Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

DISPOSEZ D'UN INVENTAIRE À JOUR DES PÉRIPHÉRIQUES ET DES CONNEXIONS RÉSEAU La t

DISPOSEZ D'UN INVENTAIRE À JOUR DES PÉRIPHÉRIQUES ET DES CONNEXIONS RÉSEAU La tenue d'une carte détaillée de votre infrastructure informatique vous permet d'évaluer sa robustesse, ses performances et sa stabilité. En même temps, vous vérifiez vos contrats de maintenance et identifiez les composants qui ne sont plus utilisés mais toujours connectés. Gardez cet inventaire à jour. En cas d'incident, il peut vous aider à détecter l'origine du problème et éventuellement le fournisseur à contacter. Vous voulez confier cette tâche à du personnel externe ? N'oubliez pas que vous devez garder le contrôle de la situation. L'inventaire de votre réseau ne doit pas seulement se limiter aux appareils physiques, mais il doit aussi documenter:  Configurations VLAN et plages d'adresses IP associées  Toutes les différentes zones et les paramètres de sécurité associés  Toutes les lignes de connectivité et d'Internet  Toute liste de contrôle d'accès ou règle de pare-feu DISPOSEZ D'UN INVENTAIRE À JOUR DES POSTES DE TRAVAIL ET DES SERVEURS Disposez d'un inventaire à jour des postes de travail et des serveurs L'objectif est d'avoir une connaissance actualisée de tous les serveurs et postes de travail utilisés. Cette compréhension vous aide à identifier les vecteurs d'attaque possibles et les actifs essentiels pour votre organisation. En cas d'incident, elle peut vous aider à détecter l'origine du problème et éventuellement le fournisseur à contacter. La tenue d'un inventaire de vos actifs informatiques vous permet de comprendre l'étendue de vos actifs essentiels. Il vous aide également à identifier les ressources qui ne sont plus utilisées mais qui n'ont pas encore été mises hors service. Maintenez une liste de tous les PC et ordinateurs portables qui se connectent à votre réseau, y compris les informations de base comme le nom du propriétaire de l'appareil. Conservez une liste de tous les serveurs de votre réseau. Classez-les par types de serveurs différents, en fonction de l'objectif et/ou du système d'exploitation. Pour chaque type de serveur (par exemple, serveur de messagerie Linux, serveur de fichiers Windows), une évaluation des risques différente sera nécessaire. Continuez à améliorer votre inventaire de postes de travail et de serveurs, et ajoutez des informations importantes qui vous aideront à évaluer ou à réagir plus rapidement aux incidents. Vous devriez connaître, pour chaque serveur, au moins les informations suivantes : Postes de travail  Type de poste de travail (ordinateur portable, bureau, tablette,...)  Marque et modèle du poste de travail  Garantie, information de soutien et contrat de service  Propriétaire  Système d'exploitation  Applications installées Serveurs  Marque, type et fournisseur du serveur  Garantie, information de soutien et contrat de service  Objet, applications et propriétaire  Nom du serveur, adresses IP, domaine joint ou non  Configuration de la ligne de base  Fenêtres de maintenance  Changements récents DISPOSEZ D'UN INVENTAIRE À JOUR DES APPAREILS MOBILES ET DES TABLETTES Tenir un inventaire de vos actifs informatiques vous permet de comprendre l'étendue de vos actifs. Il vous aide également à identifier les ressources qui ne sont plus utilisées mais qui n'ont pas encore été mises hors service. Tenez un inventaire de tous les appareils mobiles et tablettes, qu'ils appartiennent à l'entreprise ou à des particuliers (s'ils ont accès à vos données), y compris les ressources auxquelles ils peuvent accéder dans votre entreprise. Vous devez vous assurer que vous êtes en mesure d'imposer des exigences de sécurité minimales, telles que des systèmes d'exploitation et des systèmes antivirus et antimalware à jour et la possibilité de révoquer l'accès et d'effacer les données à distance. DISPOSEZ D'UN INVENTAIRE À JOUR DES DISPOSITIFS OPÉRATIONNELS CONNECTÉS À INTERNET De plus en plus de dispositifs connectés à Internet sont introduits dans l'infrastructure des TIC. Ils ont accès à internet et à certaines ressources internes, mais sont souvent non gérés, voire dans l'impossibilité d'être mis à jour. Tenez un inventaire détaillé de tous ces dispositifs et analysez rigoureusement le risque qu'ils représentent pour votre programme de sécurité. Ces dispositifs sont généralement :  Thermostats de chauffage, dispositifs de ventilation et de climatisation  Dispositifs d'accès aux installations (lecteurs de badges, caméras,...)  Dispositifs d'usine (PLC, SCADA,..)  Panneaux de réservation des salles de réunion  Systèmes de vidéoconférence et de téléphonie IP  Caméras IP et leurs enregistreurs  Appareils 'SMART' connectés au réseau Tous ces dispositifs devraient être inventoriés avec le plus de détails possible, notamment avec l'accès qu'ils ont aux ressources de l'entreprise. Vous devez vous assurer que vous êtes en mesure d'imposer des exigences de sécurité minimales, y compris l'isolement et le confinement complet du réseau. Ne confiez pas cette tâche à du personnel externe, car vous devez rester maître de la situation. DÉCLASSEMENT DES ACTIFS ET ÉLIMINATION DES MÉDIAS Vos serveurs, ordinateurs portables, ordinateurs de bureau, imprimantes et équipements réseau en fin de vie peuvent contenir des informations importantes, confidentielles ou sensibles. Il peut s'agir de documents, de courriels, d'informations de configuration,... Cela s'applique également aux CD, DVD, clés USB et autres supports amovibles. Avant de mettre hors service tout équipement IT, les supports physiques doivent être enlevés et détruits physiquement. INVENTORIEZ VOS PARTENAIRES, FOURNISSEURS, CONTRATS, ET SLAS Ayez une liste à jour de tous vos fournisseurs, vendeurs, numéros de contrat, coordonnées et services qu'ils fournissent. Assurez-vous que cet inventaire est disponible en ligne et hors ligne, afin de pouvoir les contacter pour obtenir de l'aide en cas de panne ou de dégradation du service. Si des fournisseurs ont un accès (à distance) à des systèmes, des outils de surveillance ou des interfaces de gestion, ces informations doivent être documentées et examinées régulièrement. Toutes les obligations contractuelles, les engagements en matière de sécurité, l'accord sur les niveaux de service et les processus d'escalade doivent être énumérés. Les fournisseurs doivent au minimum respecter des normes de sécurité identiques ou supérieures à celles de votre propre entreprise. Assurez-vous d'inclure vos exigences, normes et pratiques exemplaires dans vos ententes avec les fournisseurs. EFFECTUEZ UNE ANALYSE DES RISQUES Votre analyse de risque peut être très simple ou très détaillée. Tout dépend de la taille de votre organisation, de la complexité des projets et de la sensibilité des données que vous traitez. Cependant, ne sous-estimez pas le travail que cela implique, car même si un projet semble simple, les risques associés peuvent être importants. Il n'y a pas de corrélation entre la taille d'un projet et les risques qui y sont associés. Afin de vérifier l'exactitude et l'exhaustivité de votre analyse de risques, celle-ci doit être vérifiée par différentes personnes de votre organisation. Pour arriver à ce plan, vous devez prioriser les mesures de sécurité nécessaires (en tenant compte de vos priorités métiers) qui doivent être établies afin d'avoir un plan d'action qui peut être approuvé par la direction. IDENTIFIEZ LES VULNÉRABILITÉS ET LES MENACES Identifiez les risques possibles en termes de confidentialité, d'intégrité, de disponibilité et d'authenticité des données. Une vulnérabilité est un point faible de votre réseau qui peut être exploité par une menace de sécurité. Les risques sont les conséquences et l'impact potentiels des vulnérabilités non traitées. Parmi les risques associés à cette vulnérabilité, citons la perte de données, la défaillance dans la conduite de vos affaires et les dommages financiers ou de réputation pour l'entreprise. La méthode d'identification des vulnérabilités et des menaces peut différer selon la métholdologie utilisée. SÉCURITÉ PAR DESIGN ET SÉCURITÉ PAR DÉFAUT Les entreprises/organisations sont encouragées à mettre en œuvre des mesures techniques et organisationnelles, dès les premières étapes de la conception des processus, de manière à garantir dès le départ les principes de protection de la vie privée et des données ("protection des données dès la conception"). Par défaut, les entreprises/organisations devraient veiller à ce que les données à caractère personnel soient traitées avec le plus haut niveau de protection de la vie privée (par exemple, seules les données nécessaires devraient être traitées, période de stockage courte, accessibilité limitée) afin que, par défaut, les données personnelles ne soient pas rendues accessibles à un nombre indéfini de personnes ("protection des données par défaut"). SAUVEGARDEZ VOS DONNÉES IMPORTANTES QUOTIDIENNEMENT La sauvegarde régulière consiste à prendre une copie de toutes les données importantes sur un média, physique ou immatériel, différent de celui utilisé en production. La sauvegarde régulière et exhaustive des données est la seule assurance valable contre une infection ou une attaque qui aurait rendu des données de production corrompues ou inaccessibles. Les tests de restauration de données montrent la résilience et la capacité à revenir à une situation saine. Donnez des conseils à vos collaborateurs pour effectuer leur back-ups, ou automatisez ceux-ci. Vérifiez régulièrement que vos backups soient faits tous les jours et qu'ils sont récupérables. GARDEZ LES BACKUPS HORS LIGNE ET À UN ENDROIT SÉPARÉ La mise à l'écart physique des backups sert à s'assurer que les cas de vol, d'inondation, de feu et autres situations destructives, ne vont pas impacter la capacité de la société à restaurer ses données. La localisation physique des backups ne doit pas être proche des données de production car en cas de vol, d'incendie, ou autre atteinte physique aux uploads/Management/ disposez-d.pdf