SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow Gestion opérationnelle arrow Gestion SSI arrow Plan de mise en oeuvre des mesures de sécurité
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Plan de mise en oeuvre des mesures de sécurité Convertir en PDF Version imprimable Suggérer par mail
09-03-2009
Le premier processus de la gestion opérationnelle de la sécurité reste le choix et la mise en œuvre opérationnelle des mesures techniques et organisationnelles décidées dans le schéma directeur sécurité.

Image

La liste (non-exhaustive) des principales familles de mesures de sécurité peut se résumer au tableau ci-dessous :

ID
 FamilleCatégorie
 RSK Evaluation des risques
Risk Management
 RSK Analyse des risques
Risk Management
 RSK Réduction des risques
Risk Management
 RSK Surveillance des risques
Risk Management
 POL Politique générale de sécurité
Politique
 POL Politiques détaillées
Politique
 POL StandardsPolitique
 POL Guides et procédures
Politique
 POL Réexamen des politiques de sécurité
Politique
 ORG Organisation & structures de sécurité
Organisation
 ORG ReportingOrganisation
 ORG CommunicationOrganisation
 ORG Gestion & sécurité  des Tiers
Organisation
 BIE Inventaire des ressources
Organisation
 BIE Classification des ressources
Organisation
 BIE Propriété responsabilité des ressources
Organisation
 SRH Sécurité des personnes (entrants)
Organisation
 SRH Sécurité des personnes (mutations)
Organisation
 SRH Sécurité des personnes (sortants)
Organisation
 SRH Sensibilisation et formation
Organisation
 SPE Acces Physiques
Organisation
 SPE Sécurité des zones sensibles
Organisation
 SPE Régulation Hygro-thermique
Organisation
SPE Incendie et Inondations
Organisation
 SPE EnergieOrganisation
 SPE Sécurité & Maintenance des matériels
Organisation
 OPR Opérations Missions responsabilités
Organisation
 OPR Sécurité des prestations tierces
Organisation
 OPR Sécurité des procédures
Organisation
 OPR
 Configuration management
Organisation
 OPR Protection des médias
Organisation
 OPR SauvegardesOrganisation
 OPR
 Sécurité systèmes et réseaux
Technique
 OPR Sécurité des échanges
 Technique
 OPR Change management
Organisation
 OPR SupervisionOrganisation
 CAL Accès logique
Technique
 CAL Accès réseau
Technique
 CAL Accès systèmes
Technique
 CAL
 Accès applications
Technique
 CAL
 Accès fonctions
Technique
 CAL
 Accès intégrité des données
Technique
 CAL Accès distant & mobile
 Technique
 ADM Sécurité des développements
Organisation
 ADM Sécurité du code
Organisation
 ADM Sécurité de la ConceptionOrganisation
 ADM Acquisition de systèmes et de services
Organisation
 ADM
 Sécurité des Tests & essais
Organisation
 ADM
 ImplémentationOrganisation
 ADM Sureté de fonctionnement applicative
Organisation
 ADM Sécurité des données et messages
Organisation
 ADM
 Mesures Cryptographiques
Technique
 ADM
 Sécurité des systèmes et sources
 Organisation
 ADM Maintenance & support
Organisation
 GIS Veille Sécurité
 Organisation
 GIS Log des Incidents
Organisation 
 GIS
 Identification des incidents
Organisation 
 GIS
 Réaction aux incidents
Organisation 
 GIS Gestion et traitement des incidents
Organisation 
 GIS
 Feedback des incidents
Organisation 
 PRA
 Plan de continuité des AffairesOrganisation
 PRA
 Plan de Reprise des Activités IT & Tel.
Organisation
 CRJ
 Audit
Organisation 
 CRJ
 Conformité RéglementaireOrganisation 
 CRJ Conformité JuridiqueOrganisation 
 CRJ
 Conformité des TiersOrganisation 
 
  


Si vous voulez aller droit au but :

On pourra aussi s'inspirer de la liste des 20 mesures de sécurité critiques proposées par le SANS Institute :

  1. Inventaire des ressources informatiques autorisées et non-autorisées
  2. Inventaire des logiciels autorisés et non-autorisés
  3. Configuration sécurisée (Hard et Soft) pour les portables, les stations et les serveurs
  4. Configurations sécurisées pour les composants réseaux tels que firewalls, routers et switchs
  5. Architecture de défense en profondeur et défense des accès périphériques (Internet par exemple)
  6. Maintenance, Surveillance et Analyse des logs [d'audit]
  7. Sécurité des applications
  8. Contrôle de l'utilisation des privilèges
  9. Contrôle des accès basés sur la notion de rôle [Need to Know]
  10. Évaluation continue des vulnérabilités et actions correctives associées
  11. Surveillance et contrôle de l'utilisation des droits d'accès
  12. Défense contre les Malware
  13. Limitation et contrôle d'utilisation des ports, protocoles et services réseaux
  14. Surveillance des accès sans fils
  15. Détection et Prévention des pertes de données
  16. Audit conceptuel & technique de la sécurité des architectures réseau
  17. Tests de pénétration et tests de réactivité des équipes de gestion des incidents [red-team]
  18. Gestion des Incidents
  19. Sauvegarde et restauration des données en cas d'incident
  20. Gestion des compétences de sécurité et formations associées
Ou des Exigences-Type du RGS :

1 GESTION DES RISQUES DE SECURITE DES SYSTEMES D'INFORMATION
1.1 APPRECIATION ET TRAITEMENT DES RISQUES
1.2 ACCEPTATION / HOMOLOGATION
2 POLITIQUE DE SECURITE
3 ORGANISATION DE LA SECURITE
4 TIERS
5 GESTION DES BIENS
6 SECURITE LIEE AU PERSONNEL
7 SECURITE PHYSIQUE ET ENVIRONNEMENTALE
8 SECURITE RESEAU
9 SECURITE DES ECHANGES DE DONNEES
10 SECURITE DES SERVEURS ET DES SYSTEMES
11 SECURITE DES APPLICATIONS ET DES DONNEES APPLICATIVES
12 GESTION DE L’EXPLOITATION
13 CONTROLE D’ACCES
14 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE
15 GESTION DES INCIDENTS
16 GESTION DU PCA
17 CONFORMITE ET VERIFICATION
à minima : les 40 mesures d'hygiène informatique de l'ANSSI :
Patrick Pailloux (ANSSI) vous le dit  :
"Appliquer ces 40 règles garantira à vos systèmes d'information une meilleure résilience face aux cyberattaques,
Plus personne n'a désormais d'excuse pour ne pas appliquer ces mesures" (les Assises de la sécurité 2012).

Exhaustives ou améliorables on en doute pas mais elles ont le mérite d'exister !

1) Disposer d'une cartographie précise de l’installation informatique et la maintenir à jour.
2) Disposer d'un inventaire exhaustif des comptes privilégiés et le maintenir à jour.
3) Rédiger des procédures d'arrivée et de départ des utilisateurs (personnel, stagiaires, …).
4) Limiter le nombre d'accès Internet au strict nécessaire.
5) Interdire la connexion d’équipements personnels au système d’information de l’entreprise.
6) Connaître les modalités de mises à jour de l'ensemble des composants logiciels utilisés.
7) Se tenir informé des vulnérabilités de ces composants et des mises à jour nécessaires.
8) Définir une politique simple de mise à jour et l'appliquer strictement.
9) Identifier nominativement chaque personne ayant accès au système.
10) définir des règles de choix et de dimensionnement des mots de passe
11) Mettre en place des moyens techniques permettant de faire respecter les règles relatives aux mots de passe.
12) Ne pas conserver les mots de passe sur les systèmes informatiques.
13) Supprimer ou modifier systématiquement les éléments d'authentification par défaut (mots de passe, certificats) sur les équipements (commutateurs réseau, routeurs, serveurs, imprimantes).
14) Privilégier lorsque c’est possible une authentification forte par carte à puce.
15) Mettre en place un niveau de sécurité homogène sur l'ensemble du parc informatique, désactiver les services inutiles et restreindre les privilèges des utilisateurs.
16) Interdire techniquement la connexion des supports amovibles sauf si c’est strictement nécessaire ; sinon désactiver l'exécution des autoruns depuis de tels supports.
17) Utiliser un outil de gestion de parc informatique permettant de déployer des politiques de sécurité et les mises à jour sur les équipements.
18) Gérer les terminaux nomades selon la même politique de sécurité que les postes fixes
19) Interdire dans tous les cas où cela est possible les connexions à distance sur les postes clients.
20) Chiffrer les données sensibles, en particulier sur les postes nomades et les supports perdables.
21) Auditer ou faire auditer fréquemment la configuration de l'annuaire central (Active Directory en environnement Windows)
22) Ne pas mettre en place de réseaux non cloisonnés. Pour les postes ou les serveurs contenant des informations importantes pour la vie de l’entreprise, créer un sous-réseau protégé par un pare-feu spécifique.
23) Interdire la navigation sur Internet depuis les comptes d'administration.
24) Limiter le nombre de passerelles d'interconnexion avec Internet.
25) Vérifier qu'aucun équipement du réseau ne comporte d'interface d'administration accessible depuis l’Internet.
26) Éviter l'usage de technologies sans fil (Wifi). Si l’usage de ces technologies ne peut être évité, cloisonner le réseau d’accès Wifi du reste du système d’information.
27) Définir concrètement les objectifs de la supervision des systèmes et des réseaux.
28) Déterminer les mécanismes de journalisation devant être activés.
29) Utiliser un réseau dédié à l'administration des équipements ou au moins un réseau logiquement séparé du réseau des utilisateurs.
30) Ne pas donner aux utilisateurs de privilèges d'administration. Ne faire aucune exception.
31) N'autoriser l'accès à distance au réseau professionnel, y compris pour l’administration, que depuis des postes professionnels mettant en oeuvre des mécanismes d'authentification forte et protégeant l'intégrité et la confidentialité des échanges à l'aide de moyens robustes (privilégier ceux qui sont qualifiés par l'ANSSI).
32) Utiliser impérativement des mécanismes de contrôle d'accès robustes.
33) Gérer rigoureusement les clés permettant l’accès aux locaux et les codes d’alarme.
34) Ne pas laisser de prises d'accès au réseau interne accessibles dans les endroits publics.
35) Définir des règles en matière de gestion des impressions papier.
36) Ne jamais se contenter de traiter l'infection d'une machine sans tenter de savoir si le code malveillant a pu se propager ailleurs dans le réseau.
37) Disposer d'un plan de reprise ou de continuité d'activité informatique tenu régulièrement à jour.
38) Mettre en place une chaîne d'alerte connue de tous les intervenants.
39) Sensibiliser les utilisateurs aux règles d’hygiène informatique élémentaires.
40) Faire réaliser des audits de sécurité périodiques (au minimum tous les ans). Chaque audit doit être associé à un plan d'action.


Ressources : Sans.org 20 Critical Security Controls - Version 4.0
Ressources : Mapping des 20 mesures du SAN avec le NIST SP800-53 et l'ISO 27002 (merci à Brad C. Johnson de System Experts)
Ressources : Les 40 mesures d’hygiène informatique de l'ANSSI
Ressources : Les mesures ISO27002 et leur correspondance Mehari
Ressources : Les services et sous-services de Mehari
Ressources : Sans Institute : 20 Critical Security controls version 2.3
Ressources : DGSSI : Catalogue des exigences-type du RGS : pdf de 80 pages
Dernière mise à jour : ( 22-02-2013 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.