Politique de sécurité de l’information (P.S.S.I)
INTRODUCTION
Objet
Ce document a pour but de définir la politique globale en termes de sécurité de l’information liée à l’activité de [NOM ENTREPRISE]
Définitions spécifiques et document de référence
Lister les termes spécifiques du SI de l’entreprise ainsi que les différents documents mentionnés dans cette politique (les différentes politiques et processus, la charte informatique, les documents relatifs aux obligations légales ….). Cette liste est donnée à titre d’exemple
| Identifiant | Intitulé |
|---|---|
| [CharteInformatique] | Charte d’utilisation du SI rédigée par le Groupe Visiativ |
| [DAT] | Ensemble de documents d’architecture pour les activités et services de [NOM ENTREPRISE] |
| [PolGestionActifs] | Politique de gestion des actifs |
| [PolGestionAccèsHabilitations] | Politique de gestion des accès et des habilitations |
| [PolSauvegarde] | Politique de sauvegarde |
| [PolJournalisationSupervision] | Politique de journalisation et de supervision |
| [PolGestionFournisseurs] | Politique de gestion des fournisseurs |
| [EngagementConfi] | Engagement de confidentialité |
| [PlanActions] | Plan d’actions |
| [ProSecuProj] | Procédure d’intégration de la sécurité dans les projets et changements |
| [ProGestionDocumentaire] | Procédure de gestion documentaire |
| [ProMaintienConditionSécu] | Procédure de maintien en condition de sécurité |
| [ProGestionArrivéesMouvDép] | Procédure de gestion des arrivées, des mouvements et des départs |
| [ProGestionIncidentsSécurité] | Procédure de gestion des incidents de sécurité |
| [PlanContrôles] | Planification des contrôles |
| [ProSécurisationRelationTiers] | Procédure de sécurité dans la relation avec les co-contractants |
| [ProVeilleLégaleRègl] | Procédure d’identification veille et respect exigences légales et juridiques |
| [FichesMission] | Fiches de mission |
Terminologie
| DSI | Direction du Système d’information |
|---|---|
| CS | Comité Sécurité |
| SG | Services généraux |
| PCA | Plan de Continuité d’Activité |
| PRA | Plan de reprise d’Activité |
| PRI | Plan de reprise Informatique |
| PSSI | Politique de Sécurité des Systèmes d’Information |
| RGPD | Règlement Général sur la Protection des Données |
| DRH | Direction des Ressources humaines |
| DSSI | Direction de la Sécurité du Système d’Information |
| Service Juridique | Service Juridique du groupe Visiativ |
| SI | Système d’Information |
Présentation du document
Chaque chapitre est présenté sous une forme identique avec les champs suivants :
| Objectif | Description générale de l’objectif du chapitre |
|---|---|
| Documents de référence et d’application | Liste des documents de référence et d’application génériques au chapitre |
| Points de contrôle | Liste des principaux points de contrôle permettant de vérifier l’atteinte de l’objectif |
Chaque règle est également présentée sous une forme identique avec les champs suivants :
| Identifiant | Titre de la règle |
|---|---|
| Règle | Description détaillée de la règle |
| Acteurs | Identification des acteurs concernés par la mise en œuvre de la règle |
| Responsable de l’application de la règle | Identification du responsable de l’application de la règle |
Des commentaires en gris , viennent compléter les attendus et peuvent servir d’exemple afin de compléter les règles, les processus ou les politiques de chaque chapitre
Objectif de la PSSI
| Objectif | La PSSI définit l’ensemble des règles de sécurité à appliquées par tout usager interne ou externe afin de répondre aux risques de sécurité à traiter, dans le respect des exigences règlementaires ou contractuelles. |
| Documents de référence et d’application | [PSSI], Politiques thématiques |
| Points de contrôle | Existence et mise à jour de l’ensemble des documents de référence et d’applicationValidation par le Comité de sécurité (si existant) Facilité d’accès à la PSSI et aux documents de référence et d’application Définition du processus de mise à jourResponsabilisation de la Direction Définition du processus pour le suivi et le contrôle de l’application de la PSSI Connaissance par l’ensemble des usagers du périmètre à travers la charte informatique qui couvre les mesures qui s’appliquent globalement. |
Domaine d’application
| IDENTIFIANT DE LA REGLE | Périmètre de la PSSI |
|---|---|
| Règle | La PSSI s’applique à l’ensemble des personnes physiques ou morales intervenant sur le périmètre du SI. Les personnels habilités s’assurent de la mise en œuvre des règles dans l’ensemble des processus concernés, en collaboration avec les managers. |
| Acteurs | |
| Responsable de l’application de la règle |
Le SI de [NOM ENTREPRISE] et tout ce qui s’y rattache [Décrire de manière concise le système d’information de l’entreprise / éventuellement ce qui touche à l’OT]
Objectifs de sécurité et engagements de la direction
[EXEMPLE D’OBJECTIFS]
Cette politique vise à protéger les informations critiques de l’entreprise de ses clients et partenaires.
Les informations comprennent les données électroniques et numériques sur ordinateurs, les informations imprimées ou manuscrites transmises et reçues à travers la messagerie électronique, la correspondance et autres documents incluant les télécopies, les communications orales et les conversations téléphoniques sont également concernées.
L’entreprise s’engage à :
- Assurer l’intégrité de l’information,
- Respecter les objectifs de sécurité, Protéger l’information de valeur ou sensible des divulgations non autorisées ou des interruptions prolongées,
- Protéger l’information contre les menaces internes ou externes, délibérées ou accidentelles,
- Éviter de causer des préjudices importants à l’entreprise, ainsi qu’à ses clients et partenaires,
- Améliorer de manière continue la sécurité du S.I
- Respecter les législations et réglementations en vigueurs.
La politique s’applique aux dirigeants et aux employés permanents et temporaires de l’entreprise, aux stagiaires, aux contractuels et aux consultants dont les services sont retenus par l’entreprise.
| IDENTIFIANT DE LA REGLE | Déclinaison opérationnelle de la PSSI |
|---|---|
| Règle | La PSSI est étayée par des documents thématiques (politiques, procédures, charte informatique, autres, etc.) spécifiant les mesures à mettre en œuvre pour décliner opérationnellement les règles et les objectifs énoncés. Ces documents thématiques sont référencés dans la PSSI. |
| Acteurs | |
| Responsable de l’application de la règle |
Respect des politiques de sécurité de l’entreprise
Indiquer les obligations des collaborateurs vis-à-vis de cette politique (une référence peut être faite à la charte informatique de l’entreprise)
Dans le but d’assurer les objectifs de sécurité indiqués dans le paragraphe II, l’ensemble des employés
Permanents, temporaires et toutes personnes devant se connecter au SI de l’entreprise de [NOM ENTREPRISE] se doit de respecter l’ensemble des politiques de sécurité exposé dans ce document
| IDENTIFIANT DE LA REGLE | Respect des politiques de sécurité du SI |
|---|---|
| Règle | La DSSI s’assure que l’ensemble des politiques de sécurité di SI est connu de toutes les personnes se connectant au SI de l’entreprise (Internes ou externes) |
| Acteurs | |
| Responsable de l’application de la règle |
Responsabilité et revue du document
Indiquer le responsable de l’application de cette politique et le cycle de revue (au moins 1 fois par an)
| IDENTIFIANT DE LA REGLE | Révision de la PSSI et des documents thématiques |
|---|---|
| Règle | La PSSI est revue et évaluée au moins annuellement, en fonction de l’évolution des risques à traiter, des améliorations décidées par le responsable de la sécurité du SI et des plans d’actions correspondant. Elle peut être revue en dehors de cette périodicité, par exemple en cas de modification des exigences règlementaires ou contractuelles, ou si l’intégration d’un nouveau projet présente des spécificités de sécurité le nécessitant. Les documents thématiques sont modifiés en conséquence le cas échéant. |
| Acteurs | |
| Responsable de l’application de la règle |
La PSSI est revue et évaluée au moins annuellement, en fonction de l’évolution des risques à traiter, des améliorations décidées par le [RESPONSABLE DU DOCUMENT] et des plans d’actions correspondant.
Elle peut être revue en dehors de cette périodicité, par exemple en cas de modification des exigences règlementaires ou contractuelles, ou si l’intégration d’un nouveau projet présente des spécificités de sécurité le nécessitant. Les documents thématiques sont modifiés en conséquence le cas échéant.
Organisation de la sécurité de l’information
| Objectif | Mettre en place une organisation adéquate, garantissant la prise en compte préventive et réactive de la sécurité de l’information. |
|---|---|
| Documents de référence et d’application | [PSSI] [CharteInformatique] [PolGestionAccèsHabilitations] [ProSecuProjets] |
| Points de contrôle | Présence du document d’organisation de la sécurité de l’information (organigrammeExistence et mise à jour des documents de référence et d’applicationDocuments supports aux échanges avec la veille légale et réglementaireAnalyse de risque des projets sensiblesDésignation du correspondant en charge de la veilleComptes-rendus des CS |
Rôles et responsabilités
| IDENTIFIANT DE LA REGLE | Définition de l’organisation interne de la sécurité de l’information |
|---|---|
| Règle | Le responsable de la sécurité du SI établit l’organisation interne de la sécurité de l’information, définissant Les acteurs de la sécurité de l’information Les responsabilités internes et externes (vis-à-vis des tiers) Les moyens de communication Les modalités d’application de la documentation de la sécurité de l’information. |
| Acteurs | |
| Responsable de l’application de la règle |
Organigramme de l’organisation de la sécurité du SI dans l’entreprise avec les rôles de chacun (Ne pas mettre de nom , mais des fonctions)
Relations avec les autorités et les groupes de travails spécialisés
Spécifier les différents organismes avec lesquels vous êtes en relation ( CERT / CLUSIR / CLUB RSSI …)
| IDENTIFIANT DE LA REGLE | Relations avec les autorités |
|---|---|
| Règle | Conformément à la politique de veille légale et réglementaire, dans le cadre de la PSSI, une cellule chargée de se tenir informée des évolutions du cadre règlementaire est mise en place. |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] s’engage à être en conformité avec les spécifications légales et réglementaires, et de ce fait entretient des relations avec les autorités (ANSSI, CNIL, CCN-Cert, AEPD, CERT-MX…) afin de suivre les évolutions dans le domaine de la sécurité de l’information. dans le cadre de la PSSI, une cellule chargée de se tenir informée des évolutions du cadre règlementaire est mise en place.
| IDENTIFIANT DE LA REGLE | Relations avec les groupes de travail spécialisés |
|---|---|
| Règle | Dans le cadre de la PSSI, une cellule chargée d’effectuer des actions de veille sécuritaire est mise en place. Le DSI pilote cette cellule. Il propose les actions correctives nécessaires si les vulnérabilités identifiées affectent des actifs de l’IT |
| Acteurs | |
| Responsable de l’application de la règle |
Pour se faire [NOM ENTREPRISE] est membre d’associations professionnelles (CLUSIR, CLUSIF, CESIN, Incibe…) et adhère à des C.E.R.T qui lui remontent les informations en adéquation avec les actifs sensibles correspondant de son architecture.
Transfert de l’information
Spécifier les régles de sécurité appliquées lors du transfert de l’information ( Messagerie, plateforme de transfert de fichier, devices mobiles, processus d’impression ….)
| IDENTIFIANT DE LA REGLE | Sécurisation des informations transférées |
|---|---|
| Règle | Les flux externes sensibles sont chiffrés à travers l’utilisation de protocoles sécurisés (HTTPS, SFTP, etc.) et des VPN mis en œuvre pour les accès aux applications et aux équipements. Les impressions doivent être sécurisées par un mécanisme de badge nominatif permettant de libérer le document uniquement au moment de l’impression. Pour les services ne disposant pas d’imprimantes sécurisé et traitants des informations sensibles, les imprimantes doivent être au plus près de l’utilisateur concerné, dans un local sécurisé voire directement raccordés au poste de l’utilisateur sans communication réseau. |
| Acteurs | |
| Responsable de l’application de la règle |
Les flux externes sensibles sont chiffrés à travers l’utilisation de protocoles sécurisés (HTTPS, SFTP, etc.) et des VPN mis en œuvre pour les accès aux applications et aux équipements. Dans le cas de supports amovibles (ex : clés ou disques USB), les médias doivent être chiffrés. Pour le transfert physique d’un media contenant des données non publiques, [NOM ENTREPRISE] utilise exclusivement des transporteurs reconnus et fiables ; proposant un suivi et des preuves de livraison. Dans le cadre où [NOM ENTREPRISE]devrait retourner des données sur un media transmis à l’initiative d’un tiers, alors elles seront transmises en utilisant les mêmes techniques et les mêmes moyens que lors de leur arrivée.
Sécurité de l’information dans la gestion de projet
Décrire comment est abordée la sécurité dans les projets SI de l’entreprise ( Comité, grille de validation ….)
| IDENTIFIANT DE LA REGLE | Sécurité dans les projets |
|---|---|
| Règle | Tout projet est étudié conformément à la Politique de gestion de sécurité dans les projets. Tout nouveau projet sensible doit faire l’objet d’une étude de sécurité adaptée à la sensibilité du projet. Des mesures de sécurité adaptées sont ensuite définies. |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] intègre pleinement la sécurité dans tous les projets touchant à l’IT en privilégiant les mesures suivante
- Gestion des risques et des menaces portant sur le projet
- Définition des bonnes pratiques de gestion de projet
- Utilisation d’outils spécialisés dans la gestion de projet
Inventaire et utilisation des actifs – Guide inventaire
Description de la mise en œuvre de l’inventaire des actifs informationnels de l’entreprise (périmètre , outil, revue ….)
| IDENTIFIANT DE LA REGLE | Inventaire des actifs |
|---|---|
| Règle | Tous les actifs du SI sont inventoriés. Ces inventaires comprennent les références des matériels et logiciels utilisés, ainsi que leur version exacte. Les équipes dédiées tiennent à jour les inventaires en s’appuyant sur un outillage adapté. Tout changement doit être répercuté dans les inventaires. |
| Acteurs | |
| Responsable de l’application de la règle |
Lorsque l’on parle d’actifs informationnels, on peut constater que la plupart des personnes pensent aux matériels (ordinateurs, serveurs, machines de production …). Mais il y a beaucoup d’autres éléments qu’il faut prendre en compte. Les personnes, les licences, les fournisseurs, les locaux, la propriété intellectuelle et même les actifs incorporels comme la marque de l’entreprise peuvent tous entrer dans l’inventaire des actifs. Tout actif qui a de la valeur pour l’entreprise doit être protégé et doit alors figurer dans l’inventaire. Cet inventaire doit être revu régulièrement. [NOM ENTREPRISE] met en place des inventaires des actifs essentiels et des actifs supports. Ceux-ci sont répertoriés [OUTIL UTILISE] de manière à pouvoir centraliser les risques associés. Lorsque c’est faisable techniquement et que c’est pertinent, un processus automatisé de mise à jour permet de réconcilier l’inventaire et les actifs présents.
| IDENTIFIANT DE LA REGLE | Utilisation correcte des actifs |
|---|---|
| Règle | Des règles d’utilisation des actifs sont définies et fournies aux personnes ayant des accès aux supports ou aux données. Ces règles sont décrites dans les procédures d’exploitation (réseau, matériels du centre de données, etc. ainsi que dans la [Charte Informatique] (postes de travail, fichiers, etc.). |
| Acteurs | |
| Responsable de l’application de la règle |
Classification de l’information
Politique de classification de l’information ( échelle , moyen de diffusion , chiffrement ….) aussi bien sur la données que sur la documentation
| IDENTIFIANT DE LA REGLE | Classification et marquage des informations |
|---|---|
| Règle | La sensibilité des informations du SI est évaluée. Le RSSI est en charge de définir les règles permettant d’identifier la sensibilité des informations et les moyens pour l’application du marquage. Toute personne ayant accès au SI doit protéger les informations conformément à leur sensibilité et marquage, et ce tout au long de leur cycle de vie |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] a défini les règles permettant d’identifier la sensibilité des informations et les moyens pour l’application du marquage. [NOM ENTREPRISE] a également défini les règles de transfert de L’information conformément à leur classification. Cette classification est établie sur au moins trois niveaux:
- Public
- Limité
- Confidentiel
Gestion des accès et des identités – Guide gestion de l’identité, des accès et des habilitations
Décrire le processus de gestion des identifiants et des accès pour les collaborateurs de l’entreprise
- Inscription/désinscription dans l’annuaire de l’entreprise (AD ou autre)
- Attribution/modification/suppression des droits d’accès (gestion des arrivées et départ ou des mouvements internes au sein de l’entreprise)
- Processus de contrôle des accès et des habilitations
- Gestion des éléments d’authentification
- Politique et gestion des mots de passe
| IDENTIFIANT DE LA REGLE | Politique de gestion des accès et des habilitations |
|---|---|
| Règle | Au sein de la politique de gestion des accès et des habilitations , les règles de contrôle d’accès sont définies. Ce document est rédigé par le RSSI, validé par la Direction , connu et appliqué. Les principales mesures sont reprises dans la charte informatique appliquée par l’ensemble des utilisateurs du SI. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Identification, authentification et contrôle d’accès |
|---|---|
| Règle | L’accès aux ressources du SI doit nécessiter une identification et une authentification de la part de l’utilisateur. Le RSSI documente ces éléments au sein de politique de gestion des accès et des habilitations. Les équipes doivent mettre en œuvre des moyens adaptés à la nature des informations accédées. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Habilitations d’accès aux ressources |
|---|---|
| Règle | Le RSSI doit définir les habilitations d’accès aux ressources. Les équipes opérationnelles doivent appliquer cette politique. |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] a défini une politique gérant les activités relatives à l’administration :
- de l’identité numérique des collaborateurs ( identifiants , authentification …)
- des droits et niveaux d’autorisation requis pour l’accès réseau , aux applications et à l’ensemble des ressources IT de l’entreprise en général
Sécurité des fournisseurs – Guide politique de gestion des fournisseurs
Processus d’inventaire et d’évaluation des fournisseurs critiques ( Critéres , audits ….)
Afin d’élaborer une politique cohérente avec ses activités, [NOM ENTREPRISE] établit une classification de ses fournisseurs en fonction de leur criticité. En fonction de celle-ci différents contrôles sont mis en place, comme :
- Analyse leurs certifications,
- Mise en place de comités de suivi avec indicateurs d’efficacité et de conformité,
- Audits techniques ou organisationnels,
- Mise en place et suivi de SLA,
- Mise en place de clauses de sécurité spécifiques dans les contrats,
- Clarification des rôles et responsabilités dans la gestion des incidents de sécurité
Une revue régulière de ces exigences est effectuée avec les autres entités de l’entreprise si nécessaire.
| IDENTIFIANT DE LA REGLE | Contractualisation avec les fournisseurs |
|---|---|
| Règle | Conformément à la [PolGestionFournisseurs],es fournisseurs critiques sont identifiés, et des exigences de sécurité encadrent la relation avec eux. Le suivi de ces exigences de sécurité est régulièrement effectué |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Suivi de la sécurité des fournisseurs |
|---|---|
| Règle | Contractuellement, il est spécifié que des audits peuvent être diligentés vers les fournisseurs critiques afin de juger de la sécurité en place dans les éléments externalisés. Il est également demandé des rapports en cas d’incidents. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Sécurité des services hébergés |
|---|---|
| Règle | Une politique pour la souscription, l’utilisation , le pilotage et le désengagement aux services cloud doit être établit en accord avec les exigences de sécurité de l’entreprise |
| ngagme | |
| Responsable de l’application de la règle |
Gestion des incidents de sécurité – Guide de gestion des incidents de sécurité
Politique et processus de gestion des incidents de sécurité et de gestion de crise
[NOM ENTREPRISE] a défini une politique de gestion des incidents de sécurité dont le principe est inspiré des bonnes pratiques présentes dans l’ISO 27001 et ISO 27002 et qui établit les 7 étapes clés :
- Identification de l’incident
- Définition et classification de l’incident
- Recueille des preuves et enquête
- Analyse des causes
- Résolution de l’incident
- Vérification de la résolution
- Clôture de l’incident et retour d’expérience
Une communication est effectuée dans les 72h suivant la nature et le périmètre de l’incident
Pour les incidents de sécurité de niveau critique (Evaluation), la cellule de crise, constituée des acteurs ci-dessous, est appelée pour en prendre la gestion :
- DSSI ; RSSI
- Tout Intervenant critique dans le traitement de l’incident de sécurité
C’est le DSSI qui, en fonction de la nature de l’incident, décide des intervenants à intégrer dans la cellule.
Le DSSI en informe les parties prenantes.
Tout membre de cette cellule de crise doit cesser instantanément leur activité habituelle pour se concentrer sur l’incident critique.
| IDENTIFIANT DE LA REGLE | Traitement des alertes |
|---|---|
| Règle | Que les alertes soient identifiées par des actions de veille ou remontées par un utilisateur ou un outil, l’incident de sécurité doit être enregistré dans une base unique afin d’être traité. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Procédure de traitement des incidents liés à la sécurité de l’information |
|---|---|
| Règle | Une procédure de traitement des incidents liés à la sécurité de l’information doit être définie, en particulier l’organisation, les modes de communication, la qualification et le traitement des incidents |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Traçabilité des actions |
|---|---|
| Règle | À des fins d’amélioration, l’ensemble des actions de traitement des incidents de sécurité doit être tracé afin de pouvoir identifier les actions correctives implémentées. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Capitalisation des incidents et amélioration continue |
|---|---|
| Règle | La gestion des incidents doit être sauvegardée afin de capitaliser les enseignements sur la résolution, les problèmes rencontrés, etc. Les sessions de sensibilisation peuvent être mises à jour en conséquence en intégrant des retours d’expérience sur les incidents de sécurité rencontrés. |
| Acteurs | |
| Responsable de l’application de la règle |
Conformité légale et réglementaire
Liste des obligations légales et règlementaire auxquelles est soumise l’entreprise
[NOM ENTREPRISE] a mis en place une politique de protection des données à caractère personnel en conformité avec le RGPD.
Une politique de confidentialité et cookies est disponible sur son site Internet
| IDENTIFIANT DE LA REGLE | Évolution des exigences légales, règlementaires et contractuelles |
|---|---|
| Règle | Une veille est mise en place afin de suivre les évolutions légales, règlementaires et contractuelles, d’en analyser l’impact sur les projets et de faire évoluer la politique en conséquence. |
| Acteurs | |
| Responsable de l’application de la règle |
Gestion documentaire
[NOM ENTREPRISE] a mis en place un système de gestion documentaire prenant en compte les processus et procédures nécessaires au bon fonctionnement de son système d’information comme :
- La classification ( la même que la classification de l’information)
- Le marquage (création/mise à jour/ propriétaire)
- La durée de conservation , mécanismes de suppression/archivage
| IDENTIFIANT DE LA REGLE | Traitement de la documentation |
|---|---|
| Règle | Les documents sont stockés dans un espace sécurisé et sont gérés conformément à la [ProGestionDocumentaire] |
| Acteurs | |
| Responsable de l’application de la règle |
Securite des ressources humaines
| Objectif | Garantir que toute personne ayant accès au SI connaisse les responsabilités liées à sa fonction ou à sa mission et soit en capacité de respecter les règles de sécurité |
| Documents de référence et d’application | [CharteInformatique] [Engagement_Confidentialité] [ProGestionArrivéesMouvDép] [FichesMission] |
| Points de contrôle | Liste du personnel Fiches de mission Modalités de recrutement définies et respectées Sensibilisation à la sécurité de l’information effectuée Charte Informatique écrite, connue des arrivants et signée Processus de gestion des arrivées départs et mouvements défini et mis en place Revue de la conformité à la PSSI |
Procédure de recrutement
Vérification des compétences pour les personnes effectuant un travail qui pourrait avoir une incidence sur la sécurité du SI.
Les vérifications des informations des candidats à l’embauche sont réalisées conformément aux règlements, à l’éthique, aux lois, à toute législation appropriée en vigueur dans la juridiction concernée. Elles sont proportionnelles aux exigences de l’emploi, à la classification des informations accessibles et aux risques identifiés.
Parmi les vérifications en place, on trouve :
- Vérification du curriculum vitæ du candidat ;
- Vérification des compétences en lien avec le poste ;
- Copies des diplômes, des formations et des qualifications professionnelles alléguées dans le CV ;
- Contrôle d’identité indépendant, passeport ou carte d’identité ;
- Vérification de la validité du permis de travail, de la carte de séjour si le candidat est immigrant
| IDENTIFIANT DE LA REGLE | Prise en compte de la sécurité dans la sélection du personnel |
|---|---|
| Règle | En accord avec la législation, des vérifications adaptées sont effectuées concernant les candidats à l’embauche : vérification du curriculum vitae, des antécédents et confirmation des formations et des certifications. Cette procédure est également appliquée pour les prestataires le cas échéant. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFANT DE LA REGLE | Charte d’utilisation du SI |
|---|---|
| Règle | Une Charte informatique est fournie à toute personne accédant au SI. La charte rappelle les bonnes pratiques de sécurité, les responsabilités de chacun vis-à-vis de celles-ci et les conséquences légales et règlementaires en cas de non-respect des obligations de sécurité. Cette charte doit être mise à jour par les personnels en charge de la sécurité du SI et validée par la Direction. Elle doit être diffusée afin que chacun puisse en prendre connaissance à chaque publication. Elle doit être signée par tout nouvel arrivant |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Engagement de confidentialité |
|---|---|
| Règle | Tout personnel interne est avisé de la confidentialité des informations traitées et signe dans son contrat, un engagement de confidentialité. Tout personnel externe (prestataires, sous-traitants) est avisé par le responsable concerné de la confidentialité des informations traitées et signe dans son contrat, un engagement de confidentialité. Les sanctions éventuelles s’appliquant en cas de non-respect de cet engagement sont rappelées. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Mise en place du processus de gestion des arrivées, des mouvements et des départs |
|---|---|
| Règle | Un processus de gestion des arrivées, des mouvements et des départs est défini et mis en place pour gérer les actifs, les dotations et les accès (physiques et logiques) de toute personne accédant au SI (personnel interne ou prestataire). Ce processus est documenté dans [ProGestionArrivéesMouvDép]. |
| Acteurs | |
| Responsable de l’application de la règle |
Sensibilisation à la sécurité, politique de formation des collaborateurs à la cybersécurité
Procédure de sensibilisation à la cybersécurité à l’embauche (ERR)
Politique de formation et de sensibilisation des collaborateurs (outils , métriques ….) tout au long de la durée de la mission/contrat
Les nouveaux collaborateurs suivent un parcours d’intégration qui comprend une sensibilisation à la sécurité et à la confidentialité.
Un plan de sensibilisation et des outils spécialisés permettent un suivi régulier sur les sujets sensibles de la sécurité (campagne de phishing, Safe desk, etc.)
Afin de maintenir le savoir-faire, d’identifier les besoins de formation et d’organiser le partage des connaissances des entretiens de performance et d’objectifs sont effectués chaque année par les salariés de [NOM ENTREPRISE] et leurs managers. Lors de ces entretiens, des plans de formations sont discutés.
Les RH construisent un plan de formation annuel à partir de l’expression de ces besoins et de la stratégie de l’entreprise.
| IDENTIFIANT DE LA REGLE | Application des règles de sécurité |
|---|---|
| Règle | Les managers sont responsables de l’application des règles de la PSSI par les salariés relevant de leur autorité, pour ce faire, ils bénéficient de sensibilisations à la cybersécurité. L’équipe en charge de la sécurité du SI doit rappeler régulièrement aux managers les messages clefs en matière de sécurité à transmettre à leurs équipes. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Sensibilisation et formation |
|---|---|
| Règle | Des sessions périodiques de sensibilisation et de formation à la sécurité doivent être organisées pour le personnel interne et notamment les managers ainsi que, au besoin, les prestataires. Les équipes en charge de la sécurité du SI ont la charge d’en définir les modalités. |
| Acteurs | |
| Responsable de l’application de la règle |
Procédure disciplinaire
Décrire les sanctions disciplinaires applicables en cas d’infraction ou de manquement à la charte informatique ou à ce document
Un processus disciplinaire formel et connu de tous à l’encontre des salariés ayant enfreint les règles de sécurité de l’information. Il constitue un élément dissuasif empêchant les salariés d’enfreindre les politiques et procédures relatives à la sécurité de l’entreprise, ainsi que toute autre règle de sécurité.
| IDENTIFIANT DE LA REGLE | Manquement aux obligations de la charte ou de l’engagement de confidentialité par le personnel |
|---|---|
| Règle | Tout manquement au respect des obligations de sécurité auxquelles est assujetti le personnel de l’entreprise est constitutif d’une faute l’exposant, dans un premier temps, à un avertissement de son responsable et, dans un second temps, éventuellement à un possible licenciement conformément au code du travail auquel est soumis l’entreprise |
| Acteurs | |
| Responsable de l’application de la règle |
Travail à distance
Politique de l’entreprise (régles, processus) dans le cadre du travail à distance ( télétravail, déplacement hors des locaux….)
Une politique de sécurité concernant le travail à distance est appliquée. Elle aborde notamment :
- Les régles et processus appliqués en cas de déplacement à l’extérieur
- Les régles et processus sur les accès à distance aux ressources de l’entreprise
| IDENTIFIANT DE LA REGLE | Utilisation des matériels de l’entreprise hors site |
|---|---|
| Règle | L’utilisation des matériels de l’entreprise dans le cadre du travail à distance est autorisée sous réserve du respect des règles définies dans la [CharteInformatique]. Les utilisateurs travaillant à distance doivent s’authentifier, conformément à la [PolGestionAccèsHabilitations], avant d’accéder aux ressources du système d’information. |
| Acteurs | |
| Responsable de l’application de la règle |
Restitution des actifs
Processus de restitution des actifs ( poste, smartphone, périphériques ….) dans le cadre du départ d’un collaborateur
Un processus de fin de mission, défini de façon contractuelle comprenant à minima :
- la restitution de tous les actifs supports (postes utilisateurs, badges, etc.)
- la restitution des actifs informationnels (documents, données, etc.) qui ont été confiés au personnel interne ou aux prestataires, ou créés par eux.
| IDENTIFIANT DE LA REGLE | Utilisation correcte des actifs |
|---|---|
| Règle | Des règles d’utilisation des actifs sont définies et fournies aux personnes ayant des accès aux supports ou aux données. Ces règles sont décrites dans les procédures d’exploitation (réseau, matériels, etc.) ainsi que dans la [CharteInformatique] (postes de travail, fichiers, etc.). |
| Acteurs | |
| Responsable de l’application de la règle |
Securite physique et environnementale
| Objectif | Empêcher les accès physiques non autorisés, les dommages et intrusions dans les locaux de l’entreprise; mettre en place les moyens physiques assurant un bon fonctionnement du S.I |
| Documents de référence et d’application | [PolGestionAccèsHabilitations], [ProGestionArrivéesMouvDép] |
| Points de contrôle | Documents rédigés, connus et appliqués en interne et externeExistence des documents suivants: audits de sécurité physique, exigences de sécurité pour les fournisseurs, procédure de mise au rebut, etc. Contrôle d’accès |
Périmètre de sécurité physique
Décrire les zones de sécurité physique définies pour la protection des actifs contenant des données sensibles (salles serveurs , salles d’archives ….) – Plan de site
Des plans de situation des sites doivent être établis et les zones e sécurité comprenant des actifs sensibles bien référencés
Au sein des locaux [NOM ENTREPRISE], trois zones physiques de sécurité sont établies :
- Une zone publique (accueil, les salles de réunion clients et les espaces formations)
- Une zone restreinte, regroupant les bureaux [ENTREPRISE]
- Une zone protégée, dont l’accès est limité aux seules personnes autorisées.
Les différentes zones sont décrites dans la politique de gestion des habilitations.
Pour chaque zone de sécurité, le R.S.S.I défini
- Les conditions précises d’autorisation d’accès
- Les protections physiques à mettre en œuvre
| IDENTIFANT DE LA REGLE | Zones de sécurité |
|---|---|
| Règle | Au sein des locaux de l’entreprise, trois zones physiques de sécurité sont établies:Une zone publique (accueil, salles de réunion et espaces formations)Une zone restreinte qui regroupe les bureaux de l’entrepriseUne zone protégée, dont l’accès est limité aux seules personnes autorisées.Les différentes zones sont décrites dans la [PolGestionAccèsHabilitations].Pour chaque zone de sécurité, les équipes en charge de la sécurité des systèmes d’information définissent:Les conditions précises d’autorisation d’accès;Les protections physiques à mettre en œuvre. |
| Acteurs | |
| Responsable de l’application de la règle |
L’entreprise doit s’assurer que des périmètre de sécurité sont également décliner pour les hébergeurs de ses données.
Contrôle d’accès physique
Décrire les moyens de contrôles aux bâtiments et aux zones sécurisées (zones contenant des actifs informatiques)
Les locaux [NOM ENTREPRISE] sont soumis à un contrôle d’accès physique limitant l’accès aux seules personnes autorisées, dans une plage de temps donnée. L’accès est conditionné grâce à une serrure biométrique ou la détention d’une clé ou d’un mécanisme individuel autorisé (badge, application mobile), selon les sites. Les visiteurs sont accueillis à l’entrée et accompagnés ( CF procédure d’accueil des visiteurs). Une revue des accès physique est réalisée régulièrement
| IDENTIFIANT DE LA REGLE | Accès aux sites |
|---|---|
| Règle | Les locaux de l’entreprise sont soumis à un contrôle d’accès physique limitant l’accès aux seules personnes autorisées, dans une plage horaire définie. L’accès est conditionné grâce à une serrure biométrique ou la détention d’une clé ou d’un mécanisme individuel autorisé (badge, application mobile), selon les sites. Les visiteurs sont accueillis à l’entrée et accompagnés. Une revue des accès physique est réalisée régulièrement (cf. [PolGestionAccèsHabilitations]). |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFANT DE LA REGLE | Maîtrise des accès en zone publique |
|---|---|
| Règle | Les accès réseau en zone publique doivent être isolés du réseau du SI. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Accès sécurisé et contrôle de l’état de sécurité des locaux techniques |
|---|---|
| Règle | Les accès aux locaux techniques (centre de données, équipements d’alimentation, de distribution d’énergie, de réseaux, de téléphonie, etc.) doivent être physiquement protégés. |
| Acteurs | |
| Responsable de l’application de la règle |
NB : les hébergeurs ont la charge de la définition des conditions d’accès et des moyens de contrôle à mettre en œuvre.
| IDENTIFIANT DE LA REGLE | Délivrance des moyens d’accès physique |
|---|---|
| Règle | La délivrance des moyens d’accès physique doit respecter un processus formel permettant de s’assurer de l’identité de la personne, s’appuyant sur la [ProGestionArrivéesMouvDép]. |
| Acteurs | |
| Responsable de l’application de la règle |
NB : les hébergeurs ont la charge de la mise en place d’un processus formel permettant de s’assurer de l’identité de la personne.
| IDENTIFIANT DE LA REGLE | Intervention au sein des zones protégées |
|---|---|
| Règle | Tout intervenant externe à l’entreprise doit être accompagné d’un membre du personnel interne explicitement autorisé et habilité durant toute la durée de l’intervention. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Traçabilité des accès |
|---|---|
| Règle | Lorsqu’un visiteur accède aux locaux, ses accès sont tracés de manière détaillée (date, nom, société, objet de la visite, signature, horaires d’entrée et de sortie, contacts accompagnants de l’entreprise : « accueilli par » et « personne visitée »). Ces traces sont conservées un an, de manière sécurisée et dans le respect des textes protégeant les données à caractère personnel. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFANT DE LA REGLE | Cloisonnement en cas de partage des locaux |
|---|---|
| Règle | En cas de partage des locaux avec un tiers, des mesures de cloisonnement physique des ressources informatiques doivent être mises en place. |
| Acteurs | |
| Responsable de l’application de la règle |
Matériel
| IDENTIFANT DE LA REGLE | Climatisation |
|---|---|
| Règle | Un dispositif de climatisation dimensionné en fonction des besoins énergétiques du SI doit être installé dans les locaux le nécessitant. Une remontée d’alerte liée à la sonde de température est mise en place. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFANT DE LA REGLE | Alimentation électrique |
|---|---|
| Règle | L’alimentation secteur des équipements est conforme aux règles de l’art (protection électrique, onduleur, redondance, etc.), de façon à se prémunir contre les atteintes à la sécurité des personnes et équipements liées à un défaut électrique |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFANT DE LA REGLE | Détection d’incendie |
|---|---|
| Règle | Des détecteurs d’incendie et des alarmes sont installés. Les moyens de détection et de protection doivent être testés périodiquement. |
| Acteurs | |
| Responsable de l’application de la règle |
Politique du bureau propre et de l’écran vide
Affirmer la volonté de l’entreprise d’appliquer la politique du bureau propre (pas de documents visibles) et de l’écran vide ( le moins de fichiers directement accessibles) et les moyens de contrôles pour appliquer cette politique (broyeur de documents , espaces de stockage fichiers mutualisés ….)
| IDENTIFANT DE LA REGLE | Bureau propre et écran vide |
|---|---|
| Règle | Un politique de bureau propre est en place dans les locaux de l’entreprise. Les documents, médias ou tout autre support pouvant contenir des informations confidentielles sont rangés quand ils ne sont pas utilisés. |
| Acteurs | |
| Responsable de l’application de la règle |
Sécurité des médias de stockage
Lister les mesures en place (chiffrement, accessibilité) pour sécuriser les médias de stockage ( disques ou mémoires , périphériques USB ….)
Une politique de sécurité des supports amovibles est mise en place et administrée pour les collaborateurs [NOM ENTREPRISE]. Cette politique est implémentée par un logiciel de type Endpoint et par GPO qui permettent de ne pas limiter l’usage des média amovibles.
Les supports amovibles contenant des données sensibles sont stockés dans des emplacement sécurisés lorsqu’ils ne sont pas utilisés.
Une politique de sécurité des médias de stockage non amovibles est mise en place et administrée. Cette politique est implémentée par un logiciel de type Endpoint et par chiffrement des données.
Les médias de stockages mis au rebut, sont détruits de façon sécurisée selon les procédures applicables (logiciel d’effacement de données, suppression des clés de chiffrement des disques…).
| IDENTIFIANT DE LA REGLE | Gestion des supports amovibles |
|---|---|
| Règle | Des moyens techniques interdisent l’utilisation des support amovibles autres que ceux autorisés par l’entreprise. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Gestion des supports amovibles |
|---|---|
| Règle | Les supports amovibles fournis par l’entreprise doivent être stockés dans les emplacements sécurisés prévus à cet effet |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Chiffrement des médias de stockage |
|---|---|
| Règle | Une politique de chiffrement est définie afin de sécuriser les médias de stockage contenant des données sensibles |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Mise au rebut des médias de stockage |
|---|---|
| Règle | Les médias de stockages présents dans les matériels mis au rebut, sont détruits de façon sécurisée selon les procédures applicables (logiciel d’effacement de données, suppression des clés de chiffrement des disques…). |
| Acteurs | |
| Responsable de l’application de la règle |
Sécurité du câblage
Décrire la façon dont est sécurisé le câblage , aussi bien électrique que réseau (type, armoire sécurisée ….) – plan de câblage , baie de brassage….
[NOM ENTREPRISE] s’est assuré que les câblages réseaux et électriques sont conformes aux normes en vigueur et sont protégés contre toute interception ou tout dommage
| IDENTIFIANT DE LA REGLE | Conformité du câblage réseau informatique |
|---|---|
| Règle | La conformité du câblage réseau informatique est évaluée régulièrement ou en cas de dysfonctionnement avéré (schéma de câblage, longueur des câbles et blindage, cheminement et passage des câbles, isolement aux interférences …) |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Conformité du réseau électrique |
|---|---|
| Règle | La conformité du réseau électrique ( Norme NF C 15-100) est évaluée régulièrement ou en cas de dysfonctionnement avéré |
| Acteurs | |
| Responsable de l’application de la règle |
Maintenance des matériels
Spécifier en adéquation avec la liste et la classification des actifs quels sont les contrat de maintenance et/ou les garanties fournisseurs applicables.
Tous les matériels critiques de [NOM ENTREPRISE] sont sous contrat de maintenance matériel. Ce contrat spécifie une remise en service de ces matériels dans les 4H après la déclaration de l’incident auprès de la société en charge de la maintenance
| IDENTIFIANT DE LA REGLE | Maintenance des matériels |
|---|---|
| Règle | La maintenance des actifs sensibles et des postes collaborateurs est opérée par les équipes informatiques de l’entreprise et ses fournisseurs. Un inventaire de l’affectation de ces postes est maintenu et les collaborateurs sont rendus responsables de leur sécurité physique. |
| Acteurs | |
| Responsable de l’application de la règle |
Procédure de réutilisation des matériels
Décrire les procédures en place en cas de réutilisation des matériels comme la réaffectation d’un poste , d’un serveur (écrasement des données ….)
En cas de réutilisation d’un matériel contenant des données , [NOM ENTREPRISE] effectue un formatage bas niveau de la mémoire de stockage avec un outil adapté compatible avec la norme LBA-48
| IDENTIFIANT DE LA REGLE | Réaffectation des matériels |
|---|---|
| Règle | Une procédure de réaffectation des matériels est définie (conditions, effacement des données …) |
| Acteurs | |
| Responsable de l’application de la règle |
Sécurité liée à l’exploitation
| Objectif | S’assurer de l’exploitation correcte et sécurisée des moyens de traitement de l’information du SI |
| Documents de référence et d’application | [PolSauvegarde] [PolJournalisationSupervision] [ProMaintienConditionSécu] Procédures d’exploitation |
| Points de contrôle | Présence d’une politique de sauvegarde tenue à jour Présence d’une politique de journalisation et de supervision Protection et centralisation des journaux Supervision des équipements, matériels ou applications Postes de travail et serveurs à jour Vérification régulière du déploiement et mise à jour des antivirus |
Sécurité des Endpoint
Décrire les mesures de sécurité en place pour la protection des postes collaborateurs (authentification , chiffrement des disques ….)
Afin de sécuriser les données des postes collaborateurs [NOM ENTREPRISE] met en place un certain nombre de mesures comme :
- Le chiffrement des disques durs
- Le verrouillage automatique des sessions
- Le contrôle des ports USB afin de limiter l’usage des périphériques mobiles
- …
| IDENTIFIANT DE LA REGLE | Utilisation des postes de travail |
|---|---|
| Règle | Les postes de travail sont utilisés conformément au mode opératoire défini dans la [CharteInformatique], validé par la Direction et connu du personnel interne ainsi que des prestataires |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Protection contre le vol |
|---|---|
| Règle | Les postes de travail sont protégés logiquement (grâce au chiffrement des données) contre le vol. Toute perte ou tout vol doit immédiatement être déclaré aux équipes en charge de la sécurité de l’information |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Protection contre le vol |
|---|---|
| Règle | Les équipements (postes de travail, téléphones, etc.) ainsi que les moyens physiques d’authentification (badge) ne doivent pas être laissés sans surveillance. Dans le cas contraire, les équipements doivent être verrouillés. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Filtre de confidentialité |
|---|---|
| Règle | Les stations de travail sont équipées de filtre de confidentialité (via une option logicielle ou via un filtre). Ils doivent les activer en permanence et à minima dans les lieux publics. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Matériel sans surveillance |
|---|---|
| Règle | Les équipements (postes de travail, téléphones, etc.) ainsi que les moyens physiques d’authentification (badge) ne doivent pas être laissés sans surveillance. Dans le cas contraire, les équipements doivent être verrouillés. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Politique d’utilisation des appareils mobiles |
|---|---|
| Règle | Les règles concernant les appareils mobiles (équipements concernés, conditions d’utilisation, etc.) sont définies dans la [PolGestionActifs], la [CharteInformatique] et au sein de ce même document. |
| Acteurs | |
| Responsable de l’application de la règle |
Gestion des droits et des accès
La gestion des droits doit aborder à minima la gestion des accès à privilège , le processus d’attribution des droits aux utilisateurs (moindre privilège par exemple) . L’utilisation d’une matrice des droits est recommandée.
Sauf exception pour les administrateurs ou pour les accès à privilèges contrôlés ,[NOM ENTREPRISE] applique la politique du moindre privilèges pour tous les utilisateurs du S.I.
Une matrice des droits est revue régulièrement afin d’assurer la continuité de cette politique
| IDENTIFIANT DE LA REGLE | Droits sur les postes de travail |
|---|---|
| Règle | Les privilèges sur les postes de travail doivent être limités, les utilisateurs ne doivent pas être administrateur local de leur poste de travail sauf besoin spécifiquement identifié et justifié. Dans ce cas ils disposeront soit d’un second compte administrateur local soit d’un mécanisme d’élévation de privilège. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Restriction des droits |
|---|---|
| Règle | Sauf sur dérogation, les utilisateurs ne doivent pas avoir de droits administrateur |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Modification de droits |
|---|---|
| Règle | Les demandes de droits (ajout, modification, suppression) aux principaux applications et domaines se font au travers d’un processus formalisé (workflow) |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Gestion des accès |
|---|---|
| Règle | Tout accès aux ressources du SI doit s’inscrire dans le cadre d’un processus d’autorisation formalisé, qui s’appuie sur la [ProGestionArrivéesMouvDéparts]. Cette procédure permet de définir les éléments d’identification et d’autoriser ou non les accès. Les attributions de droits sont revues de manière périodique. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Accès aux actifs sensibles |
|---|---|
| Règle | Seules les personnes ayant les autorisations nécessaires peuvent accéder aux actifs contenant des données sensibles |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Gestion des privilèges d’accès |
|---|---|
| Règle | Les comptes à privilèges élevés nominatifs sont définis et validés par les équipes SSI de l’entreprise. Seuls les administrateurs du SI Interne ont accès aux composants techniques (équipements réseaux, composants de sécurité, etc.). Une revue régulière des comptes est réalisée. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Compte d’administration |
|---|---|
| Règle | Les administrateurs doivent avoir un compte nominatif dédié aux opérations d’administration. En cas d’usage des systèmes, applications ou équipements en tant que simple usager, ils doivent utiliser un compte utilisateur. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Départ d’un administrateur |
|---|---|
| Règle | En cas de départ d’un administrateur disposant de privilèges sur des ressources du SI, les comptes individuels dont il disposait doivent être immédiatement désactivés. Les éventuels mots de passe d’administration de comptes génériques dont il avait connaissance doivent être changés. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Modification/Suppression des accès |
|---|---|
| Règle | La suppression ou la modification des accès est liée au processus RH de gestion des départs ou de mobilité interne. Ces actions sont suivies et tracées au travers d’outils interne. Concernant les collaborateurs externes, les modifications ou suppression de droits sont sous la responsabilité de leur manager. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Revue des droits et des accès |
|---|---|
| Règle | La revue des droits des principaux périmètres et applications est organisée par les équipes en charge de la sécurité des systèmes d’information. Des revues d’accès sont également opérées par ces mêmes équipes |
| Acteurs | |
| Responsable de l’application de la règle |
Sécurité de l’authentification
Décrire les mesures de sécurité implémentées pour l’authentification des utilisateurs ( MFA, authentification conditionnelle ..) basée sur la classification des informations.
Une authentification forte (login/mot de passe/ code de sécurité par application) à été mise en place par [NOM ENTREPRISE] pour :
- Accéder aux applications critiques en local
- Accéder à toutes les ressources du SI pour les collaborateurs en situation de mobilité et/ou de télétravail
| IDENTIFIANT DE LA REGLE | Identification et authentification |
|---|---|
| Règle | L’accès aux ressources du SI doit nécessiter une identification et une authentification de l’utilisateur. L’équipe SSI documente ces éléments au sein de la [PolGestionAccèsHabilitations]. L’équipe SSI doit mettre en œuvre des moyens adaptés à la nature des informations accédées. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Gestion des informations d’authentification |
|---|---|
| Règle | Une procédure de gestion des éléments d’authentification doit être mise en place. Les éléments d’authentification doivent être considérés comme des données sensibles et doivent être protégés en conséquence. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Protection des informations d’authentification d’administration |
|---|---|
| Règle | Les informations d’authentification permettant l’administration des ressources du SI sont tenus à jour, dans un emplacement sécurisé. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Politique de mot de passe |
|---|---|
| Règle | L’équipe SSI doit définir la politique de mots de passe (au sein de la [PolGestionAccèsHabilitations]) à appliquer en fonction des risques (la politique pour les administrateurs ne sera pas la même que la politique pour les utilisateurs ayant peu de droits). |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Initialisation des mots de passe |
|---|---|
| Règle | Les mots de passe initiaux doivent être créés de manière aléatoire et doivent être uniques. Ils ne doivent être connus que de l’utilisateur, qui doit le changer à la première connexion. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | |
|---|---|
| Règle | |
| Acteurs | |
| Responsable de l’application de la règle |
Sécurité dans les configurations
Décrire les mesures de sécurité implémentée dans les configuration du SI (hardware, application, réseaux, services)
Une politique de durcissement a été mise en place par [NOM ENTREPRISE] consistant à :
- Changer les éléments d’authentification par défaut sur les équipements et services
- Désactiver tous les services non utilisés sur les actifs sensibles
| IDENTIFIANT DE LA REGLE | Configuration des ressources informatiques |
|---|---|
| Règle | Toutes les ressources informatiques doivent être « durcies », c’est-à-dire configurées selon le strict nécessaire. Également, tous les paramètres par défaut doivent être réinitialisés ou modifiés. Ces configurations doivent être documentées dans des guides de durcissement. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Procédures d’exploitation des configurations |
|---|---|
| Règle | Des procédures décrivant les actions (techniques, d’administration, de gestion, etc.) à réaliser pour le maintien en condition opérationnelle et de sécurité des applications, des équipements, etc. doivent être rédigées et connues de tous |
| Acteurs | |
| Responsable de l’application de la règle |
Protection antivirus/antimalware
Décrire les mécanismes de protection contre les virus/malware en place dans l’entreprise
L’ensemble des infrastructures serveur est protégé par des solutions antivirus et antimalware centralisées. Les serveurs pivots contrôlent au minimum quotidiennement la présence de mise à jour chez l’éditeur. Elles sont ensuite diffusées sur l’ensemble des serveurs. Une surveillance des antivirus est intégrée dans la supervision du SI et fait l’objet d’indicateurs revus lors des comités liés à la sécurité de l’information
| IDENTIFIANT DE LA REGLE | Protection contre les codes malveillants |
|---|---|
| Règle | Des logiciels de protection contre les codes malveillants sont installés sur l’ensemble des matériels susceptibles d’en recevoir un. Les mises à jour des bases antivirales et des moteurs d’antivirus sont déployées automatiquement sur lesdits matériels |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Gestion des évènements de sécurité remontés par l’antivirus |
|---|---|
| Règle | Les évènements de l’antivirus sont remontés sur un outil centralisé. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Surveillance de l’antivirus |
|---|---|
| Règle | Une surveillance des antivirus est intégrée dans la supervision du SI et fait l’objet d’indicateurs revus lors des comités liés à la sécurité de l’information. |
| Acteurs | |
| Responsable de l’application de la règle |
Gestion des vulnérabilités
Quels sont les politiques/processus en place décrivant la gestion des vulnérabilités ( détection, traitement….)
[NOM ENTREPRISE] a élaboré une politique de gestion des vulnérabilités qui sont traitées de la façon suivante :
Les vulnérabilités sont échelonnées suivant le CVSS V3.0 et traitées par défaut suivant le tableau suivant :
| Type de vulnérabilité | Score CVSS | Engagement de plan d’action |
|---|---|---|
| Low | 0,1 – 3 ,9 | Best Effort |
| Medium | 4,0 – 6,9 | Best Effort |
| High | 7,0 – 8,9 | 7 jours à compter de la détection |
| Critical | 9,0 - 10 | 7 jours à compter de la détection |
Cette politique est définie pour les systèmes d’exploitation , les applications etc.
| IDENTIFIANT DE LA REGLE | Procédure de gestion des vulnérabilités techniques |
|---|---|
| Règle | Un processus de gestion des vulnérabilités (au travers de la [ProMaintienConditionsSécurité] est défini pour les systèmes d’exploitation, les applications, etc. |
| Acteurs | |
| Responsable de l’application de la règle |
Mesures de sécurité contre la fuite de données
Décrire les mesures en place afin de détecter la fuite de données (outils , prestations externes) et les mesures de traitement ( se rapporter à la gestion des incidents de sécurité)
| IDENTIFIANT DE LA REGLE | Détection des fuites de données |
|---|---|
| Règle | Une politique de détection de la fuite de données doit être définie décrivant les mesures techniques et organisationnelles appliquées aux systèmes et aux équipements qui opèrent , stockent ou transmettent de la données sensibles |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] a mis en place une politique contre la fuite des données qui comporte les mesures de sécurité suivantes :
- Des mesures organisationnelles (charte informatique , PSSI, Règlement intérieur, sensibilisation) visant à alerter les collaborateurs et leurs donner les outils nécessaires afin de limiter les usages pouvant engendrer la fuite de données
- Des mesures techniques ( Chiffrement, limitation des périphériques amovibles …) pour renforcer les mesures organisationnelles
- Un processus de gestion des incidents prenant en compte la fuite de données (données personnelles incluses)
- Une veille externe sur le web alternatifs afin de détecter les éventuelles fuites de données
Politique de sauvegarde et de restauration
Décrire la politique de sauvegarde des données de l’entreprise (type, RTO/RPO, tests de restauration … et sa place dans le PRA/PCA .
| IDENTIFIANT DE LA REGLE | Politique de sauvegarde |
|---|---|
| Règle | Une Politique de sauvegarde est rédigée. Cette politique définit les méthodes, les supports de sauvegarde, le périmètre ainsi que les durées de rétention des actifs sauvegardées. Les sauvegardes doivent être traitées de manière à garantir leur confidentialité, leur intégrité et leur disponibilité. |
| Acteurs | |
| Responsable de l’application de la règle |
Le principe retenu par [NOM ENTREPRISE] est celui de la double sauvegarde :
- Une première sauvegarde est réalisée depuis les systèmes de production sur une première infrastructure dédiée.
- Une duplication est ensuite effectuée sur une deuxième infrastructure dédiée.
Les infrastructures de sauvegarde ne sont pas localisées dans le même Datacenter que les systèmes de production. Cette organisation permet de garantir un niveau de disponibilité et d’intégrité optimal tout en assurant nos exigences de RTO et RPO. Une durée de rétention de 3 mois est appliquée sur les sauvegardes.
| IDENTIFIANT DE LA REGLE | Politique de restauration et de test des sauvegardes |
|---|---|
| Règle | Une politique de restauration et de tests des sauvegardes du SI est rédigée et mise en place. |
| Acteurs | |
| Responsable de l’application de la règle |
Un contrôle des tâches de sauvegarde est réalisé par les outils de reporting. En cas d’incident lors d’une sauvegarde, une alerte est émise automatiquement et celle-ci est traitée par les équipes de l’IT. Dans le cadre de son activité régulière d’exploitation, [NOM ENTREPRISE] effectue au quotidien des restaurations. Celles-ci permettent de valider le bon fonctionnement des sauvegardes ainsi que les processus de restauration associés.
| IDENTIFIANT DE LA REGLE | Architecture de stockage, d’archivage et de sauvegarde |
|---|---|
| Règle | Une architecture dédiée au stockage, à l’archivage et à la sauvegarde doit être mise en œuvre en fonction des risques identifiés. |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] a mis en place une architecture dédiée à la sauvegarde de ses données.
Cette architecture est opérée par [NOM ENTREPRISE]/[SOUS TRAITANT]. Elle est pilotée et opérée de manière indépendante par une application leader du marché
Disponibilité et continuité des activités
| Objectif | Garantir que l’entreprise dispose d’un plan de reprise d’activité |
| Documents de référence et d’application | [PRA] |
| Points de contrôle | Plan de reprise informatique. Tests prévus et réalisés |
Un plan de continuité est défini pour le management et le pilotage des services (infrastructure, applications, etc.)
La continuité de ces activités est basée à la fois sur la mise en place d’architectures résilientes des systèmes de pilotage et sur la sécurité des ordinateurs portables qui permet à n’importe quel collaborateur / administrateur des équipes [NOM ENTREPRISE]de pouvoir accéder, de manière sécurisée à distance et en adéquation avec les droits qui lui sont octroyés, aux ressources et aux outils permettant d’assurer le service.
Le plan de continuité d'activité (PCA) est défini de façon globale et comprend un volet humain, organisationnel et technique. Il est décliné et adapté au niveau de chacune activités de [NOM ENTREPRISE] en fonction des contraintes métiers et des architectures techniques.
Les ressources critiques (Ressources humaines, infrastructures, Système d'information, ressources immatérielles) sont identifiées pour chaque activité.
Le PCA est conçu pour répondre aux besoins de continuité exprimés en matière de disponibilité des services.
Au-delà de la conception de la résilience des architectures techniques et logicielles, les processus opérationnels et organisationnels du PCA sont définis et testés dans un mode d'amélioration continue.
| IDENTIFIANT DE LA REGLE | Plan de reprise informatique |
|---|---|
| Règle | Un plan de reprise informatique et les moyens misent en œuvre sont définis au sein de l’entreprise afin de garantir une reprise des activités sensibles suite à l’apparition d’un sinistre. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Test du plan de reprise informatique |
|---|---|
| Règle | Des exercices annuels de continuité et de reprise d’activité sont effectués par l’entreprise sous la responsabilité des équipes SSI |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Définition du plan de crise |
|---|---|
| Règle | Un plan de crise est défini, afin de palier toute indisponibilité du personnel ou des locaux et tout arrêt des systèmes, applications ou équipements sensibles. Ce plan de crise des activités définit notamment: les moyens mis en œuvre et les modalités opérationnelles permettant d’assurer la continuité des fonctions essentielles à la suite d’une situation de crise. Les rôles et les activités de chacun Les modalités de basculement en mode dégradé ou sur des solutions de secours. |
| Acteurs | |
| Responsable de l’application de la règle |
Journaux de traces et monitoring des activités
Décrire les mesures et les moyens mis en œuvre afin de collecter les information journalisées (réseau, systèmes, applications) , monitorer les activités ( outils , indicateurs ….) et de synchroniser les horloges.
| IDENTIFIANT DE LA REGLE | Journalisation des alertes |
|---|---|
| Règle | Chaque ressource informatique doit posséder un dispositif de journalisation permettant de conserver une trace des évènements de sécurité. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Synchronisation des horloges |
|---|---|
| Règle | Les horloges des systèmes de traitement de l'information utilisés par l’entreprise sont synchronisées avec des sources de temps approuvées. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Supervision |
|---|---|
| Règle | Chaque ressource informatique doit être supervisée afin de détecter une éventuelle anomalie ou un futur incident de sécurité. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Conservation des journaux |
|---|---|
| Règle | Les journaux doivent être conservés sur douze mois glissants, exception faite de cas particuliers répondant à des législations différentes et des impossibilités techniques. |
| Acteurs | |
| Responsable de l’application de la règle |
La traçabilité sur le SI de [NOM ENTREPRISE] est assurée grâce à des outils de concentration et de corrélation des journaux d’évènements (logs). Ceux-ci sont conservés à des fins techniques et d’exploitation pour une durée adaptée en fonction des contraintes légales, contractuelles et opérationnelles. Ces outils permettent d’uniformiser la durée de rétention des informations collectées et d’en garantir la sécurité. Les informations collectées sont par exemple le nom de l’utilisateur, son heure de connexion, de déconnexion, l’application utilisée, l’adresse IP source… Les logs sont accessibles aux équipes IT.
L’ensemble des services et des systèmes gérés par [NOM ENTREPRISE] est supervisé. Les outils de supervision utilisent soit le protocole SNMP soit des automates développés spécifiquement afin de récupérer les informations en provenance de tous les points de contrôle. Des alertes en temps réels sont déclenchées en cas de dysfonctionnement pour tous les services supervisés.
Sécurité des applications
La politique et/ou le processus de sécurité dans les applications doit aborder à minima les sujets suivants :
- Les programmes et utilitaires à privilèges
- L’installation des applications sur les systèmes opérationnels
| IDENTIFIANT DE LA REGLE | Logiciels sur les postes de travail connectés au réseau local |
|---|---|
| Règle | L’installation de logiciels spécifiques sur les postes de travail est restreinte à une liste d’outils autorisés, en fonction du besoin des utilisateurs. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Mise à jour des applications |
|---|---|
| Règle | L’ensemble des logiciels et applications utilisés doit être tenu à jour et dans une version pour laquelle l’éditeur assure le support. Les systèmes obsolètes doivent être isolés en cas de migration impossible |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] utilise une ensemble de logiciels permettant l’inventaire et la maîtrise des logiciels présent sur les postes des collaborateurs
Si l’entreprise opère du développement en interne :
- Règles de sécurité dans le développement
- Sécurité du code
- Environnement de test et de production
- Règles de sécurité pour les développements externalisés
| IDENTIFIANT DE LA REGLE | Sécurité dans le développement |
|---|---|
| Règle | Une démarche est employée visant à intégrer la sécurité tout au long du cycle de vie des applications développées ou des applications utilisées, aussi bien en interne qu’en externe. |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] a mis en place une démarche visant à intégrer la sécurité tout au long du cycle de vie des applications développées. Celle-ci s’inspire des recommandations de l’OWASP SAMM, OWASP ASVS et BSIMM. Des outils sont dédiés à la revue de sécurité du code
[NOM ENTREPROSE] applique en outre une séparation des différents environnements applicatifs (développement, test, préproduction et production). L’environnement de développement est exclusivement réservé et accessible aux développeurs et ne comprend aucune donnée de production sauf accord particulier.
Lors de l’acquisition de nouveaux systèmes, les besoins de sécurité sont pris en compte dans le processus de sélection.
Sécurité des réseaux
La politique et/ou le processus de sécurité dans les réseaux doit aborder à minima les sujets suivants :
- Management et contrôles du ou des réseaux de l’entreprise (outil , alertes , remédiation ….)
- Séparation des réseaux (VLAN , filtrage inter VLAN, Wifi)
- Protection Web
- Chiffrement des flux réseaux (protocoles, certificats …)
| IDENTIFIANT DE LA REGLE | Analyse des traces réseaux |
|---|---|
| Règle | L’ensemble des traces techniques des équipements réseaux liées aux évènements systèmes, aux tentatives de connexions, aux accès est centralisé et monitoré |
| Acteurs | |
| Responsable de l’application de la règle |
[NOM ENTREPRISE] a mis en place des outils de supervision des architectures réseaux.
Ces outils permettent la remontée d’alertes aux équipes d’administration (tentative d’intrusion, de violation …)
| IDENTIFIANT DE LA REGLE | Cloisonnement des réseaux |
|---|---|
| Règle | Par analogie avec les cloisonnements physique, le réseau est segmenté en plusieurs sous-réseaux logiques présentant chacun un niveau de sécurité homogène. La cartographie du réseau est mise à jour régulièrement. Des procédures dédiées à l’exploitation des réseaux ainsi qu’un processus de revue des règles et des configurations sont rédigés. Chaque modification de configuration est tracée dans un outil de ticketing. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Maitrise des réseaux sans-fil |
|---|---|
| Règle | Le Wifi public est séparé du Wifi interne. |
| Acteurs | |
| Responsable de l’application de la règle |
Les réseaux et infrastructures de [NOM ENTREPRISE] sont séparés physiquement et logiquement selon les services
Les réseaux wifi sont compartimentés en fonction de leurs fonctions (wifi invités, employés, mobile, etc.) et leur accès dépend de la gestion des droits. Les points d’accès wifi sont protégés.
| IDENTIFIANT DE LA REGLE | Equipement de sécurité réseau |
|---|---|
| Règle | Un ensemble d’outils et de mesures de sécurité opère la protection de l’infrastructure réseau |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Détection des tentatives d’intrusion |
|---|---|
| Règle | Des dispositifs de détection d’intrusion (IDS/IPS) sont mis en œuvre. Des indicateurs liés aux tentatives d’intrusion sont mis en œuvre afin de surveiller et prévenir de tout incident de sécurité. |
| Acteurs | |
| Responsable de l’application de la règle |
Des pares-feux sont présents entre chaque zone de sécurité et chaque zone applicative. Les flux en provenance de l’extérieur traversent plusieurs couches de pare-feu avant d’atteindre le service demandé. Les flux directs vers les zones de confiance ne sont pas autorisés, ils doivent obligatoirement passer par les zones démilitarisées (DMZ).
Des sondes IDS/IPS ont été mis en place dans certains emplacements réseaux stratégiques pour analyser les flux entrants et sortants du SI. Leur rôle est de détecter les flux anormaux et le trafic malveillant et de les bloquer
Toutes les infrastructures bénéficient d’une protection anti DDoS adaptée aux différentes technologies opérées.
Des mécanismes de type WAF permettent la protection des applications WEB sensibles
| IDENTIFIANT DE LA REGLE | Chiffrement des flux réseaux |
|---|---|
| Règle | Les flux externes sensibles sont chiffrés à travers l’utilisation de protocoles sécurisés (HTTPS, SFTP, etc.) et des VPN mis en œuvre pour les accès aux applications et aux équipements. |
| Acteurs | |
| Responsable de l’application de la règle |
| IDENTIFIANT DE LA REGLE | Maitrise des interconnexions |
|---|---|
| Règle | Toute interconnexion doit être effectuée via un réseau maitrisé (c’est-à-dire ne pas passer par Internet ou être protégée par un VPN). |
| Acteurs | |
| Responsable de l’application de la règle |
Les données sont chiffrées lors des transferts vers les réseaux publics avec des protocoles sécurisés (HTTPS, TLS, SFTP, SSH…)
Dans l’optique de garantir le meilleur niveau de sécurité, les certificats HTTPS utilisés par[NOM ENTREPRISE] proviennent d’autorités de certifications publiques et reconnues. La gestion de ces certificats est encadrée par des procédures couvrant leur cycle de vie