Please enable JavaScript.
Coggle requires JavaScript to display documents.
Guide Hygiène Informatique - Coggle Diagram
Guide Hygiène Informatique
Sensibiliser & Former
Former les équipes opérationnelles à la sécurité des systèmes d’information.
Equipes opérationnelles = administrateurs réseau, sécurité et système, chefs de projet, développeurs, Responsable Sécurité des Systèmes d'Information.
Formations sur législation, risque et menaces, contrôle d'accès, durcissement du système, cloisonnement réseau, journalisation...
Les formations doivent être selon le métier des collaborateurs, et incluses dans les clauses des contrats.
Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique.
Formation adaptées aux utilisateurs ciblés, sous différentes formes portant sur: les enjeux de la sécurité des SI, les informations sensibles, les réglementations, les consignes de sécurité de l'activité quotidienne, les moyens de la sécurité du système.
Maîtriser les risques de l’infogérance.
Connaître le Système d'Information
Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.
Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour.
Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs.
Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.
Authentifier & Controller les Accès
Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur.
Attribuer les bons droits sur les ressources sensibles du système d’information.
Définir et vérifier des règles de choix et de dimensionnement des mots de passe.
Protéger les mots de passe stockés sur le système.
Changer les éléments d’authentification par défaut sur les équipements et services.
Privilégier lorsque c’est possible une authentification forte.
Sécuriser les Postes
Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique.
Se protéger des menaces relatives à l’utilisation de supports amovibles.
Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité.
Activer et configurer le pare-feu local des postes de travail.
Chiffrer les données sensibles transmises par voie Internet.
Sécuriser le Réseau
Segmenter le réseau et mettre en place un cloisonnement entre ces zones.
S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.
Utiliser des protocoles réseaux sécurisés dès qu’ils existent.
Mettre en place une passerelle d’accès sécurisé à Internet.
Cloisonner les services visibles depuis Internet du reste du système d’information.
Protéger sa messagerie professionnelle.
Sécuriser les interconnexions réseau dédiées avec les partenaires.
Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques.
Sécuriser l'Administration
Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information.
Utiliser un réseau dédié et cloisonné pour l’administration du système d’information.
Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail.
Gérer le Nomadisme
Prendre des mesures de sécurisation physique des terminaux nomades.
Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable.
Sécuriser la connexion réseau des postes utilisés en situation de nomadisme.
Adopter des politiques de sécurité dédiées aux terminaux mobiles.
Maintenir le système d'Information
Définir une politique de mise à jour des composants du système d’information.
Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles.
Superviser, Auditer & Réagir
Activer et configurer les journaux des composants les plus importants.
Définir et appliquer une politique de sauvegarde des composants critiques.
Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées.
Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel.
Définir une procédure de gestion des incidents de sécurité.
Pour aller plus loin
Mener une analyse de risques formelle.
Privilégier l’usage de produits et de services qualifiés par l’ANSSI.