guide_homologation_de_securite_en_9_etapes

More documents

Recommendations

Info

ANNEXE 37 . La cartographie des systèmes d’informationde l’organismeLa cartographie complète du réseau local doit être établie. Elle comprend :••la cartographie physique du réseau qui correspond à la répartitiongéographique des équipements et permet de connaître la position d’unéquipement réseau au sein des différents sites.••la cartographie logique du réseau (plan d’adressage IP, noms de sousréseaux,liens logiques entre ceux-ci, principaux équipements actifs, etc.).Elle fait notamment apparaître les points d’interconnexion avec des entités« extérieures » (partenaires, fournisseurs de services, etc.) ainsi quel’ensemble des interconnexions avec Internet.••la cartographie des applications. Le point de vue applicatif correspondaux applications métier et logiciels d’infrastructure utilisant l’architectureréseau comme support••la cartographie de l’administration du système d’informations.Elle représente le périmètre et le niveau de privilèges des administrateurssur les ressources du parc informatique. Ce point de vue permet, en casde compromission d’un compte d’administration, d’identifier le niveau deprivilège de l’attaquant et la portion du parc potentiellement impactée.8 . Les schémas détaillés des architectures dusystèmeLes schémas détaillés des architectures techniques et fonctionnelles dépendentavant tout du périmètre choisi de l’homologation du SI, ainsi que du niveau dematurité de l’organisme.Les schémas doivent permettre de savoir quelle est la fonction principaledu SI et comment ce SI fonctionne.À cette fin, il faut disposer, au minimum, de l’annuaire (gestion descomptes), du plan d’adressage, de la liste des fonctions de sécurité et de la cartographiedu SI.64
ANNEXE 3Cette documentation doit être mise à jour afin de suivre les modificationssubies par le SI.Par exemple, si le périmètre de l’homologation est une application de téléservice,il faut fournir les éléments suivants :••les procédures d’exploitation de sécurité (PES) ;••le plan du maintien en condition opérationnelle ;••la matrice des flux entrant/sortant (interconnexions) ;••la documentation de la gestion des comptes de l’application ;••la documentation de l’administration du SI et de l’installation ;••plan de sauvegarde et d’archivage des données ;••plan de continuité ou de reprise d’activité.9 . Le document présentant les risquesidentifiés et les objectifs de sécuritéCe document doit être élaboré à l’issue d’une analyse de risques, réalisée (saufpour la démarche Pianissimo) en suivant une méthode éprouvée et maintenue,si possible respectant la norme ISO 27005. Il présente les caractéristiques suivantes:• • il décrit les besoins et objectifs de sécurité du système en termes de disponibilité,d’intégrité et de confidentialité par rapport aux menaces identifiées.Au besoin, il peut être présenté sous la forme d’une Fiche d’ExpressionRationnelle des Objectifs de Sécurité (FEROS) .• • il indique la nature et la sensibilité des informations traitées par le systèmeet précise les contraintes qui restreignent la conception, l’exploitation et lamaintenance du système.• • il doit prendre en compte les architectures d’interconnexion, les moyenspartagés avec d’autres entités, leurs conditions d’exploitation et de contrôle.• • sa rédaction nécessite la participation des acteurs clés du système à homologuer,qui sont interrogés sur leurs besoins, le contexte d’emploi du systèmeet les événements susceptibles d’impacter positivement ou négativement lesystème.65
Page 1:
L’HOMOLOGATION DE SÉCURITÉen ne
Page 4 and 5:
Qu’est-ce qu’une homologation d
Page 6 and 7:
Étape n° 6 : La réalité corresp
Page 9 and 10:
Objectifs de l’homologation de s
Page 11 and 12:
1étape n°Quel système d’inform
Page 13 and 14:
QUEL SYSTÈME D’INFORMATION DOIS-
Page 15 and 16: 2étape n°Quel type de démarche d
Page 17 and 18: QUEL TYPE DE DÉMARCHE DOIS-JE METT
Page 19 and 20: 3étape n°Qui contribue à la dém
Page 21 and 22: QUI CONTRIBUE À LA DÉMARCHE ?la n
Page 23: QUI CONTRIBUE À LA DÉMARCHE ?pour
Page 26 and 27: COMMENT S’ORGANISE-T-ON POUR RECU
Page 28 and 29: COMMENT S’ORGANISE-T-ON POUR RECU
Page 31 and 32: 5étape n°Quels sont les risquespe
Page 33 and 34: QUELS SONT LES RISQUES PESANT SUR L
Page 35 and 36: 6étape n°La réalité correspond-
Page 37: LA RÉALITÉ CORRESPOND-ELLE À L
Page 40 and 41: QUELLES SONT LES MESURES DE SÉCURI
Page 43 and 44: 8étape n°Comment réaliser la dé
Page 45 and 46: COMMENT RÉALISER LA DÉCISION D’
Page 47 and 48: 9étape n°Qu’est-il prévu pour
Page 49 and 50: QU’EST-IL PRÉVU POUR CONTINUER D
Page 51 and 52: XXXXXAvant l’étudeUne réflexion
Page 53 and 54: ANNEXES
Page 55 and 56: ANNEXE 1Note1 2 3 4Non, lesconséqu
Page 57 and 58: ANNEXE 1Note1 2 3 4Individu isoléd
Page 59 and 60: ANNEXE 2Note1 2 3 4Le système estj
Page 61 and 62: ANNEXE 2Annexe 2Estimation rapide d
Page 63 and 64: ANNEXE 3Annexe 3Liste des documents
Page 65: ANNEXE 3••Il permet de formalis
Page 69 and 70: ANNEXE 311 . Les exigences de sécu
Page 71 and 72: ANNEXE 3Les audits doivent être r
Page 73 and 74: ANNEXE 4Annexe 4Liste de menaces, i
Page 75 and 76: ANNEXE 4compte utilisateur, effacem
Page 77: ANNEXE 4••l’agent expert dans
show all

guide_homologation_de_securite_en_9_etapes

Create successful ePaper yourself

Delete template?

Save as template?