les mises à jour logicielles des équipements administrés, elles doivent être récupérées depuis une source sûre (le site de l’éditeur par exemple), contrôlées puis transférées sur le poste ou le serveur utilisé pour l’administration et non connecté à Internet. Ce transfert peut être réalisé sur un support amovible dédié.\nPour des entités voulant automatiser certaines tâches, la mise en place d’une zone d’échanges est conseillée.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que les mises à jour des équipements administrés sont ensuite transférées vers les serveurs et postes d'administration non connectés à Internet.", "statusLevelId": 0 }, { "title": "GHY27-R_V04 | Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information", "description": "Concernant les mises à jour logicielles des équipements administrés, elles doivent être récupérées depuis une source sûre (le site de l’éditeur par exemple), contrôlées puis transférées sur le poste ou le serveur utilisé pour l’administration et non connecté à Internet. Ce transfert peut être réalisé sur un support amovible dédié.\nPour des entités voulant automatiser certaines tâches, la mise en place d’une zone d’échanges est conseillée.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier qu'en cas d'automatisation de tâches de mise à jour, les procédures mettent en œuvre une zone d'échanges.", "statusLevelId": 0 }, { "title": "GHY28-S_V01 | Utiliser un réseau dédié et cloisonné pour l’administration du système d’information", "description": "Un réseau d’administration interconnecté, entre autres, les postes ou serveurs d’administration et les interfaces d’administration des équipements. Dans la logique de segmentation du réseau global de l’entité, il est indispensable de cloisonner spécifiquement le réseau d’administration, notamment vis-à-vis du réseau bureautique des utilisateurs, pour se prémunir de toute compromission par rebond depuis un poste utilisateur vers une ressource d’administration. Selon les besoins de sécurité de l’entité, il est recommandé :\n- de mettre en œuvre un cloisonnement logique cryptographique reposant sur la mise en place de tunnels IPsec. Ceci permet d’assurer l’intégrité et la confidentialité des informations véhiculées sur le réseau d’administration vis-à-vis du réseau bureautique des utilisateurs ; (/Standard)\n- au minimum, de mettre en œuvre un cloisonnement logique par VLAN.(/Standard)", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que le réseau d'administration est spécifiquement cloisonné. Notamment vis-à-vis du réseau bureautique des utilisateurs, pour se prémunir de toute compromission par rebond depuis un poste utilisateur vers une ressource d’administration.", "statusLevelId": 0 }, { "title": "GHY28-S_V02 | Utiliser un réseau dédié et cloisonné pour l’administration du système d’information", "description": "Un réseau d’administration interconnecté, entre autres, les postes ou serveurs d’administration et les interfaces d’administration des équipements. Dans la logique de segmentation du réseau global de l’entité, il est indispensable de cloisonner spécifiquement le réseau d’administration, notamment vis-à-vis du réseau bureautique des utilisateurs, pour se prémunir de toute compromission par rebond depuis un poste utilisateur vers une ressource d’administration. Selon les besoins de sécurité de l’entité, il est recommandé :\n- de mettre en œuvre un cloisonnement logique cryptographique reposant sur la mise en place de tunnels IPsec. Ceci permet d’assurer l’intégrité et la confidentialité des informations véhiculées sur le réseau d’administration vis-à-vis du réseau bureautique des utilisateurs ; (/Standard)\n- au minimum, de mettre en œuvre un cloisonnement logique par VLAN.(/Standard)", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier qu'il s'agit d'un cloisonnement logique cryptographique reposant sur la mise en place de tunnels Ipsec et à minima de VLAN.", "statusLevelId": 0 }, { "title": "GHY28-R_V01 | Utiliser un réseau dédié et cloisonné pour l’administration du système d’information", "description": "Selon les besoins de sécurité de l’entité, il est recommandé de privilégier en premier lieu un cloisonnement physique des réseaux dès que cela est possible, cette solution pouvant représenter des coûts et un temps de déploiement importants.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier qu'un cloisonnement physique des réseaux a été mis en place par l'entité, dès que cela était opérationnellement envisageable.", "statusLevelId": 0 }, { "title": "GHY29-S_V01 | Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail", "description": "De nombreux utilisateurs, y compris au sommet des hiérarchies, sont tentés de demander à leur service informatique de pouvoir disposer, par analogie avec leur usage personnel, de privilèges plus importants sur leurs postes de travail : installation de logiciels, configuration du système, etc. Par défaut, il est recommandé qu’un utilisateur du SI, quelle que soit sa position hiérarchique et ses attributions, ne dispose pas de privilèges d’administration sur son poste de travail. Cette mesure, apparemment contraignante, vise à limiter les conséquences de l’exécution malencontreuse d’un code malveillant.\nLa mise à disposition d’un magasin étoffé d’applications validées par l’entité du point de vue de la sécurité permettra de répondre à la majorité des besoins. Par conséquent, seuls les administrateurs chargés de l’administration des postes doivent disposer de ces droits lors de leurs interventions. Si une délégation de privilèges sur un poste de travail est réellement nécessaire pour répondre à un besoin ponctuel de l’utilisateur, celle-ci doit être tracée, limitée dans le temps et retirée à échéance.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que les utilisateurs ne disposent pas des droits d'administration sur leurs postes de travail.", "statusLevelId": 0 }, { "title": "GHY29-S_V02 | Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail", "description": "De nombreux utilisateurs, y compris au sommet des hiérarchies, sont tentés de demander à leur service informatique de pouvoir disposer, par analogie avec leur usage personnel, de privilèges plus importants sur leurs postes de travail : installation de logiciels, configuration du système, etc. Par défaut, il est recommandé qu’un utilisateur du SI, quelle que soit sa position hiérarchique et ses attributions, ne dispose pas de privilèges d’administration sur son poste de travail. Cette mesure, apparemment contraignante, vise à limiter les conséquences de l’exécution malencontreuse d’un code malveillant.\nLa mise à disposition d’un magasin étoffé d’applications validées par l’entité du point de vue de la sécurité permettra de répondre à la majorité des besoins. Par conséquent, seuls les administrateurs chargés de l’administration des postes doivent disposer de ces droits lors de leurs interventions. Si une délégation de privilèges sur un poste de travail est réellement nécessaire pour répondre à un besoin ponctuel de l’utilisateur, celle-ci doit être tracée, limitée dans le temps et retirée à échéance.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier que les droits d'administration des postes sont réservés aux administrateurs des postes de travail.", "statusLevelId": 0 }, { "title": "GHY29-S_V03 | Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail", "description": "De nombreux utilisateurs, y compris au sommet des hiérarchies, sont tentés de demander à leur service informatique de pouvoir disposer, par analogie avec leur usage personnel, de privilèges plus importants sur leurs postes de travail : installation de logiciels, configuration du système, etc. Par défaut, il est recommandé qu’un utilisateur du SI, quelle que soit sa position hiérarchique et ses attributions, ne dispose pas de privilèges d’administration sur son poste de travail. Cette mesure, apparemment contraignante, vise à limiter les conséquences de l’exécution malencontreuse d’un code malveillant.\nLa mise à disposition d’un magasin étoffé d’applications validées par l’entité du point de vue de la sécurité permettra de répondre à la majorité des besoins. Par conséquent, seuls les administrateurs chargés de l’administration des postes doivent disposer de ces droits lors de leurs interventions. Si une délégation de privilèges sur un poste de travail est réellement nécessaire pour répondre à un besoin ponctuel de l’utilisateur, celle-ci doit être tracée, limitée dans le temps et retirée à échéance.", "category": "VI - Sécuriser l’administration", "justification": "L'audit doit vérifier qu'en cas de délégation de privilèges sur un poste de travail, celle-ci doit être :\n- tracée ;\n- limitée dans le temps ;\n- retirée à échéance.", "statusLevelId": 0 }, { "title": "GHY30-S_V01 | Prendre des mesures de sécurisation physique des terminaux nomades", "description": "Les terminaux nomades (ordinateurs portables, tablettes, ordiphones) sont, par nature, exposés à la perte et au vol. Ils peuvent contenir localement des informations sensibles pour l’entité et constituer un point d’entrée vers de plus amples ressources du système d’information. Au-delà de l’application au minimum des politiques de sécurité de l’entité, des mesures spécifiques de sécurisation de ces équipements sont donc à prévoir. En tout premier lieu, les utilisateurs doivent être sensibilisés pour augmenter leur niveau de vigilance lors de leurs déplacements et conserver leurs équipements à portée de vue. N’importe quelle entité, même de petite taille, peut être victime d’une attaque informatique. Dès lors, en mobilité, tout équipement devient une cible potentielle voire privilégiée. Il est recommandé que les terminaux nomades soient aussi banalisés que possible en évitant toute mention explicite de l’entité d’appartenance (par l’apposition d’un autocollant aux couleurs de l’entité par exemple). Pour éviter toute indiscrétion lors de déplacements, notamment dans les transports ou les lieux d’attente, un filtre de confidentialité doit être positionné sur chaque écran.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que des mesures spécifiques de sécurisation des équipements nomades ont été définies par l'entité. A minima : \n- la banalisation des équipements nomades ;\n- l'utilisation d'un filtre de confidentialité lors des déplacements.", "statusLevelId": 0 }, { "title": "GHY30-S_V02 | Prendre des mesures de sécurisation physique des terminaux nomades", "description": "Les terminaux nomades (ordinateurs portables, tablettes, ordiphones) sont, par nature, exposés à la perte et au vol. Ils peuvent contenir localement des informations sensibles pour l’entité et constituer un point d’entrée vers de plus amples ressources du système d’information. Au-delà de l’application au minimum des politiques de sécurité de l’entité, des mesures spécifiques de sécurisation de ces équipements sont donc à prévoir. En tout premier lieu, les utilisateurs doivent être sensibilisés pour augmenter leur niveau de vigilance lors de leurs déplacements et conserver leurs équipements à portée de vue. N’importe quelle entité, même de petite taille, peut être victime d’une attaque informatique. Dès lors, en mobilité, tout équipement devient une cible potentielle voire privilégiée. Il est recommandé que les terminaux nomades soient aussi banalisés que possible en évitant toute mention explicite de l’entité d’appartenance (par l’apposition d’un autocollant aux couleurs de l’entité par exemple). Pour éviter toute indiscrétion lors de déplacements, notamment dans les transports ou les lieux d’attente, un filtre de confidentialité doit être positionné sur chaque écran.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que le plan de sensibilisation de l'entité comprend une présentation des risques et mesures de sécurité associés à l'utilisation en mobilité de terminaux nomades.", "statusLevelId": 0 }, { "title": "GHY30-R_V01 | Prendre des mesures de sécurisation physique des terminaux nomades", "description": "Enfin, afin de rendre inutilisable le poste seul, l’utilisation d’un support externe complémentaire (carte à puce ou jeton USB par exemple) pour conserver des secrets de déchiffrement ou d’authentification peut être envisagée. Dans ce cas il doit être conservé à part.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que pour rendre utilisable un poste nomade, l’utilisation d’un support externe complémentaire (carte à puce ou jeton USB par exemple) pour conserver des secrets de déchiffrement ou d’authentification est nécessaire", "statusLevelId": 0 }, { "title": "GHY31-S_V01 | Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable", "description": "Les déplacements fréquents en contexte professionnel et la miniaturisation du matériel informatique conduisent souvent à la perte ou au vol de celui-ci dans l’espace public. Cela peut porter atteinte aux données sensibles de l’entité qui y sont stockées. Il faut donc ne stocker que des données préalablement chiffrées sur l’ensemble des matériels nomades (ordinateurs portables, ordiphones, clés USB, disques durs externes, etc.) afin de préserver leur confidentialité Seul un secret (mot de passe, carte à puce, code PIN, etc.) pourra permettre à celui qui le possède d’accéder à ces données. Une solution de chiffrement de partition, d’archives ou de fichier peut être envisagée selon les besoins. Là encore, il est essentiel de s’assurer de l’unicité et de la robustesse du secret de déchiffrement utilisé. Dans la mesure du possible, il est conseillé de commencer par un chiffrement complet du disque avant d’envisager le chiffrement d’archives ou de fichiers. En effet, ces derniers répondent à des besoins différents et peuvent potentiellement laisser sur le support de stockage des informations non chiffrées (fichiers de restauration de suite bureautique, par exemple).", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que l'entité impose que la protection de données stockées sur les matériels nomades (ordinateurs portables, ordiphones, clés USB, disques durs externes, etc.) soit assurée par des solutions de chiffrement", "statusLevelId": 0 }, { "title": "GHY31-S_V02 | Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable", "description": "Les déplacements fréquents en contexte professionnel et la miniaturisation du matériel informatique conduisent souvent à la perte ou au vol de celui-ci dans l’espace public. Cela peut porter atteinte aux données sensibles de l’entité qui y sont stockées. Il faut donc ne stocker que des données préalablement chiffrées sur l’ensemble des matériels nomades (ordinateurs portables, ordiphones, clés USB, disques durs externes, etc.) afin de préserver leur confidentialité Seul un secret (mot de passe, carte à puce, code PIN, etc.) pourra permettre à celui qui le possède d’accéder à ces données. Une solution de chiffrement de partition, d’archives ou de fichier peut être envisagée selon les besoins. Là encore, il est essentiel de s’assurer de l’unicité et de la robustesse du secret de déchiffrement utilisé. Dans la mesure du possible, il est conseillé de commencer par un chiffrement complet du disque avant d’envisager le chiffrement d’archives ou de fichiers. En effet, ces derniers répondent à des besoins différents et peuvent potentiellement laisser sur le support de stockage des informations non chiffrées (fichiers de restauration de suite bureautique, par exemple).", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier le chiffrement effectif des disques et des fichiers/archives stockés sur les matériels nomades.", "statusLevelId": 0 }, { "title": "GHY31-S_V03 | Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable", "description": "Les déplacements fréquents en contexte professionnel et la miniaturisation du matériel informatique conduisent souvent à la perte ou au vol de celui-ci dans l’espace public. Cela peut porter atteinte aux données sensibles de l’entité qui y sont stockées. Il faut donc ne stocker que des données préalablement chiffrées sur l’ensemble des matériels nomades (ordinateurs portables, ordiphones, clés USB, disques durs externes, etc.) afin de préserver leur confidentialité Seul un secret (mot de passe, carte à puce, code PIN, etc.) pourra permettre à celui qui le possède d’accéder à ces données. Une solution de chiffrement de partition, d’archives ou de fichier peut être envisagée selon les besoins. Là encore, il est essentiel de s’assurer de l’unicité et de la robustesse du secret de déchiffrement utilisé. Dans la mesure du possible, il est conseillé de commencer par un chiffrement complet du disque avant d’envisager le chiffrement d’archives ou de fichiers. En effet, ces derniers répondent à des besoins différents et peuvent potentiellement laisser sur le support de stockage des informations non chiffrées (fichiers de restauration de suite bureautique, par exemple).", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que tout accès aux données chiffrées des matériels nomades fait l'objet d'une authentification préalable de l'utilisateur nécessitant l'utilisation d'un secret.", "statusLevelId": 0 }, { "title": "GHY31-S_V04 | Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable", "description": "Les déplacements fréquents en contexte professionnel et la miniaturisation du matériel informatique conduisent souvent à la perte ou au vol de celui-ci dans l’espace public. Cela peut porter atteinte aux données sensibles de l’entité qui y sont stockées. Il faut donc ne stocker que des données préalablement chiffrées sur l’ensemble des matériels nomades (ordinateurs portables, ordiphones, clés USB, disques durs externes, etc.) afin de préserver leur confidentialité Seul un secret (mot de passe, carte à puce, code PIN, etc.) pourra permettre à celui qui le possède d’accéder à ces données. Une solution de chiffrement de partition, d’archives ou de fichier peut être envisagée selon les besoins. Là encore, il est essentiel de s’assurer de l’unicité et de la robustesse du secret de déchiffrement utilisé. Dans la mesure du possible, il est conseillé de commencer par un chiffrement complet du disque avant d’envisager le chiffrement d’archives ou de fichiers. En effet, ces derniers répondent à des besoins différents et peuvent potentiellement laisser sur le support de stockage des informations non chiffrées (fichiers de restauration de suite bureautique, par exemple).", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier, en cas d'utilisation d'une solution de chiffrement de partition sur les matériels nomades que le secret de déchiffrement utilisé est unique et robuste.", "statusLevelId": 0 }, { "title": "GHY32-S_V01 | Sécuriser la connexion réseau des postes utilisés en situation de nomadisme", "description": "En situation de nomadisme, il n’est pas rare qu’un utilisateur ait besoin de se connecter au système d’information de l’entité. Il convient par conséquent de s’assurer du caractère sécurisé de cette connexion réseau à travers Internet. Même si la possibilité d’établir des tunnels VPN SSL/TLS est aujourd’hui courante, il est fortement recommandé d’établir un tunnel VPN IPsec entre le poste nomade et une passerelle VPN IPsec mise à disposition par l’entité. Pour garantir un niveau de sécurité optimal, ce tunnel VPN IPsec doit être automatiquement établi et ne pas être débrayable par l’utilisateur, c’est-à-dire qu’aucun flux ne doit pouvoir être transmis en dehors de ce tunnel. Pour les besoins spécifiques d’authentification aux portails captifs, l’entité peut choisir de déroger à la connexion automatique en autorisant une connexion à la demande ou maintenir cette recommandation en encourageant l’utilisateur à utiliser un partage de connexion sur un téléphone mobile de confiance.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que l'entité impose l'utilisation d'un tunnel sécurisé lors de la connexion des terminaux nomades au système d'information.", "statusLevelId": 0 }, { "title": "GHY32-S_V02 | Sécuriser la connexion réseau des postes utilisés en situation de nomadisme", "description": "En situation de nomadisme, il n’est pas rare qu’un utilisateur ait besoin de se connecter au système d’information de l’entité. Il convient par conséquent de s’assurer du caractère sécurisé de cette connexion réseau à travers Internet. Même si la possibilité d’établir des tunnels VPN SSL/TLS est aujourd’hui courante, il est fortement recommandé d’établir un tunnel VPN IPsec entre le poste nomade et une passerelle VPN IPsec mise à disposition par l’entité. Pour garantir un niveau de sécurité optimal, ce tunnel VPN IPsec doit être automatiquement établi et ne pas être débrayable par l’utilisateur, c’est-à-dire qu’aucun flux ne doit pouvoir être transmis en dehors de ce tunnel. Pour les besoins spécifiques d’authentification aux portails captifs, l’entité peut choisir de déroger à la connexion automatique en autorisant une connexion à la demande ou maintenir cette recommandation en encourageant l’utilisateur à utiliser un partage de connexion sur un téléphone mobile de confiance.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que le type de tunnel utilisé est de type VPN IPSEC ou qu'en cas d'utilisation d'une autre solution, celle-ci est justifiée et suffisante (accès aux portails captifs notamment).", "statusLevelId": 0 }, { "title": "GHY32-S_V03 | Sécuriser la connexion réseau des postes utilisés en situation de nomadisme", "description": "En situation de nomadisme, il n’est pas rare qu’un utilisateur ait besoin de se connecter au système d’information de l’entité. Il convient par conséquent de s’assurer du caractère sécurisé de cette connexion réseau à travers Internet. Même si la possibilité d’établir des tunnels VPN SSL/TLS est aujourd’hui courante, il est fortement recommandé d’établir un tunnel VPN IPsec entre le poste nomade et une passerelle VPN IPsec mise à disposition par l’entité. Pour garantir un niveau de sécurité optimal, ce tunnel VPN IPsec doit être automatiquement établi et ne pas être débrayable par l’utilisateur, c’est-à-dire qu’aucun flux ne doit pouvoir être transmis en dehors de ce tunnel. Pour les besoins spécifiques d’authentification aux portails captifs, l’entité peut choisir de déroger à la connexion automatique en autorisant une connexion à la demande ou maintenir cette recommandation en encourageant l’utilisateur à utiliser un partage de connexion sur un téléphone mobile de confiance.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que le tunnel VPN IPSec établi l'est automatiquement et que celui-ci ne peut pas être désactivé ou contourné par l'utilisateur.", "statusLevelId": 0 }, { "title": "GHY32-R_V01 | Sécuriser la connexion réseau des postes utilisés en situation de nomadisme", "description": "Afin d’éviter toute réutilisation d’authentifiants depuis un poste volé ou perdu (identifiant et mot de passe enregistrés par exemple), il est préférable d’avoir recours à une authentification forte, par exemple avec un mot de passe et un certificat stocké sur un support externe (carte à puce ou jeton USB) ou un mécanisme de mot de passe à usage unique (One Time Password).", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que l'entité impose l'utilisation d'une authentification forte sur les postes utilisés en situation de nomadisme.", "statusLevelId": 0 }, { "title": "GHY33-S_V01 | Adopter des politiques de sécurité dédiées aux terminaux mobiles", "description": "Les ordiphones et tablettes font partie de notre quotidien personnel et/ou professionnel. La première des recommandations consiste justement à ne pas mutualiser les usages personnel et professionnel sur un seul et même terminal, par exemple en ne synchronisant pas simultanément comptes professionnel et personnel de messagerie, de réseaux sociaux, d’agendas, etc. Les terminaux, fournis par l’entité et utilisés en contexte professionnel doivent faire l’objet d’une sécurisation à part entière, dès lors qu’ils se connectent au système d’information de l’entité ou qu’ils contiennent des informations professionnelles potentiellement sensibles (mails, fichiers partagés, contacts, etc.). Dès lors, l’utilisation d’une solution de gestion centralisée des équipements mobiles est à privilégier. Il sera notamment souhaitable de configurer de manière homogène les politiques de sécurité inhérentes : moyen de déverrouillage du terminal, limitation de l’usage du magasin d’applications à des applications validées du point de vue de la sécurité, etc. Dans le cas contraire, une configuration préalable avant remise de l’équipement et une séance de sensibilisation des utilisateurs est souhaitable.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que l'entité n'autorise pas la mutualisation des usages personnel et professionnel sur un seul et même terminal mobile et qu'elle interdit la synchronisation des comptes (messagerie, réseaux sociaux, agendas, etc.) professionnel et personnel des utilisateurs sur un seul et même terminal mobile.", "statusLevelId": 0 }, { "title": "GHY33-S_V02 | Adopter des politiques de sécurité dédiées aux terminaux mobiles", "description": "Les ordiphones et tablettes font partie de notre quotidien personnel et/ou professionnel. La première des recommandations consiste justement à ne pas mutualiser les usages personnel et professionnel sur un seul et même terminal, par exemple en ne synchronisant pas simultanément comptes professionnel et personnel de messagerie, de réseaux sociaux, d’agendas, etc. Les terminaux, fournis par l’entité et utilisés en contexte professionnel doivent faire l’objet d’une sécurisation à part entière, dès lors qu’ils se connectent au système d’information de l’entité ou qu’ils contiennent des informations professionnelles potentiellement sensibles (mails, fichiers partagés, contacts, etc.). Dès lors, l’utilisation d’une solution de gestion centralisée des équipements mobiles est à privilégier. Il sera notamment souhaitable de configurer de manière homogène les politiques de sécurité inhérentes : moyen de déverrouillage du terminal, limitation de l’usage du magasin d’applications à des applications validées du point de vue de la sécurité, etc. Dans le cas contraire, une configuration préalable avant remise de l’équipement et une séance de sensibilisation des utilisateurs est souhaitable.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que les terminaux mobiles fournis par l'entité à ses utilisateurs font l'objet d'une sécurisation à part entière dès lors que ces terminaux sont susceptibles de se connecter au système d'information ou qu’ils contiennent des informations professionnelles potentiellement sensibles (mails, fichiers partagés, contacts, etc.).", "statusLevelId": 0 }, { "title": "GHY33-S_V03 | Adopter des politiques de sécurité dédiées aux terminaux mobiles", "description": "Les ordiphones et tablettes font partie de notre quotidien personnel et/ou professionnel. La première des recommandations consiste justement à ne pas mutualiser les usages personnel et professionnel sur un seul et même terminal, par exemple en ne synchronisant pas simultanément comptes professionnel et personnel de messagerie, de réseaux sociaux, d’agendas, etc. Les terminaux, fournis par l’entité et utilisés en contexte professionnel doivent faire l’objet d’une sécurisation à part entière, dès lors qu’ils se connectent au système d’information de l’entité ou qu’ils contiennent des informations professionnelles potentiellement sensibles (mails, fichiers partagés, contacts, etc.). Dès lors, l’utilisation d’une solution de gestion centralisée des équipements mobiles est à privilégier. Il sera notamment souhaitable de configurer de manière homogène les politiques de sécurité inhérentes : moyen de déverrouillage du terminal, limitation de l’usage du magasin d’applications à des applications validées du point de vue de la sécurité, etc. Dans le cas contraire, une configuration préalable avant remise de l’équipement et une séance de sensibilisation des utilisateurs est souhaitable.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que l'entité utilise une solution de gestion centralisée des terminaux mobiles lui permettant de configurer de manière homogène les politiques de sécurité inhérentes : moyen de déverrouillage du terminal, limitation de l’usage du magasin d’applications à des applications validées du point de vue de la sécurité, etc. A défaut, L'audit doit vérifier qu'une configuration préalable du terminal mobile est réalisée avant remise à l'utilisateur.", "statusLevelId": 0 }, { "title": "GHY33-S_V04 | Adopter des politiques de sécurité dédiées aux terminaux mobiles", "description": "Les ordiphones et tablettes font partie de notre quotidien personnel et/ou professionnel. La première des recommandations consiste justement à ne pas mutualiser les usages personnel et professionnel sur un seul et même terminal, par exemple en ne synchronisant pas simultanément comptes professionnel et personnel de messagerie, de réseaux sociaux, d’agendas, etc. Les terminaux, fournis par l’entité et utilisés en contexte professionnel doivent faire l’objet d’une sécurisation à part entière, dès lors qu’ils se connectent au système d’information de l’entité ou qu’ils contiennent des informations professionnelles potentiellement sensibles (mails, fichiers partagés, contacts, etc.). Dès lors, l’utilisation d’une solution de gestion centralisée des équipements mobiles est à privilégier. Il sera notamment souhaitable de configurer de manière homogène les politiques de sécurité inhérentes : moyen de déverrouillage du terminal, limitation de l’usage du magasin d’applications à des applications validées du point de vue de la sécurité, etc. Dans le cas contraire, une configuration préalable avant remise de l’équipement et une séance de sensibilisation des utilisateurs est souhaitable.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que le plan de sensibilisation à la sécurité de l'information de l'entité comprend la sensibilisation des utilisateurs à l'utilisation de terminaux mobiles et aux risques inhérents à ce type d'équipements.", "statusLevelId": 0 }, { "title": "GHY33-R_V01 | Adopter des politiques de sécurité dédiées aux terminaux mobiles", "description": "Entre autres usages potentiellement risqués, celui d’un assistant vocal intégré augmente sensiblement la surface d’attaque du terminal et des cas d’attaque ont été démontrés. Pour ces raisons, il est donc déconseillé.", "category": "VII - Gérer le nomadisme", "justification": "L'audit doit vérifier que l'entité ne recommande pas l'usage d'assistant vocal intégré.", "statusLevelId": 0 }, { "title": "GHY34-S_V01 | Définir une politique de mise à jour des composants du système d’information", "description": "De nouvelles failles sont régulièrement découvertes au cœur des systèmes et logiciels. Ces dernières sont autant de portes d’accès qu’un attaquant peut exploiter pour réussir son intrusion dans le système d’information. Il est donc primordial de s’informer de l’apparition de nouvelles vulnérabilités (CERTFR) et d’appliquer les correctifs de sécurité sur l’ensemble des composants du système dans le mois qui suit leur publication par l’éditeur. Une politique de mise à jour doit ainsi être définie et déclinée en procédures opérationnelles. Celles-ci doivent notamment préciser :\n- la manière dont l’inventaire des composants du système d’information est réalisé ;\n- les sources d’information relatives à la publication des mises à jour ;\n- les outils pour déployer les correctifs sur le parc (par exemple WSUS pour les mises à jour des composants Microsoft, des outils gratuits ou payants pour les composants tiers et autres systèmes d’exploitation) ;\n- l’éventuelle qualification des correctifs et leur déploiement progressif sur le parc. Les composants obsolètes qui ne sont plus supportés par leurs fabricants doivent être isolés du reste du système. Cette recommandation s’applique aussi bien au niveau réseau par un filtrage strict des flux, qu’au niveau des secrets d’authentification qui doivent être dédiés à ces systèmes. ", "category": "VIII - Maintenir le système d’information à jour", "justification": "L'audit doit vérifier que l'entité a mis en place un processus de veille relatif aux vulnérabilités s'appuyant sur le CERTFR ainsi qu'un processus d'application des correctifs dans le mois suivant leur publication par l'éditeur.", "statusLevelId": 0 }, { "title": "GHY34-S_V02 | Définir une politique de mise à jour des composants du système d’information", "description": "De nouvelles failles sont régulièrement découvertes au cœur des systèmes et logiciels. Ces dernières sont autant de portes d’accès qu’un attaquant peut exploiter pour réussir son intrusion dans le système d’information. Il est donc primordial de s’informer de l’apparition de nouvelles vulnérabilités (CERTFR) et d’appliquer les correctifs de sécurité sur l’ensemble des composants du système dans le mois qui suit leur publication par l’éditeur. Une politique de mise à jour doit ainsi être définie et déclinée en procédures opérationnelles. Celles-ci doivent notamment préciser :\n- la manière dont l’inventaire des composants du système d’information est réalisé ;\n- les sources d’information relatives à la publication des mises à jour ;\n- les outils pour déployer les correctifs sur le parc (par exemple WSUS pour les mises à jour des composants Microsoft, des outils gratuits ou payants pour les composants tiers et autres systèmes d’exploitation) ;\n- l’éventuelle qualification des correctifs et leur déploiement progressif sur le parc. Les composants obsolètes qui ne sont plus supportés par leurs fabricants doivent être isolés du reste du système. Cette recommandation s’applique aussi bien au niveau réseau par un filtrage strict des flux, qu’au niveau des secrets d’authentification qui doivent être dédiés à ces systèmes. ", "category": "VIII - Maintenir le système d’information à jour", "justification": "L'audit doit vérifier que l'entité a mis en place un processus de maintien en condition opérationnelle et de sécurité comprenant :\n- la manière dont l'inventaire des composants du système d'information est réalisé ;\n- l'identification des sources d'information de publication des mises à jour ;\n- les outils pour déployer les correctifs sur le parc (par exemple WSUS pour les mises à jour des composants Microsoft, des outils gratuits ou payants pour les composants tiers et autres systèmes d’exploitation) ;\n- les procédures de qualification et de déploiement progressif des correctifs.", "statusLevelId": 0 }, { "title": "GHY34-S_V03 | Définir une politique de mise à jour des composants du système d’information", "description": "De nouvelles failles sont régulièrement découvertes au cœur des systèmes et logiciels. Ces dernières sont autant de portes d’accès qu’un attaquant peut exploiter pour réussir son intrusion dans le système d’information. Il est donc primordial de s’informer de l’apparition de nouvelles vulnérabilités (CERTFR) et d’appliquer les correctifs de sécurité sur l’ensemble des composants du système dans le mois qui suit leur publication par l’éditeur. Une politique de mise à jour doit ainsi être définie et déclinée en procédures opérationnelles. Celles-ci doivent notamment préciser :\n- la manière dont l’inventaire des composants du système d’information est réalisé ;\n- les sources d’information relatives à la publication des mises à jour ;\n- les outils pour déployer les correctifs sur le parc (par exemple WSUS pour les mises à jour des composants Microsoft, des outils gratuits ou payants pour les composants tiers et autres systèmes d’exploitation) ;\n- l’éventuelle qualification des correctifs et leur déploiement progressif sur le parc. Les composants obsolètes qui ne sont plus supportés par leurs fabricants doivent être isolés du reste du système. Cette recommandation s’applique aussi bien au niveau réseau par un filtrage strict des flux, qu’au niveau des secrets d’authentification qui doivent être dédiés à ces systèmes. ", "category": "VIII - Maintenir le système d’information à jour", "justification": "L'audit doit vérifier, qu'en cas de composants obsolètes (fin de support par le fournisseur), l'entité a défini des mesures d''isolement des composants du reste du système. ", "statusLevelId": 0 }, { "title": "GHY35-S_V01 | Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles", "description": "L’utilisation d’un système ou d’un logiciel obsolète augmente significativement les possibilités d’attaque informatique. Les systèmes deviennent vulnérables dès lors que les correctifs ne sont plus proposés. En effet, des outils malveillants exploitant ces vulnérabilités peuvent se diffuser rapidement sur Internet alors même que l’éditeur ne propose pas de correctif de sécurité. Pour anticiper ces obsolescences, un certain nombre de précautions existent :\n- établir et tenir à jour un inventaire des systèmes et applications du système d’information ;\n- choisir des solutions dont le support est assuré pour une durée correspondant à leur utilisation ;\n- assurer un suivi des mises à jour et des dates de fin de support des logiciels ;\n- maintenir un parc logiciel homogène (la coexistence de versions différentes d’un même produit multiplie les risques et complique le suivi) ;\n- limiter les adhérences logicielles, c’est-à-dire les dépendances de fonctionnement d’un logiciel par rapport à un autre, en particulier lorsque le support de ce dernier arrive à son terme ;\n- inclure dans les contrats avec les prestataires et fournisseurs des clauses garantissant le suivi des correctifs de sécurité et la gestion des obsolescences ;\n- identifier les délais et ressources nécessaires (matérielles, humaines, budgétaires) à la migration de chaque logiciel en fin de vie (tests de non-régression, procédure de sauvegarde, procédure de migration des données, etc.).", "category": "VIII - Maintenir le système d’information à jour", "justification": "L'audit doit vérifier que les processus de maintien en condition opérationnelle et de sécurité du système d'information de l'entité définissent :\n- l'établissement et la tenue à jour d'un inventaire des systèmes et applications du système d’information ;\n- le choix des solutions dont le support est assuré pour une durée correspondant à leur utilisation ;\n- l'assurance d'un suivi des mises à jour et des dates de fin de support des logiciels ;\n- le maintien d'un parc logiciel homogène ;\n- la limitation des adhérences logicielles ;\n- l'inclusion dans les contrats avec les prestataires et fournisseurs des clauses garantissant le suivi des correctifs de sécurité et la gestion des obsolescences ;\n- l'identification des délais et ressources nécessaires à la migration de chaque logiciel en fin de vie.", "statusLevelId": 0 }, { "title": "GHY35-S_V02 | Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles", "description": "L’utilisation d’un système ou d’un logiciel obsolète augmente significativement les possibilités d’attaque informatique. Les systèmes deviennent vulnérables dès lors que les correctifs ne sont plus proposés. En effet, des outils malveillants exploitant ces vulnérabilités peuvent se diffuser rapidement sur Internet alors même que l’éditeur ne propose pas de correctif de sécurité. Pour anticiper ces obsolescences, un certain nombre de précautions existent :\n- établir et tenir à jour un inventaire des systèmes et applications du système d’information ;\n- choisir des solutions dont le support est assuré pour une durée correspondant à leur utilisation ;\n- assurer un suivi des mises à jour et des dates de fin de support des logiciels ;\n- maintenir un parc logiciel homogène (la coexistence de versions différentes d’un même produit multiplie les risques et complique le suivi) ;\n- limiter les adhérences logicielles, c’est-à-dire les dépendances de fonctionnement d’un logiciel par rapport à un autre, en particulier lorsque le support de ce dernier arrive à son terme ;\n- inclure dans les contrats avec les prestataires et fournisseurs des clauses garantissant le suivi des correctifs de sécurité et la gestion des obsolescences ;\n- identifier les délais et ressources nécessaires (matérielles, humaines, budgétaires) à la migration de chaque logiciel en fin de vie (tests de non-régression, procédure de sauvegarde, procédure de migration des données, etc.).", "category": "VIII - Maintenir le système d’information à jour", "justification": "L'audit doit vérifier que le système d'information ne contient pas de composants obsolètes.", "statusLevelId": 0 }, { "title": "GHY36-S_V01 | Activer et configurer les journaux des composants les plus importants", "description": "Disposer de journaux pertinents est nécessaire afin de pouvoir détecter d’éventuels dysfonctionnements et tentatives d’accès illicites aux composants du système d’information. La première étape consiste à déterminer quels sont les composants critiques du système d’information. Il peut notamment s’agir des équipements réseau et de sécurité, des serveurs critiques, des postes de travail d’utilisateurs sensibles, etc. Pour chacun, il convient d’analyser la configuration des éléments journalisés (format, fréquence de rotation des fichiers, taille maximale des fichiers journaux, catégories d’événements enregistrés, etc.) et de l’adapter en conséquence. Les événements critiques pour la sécurité doivent être journalisés et gardés pendant au moins un an (ou plus en fonction des obligations légales du secteur d’activités). Une étude contextuelle du système d’information doit être effectuée et les éléments suivants doivent être journalisés :\n- pare-feu : paquets bloqués ;\n- systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ;\n- services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relais HTTP, en-têtes des messages sur un relais SMTP, etc.) ; Afin de pouvoir corréler les événements entre les différents composants, leur source de synchronisation de temps (grâce au protocole NTP) doit être identique.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que l'entité dispose d'un inventaire des composants critiques du SI devant faire l'objet d'une journalisation.", "statusLevelId": 0 }, { "title": "GHY36-S_V02 | Activer et configurer les journaux des composants les plus importants", "description": "Disposer de journaux pertinents est nécessaire afin de pouvoir détecter d’éventuels dysfonctionnements et tentatives d’accès illicites aux composants du système d’information. La première étape consiste à déterminer quels sont les composants critiques du système d’information. Il peut notamment s’agir des équipements réseau et de sécurité, des serveurs critiques, des postes de travail d’utilisateurs sensibles, etc. Pour chacun, il convient d’analyser la configuration des éléments journalisés (format, fréquence de rotation des fichiers, taille maximale des fichiers journaux, catégories d’événements enregistrés, etc.) et de l’adapter en conséquence. Les événements critiques pour la sécurité doivent être journalisés et gardés pendant au moins un an (ou plus en fonction des obligations légales du secteur d’activités). Une étude contextuelle du système d’information doit être effectuée et les éléments suivants doivent être journalisés :\n- pare-feu : paquets bloqués ;\n- systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ;\n- services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relais HTTP, en-têtes des messages sur un relais SMTP, etc.) ; Afin de pouvoir corréler les événements entre les différents composants, leur source de synchronisation de temps (grâce au protocole NTP) doit être identique.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que pour chacun des composants critiques une analyse des éléments à journaliser a été menée permettant de configurer une journalisation adaptée.", "statusLevelId": 0 }, { "title": "GHY36-S_V03 | Activer et configurer les journaux des composants les plus importants", "description": "Disposer de journaux pertinents est nécessaire afin de pouvoir détecter d’éventuels dysfonctionnements et tentatives d’accès illicites aux composants du système d’information. La première étape consiste à déterminer quels sont les composants critiques du système d’information. Il peut notamment s’agir des équipements réseau et de sécurité, des serveurs critiques, des postes de travail d’utilisateurs sensibles, etc. Pour chacun, il convient d’analyser la configuration des éléments journalisés (format, fréquence de rotation des fichiers, taille maximale des fichiers journaux, catégories d’événements enregistrés, etc.) et de l’adapter en conséquence. Les événements critiques pour la sécurité doivent être journalisés et gardés pendant au moins un an (ou plus en fonction des obligations légales du secteur d’activités). Une étude contextuelle du système d’information doit être effectuée et les éléments suivants doivent être journalisés :\n- pare-feu : paquets bloqués ;\n- systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ;\n- services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relais HTTP, en-têtes des messages sur un relais SMTP, etc.) ; Afin de pouvoir corréler les événements entre les différents composants, leur source de synchronisation de temps (grâce au protocole NTP) doit être identique.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que pour chacun des éléments critiques, les événements critiques pour la sécurité sont journalisés et conservés conformément aux éventuelles obligations légales du secteur d'activités (au moins un an).", "statusLevelId": 0 }, { "title": "GHY36-S_V04 | Activer et configurer les journaux des composants les plus importants", "description": "Disposer de journaux pertinents est nécessaire afin de pouvoir détecter d’éventuels dysfonctionnements et tentatives d’accès illicites aux composants du système d’information. La première étape consiste à déterminer quels sont les composants critiques du système d’information. Il peut notamment s’agir des équipements réseau et de sécurité, des serveurs critiques, des postes de travail d’utilisateurs sensibles, etc. Pour chacun, il convient d’analyser la configuration des éléments journalisés (format, fréquence de rotation des fichiers, taille maximale des fichiers journaux, catégories d’événements enregistrés, etc.) et de l’adapter en conséquence. Les événements critiques pour la sécurité doivent être journalisés et gardés pendant au moins un an (ou plus en fonction des obligations légales du secteur d’activités). Une étude contextuelle du système d’information doit être effectuée et les éléments suivants doivent être journalisés :\n- pare-feu : paquets bloqués ;\n- systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ;\n- services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relais HTTP, en-têtes des messages sur un relais SMTP, etc.) ; Afin de pouvoir corréler les événements entre les différents composants, leur source de synchronisation de temps (grâce au protocole NTP) doit être identique.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que les éléments journalisés comprennent à minima les éléments suivants :\n- pare-feu : paquets bloqués ;\n- systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ;\n- services : erreurs de protocoles, traçabilité des flux applicatifs aux interconnexions.", "statusLevelId": 0 }, { "title": "GHY36-S_V05 | Activer et configurer les journaux des composants les plus importants", "description": "Disposer de journaux pertinents est nécessaire afin de pouvoir détecter d’éventuels dysfonctionnements et tentatives d’accès illicites aux composants du système d’information. La première étape consiste à déterminer quels sont les composants critiques du système d’information. Il peut notamment s’agir des équipements réseau et de sécurité, des serveurs critiques, des postes de travail d’utilisateurs sensibles, etc. Pour chacun, il convient d’analyser la configuration des éléments journalisés (format, fréquence de rotation des fichiers, taille maximale des fichiers journaux, catégories d’événements enregistrés, etc.) et de l’adapter en conséquence. Les événements critiques pour la sécurité doivent être journalisés et gardés pendant au moins un an (ou plus en fonction des obligations légales du secteur d’activités). Une étude contextuelle du système d’information doit être effectuée et les éléments suivants doivent être journalisés :\n- pare-feu : paquets bloqués ;\n- systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ;\n- services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relais HTTP, en-têtes des messages sur un relais SMTP, etc.) ; Afin de pouvoir corréler les événements entre les différents composants, leur source de synchronisation de temps (grâce au protocole NTP) doit être identique.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que l'entité dispose d'une source de synchronisation de temps et que les composants critiques du SI se synchronisent depuis cette source.", "statusLevelId": 0 }, { "title": "GHY36-R_V01 | Activer et configurer les journaux des composants les plus importants", "description": "Si toutes les actions précédentes ont été mises en œuvre, une centralisation des journaux sur un dispositif dédié pourra être envisagée. Cela permet de faciliter la recherche automatisée d’événements suspects, d’archiver les journaux sur une longue durée et d’empêcher un attaquant d’effacer d’éventuelles traces de son passage sur les équipements qu’il a compromis.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que les différents journaux des composants critiques font l'objet d'une centralisation sur un dispositif dédié permettant leur archivage sur une longue durée et facilitant la recherche automatisée d'événements suspects.", "statusLevelId": 0 }, { "title": "GHY37-S_V01 | Définir et appliquer une politique de sauvegarde des composants critiques", "description": "Suite à un incident d’exploitation ou en contexte de gestion d’une intrusion, la disponibilité de sauvegardes conservées en lieu sûr est indispensable à la poursuite de l’activité. Il est donc fortement recommandé de formaliser une politique de sauvegarde régulièrement mise à jour. Cette dernière a pour objectif de définir des exigences en matière de sauvegarde de l’information, des logiciels et des systèmes. Cette politique doit au moins intégrer les éléments suivants :\n- la liste des données jugées vitales pour l’organisme et les serveurs concernés ;\n- les différents types de sauvegarde (par exemple le mode hors ligne) ;\n- la fréquence des sauvegardes ;\n- la procédure d’administration et d’exécution des sauvegardes ;\n- les informations de stockage et les restrictions d’accès aux sauvegardes ;\n- les procédures de test de restauration ;\n- la destruction des supports ayant contenu les sauvegardes. Les tests de restauration peuvent être réalisés de plusieurs manières :\n- systématique, par un ordonnanceur de tâches pour les applications importantes ;\n- ponctuelle, en cas d’erreur sur les fichiers ;\n- générale, pour une sauvegarde et restauration entières du système d’information.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que l'entité a défini une politique de sauvegarde définissant les exigences en matière de sauvegarde de l’information, des logiciels et des systèmes et que celle-ci fait l'objet de mises à jour régulières.", "statusLevelId": 0 }, { "title": "GHY37-S_V02 | Définir et appliquer une politique de sauvegarde des composants critiques", "description": "Suite à un incident d’exploitation ou en contexte de gestion d’une intrusion, la disponibilité de sauvegardes conservées en lieu sûr est indispensable à la poursuite de l’activité. Il est donc fortement recommandé de formaliser une politique de sauvegarde régulièrement mise à jour. Cette dernière a pour objectif de définir des exigences en matière de sauvegarde de l’information, des logiciels et des systèmes. Cette politique doit au moins intégrer les éléments suivants :\n- la liste des données jugées vitales pour l’organisme et les serveurs concernés ;\n- les différents types de sauvegarde (par exemple le mode hors ligne) ;\n- la fréquence des sauvegardes ;\n- la procédure d’administration et d’exécution des sauvegardes ;\n- les informations de stockage et les restrictions d’accès aux sauvegardes ;\n- les procédures de test de restauration ;\n- la destruction des supports ayant contenu les sauvegardes. Les tests de restauration peuvent être réalisés de plusieurs manières :\n- systématique, par un ordonnanceur de tâches pour les applications importantes ;\n- ponctuelle, en cas d’erreur sur les fichiers ;\n- générale, pour une sauvegarde et restauration entières du système d’information.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que la politique de sauvegarde mise œuvre intègre à minima :\n- la liste des données jugées vitales pour l’organisme et les serveurs concernés ;\n- les différents types de sauvegarde (par exemple le mode hors ligne) ;\n- la fréquence des sauvegardes ;\n- la procédure d’administration et d’exécution des sauvegardes ;\n- les informations de stockage et les restrictions d’accès aux sauvegardes ;\n- les procédures de test de restauration ;\n- la destruction des supports ayant contenu les sauvegardes.", "statusLevelId": 0 }, { "title": "GHY37-S_V03 | Définir et appliquer une politique de sauvegarde des composants critiques", "description": "Suite à un incident d’exploitation ou en contexte de gestion d’une intrusion, la disponibilité de sauvegardes conservées en lieu sûr est indispensable à la poursuite de l’activité. Il est donc fortement recommandé de formaliser une politique de sauvegarde régulièrement mise à jour. Cette dernière a pour objectif de définir des exigences en matière de sauvegarde de l’information, des logiciels et des systèmes. Cette politique doit au moins intégrer les éléments suivants :\n- la liste des données jugées vitales pour l’organisme et les serveurs concernés ;\n- les différents types de sauvegarde (par exemple le mode hors ligne) ;\n- la fréquence des sauvegardes ;\n- la procédure d’administration et d’exécution des sauvegardes ;\n- les informations de stockage et les restrictions d’accès aux sauvegardes ;\n- les procédures de test de restauration ;\n- la destruction des supports ayant contenu les sauvegardes. Les tests de restauration peuvent être réalisés de plusieurs manières :\n- systématique, par un ordonnanceur de tâches pour les applications importantes ;\n- ponctuelle, en cas d’erreur sur les fichiers ;\n- générale, pour une sauvegarde et restauration entières du système d’information.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que la politique de sauvegarde prévoit la réalisation de tests de restauration.", "statusLevelId": 0 }, { "title": "GHY37-R_V01 | Définir et appliquer une politique de sauvegarde des composants critiques", "description": "Un fois cette politique de sauvegarde établie, il est souhaitable de planifier au moins une fois par an un exercice de restauration des données et de conserver une trace technique des résultats.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que la politique de sauvegarde prévoit à minima un exercice annuel de restauration des données et que celui-ci est effectivement mis en œuvre.", "statusLevelId": 0 }, { "title": "GHY38-R_V01 | Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées", "description": "La réalisation d’audits réguliers (au moins une fois par an) du système d’information est essentielle car elle permet d’évaluer concrètement l’efficacité des mesures mises en œuvre et leur maintien dans le temps. Ces contrôles et audits permettent également de mesurer les écarts pouvant persister entre la règle et la pratique. Ils peuvent être réalisés par d’éventuelles équipes d’audit internes ou par des sociétés externes spécialisées. Selon le périmètre à contrôler, des audits techniques et/ou organisationnels seront effectués par les professionnels mobilisés. Ces audits sont d’autant plus nécessaires que l’entité doit être conforme à des réglementations et obligations légales directement liées à ses activités. À l’issue de ces audits, des actions correctives doivent être identifiées, leur application planifiée et des points de suivi organisés à intervalles réguliers. Pour une plus grande efficacité, des indicateurs sur l’état d’avancement du plan d’action pourront être intégrés dans un tableau de bord à l’adresse de la direction. Si les audits de sécurité participent à la sécurité du système d’information en permettant de mettre en évidence d’éventuelles vulnérabilités, ils ne constituent jamais une preuve de leur absence et ne dispensent donc pas d’autres mesures de contrôle.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que l'entité réalise des audits réguliers (au moins une fois par an).", "statusLevelId": 0 }, { "title": "GHY38-R_V02 | Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées", "description": "La réalisation d’audits réguliers (au moins une fois par an) du système d’information est essentielle car elle permet d’évaluer concrètement l’efficacité des mesures mises en œuvre et leur maintien dans le temps. Ces contrôles et audits permettent également de mesurer les écarts pouvant persister entre la règle et la pratique. Ils peuvent être réalisés par d’éventuelles équipes d’audit internes ou par des sociétés externes spécialisées. Selon le périmètre à contrôler, des audits techniques et/ou organisationnels seront effectués par les professionnels mobilisés. Ces audits sont d’autant plus nécessaires que l’entité doit être conforme à des réglementations et obligations légales directement liées à ses activités. À l’issue de ces audits, des actions correctives doivent être identifiées, leur application planifiée et des points de suivi organisés à intervalles réguliers. Pour une plus grande efficacité, des indicateurs sur l’état d’avancement du plan d’action pourront être intégrés dans un tableau de bord à l’adresse de la direction. Si les audits de sécurité participent à la sécurité du système d’information en permettant de mettre en évidence d’éventuelles vulnérabilités, ils ne constituent jamais une preuve de leur absence et ne dispensent donc pas d’autres mesures de contrôle.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que les écarts identifiés à l'occasion de ces audits font l'objet d'un plan d'actions correctives et d'un suivi des remédiations en cours.", "statusLevelId": 0 }, { "title": "GHY38-R_V03 | Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées", "description": "La réalisation d’audits réguliers (au moins une fois par an) du système d’information est essentielle car elle permet d’évaluer concrètement l’efficacité des mesures mises en œuvre et leur maintien dans le temps. Ces contrôles et audits permettent également de mesurer les écarts pouvant persister entre la règle et la pratique. Ils peuvent être réalisés par d’éventuelles équipes d’audit internes ou par des sociétés externes spécialisées. Selon le périmètre à contrôler, des audits techniques et/ou organisationnels seront effectués par les professionnels mobilisés. Ces audits sont d’autant plus nécessaires que l’entité doit être conforme à des réglementations et obligations légales directement liées à ses activités. À l’issue de ces audits, des actions correctives doivent être identifiées, leur application planifiée et des points de suivi organisés à intervalles réguliers. Pour une plus grande efficacité, des indicateurs sur l’état d’avancement du plan d’action pourront être intégrés dans un tableau de bord à l’adresse de la direction. Si les audits de sécurité participent à la sécurité du système d’information en permettant de mettre en évidence d’éventuelles vulnérabilités, ils ne constituent jamais une preuve de leur absence et ne dispensent donc pas d’autres mesures de contrôle.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que des indicateurs sur l’état d’avancement du plan d’action sont présentés à la direction lors de points de suivi organisés à intervalles réguliers.", "statusLevelId": 0 }, { "title": "GHY39-S_V01 | Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel", "description": "Toute entité doit disposer d’un référent en sécurité des systèmes d’information qui sera soutenu par la direction ou par une instance décisionnelle spécialisée selon le niveau de maturité de la structure. Ce référent devra être connu de tous les utilisateurs et sera le premier contact pour toutes les questions relatives à la sécurité des systèmes d’information :\n- définition des règles à appliquer selon le contexte ;\n- vérification de l’application des règles ;\n- sensibilisation des utilisateurs et définition d’un plan de formation des acteurs informatiques ;\n- centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs. Ce référent devra être formé à la sécurité des systèmes d’information et à la gestion de crise. Dans les entités les plus importantes, ce correspondant peut être désigné pour devenir le relais du RSSI. Il pourra par exemple signaler les doléances des utilisateurs et identifier les thématiques à aborder dans le cadre des sensibilisations, permettant ainsi d’élever le niveau de sécurité du système d’information au sein de l’organisme.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que l'entité dispose d'un référent en sécurité des systèmes d'information soutenu par la direction.", "statusLevelId": 0 }, { "title": "GHY39-S_V02 | Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel", "description": "Toute entité doit disposer d’un référent en sécurité des systèmes d’information qui sera soutenu par la direction ou par une instance décisionnelle spécialisée selon le niveau de maturité de la structure. Ce référent devra être connu de tous les utilisateurs et sera le premier contact pour toutes les questions relatives à la sécurité des systèmes d’information :\n- définition des règles à appliquer selon le contexte ;\n- vérification de l’application des règles ;\n- sensibilisation des utilisateurs et définition d’un plan de formation des acteurs informatiques ;\n- centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs. Ce référent devra être formé à la sécurité des systèmes d’information et à la gestion de crise. Dans les entités les plus importantes, ce correspondant peut être désigné pour devenir le relais du RSSI. Il pourra par exemple signaler les doléances des utilisateurs et identifier les thématiques à aborder dans le cadre des sensibilisations, permettant ainsi d’élever le niveau de sécurité du système d’information au sein de l’organisme.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que les missions du référent en sécurité des systèmes d'information comprennent à minima :\n- définition des règles à appliquer selon le contexte ;\n- vérification de l’application des règles ;\n- sensibilisation des utilisateurs et définition d’un plan de formation des acteurs informatiques ;\n- centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs.", "statusLevelId": 0 }, { "title": "GHY39-S_V03 | Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel", "description": "Toute entité doit disposer d’un référent en sécurité des systèmes d’information qui sera soutenu par la direction ou par une instance décisionnelle spécialisée selon le niveau de maturité de la structure. Ce référent devra être connu de tous les utilisateurs et sera le premier contact pour toutes les questions relatives à la sécurité des systèmes d’information :\n- définition des règles à appliquer selon le contexte ;\n- vérification de l’application des règles ;\n- sensibilisation des utilisateurs et définition d’un plan de formation des acteurs informatiques ;\n- centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs. Ce référent devra être formé à la sécurité des systèmes d’information et à la gestion de crise. Dans les entités les plus importantes, ce correspondant peut être désigné pour devenir le relais du RSSI. Il pourra par exemple signaler les doléances des utilisateurs et identifier les thématiques à aborder dans le cadre des sensibilisations, permettant ainsi d’élever le niveau de sécurité du système d’information au sein de l’organisme.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier les missions du référent en sécurité des systèmes d'information sont effectivement assurées et connues de tous les utilisateurs.", "statusLevelId": 0 }, { "title": "GHY39-S_V04 | Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel", "description": "Toute entité doit disposer d’un référent en sécurité des systèmes d’information qui sera soutenu par la direction ou par une instance décisionnelle spécialisée selon le niveau de maturité de la structure. Ce référent devra être connu de tous les utilisateurs et sera le premier contact pour toutes les questions relatives à la sécurité des systèmes d’information :\n- définition des règles à appliquer selon le contexte ;\n- vérification de l’application des règles ;\n- sensibilisation des utilisateurs et définition d’un plan de formation des acteurs informatiques ;\n- centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs. Ce référent devra être formé à la sécurité des systèmes d’information et à la gestion de crise. Dans les entités les plus importantes, ce correspondant peut être désigné pour devenir le relais du RSSI. Il pourra par exemple signaler les doléances des utilisateurs et identifier les thématiques à aborder dans le cadre des sensibilisations, permettant ainsi d’élever le niveau de sécurité du système d’information au sein de l’organisme.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que le référent en sécurité des systèmes d'information est formé à la sécurité des systèmes d'information et à la gestion de crise.", "statusLevelId": 0 }, { "title": "GHY40-S_V01 | Définir une procédure de gestion des incidents de sécurité", "description": "Le constat d’un comportement inhabituel de la part d’un poste de travail ou d’un serveur (connexion impossible, activité importante, activités inhabituelles, services ouverts non autorisés, fichiers créés, modifiés ou supprimés sans autorisation, multiples alertes de l’antivirus, etc.) peut alerter sur une éventuelle intrusion. Une mauvaise réaction en cas d’incident de sécurité peut faire empirer la situation et empêcher de traiter correctement le problème. Le bon réflexe est de déconnecter la machine du réseau, pour stopper l’attaque. En revanche, il faut la maintenir sous tension et ne pas la redémarrer, pour ne pas perdre d’informations utiles pour l’analyse de l’attaque. Il faut ensuite prévenir la hiérarchie, ainsi que le référent en sécurité des systèmes d’information. Celui-ci peut prendre contact avec un prestataire de réponse aux incidents de sécurité (PRIS) afin de faire réaliser les opérations techniques nécessaires (copie physique du disque, analyse de la mémoire, des journaux et d’éventuels codes malveillants, etc.) et de déterminer si d’autres éléments du système d’information ont été compromis. Il s’agira également d’élaborer la réponse à apporter afin de supprimer d’éventuels codes malveillants et accès dont disposerait l’attaquant et de procéder au changement des mots de passe compromis. Tout incident doit être consigné dans un registre centralisé. Une plainte pourra également être déposée auprès du service judiciaire compétent.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que l'entité a défini une procédure de gestion des incidents de sécurité.", "statusLevelId": 0 }, { "title": "GHY40-S_V02 | Définir une procédure de gestion des incidents de sécurité", "description": "Le constat d’un comportement inhabituel de la part d’un poste de travail ou d’un serveur (connexion impossible, activité importante, activités inhabituelles, services ouverts non autorisés, fichiers créés, modifiés ou supprimés sans autorisation, multiples alertes de l’antivirus, etc.) peut alerter sur une éventuelle intrusion. Une mauvaise réaction en cas d’incident de sécurité peut faire empirer la situation et empêcher de traiter correctement le problème. Le bon réflexe est de déconnecter la machine du réseau, pour stopper l’attaque. En revanche, il faut la maintenir sous tension et ne pas la redémarrer, pour ne pas perdre d’informations utiles pour l’analyse de l’attaque. Il faut ensuite prévenir la hiérarchie, ainsi que le référent en sécurité des systèmes d’information. Celui-ci peut prendre contact avec un prestataire de réponse aux incidents de sécurité (PRIS) afin de faire réaliser les opérations techniques nécessaires (copie physique du disque, analyse de la mémoire, des journaux et d’éventuels codes malveillants, etc.) et de déterminer si d’autres éléments du système d’information ont été compromis. Il s’agira également d’élaborer la réponse à apporter afin de supprimer d’éventuels codes malveillants et accès dont disposerait l’attaquant et de procéder au changement des mots de passe compromis. Tout incident doit être consigné dans un registre centralisé. Une plainte pourra également être déposée auprès du service judiciaire compétent.", "category": "IX - Superviser, auditer, réagir", "justification": "L'audit doit vérifier que la procédure de gestion des incidents de sécurité traite à minima des sujets suivants:\n- le comportement à adopter par les utilisateurs en cas d'incident (fiches réflexe, compte rendu, points de contacts, ...) ;\n- le rôle des responsables et référents en sécurité des systèmes d'information ;\n- la méthodologie de qualification des incidents de sécurité ;\n- les moyens et métholologies envisagées pour réaliser l'investigation numérique ; \n- l'enregistrement et le suivi des incidents dans un registre centralisé ;\n- les moyens et métholologies envisagées pour réaliser des actions d'endiguement ;\n- les modalités pour déposer une plainte auprès du service judiciaire compétent.", "statusLevelId": 0 }, { "title": "GHY41-R_V01 | Mener une analyse de risques formelle", "description": "Chaque entité évolue dans un environnement informationnel complexe qui lui est propre. Aussi, toute prise de position ou plan d’action impliquant la sécurité du système d’information doit être considéré à la lumière des risques pressentis par la direction. En effet, qu’il s’agisse de mesures organisationnelles ou techniques, leur mise en œuvre représente un coût pour l’entité qui nécessite de s’assurer qu’elles permettent de réduire au bon niveau un risque identifié. Dans les cas les plus sensibles, l’analyse de risque peut remettre en cause certains choix passés. Ce peut notamment être le cas si la probabilité d’apparition d’un événement et ses conséquences potentielles s’avèrent critiques pour l’entité et qu’il n’existe aucune action préventive pour le maîtriser. La démarche recommandée consiste, dans les grandes lignes, à définir le contexte, apprécier les risques et les traiter. L’évaluation de ces risques s’opère généralement selon deux axes : leur probabilité d’apparition et leur gravité. S’ensuit l’élaboration d’un plan de traitement du risque à faire valider par une autorité désignée à plus haut niveau. Trois types d’approches peuvent être envisagés pour maîtriser les risques associés à son système d’information :\n- le recours aux bonnes pratiques de sécurité informatique ;\n- une analyse de risques systématique fondée sur les retours d’expérience des utilisateurs ;\n- une gestion structurée des risques formalisée par une méthodologie dédiée. Dans ce dernier cas, la méthode EBIOS référencée par l’ANSSI est recommandée. Elle permet d’exprimer les besoins de sécurité, d’identifier les objectifs de sécurité et de déterminer les exigences de sécurité.", "category": "X - Pour aller plus loin", "justification": "L'audit doit vérifier que l'entité mene une analyse de risque formelle dans les règles de l'art et selon une méthode reconnue, reproductible et pérenne.", "statusLevelId": 0 }, { "title": "GHY41-R_V02 | Mener une analyse de risques formelle", "description": "Chaque entité évolue dans un environnement informationnel complexe qui lui est propre. Aussi, toute prise de position ou plan d’action impliquant la sécurité du système d’information doit être considéré à la lumière des risques pressentis par la direction. En effet, qu’il s’agisse de mesures organisationnelles ou techniques, leur mise en œuvre représente un coût pour l’entité qui nécessite de s’assurer qu’elles permettent de réduire au bon niveau un risque identifié. Dans les cas les plus sensibles, l’analyse de risque peut remettre en cause certains choix passés. Ce peut notamment être le cas si la probabilité d’apparition d’un événement et ses conséquences potentielles s’avèrent critiques pour l’entité et qu’il n’existe aucune action préventive pour le maîtriser. La démarche recommandée consiste, dans les grandes lignes, à définir le contexte, apprécier les risques et les traiter. L’évaluation de ces risques s’opère généralement selon deux axes : leur probabilité d’apparition et leur gravité. S’ensuit l’élaboration d’un plan de traitement du risque à faire valider par une autorité désignée à plus haut niveau. Trois types d’approches peuvent être envisagés pour maîtriser les risques associés à son système d’information :\n- le recours aux bonnes pratiques de sécurité informatique ;\n- une analyse de risques systématique fondée sur les retours d’expérience des utilisateurs ;\n- une gestion structurée des risques formalisée par une méthodologie dédiée. Dans ce dernier cas, la méthode EBIOS référencée par l’ANSSI est recommandée. Elle permet d’exprimer les besoins de sécurité, d’identifier les objectifs de sécurité et de déterminer les exigences de sécurité.", "category": "X - Pour aller plus loin", "justification": "L'audit doit vérifier que l'analyse de risque formelle a engendré un plan de traitements du risque.", "statusLevelId": 0 }, { "title": "GHY41-R_V03 | Mener une analyse de risques formelle", "description": "Chaque entité évolue dans un environnement informationnel complexe qui lui est propre. Aussi, toute prise de position ou plan d’action impliquant la sécurité du système d’information doit être considéré à la lumière des risques pressentis par la direction. En effet, qu’il s’agisse de mesures organisationnelles ou techniques, leur mise en œuvre représente un coût pour l’entité qui nécessite de s’assurer qu’elles permettent de réduire au bon niveau un risque identifié. Dans les cas les plus sensibles, l’analyse de risque peut remettre en cause certains choix passés. Ce peut notamment être le cas si la probabilité d’apparition d’un événement et ses conséquences potentielles s’avèrent critiques pour l’entité et qu’il n’existe aucune action préventive pour le maîtriser. La démarche recommandée consiste, dans les grandes lignes, à définir le contexte, apprécier les risques et les traiter. L’évaluation de ces risques s’opère généralement selon deux axes : leur probabilité d’apparition et leur gravité. S’ensuit l’élaboration d’un plan de traitement du risque à faire valider par une autorité désignée à plus haut niveau. Trois types d’approches peuvent être envisagés pour maîtriser les risques associés à son système d’information :\n- le recours aux bonnes pratiques de sécurité informatique ;\n- une analyse de risques systématique fondée sur les retours d’expérience des utilisateurs ;\n- une gestion structurée des risques formalisée par une méthodologie dédiée. Dans ce dernier cas, la méthode EBIOS référencée par l’ANSSI est recommandée. Elle permet d’exprimer les besoins de sécurité, d’identifier les objectifs de sécurité et de déterminer les exigences de sécurité.", "category": "X - Pour aller plus loin", "justification": "L'audit doit vérifier que le plan de traitement du risque a été validé par une autorité désignée au plus haut niveau de l'entité.", "statusLevelId": 0 }, { "title": "GHY42-R_V01 | Privilégier l’usage de produits et de services qualifiés par l’ANSSI", "description": "La qualification prononcée par l’ANSSI offre des garanties de sécurité et de confiance aux acheteurs de solutions listées dans les catalogues de produits et de prestataires de service qualifiés que publie l’agence. Au-delà des entités soumises à réglementation, l’ANSSI encourage plus généralement l’ensemble des entreprises et administrations françaises à utiliser des produits qu’elle qualifie, seul gage d’une étude sérieuse et approfondie du fonctionnement technique de la solution et de son écosystème. S’agissant des prestataires de service qualifiés, ce label permet de répondre aux enjeux et projets de cybersécurité pour l’ensemble du tissu économique français que l’ANSSI ne saurait adresser seule. Évalués sur des critères techniques et organisationnels, les prestataires qualifiés couvrent l’essentiel des métiers de la sécurité des systèmes d’information. Ainsi, en fonction de ses besoins et du maillage national, une entité pourra faire appel à un Prestataire d’audit de la sécurité des systèmes d’information (PASSI), un Prestataire de réponse aux incidents de sécurité (PRIS), un Prestataire de détection des incidents de sécurité (PDIS) ou à un prestataire de service d’informatique en nuage (SecNumCloud).", "category": "X - Pour aller plus loin", "justification": "L'audit doit vérifier que l'entité utilise des produits et services qualifiés par l'ANSSI.", "statusLevelId": 0 } ]