jeudi 11 octobre 2012

Guide ANSSI de la sécurité - Part 1 : Connaître précisément le système d'information et ses utilisateurs


Règle 1 - Disposer d'une cartographie précise de l’installation informatique et la maintenir à jour :

Cette cartographie doit au minimum comprendre les éléments suivants :


  • liste des briques matérielles et logicielles utilisées ;
  • architecture réseau sur laquelle sont identifiés les points névralgiques (connexions externes1,
  • serveurs hébergeant des données et/ou des fonctions sensibles, etc.).

Cette cartographie ne doit pas être stockée sur le réseau qu'elle représente, car il s'agit de l'un des éléments
que l'attaquant va rechercher en premier lieu en cas d'intrusion réussie.

Règle 2 - Disposer d'un inventaire exhaustif des comptes privilégiés et le maintenir à jour.

A minima, il est important de disposer de la liste :
  • des utilisateurs qui disposent d'un compte administrateur sur le système d'information ;des utilisateurs qui disposent de privilèges suffisants pour lire la messagerie des dirigeants de lasociété ou a fortiori de l'ensemble des utilisateurs ;
  • des utilisateurs qui disposent de privilèges suffisants pour accéder aux répertoires de travail des dirigeants ou, a fortiori, de l'ensemble des utilisateurs ;
  • des utilisateurs qui disposent d'un poste non administré par le service informatique et donc non géré selon la politique de sécurité générale de l'organisme.

Sur un système Windows, la plupart de ces informations peuvent être obtenues par l'analyse de la
configuration de l'Active Directory. L’article Audit des permissions en environnement Active Directory2 précise un ensemble de méthodes permettant d’en réaliser l'inventaire.


Règle 3 - Rédiger des procédures d'arrivée et de départ des utilisateurs (personnel, stagiaires…).
Elles doivent décrire a minima :

  • la gestion (création / destruction) des comptes informatiques et l'attribution des droits associés à ses comptes sur le système d'information, y compris pour les partenaires et les prestataires externes ;
  • la gestion du contrôle d'accès aux locaux ;
  • la gestion des équipements mobiles ;
  • la gestion du contrôle des habilitations

à

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)